Krádeže v odlehlých bankovních systémů: Incident vyšetřování
11.11.2014 Incidenty PUBLIKACE
BACKDOOR ELEKTRONICKÉ PLATBY FINANČNÍ MALWARE INTERNETOVÉHO BANKOVNICTVÍ KEYLOGGERY ZABEZPEČENÍ A VYUŽÍVÁ Stále více společností se ptají Kaspersky Lab provést podrobné šetření bezpečnostních IT incidentů malware související vliv na jejich podnikání.
V tomto článku si popíšeme typický cybercriminal útok, jehož cílem je krást firemní finanční aktiva ze vzdáleného bankovního systému.
Popis incidentu
Organizace nedávno požádala Kaspersky Lab vyšetřovat incident, ke kterému došlo v podnikovém vzdáleném bankovního systému: bankovní zástupce kontaktoval účetní oddělení organizace a požádal o potvrzení platby v hodnotě 3 miliony rublů (asi US 80.000 dolar). Vyšlo najevo, že nikdo v organizaci nikdy neslyšel o této platby. Účetní byl jistý, že on nedělal, že platba; vysvětlil, že byl z jeho polední přestávce v době transakce.
Účetní používá bankovní software na svém pracovišti přípravu platební příkazy a poslat je do banky. Protokoly o tomto softwaru zaznamenal dvě podezřelé platby na stejnou adresu. První byl relativně malý zaplacení 300.000 rublů. To neznělo žádné poplašné zvony, a byla zpracována bez dotazu. Druhá platba v hodnotě 3 miliony rublů, upozornili zaměstnance u banky společnosti.
Bylo jasné, že účetní neučinila plateb sám, takže organizace podezření malware útoku. Ale jak je to možné? Byli pomocí specializovaného bankovní software s ochranou heslem. Jsou zapotřebí zvláštní soubor pro přístup ke vzdálenému bankovního systému, a banka by samo o sobě zjistit IP adresu odesílatele platby.
Vyšetřování
Hlavním cílem malware vyšetřování incidentu je přesně zhodnotit následky útoku, identifikovat každý napadeného počítače a zjistit, jak přesně malware pronikl oběti počítač (y). Organizace vliv pak může tyto informace použít k efektivnímu zmírnění slabé poškození a adres v jeho firemní bezpečnostní systém, aby se zabránilo takovým incidentům od události v budoucnu.
Během vyšetřování je také někdy možné detekovat dosud neznámého malwaru druhů a připojí svůj podpis k zabezpečení databází, která chrání ostatní uživatele od jejich budoucí dopad.
V tomto případě se obraz pevného disku z počítače Účetní byla poskytována do společnosti Kaspersky Lab Global Emergency Response Team (GERT) pro analýzu a vyšetřování.
Vzdálený přístup k pracovní ploše
Během našeho prvního průchodu analýzu pevného disku účetního znalce, jsme identifikovali upravenou verzi právního Remote Manipulator System , který umožňuje vzdálený přístup k počítači. Tento typ softwaru je často používán účetní a správce systému. Nicméně, tento program se nachází v podezřelé katalogu, měl podezřelý název ("C: \ Windows \ Dotcom \ wmiterm.exe" je příliš "týkající se systému" cesta, tak i pokročilý uživatel, je nepravděpodobné, že vůně krysu) a měl dvě úpravy, aby skryli svou činnost:
Ikona na hlavním panelu systému Windows byla skryta, Klíč registru, kde se program uloží jeho konfigurace byla upravena: "HKLM \ SYSTEM \ Remote Manipulator System \ v4" byl změněn na "HKLM \ SYSTEM \ System \ System \ Remote \ Windows", který opět vypadá velmi podobně jako klíč registru systému na , Tyto změny jsou typické pro malware, takže jsme přidali podpisy tohoto programu antivirové databáze společnosti Kaspersky Lab - je detekován jako nebezpečný s výrokem "Backdoor.Win32.RMS".
Při analýze provozu Backdoor.Win32.RMS, jsme zjistili, že útočníci používali stáhnout další škodlivý program na oběti počítače, "Backdoor.Win32.Agent". (Tato detekce byla přidána do produktů Kaspersky Lab okamžitě). Že backdoor dodávané dálkové VNC (Virtual Network Computing) přístup k oběti počítače. Zajímavé je, že kód tohoto škodlivého softwaru má mnoho společného s modulem "hVNC" na Carberp Trojan. Zdrojový kód Carberp je k dispozici pro veřejný přístup.
Tak, jak se Backdoor.Win32.RMS propašovat na pracovní ploše účetního znalce?
Infikování Corporate Desktop
V databázi aplikace Microsoft Outlook, uloženy v souboru "Outlook.pst" na pevném disku, zjistili jsme, e-mail, který obsahuje přílohu s názvem "запрос ИФНС № АС-4-31339.doc" ("Federální daňová služba požádat č. AC- 4-31339.doc "). Kaspersky Lab Anti-Virus zjistil, že dokument Microsoft Office, jako nebezpečný s výrokem "Exploit.MSWord.CVE-2012 - 0158".
Mezi zločinci používají metody sociálního inženýrství: e-mail byl odeslán ve jménu ruskou Federální daňové služby, vyzval k okamžité akci, a za předpokladu, kontaktní údaje o skutečné daňové služby důstojníků.
GERT_1
"Federální Zdanění služby. Uveďte prosím všechny požadované dokumenty co nejdříve."
Účetní by jistě otevřel přílohu, která zneužije chybu zabezpečení v aplikaci Microsoft Word ke stažení samostatně rozbalení archivu ze vzdáleného serveru a pak inicializovat rozbalování. Archiv obsahoval dva soubory: "SYST.EXE", což je přejmenovaný verzi souboru archivátoru "7zip" a "SYST".
Během vybalování, zdrojový archiv zahájila archivu programu "SYST.EXE" s parametry instruktážní to rozbalit heslem chráněného archivu "SYST" pomocí zabudovaného heslo. Tento trik pomocí hesla chráněného heslem úspěšně obchází pokusy bezpečnostní software je při statickém rozbalování souboru, brání jeho detekci.
Rozbalení "SYST" vytvořila následující: soubor 'Backdoor.Win32.RMS "(které jsme již dříve zjištěný) a script' INST.CMD", který nainstalován backdoor v systému. Jedná se o skript, který zkopíruje soubory škodlivého programu je do složky "C: \ Windows \ Dotcom".
Poté, co jsme zjištěna na zadní vrátka, jsme začali chápat, jak se útočníci mohli ukrást peníze. Pokud by měl vzdálený přístup k počítači, mohou mít sami platební příkaz, a pak soubor s klíčem a IP adresu odesílatele bude legitimní. Ale my jsme ještě nevěděli, jak se zločinci dostali heslo pro přístup k bankovní software. Rozhodli jsme se podívat na keylogger programu.
Keylogger
Soubor 'Svchost.exe "přitahuje naši pozornost, který se nachází v kořenovém adresáři systémového disku. Ukázalo se, že keylogger (detekce přidána s výrokem "Trojan-Spy.Win32.Delf '); Rovněž obsahuje funkce pro řízení konfigurace Backdoor.Win32.RMS. Tato neobvyklá schopnost byla zřejmě zavedená zločinci, protože potřebovali nástroj pro řízení upraveného dálkového manipulátoru systém: oni skryté celou uživatelské rozhraní tohoto programu a použít jej pro správu konfigurace.
Také jsme zjistili, že tento keylogger byl stažen pomocí Backdoor.Win32.RMS.
Keylogger poslal protokol obsahující veškeré ukradené informace k C & C v pravidelných intervalech, a stále up-to-date kopii záznamu na pevném disku infikovaného počítače. Zjistili jsme, že bankovní heslo do hromady informací ukradli keylogger.
Bitevní plán
Po našem výzkumu jsme rekonstrukci akční plán počítačovými zloději ":
Mezi zločinci zahájil cílený útok pomocí sociálního inženýrství a Microsoft Word zranitelnost infikovat počítač účetnímu je s Backdoor.Win32.RMS. S pomocí tohoto backdoor, že zločinci načíst další dva nebezpečné programy na oběti počítače: keylogger (Trojan-Spy.Win32.Delf) a další backdoor (Backdoor.Win32.Agent), který stanoví, vzdálený VNS přístup k oběti počítače. Keylogger zachytil heslo ke vzdálenému bankovní účet. Zatímco účetní byl od svého počítače, se zločinci používají Backdoor.Win32.Agent a přístup VNS k počítači spustit bankovní software jménem účetní. Tyto zločinci používali heslo zachycuje keylogger pro vytvoření příkazu k úhradě v hodnotě 300.000 rublů a odeslat do banky. O něco později, se vytvořil další platební příkaz, tentokrát v hodnotě 3 miliony rublů, a poslal jej do banky. Jak jsme se dostali ke konci šetření jsme zjistili ještě další zajímavou skutečnost: IP-adresy C & C servery pro všechny škodlivých programů používaných v útoku patřil do stejné podsítě.
GERT_2
Schéma cybercriminal útoku
Také jsme zjistili, že zločinci velmi rychle jednal: trvalo jim jen čtyři dny provádět jejich plánované trestné činnosti. Tři dny strávil přípravou, a plán byl proveden během několika hodin na čtvrtý den.
Den 1. zločinci zaslán e-mail na účetní společnosti. Účetní číst e-maily, otevřel přílohu a škodlivého programu Backdoor.Win32.RMS byl stažen do svého programu. V následujících dnech se zločinci použít tento program pro sledování činnosti účetní je.
Den 4. zločinci používají Backdoor.Win32.RMS načíst keylogger Trojan-Spy.Win32.Delf oběti počítači a zachytil heslo k bankovnímu softwaru. Brzy poté naložili Backdoor.Win32.Agent a používal to, aby připojení k počítači účetního znalce. A poslali platební příkazy z obětí počítače do banky.
Oznamující obětí kybernetických zločinců "
Vzhledem k tomu, útočníci použili několik IP adres ze stejné podsíti, rozhodli jsme se blíže podívat na serveru C & C. Jak se ukázalo, že zločinci udělali chybu při konfiguraci jeden ze serverů, takže každý uživatel může vidět požadavků HTTP serverů C & C. To je, jak jsme byli schopni vystopovat IP adresy, ze kterých byly žádosti odeslané pomocí protokolu Keylogger je. Jak jsme zjistili, tam bylo několik počítačů s různými IP adres infikovaných virem keylogger.
Byl tam jeden zvláštní rys tohoto keylogger: když to bylo vypuštěno v infikovaném počítači, stáhnout nejnovější verzi svého protokolu ze serveru C & C. Proto každý uživatel mohl přečíst protokol keylogger, pokud otevřeli příslušnou URL adresu ve svém webovém prohlížeči. Rozhodli jsme se blíže na HTTP požadavků posílaných na serveru C & C, a v nich jsme našli názvy protokolů, které jsou keyloggery odeslaných na server C & C. V mnoha případech, protokoly obsahovaly název organizace, která vlastnila infikovaný počítač a "kontakty (Dalo by se také obětí obětí IP adresy pomocí zranitelnosti na serveru C & C). Tyto informace nám pomohlo kontaktovat další oběti (většina z nich byla účetní na malé a střední podniky), a varují, že jejich počítače byly infikovány. Oni byli velmi vděční za informace.
Vlastnosti bankovních útoků
Jak jsme si řekli na začátku článku, tento útok je typický případ krádeže peněz z firmy.
Počítačoví zločinci aktivně využívat sociální inženýrství vybízely uživatele k otevření souboru škodlivý. Zaměstnanci, kteří se zabývají komerčně důležitých informací a zvládnout finanční společnosti potřebují školení o základech bezpečnosti IT. Společnost musí zavést bezpečnostní politiku, která by minimalizovala riziko zaměstnanců nedbalosti a způsobí infekci v podnikové síti.
Při útoku důležité cíle, zločinci mohou používat nové exploity pro dosud nepublikovaných zranitelnosti. V takových případech běžné detekční nástroje útoku, jako IDS, není dost dobrý. Nicméně, 0-day exploity jsou příliš drahé pro použití v útocích na pravidelných společností. Zde obvykle vidět využije pro známé zranitelnosti. To znamená, že jednoduché kroky, jako je rychle aktualizace softwaru (zejména Microsoft Office a Java) a instalaci bezpečnostní řešení kvality může zajistit odpovídající úroveň ochrany.
Dalším rysem tohoto útoku je to, že zahrnuje právní software. Jedná se o rostoucí trend: vidíme zločinci pomocí legitimních aplikací získat vzdálený přístup k počítači oběti před stažením a spuštěním škodlivých souborů na nich. Bezpečnostní produkty samozřejmě nebude vlajku používání legitimní software. Takže zločinci mohou používat tyto aplikace, ve snaze udržet své operace v tajnosti. V tomto útoku, tajemství bylo zajištěno pomocí verze Remote Manipulator System s úpravami do svého spustitelného souboru. Přidali jsme podpis pro tuto upravenou verzi Remote Manipulator System tak výrobky budoucí společnosti Kaspersky Lab bude detekovat.
Pokud se útočníci použít původní, nezměněné verze legitimní software, bude jediným řešením bude pro bezpečnostní systémy a upozorní uživatele pokaždé potenciálně nežádoucí program spuštěn. Všichni uživatelé, zejména ti, kteří se zabývají finanční a jiné důležité dokumenty, je třeba si uvědomit, že žádný bezpečnostní systém může poskytnout absolutní ochranu. Měli by věnovat pozornost oznámení systému a dávat pozor na jakékoli neobvyklé chování na svém počítači. Je důležité oznámit bezpečnostní pracovníci jakékoliv podezřelé události v systému.
V ideálním případě, výchozí popřít režim by měl být povolen na všech počítačích používají k provádění plateb v odlehlé bankovního systému; Tento režim omezuje přístup k Internetu a zabraňuje spuštění irelevantní, non-bílé listině software. Totéž platí pro počítače používané firemní uživatele pro práci s komerčně důležité (důležité obchodní informace).
Závěr
V těchto dnech, je hlavní hnací silou všech cybercriminal akce jsou peníze. Získání přístupu ke vzdáleným bankovních systémů je nejpřímější a přímočarý způsob, jak krást peníze z organizace. Je to trochu překvapivé, že vzdálené bankovní systémy jsou stále atraktivnější cíl pro cybercriminal útoků.
Každý, kdo používá vzdálené bankovních systémů je více než obeznámeni s bezpečnostními systémy začleněny do nich ... ale tak jsou zločinci. Použití hesel, klíčové soubory a žetony, stejně jako omezení IP přístupu, může ukolébat uživatele do falešného pocitu bezpečí.
Nicméně, žádný z těchto opatření, ať již samostatně nebo ve skupině, udělá cokoliv, aby zvýšení bezpečnosti, pokud jsou prováděny na ohrožení počítače. Na infikovaném počítači, hesla mohou být zachyceny, klíčové soubory mohou být zkopírovány. Počítačoví zločinci mohou vytvořit skrytý plochu a použít původní IP adresu a token připojen k počítači oběti.
Při vyšetřování bezpečnostních incidentů pravidelně dojít k následující situaci: škodlivý program je spuštěn na počítači, ale později se zjistí, že a odstraněn ze systému. Následně ovlivněn počítač je používán jako dříve, pokračuje a provádět bankovní operace s účetní jistý, že problém byl vyřešen.
Uživatelé si musí uvědomit, že jakmile je škodlivý program je spuštěn, počítač postiženy by měly být považovány ohrožena. První škodlivý soubor načte jen hlavní nebezpečný náklad. Že náklad se obvykle skládá z programů, které aktualizují po celou dobu uniknout detekci bezpečnostních produktů. Alternativně zločinci načíst legální software s úpravami, které umožňují zločinci se k němu připojit přes škodlivých C & C servery. V tomto případě nebudou zjištěny škodlivé programy.
S výhledem na to může způsobit obrovské škody do společnosti. Pokud byl zjištěn škodlivý program na počítači s kritickým informacím, musí být učiněna neprodleně opatření reakce na incidenty.
Je smutné, že naše zkušenosti ukazují, že organizace často bijí na poplach příliš pozdě, když už čelí finanční ztráty nebo vypnutí kritických výpočetních služeb. Kromě toho, o přijatých následných opatřeních v rámci firem obvykle ukáží být neúčinná, a často brání dalšímu vyšetřování.
Není tam žádná taková věc jako one-size-fits-all reakce na mimořádné události. Existuje příliš mnoho možných způsobů útoku venku. Například, v některých případech vypnutí počítače se okamžitě pomáhá zachovat data, která by se nevratně odstraněny škodlivým programem po určité době. V jiných situacích, když vypnutí zničí data paměti RAM, která je nezbytná pro následné vyšetřování. Pouze specialista vyšetřování incidentu může učinit správné rozhodnutí.
V každém případě, pokud existuje sebemenší podezření na vniknutí jakékoliv ohrožení by měl být počítač odpojen od Internetu a podnikové sítě a malware incidentů specialisté by měl být volán v.
Pouze detailní průzkum bezpečnostní události, může vést k účinné odpovědi.
Ruští hackeři špehovali pět let NATO
9.11.2014 Incidenty Ruští hackeři podle nových informací zneužili díru v operačním systému Windows a špehovali počítače používané mezinárodní organizací NATO a západními vládami.
Stejná díra v operačním systému od Microsoftu byla podle bezpečnostní společnosti iSight Partners použita u počítačů na Ukrajině a v Polsku. Není zatím jasné, k jakým datům hackeři přistupovali, avšak spekuluje se, že hledali informace týkající se krize na Ukrajině. Microsoft mezitím uvedl, že díru ve svém OS opraví. Mluvčí Microsoftu oznámil, že společnost aktualizaci vydá v rámci balíku automaticky stahovaných aplikací.
„NATO ve světle nových zjištění hledá důkazy o potenciálním průniku do jeho sítí, které jsou připojeny k internetu,“ uvedl v oficiálním prohlášení mluvčí organizace. „Naši experti s využitím znalostí z předchozích kybernetických útoků proti NATO provádí analýzy a neočekává se, že by útok měl nějaký dopad na utajené operační sítě NATO, jež jsou odděleny od internetu.“
Mezi další oběti hackerského útoku, jenž byl mimo jiné prováděn za pomoci červa Sandworm, jsou firmy v energetickém a telekomunikačním průmyslu, bezpečnostní firmy, delegáti konference GlobSec o národní bezpečnosti a akademik, který je expertem na rusko-ukrajinské vztahy.
Hackerské útoky probíhaly pět let a vygradovaly v uplynulých měsících za použití tzv. zero-day díry ve Windows (tj. díry, o níž Microsoft dříve nevěděl a nejsou pro ni dostupné aktualizace), která hackerům umožnila zaměřit jejich kampaň na nové zdroje. I když iSight nemohlo s jistotou říci, zda mají hackeři vazby na ruskou vládu, jeden seniorní analytik uvedl, že všechno nasvědčuje podpoře kampaně ruským státem, jelikož hackeři zjišťovali informace a nesnažili se je zpeněžit.
Ve své šestnáctistránkové zprávě iSight popisuje, jak v lednu 2013 začal po NATO v elektronické podobě kolovat dokument, jenž se měl údajně týkat evropské diplomacie, avšak byl do něj zakomponován škodlivý kód. V tu samou dobu byly několika státům a akademikovi pracujícímu na otázkách ohledně Ruska zaslány e-maily se škodlivým kódem, jež měly údajně obsahovat seznam pro-ruských extrémistů.
O Sandworm - ikdyž pod jménem Quedagh - již dříve informovala i společnost F-Secure. Podle Mikka Hypponena z této firmy nebyl červ detekován roky.
„Tento červ tady je již několik let a používá DoS bot zvaný jako Black Energy, kteří hackeři přizpůsobili svým potřebám,“ uvedl Hypponen.
„Zajímavé je, že pokud je tento červ detekován IT profesionály, tváří se jako Black Energy, což většina expertů vyhodnotí jako zastaralou hrozbu, která je nyní téměř neškodná.“ Jak podotýká iSight, její odborníci v poslední době zachycují z Ruska čím dál víc hackerských útoků.
PoS prodejce potvrzuje Jimmy John porušení byla jejich vina 8.10.2014 Incidenty Signature Systems, dodavatel POS systém, který byl jmenován jako pravděpodobné místo původu na porušení platební údaje Jimmy John je , potvrdil, že útočník (y) získal přístup k zadání uživatelského jména a hesla se společnost používá pro vzdálený přístup pokladní systémy. "neoprávněná osoba používá, aby byl přístup k instalaci malware navržen tak, aby sbírat data z platebních karet z karet, které byly udeřil přes terminály v některých restauracích. malware byl schopen zachytit jméno držitele karty, číslo karty, datum ukončení platnosti a ověřovací kód z magnetického proužku karty, "vysvětluje společnost. Kromě 216 Jimmyho Johnovy prodejen, dalších 108 restauračních míst - většinou máma-a-pop restaurací v Nové Anglii a Midwest (kompletní seznam a po dobu kompromisu zde ) - byly postiženy v jednom bod nebo jiný od června 16 a do poloviny září, kdy poslední malware byl odstraněn z některých zařízení POS. "malware byl navržen tak, aby se zabránilo detekci antivirové programy běžící na systému point-of-prodej, "společnost upozornil, a sdílené, že oni byli nejprve upozorněni na potenciální problém ovlivňující jedno místo restauraci 30. července. "Pracovali jsme tvrdě od té doby zjistit, co se stalo, zablokovat pokračovat, zajistit větší bezpečnostní opatření, a oznámí postižené obchodníci, "uvedly. Podle informací shromážděných Brian Krebs , bezpečnostní standardy PCI Rada schválila instalaci PDQ POS systému podpis Systems, pouze do 28.října 2013, takže některé z postižených restaurací, které tak učinil poté, co toto datum bude pravděpodobně udělena pokuta. Signature Systems v současné době pracuje na vývoji nové platební aplikace, která bude obsahovat point-to-point šifrování s cílem zmařit paměti škrábání malware. Krebs zjistil, že hlavní bezpečnostní důstojníky, firmu, která audit produkt PDQ, nefunguje a už před tím, než zavřeli, měl jeho certifikační autorita zrušit Security Standards Council PCI.
Tvorba obranu jedna organizace incidentu každého 4.10.2014 Incidenty Finanční služby sdílení informací a analytické centrum (FS-ISAC), organizace zaměřená na sdílení důležitých informací kybernetická bezpečnost hrozeb po celém světě, a depozitář důvěra & Clearing Corporation (DTCC), infrastruktura poobchodní trh pro globální odvětví finančních služeb, oznámila vytvoření strategického společného podniku pro rozvoj a automatizační řešení na trhu, které napomáhají schopnosti kybernetické bezpečnosti a odolnosti organizací kritické infrastruktury, včetně finančních služeb, kanceláří a dalších po celém světě. joint venture s názvem Soltra, byla zřízena za účelem poskytovat software pro automatizaci a služby, které shromažďuje, pálit a urychlen přenos hrozbách z nesčetných zdrojů na pomoc chránit před kybernetickými útoky. pravda iniciativu mezioborovou přes 125 členů FS-isac a zástupci dalších důležitých odvětví, orgány státní správy a soukromého sektoru přispěla ke požadavků, architektury a designu automatizační software Soltra je roztok Soltra hran. pojmenovaný po jednom z nejznámějších středověkých maják požáru sítí v Evropě, které varovaly útočníků, Soltra hran se připojí a zefektivnit tok hrozby inteligence mezi komunitami , osoby a zařízení při zpracování velkých objemů dat hrozeb, zlepšuje efektivitu a umožňuje okamžitý zásah v boji proti hrozbě a zmírnění rizik. Soltra hran je v současné době testován uživateli, a bude k dispozici na konci roku 2014. řešení byl navržen v měřítku podporovat tisíce organizací a pálit velké množství dat do využitelných informací, který lze snadno pochopit a používat. Využívá otevřené standardy, včetně strukturovaných informací Threat výraz (STIX) a Trusted automatizovanou výměnu Ukazatel informací (TAXII). Řešení bude zahrnovat platformy, infrastrukturu a ekosystém pomáhat jednotlivým organizacím všech velikostí, jiné sdílení informací a analytických středisek (ISACs), počítačové hrozby odpovědi (CERT), průmyslové subjekty a dodavateli v soukromém sektoru, aby se spojily, aby zjednodušit sdílení informací o hrozbách pomocí Stix a TAXII. "Dnes, většina cyber informace ohrožení jsou poskytovány ručně uživatelům z různých, vzájemně nepropojených průmyslových zdrojů. Z tohoto důvodu, v průměru to může trvat firmám sedm hodin vyhodnotit každý hrozbu, "říká Mark Clancy, generální ředitel Soltra, CISO z DTCC a člen FS-ISAC. "S Soltra Edge incidentu jedna organizace se stává obrana každého. Toto řešení umožní klientům posílat, přijímat a ukládat kybernetické bezpečnosti hrozbách v efektivní a automatizované podobě, což umožňuje těmto firmám nasadit ochranu před možným kybernetickým útokem. " "Jako joint venture, Soltra sestavil prvotřídní tým a podpora od některých z nejuznávanějších společností na světě, aby na architekta a vytvořit řešení pro sdílení informací zítřka, "říká Bill Nelson, prezident Soltra a prezident a generální ředitel společnosti FS-ISAC. "Dnešní hrozba sdílení zpravodajských informací musí probíhat při rychlosti sítě. Je třeba snížit zátěž pro bezpečnostní analytiky a pro menší organizace. Musí být k dispozici pro všechny kritické sektory za účelem sdílení informací v rámci jednotlivých odvětví a také cross-sektoru se zvýšila odolnost před počítačovými hrozbami. "
216 Jimmy Johnovy obchody ovlivněna porušením dat 3.10.2014 Incidenty Populární americký licenční sendvič restaurace řetězce Jimmy John je potvrdila, že utrpěl narušení dat, která ovlivnila přibližně 216 svých obchodů v celé zemi. Společnost byla poprvé oznámena možného bezpečnostního incidentu kreditních a debetních karet údaje zákazníků 30. července , 2014, a soudní znalci okamžitě najal třetích stran, na pomoc při vyšetřování. "Zatímco vyšetřování pokračuje, zdá se, že kreditních a debetních karet údaje zákazníků byla ohrožena poté, co útočník ukradl přihlašovací pověření od Jimmy John je point-of- prodejce prodej a používal tyto ukradené pověření pro vzdálený přístup k systému point-of-sale u některých firemních a franšízy místech mezi 16 června 2014 a 05.9.2014, "společnost sdílí . "karty ovlivněné touto událostí se zdají být ty Přijata v obchodech, a nezahrnoval ty karty ručně, nebo on-line. Informace o kreditní a debetní karty se jedná, může obsahovat číslo karty a v některých případech se jméno držitele karty, ověřovací kód, a / nebo karty datum expirace. Informace vstoupil on-line, jako je adresa zákazníka, e-mail a heslo, zůstanou v bezpečí. " Společnost říká, že jsem obsahovalo kompromis, a že budou instalovat šifrované Přejeďte strojů, provádění vylepšení systému a přezkoumávat své politiky a postupy pro jeho dodavatelů třetích stran s cílem zabránit podobných porušování v budoucnosti. Jak se dalo očekávat, které již byly poskytnuty bezplatné služby ochrany identity pro všechny zákazníky, kteří používají kreditní / debetní karty v jednom z Jimmyho Janových místech v uvedených termínech, a mají varoval potenciálně zasažených uživatelů phishing e-maily a hovory, které by mohly obdržet v důsledku tohoto oznámení. Podle Brian Krebs , dodavatelem point-of-prodej, jejichž log-in pověření bylo ohroženo je Pensylvania založené Signature Systems.
Spotřebitelé stále vinu společnosti za porušení dat 3.10.2014 Incidenty Kupředu, každá firma zapojená do hlavní datové porušení, které se skutečně napadl, jako jsou maloobchodníci Home Depot, cíl, dobré vůle a Neiman Marcus, stejně jako banky, zdravotní péče, pojištění a poskytovatele služeb internetu, atd, se bude platit ještě vyšší cenu, pokud jsou informace zákazníků ohrožena. Ve skutečnosti, každý high-profil hack vybírat svou daň na Executive Suite a spodní linie podobně, říkají výsledky průzkumu provedeného HyTrust. Z průzkumu vyplývá, že více než polovina všech respondentů, 51%, bude mít své podnikání jinde po porušení, který ohrožuje osobní údaje, včetně adresy, čísla sociálního pojištění, a údaje o kreditní kartě. téměř tolik, 45,6% tvrdí, že zúčastněné podniky by měly být považovány za "kriminálně nedbalé" v okamžiku, kdy dojde k porušení, se většinou také věří, že všichni důstojníci společnosti by měl být odpovědný. více než třetina, 34,2% si myslí, nejhorší údaj být ohroženy, je číslo sociálního zabezpečení (SSN). Tato zjištění jsou významná, jelikož otázka bezpečnosti dat je celé titulky ... znovu. Jen tento měsíc, maloobchodní gigant Home Depot se stal poslední obětí masivní kybernetické útok, a my teď víme, že je to potenciálně největším maloobchodním narušení bezpečnosti v historii. Společnost uznala, že long-running, sofistikovaný hack s průniky počínaje zpět v dubnu za použití vlastní-postavený malware vedly k odcizení několika 56000000 kreditních a debetních karet. To by znamenalo, že předčí dokonce i ohromující ztráty plynoucí z útoku na cíl pozdě v roce 2013. Ta epizoda vedlo k velkým změnám v Executive Suite; to se teprve uvidí, jaký vliv nejnovější objevy z Home Depot bude mít, ale je pravděpodobné, že bude těžké. "Tam asi není jediný slámy, která rozbila velbloudí záda, je to jen naprostý objem příběhů o narušení dat, mnozí na společnosti, které vyvinuly zbrusu zákazníka příjemný, "řekl Eric Chiu, prezident na HyTrust. "Co je toto hlasování ukazuje, že společnosti jsou nakonec a nevyhnutelně, že se na účet svých bezpečnostních chyb. Spotřebitelé mají možnosti, a když tam jsou nekonečné příběhy o ztrátě důvěrných informací, jdou do jiných dodavatelů. Každé narušení bezpečnosti má zjevně přímý dopad na provoz, ale je tu nyní jasné důkazy o tom, že tam je rozsáhlé poškození značky stejně, a manažeři podílející se budou muset zaplatit. " Každá otázka dotázaných 2000 respondentů, který nabízí jasný výhled na rozvíjející se spotřebiteli způsob myšlení týkající se této složité problematice. Například:
Jednou je dost: Většina spotřebitelů (45,6%) za zlé, že společnosti, které se v okamžiku, kdy k porušení dat dochází, zatímco pouze 12% Potlacit odsouzení, dokud "to se stává více než jednou." Navíc tato ukazování prstem se zvyšuje s věkem, s 34% z 25 až 34 rok věku, kterým se okamžité vinu verše 51% těch 65 a nahoru. Více spotřebitelům, ale více odpouštět mají tendenci být; Horní odpověď pro ty, kteří $ 150K nebo více posunul k "když se to stane více než jednou." Vina je také více vehementně se zaměřil na porušené společností, pochopitelně, když je identita člověka odcizení nebo zneužití. Příjmy a pohlaví Oblast: Vyšší výdělky se více zajímají o své SSNs: 36.5% těch, kteří učinili $ 50k- 74 dolarů citovat tento potenciální krádež jako nejzávažnější, zatímco klesá na 22,8% mezi těmi, takže $ 24k nebo méně. Mezitím žen (17,9%) jsou dvakrát častěji než u mužů (9,6%), se starat o ztrátu rodinné fotografie a upomínky. Mluvit s jejich peněženky: Zatímco 51% respondentů celkově říci, že budou mít své podnikání jinam po porušení dat, toto číslo vyskočí na 60,2% mezi spotřebiteli v 35-44 věkovém rozmezí. Toto zjištění, která se zaměřuje na klíčové demografické, by měla dát maloobchodníci a další potenciální cíle významný důvod k obavám. Chief Security Officers (OOS / CISO) berou na vědomí: Když zeptal se, kdo především by se měla konat "konečnou zodpovědnost" za chyby v informační bezpečnosti, 19,7% respondentů nedělají rozdíl mezi pracovníky s různou odpovědností a ukázal prstem na ' všichni důstojníci "společnosti. Avšak muži a ženy ve věku od 25 do 34 identifikovat organizace občanské společnosti jako nejvíce zodpovědný, zatímco v 45 - 54 věkové skupiny jít nejjednodušší na ně. Správní rada vystupuje jednoduché: radě společnosti Představenstvo je hodnocena jako právnické osoby nejvíce "z obliga", pokud jde o odpovědnost za porušení dat.
Energie IT profesionálové ukazují překvapující optimismus 3.10.2014 Incidenty Tripwire oznámila výsledky průzkumu 104 účastníků na summitu EnergySec bezpečnosti v Texasu. průmysl výzkum ukazuje, většina porušení jít neobjevený týdnů, měsíců nebo i déle. Přes tento důkaz, 66 procent respondentů věří, že by mohli odhalit porušení dat v kritických systémů v týdnu:
23 procent uvedlo, že bude trvat méně než 24 hodin 24 procent uvedlo, že bude trvat méně než 72 hodin 19 procent uvedlo, že bude trvat méně než týden. 10 procent respondentů uvedlo, detekce narušení dat bude trvat měsíc, 9 procent uvedlo, že by se za tři měsíce a 15 procent nebyli jisti, že by mohla odhalit porušení. "Výsledky průzkumu odrážejí překvapující optimismus," řekl Steven Parker, prezident EnergySec , nezisková organizace se tvořila podporovat organizace v rámci energetického sektoru při zajišťování jejich kritické technologické infrastruktury. "Detekce útoků je zásadní schopnost, a myslím, že je mnohem více práce je třeba udělat v této oblasti, než si většina organizací realizovat." Podle Mandiant 2014 M-Trends 2014: Za zprávy Porušení hrozeb zapotřebí průměrná doba na detekci porušení je 229 dnů . Ve zprávě se také uvádí, že počet firem, které zjištěn jejich vlastní porušení klesl z 37 procent v roce 2012 až 33 procent v roce 2013. "Vždycky říkám, že důvěra není kontrola, a naděje není strategie," řekl Dwayne Melancon, CTO pro Tripwire. "Bohužel, tato data naznačují, že mnoho odborníků v oblasti energetické bezpečnosti jsou příliš naděje na jejich vlastních schopností kybernetické bezpečnosti."
Nejlepší tipy na ochranu systémů před zneužitím důvěrných informací 2.10.2014 Incidenty 2014 Verizon dat Porušení Vyšetřování Zpráva odhalila znepokojující trend, což je skutečnost, že přístupová práva uživatelů se staly slabým místem v bezpečnostních politik pro většinu organizací. Zpráva potvrzuje tento trend tím, že řekne, že 88% bezpečnostních incidentů byly způsobeny nesprávným zasvěcených, také ukazuje, že pouze 9% z úniku dat byly objeveny díky neustálému auditu IT systémů. Problematika insider hrozeb zhoršuje s tím, že porušení může trvat od několika dnů až týdnů, aby se objevil, a v některých případech bude let projít až zjistíte, že citlivé informace byla prozrazena. Současně, podle zprávy 2014 InfoWorld Navigace IT, i když 89% IT profesionálů připustit nutnost investic do zabezpečení, pouze 44% velkých podniků a 13% malých a středních podniků ve skutečnosti plánují investovat a prosadit svou bezpečnostní politiku v blízké budoucnosti. Vzhledem k tomuto trendu, NetWrix vysvětluje, proč sledování přístupových práv na pravidelné základ a ochranné systémy proti obchodování zasvěcených zneužití je pro organizace všech velikostí. Chcete-li pomoci společnostem vyhnout se bezpečnostních incidentů a jejich ničivé důsledky, akcie NetWrix tři z nejlepších otázek, každá firma by měla být schopna odpovědět kladně na zajištění ochrany citlivých dat proti obchodování zasvěcených hrozby: Myslíte si, sledovat "činnost pravidelně? uživatelských účtů - to je důležité pro firmy, kde je počet uživatelských účtů se neustále mění, nebo pokud v důsledku vnitřních směny uživatelů oprávnění jsou pravidelně aktualizovány. Rizika se často ukrývají v aktivních účtů bývalých zaměstnanců a na účtech s redundantní oprávnění. Máte-li sledovat změny v rámci celé IT infrastruktury, budete mít kompletní přehled o tom, kdo provedl změnu, stejně jako kdy a kde byly provedeny změny; proto můžete sledovat jakýkoliv škodlivý účinek. Víte, vaše data a kdo má k němu přístup? - zrychlující se objem bezpečnostních incidentů, které byly způsobeny nesprávným použitím oprávnění ukazuje, že společnosti jsou vědomi nejen o tom, kdo má přístup k údajům, ale i tam, kde se tato data uložena, nahrané a sdílené. Sledování infrastruktury a sledování změn IT provedené citlivých dat vám pomůže minimalizovat narušení zabezpečení. Jsou vaši zaměstnanci vědomi toho, že jejich činnost je sledována? - Tento postup by měl být určitě součástí bezpečnostní politiky každé společnosti. Publikování anonymní zprávy a jejich sdílení mezi zaměstnanci vysvětluje lépe než slova, že každý je zodpovědný za bezpečnost dat, a to nutí zaměstnance, aby ovládat své jednání. "I s tím nezbytnosti chránit citlivá data, jen málo firem si uvědomuje, že je infrastruktura by měla být přijata pod kontrolou. Bohužel, mnohem méně z nich sledovat změny a kontrolovat přístupová práva uživatelů, "řekl Michael Fimin, generální ředitel a spoluzakladatel NetWrix. "Nicméně, s IT systémem audit na pravidelné umožňuje dávat pozor na všechny nebezpečné změny. S kompletní přehled v celé IT infrastruktuře usnadňuje nejen vyšetřování v případě narušení bezpečnosti dochází, ale také zaručuje, že vaše citlivá data jsou pod stálou kontrolou.
Hackeři pronikli systémy klíčových vojenských zakázkách 29.9.2014 Incidenty Hackeři spojené s čínskou vládou úspěšně pronikli do počítačových systémů dopravy USA velení dodavatelů alespoň 20 krát v jednom roce, průniky, které ukazují, zranitelná místa v systému armády rozmístit vojáky a vybavení v krizi, vyšetřovací komise Senátu branného našel . Vyšetřování celoroční zjistil, že TRANSCOM, který je zodpovědný za globální pohyb vojáků a vybavení v USA, si byl vědom pouze dvou z těchto průniky. Dále bylo zjištěno, mezery v požadavky a nedostatek sdílení informací mezi vládními subjekty, které opustily příkaz z velké části vědomi počítačových kompromisů Číny dodavatelů, které jsou klíčem k mobilizaci a nasazení vojenských sil hlášení. "Musíme zajistit, aby kybernetické útoky nemohou narušit Naším posláním připravenost "řekl senátor Jim Inhofe, R-OK, postavený člen výboru. "Je důležité, že jsme dali na místo centrální clearinghouse, který usnadňuje pro kritické dodavatele, zejména těch, které jsou malé a střední podniky, hlásit podezřelé kybernetické aktivity bez přidání zátěže svých operací na podporu mise." vyšetřovací komise zaměřené na malé -recognized ale životně důležité americké vojenské aktiv: schopnost proniknout civilní leteckou, lodní a jiných dopravních prostředků rychlého nasazení amerických sil v dobách krize. Prostřednictvím programů, jako je například civilní rezervního letadlového parku, obchodních dopravních společností, z nichž někteří dělají málo nebo žádný OS ČR, vztahující se k podnikání v době míru, staly klíčovými prvky plánů TRANSCOM pro dojemné vojáky a zařízení po celém světě. Výbor zjistil, že v 12 -month období, které začíná 01.6.2012, tam bylo asi 50 útoky nebo jiné kybernetické události do počítačových sítí dodavatelů TRANSCOM. Nejméně 20 z nich bylo úspěšné útoky připisované na "pokročilé trvalé hrozby", termín používaný k označení sofistikované hrozby obyčejně spojený s vládami. Všechny tyto zásahy byly přičítány do Číny. Mezi zjištění šetření, je:
Čínská armáda vniknutí do TRANSCOM dodavatele v letech 2008 a 2010, že ohrožení e-maily, dokumenty, uživatelské heslo a počítačového kódu. 2010 vniknutí čínské armády do sítě a CRAF dodavatele, ve kterém byly odcizeny doklady, údaje o letu, pověření a hesla pro šifrované e-maily. 2012 čínská armáda vniknutí do více systémů na palubě obchodní lodi smluvně TRANSCOM. Šetření ukázalo závažné nedostatky ve sdílení informací týkajících se kybernetické průniky. Průzkum výbor malou podmnožinu dodavatelů TRANSCOM objevil 11 vniknutí do Číny do dodavatelských sítí. Při šetření bylo rovněž zjištěno, že FBI nebo DoD byli vědomi nejméně devět dalších úspěšných zásahy ze strany Číny do dodavatelů TRANSCOM. Z těchto 20 průniky, TRANSCOM byl jen upozorněn dva. To rozdíl byl částečně výsledkem dodavatelů a TRANSCOM chybí společné chápání toho, co útoky by měly být hlášeny TRANSCOM. Také DoD agentury nemají jasnou představu o tom, jaké informace o počítačové zásahy mohou a měly by být sdíleny s TRANSCOM a dalších agentur v rámci oddělení. Výbor rovněž zjistil, že hlášení cyber narušení požadavky jsou zaměřené na zásahy, které ovlivňují DoD data. Někteří dodavatelé TRANSCOM, jako je několik craf leteckých společností, ale mohou dělat jen málo nebo žádný obchod s armádou až do vyzval v krizi. V době míru útoky na ty společnosti, se nemůže vztahovat na okamžitou ztrátu vojenských informací, ale mohl opustit ty společnosti, zranitelné ke ztrátě informací nebo narušení provozu, jsou-li aktivován na podporu vojenských operací. V reakci na zjištění šetření,, výbor zahrnoval ustanovení v jeho znění zákona o národní obrany povolení pro fiskální rok 2015 zaměřené na řešení mezer podávání zpráv a zlepšit způsob, jakým ministerstvo šíří informace o kybernetické průniky do počítačových sítí provozně kritických dodavatelů. "Národní státy a zločinecké syndikáty se nás útočí. Je to stejně důležité v dnešním světě na ochranu kritických informačních systémů a infrastruktury naší země, jak je chránit námořní koridory a zahraniční ekonomické zájmy, "řekl Carl Wright, generální ředitel TrapX bezpečnosti, dříve CISO americké námořní pěchoty.
jQuery.com Kompromis: Nebezpečí třetí strany Moderuje obsah 24.9.2014 Incidenty jQuery je populární rámec Javascript, používá mnoho webových stránek (včetně isc.sans.edu). jQuery poskytuje mnoho funkcí, jako je snadný přístup k webservices, stejně jako pokročilé funkce uživatelského rozhraní. Pokud používáte jQuery, stránky mají možnost stáhnout a hostit kompletní kód, nebo nechat jQuery.com a je to CDN (Content Delivery Network) hostit kód.
Tam jsou dvě výhody umožňující jQuery.com hostit kód:
Výkon: Kód je obvykle doručena rychleji a uživatel již může mít kód mezipaměti když navštívil jinou stránku, která používala CDN hostil kopii jQuery. Automatické aktualizace: Aktualizace jQuery jsou tlačeny k CDN vývojáři jQuery a webových stránek pomocí to bude automaticky dostávat aktuální kopii. Na druhé straně, tam je důležitý nedostatek, a hlavní důvod, proč jQuery kód isc.sans.edu je hostována na našich serverech: S kód je "naslepo" v ceně od třetí stránky třetích stran, je možné, že kompromis této třetí místo strany bude mít vliv na bezpečnost vašich stránek.
Je smutné, že právě to se stalo v souladu s RiskIQ s jQuery.com [1]. Webové stránky byly napadeny a škodlivý kód byl injekčně přesměrování uživatele na škodlivé stránky. Naštěstí, knihovna jQuery nebyla ovlivněna. V opačném případě by se mnoho dalších lokalit byly odhaleny, a by byly ovlivněny návštěvníci těchto stránek. Tak je tomu zejména štěstí jako útok se zdá být cílené. Doména přesměrování použitá v tomto útoku byl jQuery-cdn.com. Že doména byla zaregistrována v den útoku byla poprvé všiml.
Particulary o je fakt, že jsem nemohl najít žádné prohlášení o útoku na jQuery.com. Pokud někdo má odkaz, dejte mi prosím vědět.
Freenode trpí porušení žádá uživatele, změnit svá hesla 24.9.2014 Incidenty Populární IRC síti Freenode utrpěl narušení bezpečnosti a žádá uživatele, změnit svá hesla, protože by mohl být ohrožen. "Dneska freenode infra tým všiml anomálii na jednom IRC server. Od té doby jsme zjistili, že to svědčí o Server je ohrožen neznámou třetí osobou, "zaměstnanci zveřejnil vysvětlení toho, co se stalo v sobotu. "Okamžitě jsme zahájili šetření zmapovat rozsah tohoto problému a nachází se podobné problémy s několika dalšími stroji a vzali ty offline. Pro Nyní, protože provoz v síti může být přičichl, doporučujeme, aby všichni změní své NickServ heslo jako preventivní opatření. "
"Vzhledem k tomu, může být přičichl provoz, můžete také chtít, aby zvážila všechny klíče kanálů nebo podobné tajné informace vyměňované po síti," dodali, a slíbil, že informuje uživatele o aktuální situaci v dané situaci. FreeNode se zaměřuje na podporu svobodných a open source softwarových projektů a je největší IRC síť na světě, čítající 80.000 a 90.000 uživatelů. Pokud jste uživatel FreeNode a použít správce hesel, zvažte výběr dlouhý a složitý heslo pro všechny vaše on-line účty. V FreeNode případu, heslo může obsahovat tolik jako 79 znaků.
Masivní únik Gmail pověření není v důsledku porušení 22.9.2014 Incidenty Do teď, možná jste slyšeli, že došlo k úniku několika téměř 5 milionů uživatelské jméno a heslo kombinace spojené s účty Google. Podle RT zprávy , data byla k dispozici ke stažení na ruské bezpečnostní fórum Bitcoin uživatelem, který řekl, že 60 procent z kombinace jsou stále platné. Uživatelé Reddit byly komentovat únik na niti, která od té doby byla odstraněna, někteří říkají, že se jim podařilo nalézt jejich pověření mezi unikly jednou, jiné za zmínku, že hesla v pochybnost byly ty staré , jiní ještě prohlašovat, že oni nikdy použity zahrnuta hesla jejich účtů Google a positing že unikly pověření bylo pro jiné online účtů. Mezitím, Google již vyšetřuje únik a došel k závěru, že jejich systémy nebyly ohroženy. "Jeden z nešťastných skutečností na internetu je dnes jev známý v bezpečnostních kruzích jako "pověření dumps'-vysílání seznamů uživatelských jmen a hesel na webu. Neustále monitorování těchto skládek, abychom mohli rychle reagovat na ochranu našich uživatelů . Tento týden jsme identifikovali několik seznamů prohlašovat, že obsahují Google a pověření jiných poskytovatelů připojení k internetu "," tým Google Spam a zneužívání komentoval na svém blogu ve středu. "Zjistili jsme, že méně než 2% z uživatelského jména a hesla kombinací mohlo fungovat a naše automatické anti-Únos systémy by zablokoval mnohé z těchto pokusů o přihlášení. Jsme chráněná dotčené účty a vyžadovaly těmto uživatelům resetovat jejich hesla. " Oni vyzval, aby uživatelé používali silné, jedinečné heslo pro svůj účet Google a zvážit ověření 2-krokem ke zvýšení jeho bezpečnosti. Výzkumníci z CSI bezpečnosti Skupina se analyzují na trove a odhadují, že údaje, které jsou se datuje stejně jako tři roky. "Nemůžeme potvrdit, že je to opravdu až 60 procent, ale velké množství uniklých dat je legitimní," komentoval CSIS CTO Peter Kruse. Podle jejich analýzy, většina přihlašovací údaje patří USA a uživateli ve Velké Británii. Uživatelům se doporučuje změnit své heslo Google a změnit heslo spojené s účtem, kde použili svou adresu služby Gmail jako uživatelské jméno. Kdykoli je to možné, uživatelům se doporučuje nastavit dvoufaktorovou autentizaci.
Home Depot porušení potvrdil, odcizení info použít pro změnu PIN, sbírat peníze 20.9.2014 Incidenty V stručným prohlášením , a nechutně opakované dotazy , Home Depot potvrdila, že utrpěl porušení svých systémů datových platby. Porušení může ovlivnit každého zákazníka, který má od útočníka dubna používal jejich platební kartu společnosti USA a Kanadské obchody. Zákazníci, kteří nakupovali on-line na HomeDepot.com a ti, kteří nakupovali v mexických obchodech společnosti pravděpodobně nebudou ovlivněny. Po ujištění zákazníkům, že jejich kontrola informací a PIN vázána na jejich debetních karet nebyly ohroženy porušením, společnost má, nicméně, vyzval uživatele, aby přezkoumaly své výpisy z účtu za podezřelých transakcích. Nakonec, oni se o to si uvědomit, že potenciálně dotčených zákazníků nebude zodpovědný za jakékoliv podvodné poplatky na svých účtech, a oni budou nabízeny zdarma Identity Protection a sledování úvěrových služeb. Žádné další podrobnosti o porušení samo o sobě dostali, tak to je ještě nepotvrzená, zda útočníci použili variantu BlackPOS (nebo Kaptoxa) malware pro sběr dat z platebních karet, jako anonymní zdroje hlášeny. Malware v pochybnost byl použit v Target porušení , a novější varianta byl spatřen se maskuje jako AV služeb. Ale fakt, že útočníci nedokázali dostat své ruce na PIN debetní karty znamená málo, jako počet banky potvrdily, že karty klonované pomocí ukradených údajů jsou používány po celém světě vybrat peníze z bankomatu. Jak je to možné? "data karty ukradené od zákazníků Home Depot a nyní k prodeji na prodejně činu Rescator [dot] cc zahrnuje jak informace potřebné pro výrobu padělané karty, stejně jako celé jméno legitimní držitele karty a město, stát, a ZIP úložiště Home Depot, ze kterého byla karta ukradený, " vysvětluje Brian Krebs. "PSČ údaje z obchodu je důležité, protože umožňuje, aby protivníci rychle a přesněji lokalizovat číslo a datum narození držitele karty za použití trestní služby v podzemí sociálního zabezpečení, které prodávají tyto informace." Zločinci používají vše Informace o trik automatické volání-in systém bank změnit PIN ke kartě. Tyto typy systémů zjistit totožnost volajícího kontrolou, zda telefonní číslo, ze kterého byl hovor, je stejný, kdo mají o souboru a uživatelé požadavek zadejte 3-místné ověřovací karta hodnoty karty, datum její platnosti, datum zákazníka narození a poslední čtyři číslice čísla sociálního zabezpečení zákazníka. Bohužel, změny mohou být provedeny, i kdyby tři z těchto pěti typy informací jsou k dispozici a jsou správné, a podvodníci mohou poskytnout jim. Některé banky začaly žádá všechny tyto bezpečnostní kontroly, které mají být vymazány před povolováním jakékoli změny na účtech, které mají být provedeny, ale.
Uživatelé eBay byli přesměrováni na podvodný web
18.9.2014 Incidenty Experti upozornili na nové bezpečnostní riziko na největším aukčním portále světa eBay – někteří uživatelé byli po kliknutí na legitimní odkaz z eBay přesměrováni na web, který krade přihlašovací údaje.
Podvodná webová stránka vypadá zcela identicky jako eBay. Aukční portál byl o bezpečnostním riziku informován ve středu, aukce s nebezpečnými odkazy však odstranil až po telefonátu BBC další den. Bezpečnostní experti proto byli překvapeni, jak dlouho eBay trvala odezva. „eBay je velká společnost, která by měla mít tým připravený nepřetržitě,“ uvedl Steven Murdoch z Výzkumné skupiny zabezpečení informací University College v Londýně, jenž byl schopen podvodné aukce ještě před jejich odstraněním analyzovat.
U podvodných aukcí byla použita technika známá jako cross-site scripting (XSS), v rámci níž útočník vloží do vytvořené aukce s určitým produktem nebezpečný javascriptový kód. Ten následně automaticky přesměruje postížené uživatele skrze sérii jiných webových stránek na web téměř nerozeznatelný od legitimnéch stránek eBay. Zde je po uživateli žádáno zadání přihlašovacího jména a hesla. „Webové stránky, na něž je uživatel přesměrován, jsou téměř jistě útočníky používány k zakrytí stop,“ uvedl Murdoch a dodal, že falešná webová stránka, na niž byli uživatelé nakonec přesměrováni, obsahovala kód, díky němuž by bylo možné podniknout i další útoky.
„I když obvykle je eBay na útočníky dobře připraven, zde ho nachytali,“ dodal Murdoch. „Cross-site scripting je zcela jistě mezi top 10 bezpečnostními riziky, na něž si vlastníci webových stránek musejí dávat pozor.“ Mluvčí eBay se snažil nebezpečnost útoku zlehčit. „Nebezpečná byla pouze jedna jediná aukce na eBay.co.uk, do níž útočník integroval odkaz, který uživatele přesměrovával pryč z eBay,“ řekl mluvčí. „Bezpečnost na našem aukčním portálu bereme velmi vážně a aukci jsme ihned odstranili.“ BBC se však podařilo najít další dvě podvodné aukce, které vytvořil ten samý uživatel.
Na bezpečnostní riziko na eBay jako první upozornil Paul Kerr, který pracuje v IT a na eBay prodává jako „PowerSeller“. Aukční server Kerr kontaktoval krátce poté, co klikl na odkaz v jedné z aukcí a byl přesměrován. Kerrovi se na podvodné stránce ihned něco nezdálo. Jak však dodal, řada neopatrných uživatelů mohla útočníkům jednoduše naletět. „Někdo na podvodném webu své údaje určitě zadal. Nemůžete vědět, kolik ze stovek tisíc uživatelů eBay na odkaz kliklo,“ řekl Kerr, který celý proces přesměrování z eBay na podvodný web nahrál na video a umístil na YouTube.
Kaspersky odhalí hacknutí webové kamery či zranitelné Wi-Fi
17.9.2014 Incidenty Novou verzi antimalwaru pro spotřebitele a SOHO představil Kaspersky Lab. Internet Security – Multi-Device 2015 chrání před riziky zařízení s Windows, OS X i Androidem.
Novinka obsahuje řadu nových technologií, které zlepšují úroveň ochrany před šifrovacím malwarem, zabraňují sledování uživatele webkamerou a ochraňují před riziky připojení k zranitelným Wi-Fi sítím.
Například funkce Webcam Protection proto monitoruje aplikace snažící se o připojení k webkameře, varuje před pokusy o přístup a v případě potřeby jej zablokuje (u Windows).
Modul System Watcher zase analyzuje všechny procesy spuštěné v operačním systému a obsahuje také funkci zálohování dat. Pokud odhalí podezřelý program pokoušející se změnit uživatelská data, okamžitě vytvoří zálohu souboru, kterou není možné změnit. Pokud další sledování naznačí, že daný program byl škodlivý, veškeré změny budou vráceny zpět (funguje u OS Windows).
A modul Wi-Fi Security Notification ověřuje přístupové body Wi-Fi a upozorňuje uživatele na možné hrozby – jako například zranitelné síťové připojení nebo přenos nezabezpečeného hesla na internetu.
Další funkce Internet Security – Multi-Device 2015 podle výrobce:
Vylepšení ochrany peněžních transakcí Safe Money. Ta nově blokuje přístup aplikací třetích stran do schránky webového prohlížeče, která může dočasně obsahovat citlivá data (například kopie přihlašovacích údajů). Safe Money nadále chrání před odezíráním obrazovky, škodlivými rozšířeními prohlížeče a dalšími potenciálně rizikovými doplňky (u Windows). Pro uživatele placených Wi-Fi sítí a 3G či LTE připojení řešení obsahuje funkci Cost-Aware Networking, která snižuje množství dat odeslaných přístrojem přes internet (platí pro Windows 8 a výše). Vylepšení technologie anti-phishingového modulu chránícího před nechtěnými škodlivými stránkami v oblasti analýzy textu, obrázků a odkazů. Hlavní menu a rozhraní jsou nyní jednotné ve všech produktech. Uživatelé tak mohou ovládat zabezpečení snadněji – ať už jsou jejich platformy, verze produktů či zařízení jakékoliv. Kaspersky Lab také zlepšila efektivitu a snížila nároky na systémové zdroje bez vlivu na výkon operačního systému nebo úroveň zabezpečení.
HealthCare.gov porušení ovlivněn Test serveru, nikoli uživatelé 16.9.2014 Incidenty Server v systému Healthcare.gov byla narušena, ale dobrá zpráva je, že neobsahuje spotřebitele osobní údaje. To byl jen vývoj server, který byl neměl být on-line, ale byl, a nebyl správně nakonfigurován a stále přijaté výchozí pověření, ČSÚ zprávy . porušení došlo v červenci a byl objeven 25. srpna během plánované Security Scan. Povaha malwaru, že útočníci zasadil na serveru a skutečnost, že to zůstalo v nečinnosti pomohlo to zůstat pod radarem tak dlouho. malware v otázce nebyl schopen exfiltrating informace - to bylo prostě chtěl lano serveru do botnet a používat jej pro rozesílání spamu a dělat to účastnit se útoků DoS, úředníci na amerického ministerstva zdravotnictví a sociálních služeb řekl. "Přijali jsme opatření k dalšímu posílení bezpečnosti," mluvčí útvaru zajištěno. Bylo by Zdá se, že útočníci se nezaměřuje výslovně na místo Healthcare.gov, ale byl až poté, co doplněk k jejich botnetu. "Kdyby se to stalo kdekoliv jiné než HealthCare.gov, nebylo by to zpráva, "uvedl senior Department of Homeland Security oficiální. HealthCare.gov, který je provozován v rámci federální vlády Spojených států, slouží jako on-line zdravotní pojištění výměny, kde obyvatelé USA můžete vyhledat soukromé zdravotní pojištění plány nebo, v případě, že vydělávají méně než čtyřnásobek federální hranice chudoby, mohou žádat o dotace a další podmínky pro Medicaid.
Krádeže v odlehlých bankovních systémů: Incident vyšetřování 15.9.2014 Incidenty
Stále více firem se ptají Kaspersky Lab provést podrobné šetření bezpečnostních IT incidentů malware související, které ovlivňují jejich podnikání.
V tomto článku si popíšeme typický cybercriminal útok, jehož cílem je krást firemní finanční aktiva ze vzdáleného bankovního systému.
Popis incidentu
Organizace nedávno požádala Kaspersky Lab vyšetřovat incident, ke kterému došlo v jeho firemní vzdáleném bankovního systému: zástupce banky kontaktovat účetní oddělení organizace a požádal o potvrzení platby v hodnotě 3 milionů rublů (asi US 80.000 dolar). Vyšlo najevo, že nikdo v organizaci nikdy neslyšel o této platby. Účetní byl jistý, že on nedělal, že platba; vysvětlil, že byl z jeho přestávka na oběd v době transakce.
Účetní používá bankovní software na svém pracovišti připravit platební příkazy a poslat je do banky. Protokoly o tomto softwaru zaznamenal dvě podezřelé platby na stejnou adresu. První byl relativně malý zaplacení 300.000 rublů. To neznělo žádné poplašné zvony, a byla zpracována bez dotazu. Druhá platba v hodnotě 3 milionů rublů, upozornili zaměstnance u banky společnosti.
Bylo jasné, že účetní neučinila plateb sám, takže organizace podezření malware útoku. Ale jak je to možné? Byli pomocí specializovaného bankovnictví software s ochranou heslem. Jsou zapotřebí speciální soubor, pro přístup ke vzdálenému bankovní systém a banky by samo o sobě zjistit IP adresu odesílatele platby.
Vyšetřování
Hlavním cílem malware vyšetřování incidentů je přesně zhodnotit následky útoku, identifikovat každý napadeného počítače a zjistit, jak přesně malware pronikl oběti počítač (y). Organizace postižených pak může použít tyto informace efektivně zmírnit nedostatky poškození a adres v jeho firemní bezpečnostní systém, aby se zabránilo takové incidenty ze se v budoucnosti.
Během vyšetřování je také někdy možné zjišťovat dosud neznámým malware druhů a připojí svůj podpis k zabezpečení databází, které chrání ostatním uživatelům jejich budoucí dopad.
V tomto případě se obraz pevného disku z počítače Účetní byla poskytována do společnosti Kaspersky Lab Global Emergency Response Team (GERT) pro analýzu a vyšetřování.
Vzdálený přístup k pracovní ploše
Během našeho prvního průchodu analýzu pevného disku účetního znalce, jsme identifikovali upravenou verzi právního Remote Manipulator System , který umožňuje vzdálený přístup k počítači. Tento typ softwaru je často používán účetní a správce systému. Nicméně, tento program se nachází v podezřelé katalogu, měl podezřelý název ("C: \ Windows \ Dotcom \ wmiterm.exe" je příliš "systém související s" cestou, tak i pokročilý uživatel, je nepravděpodobné, že vůně krysa) , a měl dvě úpravy, aby skryli svou činnost:
Ikona na hlavním panelu systému Windows byla skryta, Klíč registru, kde se program uloží jeho konfigurace byl změněn: "HKLM \ SYSTEM \ Remote Manipulator System \ v4" byl změněn na "HKLM \ System \ System \ System \ Remote \ Windows", které opět vypadá velmi podobně jako klíče registru systému na . Tyto změny jsou typické pro malware, a tak jsme přidali podpisy tohoto programu antivirové databáze společnosti Kaspersky Lab - je detekován jako nebezpečný s výrokem "Backdoor.Win32.RMS".
Při analýze provozu Backdoor.Win32.RMS, jsme zjistili, že útočníci používali stáhnout další škodlivý program na oběti počítače, "Backdoor.Win32.Agent". (Tato detekce byla přidána do produktů Kaspersky Lab okamžitě). To za předpokladu, backdoor vzdálené VNC (Virtual Network Computing), přístup k oběti počítače. Zajímavé je, že kód tohoto škodlivého softwaru má hodně společného s modulem "hVNC" na Carberp Trojan. Zdrojový kód Carberp je k dispozici pro přístup veřejnosti.
Tak, jak se Backdoor.Win32.RMS propašovat na plochu účetního je?
Infikování Corporate Desktop
V databázi aplikace Microsoft Outlook, uloženy v souboru "Outlook.pst" na pevném disku, jsme zjistili, e-mail, který obsahuje přílohu s názvem "запрос ИФНС № АС-4-31339.doc" ("Federální daňová služba požádat no. AC- 4-31339.doc "). Kaspersky Lab Anti-Virus zjistil, že dokument Microsoft Office, jako nebezpečný s výrokem "Exploit.MSWord.CVE-2012-0158."
Mezi zločinci používají metody sociálního inženýrství: e-mail byl odeslán ve jménu ruskou Federální daňové služby, vyzval k okamžité akci, a za předpokladu, kontaktní údaje o skutečné daňové služby pracovníků.
GERT_1
"Federální Zdanění služby. Uveďte, prosím, všechny požadované dokumenty co nejdříve."
Účetní by jistě otevřel přílohu, která zneužije chybu zabezpečení v aplikaci Microsoft Word ke stažení samostatně rozbalení archivu ze vzdáleného serveru a pak inicializovat rozbalování. Archiv obsahoval dva soubory: "SYST.EXE", což je přejmenovaný verzi souboru archivačním "7zip" a "SYST".
Během vybalování, archiv zdroj zahájila archivu programu "SYST.EXE 's parametry instruktážní to rozbalit heslem chráněný archiv" SYST "pomocí začleněn heslo. Tento trik pomocí hesla chráněného heslem úspěšně obchází pokusy bezpečnostní software je na statické rozbalování souboru, brání jeho detekci.
Rozbalení "SYST" vytvořila následující: soubor 'Backdoor.Win32.RMS "(který jsme již dříve zjištěný) a skript" INST.CMD ", který nainstalován backdoor v systému. Jedná se o skript, který kopírovat soubory škodlivého programu je do složky "C: \ Windows \ dotcom".
Poté, co jsme zjištěna na zadní vrátka, jsme začali chápat, jak se útočníci mohli ukrást peníze. Pokud by měl vzdálený přístup k počítači, mohou mít, aby jejich vlastní platební příkaz, a pak soubor s klíčem a IP adresa odesílatele by bylo oprávněné. Ale my jsme ještě nevěděli, jak se zločinci dostali heslo pro přístup k bankovní software. Rozhodli jsme se podívat na keylogger programu.
Keylogger
Soubor 'Svchost.exe "přitahoval pozornost, který se nachází v kořenovém adresáři systémového disku. Ukázalo se, že keylogger (detekce přidána s výrokem "Trojan-Spy.Win32.Delf '); je také obsahoval funkce pro řízení konfigurace Backdoor.Win32.RMS. Tato neobvyklá schopnost zřejmě představeno zločinci, protože potřebovali nástroj pro řízení upraveného Remote Manipulator System: ukryli kompletní uživatelské rozhraní tohoto programu a použít jej pro správu konfigurace.
Také jsme zjistili, že tento keylogger byl stažen pomocí Backdoor.Win32.RMS.
Keylogger poslal protokol obsahující veškeré ukradené informace C & C v pravidelných intervalech, a stále up-to-date kopii záznamu na pevném disku infikovaného počítače. Zjistili jsme, bankovním heslo do hromady informací ukradli keylogger.
Bitevní plán
Po našem výzkumu jsme rekonstrukci akční plán počítačovými zloději ":
Mezi zločinci zahájili cílený útok pomocí sociálního inženýrství a aplikace Microsoft Word zranitelnost infikovat počítač účetnímu je s Backdoor.Win32.RMS. S pomocí tohoto backdoor, že zločinci načíst další dvě škodlivé programy do počítače oběti: keylogger (Trojan-Spy.Win32.Delf) a jiným backdoor (Backdoor.Win32.Agent), který stanoví, vzdálený VNS přístup k oběti počítače. Keylogger zachytil heslo ke vzdálenému bankovní účet. Zatímco účetní byl od svého počítače, se zločinci používají Backdoor.Win32.Agent a přístup VNS k počítači spustit bankovní software jménem účetní. Mezi zločinci používali heslo zachycuje keylogger pro vytvoření příkazu k úhradě v hodnotě 300 tisíc rublů a odeslat do banky. O něco později, se vytvořil další platební příkaz, tentokrát v hodnotě 3 milionů rublů, a poslal jej do banky. Jak jsme se dostali ke konci šetření jsme zjistili, ještě jeden zajímavý fakt: IP-adresy C & C servery pro všechny škodlivých programů používaných v útoku patřil do stejné podsítě.
GERT_2
Schéma cybercriminal útoku
Také jsme zjistili, že zločinci velmi rychle jednal: trvalo jim jen čtyři dny plnit své plánované trestné činnosti. Tři dny strávil přípravou, a plán byl proveden během několika hodin na čtvrtý den.
Den 1. zločinci poslal e-mail na účetní společnosti. Účetní přečíst e-mail, otevřel přílohu a škodlivého programu Backdoor.Win32.RMS byl stažen do svého programu. V následujících dnech se zločinci použít tento program pro sledování činnosti účetní je.
Den 4. zločinci používají Backdoor.Win32.RMS načíst keylogger Trojan-Spy.Win32.Delf oběti počítači a zachytil heslo k bankovnímu softwaru. Brzy poté naložili Backdoor.Win32.Agent a používal to, aby připojení k počítači účetního znalce. A poslali platební příkazy z obětí počítače do banky.
Oznamující obětí kybernetických zločinců "
Vzhledem k tomu, útočníci použili několik IP adres ze stejné podsíti, rozhodli jsme se blíže podívat na serveru C & C. Jak se ukázalo, že zločinci udělali chybu při konfiguraci jeden ze serverů, takže každý uživatel může vidět HTTP požadavků na servery C & C. To je, jak jsme byli schopni vystopovat IP adresy, ze kterých byly žádosti odeslané pomocí protokolu Keylogger je. Jak jsme zjistili, tam bylo několik počítačů s různými IP adres infikovaných virem keylogger.
Byl tam jeden zvláštní rys tohoto keylogger: když to bylo vypuštěno v infikovaném počítači, stáhnout nejnovější verzi svého protokolu ze serveru C & C. Proto každý uživatel mohl zkontrolovat log keylogger pokud otevřeli příslušnou URL adresu ve svém webovém prohlížeči. Rozhodli jsme se, že mají blíže na HTTP požadavků posílaných na serveru C & C, a v nich jsme našli názvy protokolů, které jsou keyloggery odeslaných na server C & C. V mnoha případech, protokoly obsahovaly název organizace, která vlastnila infikovaný počítač a "kontakty (Mohli bychom také obětí obětí IP adresy pomocí zranitelnosti na serveru C & C). Tato informace se nám podařilo kontaktovat další oběti (většina z nich byla účetní na malé a střední podniky), a varují, že jejich počítače byly infikovány. Oni byli velmi vděční za informace.
Vlastnosti bankovních útoků
Jak jsme řekli na začátku tohoto článku, tento útok je typický případ krádeže peněz z firmy.
Počítačoví zločinci aktivně využívat sociální inženýrství vybízely uživatele k otevření souboru škodlivý. Pracovníci, kteří se zabývají komerčně důležité informace a zpracovávat finanční společnosti potřebují školení o základech bezpečnosti IT. Společnost musí zavést bezpečnostní politiku, která by minimalizovala riziko zaměstnanců nedbalosti způsobuje infekci v podnikové síti.
Při útoku důležité cíle, zločinci mohou využívat nové exploity pro dosud nepublikovaných zranitelnosti. V takových případech pravidelně detekční nástroje útoku, jako IDS, není dost dobrý. Nicméně, 0-day exploity jsou příliš drahé používat při útocích na pravidelných společností. Zde se obvykle vidět využije pro známé zranitelnosti. To znamená, že jednoduché kroky, jako je neprodleně aktualizaci softwaru (zejména Microsoft Office a Java) a instalaci bezpečnostní řešení kvality může zajistit odpovídající úroveň ochrany.
Ještě dalším znakem tohoto útoku je to, že zahrnuje právní software. Jedná se o rostoucí trend: vidíme zločinci používají legitimní aplikace získat vzdálený přístup k počítači oběti před stažením a spuštěním škodlivých souborů na nich. Bezpečnostní produkty samozřejmě nebude vlajku použití legitimní software. Takže zločinci mohou používat tyto aplikace, ve snaze udržet své operace v tajnosti. V tomto útoku, tajemství bylo zajištěno pomocí verzi Remote Manipulator System s úpravami do svého spustitelného souboru. Přidali jsme podpis pro tuto upravenou verzi Remote Manipulator System, aby v budoucí produkty společnosti Kaspersky Lab bude detekovat.
Pokud se útočníci použít původní, nezměněné verze legitimní software, bude jediným řešením bude pro bezpečnostní systémy a upozorní uživatele pokaždé potenciálně nežádoucí program spuštěn. Všichni uživatelé, zejména ti, kteří se zabývají finanční a další důležité dokumenty, je třeba si uvědomit, že žádný bezpečnostní systém může poskytnout absolutní ochranu. Měli by věnovat pozornost systémových upozornění a dávat pozor na jakékoli neobvyklé chování na svém počítači. Je důležité oznámit bezpečnostní pracovníci jakékoliv podezřelé události v systému.
V ideálním případě by default deny režim by měl být povolen na všech počítačích používají k provádění plateb v odlehlé bankovního systému; Tento režim omezuje přístup k Internetu a zabraňuje spuštění irelevantní, non-bílé listině software. Totéž platí pro počítače používané firemní uživatele pracovat s komerčně důležité (business-critical) informací.
Závěr
V těchto dnech, je hlavní hnací silou všech cybercriminal akce jsou peníze. Získání přístupu ke vzdáleným bankovních systémů je velmi přímý a jednoduchý způsob, jak krást peníze z organizace. Je to malé překvapení, které na dálku bankovní systémy jsou stále více atraktivní cíl pro cybercriminal útoků.
Každý, kdo používá vzdálené bankovních systémů je více než obeznámen s bezpečnostními systémy, které jsou založeny v nich ... ale to jsou zločinci. Použití hesel, klíčových souborů a žetony, stejně jako omezení IP přístupu může ukolébat uživatele do falešného pocitu bezpečí.
Nicméně, žádný z těchto opatření, ať již samostatně nebo ve skupině, udělá cokoliv, aby zvýšení bezpečnosti, pokud jsou prováděny na ohrožení počítače. Na infikovaném počítači, hesla mohou být zachyceny, klíčové soubory mohou být kopírovány. Kyberzločinci si vytvořit skrytý plochu a použít původní IP adresu a token připojen k oběti počítače.
Při vyšetřování bezpečnostních incidentů pravidelně dojít k následující situaci: škodlivý program je spuštěn na počítači, ale později se zjistí, že a odstraněn ze systému. Následně ovlivněn počítač je používán jako dříve, pokračuje provádět bankovní operace s účetní jistý, že problém byl vyřešen.
Uživatelé si musí uvědomit, že jakmile je škodlivý program je spuštěn, počítač postiženy by měly být považovány ohrožena. První nebezpečný soubor načte jen hlavní nebezpečný náklad. To je užitečné zatížení se obvykle skládá z programů, které aktualizují po celou dobu uniknout detekci bezpečnostních produktů. Alternativně zločinci načíst legitimní software s úpravami, které umožňují zločinci se k němu připojit přes škodlivých C & C servery. V tomto případě nebudou zjištěny škodlivé programy.
S výhledem na to může způsobit obrovské škody do společnosti. Pokud byl zjištěn škodlivý program na počítači s kritickým informacím, musí být učiněna neprodleně opatření reakce na incidenty.
Je smutné, že naše zkušenosti ukazují, že organizace často bijí na poplach příliš pozdě, když už čelí finanční ztráty nebo vypnutí kritických výpočetních služeb. Kromě toho, o přijatých následných opatřeních v rámci firem obvykle ukáží být neúčinná, a často brání dalšímu vyšetřování.
Není tam žádná taková věc jako jeden-velikost-fits-all reakce na mimořádné události. Existuje příliš mnoho možných způsobů útoku venku. Například, v některých případech vypnutí počítače se okamžitě pomáhá chránit data, která by nevratně odstraněny škodlivým programem po určité době. V jiných situacích, když vypnutí zničí datové RAM, která je nezbytná pro následné vyšetřování. Pouze specialista vyšetřování incidentu může učinit správné rozhodnutí.
V každém případě, pokud existuje sebemenší podezření na vniknutí jakékoliv ohrožení by měl být počítač odpojen od internetu a firemní sítě, a malware incidentů specialisté by měl být volán v.
Pouze podrobné zkoumání bezpečnostní události, může vést k účinné reakci.
Montáž důkazy poukazují na Home Depot porušení 12.9.2014 Incidenty Ještě oficiálně nepotvrzená, Home Depot hack vypadá čím dál pravděpodobnější, že se stalo. Když Nicole Perlroth uvedeno , zdrojem informací ukradené karty lze zjistit dvěma způsoby:
Donucovacích orgánů s pomocí bank můžete prohlédnout účtu historii transakcí postižených uživatelů ke společnému místě nákupu. To je to, co některé banky jsou v současné době dělá po koupi zpět čísla karet od podvodníků, které je prodávají. Vyšetřovatelé podvodů obvykle nemají přístup k údajům o transakcích, ale lze použít údaje poskytnuté samotnými podvodníci (město, stát, a ZIP kód skladu, ze kterého byla karta ukradené) a zkontrolujte, zda je maloobchodník podezření, že byla porušena má obchody ve stejném PSČ. Carders obvykle poskytují tento typ dat - a požádat o dodatečné platby za to - protože podvodníci, kteří používají padělané karty, bude chtít, aby se nákupy ve stejné oblasti, tak, aby se vydali systémy detekce podvodů bank. Vyzbrojeni touto informací, Brian Krebs sestavil seznam jedinečných poštovních směrovacích čísel svázaných s údaji o platebních karet z šarží aktuálně nabízených k prodeji na rescator (tečka) com , a porovnala je se seznamem jedinečných Home Depot poštovních směrovacích čísel. výsledek? 99,4 procent se překrývají. "Mezi těmito dvěma seznamy poštovních směrovacích čísel, tam jsou 10 poštovní směrovací čísla v údajích karet Rescator, že neodpovídají skutečným obchodů Home Depot," sdílel. Ale zdůraznil, že údaje v současné době na prodej je pravděpodobné, že jen "malý zlomek z karet, že jeho obchod bude uvedena do prodeje v nejbližších dnech a týdnech," což znamená, že seznam by mohl nakonec mít 100 procent překrývání. Pokud Home Depot byla skutečně porušena a informace z bankovních zdrojů o porušení, co byla zahájena v dubnu nebo začátkem května, je v pořádku, říká, že toto porušení mohlo ukázat, že je mnohem větší, že cíl je , který byl objeven po třech týdnech a vliv menšího počtu obchodů. Stále žádné zprávy o této věci od Home Depot, jehož mluvčí pouze potvrdila, že forenzní společnosti a bezpečnostní týmy vyšetřují potenciální porušení, a že oni přinesli Symantec a FishNet Bezpečnostní experti na pomoc při vyšetřování. Pokud Home Depot nakonec se ukáže, že byly porušeny, to bude zajímavé zjistit, jak se útočníci to povedlo. nedávném rozhovoru s Chrisem Hadnagy, generální ředitel společnosti Sociálně-Engineer, as, která provozuje sociální inženýrství Capture the Flag ( SECTF) u DEF CON, bylo zjištěno, že v letošním roce se tým, který byl přidělen úkol těžby potenciálně citlivé informace od zaměstnanců Home Depot byl nejúspěšnější a skončil vítězství v soutěži. "Téma letošní soutěže bylo maloobchod, na základě Cílová porušení odhalily v letošním roce, "Hadnagy sdílené Dark Reading. Chtěli zjistit, zda toto porušení vyzval prodejce, aby se více opatrní a v nejvyšší pohotovosti. "Bohužel, nebylo jedna společnost, kdo to udělal dobře. Ani jedno, kdyby byli svým klientům, by dostali známku potkávací." Během této falešném útoku, několik zaměstnanců Home Depot udělal otázku, proč se společnosti "IT oddělení" byla ne volání z podnikové řady, ale byl nakonec uklidněn vysvětlení sociálních inženýrů a požadované informace poskytlo. Pouze jeden zaměstnanec považován za hovor podezřelé a skončil bez rozdávání žádné informace.
Na internetu se objevilo přes 5 miliónů gmailových adres a hesel
11.9.2014 Incidenty Na jednom diskuzním fóru se objevil soubor obsahující téměř 5 miliónů emailových adres a k nim náležící přístupová hesla.
Soubor na fórum btcsec.com umístil uživatel vystupující pod přezdívkou tvskit s tím, že přes 60 % přístupových údajů je stále platných.
„Nemůžeme potvrdit, že je to přesně 60 %, ale velká část dat je skutečně funkční,“ řekl Peter Kruse z dánské bezpečnostní společnosti CSIS Security Group, která své služby poskytuje hlavně úřadům a finančním institucím.
Výzkumníci z CSIS data analyzovali a došli k závěru, že přístupové informace pocházejí hned z několika různých zdrojů, přičemž v několika případech došlo k jejich úniku již před 3 lety. „Domníváme se, že data nepocházejí přímo od Googlu. Pravděpodobně byla získána z různých zdrojů, jejichž zabezpečení bylo prolomeno,“ napsal Kruse v emailu. Zaujal vás tento článek? Přehled nejzajímavějších zpráv získáte odebíráním našeho newsletteru »
Jinými slovy, velká část hesel pro uvedené gmailové adresy nefunguje, protože jde o data z jiných webových stránek, kde uživatelé jako přihlašovací jméno použili svou emailovou adresu, ale zvolili jiné heslo. Problém tak mohli či stále mohou mít hlavně uživatelé, kteří pro Gmail i účet na jiných webech používají stejné přístupové údaje.
„Bezpečnost našich uživatelů je pro nás nesmírně důležitá. Nic nenasvědčuje tomu, že by došlo k překonání našich bezpečnostních mechanismů,“ napsal ve svém vyjádření Google.
To, jestli je váš účet mezi postiženými, můžete zjistit například na adrese https://isleaked.com/en, kde je k dispozici i databáze nedávno napadených účtů ruských freemailů yandex.ru a mail.ru.
Namecheap účty brute-přinucen CyberVor gangu? 6.9.2014 Incidenty Kalifornie-založený registrátor domény a web hosting firma Namecheap byl terčem hackerů, společnosti VP hosting Matt Russell varoval v pondělí, a řekl, že útočníci se pomocí uživatelského jména a hesla data získaná z webů třetích stran hrubou silou svou cestu do účty svých zákazníků.
Russell řekl, že napadené přihlašovací údaje, které byly použity zkoumat účty pravděpodobně, které byly shromážděny v ruské společnosti CyberVor gangu, které mají údajně v rukou tolik jako 1,2 miliardy unikátních on-line přihlašovací údaje. Stále není jasné, proč se domnívají, že CyberVor gang - nebo jiný gang pomocí tohoto skrýš přihlašovací údaje -. je zapojen . "skupina za to pomocí uložených uživatelských jmen a hesel, aby simulovaly přihlášení webového prohlížeče pomocí falešné prohlížeče Tento software simuluje skutečné přihlašovací proces by uživatel použít v případě, že používáte Firefox / Safari / Chrome ke svému účtu Namecheap. Hackeři jdou přes jejich jméno / seznamu hesel a snaží se každý a každý, kdo se snaží a dostat se do uživatelských účtů Namecheap, "Russel sdílet . "Naprostá většina Tyto pokusy o přihlášení byly neúspěšné, protože údaje jsou nesprávné nebo staré a byly změněny hesla. Jako preventivní opatření jsme agresivně blokování IP adres, které se zdají být přihlášení pomocí ukradených dat heslem. Jsme také protokolování tyto IP adresy, a budou vyvážet pravidla blokování celé naší síti zcela eliminovat přístup do jakéhokoli systému nebo služby Namecheap, stejně jako výroba tato data k dispozici pro vymáhání práva. " Některé pokusy byly úspěšné, a společnost dočasně pozastaven se tato účetní závěrka a oznamování příslušných držitelů. "Naše brzy ukáže, že ti uživatelé, kteří používají stejné heslo pro svůj účet Namecheap, které jsou použity na jiných webových stránkách, jsou ti, kteří jsou zranitelní," dodal. "Tento útok slouží jako vhodnou příležitostí k připomenutí, že v netizens, neustále čelit nové a vyvíjející bezpečnostní hrozby. " poradil Russell všem uživatelům zvážit možnost ověření 2-faktor pro své on-line účtů kdykoli je to možné, aby se zabránilo tomuto typu útoku v budoucnosti. On také doporučuje používat silné hesla, které nepoužívají stejné uživatelské jméno / heslo kombinaci pro více různých webů, pravidelně snímací systémy pro malware, pomocí připojení SSL pro všechny webové stránky a používat zabezpečené připojení a sítě VPN při prohlížení internetu na otevřené Wi-Fi hotspot. "Máme rozhodla jít na veřejnost s dnešním incidentu, aby se pokusila vytvářet větší povědomí veřejnosti o otázkách bezpečnosti, které vyplývají z oblastí mimo naši kontrolu. Dobré zabezpečení je výsledkem společného úsilí mezi poskytovatelem služeb (USA) a zákazníkem (vy), "napsal a dodal, že dělají to, co je třeba udělat, aby si udržely zákazníky bezpečné.
Home Depot porušil, carders prodeji ukradené informace platebních karet 6.9.2014 Incidnety Home Depot, populární americký kutil a výstavba prodejce, který se může pochlubit 2.200 obchodů v USA a 287 v zahraničí, zřejmě utrpěl narušení dat, která ohrožena zákazník kreditní karty. možnost byla poprvé označeny Brian Krebs , který dostal slovo, že dvě šarže kreditních a debetních karet informací zřejmě ukradené společnosti je v současné době v prodeji na neslavný rescator (tečka) cz podzemí mykací stroj na trhu. Jedna dávka zdánlivě obsahuje údaje karty evropských uživatelů, druhý, že zákazníci v USA. "Existují náznaky, že pachatelé tohoto zjevného porušení může být stejná skupina ruských a ukrajinských hackerů odpovědných za narušení dat v cíli, Sally Beauty a PF Chang je, mimo jiné, "poznamenal. "To není v tuto chvíli jasné, jak mnoho obchodů může mít byly ovlivněny, ale z předběžné analýzy vyplývá, že toto porušení může rozšířit do všech 2200 Home Depot obchodů ve Spojených státech. " alarm poprvé vznesena několika bank, kteří si koupili šarže kartu ze zločinců a šel přes ně k identifikaci dotčených zákazníků. Zdá se, že věří, že toto porušení může mít zpočátku se stalo koncem dubna nebo začátkem května 2014. Pokud ano, podvodníci by mohly mít ve svých rukou počet karet, které výrazně předčí číslo ohrožena Target porušení, Krebs poznamenal. "My 're hledáte do nějaké neobvyklé činnosti, které mohou poukazovat na možné porušení platební údaje a my pracujeme s našimi bankovními partnery a vymáhání práva, aby vyšetřily, "Home deportovat uvedeno v prohlášení zveřejněném na svých internetových stránkách. "Pokud se nám potvrdit, že došlo k porušení, budeme ujistěte se, že naši zákazníci jsou okamžitě informovány." Oni také ujistěte se, že upozornit na potenciálně dotčené zákazníky, kteří nebudou mít odpovědnost za případné podvodné obvinění. "Ujistěte se, že jsou úzce sledování vašich účtů a dostat se do svého vydavatele karty zjistíte jakékoli neobvyklou aktivitu, "radili. "Pokud se nám potvrdí porušení, budeme nabízet bezplatné služby ochrany identity, včetně sledování úvěru na všech potenciálně zasažených zákazníků." "potenciální porušení v Home Depot pocit deja vu v brázdě cílových masivní porušení v loňském roce. Hlášenou rozsah a časová osa se datuje k dubnu a květnu tohoto roku naznačují podobný typ události k dosažení cíle, kde útočníci byli schopni se dostat do sítě odčerpat velké množství dat, aniž by byla odhalena, "řekl Eric Chiu, prezident a spoluzakladatel společnosti na HyTrust. "Tyto porušení již bezpečnostní nebo IT problém, ale spíš obchodní záležitost s ohledem na potenciální masivních ztrát a poškození značky. Spotřebitelé by měli mít možnost očekávat lepší zabezpečení od nás. Zvlášť když organizace hit s porušením podobné jiní v jejich stejném odvětví ... a ještě horší, ten, který následuje po porušení svých vlastních systémů. " Philip Lieberman, generální ředitel společnosti Lieberman Software, řekl, že nebyl překvapen, co se to stalo. "Byli jsme v kontaktu s nimi před mnoha lety snaží se je přesvědčit, aby realizaci automatizační techniky otočit svá hesla, ale rozhodl se zavést levnější a horší řešení z off-shore společnosti. Zbytek cílů v uvedených článku podle Krebs koupil stejnou neefektivní technologie ze stejného off-shore společnost s podobnými výsledky. " "organizované zločinecké syndikáty nám aktivně zaměřují na maloobchodníky prostě proto, že jsem skutečně staly cíle; Tyto skupiny využívají vlastních chyb v platebních architektur a aplikací, mimo jiné taktiky, aby se do těchto obchodních řetězců a sifon data z nepozorovaně, "Ken Westin, bezpečnostní analytik Tripwire, zdůraznil. "Existuje jen málo, aby spotřebitelé mohli udělat přímo na chránit před těmito jakési kompromisy, "uzavírá Patrick Thomas, bezpečnostní konzultant společnosti Neohapsis. "Jistě všichni spotřebitelé by měli bedlivě sledovat na své výpisy z kreditní karty a kreditní zprávy, ale také mohou volit své dolary a ocenit společnosti, které veřejně demonstrují závazek k bezpečnosti."
Počítačoví zločinci rádi PayPal, finanční podvodnou na vzestupu 6.9.2014 Incidenty Odborníci společnosti Kaspersky Lab zaznamenala podstatný nárůst ve výši finančního phishingu ve spamu. Tam byl 7,9 procentní body, zvýšení množství podvodných e-mailů, které využívají jména renomovaných bank, platebních služeb, on-line obchodů a podobné organizace. Výsledkem je, že takové zprávy představoval téměř 42 procent všech phishingových zpráv. Ze všech platebních systémů, zločinci věnována největší pozornost na PayPal:. odkazy na tuto službu spustil nejdramatičtější nárůst upozornění Celkový podíl spamu v e-mailovém provozu zvýšil o 2,2 procentního bodu v červenci, přinášet to 67 procent. USA je opět "vedoucí" země původu nevyžádané pošty: jedna šestina (15,3 procenta) ze všech globálního spam byl odeslán z této země. Rusko udržuje dlouhodobé druhé místo v tomto žebříčku s 5,6 procenta veškeré nevyžádané pošty; Toto, nicméně, je 1,4 procentních bodů méně než v červnu. Čína je i nadále na třetím místě, dodává 5,3 procenta světového spamu. Pokud se podíváme na témata spamu, dlouhé horké léto jistě zanechaly svou stopu. Zejména ruský segment internetu viděl nárůst spamových zpráv propagujících ochranu před slunečním zářením a předměty k boji teplo. V červenci Odborníci společnosti Kaspersky Lab také zaznamenala nárůst počtu nevyžádaných e-mailů, které nabízejí širokou škálu letních zboží, jako jsou:. Klimatizace, větráky, ochranu proti slunečnímu záření fólie pro okna, balenou vodu a sluneční brýle Letní také znamená dovolenou, a od každého chce vypadat co nejlépe na pláži, spammeři byli na straně nabídnout nějakou pomoc. Tam byl množství nevyžádaných e-mailů v reklamě července všechny druhy kosmetiky pro péči o pleť a sezónní slevy z kosmetických obchodů a salonů. Odborníci společnosti Kaspersky Lab také objevil video tutoriály inzerované jako "tajemství krásy" prozradil renomovaný stylista. Spammeři neměli přehlédnout pro firemní uživatele, a to buď, i když činnost je daleko od svého vrcholu v červenci. V polovině léta, zločinci se specializuje na distribuci reklamních e-mailů v ruské části internetu se rozhodl přitáhnout pozornost uživatelů s nabídkami spojené s pořádáním firemních akcí venku a vodní zábavy. "V létě, obchodní činnost zpomaluje a spammeři přejít na více lukrativní partnerem spam -. včetně některých škodlivých korespondenci Výsledkem je, že spam se stává trestným činem, a představuje větší riziko pro uživatele, tedy v červenci jsme si všimli, že spammeři vzali větší zájem v oblasti finančních služeb navíc na první místo v naší.. hodnocení škodlivých spamu příloh byl, poprvé po dlouhé době, pořízena Trojan downloader slouží k ukrást citlivá data uživatelů, "uvedl senior spam analytik Kaspersky Lab Tatyana Shcherbakova.
JPMorgan útočníci změněné bankovní záznamy 4.9.2014 Incidenty Počet amerických bank, které zřejmě byly cílené a porušil hackery pomalu stoupá, protože novější zprávy říkají, že sedm finanční organizace byly zasaženy. nejmenované zdroje také říci, že rozsah útoků je také větší, že se původně myslelo, as JPMorgan hlášeny že útočníci změnit a odstranit některé bankovní záznamy. Podle bezpečnostních a bankovních expertů, počítačoví podvodníci byli známí dělat takové věci, i když jen zřídka. Podle Adam Kujawa, vedoucí Malware Intelligence v Malwarebytes Labs, je nepravděpodobné, že útočníci jsou "Průměrná zločinci." "Pokud hackeři jsou schopni toho dosáhnout, to znamená, že strávil značné množství času studiem systému záznamů [banky] Před zahájením jakékoliv vážné manipulace," řekl komentoval pro CNET. "Není to nemožné, ale pokud se jim podařilo změnit záznamy pomocí pověření na vysoké úrovni, a to takovým způsobem, aby byla nezjištěný." Opět platí, že v tuto chvíli nic konkrétního o identitě hackerů lze říci. Jak FBI a JPMorgan drží mámu, jak vyšetřování pokračuje. Vzhledem k tomu, jména ostatních pronásledovaných finančních institucí, které nebyly veřejně sdíleny, zákazníky všech amerických bank by měl být na pozoru neobvyklé aktivity na jejich účtech, a pečlivě prohlédnout každý email obdrželi od své banky, jak by se mohlo jednat o podvod. A krátce předtím, než byly odkryty na porušení zákazníci JPMorgan byl na přijímacím konci odborně řemeslně nebezpečných e-mailů zasílaných údajně bankou.
Apple iCloud bezpečnostních incidentů 3.9.2014 Incidnety
Je tu spousta zájmu v nedávné iCloud incidentu, kde byly ohroženy zřejmě několik "celebrit" účty. Omlouvám se říci, že to není fáma. To je také něco, co mohlo a mělo být zabráněno. Ukazuje se, že API pro "Find My iPhone" app neměl ochranu proti útoku hrubou silou. To, v kombinaci s první pár set řádků společného hesla slovníku (často stáhnout jako jméno souboru "500 nejhorších hesel") vedlo v některých cílových účtů budou kompromitována. A samozřejmě, jakmile heslo účtu úspěšně uhodl všechna data iCloud pro daný účet k dispozici útočníky. Takže žádná velká věda, ne uber hackerské schopnosti. Jen jeden vystaven útoku, základní kódování dovednosti a některé vytrvalost.
Poté, co prošel tohoto souboru hesel, opravdu zajímalo, kolik lidí používající některou z těchto hesel oceňují svá data na prvním místě.
Apple rychle opravil chybu, tak to už není ve hře (pokud váš účet byl ohrožen před zmírňování a jste nezměnili heslo). Kód je na GitHub, pokud máte zájem.
To jen posiluje společné téma, které - mírně řečeno - důvěřivý osobní údaje jednoduchých hesel se nedoporučuje. Pokud nemůžete používat složitá hesla (pro mě, to je větší než 15 znaků) nebo nemají druhý faktor, pak nepoužívejte službu.
FBI vyšetřuje banky porušení JPMorgan, USA 3.9.2014 Incidenty V návaznosti na zprávy, že několik velkých Americké finanční ústavy, které měly své sítě narušit hackery tento měsíc, FBI a tajné služby byl připojen oficiální vyšetřování. Zatím jediný pojmenovaný cíl je JPMorgan Chase & Co, ale podle NYT , nejméně další čtyři banky byly zasaženy. Útočníci se podařilo exfiltrate GB citlivých dat, jako jsou kontrola a úspory zákazníků informace o účtu. Podle agentury Bloomberg , v jednom konkrétním případě útočníci využili nulového dne zranitelnost k získání opora v systémech společnosti. Podobný Zero Day byl nedávno použit v útocích na evropské banky. To je ještě neznámé, které by mohly být za útoky. Někteří bezpečnostní experti tvrdí, že jejich sofistikovanost mohou poukazovat na státem podporovaných hackery, a tam byly spekulace, že ruští hackeři mohou být na vině, případně spouštění útoky jako forma odplaty za ekonomických sankcí namířených proti Rusku v důsledku eskalace konfliktu na Ukrajině. Je také možné, že alespoň v JPMorgan případě útoku bylo částečně motivováno pomstou jako na začátku tohoto roku, banka zablokovala platby z ruského velvyslanectví na pobočky v USA schválený banky. Od útoků proti USA a evropského bankovního sektoru se v posledních několika měsících vzrostly, to je také docela možné, že tyto útoky jsou jen pokračováním předchozí, a může být zaměřen na shromažďování informací, které mohou být později zneužity ukrást peníze. "Firmy z našich Velikost bohužel zkušenosti kybernetických útoků téměř každý den, "uvedl mluvčí JPMorgan. "Máme několik vrstev obrany proti jakýmkoli hrozbám a neustále sledovat hladinu podvodům." Ale zdá se, že ani to nestačí, když tváří v tvář s odhodlaným útočníků.
50 potvrzen, možná více norské ropné společnosti hacknut 2.9.2014 Incidenty 50 norské ropné a energetické společnosti byly hacknutý a 250 další byli varováni kontrolovat své sítě a systémy pro důkazy o porušení, místní zprávy .
Mezi pravděpodobných cílů je Statoil, Norsko je největší ropná společnost. Identita ostatních firem, které byla porušena nebyly zveřejněny. Mluvčí Statoil potvrdil, že byli upozorněni na možný hack útok Národního bezpečnostního úřadu, norské bezpečnostní agentury, která mimo jiné, je obviněn z jednání s bezpečnostní záležitosti týkající se informačních a komunikačních technologií, stejně jako běžící národní CERT (NorCERT). Národní bezpečnostní úřad byl varován o útocích "mezinárodní kontakty", a zřejmě má tušení, kdo by mohl být za útoky, ale jsou volby nesdílet své podezření veřejně v tomto okamžiku. I když je to stále neznámé, co útočníci hledali, je pravděpodobné, že šli po duševního vlastnictví, obchodních a zákaznických dat. Není to poprvé, co norské ropné společnosti byly zasaženy cyber útočníci. Na konci roku 2011, nejméně deset ropy, plynu a obrany společnosti se sídlem v Norsku byl hacknut pomocí cílených spearphishing e-mailů a útočníků utekl s průmyslovými výkresů, smluv, uživatelská jména, hesla a tak dále.
Bývalý HHS kybernetická bezpečnost ředitel odsouzen za dětské porno 2.9.2014 Incidenty Bývalý úřadující ředitel kybernetické bezpečnosti na amerického ministerstva zdravotnictví a sociálních služeb byl odsouzen federální porota v okrese Nebraska a zabývá se zneužívání dětí podniku, spiknutí za účelem propagovat a distribuovat dětskou pornografii, a přístup k počítači s úmyslem zobrazit dětskou pornografii v souvislosti s jeho členstvím ve stránkách dětské pornografie.
Timothy DeFoggi, 56, předtím Germantown, Maryland, je šestá samostatná být odsouzen jako součást probíhajícího vyšetřování zaměřeného na tři dětské pornografie webové stránky. tři stránky byly provedeny jediným správcem, který se od té doby byl odsouzen v okrese Nebraska o zapojení se do zneužívání dětí podniku v souvislosti s jeho správou lokalit. Podle důkazů předložených u soudu, DeFoggi registrován jako člen stránkách dne 2. března 2012 a udržoval jeho členství a činnost až do 08.12.2012, kdy Webová stránka byla pořízena podle FBI. Prostřednictvím internetových stránek, DeFoggi přístupné dětské pornografie, získával dětskou pornografii od ostatních členů, a vyměnili Soukromé zprávy s ostatními členy, kde projevili zájem o násilné znásilnění a vraždy dětí. DeFoggi dokonce navrhl setkání jednoho člena osobně plnit jejich vzájemné představy násilně znásilnění a vraždy dětí. Porota dosáhl svůj verdikt po čtyřdenním řízení před US náčelník okresní soudce Laurie Smith Camp. Trestání je naplánováno na 07.11.2014.
Prodejce krádeží identity odsouzen na 100 měsíců ve vězení 29.8.2014 Incidenty Severní Kalifornie muž, který sloužil jako informační a prodejce dokumentu v krádeži identity a podvody s kreditními kartami prsten známý jako Carder.su byl odsouzen včera sloužit 100 měsíců ve federálním vězení. Ten byl dále uložena náhrada přibližně 50.500.000 dolar v restituci.
"Carder.su je zločinecká organizace, a jsme použili stejné zákony mob mlátit a vyšetřovacích metod jsme použili s jinými sítěmi organizovaného zločinu rozebrat prsten podvod," řekl asistent generálního prokurátora Caldwell. "Nová tvář organizovaného zločinu je velmi cyber-založené, a tento případ dokazuje schopnost oddělení je usilovat o členy těchto organizací, kde je najdeme." "struktura organizace Carder.su byl propracovanější a navrženy tak, aby se zabránilo útok soupeř organizace a se vyhnout detekci vymáhání práva, "řekl americký právník Bogden. "Jeho členové se definované role a byli zodpovědní za krádež více než 50 milionů dolarů. Pracujeme pilně s našimi orgány činnými v trestním partnery s cílem zajistit, aby lidé, kteří páchají tyto high-tech zločiny jsou vyřazeny z činnosti. " "Vzhledem k tomu, multi-věta roku je zřejmé, jedince podobné žalovaného, který nezákonnému obchodu s odcizenými identitami a ohrožení úvěru Informace karta by měla počítat se plnou vahou zákona, "řekl HSI asistent zvláštní agent v Charge Harris. "Tento typ podvodu dosáhla epidemických rozměrů a ekonomické dopady z těchto trestných činů se týká nás všech. HSI bude i nadále úzce spolupracovat se svými partnery, orgány činnými v trestním vidět, že jsou zapojeny budou postaveni před soud. " Makyl Haggerty, aka "Wave" a "G5", 24, Oakland, Kalifornie., přiznal ve své dohodě prosby, že v prosinci 2009, on stal se spojený s organizací Carder.su, zločinného podniku, jehož členové obchodované v datech oslabený kreditní karty účtu a padělaných identifikace, a spáchal praní špinavých peněz, pašování drog, a různé druhy počítačové kriminality. Konkrétně mu působila jako prodejce na webových stránkách organizace pomocí "Wave" a "G5" přezdívky, a prodával přibližně 1000 identifikační padělaných dokumentů a padělaných kreditních karet k ostatním členům Carder.su. Ten vyrábí a prodává licence padělky řidiče nejméně 15 států a Britské Kolumbie. Padesát šest jednotlivci byli obviněni ve čtyřech samostatných žalob na operace na volném trhu, které byly zaměřeny na organizaci Carder.su. K dnešnímu dni 25 jednotlivci byli odsouzeni a zbytek jsou buď na útěku nebo se čeká na soud. Haggerty přiznal v únoru k jednomu počtu účasti na vyděrač ovlivněny zkorumpované organizaci. Případy byly vyšetřovány HSI a americkou tajnou službou, a jsou stíháni Trial Attorney Jonathan Ophardt organizovaného zločinu trestního oddělení a Gang sekce a asistent USA Advokáti Kimberly M. Frayn a Andrew W. Duncan okresu Nevada.
CHS hackeři využili Heartbleed chybu 27.8.2014 Incidenty Nedávné masivní Zdravotnické systémy Společenství porušení , která vyústila v kompromis osobních údajů některých 4,5 milionu pacientů, bylo provedeno tím, že využívá neslavný OpenSSL Heartbleed zranitelnost . Požadavek byl vyroben David Kennedy, generální ředitel bezpečnostní poradenské firmy TrustedSec, který řekl , že zatímco on a jeho společnost nejsou zapojeny do vyšetřování porušení, dostal informace od tří různých lidí blízkých vyšetřování. CHS se nevyjádřil k věci. "Útočníci byli schopni sbírat pověření uživatele z paměti na CHS Juniper zařízení přes Heartbleed zranitelnosti (který byl zranitelný v té době) a používat je pro přihlášení pomocí VPN," prozradil Kennedy v blogu . "Odtud, útočníci byli schopni podporovat jejich přístup do CHS prací svou cestu prostřednictvím sítě." CHS oznámil, že útok se stalo v dubnu a červnu 2014, které se shoduje s veřejným odhalením existence Heartbleed chyby. Je docela možné, že útočníci využili ke krátkému období, kdy systémy společnosti byly náchylné k němu. "čas mezi 0-day (den Heartbleed byl propuštěn) a opravy den (kdy Juniper vydala opravu), je nejvíce kritická doba pro organizaci, kde sledování a detekce stát podstatné prvky této bezpečnostní program. Mít schopnost detekovat a reagovat na útok, když se to stane, je klíčem k přijímání reakci na incidenty a rychle zmírnit hrozbu, "upozornil Kennedy ven. "To, co jsme můžete dozvědět zde je, že když dojde něco tak velký jako Heartbleed (vzácné), že je třeba zaměřit se na, okamžitě a neprodleně řešit obavy o bezpečnost. to Upevňovací co nejdříve nebo mají kompenzační kontroly na místě, než bylo zachránit celé toto porušení vyskytují na prvním místě. " porušení vyvolalo mnoho reakcí z bezpečnostní komunity, z nichž některé můžete přečíst zde .
Osobní info o 4,5 milionu nemocných odcizených v rozporu Hospital Group v USA 26.8.2014 Incident Zdravotnické systémy Společenství, hlavní skupina, která provozuje 206 nemocnic po celých Spojených státech, utrpěl masivní porušení dat:. Osobní údaje některých 4500000 pacientů byl ukraden z jejich systémů Data v otázce zahrnuje pacientů jména, adresy, data narození, telefonní čísla a čísla sociálního zabezpečení. Zprávy o porušení zlomil poté, co společnost podala zprávu s Komisí pro cenné papíry a burzy. V ní se vysvětluje, že útok se stalo v dubnu a červnu 2014 a byl objeven v červenci. Firma najala forenzní odborníci z Mandiant vyšetřovat porušení, a věří, že útočník byl APT skupina pocházející z Číny, který byl schopný obejít bezpečnostní opatření společnosti a úspěšně kopírovat a přenášet určité údaje. Oni neřekli, která skupina je, nebo, pokud se domnívají, že pro připojení k čínské vládě. Mandiant odborníci také radí jim ohledně sanačních úsilí, a se ujistit, že všechny malware byl odstraněn ze systému společnosti. "Společnost byl informován federálními orgány a Mandiant, že vetřelec je obvykle požadována cenné duševní vlastnictví, jako jsou zdravotnický prostředek a údaje rozvoje zařízení, "uvedly. "Nicméně, v tomto případě se údaje přenášejí se identifikační údaje non-lékařské pacienta související s Společnost je lékař praxe operace a ovlivnila přibližně 4,5 milionu osob, které v posledních pěti letech, byl postoupen k nebo přijaté služby od lékařů přidružených společností. " Jedinou dobrou zprávou je, že kreditní karta pacientů, lékařské nebo klinické informace nemá byly ohroženy. "Z spotřebitele hlediska to je nejhorší typ porušení," komentoval Lamar Bailey, bezpečnostní ředitel R & D, Tripwire. "Když je ukradena finanční údaje, jako když čísla kreditních karet jsou ukradeny z prodejců, prodejci a vydavatelů karet jsou hit s podvodným poplatky a náklady na vytváření nové karty, ale pokud jsou osobní údaje ukradené - jméno, adresa, telefonní číslo, data narození a čísla sociálního zabezpečení -. budou mít dopad na osobu, nikoli společnost " "Jedná se o informace potřebné pro krádeže identity, aby zločinci otevřít účty v názvech 4.500.000 obětí. Druhá obava je, že tyto údaje mohou být použity na černém trhu, vytvářet nové identity pro mnoho zločinců a teroristů, "dodal, a vědomí, že někdo touto porušení okamžitě zmrazit svůj kredit zastavit nové úvěrové účty od bytí otevřené bez jejich souhlasu. "To je docela velký problém. Zdravotnické systémy se zdají být stále větší pozor na ně útočníky. To může být způsobeno každý poskytovatel zdravotní péče / network možná mají různé standardy pro informační bezpečnost (někteří možná více laxní než ostatní), "poznamenal Jonathan francouzština, bezpečnostní analytik s AppRiver. "Ignoroval, že došlo k porušení zdravotní péče a při pohledu na data, , je to podobné jako s většinou ostatních porušení, "poznamenal, a poukázal na to, že hlavní věc, kterou dělat starosti, je ohrožena čísla sociálního zabezpečení. "dalších údajů, samo o sobě může způsobit škodu, ale mají platné číslo sociálního zabezpečení, a další informace, vázaný s čísly může případně způsobit velké škody. A s 4,5 miliony z nich, jsem si představit tuto informaci, pokud se prodávají, může být docela výhodné pro útočníky, "dodal. Firma spolupracuje s federálními orgány činnými v trestním, pracuje na oznamování dotčeným jednotlivcům, a bude nabízet krádež identity ochranné služby k nim. Čas ukáže, jak nákladné toto porušení bude dopadat být pro společnost, ale některé z těchto nákladů bude zmírnit, pojištění odpovědnosti cyber / privacy vytáhli, aby se ochránili proti tomuto druhu ztráty.
Dodavatelé obrany USA stále čeká na pravidlech pro oznamování o narušení 25.8.2014 Incidenty Americké ministerstvo obrany dodavatelů bude muset počkat až do 24.září vidět, jaké konkrétní předpisy, které budou muset dodržovat, pokud jde o podávání zpráv o počítačových porušení na DoD. Tento konkrétní požadavek byl pověřen Kongresem USA v loňském roce, v . pokus získat jasnou představu o typu a četnost útoků dodavatelé čelí americký Kongres bude vyžadovat "vymazána dodavatelé obrany" - tedy těch, kteří byly uděleny vůli DoD přístup, příjem nebo ukládání utajované informace - provést rychlé zprávy v důsledku úspěšného porušení, a zahrnout do ní popis techniky nebo metody používané v penetraci, vzorek škodlivého softwaru (jestliže je objeven), a souhrn informací vytvořených pro ministerstvo v souvislosti s programem oddělení, která byla potenciálně ohrožena kvůli takovému průniku. dodavatelé obrany se stal přednostní cíle pro kybernetické špionů, kteří, jak se zdá, zjišťují, že jejich sítě snáze porušení než ministerstev a agentur. března 2011 RSA hack se předpokládá, že byly provedeny s cílem ohrozit SecurID tokenů společnosti, široce používán velkým počtem společností, které obchodují s vládou. Protože společnosti čekají na pravidlech, které mají být potrestáni, vyjádřili obavy o vládními agenty je povolen přístup do svých sítí, aby mohli provádět forenzní analýzu útoku (kromě analýzy provedené dodavatelem). Oni nejsou spokojeni s možností se mají přístup Pentagonu k jejich obchodní tajemství, obchodní, finanční, a informace o zákaznících. dodavatelé jsou také dočkat, až uvidí, zda se Pentagon vrátí informace o přízeň a podíl na hrozby, kterou má s firmami, tak že mohou být lépe připraveni odrazit útok. Menší firmy se obávají, že v souladu se některá pravidla může být příliš nákladné, a nelze pro ně, což by v konečném důsledku, aby bylo nemožné udržet a získat nové státní zakázky. To, co dodavatelé jsou opravdu doufá, že se některé "jasné pokyny o tom, jak realizovat bez ohledu na požadavky vláda se snaží zavést," Daniel Stohr, ředitel komunikace pro sdružení Aerospace Industries, řekl Bloomberg Chris Strohma. "Nechceme, aby smluvní pracovníci poskytující jejich osobní výklad toho, co by, nebo by mělo být toto pravidlo, "poznamenal.
Pět kroků, aby se k ochraně hesel 21.8.2014 Incidenty Zpráva vydaná tento týden prohlásil, že ruská počítačová kriminalita skupina ukradl 1200000000 uživatelských jmen a hesel od 420.000 webových stránek.
Zatímco někteří bezpečnostní experti zpochybňují zjištění zprávy, Symantec tvrdí, že potenciální hrozby jsou důležité brát vážně, a doporučuje spotřebitelům trvat pět kroků se chránit své nejcitlivější heslem chráněné informace: Věnujte zvláštní pozornost, aby vaše e-mailové pověření: mnoho uživatelů nepodaří uznávají, že jejich e-mailový účet může být přední dveře na celé jejich digitálního života. Přemýšlejte o tom, kolikrát jste mohli obnovit heslo na nějakém jiném místě a odkaz oživení zaslána na váš e-mailový účet. Kromě toho se zabránilo otevření e-maily od neznámých odesílatelů a kliknutím na podezřelé e-mailové přílohy; opatrní při kliknutí na lákavé odkazy zaslané prostřednictvím e-mailu, rychlých zpráv, nebo zveřejněné na sociálních sítích; a to důvěrné informace nesdílejí při odpovídání na e-mail. Změna hesla na důležitých místech: Je to dobrý nápad, aby okamžitě změnit hesla na stránky, které drží velké množství osobních informací, finanční údaje, a jiných soukromých dat. Počítačoví zločinci, kteří mají pověření by se mohl pokusit použít pro přístup k více informací o těchto účtech. To platí zejména, pokud jste použili stejné heslo na více místech. Útočníci se často snaží používat ukradené přihlašovací údaje na více místech. Vytvoření silnějších hesel: Při změně hesla, ujistěte se, že vaše nové heslo je minimálně osm znaků dlouhé, a že neobsahuje vaše skutečné jméno, uživatelské jméno, nebo jakékoliv jiné osobní identifikační údaje. Nejlepší hesla obsahují kombinaci malých a velkých písmen, číslic a speciálních znaků. Nikdy znovu nepoužívejte hesla: Jakmile hacker má informace o účtu a přihlašovací údaje, budou se snažit ji použít pro přístup ke všem svým účtům . To je důvod, proč je důležité vytvořit unikátní heslo pro každý účet. Pokud se liší vaše hesla na více přihlašovacích údajů, nebudou mít přístup k dalším stránkám se stejnými informacemi. Povolení dvoufaktorové autentizace: Mnohé webové stránky nyní nabízejí dva faktor (nebo dvou-krok) ověřování, který přidává další vrstvu bezpečnosti na Váš účet tím, že požaduje zadání hesla, plus kód, který obdržíte na vašem mobilním zařízení pomocí textové zprávy nebo tokenu generátor pro přihlášení k serveru. To může přidat složitost procesu přihlášení, ale výrazně zlepšuje zabezpečení vašeho účtu. Když nic jiného, použít na vašich nejdůležitějších účtů. Průměrný uživatel má 26 účtů chráněných heslem, ale obvykle používá pouze pět různých hesel, říká Symantec. V roce 2013, dva nejčastější hesla jsou "123456" a "heslo". Spotřebitelé, kteří trpí únavou heslo, a jsou odolné vůči pravidelně aktualizovat svá hesla. Symantec průzkum ukázal, že 38 procent lidí, kteří by raději čistit záchod, že přijít s novým heslem. nejčastější příčinou porušení a napadené záznamů ve velkých organizacích je ukraden pověření a výzkum tvrdí, že 80 procent z narušení dat by mohlo být odstraněny pomocí dvoufaktorové autentizace.
US DHS dodavatel dostane hacknut 14.8.2014 Incident USIS, největší komerční poskytovatel vyšetřování pozadí na americké federální vlády, oznámil, že utrpěl porušení, které by vedly k ohrožení osobních údajů federálních zaměstnanců.
"Naše vnitřní bezpečnost IT tým nově zjištěný zdánlivý vnější cyber-útok na firemní síti USIS". Jsme okamžitě informován federální vymáhání práva, Úřad personálního řízení (OPM) a další příslušné federální agentury, "oni uvedl . "Úzce spolupracujeme s federálními orgány činnými v trestním a udrželi nezávislé počítačové forenzní vyšetřování firmu určit přesnou povahu a rozsah jakéhokoliv nezákonného vstupu do naší sítě. Odborníci, kteří se v hodnocení zmínilo o fakta shromážděná aktuální věří, že to má všechny znaky na státem podporované útok. " Žádné další podrobnosti byly zveřejněny jako vyšetřování stále probíhá, ale podle Washington Post , US Department of Homeland Security a amerického Úřadu personálního řízení dočasně pozastaveny práce se společností. Vzhledem k tomu, že někteří ze zaměstnanců DHS by mohly být ovlivněny, všichni obdrželi oznámení o tom. Společnost také přivítal tým US-CERT, a oni se provádí na místě posouzení a poradenství společnosti, co se týká porušení zmírnění. Neoficiální Zdroje říkají, že toto narušení je zdánlivě nesouvisí s porušením Úřadu sítí řídících pracovníků je objevil na začátku tohoto roku a vysledovat zpět do Číny.
Všechna hesla byly ztraceny: Co bude dál?
7.8.2014 Incidenty
Některé z nich mohou být humbuk. Ale bez ohledu na to, zda 500 milionů, 1,5 miliardy, nebo dokonce 3,5 miliardy hesla byly ztraceny jako včerejší zprávy nedisponují bezpečnostní států vzhledem veškeré úniky heslo, které jsme měli v průběhu posledních pár let je to docela fér předpokládat, že alespoň jeden z vašich hesel byl napaden v určitém okamžiku. [1]
ano. jsme o tom mluvili mnohokrát, ale nezdá se, že zestárnout smutně.
Takže co dál? Heslo jistě bylo prokázáno, že "nefunguje" pro autentizaci uživatelů. Ale je levná, přesto se používají ve většině webových stránek (včetně tohoto, ale my nabízíme možnost 2-faktor) Â
U webových stránek:
zkontrolovat hesel. Neexistuje žádná politika "pravdu", ale přijít s něčím, co odmítá zjevné slabá hesla, a na druhé straně umožňuje uživatelům vybrat si hesla, která mohou pamatovat (takže mohou mít jedinečné heslo pro váš web). Ujistěte se, že vaše stránky pracuje s běžně používanými hesla manažerů. Jediný skutečný způsob, jak pro uživatele mít jedinečné heslo pro každý web je správce hesel. zámek účty, které nebyly použity po dlouhé době, a odstranit své heslo z databáze vynucení obnovení hesla, pokud se pokusí znovu aktivovat Uvažujme dva ověřování faktor, alespoň jako možnost a možná povinné pro vysoké účty hodnotou (například správci). Google ověřovatel je pravděpodobně ten nejjednodušší realizovat a je zdarma. Mluvili jsme o jiné alternativy v minulosti stejně. Pro uživatele:
Mají jedinečné heslo pro každý web. Jako alternativu, může se jednat o jedinou "vyhodit", heslo pro weby, které se nepovažují za důležité. Ale uvědomte si, že na jednom místě, místo, které není teď důležité, může být důležité, protože děláte více podniků s nimi. Pomocí Password Safe, pokud možno, který umožňuje synchronizovat lokálně, aniž byste museli poslat svou sbírku heslo do cloudu. U významných míst, které neumožňují pro dva ověřování faktoru, zvážit "dvoudílný heslo":. Bude jedna část bude mít na heslo v bezpečí, zatímco druhá část zadáte do bezpečí část hesla je jedinečný na webu chvíli další druhá část může být stejná pro různé weby nebo alespoň snadno zapamatovatelné. To vám dá určitou ochranu proti ohrožení Password Safe. Změna hesla jednou za čas (Já osobně rád každých 6 měsíců ...), zejména "statické" část těchto vysoce hodnotných hesla. Zeptejte weby, které považujete za důležité provést autentizaci 2-faktor. To je alespoň to, co jsem se přijít s při popíjení na své první šálek kávy pro day.Â
Kyberzločinci ukradli údaje 1,2 miliardy uživatelů
7.8.2014 Incidenty Společnost Hold Security oznámila, že neznámí ruští útočníci v současné době disponují databází s 1,2 miliardy uživatelských jmen a hesel ke stovkám tisíc webových portálů a půl miliardou e-mailových adres.
Jde pravděpodobně o největší databázi dat, kterou kdy kdo nakradl, a podle Hold Security byla shromážděna útoky na asi 420 000 webových stránek. „Dříve jsme se divili, když bylo kompromitováno 10 000 hesel. Nyní se nacházíme v době masových krádeží informací,“ uvedl zakladatel bezpečnostní společnosti Holden Security Alex Holden pro IDG News Service.
Hold Security nezveřejnilo názvy napadených webových stránek, avšak podle Holda jde jak o malé webové servery, tak o portály známé po celém světě. Americký list New York Times, jenž jako první se zprávou přišel, si najal nezávislého bezpečnostního experta, jenž autenticitu kradených dat potvrdil. „Tito kyberzločinci nevymysleli nic nového, pouze to udělali lépe a v takovém měřítku, že tento problém postihuje zcela každého,“ říká v rozhovoru Holden.
Podle dostupných informací se útočníci nacházejí na jihu Ruska a podle Holdena nic nenasvědčuje tomu, že by byli nějak provázáni s ruskou vládou. Skupinu má tvořit asi deset lidí ve věku okolo dvaceti let, kteří mají servery pronajaté v Rusku. Hold Security již brzy zveřejní nástroj, který lidem umožní zjistit, zda byly i jejich osobní údaje mezi těmi kradenými. Zaujal vás tento článek? Přehled nejzajímavějších zpráv získáte odebíráním našeho newsletteru »
Tato rozsáhlá krádež dat je podle bezpečnostních expertů pro uživatele jen dalším varováním, aby nepoužívali stejné přihlašovací údaje k více webovým stránkám. Jak řekl Holden pro IDG News Service, „naučit lidi používat hesla bezpečně je velmi důležité.“ Avšak vina je taktéž na společnostech, které nejsou schopné data uživatelů řádně zabezpečit. „Pokud je to možné, používejte dvoufázovou autorizaci s použitím mobilního telefonu,“ doporučil Holden. Jak však bezpečnostní experti informovali tento týden, i dvoufázovou autorizaci je možné prolomit – naposledy se to povedlo jednomu australskému mladíkovi u PayPalu.
Hold Security hlídá průniky do systémů svých zákazníků a v minulosti informovalo o velkých krádežích dat. V říjnu minulého roku tato společnost přišla na krádež 150 milionů přihlašovacích údajů Adobe Systems a o měsíc později poukázala na krádež osobních dat poskytovatele internetové seznamky, společnosti Cupid Media. Jako zatím poslední velký průlom do souktomí byl v tomto roce označován průnik do systémů amerického řetězce Target, při němž bylo ukradeno čtyřicet milionů čísel kreditních a debetních karet a sedmdesát milionů osobních údajů.
Hesla a e-maily vývojářů Mozilly byly měsíc volně na webu
4.8.2014 Incidenty Organizace Mozilla v pátek na svém oficiálním blogu oznámila, že kyberzločinci možná ukradli z její databáze e-mailové adresy a kryptograficky chráněná hesla tisíců vývojářů zapojených do jejích projektů.
Podle oficiálního příspěvku na blogu Mozilly bylo na veřejně přístupném serveru po dobu asi třiceti dnů od 23. června volně přístupných 76 000 e-mailů a 4 000 hesel. Nic údajně nenapovídá tomu, že by k těmto datům někdo tajně přistupoval, avšak představitelé Mozilly uvedli, že to při vyšetřování nemohlo být vyloučeno. Útočníci, kteří by prolomili šifrování, by hesla nemohli využít k přístupu do sítě Mozilla Developer Network, avšak mohli by je použít k přístupu k jiným účtům daných uživatelů – například k jejich webmailům. To, že data byla měsíc přístupná na veřejném serveru, bylo zapříčiněno selháním blíže nespecifikovaných procesů uvnitř Mozilly. „V naší komunitě jsme známí tím, že nám záleží na soukromí a bezpečnosti. A tato nešťastná událost nás opravdu velmi mrzí,“ uvedli na oficiálním blogu Stormy Peters a Joe Stevensen z Mozilly. „Šifrovaná hesla byla zašifrována sama o sobě nelze je využít k přihlášení k portálu MDN. Je však možné, že někteří naši uživatelé použili svá původní hesla MDN k přihlašování na jiné webové portály. Postiženým uživatelům jsme proto poslali e-maily s varováním, aby si daná hesla raději preventivně změnili. Pokud jste tedy heslo používali i jinde, doporučujeme je změnit,“ stojí v příspěvku na blogu s tím. Následuje ujištění, že zaměstnanci Mozilly nyní usilovně pracují na zlepšení svých procesů tak, aby se možnost podobné události v budoucnu snížila. Případné dotazy lze zasílat na e-mailovou adresu security@mozilla.org.
Mozilla také zřídila nové vlákno na svém oficiálním fóru, kam kdokoli, kdo by mohl být postižen, může vložit svůj dotaz či žádost o radu. Problém se zveřejněnými daty vývojářů přichází jen několik týdnů po vydání webového prohlížeče Firefox 31, který přináší řadu bezpečnostních vylepšení a změn, jež mají „pomoci k vytvoření bezpečnějšího ekosystému pro uživatele i vývojáře“.
Evropská centrální banka vydíral v důsledku porušení dat 2.8.2014 Incident Evropská centrální banka (ECB) - centrální banka pro euro - utrpěl porušení dat, a teprve objevil po obdržení vydírání dopis od útočníka. Dobrou zprávou je, že porušení zapojit pouze databázi sloužící veřejnosti banky webové stránky, která obsahovala pouze e-mailové adresy a další kontaktní údaje, které zanechaly lidí, registrovaných na události v ECB. "byly ohroženy žádné interní systémy či tržní citlivých dat," banka potvrdila ve čtvrtek. "Databáze slouží částí internetových stránkách ECB, které shromažďují registrace na akce, jako jsou Kongresy a návštěvy ECB. Je fyzicky oddělen od veškerých vnitřních systémů ECB." Zatímco většina údajů v kompromitaci databáze byla šifrována, některé e-mailové a fyzické adresy a některá telefonní čísla nebyly, a banka okamžitě začal kontaktovat lidi, jejichž data byla přístupná. Doufejme, že oni jsou také říkat jim, aby si dávaly pozor na potenciální útoky typu phishing a Vishing pokusy, stejně jako krádeže identity. Banka se také změnil všechna hesla v systému jen v případě, a potvrdil, že chyba zabezpečení, která byla využívána v rozporu bylo řešit. Německé policie byli informováni o krádeže a začali vyšetřování (sídlo banky je ve Frankfurtu nad Mohanem). "porušení ECB je poslední v dlouhé řadě vysoce profilových útoků proti finančním cílům. Zatímco prohlášení ECB se snaží ubezpečit veřejnost, že tato databáze byl oddělen od systémů na trhu (což je standardní dobré praxe), výsledek porušení proti nízké hodnoty (v kontextu), webové stránky ECB je disproporční špatný tisk a značky škoda, "Will Semple, VP výzkumu a inteligence pro Alert Logic, komentoval pro Help Net Security. "Bude zajímavé sledovat trhy, aby zjistili, zda tato událost přináší obavy důvěru v ECB v průběhu několika příštích dnů." "To je také dobrý příklad v základním problémem, se kterým organizace se snaží zvládnout problémy," Cyber "," on poznamenal. "Tradiční rizik přístup založený na hodnocení bezpečnosti a kontroly designu umožní webové stránky a nízká úroveň / nízká hodnota má být vybudována, bez ochran, jako je šifrování dat v klidu a při tranzitu. Vezmeme-li přístup ke stejné hrozba na základě otázka, kterou jsme si radikálně odlišnou odpověď. Faktor poškození reputace a vlivu důvěry na trhu v důsledku útoku na nízké úrovni a začít navrhovat pro kybernetickou odolnost proti hrozbě spíše než "přijatelné riziko".
UK údaje hlídací pes utrpěl narušení bezpečnosti dat 24.7.2014 Incidenty Porušení dat může opravdu stát komukoliv - jen se zeptejte komisař pro informace Úřad ve Velké Británii (ICO).
Pohřben v nedávné době zveřejnila 2013-2014 výroční zprávy , orgán za úkol ujistit se, že ve Spojeném království organizace - soukromé a vládní - udržet zákazníky a uživatelská data v bezpečí, uvedla, že utrpěla "non-triviální zabezpečení dat incidentu." " Incident byl zpracovaný jako self-reported porušení. To byl vyšetřován a léčen žádný odlišně od podobných incidentů hlášených k nám ostatním. Také jsme provedli interní vyšetřování, "uvedli. "Dospělo se k závěru, že pravděpodobnost poškození či strádání veškeré dotčené subjekty údajů byla nízká a že nepředstavuje závažné porušení zákona o ochraně osobních údajů. plný šetření byla provedena s doporučeními a přijatých. vnitřní vyšetřování byla také uzavřena. " The Times uvádí , že žádné další podrobnosti o porušení byly sdíleny s veřejností a mluvčí úřadu řekl, že ti, kteří chtějí vědět, co se stalo, bude muset předložit o svobodném přístupu k žádosti o informace. Zda je taková žádost by vlastně být produktivní, je jiná věc - je na alespoň jeden předchozí příklad, ve kterém je podobný požadavek nevedl k hledané informace.
96% organizací zasažených bezpečnostního incidentu v uplynulém roce 23.7.2014 Incidenty Nová zpráva ForeScout ukázala, že více než 96 procent organizací zaznamenalo výrazný bezpečnostní IT událost v uplynulém roce. Většina IT organizací si uvědomuje, že některé z jejich bezpečnostních opatření jsou nezralé nebo neúčinné, ale jen 33 procent má vysokou jistotu, že jejich organizace zlepší jejich méně vyspělé bezpečnostní prvky.
Zvýšení provozní složitost a hrozeb ovlivnily bezpečnostní kapacitu za více než 43 procent vnímají prevenci problému, identifikace, diagnostika a náprava jsou náročnější než před dvěma lety. V souhrnu, jeden ze šesti organizací, měl pět nebo více významných bezpečnostních incidentů v uplynulých 12 měsících. Zatímco důvěra v řízení bezpečnosti IT se objeví optimistický, celkové výsledky ukázaly rozpor v účinnosti a pravděpodobně investice ve srovnání s případy, kdy byli nejvíce působivých. Průzkum upozorňuje :
Jeden ze šesti organizace měly pět nebo více významných incidentů, a 39 procent má dva nebo více incidentů. Top bezpečnostní incidenty složená z phishingu, porušení zásad dodržování, neschválený zařízení a aplikace používat, a neoprávněný přístup k datům. 40 procent uvedlo, že úkoly řízení bezpečnosti jsou náročnější nyní než před dvěma lety; konkrétně problém prevence, diagnostika, identifikace a sanace. Nejčastěji citovaná bezpečnostní otázky byly před škodlivým softwarem a pokročilých hrozeb, aplikace a zabezpečení bezdrátové sítě, přístup k síti zdrojů, neschválenému aplikace a osobní použití mobilních zařízení a úniku dat. Kontrolní postupy uvedené jako relativně nezralé byly osobní využití mobilních zařízení, obvod hrozeb, řízení zásob a koncový bod shody, virtualizace bezpečnosti, nepoctiví zařízení a bezpečnostní aplikace. Nicméně pouze 54 procent respondentů uvedlo, že byli poněkud důvěru v pravděpodobnosti zlepšení v průběhu příštích 12 měsíců. Přes 61 procent citované nejnižší k nedůvěře v síti zařízení inteligenci, udržování standardů konfigurace a obranu na zařízení, a zajistit virtuální stroj a vzdálená zařízení dodržovat politiku. Prvních pět bezpečnostních technologií vnímán jako největší interoperability hodnoty byly brány firewall, anti-malware, řízení přístupu k síti (NAC), správu mobilních zařízení (MDM), a detekce pokročilé hrozby (ATD). Potvrzení těchto zjištění, Nicholas Sciberras, Product Manager u společnosti Acunetix uvádí: "Odkrývání všechny otázky zabezpečení je komplikovaný a časově náročný úkol, a často ani není provedena správně, nebo ne dělat vůbec To platí zejména pro malé a střední podniky. podniky, které nemají šířku pásma a odborné znalosti k tomu, aby jejich obvodové sítě a webová bezpečnost jsou dost silná, což umožňuje snadný přístup k interním zdrojům. To, co většina organizací si neuvědomuje, je, že většina otázek bezpečnosti mohou být detekovány automaticky pomocí skenování sítě a zabezpečení webu . řešení " Průmysl a regionální zdůrazňuje:
Malware a APT útoky byly hodnoceny jako nejvyšší prioritu napříč všemi odvětvími a regiony, ale zdá se, že tam je menší pravděpodobnost, že investovat další prostředky pro snížení obvodové hrozby. Významné politické shody porušení, které konzumují velké množství času zotavit se z nastala v průměru 2,6 krát za posledních 12 měsíců na souhrnu ve všech třech regionech, ale ve Spojených státech ve srovnání s Británii a zemích Dach. Výroba, vzdělávání a finanční sektor obecně zdají být náchylnější k phishingové útoky, zatímco sektor zdravotnictví bylo více pravděpodobné, že vyšší než průměrné porušení zásad dodržování. Výjimka je výrobní vertikální ve Velké Británii, kde nepotrestány aplikace a využití zařízení, porušení Splnění zásad a zero-day malware ukázal další incidenty. Zdravotní péče se více zajímají o sledování problematiky úniku dat ve srovnání s jinou výrobu, školství, maloobchodu a financí. Ve srovnání s ostatními vertikály ve Velké Británii a / nebo bezpečnostních zájmů, sledování úniku dat je zdaleka nejdůležitější otázce ke zdravotní péči ve Velké Británii; , a zejména v oblasti DACH neschválený použití zařízení a aplikace a narušení systému se problematičtější. Finanční instituce byly předmětem několika incidentům způsobeným útoky typu phishing, porušení zásad dodržování, neschválenému použití aplikace a úniku dat, a celkově nalezeno problému sanace náročnější ve srovnání s ostatními odvětvími. Pokud jde o definici politiky, technických kontrol a možností zmírnění, vzdělávací sektor obecně se zdá nejméně rozvinuté, zatímco finanční sektor se objeví nejzralejší. Ve Velké Británii se také, finanční sektor se zdá být nejvíce zralý, ale je to především sektor zdravotnictví ve Velké Británii, která se zdá být méně vyspělé. Země v regionu DACH mají menší důvěru ve zlepšení nástrojů pro správu zásob, než jejich protějšky ve Velké Británii a USA 78 procent respondentů v průměru citován BYOD, že mají vliv na GRC. Zatímco maloobchodní sektor se zdá být více progresivní na BYOD bezpečnosti obecně, evropské respondenti citované stírání dat a šifrování jako mají větší dopad na řízení, rizik a dodržování předpisů (GRC). Průzkum, který provedla a sestavil IDG Connect v průběhu května a června roku 2014, ukazuje na povahu bezpečnostních hrozeb a rozsah obrany splatnosti uspořádanou proti organizacím s více než 500 zaměstnanci v oblasti financí, výroby, zdravotnictví, maloobchodu a vzdělávání v USA, Velká Británie, Německo, Rakousko a Švýcarsko.
Porušení vystaven 22800000 osobní záznamy z New Yorku 23.7.2014 Incidenty
Generální prokurátor Eric T. Schneiderman vydala novou zprávu zabývající rostoucí počet, složitost a náklady na narušení dat ve státě New York. Zpráva ukazuje, že počet hlášených zabezpečení dat porušení v New Yorku více než ztrojnásobily mezi lety 2006 a 2013. Ve stejném období, 22800000 osobní záznamy Newyorčanů byli vystaveni téměř 5.000 narušení dat, které náklady veřejného a soukromého sektoru v New Yorku vzhůru 1,37 miliardy dolarů v roce 2013.
Kromě toho zpráva také zjistil, že hackerské útoky - ve kterých musí třetí strany získat neoprávněný přístup k datům uloženým na počítačovém systému, -. Byly hlavní příčinou narušení bezpečnosti dat, což představuje zhruba 40 procent všech porušení "Jak jsme se stále více sdílejí naše osobní informace s obchody, restauracemi, poskytovatelů zdravotní péče a dalších organizací, měli bychom být schopni využívat výhod nové technologie, aniž by sami v ohrožení. Bohužel, náš rozsáhlý pohled na narušení dat zjistili, že miliony Newyorčanů byli vystaveni bez jejich vědomí či souhlasu. Je jasné, že široká, koordinovaná veřejná osvětová kampaň musí probíhat, aby zajistily, že každý z nás - od velkých korporací, aby malé a střední podniky a rodiny - jsou lépe chráněni, "řekl generální prokurátor Schneiderman. "Kupředu, budu prosazovat spolupráci mezi průmyslu a odborníci na bezpečnost, aby zajistily, že organizace po celém státě a zemi mají přístup k nástrojům nutných k zabezpečení našich dat, takže můžeme nejlépe řešit tuto složitou a stále rostoucí problém, "dodal Schneiderman. 2013 byl rok rekordní v narušení bezpečnosti dat , během níž byly vystaveny 7.300.000 záznamů Newyorčanů ve více než 900 narušení bezpečnosti dat. Obrovský počet postižených Newyorčanů v roce 2013 byl do značné míry tažen dvěma maloobchodních mega porušení na cíl a Living Social, které vedly některé dabovat 2013 "Rok na obchodní Porušení." Takzvané mega-porušením také stále více časté: Pět z 10 největších porušení hlášených Úřadu generálního prokurátora došlo od roku 2011. Žádná organizace je osvobozen od tohoto trendu: V osmiletém období analyzované dnešní zprávě, velmi různorodou sadu organizací od místních rodinných podniků velké nadnárodní korporace hlášeny zabezpečení dat porušení na Úřadu generálního prokurátora. Zatímco nejnovější a široce medializované mega-porušením patřilo prodejců, narušení bezpečnosti osobních údajů mají vliv také na zdravotní péči a finanční služby průmysl. Poptávka na sekundárních trzích za ukradené informace zůstává silný. Čerstvě nabyté čísla ukradené kreditní karty, může vynést až $ 45 za záznamu, zatímco jiné typy osobních informací, jako jsou čísla sociálního zabezpečení a informací on-line účtu, může přikázat i vyšší ceny. Non-finanční informace mohou být ještě cennější, protože podvodné použití je obtížné odhalit a informace mohou být použity pro širší škálu účelů. Například, ukradený Facebook účtu může poskytnout přístupový bod pro širokou škálu uživatelských účtů, nebo mohou být použity jako prostředek k ukrást informace od ostatních v rámci sociální sítě daného jedince. Přes rizika spojená s tímto narušením bezpečnosti dat, jednotlivců a organizací může mít praktické kroky k lepšímu chránit sami sebe před hrozbami. I když to může být nemožné zcela zabránit ztrátě dat, mohou organizace, které implementují bezpečnostní údaje plány výrazně snížit škody způsobené porušením bezpečnosti dat. . Kromě toho se mohou jednotlivci i nadále ostražití a přijmout opatření, aby se ochránili proti porušování Úřadu generálního prokurátora naznačuje, že spotřebitelé chránit před hrozbami následujícími způsoby:
Vytvoření silného hesla pro on-line účtů a aktualizovat často. Používejte různá hesla pro různé účty, a to zejména pro webové stránky, kde jste šířených citlivé informace, jako jsou kreditní karty nebo čísla sociálního pojištění. Pečlivě sledovat výpisy z kreditní karty a debetní karty každý month.If najdete nějaké neobvyklé transakce, neprodleně kontaktujte svou banku nebo kreditní karty agenturu. Nepište dolů nebo ukládání hesel v elektronické podobě. Pokud tak učiníte, být velmi opatrní na to, kde budete ukládat hesla. Uvědomte si, že veškerá hesla uložená v elektronické podobě (např. v dokumentu textového procesoru nebo mobilního telefonu poznámek) lze snadno ukradena a poskytnout podvodníky s one-stop nakupování pro všechny vaše citlivé informace. Pokud jste ručně zápisu hesla, neskladujte je na očích. Neposílejte žádné citlivé informace o sociální media.Information jako jsou narozeniny, adresy a telefonní čísla mohou být použity podvodníci k ověření informací o účtu. Praxe minimalizace údajů techniky. Nepoužívejte overshare. Vždy být informován o aktuálním hrozeb. Zůstat až do dnešního dne mediálních zpráv o narušení bezpečnosti dat a spotřebitelských rad. Celá zpráva je k dispozici zde .
OfficeMalScanner pomáhá identifikovat zdroj kompromisu 23.6.2014 Incidenty
Při práci nedávno forenzní případ jsem měl možnost šířit příslovečný křídla trochu a využít několik nástrojů, které jsem měl to před. Ve středu budování mé soudní časovou osu I uvedeného určit počáteční útok vektor, působící na předpokladu, že to byl jeden webový obsah pomocí škodlivého reklamu nebo místa ohrožena web využívat sadu, nebo byl nebezpečný odkaz nebo přílohu dokumentu e-mailem. Jedna zajímavá proměnná vynikla při prohlížení souboru PST oběti. Její společnost byla ve středu pronájem, hledá kandidáty na několik pozic, a přijímal četné e-maily s přílohami životopis, jak PDF a DOC / DOCX. Už jsem zjistil, primární malware kompromis systému oběti, tak jsem prostě potřeboval zjistit, jestli tam byl škodlivý e-mail, který dorazil před založený na časových razítek. Jednou z konkrétních e-mail s Word doc připojené stál přímo tak, jak dorazil v 12:23 hod. téhož dne malware kompromisu později v poledne. Detekce Antimalware okamžitě identifikoval jako přílohu TrojanDownloader: W97M/Ledod.A. Tento údajný příloha životopis byl také pro John Cena, která mě popraskané jako jsem opravdu obeznámeni s WWE profesionální zápasník se stejným názvem. Bohužel, technické detaily pro W97M/Ledod.A byla slabá na to nejlepší a vše jsem musel jít od začátku byl "tento trojan můžete stahovat a spouštět další malware nebo potenciálně nežádoucího softwaru do vašeho počítače." Jo, díky za to. Co je špatné forensicator dělat? Frank Boldewin je (Reconsructer.org) OfficeMalScanner na záchranu! Tento nástroj funguje jako kouzlo, když chcete rychlý způsob skenování pro shell kód a šifrovaných souborů PE, stejně jako tahání makro detaily z ošklivé dokumentů sady Office. Jako vždy, když se rozhodnete pracovat s Mayhem, to je nejlepší, aby tak učinily v izolovaném prostředí; Vedu OfficeMalScanner na Windows 7 virtuální stroj. Pokud jste právě běží OfficeMalScanner se ven definující žádné parametry, je to laskavě skládky možnosti pro vás, jak je vidět na obrázku 1 .
OfficeMalScanner možnosti
Obrázek 1
Pro tento konkrétní vzorek, když jsem běžel OfficeMalScanner.exe "John Cena Resume.doc" skenování výsledek " Žádné škodlivé stopy nalezené v tomto souboru! " byla vrácena. Jak mě nástroj poradili, běžel jsem OfficeMalScanner.exe "John Cena Resume.doc" informace , jak dobře a udeřil plat nečistoty, jak je vidět na obrázku 2 .
OfficeMalScanner najde kód makra
Obrázek 2
Když jsem otevřel ThisDocument z C: \ tools \ OfficeMalScanner \ John Cena RESUME.DOC-maker jsem byla léčena na adresu URL a spustitelný užitečného zatížení Doufal jsem, jak je vidět na obrázku 3 .
OfficeMalScanner výsledky
Obrázek 3
Trochu virustotal.com a urlquery.net výzkum dodevelopments.com mi řekl všechno, co jsem potřeboval vědět, čistý litevské zlo ve formě IP adresy 5.199.165.239 . A trochu trekking všech škodlivých exe let je známo, že se v souvislosti s tím IP adresa a voila, měl jsem zdroj.
Viz Jared Greenhill 's writeup na týchž pojmů na EMC RSA Security Analytics Blog a vlastní Lenny Zeltser 'y Analýza Škodlivé Dokumenty Cheat Sheet , kde jsem se poprvé dozvěděl o OfficeMalScanner. Dřívější související deníky patří dekódování společný XOR zmatku v škodlivého kódu a analýza škodlivého souborů ve formátu RTF pomocí OfficeMalScanner v RTFScan (Lenny je El Jefe).
Doufám, že se někteří z vás na SANSFIRE 2014. Budu tam v pondělí večer státu internetu Panelová diskuse v 07:15 a představí C3CM Porážka Command, Control, Communications a digitálních útočníci v úterý večer v 8 : 15.
Hacker Klade Hosting kód obslužných prostorách Out of Business 19.6.2014 Incidenty Kód prostory, kód-hosting a softwarová platforma pro spolupráci, který byl vyřazen z činnosti útočník, který smazaných dat a zálohování společnosti.
Úředníci psal zdlouhavé vysvětlení a omluvu na internetových stránkách společnosti, slíbil, že strávit své stávající zdroje pomáhají zákazníkům získat zpět bez ohledu na data mohou být ponechána.
"Kód Prostory nebude moci pracovat nad rámec tohoto bodu, budou náklady na řešení tohoto problému na datum a očekávané náklady na refundace zákazníkům, kteří byli opuštěni, aniž by služby, které zaplatil za dal kód mezery v nevratném pozici jak finančně, tak v Podmínky probíhající důvěryhodnosti, "četl poznámku. "Jako například v tuto chvíli nemáme jinou možnost, než ukončit obchodování a soustředit se na podporu našim postiženým zákazníkům v exportu zbývající údaje, které jsou vlevo s námi."
Začátek konce byl útok DDoS zahájeno včera, který byl doprovázen vniknutí do Amazon EC2 ovládacím panelu Kódových prostory. Požadavky vydírání byly ponechány pro kód místa okolí úředníků, spolu s adresou Hotmail, kterou měli použít kontaktovat útočníky.
"Na základě poznání, že někdo měl přístup k naší ústředně, jsme začali zkoumat, jak byl přístup získal, a to přístup, který člověk musel dat v našich systémech," řekl Kód prostory. "Bylo jasné, že dosud žádný přístup ke stroji bylo dosaženo díky vetřelec nemá své soukromé klíče."
Kód Prostory řekl, že změnil své EC2 hesla, ale rychle zjistil, že útočník byl vytvořen záložní přihlášení, a jakmile pokusy o využití byly všiml, že útočník začal odstranění artefaktů z panelu.
"Konečně se nám podařilo získat naše přístupový panel zpět, ale ne dřív, než se odstraní všechny snímky, EBS, S3 kbelíky, všechny AMI je, některé případy, EBS a několik příkladů strojů," řekl Kód prostory. "Stručně řečeno, většina našich dat, zálohování, konfigurace strojů a mimo zálohy byly buď částečně, nebo zcela odstraněny."
"Stručně řečeno, většina našich dat, zálohování, konfigurace strojů a mimo zálohy byly buď částečně, nebo zcela odstraněny." Amazon Web Services zákazníci jsou zodpovědné za pověření řízením. Amazon, nicméně, má vestavěnou podporu pro dvoufaktorové autentizace, které lze použít s AWS účty a účty spravované nástrojem AWS Identity a Access Management. AWS IAM umožňuje kontrolu nad přístupem uživatelů, včetně jednotlivých pověření, rozdělení rolí a nejméně výsady.
Do 12 hodin Kód prostory šel z životaschopného podniku k devastaci. Společnost oznámila, že všechny její SVN repozitáře-zálohování a snímky, byly odstraněny. Všechny objemy EBS obsahující databázové soubory byly odstraněny. Několik starých svn uzly a jeden git uzel zůstaly nedotčeny, uvedla firma.
Vyrovnávací paměť kódu místa okolí služeb zahrnuje sliby plné redundance a že kód je kopírovat a distribuovat mezi datovými centry na třech kontinentech.
"Zálohování dat je jedna věc, ale to nemá smysl bez plánu obnovy, a to nejen, že plán obnovy - a ten, který je dobře vycvičený a osvědčil se znovu a znovu," řekl Kód prostory. "Kód Prostory má celý plán obnovy, který byl prokazatelně pracovat a je, ve skutečnosti, cvičil."
Hacker Využije NAS Chyby dolu $ 620K v Dogecoin 19.6.2014 Incidenty, Zranitelnosti Hacker, dobře-zběhlý v malware a využívat vývoje, využil chyb v Synology Network Attached Storage boxy populární domácích uživatelů až těží více než 600.000 dolarů v hodnotě digitální měny Dogecoin.
Výzkumníci Pat Litke a David Shear Dell SecureWorks "Counter Threat Unit zveřejněny podrobnosti o útoku, který využíval čtyři chyby zabezpečení v systému Synology DiskStation Manager boxy "Linux-založený operační systém. Chyby byly hlášeny v září loňského roku a oprava v únoru.
Útoky se stal veřejností na 8 únoru, kdy uživatelé hlásili špatný výkon a vysoké využití procesoru, Litke a smyku řekl.
"Nakonec bylo zjištěno, že příčinou nadměrné spotřeby zdrojů bylo kvůli nelegitimní software, který byl infikován systémů, který ironicky, byl uložen ve složce s označením" PWNED, "řekli.
Chyby byly vážné, a uživatelé byli vystaveni po dobu pěti měsíců. Chyby byly vážné, a uživatelé byli vystaveni po dobu pěti měsíců. Výzkumník Andrea Fabrizi hlášeny problémy, dne 10. září. Chyby v rozmezí od vzdáleného emise soubor ke stažení, kde ověřené Uživatelé byli umožněno stáhnout si soubor-včetně hesel souborů vlastněných jiným uživatelům systému DSM, na příkaz vstřikování zranitelnosti, a dva problémy, které vedly k dílčí dálkové obsahu ke stažení.
Litke a smyku řekl, že s použitím pokročilé vyhledávání Google, by útočníci najít téměř milion přiznání za ohrožené Synology NAS boxy a často mohly být směřovány přímo na souborovém systému Box.
Mezi 1 února a 9. května vyhledává portu 5000, stejný port, na kterém Synology NAS boxy poslouchat, vzrostla na nebývalou úroveň, SANS Internet Storm Center řekl.
Litke a ve smyku, mezitím se podařilo vypáčit "pwned" složku našel na napadených krabic a netrvalo jim dlouho přijít na to, že hackeři se důlní cryptocurrency. Útočník klesl CPUMiner malware, který byl vylepšený pro Synology NAS hardware. Malware otevřel zadní vrátka a připojit přes port 8332 na vzdálený server, Litke a smyku řekl.
"Tato adresa není známa žádná veřejně dostupných důlních bazénů," řekli, "a bylo tedy pravděpodobné, soukromý bazén používá herec hrozeb pro osobní zisk."
Výzkumníci byli schopni najít důkazy o cryptocurrency blockchain v kódu řetězce, stejně jako na botmaster je veřejný klíč, který odpovídal konkrétní Dogecoin peněženku.
"Zkoumáním kladkostroje Dogecoin na této adrese (stejně jako jeden další), jsme byli schopni se shodují celkové vytěžené hodnotu přes 500 milionů Doge, nebo zhruba 620.496 dolar USD (z nichž většina byla vydělal v lednu a únoru tohoto rok), "napsal Litke a ve smyku.
"K dnešnímu dni, tento incident je jeden z nejdůležitějších ziskové, nelegitimní důlní provoz. Tento závěr je částečně založen na předchozích šetření a výzkumu, kterou vykonal Counter Threat Unit, stejně jako další vyhledávání na internetu, "řekli. "Jako cryptocurrencies nadále nabírat rychlost, jejich popularita jako cíl pro různé malware budou i nadále stoupat."
Vzhledem k tomu, popularita a potenciální zisk z Bitcoin a dalších cryptocurrencies, to je přirozené, že hackeři by mohly obrátit svou pozornost k nedovolené těžby. Počet případů byly hlášeny, dokonce méně než možné podnik pomocí CoinKrypt malware na Android zařízení k těžbě Litecoin a Dogecoin. Mobilní zařízení nemají moc zpracování a zdrojů stolních počítačů a serverů, například, aby CoinKrypt podnik trochu víc než na obtíž.
AT & T varuje zákazníky datových Porušení 19.6.2014 Incidenty AT & T oznámila některé ze svých mobilních telefonů, které zaměstnanci jednoho ze svých dodavatelů zobrazena nějaké informace o zákaznících, včetně data narození a čísla sociálního pojištění, ve snaze vytvářet kódy, které by mohly být použity k odemknutí zařízení.
Firma neupřesnila, kolik zákazníků bylo postiženo porušením, a nezdá se, že jakákoliv finanční informace byly přístupné. AT & T poslal dopis do Kalifornie generální prokurátor vysvětlovat porušení, a řekl, že v důsledku tohoto incidentu bylo ukončeno zaměstnanců zhotovitele, kteří byli zodpovědní za porušení.
"AT & T závazek na soukromí zákazníků a zabezpečení dat je nejvyšší prioritou, a bereme ty závazky velmi vážně. Nedávno jsme zjistili, že zaměstnanci jednoho z našich poskytovatelů služeb porušil naše přísná pravidla ochrany soukromí a zabezpečení přístupu k vašemu účtu bez oprávnění od dubna 9 a 21 dubna 2014, a při tom by byli schopni zobrazit vaše číslo sociálního zabezpečení a možná vaše datum narození, "říká dopis.
"AT & T věří, že zaměstnanci přístup k vašemu účtu jako součást úsilí požadovat kódy od AT & T, které se používají k odemknutí AT & T mobilní telefony na sekundárním trhu s mobilními telefony, takže tato zařízení pak mohou být aktivovány u jiných poskytovatelů telekomunikačních služeb."
Bezpečnostní experti říkají, že i když tam zřejmě žádný přímý finanční dopad na zákazníky, porušení je stále znepokojující.
Bezpečnostní experti říkají, že i když tam zřejmě žádný přímý finanční dopad na zákazníky, porušení je stále znepokojující. "Každý správcem informací pro spotřebitele, jako je AT & T, bude čelit událost, jako je tento. Co odděluje ty, které měl věřit od ostatních je přehlednost a důvěra v komunikaci tváří v tvář s oznámením, jako je tento. Zákazníci by měli cítit jistotu, že společnosti pověřené jejich citlivých informací žádáte technické kontroly, aby se zabránilo trestní přečiny, ne jen doufat, že jejich uživatelé nebudou chovat "počítadlo na způsob, jakým jsme se vyžadují naše dodavatele k podnikání," řekl Trey Ford, globální bezpečnostní stratég Rapid7.
"Zákazníci a veřejnost bude chtít vědět, kdy počáteční porušení se stalo, jak se to stalo, jak to bylo zjištěno, a jak dlouho trvalo detekce. Chceme vědět, že problém byl obsažen, jaká data byla ovlivněna, a jak by to mohlo být opraveno, a v budoucnu zabránit. AT & T neposkytl informace na jejich zpřístupnění. "
Ve svém dopise, AT & T říká, že nabízí postiženým zákazníkům ročně volného úvěrového monitoringu a doporučuje, aby lidé změnu hesel k jejich účtům jako prevence.
Odhad nákladů na porušení dat, cloud 17.6.2014 Incidenty IT a bezpečnostní odborníci očekávají, cloud služby znásobit pravděpodobnost a ekonomický dopad narušení dat, jak proniknout do podniku. Oni také ukazují, že rozsah použití a odpovědnosti za zabezpečení cloudových služeb zůstává mezi IT velkou neznámou, podle Netskope.
Zpráva vychází Ponemon Institute v květnu 2014 Náklady na porušení studie dat, které zřídil cenu 201,18 dolarů za ztracené nebo ukradené zákazníka záznamu. Za porušení dat zahrnující 100.000 nebo více zákazníků zaznamenává náklady by přišel jen více než 20 milionů dolarů. Respondenti byli požádáni, aby odhadli aktuální pravděpodobnost porušení dat takového rozsahu, a pak, jak zvýšit využívání cloudových služeb by se změnilo, že pravděpodobnost. Ve zprávě se uvádí, že tato násobí pravděpodobnost narušení dat, které co nejvíce 3x. "S 201 dolarů cenovka pro každého záznamu ztracené, náklady na porušení dat pouhých 100.000 záznamů je 20 milionů dolarů. Představte si, pak v případě, že pravděpodobnost, že porušení dat byly až na trojnásobek jednoduše proto, že zvýšila své využití cloudu. To je to, co podnikové IT lidé přicházejí o vypořádání se s, a že jsem začala uznávat, že je třeba sladit své bezpečnostní programy představují pro něj, "řekl Sanjay Beri, CEO a zakladatel společnosti Netskope. "Zpráva ukazuje, že i když existuje mnoho firmě -ready aplikace jsou dnes k dispozici, nejistota z rizikových aplikací krade přehlídku pro IT a bezpečnostních profesionálů. Přepisování tento příběh vyžaduje kontextuální znalosti o tom, jak jsou tyto aplikace používají a efektivní způsob snižování rizika, "říká Beri. "Byli jsme sledování nákladů na porušení dat po celá léta, ale nikdy jsem neměl příležitost podívat se na Potenciální rizika a ekonomické dopady, které by mohly pocházet z mraku zejména, "řekl Dr. Larry Ponemon, předseda a zakladatel Ponemon Institute. "Je to fascinující, že vnímané riziko a ekonomický dopad je tak vysoká, pokud jde o cloud využití app." Nedostatek důvěry v cloud zvyšuje očekávání porušení dat přes palubu, respondenti se domnívají, že jejich vysoké hodnoty IP a data zákazníků jsou méně bezpečný, pokud využití cloudových služeb se zvyšuje. Respondenti uvedli, že věří, že je nedostatek náležité péče při provádění a monitorování bezpečnostních programů v rámci společnosti a mají nejistotu o bezpečnostních postupech poskytovatel cloud služeb, přičemž se uznává, že existují neznámé cloud služby v síť. To vše vede k obecné vnímání, že pravděpodobnost, že došlo k porušení dat se zvyšuje v dnešním IT prostředí.
Respondenti odhadují, že každé zvýšení 1 procento při využívání cloud služeb bude mít za následek 3 procent vyšší pravděpodobnost narušení dat. To znamená, že organizace používá 100 cloudových služeb bude muset přidat 25 více zvýšit pravděpodobnost narušení dat o 75 procent pouze. Více než dvě třetiny (69 procent) respondentů se domnívají, že jejich organizace není aktivní při posuzování informací, které je příliš citlivá, které mají být uloženy v cloudu. 62 procent respondentů věří, že cloud služby v používání jejich organizaci nejsou důkladně prověřeni pro zabezpečení před nasazením. Téměř tři čtvrtiny (72 procent) respondentů věří, že jejich poskytovatel cloud služeb by se jim neprodleně oznámit kdyby k porušení dat, zahrnující ztrátu nebo odcizení jejich duševního vlastnictví nebo důvěrné obchodní informace, a 71 procent si myslí, že by se bezprostředně obdržel oznámení po porušení zahrnující ztrátu nebo odcizení dat zákazníka. Respondenti věří, 45 procent z všech softwarových aplikací užívaných organizacemi jsou v cloudu, ale přesně polovina (22,5 procenta) z těchto aplikací nejsou viditelné pro IT. Respondenti odhadují, že 36 procent z kritických aplikací se sídlem v cloudu, ale IT postrádá výhled do téměř poloviny z nich. Ponemon Institute zkoumal 613 IT a bezpečnostních odborníků v USA, kteří jsou obeznámeni s využitím jejich společnosti cloud služeb. Průzkum webová probíhal v březnu 2014.
Hackeři Porušení Domino Francie, žádost o výkupné platba 17.6.2014 Incidenty, Kriminalita Skupina hackerů volat sebe tvrzení "Rex Mundi" porušila zranitelné servery patřící do Domino Francii a Belgii, krást citlivé informace téměř 600.000 zákazníků. Skupina požaduje platbu ve výši € 30,000 z Domino výměnou za informace o této chybě zabezpečení se vykořisťované a záznamy, které učinily off se. Domino viceprezident komunikací Tim McIntyre potvrdil útok na e-mailové rozhovoru s Threatpost, ale zdůraznil, že porušení ovlivní pouze zákazníci ve Francii a Belgii, a že žádné finanční údaje byly vystaveny. Ten také potvrdil, že skupina hacker kontaktovat Domino je ve Francii náročnou dodatečnou platbu kromě vyhrožovat přes Twitter. McIntyre říká, že společnost nemá v úmyslu platit skupiny žádné peníze. Rex Mundi Twitter rukojeť bylo pozastaveno, i když není jasné, jestli to krok se vztahuje k útoku nebo hrozby údajně dopustil. "Žádný zákazník kreditní karty nebo finanční informace byla ohrožena, protože jejich systém je poněkud zastaralý a nepřijímá rozkazy kreditní karty," řekl McIntyre Threapost. "Plány jsou již na místě, aby se systém převalit na platformě používáme v USA To nemá vliv na trh mimo Francii a Belgii. Stránka byla zajištěna. " Hutný vyhledávání v minulých titulky ukáže, že Rex Mundi - který překládá doslovně od latin jako "král světa" - má za sebou historii prohlašovat hacky různých organizací a náročné výkupné platby z nich. Skupina tvrdila v položce dpaste.com, že od té doby byl odstraněn, že utekl s 592.000 Domino zákaznických záznamů, a to především z Francie s téměř 60.000 z těchto záznamů patřil belgické uživatelům. Ukradené informace jsou řekl, aby obsahoval veškeré jména zákazníků, adresy, telefonní čísla, e-mailové adresy, hesla, dodací instrukce a oblíbená pizza zálivky. Rex Mundi říká, že stránky jsou stále zranitelné, i když tvrzení Domino to není pravda. Skupina hacker říká, že to bude dělat na informace, které má ukradené veřejnosti o 8 PM CET (2 EDT), pokud neobdrží platbu. # Hacker skupina vyžaduje € 30k z @ Domino poté, co kradl 600.000 zákazníků záznamy.
AT & T hacker chce US vláda platit za čas strávil ve vězení 30.5.2014 Incidenty V otevřeném dopise adresovaném členům New Jersey okresního soudu, FBI a DOJ, Andrew "weev" Auernheimer hledá peněžní náhradu za dobu byl omezen na jurisdikci New Jersey okresního soudu a strávil ve federálním vězení poté, co byl odsouzen za publikování seznamu e-mailů a AT & T ověřování ID časných iPad osvojitele.
"Já jsem, v průběhu 3 let, bylo dosaženo oběť zločinného spolčení ti ve federální vládě. To bylo spiknutí pobuřování a velezrady, dopouštějí se násilí v omezeném počtu federálních agentů, aby mě zbavil mé ústavní práva na spravedlivý proces a protiprávně mě ve vězení, "řekl napsal . "To není halucinace z mé strany. Tato tvrzení byla ve skutečnosti ověřeny třetí obvodního odvolacího soudu, když se uvolnil falešný rozsudek proti mně uložené soudem soudce Susan D. Wigenton. " Auernheimer, hacker a člen Goatse Security, byl odsouzen strávit 41 měsíců ve vězení za svou roli ve sklizni a publikování e-mailů a AT & T ověřování identifikátorů 114.000 brzy-osvojitele na Apple iPad v roce 2010. Jeho věta byla vyklizena kvůli technicality: byl odsouzen New Jersey federální soud, a to navzdory skutečnosti, že žil v Arkansasu a servery on a jeho spiklence přístupné byly umístěny v Texasu a Gruzie. Tam je ještě možnost, že vláda bude apelovat případ k Nejvyššímu soudu, a pokud ne, že bude znovu obviněn v novém jurisdikci. Přesto, že je tlačí na této žádosti. "Chci, historie zaznamenává, že jsem upřímný a veřejný pokus získat náhradu za násilí, vláda dopustil proti mně. Ať jsem se dál, chci, aby lidé věděli, že jsem se snažil civilní a mírové řešení první, "uvedl. On se ptá na 28296 Bitcoins (dosáhly částky 13 milionů $) - jeden pro každou hodinu každého (1179) den, že "nebylo povoleno svobodně vykonávat své svobody jako občan. " "Nesouhlasím s tím Spojené státy dolary, protože to je přednostní měna zločineckých organizací, jako je například FBI, ministerstvem spravedlnosti, ATF, a Federálního rezervního systému a já nemám pomáhat podnikům trestní vyděračství," došel k závěru, a dodal, že se bude řídit peníze "na dobrou a charitativní účely." "Andrew Auernheimer byl odsouzen po procesu před porotou, a obvinění proti němu byla zamítnuta na základě místa, ne na jejich zásluhy. Jakýkoli návrh na Opak je nepochopení názoru soudu, "mluvčí New Jersey Okresního soudu komentoval dopis.
San Diego State varuje možných dat Porušení 30.5.2014 Incidenty San Diego State University oznámil některé ze svých současných i bývalých enrollees, že některé z jejich osobní údaje mohou být přístupné neoprávněnými uživateli, poté, co byl nalezen databáze obsahující informace, které mají být přístupné pomocí kdokoliv v kabelové síti postiženého oddělení.
Databáze v otázce patří do Pre-College Institute, která je součástí školy Pedagogické fakultě, která podporuje vzdělávání ve středních a vysokých škol. V dopise zaslaném Úřadu generálního prokurátora v Kalifornii, SDSU CIO řekl, že škola nemá žádné náznaky, že data byla vždy přístupné útočníky, nebo dokonce neoprávněnými uživateli nebo používané k nekalým účelům.
"Databáze byla řízena Pre-College Institute a obsahuje vaše jméno, číslo sociálního zabezpečení, datum narození, adresu a další osobní údaje potřebné k poskytnutí pre-vysokoškoláci různé služby. Ty byly nebo jsou zapsáni v jednom z programů Pre-College Institute. Databáze byla zamýšlel být používán pouze zaměstnanci Pre-College Institute, ale to bylo chybně nakonfigurován, aby jakýkoliv počítač připojený ke kabelové síti SDSU, s programem "FileMaker", otevřete jej. Kabelové sítě SDSU se skládá z kanceláře, některé laboratoře a knihovny, " Dopis říká, že z Chrise Xanthos, spolupracovník viceprezident pro obchodní operace a CIO,.
"SDSU bere svou odpovědnost k ochraně vašich osobních údajů velmi vážně, a omlouváme se za nesprávnou konfigurací databáze. Při učení tohoto stavu, Pre-College Institute překonfigurovat databázi k dispozici pouze pro zaměstnance pracující v Ústavu podporu pre-vysokoškolské studenty. "
Není to neobvyklé, kdo se dozví o porušení dat, která vyplývá z nějaké formy konfigurací nebo lidské chyby, a to zejména v prostředích, jako jsou vysoké školy, kde jsou sítě často jsou otevřeny ve výchozím nastavení. Vysoké školy a univerzity jsou společné cíle pro útočníky, kteří vědí, že školy zpravidla nakloněni otevřených sítí a ukládat cenné osobní údaje desítky tisíc studentů, fakulty a zaměstnance.
Mnoho velkých univerzit byli terčem útočníků v posledních letech, zejména University of Maryland, který utrpěl závažné porušení dat na začátku tohoto roku.
Monsanto Trpí dat Porušení při Precision výsadbu jednotky 30.5.2014 Incidenty Monsanto, masivní mezinárodní zemědělský konglomerát, který zakládá porušení dat, která zahrnovala osobní údaje zákazníků a zaměstnanců jeho Precision výsadbu dceřiné společnosti. Porušení včetně jména, adresy, možná sociálního zabezpečení čísla a některé finanční informace o účtu.
Společnost objevil porušení 27. března, ale to nebyla zveřejněna až na začátku tohoto měsíce. Představitelé společnosti tvrdí, že incident vyústil formulář neoprávněnému přístupu k serveru, který obsahoval citlivé informace o více než 1200 zákazníků a zaměstnanců Přesné Výsadba. Dceřiná společnost poskytuje zemědělské služby a zemědělské stroje a zařízení.
"Dne 27. března jsme zjistili, neoprávněný přístup k našim systémy došlo prostřednictvím stranou. Soubory na postižených serverech obsahovaly osobní údaje, včetně jména zákazníků, adresy, identifikační čísla (daň, která v některých případech může být číslo sociálního zabezpečení), a (v některých případech), finanční informace o účtu. Navíc, některé personální data byla uložena na serverech, včetně některých daňových formulářů W2, které obsahovaly jméno zaměstnance, adresu a čísla sociálního pojištění a (pro malý počet zaměstnanců), čísla řidičských průkazů, "Reuben Shelton, generální rada na Precision Výsadba, napsal v porušení informačním dopise do kanceláře Maryland generálního prokurátora.
Je zajímavé, že ačkoli společnost nemá myslet, že incident byl součástí pokusu o krádež informací postižených zákazníků, to je práce s FBI na něj.
"Věříme, že tento neoprávněný přístup nebyl pokus ukrást informace o zákaznících; Je však možné, že soubory, které obsahují osobní údaje mohou být přístupné, a proto jsme udělali toto oznámení, "říká dopis.
"Tento incident byl zvládnut a my jsme spolupracuje s přední forenzní firmy pochopit a sanaci tohoto problému. Kromě toho jsme požádali Federální úřad pro vyšetřování o pomoc. "
Porušení údaje Monsanto má některé podobnosti s jinou tento týden v San Diego State University incidentu . Úředníci na SDSU řekl, že některé informace na konkrétní databázi byla přístupná neoprávněným uživatelům na určitou dobu, ale neměli žádný důkaz, že to bylo vždy dostupné všem zaměstnancům a studentům, kteří by to viděli, nebo podle útočníci.
Hackeři napadli Avast a ukradli uživatelská data
27.5.2014 Incidenty Cílem hackerů se občas stanou i ti, kteří by proti jejím útokům měli být nejlépe zabezpečení – antiviroví specialisté. Minulý víkend se to „podařilo“ Avastu, jehož webové komunitní fórum podpory napadli útočníci a získali databázi s přezdívkami, jmény, e-mailovými adresami a kontrolními součty hesel.
Webové fórum Avastu je tak nyní podle blogového zápisku dočasně mimo provoz a šéf společnosti Vince Stecker uklidňuje komunitu, že únik dat se týká pouze 0,2 % uživatelů z dvousetmilionového balíku, kteří přispívali do komunitního fóra podpory.
eBay ohlásil unik údajů o uživatelích včetně hesel
23.5.2014 Incidenty Aukční server vyzval své uživatele ke změně hesel poté, co se útočníci dostali do firemní sítě společnosti. Ovšem s velkým zpožděním.
Jak eBay uvedl ve svém prohlášení, kyberzločincům se na přelomu února a března podařilo získat přístupové údaje k několika zaměstnaneckým účtům a proniknout tak do korporátní sítě. Společnost prý na prolomení ochrany přišla teprve před dvěma týdny.
Po realizaci rozsáhlých testů společnost došla k závěru, že nedošlo ke zneužití žádných uživatelských účtů. Není prý ani známo, že by došlo k neautorizovanému přístupu k informacím finančního charakteru jako například k platebním údajům z kreditních karet. Tento typ dat je totiž uložen samostatně v zašifrovaném formátu.
Data z dceřiné společnosti PayPal podle eBay také nebyla zneužita, protože jsou rovněž uložena na jiném serveru.
Databáze, ke které se útočníci dostali, obsahuje uživatelská jména, zašifrovaná hesla, emailové adresy, fyzické adresy, telefonní čísla a data narození, nikoliv však finanční údaje.
Přestože tedy dosud nedošlo ke zneužití žádného uživatelského účtu, eBay svým uživatelům doporučil změnu hesla. Současně se svým zákazníkům samozřejmě omluvil a vyjádřil nad celou událostí politování. Ve spolupráci s bezpečnostními složkami se prý již snaží identifikovat možné útočníky.
Z eBay bylo ukradeno 145 miliónů hesel
22.5.2014 Incidenty Největší aukční server světa eBay postihl kybernetický útok. Při něm se pirátům podařilo odcizit 145 miliónů hesel. Zástupci firmy nyní dotčené uživatele budou vyzývat ke změně svých přístupových údajů, uvedl server Mashable. Útok se měl uskutečnit už na přelomu února a března, zástupci firmy však o něm informovali až tento týden. „Uživatele budeme vyzývat ke změnám hesel kvůli kybernetickému útoku, který ohrozil databázi se šifrovanými hesly a další údaje,“ stojí v prohlášení společnosti. Do vnitřní sítě se kyberzločinci dostali pomocí odcizených zaměstnaneckých účtů.
Kromě šifrovaných hesel se tak dostali podle vyjádření eBaye také k e-mailovým adresám, uživatelským jménům, fyzickým adresám, telefonním číslům a datům narození. Údaje týkající se financí však odcizeny údajně nebyly.
„Neexistuje žádný důkaz, že by byly jakékoliv finanční informace zpřístupněny útočníkům nebo jinak ohroženy. Přesto nyní činíme veškerá opatření, abychom chránili naše zákazníky,“ uvedla pro server Mashable mluvčí společnosti eBay Amanda Millerová.
Platební brána PayPal je prý v bezpečí Uživatelé se podle ní nemusí obávat zneužití údajů týkajících se platební brány PayPal, kterou eBay vlastní. Pomocí ní probíhají platební transakce nejen na tomto aukčním serveru, ale také na mnoha dalších.
„PayPal data jsou uložena odděleně v zabezpečené síti a všechny finanční informace týkající se těchto účtů jsou zakódovány,“ konstatovala mluvčí.
Zároveň dodala, že obezřetní by měli být lidé, kteří používají stejná hesla pro více internetových účtů. Aby k nim nezískali počítačoví útočníci přístup, měli by je z preventivních důvodů také změnit.
eBay ohrožena data narušení, vyzývá Změna hesla 21.5.2014 Incidenty On-line prodej a aukce obří eBay bude svým zákazníkům žádat změnit svá hesla ještě dnes kvůli kybernetického útoku, který ohrožena server, který obsahuje zašifrovaná hesla a jiné non-finanční informace.
Společnost tvrdí, že nevěří, že došlo k jakékoli neoprávněné činnosti zákaznického účtu v důsledku porušení. Kromě toho, eBay Inc tvrdí, že uživatel finanční data, stejně jako PayPal informace nejsou ohroženy, protože tato data jsou uložena v šifrované formáty na samostatné, nedotčených serverů.
"Cyberattackers ohrožena malý počet zaměstnanců pověření log-in, který umožňuje neoprávněný přístup k podnikové síti eBay," uvedla společnost v prohlášení. "Práce s donucovacími orgány a předními bezpečnostními experty, společnost agresivně záležitost vyšetřuje a uplatňování nejlepší forenzní nástroje a postupy na ochranu zákazníků."
Informace uložené na eBay kompromitaci databáze je řekl, aby zahrnoval jména zákazníků, zašifrovaná hesla, e-mail a fyzické adresy, telefonní čísla a data narození.
eBay tvrdí, že jako první objevil před dvěma týdny ohrožena pověření zaměstnanců. eBay tvrdí, že jako první objevil před dvěma týdny ohrožena pověření zaměstnanců. Někdy mezi tehdy a teď společnost tvrdí, že identifikoval, která byla ovlivněna databáze a je nyní kontaktovat odpovídajícím zákazníky.
Trey Ford, globální bezpečnostní stratég Rapid 7, tvrdí, že k porušení došlo někdy v období od února do začátku března. Ford rovněž poznamenává, že uživatelé by měli mít na pozoru před každého kontaktu je prohlašovat, že je eBay - jako zvýšení souvisejících phishingových útoků je pravděpodobné.
Držitelé eBay účtu by měl obdržet e-mailové oznámení od společnosti někdy později během dne. eBay bude také post oznámení na svých internetových stránkách v té době. Není jasné, proč se firma čeká, až později v průběhu dne informovat své zákazníky.
Nicméně, uživatelé budou nakonec nuceni změnit svá hesla na eBay a vyzval ke změně hesla pro jiné účty, pokud se stalo, že se pomocí stejných hesel tam.
Výrobce Hardware LaCie utrpěl celoroční porušení dat 27.4.2014 Incidenty Francouzský skladování počítačový hardware výrobce LaCie utrpěl porušení dat, který ovlivnil dosud nepotvrzený počet svých zákazníků. "Dne 19. března 2014 FBI informoval LaCie, že zjistila, že neoprávněná osoba používají malware k získání přístupu k informacím z transakcí zákazníků které byly provedeny prostřednictvím internetových stránek LaCie, "společnost sdílené v oznámení incidentu . "jsme najali vedoucí soudní vyšetřování firmu, která provádí důkladné vyšetřování, a pomáhající nám v provedení dodatečných bezpečnostních opatření. Na základě šetření bylo zjištěno, věříme, že transakce provedené mezi 27 březnem 2013 a 10.3.2014 byl ovlivněn. " Informace, které byly pravděpodobně ohrožena při porušení obsahuje jméno zákazníka, adresu, e-mailovou adresu, číslo platební karty, datum ukončení platnosti karty, a pravděpodobně i jejich uživatelských jmen a heslo. "Jako preventivní opatření jsme dočasně zakázali e-commerce část webových stránek LaCie, když jsme přechod na poskytovatele, který se specializuje na zabezpečených služeb zpracování plateb. Budeme pokračovat v přijímání on-line objednávky, jakmile jsme dokončili přechod, "řekli, a dodal, že budou nutit reset hesla pro všechny zákazníky. Zákazníci se doporučuje, aby se na pozoru podvodné poplatky na své karty, a upozornit své banka okamžitě v případě, že na místě některé z nich. Dosud společnost nenabídla žádnou úvěr a služby na ochranu proti krádeži identity zdarma dotčeným zákazníkům.
Whitehat hacker poruší servery UMD nastartovat zabezpečení sanace 25.4.2014 Incidenty Daving Helkowski, softwarový architekt / inženýr, který pracuje pro poradenství v oblasti softwaru Canton Group, udělal velkou chybu, že již přišel o práci a může skončit až ho to stálo ještě víc.
Canton Group byl najat na University of Maryland School of Public Health provádět webové stránky migraci v důsledku mnohem propagoval porušení, která vyústila v kompromis osobních informací o určitém 310.000 pracovníků a studentů. Podle čestného prohlášení o agenta FBI okruhu vyšetřování, Helkowski identifikovat zranitelnosti v rámci sítě UMD používané útočníky, a on zřejmě nahlásil. Ale poté, co univerzita nepohnul opravit díru dost rychle na jeho vkus, že zneužila ji k porušení sítě stejným způsobem, že předchozí útočníci, a vzal osobní údaje uložené na serverech. On pak anonymně poslal dopis Chcete-li Task Force univerzity o kybernetické bezpečnosti , je varování opět o bezpečnostních děr, které mají být pevné, a ukázal jim na Pastebin příspěvku, ve kterém on uvedeny některé z ukradených informací. Nabídl se, že spolupracovat s nimi, aby jim pomohla zaplnit díry a zeptal se na oplátku nebude účtován s jakýmikoliv zločiny. , ale, bohužel pro něj, on také podělil o své plány s dvěma kolegy na Canton Group v parní chaty, a to je to, co ukázal FBI správným směrem. Před dvěma dny, Helkowski začala reddit vlákno, ve kterém vysvětlil okolnosti razie, která byla v nedávné době provedeny na jeho domě. Tvrdí, že spolupracovali s úřady. "Během RAID poskytnutých jsem 20 šifrovací znak + Systém heslo, můj KeePass heslo, umístění mého keyfiles, a úplný popis všeho. Jsem v podstatě" přiznal "vše na FBI už. Můj postoj je, že jsem neudělal nic" morálně špatné. " Můj pokus celou dobu bylo pomoci univerzitní zlepšit jejich bezpečnost, "řekl sdílená . University of Maryland se veřejně vyjádřil na hack 20. března řekl, že FBI je informoval o hack a že "zásah za následek žádná veřejná verze jakýchkoliv informací a bez poškození instituci, s výjimkou propuštění osobních údajů jednoho vyššího úředníka univerzity, který byl oznámen. " Udělali Ujistěte se, že vědomí, že tyto dva hacky byly nesouvisí. V návaznosti na zjevení jeho přestoupení, Helkowski bylo nechat jít Canton Group. Ten dosud nebyl formálně obviněn, ale to může snadno změnit v příchozích týdnů.
Celosvětově Interaktivní mapa cyberthreat 22.4.2014 Incidenty Kaspersky Lab spustila interaktivní cyberthreat mapu , která představí si kybernetických bezpečnostních incidentů se vyskytují po celém světě v reálném čase.
Typy hrozeb zobrazené jsou škodlivé objekty zjištěné během na-internetu a on-demand skenování, e-mailu a webu antivirových odhalení, stejně jako objekty identifikovaných zranitelností a detekce subsystémů narušení. V dnešním světě hrozbách, jen to trvá několik minut, aby se šíří nové škodlivé aplikace nebo spam. Globálně distribuované cloud-based infrastruktury společnosti Kaspersky Lab - Kaspersky Security Network (KSN) -. Pomáhá produktŧ společnosti Kaspersky Lab dostávat informace o nových podezřelých souborů a dalšími hrozbami téměř okamžitě poté, co se objeví vnitřní KSN mechanismy shrnují data odeslaná automaticky z tisíců chráněných zařízení, jejichž uživatelé souhlas ke sdílení informací o podezřelých programů se kterými se setkávají. Po porovnáním chování souboru na různých počítačích, kontrola proti databázi stovek tisíc legitimních aplikací a pomocí heuristických algoritmů, systém vydá předběžný verdikt o tom, zda je nebo není objekt je škodlivý. Pokud je škodlivý, přístup k Objekt je okamžitě blokován pro všechny ostatní uživatele Kaspersky Lab, čímž se zabrání epidemii. KSN má nejnovější informace o bezpečnostních incidentech, které se přidávají do mapy světa v reálném čase, takže každý může prohlédnout širokou škálu hrozeb, a rychlost, s jakou se šíří. Uživatelé mohou otáčet zeměkouli a přiblížit k jakékoliv část světa, aby se blíže podívat na místní hrozeb. Různé typy hrozeb zjištěných v reálném čase, jsou vyznačeny různými barvami. Uživatel může přinést popis každé hrozby na obrazovce nebo zakázat zobrazování typy hrozeb. Kromě sdílet tlačítka pro uživatele sociálních sítí, jsou tlačítka pro přepínání: barva pozadí, jazyk rozhraní a režim zobrazení (plochá mapa nebo otáčení zeměkoule). K dispozici je také šikovný odkaz zkontrolujte, zda je počítač napaden škodlivým softwarem. "Každý den Kaspersky Lab zpracovává více než 300.000 škodlivé objekty. Před třemi lety to bylo jen 70.000, ale antivirové technologie také mění s dobou a nemáme problém vyrovnat se s tímto obrovským proudem provozu, "uvedl Denis Zenkin, vedoucí podnikové komunikace u společnosti Kaspersky Lab. "Tam, kde se útoky pocházejí? Kde se uživatelé kliknou na nebezpečné odkazy nejčastěji? Jaké typy malware jsou nejčastější? Jedná se o druh otázek se zeptal spoustou uživatelů. Naše nová mapa Cyberworld hrozeb umožňuje každému vidět rozsah kybernetické aktivity v reálném čase a získat chuť, jaké to je být jedním z našich odborníků. "
Nalezení Bleeders
22.4.2014 Incidenty
Nyní, zběsilé šílenství kolem "Heartbleed" se uklidnila, a většina míst je oprava, je čas obíhat zpět. Pro server v komunitních škol, které jsem znal byl ovlivněn, chtěl jsem zjistit, jestli někdo stáhl všechna data přes Heartbleed během zhruba 36 hodin, kdy zranitelnost stal se široce známý, a když byly nasazeny IDS podpisy a záplaty na ochranu místo.
Problém je v tom, Heartbleed zanechává v podstatě žádné stopy v logu httpd serveru, takže kontrola tam útoky nepomohlo. Po trochu přemítání, jsme přišli s nápadem korelovat protokol brány firewall s log webového serveru. Pokud firewall viděl řadu tcp/443 (HTTPS) připojení k webovému serveru z určité IP, ale tytéž spoje nebyly v protokolu webového serveru, je pravděpodobné bylo, že jsme se ocitli na odvzdušňovací.
První IP, že korelace skript identifikovány jako potenciálně podezřelé se ukázalo být vlastněn SSLlabs, a pravděpodobně patří k jejich veřejné SSL skeneru, aby každý používal na vrcholu paniky. Takže .. skript Zdálo se, že funguje dobře, a byl vytažením "správné" typy připojení.
O něco později jsme zjistili, další IP, zapsanou do ISP v Malajsii. Dvacet minut hitů jen na firewallu, rychlostí asi jeden každých 5 sekund, následuje 5 minut pauza, následuje hity jak na firewallu a na webovém serveru. Hmm, zvláštní :). Šance jsou vysoké, to bylo ve skutečnosti někdo, kdo se snažil nejprve ukrást cookie aktivních relací, a pak se pokusil znovu použít soubory cookie k vloupat Pro druhou část útoku, přehlídky protokolu webového serveru GET požadavky na aplikaci, následuje 302 přesměrování na stránku "přihlášení", takže "něco" muselo špatně na straně útočníka buď krást cookies, nebo v sestřihu zpět do svých falešných žádostí. Po dalších 20 minutách a asi 60 žádostí, které byly zodpovězeny s přesměrování, útočník se vzdal.
Jaké nástroje a metody jste použili k identifikaci "heartbleed" úniky, k nimž došlo v časovém rozpětí, kdy jsou vaše stránky byl zranitelný, ale IDS instrumentace a záplatování byl opravdu zatím k dispozici? Neváhejte a dejte nám vědět prostřednictvím kontaktního formuláře, nebo sdílet v komentářích níže!
Banky žalovat cíl a Trustwave za škody způsobené porušením dat 14.4.2014 Incidenty Porušení Cílová data byla jednou z největších v novodobé historii, a byl katastrofální pro více než jen zákazníky, kteří měli své informace ukradený. Nejnovější z nich, kteří budou muset vypořádat s jeho důsledky je bezpečnostní firma Trustwave, který spolu s cílovou sám, byl jmenován do třídy žaloby, podané skupinou bank u amerického okresního soudu pro severní obvod Illinois. Žalobci, v čele s Trustmark národní bankou a Green Bank, tvrdí, že "Target nepravdivě ujistil bank a svým zákazníkům, že jejich počítačové sítě a Point of Sale systémy splňovaly s průmyslovými standardy na ochranu důvěrné informace o platbě zákazníků, "zatímco opakovaně ignoruje a rozhodování o tom, na zlepšení, která by mohla zajistit jeho pokladní systémy, není-li, aby využil této příležitosti k podpoře využití čipových karet v jeho obchody a nedaří zavést a udržovat bezpečnostní záruky doporučeno Visa. "Došlo k porušení dat, protože Cílová nesplňovaly průmyslové standardy," banky tvrdí. "Cíl není upřednostňovat bezpečnost dat, a externě své povinnosti zabezpečení dat na Trustwave, který nedokázal přinést cílového systémy až s průmyslovými standardy." Trustwave je obviněn z nedostatku rozpoznat slabá místa zabezpečení počítačových systémů TARGET je, a není-li na místě známky zločinci "narušení. "nepodařilo Trustwave žít až do své sliby, nebo ke splnění průmyslových standardů. Trustwave nedostatky, naopak, nechá hackeři způsobit data narušení a krást Cílové zákazníků osobní údaje a citlivé údaje platební karty. Kromě toho, Trustwave nedokázal včas odhalit a nahlásit Data Porušení k cílové nebo veřejnosti, "oni žalobci uzavřena. Banky tvrdí, že škody na nich je "monumentální" - podle sdružení spotřebitelů bankéřů, jejichž porušení má stát své členské banky v USA více než 172.000.000 dolarů jen proto, aby znovu problém ukradené platební karty, a toto číslo nezahrnuje podvodné nákupy a neoprávněných výběrů hotovosti banky také měla absorbovat. Banky se snaží, aby cíl a Trustwave kryt všechny škody, které jim vznikly kvůli porušení.
Sally Beauty platební karty porušení data potvrdila 3.4.2014 Incidenty Mezinárodní kosmetika maloobchodník Sally Beauty Holdings potvrdila, že utrpěl porušení dat, která vyústila v případné krádeži dat platebních karet uložených v jejich systémech.
"Jak jsme již dříve uvedl, 5. března, naše systémy zjištěn neoprávněný pokus o vniknutí do naší sítě Sally Beauty Supply LLC. V době tohoto objevu, jsme okamžitě najal top-tier forenzní firmy (Verizon), aby prošetřila tento bezpečnostní incident" které uvedl v prohlášení vydala v pondělí. "Jako výsledek tohoto probíhajícího vyšetřování, jsme nyní objevili důkazy o tom, že méně než 25000 záznamy obsahující kartu-současný (track 2) Údaje o platební kartě byly neoprávněně k dispozici na našich systémech a jsme tomu uvěřit mohou být odstraněny. Jak ukázaly zkušenosti v předchozích bezpečnostních dat incidentů u jiných společností, je obtížné zjistit s jistotou rozsah a zabezpečení dat porušení / incidentu před dokončením komplexní soudního vyšetřování. Jako výsledek, budeme ne spekulovat, pokud jde o rozsah nebo povaha bezpečnostní údaje incidentu. " Na rozdíl od práce s Verizon, firma také spolupracuje s americkou tajnou službou, která má také zahájila vyšetřování porušení. "Budeme poskytovat vhodná upozornění na postižených spotřebitelů a další, podle potřeby, protože fakta se vyvíjejí a my se dozvědět více, "že společnost dospěla k závěru, nutit zákazníky, aby zkontrolovat své webové stránky v nejbližších termínech aktualizace, dávat pozor na výpisech z platebních karet pro jakékoliv podvodné nebo podezřelé činnosti , a dejte si pozor na phishing pokusy vydávat za společnost a požádala je, aby sdílení osobních nebo finančních informací. "V tuto chvíli jsme přesvědčeni, údaje platební karty karty současnost - jméno zákazníka, kreditní nebo debetní karty čísla, a na karty Datum expirace a CVV - byl ovlivněn. Nedomníváme se, že citlivé informace, (jiné než čísla karet), jako jsou čísla sociálního zabezpečení nebo data narození, byla ohrožena jako součást tohoto vydání. Kromě toho, Sally Beauty neshromažďuje údaje o PIN, a proto by nemělo být ohroženo, "uvedla společnost v sekci FAQ o porušení. To je ještě známo, kolik zákazníků byly postiženy.
EU stanovuje obrovské pokuty pro firmy, které porušují soukromí uživatelů 3.4.2014 Incidenty Poslanci vložena silnější ochranná opatření pro osobní údaje občanů EU, která se dostane do zemí mimo EU v celkové opravy zákonů EU na ochranu osobních údajů hlasovalo ve středu.
Cílem nových pravidel je jak dát lidem větší kontrolu nad svými osobními údaji a aby bylo jednodušší pro firmy pracovat přes hranice, tím, že stejná pravidla platí ve všech členských státech EU. Poslanci rovněž zvýšila pokuty, které mají být uloženy na firmy, které porušují pravidla, až 100 milionů € nebo 5% z celosvětového obratu. 19-rok-staré právní předpisy EU EU v oblasti ochrany údajů naléhavě potřebují aktualizovat držet krok s pokrokem informací . technologie, globalizace a rostoucí využívání osobních údajů pro účely vymáhání práva "Mám jasnou zprávu Radě:. každá další odklad by bylo nezodpovědné občané Evropy očekávají, že delivera silnou regulaci široký ochrany údajů v EU-li tam jsou. některé členské státy, které nechtějí poskytovat po dvou letech jednání, většina by měla pokračovat bez nich, "vysvětlil zpravodaj pro obecné nařízení o ochraně údajů, Jan Philipp Albrecht (Greens / EFA, DE). Chcete-li lépe chránit občany EU před dohledové činnosti, jako jsou ty, představila od června 2013 Poslanci mění pravidla, která vyžadují, aby všechny firmy (např. vyhledávače, sociální sítě nebo úložiště cloud poskytovatele služeb), aby usilovala o předchozí povolení vnitrostátního orgánu pro ochranu údajů v rámci EU před zveřejněním každý občan EU osobních údajů do třetí země. Firma by také informovat dotyčnou osobu o žádosti osoby. Firmy, které porušují pravidla by měla směřovat pokuty až do výše 100 milionů €, nebo až 5% jejich ročního celosvětového obratu, podle toho, která je větší, říkají poslanci. Evropská komise navrhla sankce až do výše 1 milionu € a 2% celosvětového ročního obratu. Nová pravidla by také měla lépe chránit data na internetu. Patří mezi ně právo na to, aby osobní údaje vymazány, nové limity pro "profilování" (pokusy analyzovat a předpovídat výkonnost člověka při práci, ekonomická situace, umístění, atd.), požadavek používat jasné a srozumitelně vysvětlit zásady ochrany osobních údajů. Každý poskytovatel internetových služeb, kteří chtějí zpracovávat osobní údaje by nejprve musel získat svobodný, dobře informovaný a výslovný souhlas dotyčné osoby. Balíček ochrana dat se skládá z obecného nařízení se vztahuje na většinu zpracováním osobních údajů v Evropské unii, v jak veřejný, tak soukromý sektor, a směrnice se vztahuje na osobní údaje zpracovávané pro prevenci, vyšetřování a stíhání trestných činů nebo prosadit trestní sankce (prosazování práva). Evropský parlament hlasoval o svém prvním čtení návrhu legislativy, aby se konsolidovat práci udělal tak daleko a předat k dalšímu parlamentu. Tím je zajištěno, že poslanci nově zvolení května mohou rozhodnout, že nebudou začínat od nuly, ale stavět na práci vykonanou v průběhu aktuálního období. Návrh nařízení byl schválen 621 hlasy pro, 10, a 22 členů se zdrželo hlasování. Návrh směrnice byl schválen 371 hlasy pro, 276, s 30 členů se zdrželo hlasování. Definitivní podoba nařízení bude dokončena poté, co Evropský parlament, Rada a Komise projednává a schvaluje ji. Přijetí nařízení se očekává v roce 2014, a jeho vymáhání od roku 2016.
IBM: Nikdy jsme sdílené klientských dat s NSA 3.4.2014 Incidenty IBM je nejnovější tech obří popírat jakoukoli účast PRISM sběru dat programu NSA a tvrdí, že dosud nemáte nastaven vlastní zadní vrátka ve svých produktech.
"S ohledem na širokou škálu vládou navrhovaným předpisů na celém world vztahující se k nakládání a zpracování údajů, klienti nás žádal o otázky o svých údajů - jak nejlépe zajistěte, kde ji najít, a jak bude reagovat by vlády měly Přístup k žádosti, "Robert C. Weber, IBM senior viceprezident pro právní a regulační záležitosti, a generální ředitel, poznamenal v blogu v pátek. "To je také předmětem zájmu našich zaměstnanců, našich partnerů a našich akcionářů. Vzhledem k tomu, globální diskuse o ochraně osobních údajů a soukromí, jsme chtěli sdělit náš pohled na tyto otázky. " Uvedl, že IBM není dána z klientských dat NSA nebo jiné vládní agentury, ať již prostřednictvím PRISM nebo jakékoliv jiné dohledu a sběru dat programu ; že nebyly poskytnuty údaje klienta uložených mimo Spojené státy americké vládě na základě jakéhokoli vnitrostátního bezpečnostního pořádku; že nemají dát zadní vrátka ve svých produktech jménem jakémukoli vládnímu orgánu, ani to, že poskytují Zdrojový kód softwaru nebo šifrovací klíče k nim, aby jim bylo možné přistupovat k datům klienta; a že jsou v souladu s místními zákony - včetně zákonů na ochranu soukromí -. ve všech zemích, ve kterých společnost působí berouce na vědomí, že většina z jeho klienty patří společnosti a organizace, poukázal na to, že pokud vláda chce přístup k údajům v držení IBM jménem podnik klienta, by se očekávat, že vláda jednat přímo s klientem. "U údajů podniku klienta uložených mimo území Spojených států, IBM věří, že každá americká vláda snaha o získání těchto údajů by mělo jít prostřednictvím mezinárodně uznávaných právních kanálů," řekl řekl a dodal, že v případě, že společnost je někdy podávané s národní bezpečnosti, aby nařizuje jim, aby poskytly údaje zákazníků, by napadnout a případné gag objednávky u soudu. Nakonec, on sdílel to, že společnost je toho názoru, že vlády by měly ne podkopávat komerční technologie, které jsou určeny k ochraně obchodních dat, a že oni by měli přemýšlet o zrušení "krátkozraká politiky, jako jsou požadavky na lokalizačních údajů." Dodal také, že americká vláda by měla otevřít diskusi o reformách dozoru a dát veřejnosti větší vhled do různých údajů a sběr zpravodajských programů, které běží, aby získal důvěru veřejnosti.
Daňové souvislosti s krádeží identity se zvýší 1.4.2014 Incidenty
Daňové souvislosti s krádeží identity je na vzestupu let a ITRC předpovídá, že nebude zpomalovat v roce 2014.
Javelin Strategy & výzkum 2014 Report podvodného zneužití totožnosti našel výskyt krádeží identity vzrostl na 13,1 milionu lidí v roce 2013, což je druhý nejvyšší počet v 11 letech. I podle ITRC, daně související s krádeží identity je jedním z hlavních hnacích sil růstu v celkovém počtu krádeží identity. Procento totožnosti případů krádeží daně související hlášeny oběti call centra na ITRC více než zdvojnásobil za posledních pět let. To bylo odhaleno v FTC Consumer Sentinel Network knize, že za poslední čtyři roky, Florida, Georgia, Louisiana, Mississippi a Alabama se trvale hlášeny vysokou míru vládního související s krádeží identity. V roce 2013, tyto státy hlášeny přibližně polovina jejich celkových stížností krádeže identity byly spojeny s tímto typem trestné činnosti. Západní Virginie identity stížnosti proti krádeži vzrostl z 9 procent v roce 2010 na 44 procent (remizoval s Alabama) v roce 2013. Podle ITRC, uvádí se větší populace starších jedinců, vojenští příslušníci a zvýšené hladiny organizovaného finanční kriminality se obvykle uvádějí vyšší výskyt daně související s krádeží identity. Informace používané k přípravě daně, jako je W-2 formuláře a příjmy, je poklad pro zloději identity, což zločinu zvláště převládající v tomto ročním období. Jak tyto dokumenty měnit ruce, musí být zvláštní pozornost věnována ochraně osobních údajů, ať už elektronické nebo papírové. Tím, daně související čas krádeže identity je objeveno, že obecně nelze vystopovat zpět k osobním údajům je přesným zdrojem původu, která činí 360 taktiky prevence ještě důležitější. ITRC doporučuje tyto tipy, jak předcházet daňovým související s krádeží identity:
Soubor svých daní, jakmile je to možné. Čím déle budete čekat, tím víc času zloděj identity musí podat přiznání za vás Chraňte svůj počítač a mobilní zařízení s firewally, anti-virus software a komplexních hesel Nenoste kartu sociálního zabezpečení nebo jiné dokumenty s číslem sociálního zabezpečení s vámi Objednejte si kopii svého volného roční kreditní zprávy z každé ze tří úvěrové zpravodajské agentury. Uspořádejte tyto žádosti v průběhu celého roku Shred všechny no-již potřebné doklady v daňové oblasti, které obsahují citlivé informace, s kříž-Cut Shredder. Dokumenty zahrnují příjmy, W-2 formuláře a daňové přípravce faktury.
300000 směrovače ohrožena v DNS únos kampaně 10.3.2014 Incidenty | Počítačový útok Některé 300.000 potvrdila - ale s největší pravděpodobností mnohem více - se malá kancelář / domácí kanceláře (SOHO) routery byly ohroženy a jejich nastavení DNS změnil používat dvě IP adresy v Londýně, účinně umožňuje dosud neznámé útočníci provádět Man-in-the-middle útoky . "K dnešnímu dni jsme identifikovali více než 300.000 přístrojů, převážně v Evropě a Asii, které věříme, že byly zneužity v rámci této kampaně, ten, který sahá až do nejméně poloviny prosince roku 2013," hlásil výzkumníky Team Cymru, kteří zahlédl několik postižené TP-Link Wi-Fi routery v lednu začala vyšetřovat záležitost.
"Směrovače oba malé kanceláře / domácí kanceláře (SOHO), třídy zařízení, která uvedené Wi-Fi připojení, místní DNS, DHCP a služby zákazníkům, a nebyly s použitím výchozích hesel," poukázali. , ale některé z nich byly spuštěny verze firmware zranitelné Cross-Site Request padělání útoky, a alespoň jeden běhu firmware sportovní nedávno objevil . chybu, která umožňuje útočníkům ke stažení konfiguračního souboru přístroje, které, samozřejmě, obsahuje pověření pro správu Dotčené routery pocházejí od různých výrobců - výše uvedené TP-Link, D-Link, Micronet, a jiní - a oni jsou převážně nacházejí ve Vietnamu, Indii, Itálii, Thajsku, a Kolumbie, ale také v Srbsku, Ukrajině a Bosně a Hercegovině. Zajímavostí této kampaně je, že Zdá se, že v současné době jsou DNS dotazy zaslané těchto dvou IP adresy jsou předávány na legitimní servery. "Pokusy o přihlášení do místních bankovních webových stránek v postižených zemích, a stáhnout aktualizace softwaru od společnosti Adobe a další vše se zdá fungovat normálně, i když mnoho požadavků vyřešit nápadně pomalu nebo se nepodařilo dokončit. Webové stránky jsme testovali také se objevil na normálního zobrazení reklamy pomocí těchto DNS serverů, "výzkumníci zjistili. Takže buď to hmotnost ohrožena je příprava pro pozdější neplechu, nebo škoda již byla provedena. Vědci Team Cymru si všimli jisté podobnosti mezi touto kampaní a ještě jedna, která byla většinou omezena na cílení zákazníků z několika polských bank, ale k závěru, že "jemné rozdíly v tradecraft zaměstnaných je pravděpodobné, že [se] dodržují buď samostatné kampaně do stejné skupiny, nebo více aktérů s využitím stejné techniky pro různé účely. " Oni také dodal, že nevěří, že také nedávno objevil Měsíc červ cílení kampaně Linksys routery se montuje stejným útočníky. Vědci oznámily orgány o této kampani, a také výrobci z dotčených zařízení. Team Cymru mluvčí Steve Santorelli sdílet s PC Pro , že dvě IP adresy, které jsou DNS dotazy jsou přesměrovány jsou umístěny na strojích v Nizozemsku, ale jsou registrovány UK-založená společnost 3NT řešení. IP rozsahy této společnosti již dříve a opakovaně byl spojován s spamování stránkách. Vědci mají společné užitečné techniky pro zmírnění tohoto typu útoku v whitepaper . "Jako bar je stále aktivována pro ohrožení koncových stanic, počítačoví zločinci se obracejí na nové metody pro dosažení jejich požadovaných cílů, bez přístupu k počítačům obětí přímo. Kampaň je uvedeno v této zprávě je poslední v rostoucím trendu Team Cymru je pozorován kybernetických zločinců zaměřených SOHO routery, "oni poznamenal. Není divu, že zločinci jsou jít po těchto zařízení, za předpokladu, že jsou notoricky plné využitelnosti bezpečnostních děr, a uživatelé jsou laxní, pokud jde o změnu hesla výchozí správce?
Uživatelé Netflix cílené na aktivní technickou podporu podvod 9.3.2014 Kriminalita | Incidenty Bezpečnostní výzkumník Malwarebytes 'Jerome Segura nedávno analyzoval spíše tvůrčí technickou podporu podvod, který se aktivně zaměřenou na uživatele Netflix. Neříká, jak se potenciální cíle lákal na falešnou Netflix přihlašovací stránku, která je prvním krokem k podvést, ale je to velmi pravděpodobné, že obdrží falešné Netflix e-mail je varování, že jejich účet byl napaden. Jakmile předložit své přihlašovací údaje na falešné přihlašovací stránky, které se potýkají s upozorněním, říká jejich účet byl pozastaven a nutit je, aby volání na konkrétní daň bez telefonní číslo: "Když jsem volal na číslo, rogue podpora zástupce se mě stáhnout" Netflix podpůrného softwaru "," Segura sdílel jeho dobrodružství s podvodníky. software v otázce je TeamViewer, populární program pro vzdálené přihlašování, že podvodníci poté použít k připojení k cílovému PC. Scammer snažil se ho přesvědčit, že jeho účet Netflix byla pozastavena z důvodu nezákonné činnosti, že jeho počítač byl hacknutý, a že by se nechal Microsoft Certified Technician opravit svůj počítač - a zaplatit téměř 400 dolarů za službu. "Během našeho rozhovoru, že podvodníci nejsou nečinné," poznamenal. "Oni šli přes mé osobní soubory a nahrát ty, které vypadalo zajímavé pro ně, jako" bankovní 2013.doc '. " "Další zvláštní věc je, když mě požádal o obrázku ID a fotografie z mé kreditní karty od Internetu .. není bezpečné, a oni potřebovali důkaz mé identity jsem nemohl vyrobit jeden, proto se aktivuje svou webovou kameru, takže jsem mohl ukázat, že karty, které jim na jejich obrazovce " Jeho analýza říká, že podvod je nový a stále pokračuje - doména oni používali byl zaregistrován a nedávno aktualizován - tak varuje uživatele, aby byl opatrný. V tomto konkrétním podvod, mohli by přijít o všechno:. Peníze, důvěrné soubory, a osobní a informace o účtu Pokud chcete vidět a slyšet, jak celý scamming proces rozvíjí.
Programy třetích stran odpovědné za 76% chyb v populární software 7.3.2014 Incidenty | Bezpečnost Programy třetích stran jsou zodpovědné za 76% zranitelností objevených ve 50 nejpopulárnějších programů v roce 2013, tvrdí, že výsledky ze společnosti Secunia zranitelnost Review 2014, která je založena na vzorku sedmi milionů uživatelů PSI společnosti. Zranitelnost recenze Secunia analýzy globální trendy zranitelnosti, a má mimořádně důkladný pohled na 50 nejoblíbenějších programů na soukromých počítačích - Top 50 portfoliu. Tyto 50 programy prostupují podnikové IT infrastruktury, a to buď jako integrální obchodní nástroje, které jsou schválené, sledovány a udržovány při operacích IT - pro čtenáře, například PDF a internetových prohlížečů, nebo jako aplikace na soukromých zařízení zaměstnanců a managementu, používaných na pracovišti s nebo bez povolení. V těchto 50 nejlepších programů, byly objeveny v roce 2013 celkem 1208 zranitelností. Programy třetích stran byly zodpovědné za 76% takovou zranitelnost, i když jsou tyto programy představují pouze 34% z 50 nejpopulárnějších programů o soukromých počítačů. Podíl programů (včetně operačního systému Windows 7) společnosti v Top 50 je přední 33 produktů - 66%. I tak programy Microsoft jsou zodpovědní pouze za 24% zranitelností v Top 50 programů v roce 2013. Zatímco tam je hojnost zranitelnosti, je důležité zdůraznit, že jedna chyba je všechny hackeři potřebují k porušení bezpečnosti. nedávné a neobvykle dobře zdokumentovaný příklad toho, jak jedna známá zranitelnost může způsobit katastrofu je narušení bezpečnosti v US Department of Energy v roce 2013, které vznikly náklady ve výši 1,6 milionů dolarů a vyústil v krádež osobních informací z 104.000 zaměstnanců a jejich rodin. narušení bezpečnosti v US Department of Energy byl způsoben kombinací manažerských a technologických nedostatků systému - ideální živnou půdu pro hackery, které jim umožní využívat zranitelností přítomných v infrastruktuře. Klíčové poznatky z hodnocení:
76% zranitelností ve 50 nejpopulárnějších programů na soukromých počítačích, v roce 2013 postižených programů třetích stran, zdaleka přečíslení na 8% zranitelností nalezených v operačních systémech nebo 16% zranitelností objevených v programech Microsoft. roce 2012, byla tato čísla 86% (non-Microsoft), 5,5% (operační systémy) a 8,5% (Microsoft).
V 1208 zranitelnosti byly objeveny v 27 výrobků na Top 50 portfoliu. 17. Produkty třetích stran, které představují pouze 34% produktů jsou zodpovědné za 76% zranitelností objevených v Top 50 let. Ze 17 programů třetích stran, 10 byli zranitelní. Z 33 programů společnosti Microsoft v Top 50, 17 byly zranitelné.
Programy společnosti Microsoft (včetně operačního systému Windows 7) tvoří 66% výrobků v Top 50, ale byl odpovědný pouze za 24% zranitelností. Během pětiletého období, podíl třetích stran zranitelnosti se pohybuje kolem 75% - v roce 2013 to bylo 76%. Celkový počet zranitelných míst v Top 50 nejpopulárnějších programů byl 1208 v roce 2013, ukazuje nárůst o 45% na 5 roků trendu. Většina z nich byly hodnoceny podle Secunia buď jako "vysoce kritické" (68,2%) nebo "velmi kritické" (7,3%). V roce 2013, 2289 zranitelné produkty byly objeveny s celkem 13073 chyb v nich. 86% zranitelností v Top 50 měla záplaty jsou k dispozici v den zveřejnění v roce 2013, tedy výkon na opravu koncových bodů je v rukou všech koncových uživatelů a organizací. 79% zranitelností ve všech produktů měla záplaty jsou k dispozici v den zveřejnění v roce 2013. V roce 2013, 727 zranitelnosti byly objeveny v 5 nejpopulárnějších prohlížečů: Google Chrome, Mozilla Firefox, Internet Explorer, Opera, Safari. V roce 2013, 70 zranitelnosti byly objeveny v 5 nejoblíbenějších čtenářů PDF: Adobe Reader, Foxit Reader, PDF-XChange Viewer, Sumatra PDF a Nitro PDF Reader. "To je jedna věc, že programy třetích stran jsou zodpovědné za většinu slabých míst na typické PC, spíše než programy společnosti Microsoft. Nicméně, další velmi důležitý bezpečnostní faktor je, jak snadné je aktualizovat programy společnosti Microsoft v porovnání s programy třetích stran. Docela jednoduše, automatizace se kterou se aktualizace zabezpečení společnosti Microsoft jsou k dispozici koncovým uživatelům - prostřednictvím automatické aktualizace, systém řízení konfigurace a aktualizace služeb - zajišťuje, že se jedná o poměrně jednoduchý úkol k ochraně soukromých počítačů a firemní infrastruktury před zranitelností objevených Microsoft produkty. To není tak s velkým počtem třetích stran dodavatelů, z nichž mnozí nemají buď schopnosti, zdroje nebo bezpečnostní zaměření, jak vydělat aktualizace zabezpečení automaticky a snadno dostupné, "řekl technický ředitel firmy Secunia, Morten R. Stengaard.
Linux Memory Dump s Rekallu
7.3.2014 Incidenty
Paměť dumpingu reakce na incidenty není nic nového, ale od té doby se uzamčena přímý přístup k paměti (/ dev / mem) na Linuxu, jsem měl špatné zkušenosti dumping paměti. I obvykle skončí shazovat server asi 60 procent času při sběru dat s Fmem.
Nová verze Linux paměti dumpingu utility Rekallu (předchozí s názvem Winpmem) nedávno vyšel. Já jsem testoval to na nejnovější verzi Ubuntu a RedHat EL 5 a ještě narazit na žádné problémy s kolekce.
Pokud máte to štěstí, že prostředí, ve kterém máte skupiny serverů se stejnými úrovněmi náplasti, měli byste spustit následující kroky na non-kompromitaci serveru. Navíc, pokud je ohrožena systém VM, můžete naklonovat, a provádět tyto akce na klonu. Ujistěte se, že budete sbírat všechny ostatní těkavé údaje (MACtimes, lsof, PS atp ..), než se výpis paměti, protože to může ještě způsobit nestabilitu systému a nechcete přijít o data.
Příprava k odběru Nainstalujte Linux Kernel záhlaví Ubuntu > Sudo apt-get install linux-headers-server zip CentOS / Redhat > Yum install kernel-headers GCC
Stáhněte si a kompilace Rekallu Když spustíte makefile, automaticky se vytvoří část profilu na serveru. To bude muset být kopírován mimo server pro analýzu. > Wget http://downloads.rekall.googlecode.com/git/Linux/linux_pmem_1.0RC1.tgz > Tar-zxvf linux_pmem_1.0RC1.tgz > Cd linux > Značka
Zkopírujte tento soubor do svého analýzu stroje volatilita pod volatility adresáři / plugins / překrývání / linux /. Načíst ovladače jádra > Sudo insmod pmem.ko > Sudo lsmod | grep pmem pmem 12680 0
Sbírejte paměti Teď, když je disk vložen, nové zařízení je k dispozici / dev / pmem. Chceme kopírovat paměti na externí zařízení / akcii. Počet položek v {} je třeba změnit na mimořádné události, aby byly užitečné pro analýzu > Dcfldd if = / dev / pmem bs = 512 conv = noerror, sync of = / {USBDRIVE} / mount / {servername.date}. Memory.dd hash = md5, sha256 hashlog = / {USBDRIVE} / {servername.date }. memory.dd-hash.log
Uvolnění ovladače > Sudo rmmod pmem.ko Analýza pomocí Rekallu Nyní, že kolekce je dokončena, musíme být schopni zkoumat výpis stavu paměti. Zkopírujte obraz paměti do analýzy pracovní stanici.
Build Rekallu profil Nyní je třeba vytvořit profil, který bude pracovat s Rekallu. Převést soubor, který byl zkopírován ze serveru a název něco užitečného pro budoucí analýzu. > Rekal.py convert_profile 3.5.0-45-generic.zip Ubuntu3.5.0-45-generic.zip > Rekal.py - profil ./Ubuntu3.5.0-45-generic.zip-f / media / mem.dd pslist
Chcete-li zadat interaktivní shell, nechcete přidat plugin na příkazovém řádku > Rekal.py - profil ./Ubuntu3.5.0-45-generic.zip-f / media / mem.dd
Chcete-li získat více informací o konkrétním plugin používat? po Earth název mem 12:38:31> plugins.pslist?
Některé z více užitečných pluginů jsou: plugins.bash-hledá historie bash plugins.check_modules-List načíst moduly plugins.dmesg - shromažďuje dmesg vyrovnávací paměti plugins.lsof plugins.netstat plugins.pslist
Volitelné (Chcete-li použít volatilita pro analýzu) Jsem strávil mnoho času na to, ale volatilita nebude moci používat Rekall výchozí profil. Můžete také provést níže uvedené kroky a přečtěte si výpis paměti volatility. Hádám, že je zapotřebí pouze malé změny v souboru, ale já jsem kopal hlouběji v tomto okamžiku.
Pro více informací o Rekallu http://docs.rekall.googlecode.com/git/tutorial.html
Pro více informací o nestabilitě analýzy Linux https://code.google.com/p/volatility/wiki/LinuxMemoryForensics
Tom Webb
Téměř 310,000 ovlivněn University of Maryland porušení
28.2.2014 Incidenty University of Maryland je nejnovější instituce vyššího vzdělávání, aby trpěli porušení dat značného rozsahu a rozměrů, jak byly zkopírovány a exfiltrated ze svých sítí téměř 310.000 záznamů pracovníků a studentů. "zvláštní databázi záznamů vedených podle našeho IT oddělení bylo porušil včera. Tato databáze obsahovala 309.079 záznamy fakulty, zaměstnanců, studentů a přidružených pracovníků z College Park a Shady Grove areálech, které byly vydány v univerzitní ID od roku 1998, "Wallace D. Loh, univerzitní prezident vysvětlil v prohlášení zveřejněném . na internetových stránkách ve středu "se záznamy zahrnuté jméno, rodné číslo, datum narození, a Univerzitní identifikační číslo Žádné jiné informace byly ohroženy -. žádný finanční, akademické, zdraví, nebo kontakt (telefon, adresa) informace." Podle Diamondback , porušení došlo v úterý mezi 4 a 5 hodin, a byla zjištěna mezi 8 a 9 hodin téhož dne. Brian Voss, univerzitní viceprezident informačních technologií, sdílené, že útočníci se neobtěžoval s pozměňování dat sítě univerzity. Také, že zřejmě byly velmi schopný. "pracoval někdo kolem velmi přísné bezpečnostní a získal přístup k těmto údajům. Ten, kdo se to zlomil přes několik úrovní zabezpečení, aby bylo možné získat tento soubor, "řekl Voss, a poukázal na to, že porušení nebylo úspěšné, protože někdo nechal otevřené dveře, nebo udělal chybu. "Univerzity jsou zaměření na dnešních globálních útoků na IT systémy. Nedávno jsme zdvojnásobili počet našich bezpečnostních techniků IT a analytiků. Jsme také zdvojnásobila své investice do nástrojů zabezpečení top-end. Je zřejmé, že je třeba udělat více a lépe, a my, "komentoval Loh. "Počítačová forenzní vyšetřovatelé zkoumají porušené soubory a protokoly s cílem určit, jak byly naše sofistikované, multi-vrstvené bezpečnostní obrany obešel." prosazování práva byla rovněž zahrnuta v šetření. Univerzita má v úmyslu nabídnout jeden rok zdarma úvěrového monitoringu všech dotčených osob, a varoval je, aby pozor na phishing e-maily a telefonáty, které by mohly vydávat se na univerzitu, a požádat je, aby sdílet osobní a finanční informace.
300000 směrovače ohrožena v DNS únos kampaně 10.3.2014 Incidenty | Počítačový útok Některé 300.000 potvrdila - ale s největší pravděpodobností mnohem více - se malá kancelář / domácí kanceláře (SOHO) routery byly ohroženy a jejich nastavení DNS změnil používat dvě IP adresy v Londýně, účinně umožňuje dosud neznámé útočníci provádět Man-in-the-middle útoky . "K dnešnímu dni jsme identifikovali více než 300.000 přístrojů, převážně v Evropě a Asii, které věříme, že byly zneužity v rámci této kampaně, ten, který sahá až do nejméně poloviny prosince roku 2013," hlásil výzkumníky Team Cymru, kteří zahlédl několik postižené TP-Link Wi-Fi routery v lednu začala vyšetřovat záležitost.
"Směrovače oba malé kanceláře / domácí kanceláře (SOHO), třídy zařízení, která uvedené Wi-Fi připojení, místní DNS, DHCP a služby zákazníkům, a nebyly s použitím výchozích hesel," poukázali. , ale některé z nich byly spuštěny verze firmware zranitelné Cross-Site Request padělání útoky, a alespoň jeden běhu firmware sportovní nedávno objevil . chybu, která umožňuje útočníkům ke stažení konfiguračního souboru přístroje, které, samozřejmě, obsahuje pověření pro správu Dotčené routery pocházejí od různých výrobců - výše uvedené TP-Link, D-Link, Micronet, a jiní - a oni jsou převážně nacházejí ve Vietnamu, Indii, Itálii, Thajsku, a Kolumbie, ale také v Srbsku, Ukrajině a Bosně a Hercegovině. Zajímavostí této kampaně je, že Zdá se, že v současné době jsou DNS dotazy zaslané těchto dvou IP adresy jsou předávány na legitimní servery. "Pokusy o přihlášení do místních bankovních webových stránek v postižených zemích, a stáhnout aktualizace softwaru od společnosti Adobe a další vše se zdá fungovat normálně, i když mnoho požadavků vyřešit nápadně pomalu nebo se nepodařilo dokončit. Webové stránky jsme testovali také se objevil na normálního zobrazení reklamy pomocí těchto DNS serverů, "výzkumníci zjistili. Takže buď to hmotnost ohrožena je příprava pro pozdější neplechu, nebo škoda již byla provedena. Vědci Team Cymru si všimli jisté podobnosti mezi touto kampaní a ještě jedna, která byla většinou omezena na cílení zákazníků z několika polských bank, ale k závěru, že "jemné rozdíly v tradecraft zaměstnaných je pravděpodobné, že [se] dodržují buď samostatné kampaně do stejné skupiny, nebo více aktérů s využitím stejné techniky pro různé účely. " Oni také dodal, že nevěří, že také nedávno objevil Měsíc červ cílení kampaně Linksys routery se montuje stejným útočníky. Vědci oznámily orgány o této kampani, a také výrobci z dotčených zařízení. Team Cymru mluvčí Steve Santorelli sdílet s PC Pro , že dvě IP adresy, které jsou DNS dotazy jsou přesměrovány jsou umístěny na strojích v Nizozemsku, ale jsou registrovány UK-založená společnost 3NT řešení. IP rozsahy této společnosti již dříve a opakovaně byl spojován s spamování stránkách. Vědci mají společné užitečné techniky pro zmírnění tohoto typu útoku v whitepaper . "Jako bar je stále aktivována pro ohrožení koncových stanic, počítačoví zločinci se obracejí na nové metody pro dosažení jejich požadovaných cílů, bez přístupu k počítačům obětí přímo. Kampaň je uvedeno v této zprávě je poslední v rostoucím trendu Team Cymru je pozorován kybernetických zločinců zaměřených SOHO routery, "oni poznamenal. Není divu, že zločinci jsou jít po těchto zařízení, za předpokladu, že jsou notoricky plné využitelnosti bezpečnostních děr, a uživatelé jsou laxní, pokud jde o změnu hesla výchozí správce?
Uživatelé Netflix cílené na aktivní technickou podporu podvod 9.3.2014 Kriminalita | Incidenty Bezpečnostní výzkumník Malwarebytes 'Jerome Segura nedávno analyzoval spíše tvůrčí technickou podporu podvod, který se aktivně zaměřenou na uživatele Netflix. Neříká, jak se potenciální cíle lákal na falešnou Netflix přihlašovací stránku, která je prvním krokem k podvést, ale je to velmi pravděpodobné, že obdrží falešné Netflix e-mail je varování, že jejich účet byl napaden. Jakmile předložit své přihlašovací údaje na falešné přihlašovací stránky, které se potýkají s upozorněním, říká jejich účet byl pozastaven a nutit je, aby volání na konkrétní daň bez telefonní číslo: "Když jsem volal na číslo, rogue podpora zástupce se mě stáhnout" Netflix podpůrného softwaru "," Segura sdílel jeho dobrodružství s podvodníky. software v otázce je TeamViewer, populární program pro vzdálené přihlašování, že podvodníci poté použít k připojení k cílovému PC. Scammer snažil se ho přesvědčit, že jeho účet Netflix byla pozastavena z důvodu nezákonné činnosti, že jeho počítač byl hacknutý, a že by se nechal Microsoft Certified Technician opravit svůj počítač - a zaplatit téměř 400 dolarů za službu. "Během našeho rozhovoru, že podvodníci nejsou nečinné," poznamenal. "Oni šli přes mé osobní soubory a nahrát ty, které vypadalo zajímavé pro ně, jako" bankovní 2013.doc '. " "Další zvláštní věc je, když mě požádal o obrázku ID a fotografie z mé kreditní karty od Internetu .. není bezpečné, a oni potřebovali důkaz mé identity jsem nemohl vyrobit jeden, proto se aktivuje svou webovou kameru, takže jsem mohl ukázat, že karty, které jim na jejich obrazovce " Jeho analýza říká, že podvod je nový a stále pokračuje - doména oni používali byl zaregistrován a nedávno aktualizován - tak varuje uživatele, aby byl opatrný. V tomto konkrétním podvod, mohli by přijít o všechno:. Peníze, důvěrné soubory, a osobní a informace o účtu Pokud chcete vidět a slyšet, jak celý scamming proces rozvíjí.
Programy třetích stran odpovědné za 76% chyb v populární software 7.3.2014 Incidenty | Bezpečnost Programy třetích stran jsou zodpovědné za 76% zranitelností objevených ve 50 nejpopulárnějších programů v roce 2013, tvrdí, že výsledky ze společnosti Secunia zranitelnost Review 2014, která je založena na vzorku sedmi milionů uživatelů PSI společnosti. Zranitelnost recenze Secunia analýzy globální trendy zranitelnosti, a má mimořádně důkladný pohled na 50 nejoblíbenějších programů na soukromých počítačích - Top 50 portfoliu. Tyto 50 programy prostupují podnikové IT infrastruktury, a to buď jako integrální obchodní nástroje, které jsou schválené, sledovány a udržovány při operacích IT - pro čtenáře, například PDF a internetových prohlížečů, nebo jako aplikace na soukromých zařízení zaměstnanců a managementu, používaných na pracovišti s nebo bez povolení. V těchto 50 nejlepších programů, byly objeveny v roce 2013 celkem 1208 zranitelností. Programy třetích stran byly zodpovědné za 76% takovou zranitelnost, i když jsou tyto programy představují pouze 34% z 50 nejpopulárnějších programů o soukromých počítačů. Podíl programů (včetně operačního systému Windows 7) společnosti v Top 50 je přední 33 produktů - 66%. I tak programy Microsoft jsou zodpovědní pouze za 24% zranitelností v Top 50 programů v roce 2013. Zatímco tam je hojnost zranitelnosti, je důležité zdůraznit, že jedna chyba je všechny hackeři potřebují k porušení bezpečnosti. nedávné a neobvykle dobře zdokumentovaný příklad toho, jak jedna známá zranitelnost může způsobit katastrofu je narušení bezpečnosti v US Department of Energy v roce 2013, které vznikly náklady ve výši 1,6 milionů dolarů a vyústil v krádež osobních informací z 104.000 zaměstnanců a jejich rodin. narušení bezpečnosti v US Department of Energy byl způsoben kombinací manažerských a technologických nedostatků systému - ideální živnou půdu pro hackery, které jim umožní využívat zranitelností přítomných v infrastruktuře. Klíčové poznatky z hodnocení:
76% zranitelností ve 50 nejpopulárnějších programů na soukromých počítačích, v roce 2013 postižených programů třetích stran, zdaleka přečíslení na 8% zranitelností nalezených v operačních systémech nebo 16% zranitelností objevených v programech Microsoft. roce 2012, byla tato čísla 86% (non-Microsoft), 5,5% (operační systémy) a 8,5% (Microsoft).
V 1208 zranitelnosti byly objeveny v 27 výrobků na Top 50 portfoliu. 17. Produkty třetích stran, které představují pouze 34% produktů jsou zodpovědné za 76% zranitelností objevených v Top 50 let. Ze 17 programů třetích stran, 10 byli zranitelní. Z 33 programů společnosti Microsoft v Top 50, 17 byly zranitelné.
Programy společnosti Microsoft (včetně operačního systému Windows 7) tvoří 66% výrobků v Top 50, ale byl odpovědný pouze za 24% zranitelností. Během pětiletého období, podíl třetích stran zranitelnosti se pohybuje kolem 75% - v roce 2013 to bylo 76%. Celkový počet zranitelných míst v Top 50 nejpopulárnějších programů byl 1208 v roce 2013, ukazuje nárůst o 45% na 5 roků trendu. Většina z nich byly hodnoceny podle Secunia buď jako "vysoce kritické" (68,2%) nebo "velmi kritické" (7,3%). V roce 2013, 2289 zranitelné produkty byly objeveny s celkem 13073 chyb v nich. 86% zranitelností v Top 50 měla záplaty jsou k dispozici v den zveřejnění v roce 2013, tedy výkon na opravu koncových bodů je v rukou všech koncových uživatelů a organizací. 79% zranitelností ve všech produktů měla záplaty jsou k dispozici v den zveřejnění v roce 2013. V roce 2013, 727 zranitelnosti byly objeveny v 5 nejpopulárnějších prohlížečů: Google Chrome, Mozilla Firefox, Internet Explorer, Opera, Safari. V roce 2013, 70 zranitelnosti byly objeveny v 5 nejoblíbenějších čtenářů PDF: Adobe Reader, Foxit Reader, PDF-XChange Viewer, Sumatra PDF a Nitro PDF Reader. "To je jedna věc, že programy třetích stran jsou zodpovědné za většinu slabých míst na typické PC, spíše než programy společnosti Microsoft. Nicméně, další velmi důležitý bezpečnostní faktor je, jak snadné je aktualizovat programy společnosti Microsoft v porovnání s programy třetích stran. Docela jednoduše, automatizace se kterou se aktualizace zabezpečení společnosti Microsoft jsou k dispozici koncovým uživatelům - prostřednictvím automatické aktualizace, systém řízení konfigurace a aktualizace služeb - zajišťuje, že se jedná o poměrně jednoduchý úkol k ochraně soukromých počítačů a firemní infrastruktury před zranitelností objevených Microsoft produkty. To není tak s velkým počtem třetích stran dodavatelů, z nichž mnozí nemají buď schopnosti, zdroje nebo bezpečnostní zaměření, jak vydělat aktualizace zabezpečení automaticky a snadno dostupné, "řekl technický ředitel firmy Secunia, Morten R. Stengaard.
Linux Memory Dump s Rekallu
7.3.2014 Incidenty
Paměť dumpingu reakce na incidenty není nic nového, ale od té doby se uzamčena přímý přístup k paměti (/ dev / mem) na Linuxu, jsem měl špatné zkušenosti dumping paměti. I obvykle skončí shazovat server asi 60 procent času při sběru dat s Fmem.
Nová verze Linux paměti dumpingu utility Rekallu (předchozí s názvem Winpmem) nedávno vyšel. Já jsem testoval to na nejnovější verzi Ubuntu a RedHat EL 5 a ještě narazit na žádné problémy s kolekce.
Pokud máte to štěstí, že prostředí, ve kterém máte skupiny serverů se stejnými úrovněmi náplasti, měli byste spustit následující kroky na non-kompromitaci serveru. Navíc, pokud je ohrožena systém VM, můžete naklonovat, a provádět tyto akce na klonu. Ujistěte se, že budete sbírat všechny ostatní těkavé údaje (MACtimes, lsof, PS atp ..), než se výpis paměti, protože to může ještě způsobit nestabilitu systému a nechcete přijít o data.
Příprava k odběru Nainstalujte Linux Kernel záhlaví Ubuntu > Sudo apt-get install linux-headers-server zip CentOS / Redhat > Yum install kernel-headers GCC
Stáhněte si a kompilace Rekallu Když spustíte makefile, automaticky se vytvoří část profilu na serveru. To bude muset být kopírován mimo server pro analýzu. > Wget http://downloads.rekall.googlecode.com/git/Linux/linux_pmem_1.0RC1.tgz > Tar-zxvf linux_pmem_1.0RC1.tgz > Cd linux > Značka
Zkopírujte tento soubor do svého analýzu stroje volatilita pod volatility adresáři / plugins / překrývání / linux /. Načíst ovladače jádra > Sudo insmod pmem.ko > Sudo lsmod | grep pmem pmem 12680 0
Sbírejte paměti Teď, když je disk vložen, nové zařízení je k dispozici / dev / pmem. Chceme kopírovat paměti na externí zařízení / akcii. Počet položek v {} je třeba změnit na mimořádné události, aby byly užitečné pro analýzu > Dcfldd if = / dev / pmem bs = 512 conv = noerror, sync of = / {USBDRIVE} / mount / {servername.date}. Memory.dd hash = md5, sha256 hashlog = / {USBDRIVE} / {servername.date }. memory.dd-hash.log
Uvolnění ovladače > Sudo rmmod pmem.ko Analýza pomocí Rekallu Nyní, že kolekce je dokončena, musíme být schopni zkoumat výpis stavu paměti. Zkopírujte obraz paměti do analýzy pracovní stanici.
Build Rekallu profil Nyní je třeba vytvořit profil, který bude pracovat s Rekallu. Převést soubor, který byl zkopírován ze serveru a název něco užitečného pro budoucí analýzu. > Rekal.py convert_profile 3.5.0-45-generic.zip Ubuntu3.5.0-45-generic.zip > Rekal.py - profil ./Ubuntu3.5.0-45-generic.zip-f / media / mem.dd pslist
Chcete-li zadat interaktivní shell, nechcete přidat plugin na příkazovém řádku > Rekal.py - profil ./Ubuntu3.5.0-45-generic.zip-f / media / mem.dd
Chcete-li získat více informací o konkrétním plugin používat? po Earth název mem 12:38:31> plugins.pslist?
Některé z více užitečných pluginů jsou: plugins.bash-hledá historie bash plugins.check_modules-List načíst moduly plugins.dmesg - shromažďuje dmesg vyrovnávací paměti plugins.lsof plugins.netstat plugins.pslist
Volitelné (Chcete-li použít volatilita pro analýzu) Jsem strávil mnoho času na to, ale volatilita nebude moci používat Rekall výchozí profil. Můžete také provést níže uvedené kroky a přečtěte si výpis paměti volatility. Hádám, že je zapotřebí pouze malé změny v souboru, ale já jsem kopal hlouběji v tomto okamžiku.
Pro více informací o Rekallu http://docs.rekall.googlecode.com/git/tutorial.html
Pro více informací o nestabilitě analýzy Linux https://code.google.com/p/volatility/wiki/LinuxMemoryForensics
Tom Webb
Téměř 310,000 ovlivněn University of Maryland porušení
28.2.2014 Incidenty University of Maryland je nejnovější instituce vyššího vzdělávání, aby trpěli porušení dat značného rozsahu a rozměrů, jak byly zkopírovány a exfiltrated ze svých sítí téměř 310.000 záznamů pracovníků a studentů. "zvláštní databázi záznamů vedených podle našeho IT oddělení bylo porušil včera. Tato databáze obsahovala 309.079 záznamy fakulty, zaměstnanců, studentů a přidružených pracovníků z College Park a Shady Grove areálech, které byly vydány v univerzitní ID od roku 1998, "Wallace D. Loh, univerzitní prezident vysvětlil v prohlášení zveřejněném . na internetových stránkách ve středu "se záznamy zahrnuté jméno, rodné číslo, datum narození, a Univerzitní identifikační číslo Žádné jiné informace byly ohroženy -. žádný finanční, akademické, zdraví, nebo kontakt (telefon, adresa) informace." Podle Diamondback , porušení došlo v úterý mezi 4 a 5 hodin, a byla zjištěna mezi 8 a 9 hodin téhož dne. Brian Voss, univerzitní viceprezident informačních technologií, sdílené, že útočníci se neobtěžoval s pozměňování dat sítě univerzity. Také, že zřejmě byly velmi schopný. "pracoval někdo kolem velmi přísné bezpečnostní a získal přístup k těmto údajům. Ten, kdo se to zlomil přes několik úrovní zabezpečení, aby bylo možné získat tento soubor, "řekl Voss, a poukázal na to, že porušení nebylo úspěšné, protože někdo nechal otevřené dveře, nebo udělal chybu. "Univerzity jsou zaměření na dnešních globálních útoků na IT systémy. Nedávno jsme zdvojnásobili počet našich bezpečnostních techniků IT a analytiků. Jsme také zdvojnásobila své investice do nástrojů zabezpečení top-end. Je zřejmé, že je třeba udělat více a lépe, a my, "komentoval Loh. "Počítačová forenzní vyšetřovatelé zkoumají porušené soubory a protokoly s cílem určit, jak byly naše sofistikované, multi-vrstvené bezpečnostní obrany obešel." prosazování práva byla rovněž zahrnuta v šetření. Univerzita má v úmyslu nabídnout jeden rok zdarma úvěrového monitoringu všech dotčených osob, a varoval je, aby pozor na phishing e-maily a telefonáty, které by mohly vydávat se na univerzitu, a požádat je, aby sdílet osobní a finanční informace.
800M vystavené záznamy, aby 2013 rekordní rok pro narušení dat 27.2.2014 Incidenty Navzdory často opakované tvrzení, že insider hrozba je ta organizace by měly být díval se na, čísla a statistiky týkající se 2.013 narušení dat ukazují, že riziko je mnohem menší než ten v souvislosti s útoky přicházející z vnějšku. Risk Based Security a Open Nadace Security analyzoval čísla a podrobnosti 2164 ztráty dat incidentů hlášených v roce 2013, a dospěli k závěru, že 72 procent z těchto incidentů se podílejí mimo útočníků, a 25 procent zúčastněných zasvěcenci. Je také dobré vědět, že poruší zapojené zasvěcenci byly způsobeny více nehod a selhání lidského faktoru, než škodolibost. A zatímco počet případů incidentů ztráty dat v roce 2012 téměř o třetinu větší, že pro rok 2013, počet záznamů vystaven v roce 2013 porušení dosáhla rekordních 823 milionů. Většina úniků dat zasáhla podniky, následovaný vládou, zdravotnických a vzdělávacích institucí, a to by nemělo být zcela neočekávané, že drtivá většina z vystavených záznamů byla ukradena z podniků, jakož i:
Také by nemělo být překvapením, že 45,5 procenta z porušení hit organizace se sídlem v USA, a že ti, tvořily 66,5 procenta z napadených záznamů (jednotlivých států USA, Kalifornie vede seznam s asi 370 milionů záznamů vystaven) .
Je zajímavé, že Jižní Korea je druhým ze seznamu zemí, pokud jde o vystavených záznamů - některé 140 miliony e-mailů adresy a identifikační čísla byla ohrožena hack věřil být namontovány podle severokorejských hackerů proti dosud veřejně neznámých organizací. Tento útok je také třetí místo na seznamu nejlepších 10 narušení dat incidentů všech dob. Adobe hack vrcholy tohoto seznamu, pokud hack firemních systémech vystavených jména zákazníků, ID, šifrovaných hesel a čísel debetní / kreditní karty s datem vypršení platnosti, zdrojový kód a další informace týkající se objednávek zákazníků - to vše ve všech 152000000 záznamy byly ohroženy. Nedávná Target porušení je na pátém místě, a expozice údaje, které se stalo v důsledku chyby v Pinterest je API končí seznamu. Celkový počet vystavené záznamy v roce 2013 je tak velký, protože z těchto masivních porušení, ale to je zajímavé poznamenat, že o něco více než polovina hlášených incidentů vystaveny pouze mezi jedním až 1000 záznamů. také zajímavou statistiku: 260 z porušení zveřejněných v roce 2013 představoval Následné události pro ovlivnil organizaci, a šedesát organizací hlášeno několik incidentů během roku 2013. Pokud máte zájem o více informací a statistiky, doporučuji podívat se na velmi podrobnou zprávu .
Americké podniky utrpěly 666000 interních porušení bezpečnosti 27.2.2014 incidenty Přes 666.000 vnitřní narušení bezpečnosti se konal v amerických podnicích v posledních 12 měsících, v průměru 2560 za každý pracovní den, nový výzkum odhalil. Zjištění, které se projevily IS rozhodnutí, také zjistil, že i přes tuto pravidelného výskytu, pouze 17,5% IT manažerů považují zasvěcených hrozby se ve svých prvních třech bezpečnostních priorit.
Nová zpráva upozorňuje na problematiku vnitřní bezpečnosti jako větší výzvu pro větší organizace, s 40% podniků s více než 500 zaměstnanců, kteří měli vnitřní narušení bezpečnosti v loňském roce. To také porovnává výskyt a odborník v oblasti IT je postoj k insider hrozby UK, kde byl trend opakoval jen s 21% vyjadřovat znepokojení navzdory více než 300.000 interních bezpečnostních incidentů v loňském roce. Insider hrozby nadále být relativně nízkou prioritou pro IT profesionály, s výzkumem zjištění problému je přetrumfnuti obavy hrozby virů (67%), ztráty dat (47%) a hackování (39%). Přesto čísla naznačují, že největším zdrojem ztráty dat je ve skutečnosti od zaměstnanců, což znamená, že IT odborníci jsou negovat podívat se na své vlastní vnitřní struktury dostatečně vážně řešit své vlastní problémy. Francois Amigorena, generální ředitel IS rozhodnutí komentoval: "Je lidská přirozenost vidět z externích zdrojů jako největší hrozbu, a že spolu s tím, že insider hrozba je složitý problém zvládnout vedlo k odborníkům v oblasti IT zdánlivě tolerovaly k této otázce. "Tato čísla, a vlivu, který Edward Snowden případ měl minulý rok, jasně ukazují, že vnitřní bezpečnost by měla být výš pořadu IT. Skutečností je, že to je velmi závažným problémem, ale dobrá zpráva je, že tam je hodně, že IT oddělení může udělat pro zmírnění rizika. Je to otázka techniky, stejně jako kulturní jeden, a mohou být řešeny z obou těchto úhlů.
K soukromým datům má kvůli chybě routeru přístup kdokoli 19.2.2014 Incident Žádné hluboké znalosti síťových protokolů a prolamování promyšlených hesel. K cizím datům se může dostat prakticky kdokoliv kvůli bezpečnostní chybě v některých routerech od Asusu. Právě kvůli této trhlině získá nezvaný návštěvník přístup k připojeným síťovým diskům. Upozornil na to ve středu server Cnet. Tato zranitelnost je o to vážnější, že přístup k datům na cizích flashkách nebo externích discích připojených k routerům od Asusu může získat každý, kdo zadá do internetového prohlížeče nebo FTP klienta IP adresu zařízení (unikátní adresa pro každý přístroj v prostředí internetu).
Poté se mu hned zobrazí všechna uložená data, není potřeba obcházet žádné sofistikované zabezpečení. Tento postup vyzkoušely Novinky v praxi a skutečně funguje.
Dostat se k cizím datům je otázka pár vteřin. Stačí znát IP adresu postiženého zařízení.
Trhlina přitom není podle bezpečnostních expertů nijak nová. Jak připomněl server Ars Technica, hlášena společnosti Asus byla již v loňském roce. Přestože je záplata již k dispozici, v ohrožení je stále několik tisícovek uživatelů. Opravu je totiž nutné nainstalovat manuálně, což řada lidí ani neví.
Internetem začal totiž kolovat seznam více než 13 000 IP adres postižených routerů. Velmi závažný začal být problém před dvěma týdny. Internetem začal totiž kolovat seznam více než 13 000 IP adres postižených routerů. Drtivá většina z nich je navíc skutečně pravá.
Hacker pomáhá chránit data Vyřešit problém a zachránit lidem data se pokusil v minulých dnech hacker vystupující pod přezdívkou /g/. Začal se lidem „nabourávat“ na disky připojené k bezdrátovému směrovači, kam jim nahrává textový soubor s informacemi o trhlině a o tom, jak ji zazáplatovat.
V podstatě stačí na webu Asusu najít stránku svého routeru, kde jsou v záložce podpora ke stažení všechny dostupné aktualizace. Řešením je samozřejmě i odpojení externích disků a flashek.
Zabezpečení je podceňováno Bezpečnostní problémy spojené se síťovými prvky, prostřednictvím kterých přistupují lidé k internetu, nejsou nijak výjimečné. Naopak, setkávat se s nimi budeme stále častěji, což dokládá i aktuální hrozba týkající se routerů značky Linksys.
„Výzkumníci institutu SANS objevili nového samoreplikujícího se červa, který napadá různé domácí a routery značky Linksys. Analytici zatím nezjistili, zda je v červu zabudován nějaký nebezpečný kód či zda se červ připojuje na nějaký server,“ varoval analytik Pavel Bašta z Národního bezpečnostního týmu CSIRT, který je provozován sdružením CZ.NIC.
Lidé by proto měli důsledně instalovat všechny aktualizace, které jsou pro jejich síťové prvky dostupné. V současné době totiž není výjimkou, že se v domácnostech objevují i několik let staré přístroje, na které nebyla nikdy nainstalována žádná oprava.
Hackeři porušení poštovní servery Comcast 12.2.2014 Incident Po úspěšném cílení Bell Canada a úniku informací o zákaznících, hacker kolektivní NullCrew zřejmě porušil poštovní servery, které patří do Comcast, největší ISP v USA.
Tvrdí, že využili místní začlenění souboru (LFI) Chyba zabezpečení v Zimbra, groupware e-mailový server a webový klient použít na 34 Comcast poštovních serverů, aby jim a jejich přístup k obsahu. Aby dokázal, že jejich "vítězství", které souvisí s Pastebin příspěvek obsahuje seznam serverů, a využívat kódu, které zřejmě použitý v útoku. Databreaches.net hlásí , že příspěvek nezahrnoval informace o zákaznících, i když jeden z útočníků znamenal , že se dostali do rukou databázi hesel. Comcast ještě vyjádřit k tvrzení, ale zdá se, že se snaží ochránit své poštovní servery z dalších útoků se, že zneužití kódu je veřejná tím je zrušit v současné době.
Efektivní reakce na incidenty 12.2.2014 Incidenty Organizace jsou bombardováni s potenciálními hrozbami každý den. Většina z nich jsou malé a dráždivé, a to opravdu kritická - ale mezi ty jehly jsou malé závity větších akcí při práci. Program reakce na incidenty umožňuje vytáhnout jehly, které tvoří kupce sena velký obrázek, podle Jaime Blasco, ředitel v AlienVault Labs.
Klikněte zde pro kompletní Infographic
Konečným cílem programu na reakce událost je nejen účinně obsahovat jednu událost, ale na začátek modelování techniky útoku. Odpověď Incident je založen na přístupu, který detekuje a uvádí kroky, které útočníkovi dovolit ohrozit bezpečnost systému. tým reakce na incidenty pak použije tyto informace pro řízení budoucích činností reakce na incidenty. V tomto modelu chování, které se mohou zdát neškodné před analýzou mohou sloužit jako prediktivní ukazatel většího útoku. Budování rámec je reakce na incidenty umožňuje organizaci, aby v obrovské množství podniků a bezpečnosti dat, budování vztahů mezi těmito daty a prezentovat ji v jediném sjednoceném postupu. Tento pracovní postup představuje jak obchodní a technické informace v jediném zobrazení. Analytici mohou trávit mnohem méně času učení jednotlivých ovládacích bezpečnostní technologie a mnohem více času analyzovat, najít vzory, a rozhodování reakce. Klíčové pojmy k úspěšnému programu reakce na incidenty, jsou následující:
Zákon o to, co se vám podaří-spustit na to, co víte, jak účinně reagovat. Neexistuje často používaný bezpečnostní politiku, který pracuje pro organizaci po celou dobu, mimo zákonných požadavků. Nezapomeňte, obchodní procesy definovat politiku, ne naopak. Sledování bezpečnosti je zásadní a základním prvkem každého programu reakce na incidenty. Jak už název napovídá, reakce na incidenty zahrnuje reakci na některých ukazatelů o skutečném nebo potenciálním výskytem ukazatelů, které jsou zjištěny na základě sledování bezpečnosti. Indikátory jsou kontextové informace čerpány z řady technických a administrativních zdrojů.
Bílé Ubytování potvrzuje porušení systém POS v 14 hotelů v USA 12.2.2014 Incidenty Hotel management firmy White Ubytování potvrdila, že utrpěl porušení bodu prodejních systémů a vydala další informace o vyšetřování. "White Ubytování spravuje hotely na základě dohod s majiteli hotelu a je odlišný a samostatný subjekt od konkrétní značky ubytované, "oni byli jisti, počítejte s tím, a sdílené, že systémy v restaurací a salonků v 14 hotelů v USA, které byly ohroženy v období od března 20 a 16 prosince 2013. Celý seznam lze nahlížet tady , a je zajímavé poznamenat, že nejen Marriot hotely byly ovlivněny. "Hosté v hotelu, který neměl používat své kreditní karty v těchto prodejnách, a hosté, kteří si zakoupili pro své pokojové účtu na těchto prodejnách, nebyly ovlivněny," oni rozdělili, s výjimkou Radisson hvězda Plaza v Merrillville, Indiana , kde je systém správy majetku, který spravuje hotelové hosty "údaje o kreditní kartě se zdá také mohla být ohrožena. Informace ohrožena v rozporu je, že vázána na zákazníka platebních karet (jméno, číslo, bezpečnostní kód, datum vypršení platnosti), takže návštěvníci na těchto hotelů během výše uvedeného období jsou vyzýváni, kontrolovat jejich prohlášení karty, a bude přijímat jeden rok služby osobní ochrany identity zdarma. Firma slíbila, že další informace o incidentu ihned sdílet.
Hackeři porušení Bell Canada, úniku zákaznické informace a hesla 10.2.2014 Incidenty | Hacking Hacker skupina NullCrew se podařilo pro přístup k serverům, které patří do Bell Canada - nebo dodavatel třetí strany, jako Bell tvrdí - a krást a v konečném důsledku úniku uživatelská jména a hesla, e-mailové adresy, dílčí údaje o kreditní kartě a více asi 20.000 + zákazníků Bell. NullCrew hackeři oznámila, že únik před několika týdny, a byly zveřejněny údaje výpisem tuto sobotu. Místo hosting výpis byl uveden do režimu offline, ale ne dříve, než někteří výzkumníci zabezpečení a pravděpodobně někteří počítačoví podvodníci se podařilo stáhnout. blogger za DataBreaches.net se dotazoval na hackery, a bylo prokázáno screenshotů z rozhovorů a na hacking procesu, který doložit své tvrzení, že oni měli přístup k serveru Bellova pro měsíce, a že oni (neúspěšně) pokusil informovat Bell ní a zranitelnosti, která jim umožnila montáž SQL injekce proti řízení ochrany přihlašovací stránce společnosti (https:/ / protectionmanagement.bell.ca/passwordrecovery_1.asp). Po krátkém vyšetřování, Bell Canada potvrdil informace kompromis, ale řekl, že servery v otázce nejsou jejich. "Bell dnes oznámila, že 22.421 uživatelská jména a hesla a 5 platnou kreditní kartu počet Bell malé firemní zákazníky byly zveřejněny na internetu tento víkend. vysílání výsledky z nelegální hacking informačních technologií systému Ottawa na bázi třetí strany dodavatele to, "že uvedl v neděli. "V souladu s našimi přísnými zásadami ochrany osobních údajů a bezpečnosti , Bell je kontaktovat postižených malých firemních zákazníků, má zakázané všechny dotčené hesla, a informoval příslušné společnosti vydávající kreditní karty. Budeme i nadále spolupracovat s dodavateli, stejně jako prosazování práva a bezpečnostním vládní úředníky, aby věc vyšetřil. vlastní sítě Bellova a IT systémy nebyly ovlivněny. " NullCrew stále tvrdí, že je to vlastní servery, Bell, který dostal hacknutý, ale společnost zopakovala své tvrzení, že patří k dodavateli třetí strany. Security badatel Adam Caudill komentoval na Twitteru, že Bellova verze by mohla být pravda. "Viděl jsem více než jednou, kde subdoména velké společnosti bodů na třetí osobu," řekl řekl a dodal, že jeho společnost hostí jeden pro "velmi velké banka ". "Tak to je docela možné, že se pravdu. Měly by trvat ještě větší zodpovědnost za své údaje však," dodal. Dalším Twitter uživatel hledal šetření subdomény v otázce, a ukázalo se, že je registrován Ottawa bázi Magma komunikace.
Yahoo Mail účty ohrožena v koordinovaný útok 8.2.2014 Incident | Kriminalita | Hacking Neznámý útočník se pokusil o přístup k několika Yahoo Mail účty, společnost varoval ve čtvrtek, a vyzval uživatelům změnit své heslo, i když nebyly ovlivněny.
"Na našich současných poznatků, seznam uživatelských jmen a hesel, které byly použity k provedení útoku byl pravděpodobně shromážděny z databáze třetí strany kompromisu. Nemáme žádný důkaz, že byly získány přímo od systémů Yahoo," sdílené Jay Rossiter, Yahoo senior viceprezident platforem a personalizace výrobků. "Naše pokračující vyšetřování ukazuje, že škodlivý počítačový software používá seznam uživatelských jmen a hesel pro přístup k Yahoo Mail účty. Informace požadované v útoku se zdá být jména a e-mailové adresy z nejvíce postižených účty" poslední odeslané e-maily. " Společnost provedl reset hesla na impaktovaných účtů, a dotčené uživatelé budou vyzváni k opětovnému zajištění jejich účty změnou hesla. "Kromě přijímání lepších heslo postupy změnou své heslo pravidelně a za použití různých variant symbolů a postav, uživatelé by nikdy neměli používat stejné heslo na více místech nebo služeb, "dodal. "Použití stejné heslo na více místech nebo služeb činí uživatelům obzvláště zranitelné vůči těmto typům útoků." Společnost neřekl, kolik mailové účty byly ovlivněny. napadených účtů mohly být použity k rozesílání nevyžádané pošty přímo, ale Shromážděné informace (jména a e-maily kontakty "), lze také použít, aby se scammy e-maily z jiných zdrojů vypadat legitimní.
Nové informace o cílové porušení vyjdou na světlo 8.2.2014 Incidenty Protože jsou datová výpisy z karty ukradené v cílovém porušení i nadále prodávat na podzemních počítačové kriminality fórech, a ukradené informace jsou využívány k provádění unauthorized platby, americký generální prokurátor Eric Držitele uvedl, ministerstvo spravedlnosti je "odhodlán zasadit se o nenacházím pouze pachatelé těchto druhů narušení dat - ale také případné jednotlivců a skupin, kteří využívají tato data prostřednictvím podvodů s kreditními kartami ".
Šetření Cíl porušení stále probíhá, a společnost má pochopitelně málomluvný o podrobnostech útoku, ale sdílené , že hackeři byli schopni vstoupit do systému společnosti s využitím pověření ukradené od prodejce. Samozřejmě, že Nezmínil název dodavatele v otázce, a oni neřekli, pro které portál pověření bylo pro, ale to asi není náhoda, že cíl omezený přístup do databáze dodavatelů (Info retrívr) a jejich webové stránky lidských zdrojů (EHR) minulý týden. Do té doby, Brian Krebs byl dělat nějaké jasnozřivostí a byl záplatování dohromady stopy, a je přesvědčen, že útočníci pravděpodobně zjistili, že Target používá určitý kus softwaru, který měl uživatelského účtu správce úroveň s výchozím heslo znát k nim, a zneužila ho nastavit řídicí server v rámci vnitřní sítě cílových tak, aby mohly být shromažďovány ukradené údaje karty v jednom místě, než se dostane exfiltrated. Ten uvádí, že Dell SecureWorks "Counter Threat Unit se také objevil, že jedna složka o malware nainstalován sebe jako službu s názvem "BladeLogic." Název byl zřejmě vybrán napodobovat jméno automatizační software vytvořený BMC, stejná společnost, která prodává software pro správu IT sadu uvedené v předchozím odstavci. Zatímco BMC klesla říci, zda Target používá svůj software, důvěryhodný zdroj potvrdil, Krebs, že mnozí američtí maloobchodníci dělat.
Microsoft odhaluje donucovacích dokumenty byly v poslední hack ukradený 3.2.2014 Incident S krátkou blogu, Microsoft v pátek oznámila, že neznámé hackeři mohli přistupovat a exfiltrated informace o donucovacích žádostí o informace z mnoha napadených e-mailových účtů zaměstnanců.
Společnost má v poslední době terčem pro-Assad syrské elektronické armády (SEA), které podařilo napadnout počtu úředních blogy Microsoft, Twitter účtů a e-mailových účtů. "Pokud zjistíme, že došlo k narušení zákaznické informace vztahující se k těmto žádostem budeme přijímat vhodná opatření Z ohledem na soukromí našich zaměstnanců a zákazníků -. stejně jako citlivost dotazů činných v trestním řízení - nebudeme komentovat platnosti jakýchkoli ukradených e-mailů nebo dokumentů, " napsal Adrienne Hall, generální ředitel na důvěryhodný Computing Group společnosti Microsoft. Zatímco ona neřekla, kdo byl za všemi těmito útoky, když se vyjádřil , že všechny tyto phishingové útoky se zdají být spojené. Do té doby, SEA zřejmě potvrdily , že jsou za útokem, a řekl, že bude se zveřejněním ukradené právní dokumenty na mediální místě, aby dokázal, že to není jen činný v trestním řízení, který žádá o uživatelských dat od společnosti Microsoft. Hall bagatelizoval útok, říká, že "mnoho společností zápasí s pokusy o phishing od zločinci." Poznamenala také, že bude i nadále vzdělávat zaměstnance a provést změny, jak probíhají jejich sociální vlastnosti média, poté, co interní vyšetřování ukazuje, kde jsou slabá místa jsou.
Federálové převzít on-line padělaných karet e-shopu, zatčení jeho provozovatelů 3.2.2014 Incident Tři muži, kteří údajně provozoval one-stop on-line obchod prodává padělané platební karty a holografické překryvy, které mají být použity zločinci, aby falešné identifikace, čelí federální obvinění v probíhajícím šetření, které již vedlo v 11 dalších zatýkání, včetně zákazníků čelí federální obvinění . Sean Roberson, 39, Palm Bay na Floridě, který údajně provozoval stránky, je obviněn ze spiknutí s cílem spáchat podvodu drátu, spiknutí pro provoz s padělaným zbožím nebo službami, a spiknutí za účelem spáchání podvodu a související činnosti v souvislosti s funkcí ověřování . nahraditelnou obvinění se vrátil dnes v západní obvod Severní Karolíny poplatků Roberson je dva spiklenci, Vinício Gonzalez, 30, v Melbourne na Floridě, a Hugo Rebaza, 31, Palm Bay, Florida spiknutí k provozu s padělaným zbožím a spiknutí ke spáchání pošty podvodu, podvodu drátu a bankovní podvod. nahrazovala Obžaloba také účtuje zákazníkovi na internetových stránkách, Nashancy Johnny Colbert, 27, Charlotte, NC, s jedním počtu spiknutí s cílem spáchat poštovní podvod, podvodu drátu a bankovní podvod. FBI a USPIS byly vyšetřuje on-line prodejna, fakeplastic.net , od ledna 2013. Roberson začal prodávat padělané karty a související položky, jako již v dubnu 2011 a zahájila fakeplastic webové stránky v červnu 2012. Roberson vlastnil a provozoval web s pomocí Gonzalez a Rebaza. Od dubna 2011 Roberson a jeho spiklenci splněny objednávky na zhruba 69.000 padělaných kreditních karet - jak reliéfní a neprolisované - více než 35000 holografické nálepky používané k výrobě padělané karty se objeví více legitimní a více než 30.000 identifikačních karet stav holografické překryvy. Objednávky - více než 3600 pozemky - byly přepravovány přes americkou poštu. Gonzalez byl primárně zodpovědný za výrobu padělků platebních karet, obalů na kontraband pro zasílání a uvádění US Express Mail obálky v e-mailu dodání do fakeplastic zákazníky. Spiklenci použít paměťové zařízení na Floridě ukládat zásoby a vyrábět padělky platebních karet a Gonzalez často navštívil paměťové jednotky k vytvoření vlastní-embosovaných karet a připravit poštovní balíky. Vymáhání práva zatčen Gonzalez 4. prosince 2013, zatímco on byl v úložného prostoru - zabavení počítačů, tiskáren, padělané karty, je razicí a další kontraband. Rebaza byl "běžec" pro trestné činnosti, který je zodpovědný za vyzvednutí balíčků, které obsahují výnosů z trestné činnosti a dodávky z mailu "drop" pro fakeplastic webových stránkách. Colbert byl pouze pro členy zákazník na webových stránkách, který umístil a dostal rozkaz padělaných platebních karet dodávaných k němu prostřednictvím pošty. Činných v trestním řízení provedeny domovní prohlídce na 3 leden 2014, na Colbert v Charlotte bydliště zadření, mimo jiné, 41 padělaných platebních karet, s vyraženým Colbert jména nebo jména jiných osob. Činných v trestním řízení také obnovit odhozenou US Express Mail obálka odeslaná z fakeplastic webových stránek. Použití konzervativní odhad ztráty 500 dolarů spojené s každé padělané platební karty (odvozené od federální trestní sazbou odhad ztráty spojené s informacemi ukradené platební karty), vymáhání práva odhaduje, že ztráty spojené jen s padělky platebních karet obchodovaných podle Roberson a jeho spiklenci na více než 34.500.000 dolar. Roberson osobně dělal více než 1,7 milionů dolarů z programu. fakeplastic web byl používán různými skupinami pachatelů trestné činnosti v celé zemi často odkazoval se na jako "mykání" nebo "hotovost" posádky. Tyto posádky koupit ukradené čísla platebních karet a související informace - odkazoval se na jako "datová stopa" nebo "skládek" - což se obvykle objevují na magnetickém proužku na zadní straně oprávněných platebních karet. Nelegální prodejci této informace se obvykle dostat přes hackování nebo skimming operace zahrnující instalaci speciálního zařízení na místech, ATM nebo point-of-prodejní terminály. Ukradl data jsou nakonec dát na prázdnou kartu a používá k výrobě neoprávněné transakce. Sofistikovanější hotovost mimo provoz pomocí custom-made padělané platební karty embosované se stejnými čísly účtů, které byly uloženy na zadní straně karty, a často získávají falešný identifikační karty, aby se snížila pravděpodobnost detekce z činných v trestním řízení. trestní podzemí se vyvinula ze zlomených, regionálních operací na trhu založeného na internetu, kde kupující a prodávající po celém světě můžete inzerovat, nákupu a přenosu ukradených dat skladby. Fakeplastic website přinesl fyzické nástrojů potřebných pro výběr hotovosti z operací ve světě e-commerce, neboť eliminuje potřebu pro posádky k nákupu drahého hardwaru. prosinci 2013 místo má více než 400 členů. Členové mají přístup k fakeplastic webové stránky a hledají na nákup padělaných platebních karet, by mohly procházet dostupné šablony padělky karet na internetových stránkách je. Členové pak mohou vybrat, zda na vstupu konkrétních informací, které mají být vyraženým na kartách, a zda chtějí další funkce ověřování -. Jako jsou holografické nálepky Najednou stránkách přijato Liberty Reserve on-line měny, ale krátce poté, co federální obvinění proti Liberty Reserve byly zveřejněny v jižní obvod New Yorku 05. 2013, fakeplastic web přestala přijímat tuto měnu a začal přijímat Bitcoin, je kryptografický založené na digitální měně. Jak je uvedeno v sekci stránek "novinky", Bitcoin byl viděn jako "bezpečné" a "anonymní" způsob platby za kontraband. FBI a US Postal Inspection Service (USPIS) převzal kontrolu nad stránek, fakeplastic.net , na 05.12.2013, a dělal více než 30 kontrolovaných dodávek objednaných materiálů - nedovolit tyto materiály k opuštění řízení v oblasti vymáhání práva. Stížnost podala proti Roberson si můžete prohlédnout zde , ale Brian Krebs má dobrou (a kratší) write-up o tom, jak orgány, podařilo se ho vázána na internetových stránkách.
1,1 milionu postižených v Neiman Marcus porušení 2.2.2014 Incidenty
American store luxusní Oddělení řetězec Neiman Marcus konečně nabídl nějaké podrobnosti o porušení utrpělo během konce roku dovolenou. Není to tak zlé, jako Target porušení , ale je to špatné, nicméně.
"Zatímco soudní a trestní vyšetřování stále pokračují, víme, že škodlivý software (malware) byl tajně nainstalován na našem systému," uvedl generální ředitel společnosti Karen Katz. "Zdá se, že malware se aktivně pokoušel sbírat nebo" šrot "Údaje o platebních karet z 16.července 2013 do 30.října 2013. Během těchto měsíců, přibližně 1,1 milionu platebních karet zákazníků by mohla být potenciálně viditelná malware. K dnešnímu dni, Visa, MasterCard a Discover oznámily nám, že přibližně 2400 unikátních platební zákazník karet používaných v Neiman Marcus a Poslední obchody volání byly následně použity podvodu. " Společnost začala oznámením potenciálně postiženým zákazníkům, pro něž se mají adresy nebo e-mail, a kdo nakupoval s nimi mezi lednem 2013 a ledna 2014 a nabízí jeden volný rok úvěrového monitoringu a ochrany identity proti krádeži. Oni také vyzval své zákazníky na kontrolovat jejich výpisy z platebních karet pro podezřelé aktivity, a ujistil je, že pokud jsou hlášeny včas, budou společnosti vydávající kreditní karty uhradit peníze, které ztratili. Udělali Ujistěte se, že vědomí, že zákazníci, kteří nakupovali on-line don 't se zdají být ovlivněny, a že PINy, čísla sociálního pojištění a data narození nebyly ohroženy. nenasvědčuje tomu, že by společnost mohla utrpěli porušení přišel v polovině prosince, kdy se jejich obchodní procesor oznámeného jim neoprávněné činnosti platebních karet Následující zákazník nakoupí v jednom ze svých obchodů. porušují byla potvrzena 1. ledna, forenzní firmy, které najal. "Na základě informací, které máme k dnešnímu dni se zdá, že sofistikované, self-skrývání malware, který je schopen podvodně získat informace o platební kartě , byl aktivní v období mezi červencem 16 a 30 října 2013, "uvedli, ale řekl, že nejsou známy žádné spojení mezi jejich a Target porušení (ačkoli jiné zdroje říkají, že malware používá v obou porušení se zdá být stejná ). Nakonec dodal, že oni přijali řadu kroků, které obsahují situaci a ke zlepšení jejich bezpečnostních opatření.
Společnosti musí zlepšit plány reakce na incidenty 30.1.2014 Incidenty
Bezpečnostní hrozby jsou na spadnutí, ale ředitelé a další členové řídícího týmu jsou v nevědomosti o možných kybernetických útoků proti jejich společností, říkají, že výsledky zprávy Ponemon Institute s názvem "Cyber Security Incident Response: Jsme připraveni, jak si myslíme, že ? "
Výzkum také ukazuje, že v důsledku, Computer Security Incident Response týmy (CSIRT), často chybí prostředky nezbytné pro odrazit trvalý nápor pokročilých hrozeb, kterým čelí dnešní organizace. pověřen Lancope, výzkum Ponemon Institut zkoumal 674 IT a bezpečnost IT . odborníci ve Spojených státech a ve Spojeném království, kteří jsou zapojeni do CSIRT činnosti jejich organizace studie shrnuje klíčové doporučení pro organizace, které chtějí zlepšit svůj proces reakce na incidenty: Bezpečnostní incidenty jsou na spadnutí - Šedesát osm procent respondentů uvedlo, že jejich organizace se zkušenostmi narušení bezpečnosti nebo mimořádné události v uplynulých 24 měsících. Čtyřicet šest procent říká, jiný incident je na spadnutí a může stát během příštích šesti měsíců. Řízení je velmi nevědomý kybernetických bezpečnostních hrozeb - Osmdesát procent respondentů uvedlo, že nemají často komunikovat s výkonným řízením o možných kybernetických útoků proti jejich organizaci . Organizace není měření účinnosti jejich úsilí reakce na incidenty - Padesát procent respondentů nemají významné provozní metriky pro měření celkové účinnosti reakce na incidenty. Porušení zůstávají nevyřešeny po celý měsíc - Zatímco většina organizací uvedlo, že by se mohlo zjistit bezpečnostní incident, během několika hodin, trvá celý měsíc v průměru pracovat prostřednictvím procesu vyšetřování incidentu, obnovení služby a ověřování. CSIRT chybí odpovídající investice - Polovina všech respondentů tvrdí, že méně než 10 procent z jejich bezpečnostních rozpočtů se používají pro incidentu . činností reakce, a většina tvrdí, že jejich rozpočty reakce na incidenty byly v uplynulých 24 měsíců nezvýšila auditní stopa sítě jsou nejúčinnější nástroj pro reakce na incidenty - Osmdesát procent respondentů tvrdí, že analýza kontrolních záznamů ze zdrojů, jako jsou NetFlow a paket zachytí je nejúčinnějším přístupem k detekci bezpečnostních incidentů a narušení. Tento výběr byl více populární než detekce narušení systémů a anti-virus software. "Je-li 2013 je nějaký náznak, dnešní podniky jsou špatně vybaveny identifikovat a zastavit sofistikované útoky zahájily národní státy, se zlými úmysly outsidery a určené zasvěcenci," řekl Mike Potts , prezident a generální ředitel společnosti Lancope. "Nyní je čas pro manažery C-úrovni a s rozhodovací pravomocí v oblasti IT, aby se spojily a rozvíjet silnější, více komplexní plány reakce na incidenty. Tato komunikace je rozhodující, pokud chceme snížit ohromující frekvence vysokou -profil narušení bezpečnosti osobních údajů a škodlivé firemní ztráty, které vidíme v médiích na téměř každodenně.
Údaje karty ukradené v cílové porušení začíná stále zneužívána 30.1.2014 Incidenty
Informace Platba kartou udeřil v masivní Target porušení byl spatřen zneužívány v Texasu, a dva mexičtí občané byli zatčeni a čelí federální obvinění. Podle AP zpráva, Mary Carmen Vaquera Garcia, 27, a Daniel Guardiola Dominguez, 28, z Monterrey, Mexiko, opakovaně vstoupil do USA a používá karty klonované z informací ukradené cíl provést velké množství nákupů v jižním Texasu. dva by se provádět ve svých podvodných invaze v neděli, snad v naději, že společnosti vydávající kreditní karty a maloobchodníci by nebyl schopen na místě krádeže v čase a které by jim umožnilo vrátit se do Mexika, aniž by se chytil. Karty, které byly použité klonované z ukradených informací vázána na South Texas obyvatel, aby platby méně podezřelé. Zdá se, První vpád byl proveden 12. ledna, a cílené Best Buy, Wal-Mart a hračky R Us obchodů v této oblasti. Poté, co byl objeven podvodné povahy transakcí, policie a tajné služby Spojených států byly přineseny do vyšetřit. Poté, co sledoval hodiny videokazet, které identifikoval vaquera Garcia a Guardiola Domingues, stejně jako auto, které používá. Příští neděli, když se snažili znovu vstoupit do USA se stejným vozem, úřady všiml a zastavil je. Měli 96 klonovaných karet s nimi v době zatčení. Dva podvodníci se zřejmě podílí jak na pořízení odcizených dat a fyzické vytváření klonovaných karet, ale podle McAllen policejní šéf Victor Rodriguez, mohli také být součástí většího spiknutí, a jsou propojeny do východní Evropy nebo Ruska podvodníci, kteří se "zřejmě prodávají datové sady podle krajů."
Útočníci zveřejnili kontakty uživatelů Snapchatu
17.1.2014 Incidenty | Kriminalita Telefonní čísla více než 4,6 milionů uživatelů Snapchatu byla spárována s uživatelskými jmény a zveřejněna na internetu několik dní poté, co výzkumná bezpečnostní společnost na zranitelné místo této služby poukázala.
„Tato databáze obsahuje uživatelská jména a telefonní čísla většiny uživatelů Snapchatu,“ stálo v příspěvku na webových stránkách SnapchatDB.info, které již byly hostingovou společností zrušeny, přesto je databáze stále dostupná z mezipaměti.
Kyberzločinci informace o telefonních číslech získali díky chybě v poslední aktualizaci Snapchatu a podle svých slov je zveřejnili proto, aby na tento problém upoutali pozornost. „Společnost nebyla ochotná chybu opravit včas. Firmy, kterým své informace svěřujeme, by měly být při nakládání s nimi opatrnější,“ napsal útočník.
Poslední dvě číslice kontaktních informací byly však odstraněny, kyberzločinec tím chtěl předejít spamu a dalšímu možnému zneužití, na webu ale ponechal výzvu k tomu, aby ho zájemci kontaktovali pro necenzurovanou verzi, kterou by útočník za určitých okolností mohl v budoucnosti také zveřejnit.
Společnost Gibson Security minulý týden vydala funkční koncept kódu, který využívá vlastnosti API „find_friends“. Tato funkce dokáže na krátký okamžik spojit telefonní čísla uživatelů s jejich účtem. Gibson na tuto zranitelnost společně s dalšími problémy poukázal již v srpnu.
„Pokud by někdo byl teoreticky schopný nahrát velkou sadu telefonních čísel, například všechna americká čísla nebo čísla z jedné oblasti, mohl by z výsledků vytvořit databázi a uživatelská jména s čísly spojit,“ napsala minulý týden společnost Snapchat. „Během let jsme však implementovali celou řadu bezpečnostních pojistek, aby to nebylo tak jednoduché. Nedávno jsme také přidali další opatření, která mají za úkol bojovat se spamem a zneužitím.“
„Lidé často používají na celém internetu stejné uživatelské jméno, takže je jednoduché tyto informace využít k nalezení telefonního čísla na základě informací z Facebooku nebo Twitteru,“ uváděl dále web SnapchatDB.info.
Gibson po zveřejnění databáze řekl, že o tom nic neví, ale že to bylo pouze otázkou času. Snapchat tento problém zatím nijak nekomentoval.
Evan Spiefel, zakladatel a majitel této mladé služby zaměřené na výměnu krátkých zpráv s omezenou životností na podzim loňského roku údajně odmítl nabídku Facebooku na odkup, která se blížila hranici tří miliard dolarů.
Microsoft Změny Bug Bounty programu včetně Incident respondenti, Forenzní specialisté 6.11.2013 Incidenty
Poté, co našel nějaký počáteční úspěch se svou první vpád do světa bug bounty, Microsoft rozšiřuje program otevřít platby až do výše 100.000 dolarů týmy incidentů a forenzní odborníci, kteří přicházejí přes aktivní útoky ve volné přírodě, které obsahují nové techniky, které obcházejí využít ke zmírnění dopadů na místě na nejnovější verzi systému Windows.
Změna je navržena tak, aby rozšířila oblast lidí, kteří mohou předložit nové útočné techniky společnosti Microsoft, a proto pomáhá firma dále zabezpečit Windows. Za účelem získání nového programu, organizace nebo jednotliví přispěvatelé třeba předem registrovat u společnosti Microsoft zasláním e-mailu na DOA [at] microsoft [dot] com a poté předloží i odbornou analýzu nové techniky, stejně jako důkaz -of-concept kód. Katie Moussouris, senior stratég zabezpečení společnosti Microsoft, řekl, že nový přírůstek do nájemný programu také by měl umožnit organizacím, které se staly oběťmi útoků škodlivého softwaru, aby předložila příspěvků.
"Důvod, proč jsme se ptáte na proof-of-concept kód, který mnoho lidí může být netají vlastních vzorků malwaru, protože tam může být identifikační údaje tam," řekla. "Jsme zájem o techniku. Chtějí-li nám poslat vzorek, to je taky v pohodě. Nechceme vidět hodně nových útočných technik, protože jsou opravdu vzácné. "
Chyba Microsoft Bounty Program se liší od programů, většina prodejců, zatímco to vyplatí ne pro jednotlivé zranitelnosti, ale pro nový útok a obranné techniky. Společnost uhradila první 100000dolar odměnu v říjnu výzkumníka James Forshaw, který objevil novou techniku pro obcházení systému Windows exploit snižující závažnost rizika. Moussouris řekl přidání týmů incidentů a forenzní specialisté byli v pracích na nějakou dobu, ale společnost chtěla počkat oznámit, že až poté, co někdo získal odměnu.
Ale je tu i další motiv pro nové odměnu: pustoší zranitelnosti trhu.
"Jsme záměrně dělá to narušit stávající zranitelnost a využívat tržiště," řekl Moussouris. "Černý trh platí mnohem vyšší ceny, ale část z toho, co platíte, je exkluzivita a spoléhání na techniku pobytu v tajnosti tak dlouho, jak je to možné. Chci, aby to bylo podnětem pro lidi vyhodit těchto operačních programů. "
Cílem je snížit množství času, že nová technika je užitečná pro útočníky, Moussouris řekl. A to není konec změn nájemný programu, a to buď.
Včera bylo zjištěno, že php.net web byl ohrožen. V tomto bodě, tým php.net věří, že servery byly ohroženy na několik dní, a alespoň jeden soubor byl změněn dodat malware. Aktuální přehled naznačuje, že útočník může mít přístup k serverům tajným klíčem SSL, což naznačuje, že útočník měl roota. [1]
Pravděpodobně nejcennější aktivum přítomen na místě, a to php.net zrcadla je PHP zdrojový kód distribuce, která je používán na místech po celém světě. V tomto bodě, nic nenasvědčuje tomu, že útočník upravený soubor. Ale chci se zaměřit na uživatele, stahování souborů, stejně jako zdrojový kód PHP. Jak si ověřit, že soubor je závazné a ani se s ním manipulovala?
PHP.net vydává MD5 hashe na svých stránkách, které uživatel může použít k ověření binární. Nevadí, že MD5 není nejsilnější algoritmus hash. Je to asi dost dobré pro tento účel. Skutečným problémem je, že neexistuje žádný digitální podpis. Útočník by mohl vyměnit zdrojový kód a MD5 hashe, pokud má útočník přístup k serveru, a stejně jako v tomto případě appeareantly je schopen měnit soubory. Digitální podpis by být vytvořeny pomocí tajného klíče daleko od serveru, možná i stále offline. Tímto způsobem by útočník schopen změnit podpis, ale nepoužíváte autorizovaný klíč a koncový uživatel trápí ověření digitálních podpisů bude mít určitou šanci detekovat kompromis. Je smutné, že příliš mnoho projektů, pouze hash (opět: nezáleží na tom, hash použít vše může být nahrazen.).
[1] http://php.net
NSA popírá krádeže dat z datacenter Googlu a Yahoo
3.11.2013 Šifrovaní | Incidenty | Hacking Šéf americké národní bezpečnostní agentury (NSA) popřel, že by organizace tajně zachycovala velké množství informací ze serverů Googlu a Yahoo, aniž by měla od těchto společností svolení.
Generál Keith Alexander odpovídal na otázky ohledně této zprávy, se kterou první přišel magazín Washington Post na konferenci o kyberbezpečnosti. „Podle mých znalostí se nic takového nikdy nestalo,“ řekl.
Podle Washington Postu nové informace z dokumentů, které odtajnil Edward Snowden, popisují program s názvem MUSCULAR, přes který mohli američtí a britští agenti zasahovat do optických kabelů a kopírovat tak přenášená data.
Alexander, který řekl, že o tom nic neví, také připomněl, že mediální zprávy z dřívějška o programu PRISM, který média popsala jako „zadní vrátka“ byly „fakticky nepřesné“.
„NSA se do databází nevkrádá. Bylo by to vysoce nelegální. Takže nevím, co v té zprávě je, ale mohu vám říct, že přístup na servery Googlu ani Yahoo nemáme,“ oznámil. „Nemáme autorizaci prohledávat servery amerických společností a kopírovat jejich data. Aby bylo něco takového možné, muselo by to být schváleno soudně.“
Když byl Alexander dotázán na to, zda data z amerických společností, které NSA uvedla ve svém přehledu, byla získána soudním příkazem, odpověděl: „Přesně tak.“
MUSCULAR však operuje mimo Spojené státy, kde na NSA neplatí stejná omezení jako při domácích operacích. „Taková široká sbírka internetového obsahu by byla ve Spojených státech nelegální. Operace však probíhají v zahraničí, kde může NSA předpokládat, že je každý, kdo používá zahraniční datové linky, cizinec,“ popsal magazín.
Takže PRISM sice funguje pod dohledem soudu pro zahraniční zpravodajství, pro MUSCULAR však žádné podobné opatření neexistuje. Dříve v tomto roce NSA podala zprávu, podle které nasbírala za 30 dní více než 180 milionů záznamů.
Toto obvinění pravděpodobně naruší důvěru zahraničních firem a zákazníků ještě více. Už dříve celá řada poskytovatelů cloudu informovala, že zákazníci se začínají obávat ukládat svá data v amerických firmách, o své informace se začínají bát a tento strach byl Snowdenovým odhalením ještě umocněn.
Poté, co společnosti zjistily, že se potýkají s nedostatkem důvěry, několik z nich včetně Googlu a Yahoo začalo vyhledávat oprávnění zveřejňovat více informací o tom, jaká data zpravodajským službám poskytují. Ministerstvo spravedlnosti však takovým žádostem odolává.
Útok na Adobe: Prolomeno přes 38 miliónů účtů
3.11.2013 Incident | Kriminalita | Hacking Uživatelů poškozených při posledním rozsáhlém průniku do databází Adobe je nakonec mnohem více, než společnost původně přiznávala.
Za útokem na GMail stála chyba v přehrávači Flash Player Začala nová vlna útoků přes SQL injection Podle nejnovějšího zjištění společnosti Adobe došlo k odcizení přístupových údajů k účtům více než 38 miliónů aktivních uživatelů. Původní zpráva přitom hovořila o 2,9 miliónu napadených účtů.
Útočníci rovněž získali přístup k blíže nespecifikovanému množství účtů nevyužívaných po dobu dvou let či déle.
Kyberzločincům se vedle toho podařilo odcizit části zdrojového kódu populárního grafického nástroje Photoshop. Stejný osud postihl i Acrobat, program pro úpravu PDF dokumentů, a ColdFusion, nástroj pro vývoj webových aplikací.
Analýzou informací získaných ze zdrojových kódů si mohou útočníci udělat dobrý obrázek o funkcích programů a pokusit se pak tyto techniky napodobit.
Důvod, proč původní zpráva obsahovala špatná čísla, je podle mluvčí Adobe jednoduchý. Společnost tehdy zkrátka ještě neznala přesný rozsah škod. „Zveřejnili jsme proto jen ty informace, u kterých jsme si byli 100% jisti,“ řekla mluvčí.
Adobe nicméně věří, že k odcizení informací o kreditních kartách, expiračních datech a dalších dat spojených s uživatelskými objednávkami došlo „jen“ u původních tří miliónů účtů. Ze zbývajících 35 miliónů účtů si prý útočníci odnesli „pouze“ uživatelská ID a hesla.
Společnost již preventivně změnila přístupová hesla ke všem zneužitých účtům. To však útočníkům nijak nezabrání v přístupu na uživatelské účty u jiných služeb, pokud k nim zákazníci Adobe přistupují pomocí stejných jmen a hesel.
Podle Briana Krebse, známého bezpečnostního blogera, který na zneužití účtů upozornil jako první, se milióny uživatelských jmen a hesel objevily na fóru navštěvovaném kyberzločinci o minulém víkendu. Podle mluvčí Adobe byl již dokument z fóra na žádost společnosti odstraněn.
Co lze vyčíst z nového útoku na Adobe
8.10.2013 Incident | Hacking | Zabezpečení Adobe ve čtvrtek přiznalo, že se do jeho sítě nabourali kyberzločinci, kteří ukradli osobní informace včetně údajů z téměř tří milionů platebních karet.
Podle analytiků tento poslední útok ilustruje, jak lukrativním cílem poskytovatelé softwaru s platbami na měsíční bázi pro útočníky jsou. „I před tím, než se objevily na cloudu, byly firmy účtující si od uživatelů měsíční poplatky za své služby pro útočníky zajímavým cílem,“ říká John Pescatore ze SANS Institute. „Poskytovatelé se tímto problémem zabývají již roky a existují dva důvody, proč tomu tak je. První: mají uloženo velké množství údajů z platebních karet. Za druhé: je jasné, že na těchto kartách jsou peníze.“ Adobe v poslední době velmi silně propaguje svou službu Creative Cloud, jež funguje na modelu měsíčního či ročního předplatného. To znamená, že společnost musí ukládat údaje z platebních karet, z nichž „odsává“ po uplynutí určitého období peníze, aniž by musela posílat tradiční účet. A útočníci o tyto karty mají zájem. „Tyto ukradené karty mohou mít na černém trhu hodnotu až třicet milionů dolarů,“ říká Rajesh Ramanand ze společnosti Signifyd.
Adobe není jedinou společností, která se snaží své zákazníky přimět, aby přešli na model předplatného. Podobnou cestou se vydal například i Microsoft se svými Office 365. Adobe mělo v uplynulém měsíci 1,03 milionu předplatitelů Creative Cloud, přičemž do konce roku by to již mělo být 1,25 milionu uživatelů. Microsoft pak v září oznámil, že jeho Office 365 Home Premium využívají dva miliony lidí, což je dvakrát tolik, co v květnu.
Průnik do jeho systémů bude Adobe stát značné množství peněz, neboť společnost bude postiženým zákazníkům poskytovat bezplatnou službu ročního monitoringu jejich účtu. „To je bude stát sto dolarů na uživatele,“ říká Pescatore s tím, že náklady se tak mohou vyšplhat až na 300 milionů dolarů. Někteří experti však nesouhlasí s tím, že útoky na Adobe byly provedeny přímo kvůli krádeži čísel karet. „Produkty Adobe již dlouho čelí silným útokům. Myslím si, že kyberzločinci jednoduše hledali jakákoli data a narazili na platební karty. Útočníci většinou nevědí, na co přesně narazí,“ říká Lawrence Pingree ze společnosti Gartner.
Podle Pingreeho šli zločinci spíše po uživatelských jménech a heslech, ne po číslech karet. „V dnešní době již také není vůbec jednoduché platební karty zneužít. Banky mají propracované kontrolní systémy, které umí tyto transakce rychle rozpoznat.“
Chet Wisniewski ze společnosti Sophos pak dodal, že Adobe udělalo zásadní chybu, když nešifrovalo všechna svá data. „Jak to, že jste nezašifrovali moje datum narození?“ ptá se Wisniewski. „Proč šifrovat pouze věci týkající se platebních karet? Mé datum narození je také součástí mé identity.“ Ať už byly útoky provedeny z jakéhokoli důvodu, jasné je, že uživatelé se při zadávání čísel svých karet na internetu nebudou cítit tak bezpečně jako dříve.
Adobe porušen, zákaznické informace a zdrojový kód ohrožena 6.10.2013 Incident | Hacking
Hackeři porušila Adobe síť a udělal pryč s osobním účtem, a šifrované finanční informace téměř 3 miliony zákazníků Adobe, stejně jako zdrojový kód pro Adobe Acrobat, ColdFusion, ColdFusion Builder a další produkty Adobe.
Brad Arkin, ředitel pro Adobe Security Officer říká, že dva útoky mohou souviset. Vyšetřování pokračuje, a jak daleko jak oni mohou říct, se hacker přístup těchto výrobkových zdrojové kódy nepřinesla na konkrétním zvýšeným rizikem k zákazníkům. "Jsme si není vědomo žádných zero-day exploitu zaměřených na všechny produkty Adobe. Nicméně, jako vždy Doporučujeme zákazníkům spouštět pouze podporované verze softwaru, použít všechny dostupné aktualizace zabezpečení, a řídit se pokyny v Acrobat Enterprise Toolkit a Lockdown ColdFusion Guide, "řekl poznamenal na svém blogu. nenasvědčuje tomu, že kód byl přístupný a odcizených přišel před týdnem, když novinář Brian Krebs spolu s Výzkumník Alex Holden odhalil na "masivní 40 GB zdrojový kód trove" na serveru, používaného útočníků, které jsou považovány stát za porušení několika velkých amerických brokerů dat objevil koncem minulého měsíce. Oni, samozřejmě, oznámení Adobe, a společnost potvrdila, že byly vyšetřuje porušení svých sítí od 17.září 2013. Co se týče vědí, byl zdrojový kód přístupný a exfiltrated kolem poloviny srpna, poté, co hackeři přístup k části své sítě, která se zabývá transakcemi zákazníků kreditní karty. Arkin poukázal na to, že se důsledně přezkoumány kód ColdFusion, že byl expedován od případu, a říká, že jsou přesvědčeni, že nebyla v žádném případě změnit. "Jsme stále na brainstorming fázi přijít se způsoby, jak poskytnout vyšší míru jistoty pro integritu našich produktů a že to bude klíčovou součástí naší reakce, "dodal. Mezitím, zákazníci, jejichž údaje - jména, šifrované kreditní nebo debetní karty čísla, termíny vypršení, a další informace týkající se objednávky zákazníků, zákaznických IDs a zašifrovaná hesla - byly ohroženy jsou stále informováni o tom a doporučil změnit svá hesla (a že na jiných on-line účtů, jestliže se použil stejný jeden), a dávat pozor na své bankovní účty a využít jednoroční bezplatné členství úvěrového monitoringu Adobe nabídl. "Máme oznámily banky zpracování klientské platby pro Adobe, aby mohli pracovat s firmami, platebních karet a karty vydávají banky, které pomáhají chránit účty zákazníků," že řekl , ale dodal, že nevěří útočníky odstraněny dešifrovat kreditní nebo debetní karty čísla z jejich systémů. Bližší informace o rozsahu a následcích útoků je určitě následovat, protože vyšetřování teprve na začátku. Klikněte zde pro komentáře k tomuto porušení, které pomáhají Net Security obdržel z různých bezpečnostních profesionálů.
Adobe porušena, Acrobat a ColdFusion kód Ukradené Spolu s 2.9m záznamů o zákaznících 4.10.2013 Incidenty | Hacking | Bezpečnost
Útočníci přístup zákazníků ID, šifrovaných hesel, stejně jako zdrojový kód pro řadu produktů Adobe, Adobe šéf bezpečnosti Brad Arkin oznámil .
Arkin uvedl Adobe spolupracuje s policií na závažnosti porušení, v němž útočníci přístupný zdrojový kód pro Adobe Acrobat, ColdFusion, ColdFusion Builder a případně jiné produkty Adobe.
"Na základě našich poznatků, k dnešnímu dni, nejsme vědomi žádné konkrétní zvýšené riziko pro zákazníky v důsledku tohoto incidentu," Arkin uvedl v prohlášení.
Arkin tzv. útoky na síti Adobe "sofistikovaný", a že informace o 2,9 milionu zákazníků byl odstraněn od společnosti strojů, včetně jména zákazníků, šifrované kreditních a debetních karet, vypršení data a další informace používané v zákaznických objednávek.
"V tuto chvíli se nedomníváme, odstraněné útočníci dešifrovat kreditní nebo debetní karty čísla z našich systémů," říká Arkin. "Hluboce litujeme, že tento incident."
Arkin uvedl Adobe není vědoma žádných zero-day využije použité v útoku, ale doporučuje zákazníkům provozovat pouze podporované verze produktů Adobe a zajistit patch levels jsou aktuální. Řekl, že uživatelé by rovněž měli sledovat pokyny jsou dostupné v Acrobat Enterprise Toolkit a ColdFusion Lockdown Guide.
"Tyto kroky mají pomoci zmírnit útoky na starší, neopravených nebo nesprávně nastavený nasazení produktů společnosti Adobe," řekl Arkin.
Adobe řekl, že je resetování hesla zákazníky , aby se zabránilo další přístup k zákaznických účtů. Retinované zákazníci budou informováni prostřednictvím e-mailu s informacemi o tom, jak změnit svá hesla, Arkin řekl.
Dodal, že Adobe se také pracuje na oznámení zákazníků, jejichž platební karta informace byly přístupné. Oznámení dopisy jdou ven s doplňujícími informacemi týkající se ochrany osobních údajů. Adobe uvedla, že nabízí zákazníkům za jeden rok zdarma úvěrového monitoringu.
Arkin připočítán bezpečnostní zpravodaj Brian Krebs a Alex Holden Hold, bezpečnostní LLC, který je upozorňuje na potenciální problém a pomoci s odpovědí. Krebs dnes oznámila, že se dozvěděla o úniku zdrojového kódu před týdnem, když zjistil, 40GB dat Adobe na stejném serveru, používaného zločinci zapojenými do LexisNexis, Dun & Bradstreet a Kroll porušení letos.
"Hacking týmu serveru obsahovala obrovské repozitáře nezkompilovaný a zkompilovaný kód, který se objevil jako zdrojový kód pro aplikaci ColdFusion a Adobe Acrobat," Krebs napsal dnes.
Krebs řekl, Adobe se domnívá, útočníci popraskané zdrojového kódu úložiště v polovině srpna po přístupu k části sítě, Adobe, která zpracovává transakce kreditní kartou.
Krebs má také screenshot kódu Acrobat z úložiště, včetně kódu od dosud nevydaných vlastností produktu.
"Jsme stále ve fázi brainstorming přijít se způsoby, jak poskytnout vyšší míru jistoty pro integritu našich produktů, a že to bude klíčovou součástí naší reakce," řekl Krebs Arkin. "Těšíme se na malware analýzy a zkoumání různých digitálních aktiv, které máme. Právě teď vyšetřování je opravdu na stopu strouhanky o tom, kde se protivníci dotkl. "
Adobe Porušení FAQ
4.10.2013 Incident | Hacking
Pravděpodobně jste viděli nyní příběhy o stáhnutí nejnovější verze Adobe byl porušen, údaje o zákaznících jsou vystaveny a zdrojový kód unikly. Skvělá práce Brian Krebs v odhalování těchto porušení, a má velký writeup o tom zde: http://krebsonsecurity.com/2013/10/adobe-to-announce-source-code-customer-data-breach/
Ale co to znamená pro vás? Má to vliv na vás jako zákazníka Adobe? Zde je několik otázek, které udržují blíží.
1 - Jak se dostali dovnitř?
Zdá se, zranitelnost ColdFusion byla použity k porušování webu v Adobe používá pro zpracování plateb. Skupina, která porušila Adobe ColdFusion používá appearantly využije jako jeden z jejich oblíbených nástrojů k porušení stránek. Opět viz Brianův vynikající práci nad pro více informací.
2 - jsem uživatelem ColdFusion. Mám strach?
Ano
3 - Jak mohu chránit sám sebe jako uživatel ColdFusion?
Ujistěte se, že oprava. ColdFusion nějaké významné chyby, které byly patch před několika měsíci (zejména vydány patche kolem května). Pokud jste záplatovaný tyto problémy ještě, pak byste měli asi zavolat tento "incident". Ale pak znovu, Incident Response je tak mnohem zajímavější a pak operace.
4 - Musím změnit své heslo?
Č. Adobe již změnilo své heslo stránkách společnosti Adobe. Pokud stále používáte stejné heslo na více místech: Děláte to worng. Změna hesla vám pomůže co nejméně měnit spodní prádlo, pokud nechcete čistit mezi použití.
5 - To Ineed se starat o své kreditní karty, pokud jsem to s Adobe?
Vždy byste se měli starat o své kreditní kartě. Ale pro nejvíce se rozdělit, je to vaše banka je problém. Uvolněte se, sledovat vaše příkazy, získat novou kartu, pokud vidíte podivné poplatky nebo když vaše banka vás na to upozorní. Můžete použít debetní kartu on-line? Brave! Pravděpodobně jste také nelíbí, bezpečnostní pásy a jíst supermarket Puffer ryby sushi.
Adobe porušena, Acrobat a ColdFusion kód Ukradené Spolu s 2.9m záznamů o zákaznících
4.10.2013 Hacking | Zranitelnosti | Incidenty Útočníci přístup zákazníků ID, šifrovaných hesel, stejně jako zdrojový kód pro řadu produktů Adobe, Adobe šéf bezpečnosti Brad Arkin oznámil .
Arkin uvedl Adobe spolupracuje s policií na závažnosti porušení, v němž útočníci přístupný zdrojový kód pro Adobe Acrobat, ColdFusion, ColdFusion Builder a případně jiné produkty Adobe.
"Na základě našich poznatků, k dnešnímu dni, nejsme vědomi žádné konkrétní zvýšené riziko pro zákazníky v důsledku tohoto incidentu," Arkin uvedl v prohlášení.
Arkin tzv. útoky na síti Adobe "sofistikovaný", a že informace o 2,9 milionu zákazníků byl odstraněn od společnosti strojů, včetně jména zákazníků, šifrované kreditních a debetních karet, vypršení data a další informace používané v zákaznických objednávek.
"V tuto chvíli se nedomníváme, odstraněné útočníci dešifrovat kreditní nebo debetní karty čísla z našich systémů," říká Arkin. "Hluboce litujeme, že tento incident."
Arkin uvedl Adobe není vědoma žádných zero-day využije použité v útoku, ale doporučuje zákazníkům provozovat pouze podporované verze produktů Adobe a zajistit patch levels jsou aktuální. Řekl, že uživatelé by rovněž měli sledovat pokyny jsou dostupné v Acrobat Enterprise Toolkit a ColdFusion Lockdown Guide.
"Tyto kroky mají pomoci zmírnit útoky na starší, neopravených nebo nesprávně nastavený nasazení produktů společnosti Adobe," řekl Arkin.
Adobe řekl, že je resetování hesla zákazníky , aby se zabránilo další přístup k zákaznických účtů. Retinované zákazníci budou informováni prostřednictvím e-mailu s informacemi o tom, jak změnit svá hesla, Arkin řekl.
Dodal, že Adobe se také pracuje na oznámení zákazníků, jejichž platební karta informace byly přístupné. Oznámení dopisy jdou ven s doplňujícími informacemi týkající se ochrany osobních údajů. Adobe uvedla, že nabízí zákazníkům za jeden rok zdarma úvěrového monitoringu.
Arkin připočítán bezpečnostní zpravodaj Brian Krebs a Alex Holden Hold, bezpečnostní LLC, který je upozorňuje na potenciální problém a pomoci s odpovědí. Krebs dnes oznámila, že se dozvěděla o úniku zdrojového kódu před týdnem, když zjistil, 40GB dat Adobe na stejném serveru, používaného zločinci zapojenými do LexisNexis, Dun & Bradstreet a Kroll porušení letos.
"Hacking týmu serveru obsahovala obrovské repozitáře nezkompilovaný a zkompilovaný kód, který se objevil jako zdrojový kód pro aplikaci ColdFusion a Adobe Acrobat," Krebs napsal dnes.
Krebs řekl, Adobe se domnívá, útočníci popraskané zdrojového kódu úložiště v polovině srpna po přístupu k části sítě, Adobe, která zpracovává transakce kreditní kartou.
Krebs má také screenshot kódu Acrobat z úložiště, včetně kódu od dosud nevydaných vlastností produktu.
"Jsme stále ve fázi brainstorming přijít se způsoby, jak poskytnout vyšší míru jistoty pro integritu našich produktů, a že to bude klíčovou součástí naší reakce," řekl Krebs Arkin. "Těšíme se na malware analýzy a zkoumání různých digitálních aktiv, které máme. Právě teď vyšetřování je opravdu na stopu strouhanky o tom, kde se protivníci dotkl. "
Chyba zabezpečení v Django může povolit Útočníci Přístup k Cookies 4.10.2013 Zranitelnosti | Hacking | Bezpečnost | Incidenty
Chyba zabezpečení ve webovém rámcové Django může usnadnit útočník ukrást uživatele cookie a přihlásit na svých internetových stránkách, i poté, co jste odhlášeni.
Zasedání zneplatnění zranitelnost byla objevena GS McNamara, stejný výzkumník, který vykopal podobnou chybu zabezpečení v Ruby on Rails Web App rámce v září.
Stejně jako Rails, Django umožňuje uživatelům rozhodnout, kde chtějí ukládat data relace uživatele. I když není výchozí, jednou z možností je cookie storage, který McNamara poznámky, ukládá všechny data relace v cookie a podepíše jej.
"Výchozí název souboru cookie relace je" sessionid "bez ohledu na to, zda cookie uloží pouze identifikátor relace, nebo kompletní data relace, hash," McNamara vysvětluje v blogu na své MaverickBlogging.com webových stránkách v pondělí.
McNamara konstatuje, že ve srovnání s Rails, je to trochu složitější určit, kteří uživatelé skladovací zasedání zavedlo, ale pokud uživatel byl pomocí relací využívajících soubory cookie a útočník má přístup k tomuto počítači, i když byl uživatel přihlášen ven, mohli najít, ukrást nebo zachytit, že cookie a snadno získat přístup tomuto uživateli internetových stránkách.
Django je open source webový aplikační framework, který pomáhá uživatelům vytvářet webové aplikace, běží na Python byl naposledy aktualizován jen dva týdny .
McNamara, který sídlí ve Washingtonu, upozornil Django vývojáři o zranitelnosti, ale nezní to jako oprava je na obzoru.
Místo toho se skupina na starosti rámce, Django Software Foundation je, že se rozhodnete upozornit uživatele o bezpečnostních dopadech spojených s relací využívajících soubory cookie.
"Na rozdíl od jiných zasedání backends které udržují server-side záznam každého zasedání a zánik, když se uživatel odhlásí, jsou založené na cookie relace není vyvráceno, když se uživatel odhlásí. Pokud tedy útočník ukradne uživatele cookie, on nebo ona může využít této cookie se přihlásit jako tento uživatel, i když se uživatel odhlásí, "uvádí novou poznámku o tom, jak používat sezení na místě Django .
Když dosáhl Středa, Carl Meyer, přispěvatel Django a členem jejího základního týmu, uznal skupina nemá v úmyslu provádět žádné další změny způsobu zpracování cookie relace skladování a dodal, že "by si vyžádala ověření relace proti serveru -uložené informace o každé žádosti ", a že v tomto okamžiku může uživatel stejně dobře použít server-side relace namísto na základě souboru cookie relace.
Podle Django, je to pro vývojáře vyhodnotit další riziko ukládání cookie relace "a zvážit výhody a nevýhody jejich použití."
McNamara stále doufá, že bude pracovat s Django, pokud jde o zvýšení bezpečnosti svých internetových rámec do budoucna. V e-mailu na Threatpost ve středu tvrdil, že jsou stále přetrvávající problémy s ohledem na [Django je] na základě souboru cookie relace skladování.
"Myslím, že je to riziko, že byl odepsán bez dostatečné dokumentace nebo varování," řekl McNamara.
Bulovku napadli hackeři, nemocnice se raději odřízla od sítě
13.9.2013 Hacking | Incident Pražskou nemocnici Na Bulovce v noci na čtvrtek napadli hackeři. Podle mluvčího zdravotnického zařízení Martina Šalka se ale k datům pacientů nedostali. Bulovka zajistila speciální lékařská vyšetření, běžné případy záchranka vozila rovnou do jiných nemocnic. Kvůli bezpečnosti byl od 03.00 do 11.00 vypnut vnitřní informační systém. Ten už ale funguje. Připojení na internet chce nemocnice obnovit ještě ve čtvrtek. Bulovka kvůli případu podá oznámení na neznámého pachatele. Spolupracuje také s Národním bezpečnostním úřadem.
„Dnes (ve čtvrtek) ve 03.00 došlo k útoku zvenčí na nemocniční systém, přičemž informatik mající službu nebezpečí včas rozpoznal, odpojil nemocnici od vnějšího světa a odpojil i jednotlivá pracoviště mezi sebou, tedy vnitřní informační sítě, aby data nebyla poškozena nebo smazána,” řekl Šalek.
Výpadek podle něj nemocniční provoz nijak zásadně neohrozil, péče byla poskytována, jen „procesy se trošku zpomalily”, protože kliniky si nemohly předávat výsledky vyšetření. Kapacita přístrojů tak byla omezená, nijak se to ale na počtu ošetřených neprojevilo.
Vyšetřeni byli podle Šalka na speciálních CT i tři pacienti, které přivezla na Bulovku záchranná služba, protože se nepodařilo domluvit CT vyšetření v jiné pražské nemocnici.
Někteří pacienti z ambulancí ORL se ze čtvrtka museli přeobjednat na jiný den.
Problémy se Pražanů výrazně nedotkly Mluvčí záchranné služby Jiřina Ernestová řekla, že po 08.00 oznámila Bulovka dispečinku záchranářů, že má problém s počítačovým připojením.
„Pro Pražany kvůli výpadku počítačů na Bulovce žádné omezení zdravotní péče nevzešlo, protože ty, kteří potřebovali speciálně jejich vybavení, jsme tam převezli a ostatní jsme vezli do jiných nemocnic,” řekla. Je to podle ní standardní postup, když v některé nemocnici dojde k technické závadě, nastane stop stav či o prázdninách odstávka.
Šalek dodal, že hned po odhalení útoku nemocnice informovala ministerstvo zdravotnictví jako svého zřizovatele a požádala záchranáře, aby, pokud to bude možné, vozili nemocné do jiných nemocnic.
Od 11.00 vše funguje, vnitřní systém předává snímky a zprávy mezi jednotlivými pracovišti. Nemocniční internet sice ještě nefunguje, neznamená to žádné ohrožení. Telefony fungují, pacienti mohou pro komunikaci a dotazy využít místo internetu Facebook a Twitter. Internet by měl být funkční ještě v průběhu čtvrtka, shrnul Šalek.
Hacker ukradl údaje o dvou miliónech zákazníků Vodafonu v Německu
13.9.2013 Incident | Hacking | Hrozby Neznámý hacker získal přístup na jeden ze serverů mobilního operátora Vodafone v Německu a ukradl osobní data o zhruba dvou miliónech zákazníků. Zástupci firmy to oznámili ve čtvrtek. Vodafone Deutschland, který je dceřinou společností britské Vodafone Group, má v Německu více než 32 miliónů zákazníků využívajících mobilní služby. Hacker se dostal ke jménům zákazníků, adresám a údajům o bankovních účtech. Hesla nebo bezpečnostní čísla ale nezískal. Podle společnosti není možné, že by mu údaje k něčemu mohly být.
„Tyto údaje lze stěží použít k získání přímého přístupu na bankovní účty dotčených klientů,” uvedla podle agentury Reuters společnost v prohlášení.
Útok provedl administrátor spolupracující firmy Zástupci Vodafonu Deutschland sdělili, že útok provedl administrátor počítačové sítě, který pracoval pro jinou společnost spolupracující s Vodafonem. Jeho totožnost ale zatím není známa, uvedla agentura AP.
Společnost na vyšetřování případu spolupracuje s policií. Také uzavřela cesty, kterými se hacker k jejím serverům dostal. Zákazníky přitom varovala, aby si dávali pozor na nevyžádané e-maily nebo telefonáty od lidí, kteří by mohli chtít ukradené údaje zneužít.
Vodafone Deutschland, který je dceřinou společností britské Vodafone Group, má v Německu více než 32 miliónů zákazníků využívajících mobilní služby.
Hacker umístil příspěvek na profil Zuckerbera
Palestinský hacker objevil v kódu Facebooku závažnou bezpečností díru, díky které umístil příspěvek přímo na zeď Marka Zuckerberga. Nedostane za to však ani dolar.
Hacking | Incidenty
Facebook nabízí velmi atraktivní program, v rámci kterého mohou hackeři a odborníci IT nahlašovat objevené chyby v jeho kódu a inkasovat za to odměnu, která začíná na pěti stech dolarech (10 000 Kč) v závislosti na její závažnosti. A o tuto odměnu měl zájem i Palestinec Khalil Shreateh, který objevil způsob, jak se nabourat do nastavení soukromí Facebooku, díky čemuž může na timeline jakéhokoli uživatele bez jeho souhlasu umisťovat obsah.
Za normálních podmínek by Shreateh za svůj objev inkasoval nemalou odměnu, jeho nahlášení chyby skrze formální kanál Facebooku však bylo ignorováno. Po několika emailech, na něž nikdo nereagoval, se proto tento palestinský hacker rozhodl, že celou věc vezme do svých vlastních rukou a díky chybě umístil zprávu přímo na zeď šéfa Facebooku Marka Zuckerberga. Podle portálu Mashable.com Shreateh původně testoval zneužití na zdi Zuckerbergovy bývalé spolužačky Sarah Goodinové.
Jakmile se mu postup osvědčil, zaslal odkaz zaměstnanci Facebooku starajícímu se o bezpečnost, aby celý problém blíže prověřil. Tento zaměstnanec však neměl Goodinovou v přátelích, takže příspěvek na její zdi neviděl. Po zaslání druhého a třetího emailu, v němž byl expolit popsán zaměstnanec Shreatehovi odepsal: „Je mi líto, ale žádná díra v našem systému není.“ V tento moment Palestinci začala docházet trpělivost, a tak umístil přímo na zeď Zuckerberga zprávu: „Omlouvám se, že narušuji svých příspěvkem vaše soukromí...ale před několika dny jsem našel na Facebooku závažnou bezpečnostní díru.“
Až zde Shreateh konečně upoutal pozornost Facebooku - i když ne tak, jak si představoval. Přestože zaměstnanci společnosti urychleně zakročili a díru opravili, Shreatehův krok se nesetkal s pozitivními reakcemi. Tím, že Palestinec umístil příspěvek na Zuckerbergovu zeď a využil exploit Sheateh porušil politiku Facebooku, která hackerům zakazuje nově objevené chyby bez dovolení používat na účtech jiných uživatelů. V důsledku toho byl jeho účet dočasně suspendován a není třeba dodávat, že neobdrží za svůj objev žádnou finanční kompenzaci.
„Využití bezpečnostní díry tak, že to má dopad na reálné uživatele, není akceptovatelné. V tomto případě byla díra zneužita k umístění příspěvků na timeline několika uživatelů bez jejich svolení a byla tak porušena na Responsible Disclosure Policy. Žádná odměna proto nemůže být vyplacena,“ uvedl pro server Hacker News Matt Jones z Facebooku.
Apple obnovil základní části webu pro vývojáře
Po více než týdenní odstávce vynucené úspěšným napadením vývojářských serverů je možné získat přístup ke klíčovým částem serveru. Vývojáři se dostanou do vývojářských center jednotlivých systémů a mohou si i stahovat všechny nástroje.
Incidenty
Společnost z pátku na sobotu tohoto týdne částečně obnovila provoz, a to plných 8 dní po jejich nuceném odstavení. Přístupné jsou všechny segmenty, tedy pro systémy iOS a OS X i prohlížeč Safari. K dispozici je i správa digitálních certifikátů a systém správy chyb. Zhruba polovina webu je však stále mimo provoz, včetně diskuzních fór, kde si vývojáři vyměňují zkušenosti mezi sebou.
Po obnovení provozu center pro vývojáře a stahování softwaru získali všichni registrovaní (a platící) uživatelé znovu přístup k vývojářským aplikacím a také k testovací verzi připravovaného mobilního systému iOS 7 i příští verzi desktopového systému OS X Mavericks, které by se ke koncovým zákazníkům měly dostat letos na podzim.
Centrum pro vývojáře bylo odstaveno od internetu 18. července bez udání důvodu. Když se Applu stále nedařilo situaci rychle vyřešit, nakonec 22. července přiznal, že se „útočník [sic] pokusil získat osobní údaje našich registrovaných vývojářů z našeho webu pro vývojáře.“
Společnost dodala, že „citlivé osobní informace“ byly zašifrované a nehrozí proto nebezpečí jejich získání, ale že se útočníkovi podařilo získat jména vývojářů, jejich e-mailové i klasické poštovní adresy. Apple onoho útočníka neidentifikoval a neprozradil ani, jak se mu podařilo získat přístup k tomuto důležitému serveru.
K odpovědnosti za útok se přihlásil údajný bezpečnostní konzultant Ibrahim Baliç, na vysvětlenou ovšem dodal, že při testování slabých míst v online službách Applu narazil na bezpečnostní slabinu, kterou vzápětí společnosti ohlásil. Podle Baliçe odstavil Apple weby téměř okamžitě po jeho oznámení. Baliç podle svých slov pokračoval ve sběru osobních údajů i poté, co chybu ohlásil.
Podle některých odborníků je ovšem Baliçovo tvrzení diskutabilní, protože podle údajů, které zveřejnil, nelze žádné existující účty dohledat. Apple ve středu zaslal všem vývojářům e-mail, ve kterém jim oznámil, že bude web pro ně obnovovat v několika krocích, a že vytvořil novou stránku s průběžnými informacemi o postupu obnovování služeb. Apple v e-mailu současně přislíbil, že obnovený web bude mnohem odolnější proti případným útokům.
Robot vs Android: PIN krakování stroj může poškodit jakýkoli kód v hodinách Zaslal: 23 červenec 2013 07:27 PDT Mobil | Incident | Hacking Kód PIN kódy k ochraně Android smartphony nabízejí užitečnou linii obrany proti zločincům - pokud, to znamená, že přístroj padne do rukou robota R2B2.
R2B2 - to znamená robotické rekonfigurovatelných Tlačítko Basher - byl navržen dvou výzkumníků z ISEC a budou předvádět na konferenci Black Hat zabezpečení v Las Vegas. R2B2 můžete "hádat" jakýkoliv Android 4-místný kód PIN do 20 hodin, výzkumníci tvrdí - tím, že prostě se snaží všechny možné kombinace. Video R2B2 v práci si můžete prohlédnout zde.
Justin Engler z ISEC říká, že mnoho firem argumentují, "R2B2 je schopen zpracovat také další esoterické lockscreen druhy, jako vzor trasování. R2B2 může prasknout zásobní Android 4 místný PIN vyčerpávajícím způsobem v 20 hodin. "
"Není nic zastavit někdo hádat všech možných PINů," říká Engler. "Často slyšíme" nikdo nikdy neudělal. "Chtěli jsme vyloučit, že argument. To bylo už jednoduché, je to právě nikdy předtím. Produkty spoléhat na kolíky nebo krátkých hesel muset bránit před online útoky. Doufáme, že s informacemi pro budování těchto zařízení jsou k dispozici veřejnosti, budou dodavatelé provádět softwarové ochrany proti této banální vyšší hardwarové brutální útok. "
Výzkumníci upřímně přiznat, že R2B2 bude zmařen iPhone - zařízení "vyprší" po opakovaných chybných odpovědí, podle zprávy v časopisu Forbes.
"R2B2 může pracovat dotykového displeje nebo fyzických tlačítek. Časy jiných zařízení se liší v závislosti na uzamčení politik a souvisejících obrany, "říkají vědci. Společník heslo robot, C3B0, je určen pro práci s kapacitními dotykovými obrazovkami, a zůstává stále ve vývoji.
"Kapacitní kartézský souřadnicový Bruteforceing Overlay (C3BO) je kombinací elektroniky, jejichž cílem je simulovat elektricky doteky na kapacitní zařízení s dotykovou obrazovkou. C3BO nemá žádné pohyblivé části a může pracovat rychleji než R2B2 v některých případech, "říkají vědci.
Příspěvek Robot vs Android: PIN krakování stroj může poškodit jakýkoli kód, v hodinách se objevil poprvé na Žijeme zabezpečení.
Apple developer stránky napadeny hackery - úniku jisker "bezpečnostní opravy" Zaslal: 22 červenec 2013 05:59 PDT Incidenty Apple Developer web byl hacknut minulý týden, a zůstal offline dní po útoku, který Apple připouští, může odhalili, "jména, poštovní adresy a e-mailové adresy." Bezpečnostní výzkumník tvrdil, že hack vystaveno až 100.000 uživatelů " detaily.
Vniknutí vyvolala bezpečnostní přepracování web pro vývojáře, který zůstal v režimu offline několik dní v důsledku útoku. "Aby se zabránilo ohrožení zabezpečení, jako se to nestalo znovu, jsme zcela oprava pro vývojáře systémů, aktualizujeme naše serverového softwaru, a přestavět celé své databáze," Apple uvedl ve svém prohlášení.
UK-based výzkumník se přihlásila k odpovědnosti za útok se prostřednictvím svého kanálu na YouTube a příspěvku na TechCrunch, řka: "Mé jméno je Ibrahim Balič, jsem bezpečnostní výzkumník. Můžete také vyhledávat své jméno od whitehat seznamu Facebooku. Nedávno jsem začal dělat výzkum na Apple inc.
"Jeden z těch chyb, které mi poskytl přístup k uživatelům detaily atd. Okamžitě jsem nahlásil Apple. O čtyři hodiny později z mé závěrečné zprávy Apple Developer portál plynu uzavřena a víte, že to ještě není. Mám více než 100.000 + uživatelé detaily a Apple je o tom informován. Nechtěl jsem pokoušet získat údaje a první zprávy pak, místo toho jsem se hlásil jako první. "
Apple nebyl dosud veřejně potvrdit nebo popřít Balič zprávu. Společnost ve svém prohlášení, "Minulý čtvrtek útočník pokoušel zabezpečit osobní údaje našich registrovaných vývojářů z naší vývojáře webových stránek."
"Citlivé osobní informace byly šifrovány a nemůže být zobrazena, jsme však nebyli schopni vyloučit možnost, že jména některých vývojářů, e-mailové adresy a / nebo e-mailové adresy může být přístupné," uvedla společnost. "V duchu transparentnosti, chceme Vás informovat o problému. Vzali jsme na webu se okamžitě ve čtvrtek a pracují nepřetržitě od té doby. "
Příspěvek Apple developer stránky napadeny hackery - úniku jisker "bezpečnostní opravy" se objevila na prvním místě Žijeme zabezpečení.
Apple Developer Site porušení
27.7.2013 Incident
Apple uzavřen přístup k jeho web pro vývojáře po zjištění, že byla compromissed a vývojáři osobní údaje byly porušeny [1].
V vyvěšen na webu Apple vysvětlil, že někteří vývojáři osobní údaje jako je jméno, e-mailovou adresu a e-mailové adresy může být zobrazena. Poznámka nezmiňuje hesla, nebo pokud heslo hash byly přístupné.
Jedna hrozba často zapomíná těchto porušení je phishing. Pokud má útočník přístup k některé osobní informace spojené s webem, je poměrně snadné sestavit přiměřeně přesvědčivé podvodných e-mailu pomocí skutečnost, že web byl porušen trik uživatelé obnovit své heslo. Tyto e-mail může být přesvědčivější, pokud obsahují uživatele uživatelské jméno, skutečné jméno nebo poštovní adresu, jak byly uloženy s webem.
Video na YouTube tvrdí, že ukazují záznamy získané v compromisse [2]. Video se uvádí, že 100.000 závěrky byly přístup, aby Apple vědomi zranitelnosti na svých internetových stránkách, a že data budou vymazána.
Ubuntu fóra jsou nyní mimo provoz, protože byly porušeny. Podle jejich místo, "útočníci dostali každý uživatel lokální uživatelské jméno, heslo a e-mailovou adresu z Ubuntu Fórum databáze." [1] Mají doporučuje svým uživatelům, že pokud používáte stejné heslo s jinými službami, změnit své heslo okamžitě. Další služby, jako je Ubuntu One, Launchpad a dalších Ubuntu / Canonical služby nejsou ovlivněny. Jejich aktuální oznámení je možné přečíst zde .
[1] http://ubuntuforums.org/announce.html
Škodlivý URL v zóně. Lc Dmitry Bestuzhev 20. července Incidenty | Hacking Při analýze podezřelých adres URL Zjistil jsem, že stále více a více nebezpečné adresy URL, jsou zasílány z . lc domény, které formálně patří do Santa Lucia se nachází v zemi, ve východní části Karibského moře. Naše statistiky potvrzují tento trend.
Počítačoví zločinci z různých míst na světě aktivně využívají tuto doménu, včetně zločinců z Brazílie, kteří zneužívají Zdarma web hosting k dispozici v této zemi.
Kolik legitimní domén v zóně. Lc jste někdy navštívit ve vašem životě? Je-li odpověď je nulová, takže možná je na čase začít filtrování přístupu k této oblasti, zejména pokud jde o firemní firewall / proxy vrstvy.
Bankovní narušení bezpečnosti zničit důvěru zákazníků 19. července 2013. Incidenty 85 procent dospělých v USA s bankovními účty jsou alespoň trochu obavy o on-line bankovních podvodů, podle Entersekt. Takový podvod mohou obsahovat útok phishing, malware, man-in-the-browser a útoků hrubou silou. Zatímco problémem stojí za zmínku, je akce, která má vliv na konečný zdraví finanční instituce. Sedmdesát jedna procent dospělých v USA by se alespoň trochu pravděpodobné, že přejít na jiné banky v případě, že se stal obětí on-line bankovních podvodů v jejich současné bance. "Podle 2013 zprávy RSA rok v phishing, on-line bankovních podvodů je celostátní epidemie, ve kterém banky, které ztratily 1,5 miliardy dolarů tržeb v loňském roce z phishingových útoků, jsou jednoduše přijímat ztráty namísto aktivně přizpůsobuje svou obranu, "řekl Christiaan Brand, ředitel společnosti Entersekt. "Co dělá složitá otázka je zvýšená sofistikovanost hackerů, ale technologie zmařit útoky se vyvíjí taky." Podle průzkumu, téměř šest z deseti (58%) dospělých v USA je přinejmenším poněkud ochoten převzít aktivní roli při zajištění jejich online bankovní transakce, pokud to znamenalo, že používání mobilních telefonů k ověření činností, jako je nákup, přihlašovací údaje, transferů nebo vyúčtování plateb. Neexistuje žádný nedostatek produktů na trhu, které slibují spolehlivého spotřebitelského ověřování. Nejoblíbenější systémy využívají jednorázová hesla (OTP), obvykle dodáno zákazníků banky na základě hardwarového tokenu nebo pomocí textu nebo automatické hlasové zprávou na mobilní telefon. "základní vadu tyto výrobky mají, je, že i nadále spoléhat na bázi prohlížeče komunikace zpět do banky, "pokračoval Brand. "Banky jsou v nezáviděníhodné situaci, žonglovat robustní zabezpečení s spotřebitelské poptávky pro pohodlný přístup. OTP dodat taky ne. " Podle průzkumu, Američané přístup ke svým účtům on-line 10 krát za měsíc v průměru. Každá z těchto přihlašovacích údajů je buď příležitost pro hackery ukrást cenné, osobní údaje, nebo příležitost pro bankovní chránit své zákazníky a pověst.
DDoS útoky jsou stále větší, silnější a delší 18. července 2013. Počítačový útok | Incidenty Prolexic technologií oznámeným že průměrná paketů za sekundu (pps) činila 47,4 Mp a průměrná šířka pásma dosáhla 49,24 Gb na základě údajů shromážděných v 2. čtvrtletí 2013 od DDoS útoky zahájených proti své globální klientskou základnu. Tyto metriky, což představuje nárůst o 1655 procent a 925 procent, respektive v porovnání s 2. čtvrtletím 2012.
Po sestupnou tendenci v roce 2011 a část roku 2012, průměrné trvání útoku se zvyšuje, stoupá od 17 hodin v 1. čtvrtletí 2012 a 34,5 hodiny v 1. čtvrtletí 2013 na 38 hodin v tomto čtvrtletí. "útok trvání se může zvýšit, protože pachatelé jsou méně zajímají o detekci a ochraně svých botnetů, "řekl Stuart Scholly, prezident na Prolexic. "Všeobecná dostupnost napadených webových serverů dělá to hodně snadnější pro zlomyslné herci doplnit, růst a přesměrování botnety. Tradičně, botnety byly postaveny z napadených klientů. To vyžaduje šíření škodlivého softwaru přes PC a virových infekcí, a vyžaduje mnoho času a úsilí. V důsledku toho, útočníci chtěli chránit jejich klient na bázi botnetů a byli strašnější detekce, takže jsme viděli útok kratší dobu trvání. " Proti 2. čtvrtletí 2012:
33 procent zvýšení celkového počtu útoků DDoS 23 procent nárůst celkového počtu infrastruktury (Layer 3 a 4) útoky 79 procent zvýšení celkového počtu použití (vrstva 7) napadá 123 procentní nárůst v útoku trvání: 38 hodin vs 17 hodin 925 procentní nárůst průměrné šířky pásma 1655 procentní nárůst průměrné paketů za sekundu (pps) sazby. Ve srovnání s 1. čtvrtletím 2013: 20 procentní nárůst celkového počtu útoků DDoS 17 procent nárůst celkového počtu infrastruktury (Layer 3 a 4) útoky 28 procent zvýšení celkového počtu použití (vrstva 7) napadá 10 procent zvýšení útoku trvání: 38 hodin vs 34,50 hodin 2 procentní nárůst průměrné šířce pásma: 49.24 Gbps vs 48,25 Gbps 46 procent nárůst průměrné paketů za sekundu (pps) sazby Čína udržuje svou pozici jako hlavní zdrojové země pro DDoS útoků. Stejně jako v předchozích čtvrtletích, útočníci používají převážně infrastruktury směřovat útoky (Layer 3 a 4. vrstva), což představovalo 74,7 procenta všech útoků, s aplikační vrstvě útoky, které tvoří zbytek. SYN povodně útok typ volby, což představuje téměř třetinu všech útoků. Ve srovnání se stejným čtvrtletím před rokem, celkový počet DDoS útoků vzrostl 33,8 procenta. Kromě toho, celkový počet infrastruktury útoků vzrostl 23,2 procent, přičemž celkový počet aplikačních útoků (vrstva 7) se zvýšil o 79,4 procenta ve srovnání s jedním rokem. Zatímco rozdělení mezi celkovým počtem infrastruktury útoky i aplikační vrstva byla podobná dvě čtvrti, oba typy útoků zvýšil, když byly porovnány dvě čtvrtletí. Průměrný útok trvání značně vzrostly, stoupající od 17 hodin ve 2. čtvrtletí 2012 dosáhnout 38 hodin v tomto čtvrtletí, což představuje nárůst o 124 procent. Ve srovnání s 1. čtvrtletím roku 2013 se celkový počet útoků zvýšil o 20 procent. To odráží trvale vysoký stupeň popření servisního útoku aktivity po celém světě v průběhu posledních šesti měsíců. Celkové počty obou infrastruktury a aplikací útoků zvýšila 1. čtvrtletí 2013 (17,4 procenta a 28,9 procenta v tomto pořadí). Průměrný útok doba pokračoval zaškrtněte nahoru, stoupá z 34,5 hodiny za minulé čtvrtletí na 38 hodin ve 2. čtvrtletí 2013.
Manažer bezpečnosti: Zločinci jsou už uvnitř
Minulý pátek, když jsem dokončoval práci v kanceláři a připravoval se na víkend, jsem udělal děsivý objev. Začalo to varováním od systému IDS a skončilo zjištěním potíží na jednom z našich firemních firewallů – dost vážný problém.
Hacking | Incidenty
Jednou z věcí, na kterých jsem v poslední době pracoval, je budování nového síťového systému detekce narušení (IDS). Bylo to v mých plánech zabezpečení již nějakou dobu, ale omezení našeho nového rozpočtu projekt zbrzdilo. Nasazení našich senzorů IDS vyžadovalo kombinaci taktiky strašení (což nerad používám, ale zlé časy volají po zoufalých opatřeních), outsourcingu a staromódního postupu „udělej si sám“. Za posledních několik týdnů jsem postupně dosáhl pokroku. Senzory IDS jsou nainstalované a výsledky své činnosti hlásí systému SIEM (Security Incident and Event Management), který zjišťuje souvislosti mezi všemi záznamy v logech ze síťových zařízení, serverů, antivirových systémů a dalších technologií a generuje případná varování. Je to úžasný systém, a protože jeho realizace nebyla příliš drahá, poskytuje „za babku“ hodně muziky.
Tento pátek odpoledne jsem tedy procházel varování vygenerovaná novým systémem a našel jsem něco zvláštního: velký počet připojení vzdálené plochy z internetu do některých počítačů v naší interní síti. Kolega Mathias Thurman nedávno ve svém článku uváděl vzdálenou plochu jako „pravděpodobně nejrozšířenější metodu neoprávněného přístupu“. Nebylo to tedy něco, co bych očekával jako příchozí komunikaci z internetu. Zpočátku jsem si myslel, že to musí být falešný poplach nebo že to možná byla jen špatně navržená přístupová metoda pro nějakého vzdáleného dodavatele. Jinak řečeno jsem nevěřil, že by to mohlo ve skutečnosti probíhat tím nejhorším způsobem. Po bližším přezkoumání se ukázalo, že zmíněná připojení ke vzdálené ploše byla realizována z jiné země – z té, která nedávno plnila titulky novin v souvislosti se státem podporovanými síťovými útoky vůči některým významným firmám. A tato země se nyní připojuje k počítačům naší společnosti! Bylo to to poslední, co bych chtěl v pátek odpoledne zjistit! Nemohl jsem odejít, aniž jsem přesně věděl, co se děje. Zašel jsem tedy za správcem sítě. (V naší společnosti jsou firewally považovány za součást infrastruktury sítě a jako takové jsou spravovány síťovým týmem.) Řekl jsem mu, že potřebuji vidět konfiguraci zásad firewallu chránícího tyto počítače. Tuto informaci mi poskytl během pár sekund, a přestože jsem si myslel, že jsem připraven na nejhorší, zažil jsem obrovský šok. Konfigurace firewallu obsahovala několik pravidel typu ip-any-any. To pro několik počítačů v naší interní síti znamenalo, že se k nim mohl připojit každý počítač z internetu pomocí libovolného protokolu – jinými slovy, firewall byl otevřen zcela dokořán asi pro 16 počítačů v naší firemní síti. S uvedeným otevřeným pravidlem vlastně ani nelze mluvit o tom, že byste měli firewall, protože umožňuje stejné přenosy, jako by byly možné při nechráněném přímém připojení síťového kabelu do internetu. Pokud o firewallech něco víte, je vám asi jasné, jaký pocit hrůzy jsem zažil. Pokud ne, myslím, že vám to nedokážu dostatečně popsat, ale je to v podstatě moje nejhorší noční můra. Naše síť měla obrovskou díru, kterou využili nepřátelští útočníci. Bylo to jako mít spíž a najít otvor ve zdi, kterým vám tam chodí zvířátka ujídat a znečišťovat vaše zásoby jídla. Poslal jsem správce sítě okamžitě uzavřít díry ve firewallu a zahájil jsem audit konfigurací na všech našich firewallech. Samozřejmě že jsem audit konfigurací našich firewallů dělal pravidelně, ale s nedostatkem zaměstnanců a zdrojů jsem to nebyl schopen dělat dostatečně často. Uvedené problematické změny přitom vznikly poměrně nedávno. Myslím, že z této zkušenosti plyne mnoho ponaučení a jedno z nich je „nevěřit nikomu“.
Útok na klienty českých bank stále pokračuje, varuje CSIRT Národní bezpečnostní tým
Počítačový útok | Incidenty
CSIRT varoval už minulý týden před spamovou kampaní, pomocí které se počítačoví piráti vydávají za zaměstnance tuzemských bank. Jak se ale nyní zdá, phishingové útoky pokračují i v tomto týdnu, upozornili v pondělí zástupci CSIRTu.
jsme obdrželi další vzorek phishingové zprávy, která cílí na zákazníky GE Money. Tato zpráva byla zaslána během dnešního dopoledne, lze tedy předpokládat, že phishingový útok z konce minulého týdne stále pokračuje,“ podotkl bezpečnostní analytik Pavel Bašta z CSIRTu.
V minulém týdnu se kromě zmiňovaného peněžního ústavu objevily také podvodné zprávy napodobující Českou spořitelnu a Raiffeisen Bank, jak Novinky informovaly.
Podvodná stránka napodobující GE Money Bank FOTO: CSIRT
Zprávy jsou zasílány na náhodné e-mailové adresy a na první pohled skutečně mohou budit dojem, že je jedná o zprávu banky. „V této zprávě se nachází odkaz ‚Přístup k účtu‘, který směřuje na stránky napodobující web banky,“ uvedl Bašta.
Podvodné zprávy jsou na rozdíl od jiných phishingových podvodů psány bez na první pohled viditelných pravopisných chyb. Uživatel ale přesto může odhalit falešnou stránku podle adresního řádku v internetovém prohlížeči. Z něj je na první pohled zřejmé, že se nenachází na legitimním webu banky.
Na podobné e-maily by klienti podle doporučení bank neměli vůbec reagovat.
Podvodná stránka napodobující Raiffeisen Bank
Několik samozřejmostí v boji proti útokům DDoS
Nejsou to jen banky, které nechtějí podlehnout útokům DDoS (distribuované odmítnutí služby). Útočníci jsou zákeřnější a lépe vybavení a je třeba se adekvátně připravovat.
Počítačové útoky | Incidenty
K útokům DDoS dochází v poslední době stále častěji. Jejich obětí jsou nejen zahraniční obři jako Bank of America, ale stále menší regionální cíle, na které prostě došla řada. Není za tím třeba hledat nějakou politickou či komerční motivaci, občas se prostě ocitly v hledáčku někoho, kdo má zrovna pod kontrolou nástroje vhodné pro podobný útok.
Vyvolává to zvýšený zájem o bezpečnostní stránku vlastního IT, ale řada manažerů zodpovědných za bezpečnost se na své pozici nacházejí poprvé, pokud rovnou taková pozice nebyla vytvořena docela nedávno, a zdaleka nemá otěže svého IT pevnou v rukou.
Zamlčování oslabuje obranné linie společnosti Sdílení informací o proběhlých útocích by mělo být samozřejmostí. Útočníci si své poznatky často vyměňují a obránci by tak měli činit také. Minulým obětím to může pomoci jen při vylepšování jejich zabezpečení, ale naprosto klíčové je to pro oběti probíhajícího útoku, které mohou výrazně lépe reagovat, pokud budou včas vědět, jak útok bude probíhat, z jakých adres IP atd.
Připravte se na nebytnost reakcí v reálném čase Opět, jak se ukázalo i během útoků na cíle v České republice, je třeba očekávat nejen jejich příchod z několika stran, různými metodami, ale také to, že se jejich taktika bude průběžně měnit. Pachatelé mohou sledovat, jak cíl reaguje, a volit, jak dále postupovat.
Monitorujte své aplikace Útoky na specifické aplikace nemusí mít tak velký objem paketů, jsou lépe cílené a mnohem méně nápadné. Je vhodné, aby bezpečností nástroje ve vlastním datacentru zvládaly hlubokou inspekci paketů a poskytovaly přehled o tom, co se děje.
Obrana perimetru nestačí Zkušenosti ukazují, že spoléhat se na klasické bezpečnostní prvky, které se nacházejí ve společnosti, nestačí. Firewally, systémy na detekci průniků, vyvažovače zátěže nebyly v minulosti schopny útoky zablokovat. Podobná zařízení jsou zranitelná stejně jako servery, které mají ochraňovat. Je třeba jít proti proudu dat a útok odrážet u poskytovatele služby či konektivity, který je ke zdroji útoku blíže. Pokud máte gigabitové připojení a snažíte se sami odrazit 10gigabitový útok, jsou vaše šance mizivé.
Připravte se na sekundární útok… Bez ohledu na nepříjemnosti a viditelnost nemusí být ve skutečnosti útok DDoS vůbec podstatný. Může jít pouze o maskovací manévr, který má odvrátit pozornost od skutečného útoku, který nemá za úkol přímo škodit, ale sbírat cenná data.
A na závěr: vyplatí se obávat se. Nedávné útoky dokazují, že cílem a obětí se může stát skutečně jakákoli společnost, malá či velká.