- Incidenty -

H  Aktualizace  Analýzy  Android  Apple  APT  Bezpečnost  BigBrother  BotNet  Cloud  Exploit  Hacking  Hardware  ICS  Incidenty  IoT  IT  Kongresy  Kriminalita  Kryptografie  Kyber  Mobilní  OS  Ostatní  Phishing  Podvod  Ransomware  Rizika  Rootkit  Sociální sítě  Software  Spam  Těžařské viry  Útoky  Viry  Zabezpečení  Zranitelnosti

Úvod  Kategorie  Podkategorie 0  1  2  3  4  5 

Reagovat na kybernetické incidenty dělá firmám problémy

16.3.2018 SecurityWorld Incidenty
Třem čtvrtinám dotazovaných firem chybí plán, jak v případě incidentu reagovat a 69 % z nich uvádí, že na kybernetickou odolnost nemá vyčleněno dostatek peněz.

Institut Ponemon ve spolupráci s IBM zveřejnila výsledky globální studie, která se zabývá tím, co všechno musí společnosti řešit, pokud chtějí být kyberneticky odolné.

Celkem 77 % respondentů připustilo, že nemá oficiální plán (CSIRP) v případě kyberbezpečnostního incidentu, který by byl v celé firmě důsledně dodržován. Téměř polovina z 2 800 respondentů uvedla, že jejich plán reakce na incidenty vzniká ad hoc, není oficiální nebo vůbec neexistuje.

Navzdory chybějícím oficiálním plánům ale 72 % firem tvrdí, že se v současnosti cítí kyberneticky odolnější než v loňském roce. Organizace, které se považují za vysoce odolné (61 %), zakládají své přesvědčení na schopnosti najmout kvalifikované zaměstnance.

Ale kybernetická odolnost organizací stojí nejenom na lidech, ale také na technologii. Respondenti si to uvědomují a 60 % z nich považuje nedostatečné investice do umělé inteligence a strojového učení za největší překážku v dosažení kybernetické odolnosti.

Sebedůvěra firem tedy nemusí mít pevné základy, protože 57 % respondentů ve studii prohlásilo, že se incidenty dnes řeší déle a 65 % uvedlo, že se závažnost útoků zvyšuje. To jsou přitom klíčové faktory, které mají na celkovou kybernetickou odolnost zásadní dopad.

Tyto problémy ještě znásobuje fakt, že pouze 31 % dotázaných má na kybernetickou odolnost přidělený dostatečný rozpočet a 77 % respondentů má problém najít a udržet si odborníky na IT bezpečnost.

„Pokud se firmy dnes cítí více kyberneticky odolné, tak je to hlavně z důvodu toho, že mají kvalifikované zaměstnance,“ říká viceprezident pro produktový management a spoluzakladatel IBM Resilient Ted Julian.

„Mít ty správné lidi je samozřejmě zásadní, ale stejně tak důležité je dát jim k dispozici ty nejmodernější pracovní nástroje. Jediné, co bezpečnostním týmům umožní vypořádat se s případnou hrozbou a zvýšit celkovou kybernetickou bezpečnost, je reakční plán, který sladí lidskou a strojovou inteligenci.“

Neexistence důsledně používaného CSIRP se ve výsledcích objevuje každý rok, navzdory zjištěním studie IBM z roku 2017, kolik porušení zabezpečení dat stojí. Pokud firmy zvládly porušení zabezpečení dat vyřešit do třiceti dnů, stálo je to průměrně skoro o jeden milion dolarů méně. Proto je CSIRP tak důležitý a cenný.

Další závěry studie:

Personální zajištění aktivit spojených s kybernetickou odolností není dostatečné.
Druhou největší překážkou kybernetické odolnosti se ukázal být nedostatek kvalifikovaných zaměstnanců v oblasti kybernetické bezpečnosti.
29 % respondentů uvedlo, že k dosažení kybernetické odolnosti mají ty správné zaměstnance.
50 % říká, že jejich současný manažer informační bezpečnosti nebo osoba zodpovědná za bezpečnost jsou ve své funkci tři roky nebo méně.
23 % firem podle studie v současnosti nemá manažera informační bezpečnosti ani osobu zodpovědnou za bezpečnost.

Čeští uživatelé těží kryptoměny, aniž by to tušili

5.1.2018 SecurityWorld Incidenty
Eset v pravidelné měsíční statistice internetových hrozeb za prosinec odhalil skokana roku: javový skript CoinMiner.

Potenciálně nechtěné aplikace, tzv. PUA, jsou programy či kódy, které nepředstavují přímé ohrožení osobního počítače uživatele, přesto je doporučeno se jim vyhnout. Právě do této kategorie spadá JS/CoinMiner, škodlivý kód, který používají zločinci pro těžbu kryptoměn s využítím výpočetního výkonu uživatele. Za uplynulý měsíc představovala tato aplikace nejčastější internetovou hrozbou, kterou v České republice zachytila společnost Eset.

„Nástup škodlivého kódu JS/CoinMiner byl velmi rychlý a zejména v samém závěru posledního měsíce loňského roku jeho aktivity výrazně zesílily,“ říká Miroslav Dvořák, technický ředitel společnosti Eset. Za celý prosinec 2017 představoval JS/CoinMiner třetinu všech detekcí kybernetických hrozeb. Hrozba „těžebního“ trojanu ale nepolevila ani po Novém roce, ba právě naopak. „První lednové dny dosahoval podíl JS/CoinMiner na detekcích téměř 50 procent,“ konstatuje Miroslav Dvořák.

JS/CoinMiner přitom existuje ve dvou variantách. Tou častější je javový skript, který běží na pozadí internetových stránek a využívá výpočetního výkonu uživatele k těžení kryptoměn. Ta druhá, méně častá, se chová jako trojan a zneužívá exploitu EternalBlue SMB vyvinutého americkou Národní bezpečnostní agenturou NSA. Do zařízení proniká prostřednictvím neaktualizovaného operačního systému.

Jakmile jej infikuje, stáhne do něj škodlivý skript pro Windows Management Instrumentation (WMI), který standardně používají správci počítačových systémů ke vzdálené správě velkého počtu počítačů. „JS/CoinMiner ale zneužívá tento systém pro vytvoření trvalých zadních vrátek a zabezpečení automatického spouštění vždy, když dojde ke spuštění operačního systému,“ vysvětluje Dvořák.

Doporučené nástroje ochrany jsou kromě spolehlivého bezpečnostního softwaru i pravidelné aktualizace operačního systému Windows. Špionážní software EternalBlue totiž zneužíval zranitelnosti SMBv1, kterou Microsoft opravil krátce po zveřejnění této hrozby. Využívaly jí i další trojany, které loni v létě pomáhaly šířit nechvalně proslulý ransomware WannaCry. „Určitě není ani od věci zakázat problémový protokol SMBv1, pokud ho nepoužíváte,“ radí Miroslav Dvořák.

Druhou nejčetnější internetovou hrozbou v Česku byl během prosince loňského roku trojan JS/Redirector, který automaticky přesměrovává internetový prohlížeč napadeného zařízení na škodlivé stránky, odkud uživatel může stáhnout do svého počítače další druhy malwaru. Oproti listopadu, kdy představoval nejčastěji detekovaný malware, však jeho podíl na detekcích nepatrně vzrostl z 3,91 na 4,83 procenta. Třetím nejčastěji zachyceným škodlivým kódem byl downloader JS/TrojanDownloader.Nemucod s podílem 2,8 procenta.

Jak reagovat na incidenty ve věku cloudů?

2.1.2017 SecurityWorld Incidenty
Platforma pro reakce na incidenty může pomoci interním i externím týmům spolupracovat, sledovat procesy reakcí na incidenty a automatizovat důležité úlohy zabezpečení.

Většina ředitelů zabezpečení informací zažívá drsné probuzení, když se setkají se svým prvním významným bezpečnostním problémem v cloudu. Pokud zjistí kritickou zranitelnost, která vyžaduje opravu, může jim chybět povolení ke změnám v prostředí připraveném od poskytovatele cloudu. Pokud zákazník síť nevlastní, nemusí existovat způsob, jak získat podrobnosti zásadní pro vyšetření incidentu.

Aby se v cloudu zabránilo významným bezpečnostním problémům, musí mít ředitel zabezpečení informací plán reakcí na incidenty. Zde je návod, jak ho vytvořit:

1. Stanovte společný plán reakce s poskytovatelem cloudu. Pokud jste ještě do cloudu nepřešli, je nejpraktičtějším prvním krokem stanovení společného procesu reakcí. Je potřebné jasně definovat odpovědnosti a role a vzájemně si vyměnit kontaktní informace pro primární a sekundární kontakty. Získejte podrobné vysvětlení toho, co u poskytovatele vyvolává reakci na incidenty a jak bude poskytovatel řešit různé problémy.

2. Vyhodnoťte způsob monitoringu a bezpečnostní opatření používané v daném cloudu. Pro zajištění efektivní reakce na bezpečnostní problémy související s cloudovou infrastrukturou je důležité pochopit, jaký druh monitorovacích a bezpečnostních opatření používá poskytovatel cloudu a jakým způsobem jsou pro vás tyto nástroje dostupné. Pokud zjistíte, že jsou nedostatečné, hledejte způsoby, jak lze nasadit doplňující řešení, které to napraví.

3. Vytvořte plán obnovy. Rozhodněte, zda bude v případě výpadku u poskytovatele nutná obnova. Vytvořte plán obnovy, který určí, jestli se má použít alternativní poskytovatel nebo interní vybavení, a stanoví také postup pro získání a přesun dat.

4. Vyhodnoťte forenzní nástroje pro cloudovou infrastrukturu. Zjistěte, jaké nástroje jsou k dispozici od poskytovatele cloudu a z dalších zdrojů pro forenzní šetření v případě incidentu. Pokud incident zahrnuje citlivé osobní údaje, mohl by přerůst v právní problém, takže je dostupnost vhodných nástrojů pro forenzní práci a sledování důkazů zásadní.

Zvládnutí incidentu v cloudu

Při reakci na incident je mnoho kroků stejných nehledě na to, zda k němu došlo v cloudu či v interní infrastruktuře. V případě cloudového incidentu však existují některé další kroky, které je potřebné udělat:

Ihned kontaktujte tým reakce na incidenty daného poskytovatele a při komunikaci buďte důrazní. Pokud je tým poskytovatele nedostupný, udělejte v souvislosti s incidentem vše, co je ve vašich možnostech pro jeho zastavení – například kontroly připojení ke cloudové službě a v případě pochyb také zrušení uživatelského přístupu ke cloudové službě.
Pokud nelze incident kontrolovat, ani zastavit, připravte si přesun na alternativní službu nebo si nakonfigurujte svůj interní server.

Cloud vám umožní odložit identifikaci a odstranění na dobu po skončení krize. Ve většině případů můžete okamžitě zahájit obnovení produkčních služeb vytvořením nové instance.
Nejlepší postupy pro reakce na incidenty v cloudu

Jedním z kritických problémů, kterým mnoho podniků čelí, je nedostatek talentovaných pracovních sil s potřebnými schopnostmi pro správu zabezpečení. Je těžké najít vhodné kandidáty, a pokud je najdete, můžete čekat, že jim budete muset nabídnout vysoké platy. Statistický úřad ministerstva práce USA očekává, že do roku 2024 vzroste počet pracovních míst v oblasti analýz bezpečnostních informací o 18 % a průměrné platy v dolarech jsou šesticiferné již nyní.

Existují však některé kroky, které můžete udělat, abyste rychle zaškolili nové zaměstnance a zlepšili schopnosti zaměstnanců současných:

Podporujte spolupráci, která pomůže mladším analytikům učit se ze zkušeností vedoucích analytiků. Jako bonus může kooperace odhalit duplicitní činnosti, které lze odstranit.

Vytvářejte příručky, které popíšou standardní postupy pro reakce na incidenty. Samozřejmě nelze vytvořit návod pro každou možnou situaci, ale příručky mohou být cennými průvodci a vynikajícími školicími materiály. Jen nezapomínejte příručky aktualizovat, což je úloha, kterou lze často zautomatizovat.

Když už mluvíme o automatizaci, mnoho úloh je možné automatizovat, zejména pokud se opakují a jsou rutinní. Běžné úlohy zabírají nepřijatelné množství času. Automatizace může uvolnit váš personál pro důležitější úkoly.

Podporujte vznik situační všímavosti z perspektivy historické i z perspektivy reálného času. Efektivní analýza minulých incidentů vám pomůže k lepšímu rozhodování o incidentech současných.

Analyzujte incidenty a vytvořte si databázi, která pomůže určit druhy problémů, potřebné schopnosti k jejich vyřešení, frekvenci různých typů incidentů a další skutečnosti. Analýza vám může pomoci identifikovat zranitelnosti a zjistit, kde lze zabezpečení zlepšit.

Jako většina nejlepších bezpečnostních postupů pro cloudové aplikace je také reakce na incidenty společnou odpovědností. Při plánování reakcí na budoucí incidenty je zásadní zajistit dostupnost správných kontaktů, nástrojů a procesů.

Mít platformu pro reakce na incidenty, která umožňuje spolupráci interních a externích týmů, sleduje procesy reakce na incidenty a automatizuje klíčové bezpečnostní úlohy, je v čase krize nezbytné, aby bylo možné rychle problémy zastavit a efektivně na ně reagovat.

Službě Imgur unikly e-maily a hesla uživatelů, tři roky o tom nevěděla
27.11.2017 Lupa.cz Incidenty
Populární stránce Imgur, na které se ukládají obrázky, byly ukradeny přihlašovací e-maily a hesla k 1,7 milionu uživatelských účtů. Stalo se tak už v roce 2014, Imgur o tom nicméně dlouho nevěděl a o věci se dozvěděl až před pár dny. Nyní firma záležitost rozebírá na svém blogu.

Necelé dva miliony uživatelů jsou malá část registrovaných uživatelů Imgur, ten jich celkem má asi 150 milionů. Služba napadeným uživatelům hesla resetuje a o incidentu je postupně informuje.

Imgur prozatím nemá přesné informace, jak k úniku došlo. Provádí se šetření, které pak má vést také ke spolupráci s policií a úřady.

„Vždy jsme vaše hesla v naší databázi šifrovali, mohla ale být cracknuta pomocí brute force kvůli použití staršího algoritmu (SHA-256), který jsme tehdy používali. Algoritmus jsme v loňském roce aktualizovali na bcrypt,“ píše Imgur.

Hostingu Czechia od firmy ZONER unikly přihlašovací údaje zákazníků
22.11.2017 Lupa.cz Incidenty
Brněnský hosting Czechia.com, který patří pod firmu ZONER, oznámil únik dat svých zákazníků. Šlo o přihlašovací údaje k e-mailovým schránkám a webhostingovým službám. Jak velké části klientů se problém týkal, firma zatím nezveřejnila. Únik se týká i slovenské hostingovky Slovaknet, která také patří pod ZONER. Případ vyšetřuje policie.

Podle vyjádření firmy únik zřejmě souvisí s pokusem zaměstnance jednoho ze zákazníků o průnik na backend hostingu:

Koncem roku 2013 jsme zjistili podezřelou aktivitu na dedikovaném serveru jednoho z našich zákazníků. Na základě provedené analýzy jsme konstatovali pokus o útok na náš backend zaměstnancem daného zákazníka, ale neměli jsme žádné indicie nebo důkazy o tom, že by se udál závažný bezpečnostní incident a došlo k ukradení jakýchkoliv dat. … V letošním roce jsme zjistili, že bezpečnostní incident související s podezřelou aktivitou na zákaznickém serveru znamenal únik dat (v podobě, která neumožňuje jejich přímé zneužití). Okamžitě jsme Policii ČR podali trestní oznámení a bylo zahájeno vyšetřování. Současně Policie ČR učinila opatření vedoucí k ochraně zcizených dat a zamezila dalšímu přístupu k nim.

V uniklých datech podle firmy nebyly žádné osobní údaje a uniklá hesla byla zahashována algoritmem SHA-1. Podle firmy to znamená, že je nejde jednoduše prolomit, což je ale přinejmenším hodně optimistické tvrzení (o relativní snadnosti prolamování zahashovaných hesel podrobněji čtěte v Jak jsem crackoval hesla z úniku Mall.cz bezpečnostního experta Michala Špačka).

„Nezaznamenali jsme masové pokusy o zneužití uniklých dat,“ tvrdí ZONER. Údaje ze seznamu uniklých dat podle firmy momentálně stále používá asi 7 % zákaznických účtů. Firma podle svých slov dotyčné zákazníky kontaktuje a pomáhá jim údaje změnit.

Firmě jsme poslali řadu doplňujících dotazů, do textu je doplníme, jakmile dostaneme odpovědi.

Uber tajil masivní únik 57 milionů záznamů. Hackerům zaplatil za mlčení
22.11.2017 Živě.cz Incidenty
Bývalý šéf Uberu chtěl ututlat závažný únik dat. Bál se poškození pověsti Uberu a zabezpečení jeho služeb. Nyní se případ provalil. Před rokem hackeři ze serverů Uberu odcizili údaje o 57 milionech zákazníků a o 600 tisících řidičů Uberu.Vnik do databáze byl možný kvůli chybě administrátorů, kteří přístupové údaje omylem zveřejnili na GitHubuBývalé vedení dvěma hackerům zaplatilo 100 tisíc dolarů za mlčenlivost a smazání získaných dat. Nový šéf Uberu Dara Khosrowshahi útok oznámil. Omluvil se a ujistil zákazníky i řidiče, že podle analýz nedošlo k žádnému zneužití uniklých dat.
Společnost Uber, která provozuje stejnojmennou platformu pro sdílení jízd, se stala v roce 2016 terčem kybernetických útočníků. Ze serverů odcizili údaje o 57 milionech zákazníků a o 600 tisících řidičů Uberu. Předchozí výkonný ředitel však celý incident utajil a informace vyplavaly na povrch až nyní. Upozornil na to CNet.

Nový šéf Uberu Dara Khosrowshahi včera vydal prohlášení, ve kterém uvedl, že firma zaznamenala neoprávněný vstup do systému v listopadu 2016. Podle výsledků vyšetřování začaly útoky už o měsíc dříve.

Hackeři za tento čas stihli získat databázi obsahující 57 milionů záznamů o zákaznících, mezi nimiž figurují jména, e-mailové adresy a telefonní čísla. Kromě toho uniklo i 600 tisíc čísel řidičských průkazů patřících řidičům ze Spojených států.

Ostatní informace, jakými jsou například historie polohy, čísla platebních karet a bankovních účtů, data narození či čísla sociálního zabezpečení, prý zločinci nezískali.

Přístupové údaje na GitHubu
Khosrowshahi navíc přiblížil i to, jak k útokům došlo. Podle jeho slov nebyla zneužita žádná bezpečnostní slabina v podnikovém systému, ani v infrastruktuře. Problémem bylo pravděpodobně selhání jednotlivce, který neúmyslně uložil administrátorská data do cloudové služby třetí strany.

Bezpečnostní společnost Sophos byla konkrétnější a na svém webu uvedla , že vývojáři Uberu vložili na GitHub spolu se zdrojovými kódy i přístupové pověření k serverům. Hackeři to zřejmě zjistili, a tak využili příležitosti. Server byl spuštěn v cloudové službě Amazon Web Services (AWS), na kterém se nacházely databáze s osobními údaji.

Útočníci si vydělali
Podobný typ úniku uživatelských dat není v současnosti ničím neobvyklým. Tento se však liší v tom, jak se tehdejší vedení Uberu k bezpečnostnímu incidentu postavilo. Útok se snažilo utajit a dvojici hackerů zaplatili 100 tisíc amerických dolarů za to, že odcizenou databázi odstraní. Firma následně sepsala s útočníky dohodu o utajení a celý incident byl zamaskovaný jako součást programu Bug Bounty (vyplácení odměn za nalezení chyb).

V souvislosti s uvedenou kauzou bylo propuštěno i několik zaměstnanců, kteří na ní měli největší podíl. Konkrétně má jít o ředitele počítačové bezpečnosti, jeho zástupce a právníka.

Uber ujišťuje všechny uživatele a řidičů, že aktuálně neexistuje žádný důkaz o zneužití uniklých dat. Přesto byli řidiči zapojeni do programu, který je má ochránit před úvěrovými podvody a před odcizením identity.

Incident response ve věku cloudů

17.10.2017 SecurityWorld Incidenty
Řešení pro reakce na incidenty může pomoci interním i externím týmům spolupracovat, sledovat procesy reakcí na incidenty a automatizovat důležité úlohy zabezpečení.

Většina šéfů zabezpečení informací zažívá drsné probuzení, když se setkají se svým prvním významným bezpečnostním problémem v cloudu.

Pokud zjistí kritickou zranitelnost, která vyžaduje opravu, může jim chybět povolení ke změnám v prostředí připraveném od poskytovatele cloudu. Jestliže firma síť nevlastní, nemusí existovat způsob, jak získat podrobnosti zásadní pro vyšetření incidentu.

Aby se v cloudu zabránilo významným bezpečnostním problémům, musí mít CISO plán reakcí na incidenty. Zde je návod, jak ho vytvořit:

Stanovte společný plán reakce s poskytovatelem cloudu. Pokud jste ještě do cloudu nepřešli, je nejpraktičtějším prvním krokem stanovení společného procesu reakcí. Je potřeba jasně definovat odpovědnosti a role a vzájemně si vyměnit kontaktní informace pro primární a sekundární kontakty.

Získejte podrobné vysvětlení toho, co u poskytovatele vyvolává reakci na incidenty a jak bude poskytovatel řešit různé problémy.

Vyhodnoťte způsob monitoringu a bezpečnostní opatření používané v daném cloudu. Pro zajištění efektivní reakce na bezpečnostní problémy související s cloudovou infrastrukturou je důležité pochopit, jaký druh monitorovacích a bezpečnostních opatření používá poskytovatel cloudu a jakým způsobem jsou pro vás tyto nástroje dostupné.

Pokud zjistíte, že jsou nedostatečné, hledejte způsoby, jak lze nasadit doplňující řešení, které to napraví.

3. Vytvořte plán obnovy. Rozhodněte, zda bude v případě výpadku u poskytovatele nutná obnova. Vytvořte plán obnovy, který určí, jestli se má použít alternativní poskytovatel, nebo interní vybavení, a určí také postup pro získání a přesun dat.

4. Vyhodnoťte forenzní nástroje pro cloudovou infrastrukturu. Zjistěte, jaké nástroje jsou k dispozici od poskytovatele cloudu a z dalších zdrojů pro forenzní šetření v případě incidentu. Pokud incident zahrnuje citlivé osobní údaje, mohl by přerůst v právní problém, takže je dostupnost vhodných nástrojů pro forenzní práci a sledování důkazů zásadní.

Zvládnutí incidentu v cloudu

Při reakci na incident je mnoho kroků stejných nehledě na to, zda k němu došlo v cloudu či v interní infrastruktuře. V případě cloudového incidentu však existují některé další kroky, které je nutné udělat:

Ihned kontaktujte tým reakce na incidenty daného poskytovatele a při své komunikaci buďte důrazní. Pokud je tým poskytovatele nedostupný, udělejte v souvislosti s incidentem vše, co je ve vašich možnostech pro jeho zastavení – například kontroly připojení ke cloudové službě a v případě pochyb také zrušení uživatelského přístupu ke cloudové službě.
Pokud nelze incident kontrolovat, ani zastavit, připravte si přesun na alternativní službu nebo si nakonfigurujte svůj interní server.

Cloud vám umožní odložit identifikaci a odstranění na dobu po skončení krize. Ve většině případů můžete okamžitě zahájit obnovu produkčních služeb vytvořením nové instance.

Nejlepší postupy

Jedním z kritických problémů, kterým mnoho podniků čelí, je nedostatek talentovaných pracovních sil s potřebnými schopnostmi pro správu zabezpečení. Je těžké najít vhodné kandidáty, a pokud je najdete, můžete čekat, že jim budete muset nabídnout vysoké platy.

Existují však některé kroky, které můžete udělat, abyste rychle zaškolili nové zaměstnance a zlepšili schopnosti pracovníků současných:

Podporujte spolupráci, která pomůže mladším zaměstnancům učit se ze zkušeností vedoucích analytiků. Jako bonus může spolupráce odhalit duplicitní činnosti, které lze odstranit.

Vytvářejte příručky, které popíšou standardní postupy pro reakce na incidenty. Samozřejmě nelze vytvořit návod pro každou možnou situaci, ale příručky mohou být cennými průvodci a vynikajícími školicími materiály. Jen nezapomínejte příručky aktualizovat, což je úloha, kterou lze často zautomatizovat.

Mnoho úloh lze automatizovat, zejména pokud se opakují a jsou rutinní. Běžné úlohy zabírají nepřijatelné množství času. Automatizace může uvolnit váš personál pro důležitější úkoly.

Podporujte vznik situační všímavosti z perspektivy historické i z perspektivy reálného času. Efektivní analýza minulých incidentů vám pomůže k lepšímu rozhodování o incidentech současných.

Analyzujte incidenty a vytvořte si databázi, která pomůže určit druhy problémů, potřebné schopnosti k jejich vyřešení, frekvenci různých typů incidentů a další skutečnosti. Analýza vám může pomoci identifikovat zranitelnosti a zjistit, kde lze zabezpečení zlepšit.

Jako většina nejlepších bezpečnostních postupů pro cloudové aplikace je také reakce na incidenty společnou odpovědností. Při plánování reakcí na budoucí incidenty je zásadní zajistit dostupnost správných kontaktů, nástrojů a procesů.

Mít platformu pro reakce na incidenty, která umožňuje spolupráci interních a externích týmů, sleduje procesy reakce na incidenty a automatizuje klíčové bezpečnostní úlohy, je v čase krize nezbytné, aby bylo možné rychle problémy zastavit a efektivně na ně reagovat.

Obří únik osobních údajů si vybral další daň. Šéf Equifaxu končí

27.9.2017 Novinky/Bezpečnost Incidenty
Jeden z největších úniků citlivých osobních dat za poslední roky, který se v USA stal, má další dohru. S okamžitou platností končí generální ředitel americké úvěrové kanceláře Equifax Richard Smith. Právě z tohoto podniku unikla data o 143 miliónech Američanů.

Šéf Equifaxu Richard Smith
Equifax funguje jako registr dlužníků a tento měsíc přiznal, že se stal terčem kybernetického útoku. Hackeři při něm získali čísla sociálního zabezpečení, data narození, adresy a další údaje o lidech v jeho databázi.

Equifax je v USA jednou ze tří firem svého druhu. Věřitelé spoléhají na informace shromážděné úvěrovými kancelářemi, které jim pomáhají při schvalování půjček na bydlení, nákup auta či poskytnutí kreditních karet. Někdy je využívají i zaměstnavatelé při rozhodování, koho přijmout.

V čele podniku byl 12 let
Sedmapadesátiletý Smith stál v čele firmy od roku 2005, nyní bude v podniku působit pouze jako neplacený poradce. Prozatímním generálním ředitelem byl jmenován jednašedesátiletý Paulino do Rego Barros, který měl dříve na starosti aktivity v Asii a Tichomoří. Při hledání stálého generálního ředitele hodlá firma zvažovat interní i externí kandidáty, uvedla agentura AP.

„Kybernetický incident se dotkl miliónů spotřebitelů," uvedl Smith. „Věřím, že v tomto kritickém momentě je v nejlepším zájmu firmy mít nové vedení, které ji posune kupředu," uvedl.

O samotném úniku osobních dat z Equifaxu se více dozvíte v našem dřívějším článku.

Pozor, internetem se šíří „superdatabáze“ půl miliardy ukradených hesel
17.5.2017 Živě.cz Incidenty

Sítí se šíří další velká databáze ukradených webových účtů. Podle bezpečnostních analytiků čítá více než 560 milionů přihlašovacích údajů. Nicméně mnohé se opakují, takže unikátních je asi polovina; okolo 243,6 milionů.

Yahoo oznámilo rekordní únik dat - hackeři mají údaje více než miliardy uživatelů
Naštěstí se nejedná o nový průnik hackerů, ale o kompilát těch starých ze služeb jako Linkedin, Dropbox, Adobe, Last.fm nebo třeba MySpace. Přesto, pokud jste na podobných webech již několik let nezměnili heslo a případně jej používáte i na jiných službách, hodí se jej změnit.

Potulují se moje (sic třeba staré) přihlašovací údaje po internetu? Web haveibeenpwned.com na to odpoví. Stačí zadat e-mail.

Jestli se vaše přihlašovací údaje potulují po internetu v některé z podobně uniklých databází, si můžete otestovat třeba na webu haveibeenpwned.com.

Na internet unikly nahrané hovory marketingové firmy, obsahují detaily o jménech, adresách i kreditních kartách
31.1.2017 Živě.cz Incidenty
Většina čtenářů jistě zná klasické začátky marketingových hovorů, které začínají obvyklým vyjádřením „Váš hovor bude nahráván“. Jak se ukazuje, jedná se o další nebezpečné ukládání osobních dat, kterého se mohou hackeři zmocnit.

Hackeři zamkli pokoje hotelovým hostům a odstavili rezervační systém, za odblokování požadovali výkupné
Dle informací MacKeeperu totiž na internet uniklo celkem 400 000 nahrávek hovorů, které prováděla telemarketingová společnost VICI Marketing LLC v USA jak s koncovými uživateli, tak i zaměstnanci firem.

Ukázka vybraných informací

Hovory přitom obsahovaly údaje jak o telefonních číslech, jménech a adresách, tak i o rodných čísel. Přibližně 17 tisíc hovorů pak zahrnoval i čísla kreditních karet a další finanční informace. Vzhledem k tomu, že databáze o velikosti 28 GB byla neznámou dobu veřejně dostupná přes internet, není jasné, kdo všechno se dat zmocnil.

Jak je vidět, nebezpečí úniku osobních dat se skrývá všude, takže si dávejte pozor při předávání osobních informací i při telefonních hovorech.

Hackeři se zmocnili údajů miliardy uživatelů portálu Yahoo

15.12.2016 Novinky/Bezpečnost Incidenty
Hackeři ukradli údaje z účtů více než miliardy lidí používajících e-maily a další služby firmy Yahooo. Oznámila to ve středu americká internetová společnost, podle níž k útoku kybernetických zločinců došlo v roce 2013. Podle agentury AP jde o největší známý průnik do systému některé ze společností poskytujících e-mailové účty.
Ukradené informace mohou podle Yahoo zahrnovat jména, e-mailové adresy, telefonní čísla, data narození a takzvané ověřovací otázky a odpovědi na ně. Citlivější údaje jako data o bankovních účtech či čísla platebních karet podle firmy hackeři nezískali.

Mohly se jim však dostat do ruky hesla od uživatelských účtů. To by mohlo přinést potíže lidem, kteří používají stejná hesla pro své další internetové účty a služby.

Experti na internetovou se podle AP domnívají, že akce je nejspíš dílem některé ze zahraničních vlád, která se snažila získat informace o konkrétních lidech. Proto se prý většina klientů firmy nemusí obávat. Pokud by čin spáchali běžní hackeři jednající na vlastní pěst, data by se zřejmě pokusili prodat na webu, což se nestalo.

Druhý velký únik
Společnost oznámila podobný únik už v září; tehdy šlo o kybernetický útok z roku 2014 a ukradena byla data z 500 miliónů účtů. Viník ani tehdy zjištěn nebyl.

Oba případy podle AP vrhají pochybnosti na chystanou koupi digitálních aktivit firmy Yahoo telekomunikačním gigantem Verizon - obě společnosti se předběžně dohodly na částce 4,8 miliardy dolarů (121 miliard korun). Pokud by však oznámení úniků vedlo k odlivu zákazníků Yahoo, mohl by Verizon ztratit o obchod zájem.

Yahoo rovněž uvedla, že informuje všechny dotčené uživatele a poradí jim, jak se chránit. Doporučila také všem uživatelům změnit hesla. Pokud stejné heslo užívají i pro přístup na jiné stránky, měli by tato hesla rovněž změnit.

Jak má vypadat správné heslo?
Bezpečné heslo by mělo mít minimálně šest znaků a mělo by obsahovat číslice a ideálně velká i malá písmena. Heslo by naopak v žádném případě nemělo být tvořeno jménem uživatele, jednoduchými slovy (jako například „heslo”) nebo pouhou posloupností číslic.

Je důležité zdůraznit, že databáze může představovat pro uživatele potenciální riziko i po letech, a to i v případě, že si již změnili přístupové heslo. Celá řada lidí totiž používá stejné přihlašovací údaje k různým webovým službám. Pro počítačové piráty tedy není nic jednoduššího než hesla vyzkoušet i na jiných serverech.

V případě, že lidé používají totožná hesla jako ke službě Yahoo i na jiných webových službách, je vhodné je změnit samozřejmě i tam.

Z pornowebu Xhamster unikly přihlašovací údaje, útočníci jich získali 380 tisíc
1.12.2016 Živě.cz Incidenty
Xhamster, který je po Pornhubu nejpopulárnější web s pornoobsahem, řeší závažný problém – z jeho databáze útočníci získali údaje o 380 tisících uživatelích. Jde především o jména, loginy a také špatně šifrovaná hesla. O incidentu informoval Motherboard s odvoláním na Leakbase.

Data mají pocházet z tohoto roku, kdy útočníci objevili mezeru v zabezpečení databáze. Hesla mají být podle Leakbase zabezpečena pouze pomocí hašovacího algoritmu MD5 bez soli, a tudíž snadno dešifrovatelná.

Xhamster je po Pornhubu druhý nejpopulárnější pornoweb

Mezi e-maily se již tradičně nachází i několik exemplářů patřící členům armády Spojených států nebo 30 e-mailů různých vládních složek. Což samozřejmě nemusí znamenat, že se jejich prostřednictvím registrovali přímo majitelé, Xhamster totiž v minulosti nevyžadoval ověřování adresy.

Po zveřejnění databáze a rozšíření zprávy v médiích zareagoval na incident mluvčí Xhamsteru. Podle něj se jedná o fhack, tedy falešný hack. Jejich databáze je prý zabezpečena mnohem lépe a k úniku dat nedošlo. Na druhou stranu, redaktoři webu Motherboard vzali náhodných 50 e-mailů z úniku a pokusili se je zaregistrovat. Ve všech případech web vracel chybovou zprávu o tom, že e-mail je již registrován.

Ať už je realita jakákoliv, uživatelé webu by neměli otálet se změnou přihlašovacích údajů. A to především v případě, že stejné údaje používají na více službách.

Microsoftu unikl univerzální zavaděč, obchází UEFI Secure Boot

12.8.2016 Root.cz Incidenty

Objevená mezera ve spolupráci Windows a secure boot (UEFI) sice může ohrozit bezpečnost zařízení, ale také umožní instalaci alternativních systémů na zamčená zařízení od Microsoftu.
Dvojice bezpečnostních výzkumníků, kteří si říkají MY123 a Slipstream, zveřejnila informaci, že operační systém Windows obsahuje mezeru umožňující obejít zabezpečení Secure Boot. V tomto případě hovoříme o pomyslném zlatém klíči, protože podle všeho Microsoft tuto mezeru zřídil záměrně, aby mohl takto chráněná zařízení odemknout. O zlatém klíči by se samozřejmě neměl dozvědět nikdo nepověřený. To se ale nepovedlo.

Než se pustíme do popisu samotného problému, upřesněme, co je vlastně secure boot. Jedná se o vlastnost UEFI (nástupce BIOSu), která umožňuje na daném počítači zavést pouze patřičně podepsaný operační systém. Většina prodávaných počítačů sice má secure boot aktivní, nicméně uživatel ho může bez problémů vypnout. To sice omezí zabezpečení, ale zase si potom můžeme snadno instalovat různé linuxové distribuce atp.

Část zařízení má však secure boot nastavený tak, aby UEFI zavádělo pouze systémy podepsané Microsoftem. Mezi ně nepřekvapivě patří hlavně hardware od Microsoftu – chytré telefony, tablety nebo brýle HoloLens. Není to ale problém pouze těchto zařízení. Přestože domácí uživatelé považují secure boot spíš za otravnou omezující věc, některé firmy ho třeba používají a počítají s ním v bezpečnostní strategii.

Chyba v systému pravidel
Výzkumníci svůj objev popsali na speciální stránce (pozor, je trochu hyperaktivní), zde se to pokusíme jednodušeji shrnout. Pravidla secure boot jsou obsažena v binárním blobu ASN.1, který rovněž musí být podepsán Microsoftem a který je načten v rané fázi bootování. Pravidla také obsahují číslo zařízení DeviceID, které se musí shodovat s DeviceID Windows Boot Manager (bootmgr). V opačném případě použije výchozí pravidla.

Problém je v tom, že v jedné z vývojových verzí výroční aktualizace Windows 10, pracovně označované jako Redstone, byla přidána tzv. dodatková pravidla. Ve stručnosti jde o to, že dodatková pravidla, které v Microsoftu zapomněli dát pryč, lze bez další kontroly aplikovat na výchozí pravidla a změnit nastavení. Včetně aktivace testsigningu – to znamená, že se načte jakýkoliv podepsaný systém, je úplně jedno kým. Čili je to v podstatě totéž jako žádné ověření.

Nejde o nějaký backdoor v negativním slova smyslu jako spíš chybu v návrhu řešení, které mělo usnadnit testování vývojových verzí systému bez nutnosti každé sestavení podepisovat. Také je nutné dodat, že Microsoftu neunikl podpisový klíč, jak by se podle označení zlatý klíč mohlo naznačovat. Ohrožena nejsou ani zašifrovaná data v zařízení. Jde zkrátka o mezeru ve Windows Boot Manager.

Řešení a důsledky
Nálezci chybu nahlásili už v březnu tohoto roku. Zpočátku se s nimi Microsoft moc nechtěl bavit, ale nakonec chybu uznal a nálezce finančně odměnil. Ti však opravy považovali za nedostatečné a proto šli s informacemi o chybě na veřejnost. Chyba v bootmgr byla opravena s výroční aktualizací Windows 10. Znamená to, že jsou počítače s touto verzí Windows v bezpečí a nelze na nich spustit Microsoftem nepodepsaný systém? Nikoliv.

Stačí totiž bootmgr nahradit starší problémovou verzí, což je možné, a opět můžete chybu využít a spustit na zařízení v podstatě jakýkoliv systém. Možným řešením by samozřejmě bylo omezení na konkrétní verze bootmgr, ale to by přineslo další velké problémy. Pro Microsoft je prakticky nemožné zablokovat všechny starší verze bootmgr, protože by to rozbilo instalační média, obnovovací oddíly, zálohy a další, píšou výzkumníci.

Chyba je určitě nepříjemná pro všechny, kdo na secure boot spoléhali, ale pravděpodobně se nejedná o kritický bezpečnostní problém. Pro instalaci pozměněné verze systému s bootkitem či rootkitem by útočník zřejmě potřeboval fyzický přístup k zařízení a ne úplně malé množství času.

Jak to ale často bývá, všechno zlé je pro něco dobré. Pro mobily a tablety s Windows se zřejmě začnou vytvářet různé alternativní systémy, linuxové distribuce, androidí ROM atd. A tak zájemci z řad uživatelů budou mít možnost zařízení, kterým už brzy bude končit podpora, znovu oživit. Určitě bude zajímavé sledovat, jak moc se komunita moderů/hackerů bezpečnostní mezery chytne a co všechno vytvoří.

Zadní vrátka nejsou vhodné řešení
Nálezci chyby v prohlášení věnovali i odstaveček FBI, které by tento případ měl ukázat, že backdoory či jiné cílené omezení bezpečnosti rozhodně nejsou dobrý nápad. O tom se čím dál častěji hovoří v souvislosti s možným omezením šifrování, které navrhují někteří američtí polici a často také zástupci bezpečnostních složek. Velmi medializovaná byla kauza odemčení iPhonu teroristů, které požadovala FBI, ale Apple odmítl.

Každá mezera, vytvořená s dobrým či špatným úmyslem, jednou může být zneužita, a to může způsobit dalekosáhlé problémy. Pro příklad nemusíme chodit daleko. Americká TSA (úřad pro bezpečnost v dopravě) certifikovala kufry, ke kterým měla zlatý klíč (ve skutečnosti jich bylo několik), aby mohla rychle prověřovat zavazadla cestujících. Design klíčů unikl na veřejnost a dnes si takový univerzální klíč, který padne do každého zámku schváleného kufru, může vyrobit každý.

V tomto případu nejde o klasický backdoor, ale jasně vidíme, že chyby dělají i v těch největších společnostech. A také vidíme, že zadní vrátka vždy není možné okamžitě zavřít.

Další únik údajů ze seznamky: data milionu uživatelů BeautifulPe­ople.com

27.4.2016 Zdroj: Lupa.cz Incidenty

Pokud jste stále nepochopili: kamkoliv na internetu vložíte jakákoliv osobní data, musíte počítat s tím, že se dříve nebo později mohou stát věcí veřejnou.
Reálné údaje o více než milionu uživatelů seznamky BeautifulPeople.com jsou dostupné na internetu. Jde přitom o následek hacku z konce minulého roku, o kterém se ví už někdy od listopadu 2015. Co je na celé kauze podstatného a nového je to, že jde o reálná data. Provozovatel celou dobu tvrdil, že se útočníkům podařilo dostat pouze na testovací server, na kterém neměla být ostrá databáze.

Plyne z toho jedno poučení uvedené v perexu, tedy to, že pokud komukoliv svěříte nějaké informace (osobní zejména), tak musíte počítat s tím, že dříve či později dojde k nějakému jejich úniku. A zadruhé, že pokud k něčemu takovému dojde, tak jde obvykle pravdomluvnost stranou a provozovatelé se snaží lhát a lhát.

Data z BeautifulPeople.com jsou už i na prodej, uvádí to alespoň Troy Hunt, provozovatel užitečné služby haveibeenpwned.com. Ale uvádí také, že neví, kdo je prodává ani jaká je cena. Dobré je, že na výše uvedené službě si přítomnost účtu z BeautifulPeople.com můžete ověřit.

Ve zpřístupněných datech mají být e-maily, telefonní čísla, ale také osobní charakteristiky uživatele, obvyklé u seznamek.

Compromised data: Beauty ratings, Car ownership statuses, Dates of birth, Drinking habits, Education levels, Email addresses, Genders, Geographic locations, Home ownership statuses, Income levels, IP addresses, Job titles, Names, Passwords, Personal descriptions, Personal interests, Physical attributes, Sexual preferences, Smoking habits, Website activity

A jak už to tak chodí, Hunt uvádí, že mezi 1,1 miliony e-mailů je i 170 vládních s doménou .gov. Nepoučitelní lidé se do seznamek stále registrují s pracovními e-maily.

Při velkém hacku unikly údaje o všech voličích z Filipín

12.4.2016 Zrdroj: Lupa  Incidenty

Filipínská volební komise (COMELEC) neochránila data o voličích a údaje o 55 milionech lidí jsou k dispozici na internetu.
Útočníci, kteří se označují za Anonymous Phlippines, 27. března napadli webové stránky Filipínské volební komise (COMELEC) a o několik dní později LulzSec umístili databázi voličů online.

Podle zahraničních zdrojů bylo důvodem hacku vyvolat tlak na zlepšení zabezpečení hlasovacích přístrojů ještě před volbami, které se budou na Filipínách konat 9. května.

COMELEC tvrdí, že v hacknutých datech nejsou „žádné citlivé informace“ a hackeři „nezískali nic hodnotného“. Trend Micro je ale jiného názoru, takže to vypadá na klasickou PR taktiku zamlčování a vymýšlení si.

V uniklých datech se mají nacházet citlivé osobní informace, včetně hesel a digitálních otisků prstů. S ohledem na velikost úniku může jít o největší únik vládních dat v historii. Doposud prvenství držel nejspíš únik dat z OPM v loňském roce s údaji o 20 milionech amerických občanů.

Média upozorňují, že uniklá data se dají využít ke krádežím identit a podvodům, protože obsahují mnohem více informací, než pouze data o voličích, která jsou (nebo by měla být) dostupná přímo na webu Filipínské volební komise.

V celém rozsahu úniku jde o šestnáct databází a 355 tabulek – některé z nich mají vztah k obsahu webu a mechanismu voleb jako takovému, ale část obsahuje přímo údaje voličů – z nich jméno, příjmení, datum narození a voličské identifikační číslo jsou v šifrované podobě, ale další údaje nikoliv, ať už jde například o adresu bydliště nebo místo narození. V některých tabulkách jsou ale i jména a příjmení, jména rodičů, data narození, čísla pasů a další data nešifrovaná.

Mezi údaji jsou podle všeho i ty, které zadávali samotní voliči v rámci plánování schůzek při registraci k volbám. Je jich méně, ale obsahují i další osobní údaje – například e-mailový kontakt, plná jména obou rodičů, daňový identifikátor a další.

Jako u každého úniku i zde pochopitelně platí, že není jisté, nakolik jsou zveřejněná data autentická, zda do nich někdo nezasáhl a podobně.

Filipínská volební komise také zdůrazňuje, že samotné volby a volební systém nemají s hacknutým webem (a z něj získanými databázemi) žádné spojení a jde o zcela rozdílné systémy. Ale jako všechno, i toto je potřeba brát s rezervou.

PŘEHLEDNĚ: Aféra Panama Papers

6.4.2016 Incidenty
Kauza Panama Papers v posledních dnech otřásá světovou politickou a obchodní scénou a dotýká se i České republiky. O co přesně jde a jaké jsou technické detaily?

O co jde: Únik dat advokátní kanceláře Mossack Fonseca je považován za vůbec největší v historii, alespoň co se týče samotného objemu informací. Hacknuté emaily obsahovaly 2,6 TB dat a to včetně 4,8 milionů emailových zpráv a 2,2 milionů PDF.

Počet osob zasažených kauzou neustále stoupá, a zřejmě jen tak nepřestane. Panama Papers obsahují informace o desítkách vlivných politiků napříč světem, z minimálně 40 zemí včetně Velké Británie, Francie, Ruska, Číny, Indie nebo České republiky.

Poukazují také na společnosti, ve kterých si politici, jejich blízcí příbuzní či spolupracovníci schovávali finance, aby z nich nemuseli odvádět daně. Od neděle se zpráva nezastavitelně šíří médii a rozhodně nehodlá ustat.

Čísla: Úniky, dle předběžných zpráv, zahrnují 11,5 milionu důvěrných dokumentů z let 1970 až 2015. 2,6 terabytů dat zahrnuje 4,8 milionů emailů, 3 miliony databázových souborů, 2,2 miliony PDF souborů, 1,1 milion obrázků a 320 000 textových dokumentů.

Jak se to stalo: Detaily nejsou úplně jasné, ale zástupce advokátní kanceláře Mossack Fonseca potvrdil zprávy kolující médii, že únik pochází z hacknutého emailu. Není jisté, jak útok přesně proběhl, ale testy externích bezpečnostních vyšetřovatelů naznačují, že firma Mossack Fonseca neměla zašifrované emaily standardními TLS protokoly.

Takový emailový útok mohl proběhnout „mnoha způsoby,“ říká Zak Maples, starší bezpečnostní konzultant ve firmě MWR InfoSecurity, kyberbezpečnostní agentuře. Zdá se, že byl napaden samotný server společnosti namísto jednotlivých emailových schránek, a to především kvůli množství ukradených informací, napsal dále v emailu.

„Tento únik je pravděpodobně součástí pokusu o zkompromitování společnosti,“ dodává Maples. „Útočníci možná napadli Mossack Fonseca skrze server a zvýšili oprávnění administrátorovi domény nebo emailovému administrátorovi, a díky těmto oprávněním pak zpřístupnili a postahovali všechna data, nacházející se na serveru emailů.“

Kdo jsou útočníci: Stručně? Nikdo neví. Zdroj je neznámý, a to pravděpodobně i pro ty zpravodajské agentury, které o uniklých datech informovaly jako první. Dle zpráv komunikoval hacker skrze bezpečně šifrovaný chat a email.

Postoj společnosti: Mossack Fontesa odmítá jakákoli pochybení. Říká, že pouze asistovala svým klientům v zakládání regulérních společností. „Ač jsme mohli být obětí úniku dat, nic v tomto nelegálně získaném balíku dokumentů nenaznačuje, že bychom provedli cokoli špatného nebo nezákonného, což sedí k naší 40 let pečlivě budované reputaci dělat byznys tím správným způsobem,“ uvedla advokátní kancelář v prohlášení. „Nikdo samozřejmě nemá rád, když je jejich majetek ukraden, a my uděláme cokoli, co bude v našich silách, aby byli viníci přivedeni před spravedlnost.“

Česko: 283 jmen Čechů a Češek figuruje v Panama Papers. V Česku má data k dispozici pouze jediná instituce, a to České centrum pro investigativní žurnalistiku. Slibuje, že do měsíce se lidé dozví všechna jména Čechů v listech obsažená.

Budoucnost: Zatím prvním velkým ohlasem je zmatečné odstoupení Islandského premiéra, který je do kauzy zapleten. Jak se bude situace vyvíjet dál, není zcela jisté, avšak na další otřesy na politické i podnikatelské scéně stačí jen počkat. Rozhodně se též bude probírat stav zabezpečení emailových schránek a serverů velkých podniků, které si podobné datové úniky zkrátka nemohou dovolit.

AMERIČTÍ HACKEŘI SE ZAMĚŘILI NA PRESTIŽNÍ ADVOKÁTNÍ KANCELÁŘE
6.4.2016 Incidenty

Koordinovaný útok na počítačové sítě tří nejprestižnějších advokátních kanceláří ve Spojených státech vyšetřuje Federální úřad pro vyšetřování (FBI).

Agenti se domnívají, že pachatelům šlo o důvěrná data klientů napadených kanceláří, s nimiž chtěli obchodovat. Mezi poškozenými jsou advokátní kanceláře Cravath Swaine & Moore LLP a Weil Gotshal & Manges LLP, které zastupují banky na Wall Street a společnosti zařazené do žebříčku Fortune 500. Advokátní skupina Cravath následně vydala prohlášení, podle něhož k útokům došlo již loni v létě a kancelář při nich nepřišla o žádná důvěrná data.

Tomu však někteří bezpečnostní experti příliš nevěří a varují, že advokátní kanceláře jsou velmi lákavým cílem kyberútoků. „Zatímco většina firem si vytváří a ukládá důvěrná data interně, advokátní kanceláře mají tendenci získávat a shromažďovat velmi cenná data od svých klientů, která jednotliví advokáti sdílí po celou dobu kontraktu. To představuje velkou výzvu pro IT a bezpečnostní týmy těchto firem: na jednu stranu musí být taková data přístupná advokátům a zaměstnancům kanceláře odkudkoli zvenčí, ovšem na druhou stranu je potřeba s takto shromážděnými daty nakládat velmi opatrně,“ míní bezpečnostní specialista společnosti Rapid7 Tod Beardsley.

Ochránit taková data je o to těžší, že nejrespektovanější advokátní kanceláře mají jejich část uloženu ve starších systémech. „Cravath Swaine & Moore, ale i mnoho jejich vrstevníků, nepočítá svou historii na léta, nýbrž na staletí,“ upozorňuje Beardsley. „Tyto firmy musely archivovat důvěrná data po celá desetiletí a zároveň inovovat svoje komunikační technologie a IT infrastrukturu, ale také současně držet krok s rychle se měníním nebezpečním kybernetických hrozeb,“ uzavřel expert.

Hackeři prý získali osobní údaje téměř 50 miliónů Turků

5.4.2016 Incidenty
Skupina hackerů umístila na internet databázi, která prý zahrnuje osobní údaje o téměř 50 miliónech tureckých občanů. Informovala o tom v pondělí agentura AP. Dodala, že se jí v několika případech podařilo autentičnost údajů potvrdit.
Databáze údajně obsahuje přes 49,6 miliónu záznamů a prozrazuje důležité osobní informace. Lidem zahrnutým v této databázi tak může hrozit, že se stanou terčem krádeže totožnosti a podvodů.

Podle agentury AP jde o jeden z největších úniků informací tohoto druhu.

Loni v dubnu americké úřady oznámily, že hackeři získali přístup k osobním údajům více než 22 miliónů současných a bývalých vládních zaměstnanců, dodavatelů a uchazečů o zaměstnání.

Únik roku? Hackeři zveřejnili státní databázi 50 milionů občanů Turecka
5.4.2016 Incidenty
Hackeři vystavili na Torrent obří databázi čítající záznamy 49 611 709 obyvatelů Turecka. Údajně se jedná o únik ze státní IT struktury, což by pro Turecko znamenalo velkou ostudu a problém. Únik je zatím poměrně čerstvý a pravost dat se prověřuje, ale podle prvních reakcí na Twitteru to vypadá, že se skutečně jedná o soupis většiny obyvatel Turecka.

Průvodní stránka na adrese http://185.100.87.84/ a ukázka ze získané databáze

Problém není jen to, že databáze unikla, ale že nebyla dostatečně silně zašifrovaná. Podle hackerů, kteří k úniku připravili i malý informační web, se ani o plnohodnotné šifrování nejednalo a databáze byla vůbec ve velmi špatném technickém stavu.

Databáze obsahuje o každém občanovi základní údaje zahrnující jméno, příjmení, pohlaví, bydliště, rodné jméno, jména otce a matky, datum a místo narození a místo registrace. Celá databáze má 6,6 GB a zatím se přesně neví, co vlastně pokrývá. Záznamů je sice bezmála 50 milionů, ale evidovaných obyvatelů Turecka téměř 75 milionů. Databáze všech obyvatel to tedy zjevně není.

Jak píše The Register, čin je pravděpodobně politicky motivovaný a míří proti kontroverznímu tureckému prezidentovi. Tvůrci si rovněž rýpli do aktuálního kandidáta na post amerického prezidenta Donalda Trumpa, který je podle nich ještě méně schopný vést zemi než turecký prezident Recep Tayyip Erdoğan.

Data 1,5 milionu zákazníků ukradená Verizonu jsou na prodej

30.3.2016 Incidenty

Ve Verizon Enterprise Solutions při vší té péči o firemní zákazníky zřejmě trochu zapomněli dostatečně pečovat o vlastní sítě.
KrebsonSecurity upozorňuje, že se na uzavřeném fóru objevila nabídka na prodej databáze zákazníků Verizon Enterprise za 100 tisíc dolarů, případně po kusech, 10 tisíc dolarů za 100 tisíc záznamů.

Data jsou výsledkem úniku z informačních systémů B2B jednotky amerického telekomunikačního giganta Verizone, který řeší bezpečnost zákaznických systémů, prodává bezpečnostní řešení a který také každý rok vydává velmi zajímavou ročenku o únicích dat a narušeních systémů - viz Verizon’s annual Data Breach Investigations Report (DBIR).

Verizon Brianu Krebsovi potvrdil, že útočníci využili bezpečnostní chybu, která jim umožnila získat kontaktní informace zákazníků. To vše prostřednictvím portálu, který byl určen pro firemní zákazníky Verizonu. Podle společnosti se ale útočníci měli dostat pouze k základním informacím o zákaznících, nikoliv k podstatným datům, která by byla nějak výrazně nebezpečná.

Prodejce databáze ji nabízí dokonce i ve formátu pro databázový systém MongoDB, lze se tedy dost i domnívat, že ona bezpečnostní chyba je Verizonem tak trochu zlehčována. Vypadá to totiž na to, že se útočníkovi prostě podařilo pořídit přímo dump z databáze.

Jak konkrétně se účastníkům podařilo data získat, známo není. Verizon tvrdí, že už chybu napravil, ale detaily zatím neposkytl. Celé je to ještě pikantnější s ohledem na to, že to je například i Verizon, který v čerstvé studii ukazuje, jak se hackerům podařilo dostat do systémů pro úpravu vody a ovlivnit i to, jaké množství chemikálií je do vody uvolňováno (viz Hackers Modify Water Treatment Parameters by Accident) a v řadě dalších studií a analýz ukazuje velmi konkrétní informace o únicích a narušeních.

Hackerům se nepovedlo ukrást miliardu dolarů díky překlepu

13.3.2016 Incidnety
Hackerům se nepovedlo ukrást miliardu dolarů díky překlepuVčera, Milan Šurkala, aktualitaCesta k velkému bohatství může být občas ukončena velmi nepříjemným malým detailem. Hackeři dokázali nezákonně získat téměř miliardu dolarů, nicméně při stahování peněz na další účty udělali překlep, což jim naštěstí vše zkazilo.
Během 4. a 5. února 2016 se skupině hackerů patrně podařilo prolomit zabezpečení Bangladesh Bank a dostat se k téměř miliardě dolarů (hovoří se o zhruba 850-870 milionech). Tyto peníze pak převáděli přes různé banky na účty ve Filipínách a Srí Lance. Jen na Federal Reserve Bank přišly desítky žádostí na převody peněz. Povedly se jim čtyři přenosy, každý za zhruba 20 milionů dolarů. Uschovali si tedy lehce přes 80 milionů dolarů, nicméně pátý přenos jim už nevyšel.

Ten směřoval do Shalika Foundation ve Srí Lance, nicméně hackerům se povedlo splést název organizace a místo "Foundation" napsali "Fandation". Toho si všimla Deutsche Bank, přes kterou měly tyto peníze jít a zažádala o vysvětlení této podezřelé transakce, čímž se na celou záležitost přišlo. Bangladesh Bank se už povedlo některé z peněz získat zpátky a nyní chce žalovat Federal Reserve Bank za to, že dostatečně rychle nerozpoznala podezřelé transakce. Bangladesh Bank na situaci nedokázala rychle reagovat, neboť šlo o nepracovní dny.

Na Download.com a jinde můžete chytit crapware narušující HTTPS

22.2.2016 Zdroj: Lupa.cz Incidenty

Nemusíte mít ani Lenovo, abyste si do počítače pořídili nějaký ten Superwish crapware či badware. Stačí si stáhnout software z něčeho jako Download.com.Pokud si pamatujete na aféru se Superfish softwarem předinstalovaným na noteboocích od Lenovo, tak asi tušíte, že existují podivné nápady, které vám do počítače dostanou nebezpečný software narušující šifrované (HTTPS) připojení a přinášejí možnost MITM (Man In The Middle) útoků, šmírování a další rizika.

Funguje to v zásadě tak, že do vašeho počítače (s Windows) je nainstalován falešný root certifikát schopný převzít veškerou HTTPS komunikaci tak, že jakékoliv certifikáty jsou vždy platné. V případě softwaru jménem Superfish to navíc bylo udělané tak amatérsky, že díra byla zneužitelná kýmkoliv se škodlivými nápady.

Stejný systém se používá u adwaru, které se po nasazení do vašeho počítače postará o přesměrování veškeré HTTP/HTTPS komunikace tak, aby bylo možné do stránek vkládat vlastní inzeráty. Na „trhu“ existuje podobných „řešení“ řada - například Wajam, GeniusBox, Content Explorer. Do počítače přidají vlastní certifikát a pak čtou a upravují veškerou komunikaci.

Jak upozorňuje Howtogeek,com, něco podobného můžete chytit i tak, že si na Downloads.com stáhnete a nainstalujete software, u kterého rozhodně nic takového nečekáte – v jimi zmiňovaném žebříčku deseti nejstahovanějších aplikací šlo o KMPlayer a YTD Video Downnload, ale nejsou to jediné případy.

Zelené tlačítko

Podle Howtogeek.com není vůbec jisté, jestli původcem tohoto napadání počítačů je CNET a jejich Download.com nebo jestli je adware/malware dodáván přímo autory programů. V řadě případů z historie totiž takto obohacené programy ve skutečnosti pocházely od téže firmy či jednotlivce, pouze se navenek skrývaly pod různé názvy a značky.

KMPlayer tak například obsahuje výše zmíněný Wajam a jak CNET, tak případný tvůrce KMPlayeru se dokáží poměrně snadno vykroutit z jakékoliv kritiky: instalace Wajamu totiž není utajená a uživatel je dotázán, zda si Wajam přeje nainstalovat. Což zpravidla vede k tomu, že stiskne zelené tlačítko Accept místo správného oranžového Decline.

Smyslem těchto úprav je samozřejmě to, že vám bude dodávána reklama na místech, kde by normálně nebyla. Útok na šifrované připojení má jasný důvod: přes HTTPS dnes běží většina podstatných služeb a webů. V dobách dřívějších podobnému softwaru stačilo, když převzal kontrolu nad nešifrovaným spojením.

Zásadní problém je v tom, že program kompletně zruší jakékoliv hlídání platnosti certifikátů a tím i skutečně bezpečné HTTPS komunikace.

Jak odhalit, že něco takového máte v počítači?

Mimo projevy v podobě podivných reklam na místech, kde ani většinou nebývají, je poměrně složité na první pohled poznat, že se vám něco podobného dostalo do počítače. Je dobré se podívat na nastavení připojení k internetu, protože tam může být aktivované spojení přes lokální proxy (často 127.0.0.1).

Můžete zkusit spustit v příkazové řádce netstat, kde podivná připojení přes lokální síť můžete také vidět. Případné spuštění jako správce a použití netstat -b pomůže při identifikaci programů, ze kterých ona spojení probíhají. Budete-li tápat nad IP adresami, tak pomůže netstat -f, které je převede na doménová jména (tam, kde je to možné).

Spoléhat se na to, že adware/crapware objeví antivirus, je obvykle dost marné, velmi málokdy je detekují, nepovažují je totiž za viry. Mohou pomoci antimalware řešení v podobě PC Decrapifier, Kaspersky TDSSKiller, Trojan Killer, HitmanPro 3 či Malwarebytes Anti-Malware (poslední dvě jmenované používám poměrně často s dobrými zkušenostmi).

Bývá dobré podívat se i do certifikátů, které máte ve Windows (ale pozor, budou ještě ve všech prohlížečích). Stačí jít do MMC (Microsoft Management Console) s přidaným modulem Certifikáty. Pak vyberete Účet počítače. Po přidání vás budou zajímat „Důvěryhodné kořenové certifikační autority“, ale má to celé jeden zásadní nedostatek – je jich tam opravdu hodně a poznat ty podvodné není jednoduché – trochu může pomoci, že jsou známa nejpoužívanější jména: Sendori, Purelead, Rocket Tab, Super Fish, Lookthisup, Pando, Wajam, WajaNEnhance, DO_NOT_TRUSTFiddler_root, System Alerts, CE_UmbrellaCert.

Můžete zkusit i některý z online testů (například superfish.tlsfun.de), které zkoušejí, jestli v počítači některé z podvržených certifikátů nemáte. Ale tady pozor, nezjištění problému nemusí znamenat, že nejste napadení.

A nezapomeňte, že antivirové programy instalují MITM stejně jako tyto podvodné programy. Pokud jste svěřili vašemu antivirovému programu kontrolu vaší komunikace přes web, tak to nebyl rozhodně ten nejlepší nápad.

Útočníci se pokouší koupit login do systému Applu přímo od zaměstnanců. Nabízí až 20 000 euro
10.2.2016 Zdroj: Zive.cz Incidnety
Business Insider včera přinesl informace o praktikách útočníků, kteří se pokouší dostat do interních systémů Applu. Místo složitého hackování na to jdou tou nejjednodušší cestou – za přihlašovací údaje nabízí zaměstnancům zajímavé částky – prý to může být až 20 000 euro, tedy přes půl milionu korun. Bussness Insider informace získal od několika zdrojů přímo z Applu.
„Login do interního systému můžu kdykoliv prodat za 20 000 euro.“ - zdroj z Applu

Útočníci se zaměřují především na nové zaměstnance, kteří nastoupí na juniorské manažerské pozice. U těch se dá předpokládat menší vztah k zaměstnavateli a vyzrazení informací je tak pravděpodobnější. Apple prý provozuje interní program Grow Your Own, který má zaměstnance na podobné praktiky připravit a naučit je jim čelit.

Zájem je jak o přihlašovací údaje, tak o citlivé obchodní údaje. Není proto divu, že je Apple i v případě vlastních zaměstnanců velmi obezřetný. V irské centrále tak striktně omezuje fyzický přístup třeba pro zaměstnance z dalších poboček.

Jak se stahovala Sobotkova pošta? Využíval se software Hacking Teamu?

17.1.2016 Zdroj: Lupa.cz Incidenty

Média se učí psát o věcech, které donedávna byly k vidění jen ve filmech. Kauza premiérovy e-mailové schránky umožňuje osahat si nové téma.
Se svou polemikou s novinovým článkem v MF Dnes přišel bezpečnostní expert Michal Špaček. Facebookový příspěvek publikujeme s jeho svolením.

Pravděpodobně se k vám brzo dostane článek o tom, že za únik Sobotkových e-mailů mohou „hackeři“, kteří použili „špičkový software“, a také se dozvíte, že podle odborníků proti tomuto programu není obrany.

iDNES.cz píše, že „Web v jihovýchodní Asii poté hackerům umožnil stáhnout obsah Sobotkovy elektronické pošty v podobě otisků obrazovky“ a dále cituje zdroj z civilní kontrarozvědky: „Na tomto principu funguje hackerský software s názvem Janus od italské společnosti Hacking Team“.

Začneme od toho, že žádný software s názvem Janus neexistuje. Hacking Team vyrábí software s názvem RCS (Remote Control System), Janus byl nejspíš jen projekt pro konkrétní „implementaci“ a využití programu RCS u PČR, jeden z několika, další projekt se jmenoval Taurus. Sama Policie ČR, resp. firma Bull, která pro policii s Hacking Teamem dělala obchody, v e-mailech píše o RCS, např. ve spojení jako „janus RCS“(sic), ale někdy je také Janus zmíněn jen v předmětu e-mailu a dál se píše už jen o RCS. Na webu najdete Janus ve spojení s Hacking Teamem vždy jen ve spojení s firmou Bull.

Dělat screenshoty umí malware, který se označuje jako RAT (Remote Access Trojan), ten umí také třeba zaznamenávat stisknuté klávesy atd. Nemusí to být zrovna „špičkový software“, takových programů je určitě spousta a dělat screenshoty patří do jejich základní výbavy. Ostatně, dělat screenshoty umí i sám browser pomocí JavaScriptu.

V iDNES také udělali trochu zkratku, protože pokud se použil nějaký program, ať už se jmenoval jakkoliv, tak nějaký web jen tak nikomu neumožní stáhnout e-maily v podobě screenshotů. Web může využít nějakou neopravenou zranitelnost (tzv. 0day chyby) v prohlížeči, v přehrávači Flashe, v prohlížeči PDF souborů nebo třeba ve Wordu nebo v Excelu a zneužitím této chyby se do počítače nainstaluje malware, který pak útočníkům poskytuje přístup k onomu počítači. Takto ostatně fungoval, resp. instaloval se, i RCS od Hacking Teamu a fungují a instalují se tak i jiné podobné programy.

A proč se proti takovému programu nedá bránit? Bránit se do určité míry dá, zvlášť když víme, jak podobné programy fungují. Když uděláte všechno z následujícího seznamu, tak proti podobným programům budete chránění poměrně dobře.

Odinstalujte přehrávač Flashe
Odinstalujte Silverlight
Vypněte Flash Player plugin v Chrome
Vypněte Javu v prohlížeči nebo ji rovnou odinstalujte
Používejte moderní operační systém a pravidelně ho aktualizujte
Používejte moderní prohlížeč a pravidelně ho aktualizujte
Nastavte si spouštění pluginů (např. pro prohlížení PDF přímo v browseru) pouze po kliknutí a nepoužívejte na to žádné rozšíření, dají se jednoduše obejít
Aktualizujte i další programy, které máte nainstalované
Pokud nějaký program nepoužíváte, raději ho odinstalujte
Blokujte reklamy v prohlížeči
Neinstalujte rozšíření prohlížeče, které vám někdo vnutí se slibem, že vám vrátí „starý fejsbůk“
Nepoužívané rozšíření z prohlížeče smažte
Neklikejte na každý banner, který vám bude tvrdit, že máte v počítači viry
Neotvírejte divné e-maily a to ani, když vám budou tvrdit, že jste vyhráli/někomu dlužíte/něco jste si objednali, když víte, že ne
Občas se nějaká zákeřná chyba objeví rovnou v prohlížeči, ale není to tak časté. Pokud splníte všechny body z výše uvedeného seznamu, tak sice možná neobstojíte před americkou NSA, ale před „hackery“, kteří screenshotují premiérům e-maily budete celkem v pohodě.

Zákazníci Electro.cz platili na špatná čísla účtů. Má jít o útok hackerů

7.1.2016 Incident

Obchod Electro.cz byl prý napaden hackery a ti nechali zákazníky platit na jiná čísla účtů. Kde peníze skončily, je krajně nejisté.
Pokud jste nakupovali v poslední době na Electro.cz a platili převodem, je možné, že jste poslali peníze na nesprávné číslo účtu. Podle informací poškozených zákazníků byl totiž tento e-shop „napaden hackerem“.

„Stala jsem se obětí hackerů tak, že jsem si koupila pračku za 11 tisíc Kč na Electro.cz, které bohužel napadl hacker. Už to řeší kriminálka a je těch poškozených docela dost, nikde to není, pokud vím, ani zveřejněný, takže je poškozených možná mnohem víc,“ píše jedna z poškozených.

Podle toho, co se jí podařilo zjistit, je účet, na který platila, už kompletně prázdný. Samotné Electro.cz jí přitom zboží dodat nechce, peníze prý také nemá.

Pokud budete na www.electro.cz hledat nějaké informace o tak závažné události, nic nenajdete. V době publikování této zprávy, ve čtvrtek 7. ledna 2016, na nějaké problémy ukazuje jen změna na kontaktní stránce, kde jsou informace o správných číslech účtu a seznam čísel účtů, „na které zákazníci nemají nic platit“.

Kolik poškozených je? To zatím známo není. Electro.cz jsme oslovili s žádostí o vyjádření – jak k samotnému hacknutí, tak k tomu, jakým způsobem bude obchod řešit škody, které zákazníci utrpěli. Na odpovědi zatím čekáme. Na telefonický dotaz nám zástupci e-shopu jen bez dalších podrobností potvrdili, že problém s falešnými účty je reálný.

Jak je to s odpovědností e-shopu?

Advokát Ondřej Preuss z webu dostupnyadvokat.cz k otázce odpovědnosti provozovatele e-shopu v případě hacku říká:

Přikláním se k tomu, že e-shop může být odpovědný a měl by dodat zboží nebo vrátit peníze.

Záleží na tom, zda jde o chybu zákazníka či ne. Pokud si zákazník na stránkách eshopu objednal zboží a plynule se na nich dostal na stránku s falešnými platebními údaji, je to chyba eshopu. Zákazník svou část smlouvy splnil, i když zaplatil na špatný účet, zejména pokud neměl důvod se domnívat, že je falešný. Jde o určitou formu tzv. phishingu.

E-shop pak může vymáhat náhradu škody po hackerovi, který narušil jeho systém.

Hackeři na Ukrajině odpojovali elektřinu

6.1.2016 Incidenty
Sofistikované útoky malwarem KillDisk směřovaly na energetické distribuční společnosti.

Kybernetické útoky proti energetickým společnostem na Ukrajině z prosince loňského roku mají souvislost s útoky na média a cílenou kyberšpionáží ukrajinské vlády. Tvrdí to Eset na základě analýz malwaru KillDisk, který se při těchto útocích použil. Zjistilo se, že nová varianta tohoto malwaru obsahovala další nové funkce pro sabotáž průmyslových systémů.

Přibližně 700 tisíc lidí zůstalo 23. prosince v Ivano-Frankovské oblasti na Ukrajině bez elektřiny. Proud nešel v polovině tamních domů po dobu několika hodin. Výzkumníci zjistili, že výpadek proudu nebyl ojedinělý.

Ve stejnou dobu se kyberzločinci zaměřili i na další distribuční elektrárenské společnosti na Ukrajině. Podle analytiků útočníci pomocí trojského koně BlackEnergy infiltrovali do cílových počítačů komponent KillDisk, který způsobil, že tyto počítače nešly spustit.

„BlackEnergy je trojan typu backdoor a pro provádění konkrétních úkolů využívá různé komponenty stažené do cílového počítače. V roce 2014 byl použit v řadě kyberútoků proti důležitým vládním cílům na Ukrajině,“ tvrdí Petr Šnajdr z Esetu. Podle něj při nedávných útocích proti distribučním energetickým společnostem byl destruktivní trojan KillDisk stažen a použit na systémech, které již dříve infikoval trojan BlackEnergy.

První prokázaná souvislost mezi BlackEnergy a KillDisk byla nahlášena ukrajinskou agenturou pro kybernetickou bezpečnost CERT-UA v listopadu 2015. V té době byla napadena řada ukrajinských mediálních společností, které reportovaly o probíhajících místních volbách. Podle zprávy CERT-UA byl v důsledku tohoto útoku zničen velký počet videomateriálů a různých dokumentů.

Varianta KillDisk, která byla použita při nedávných útocích proti ukrajinské rozvodné energetické společnosti, obsahovala některé další funkce. Kromě toho, že útočníci mohli odstranit systémové soubory, aby nebylo možné spustit samotný systém – jde o typickou funkci pro tyto destruktivní trojské koně – tato konkrétní varianta obsahovala kód, který byl specificky zaměřen k sabotáži průmyslových systémů.

Podle expertů se kromě tradičních funkcí KillDisk pokouší ukončit i procesy, které mohou náležet k platformě používané v průmyslových řídicích systémech. Jsou-li tyto procesy nalezeny v cílovém systému, trojan je nejen ukončí, ale také přepíše jejich automaticky spustitelný soubor na pevném disku náhodnými daty, aby bylo složitější provést obnovu systému.

Každý měsíc útočníci na Steamu ukradnou 77 tisíc účtů

14.12.2015 Incidenty

Pokud používáte herní platformu Steam, je možná vhodný čas pojistit si účet dvoufaktorovým ověřením. Účty se totiž ve velkém kradou.
Steam – www.steampowered.com – je užitečné místo pro pořizování her. Ať už těch zdarma, na zkoušku, nebo za peníze. Za roky existence se Steamu (Valve) podařilo vytvořit dobře použitelný obchod s počítačovými hrami. Úměrně popularitě, ale hlavně také tomu, že se účty na Steamu dají používat jak pro nákup, tak prodej (virtuálního zboží), stoupá i zájem útočníků.

V Security and Trading Valve upozorňuje, že krádeže účtu se na Steamu vyskytují od samého počátku, ale právě po zavedení možnosti obchodovat mezi uživateli (Steam Trading) došlo až ke dvacetinásobnému růstu počtu krádeží.

Většinou to probíhá tak, že útočník ukradne váš účet, prodá všechno, co se na něm prodat dá, a získá peníze. V řadě případů se prodej neuskuteční bezprostředně z ukradeného účtu, věci změní majitele několikrát a prodány jsou z účtu zcela jiného. Ukradené věci ani nemusí být prodány rychle, hackeři klidně i několik měsíců počkají.

Firma Valve původně okradeným uživatelům vycházela vstříc a ukradený účet, včetně na něm se vyskytujících věcí, jim vracela. Počet krádeží je ale natolik velký, že podobné řešení přestává být jediné přijatelné. Navíc, jak Valve upozorňuje, krádeže se dnes už netýkají pouze nezkušených a nepozorných uživatelů. Ve výše uvedeném upozornění Valve uvádí, že krádeže účtů na Steamu má dnes na svědomí vysoce organizovaná síť a jde až o 77 tisíc odcizených účtů měsíčně.

Valve doporučuje velmi vážně myslet na dvoufaktorové ověření a k účtu na Steamu si přidat autentikátor. Pro Valve ale i toto řešení znamenalo některé nové problémy, například to, že pokud by dvoufaktorové ověření probíhalo na kompromitovaném PC, nefungovalo by to.

Vedle zavedení dvoufaktorového ověření se Valve ještě pokouší ochránit účty, které nejsou dvoufaktorem chráněny. Zavádí pro ně řadu omezení v rychlosti obchodování, což v zásadě je další dobrou motivací pro pořízení si autentikátoru.

Nikoliv ruští hackeři, k datům čtyř miliónů Britů se zřejmě dostal patnáctiletý irský kluk

27.10.2015 Incidenty
Když experti britské policie konečně odhalili pravděpodobného strůjce hackerského útoku, který ohrozil data čtyř miliónů uživatelů jednoho z největších poskytovatelů telekomunikačních služeb v zemi, nevěřili svým očím. Za útokem nestáli ruští přívrženci Islámského státu, jak se původně obávali, nýbrž teprve 15letý chlapec.
„V pondělí 26. října okolo 16:20 policisté vyhověli žádosti o zatčení na adrese v County Antrim, v Severním Irsku. Zadrželi tam 15letého chlapce podezřelého z porušení zákona o zneužití počítače a převezli ho do vazby. Vyšetřování stále probíhá,“ řekl listu The Telegraph mluvčí místní policie.

A zatímco hoch má dost času na to, aby zpytoval svědomí v policejní cele, vedení společnosti TalkTalk musí rychle prověřit, zda zabezpečení svých informačních systémů nepodcenilo, konstatoval britský deník a upozornil, že se nezletilému hackerovi povedl jeden z nejničivějších útoků svého druhu v britské historii.

Setrvalé a sofistikované napadení
Útoky začaly minulou středu a společnost TalkTalk je Kybernetické jednotce Scotland Yardu nahlásila druhý den s tím, že jsou její weby vystaveny „setrvalému a sofistikovanému” napadení. Zatčení přišlo čtyři dny poté. [celá zpráva]

TalkTalk, která nabízí placenou televizi, pevné a mobilní telefonické spojení i připojení k internetu, informovala, že cílem útoku byly informace obsahující jména, adresy a bankovní údaje zákazníků.

"Zasáhnout to mohlo všechny naše zákazníky," upozornila již dříve generální ředitelka TalkTalk Dido Hardingová.

Momentálně firma podle tiskového vyjádření dělá vše pro to, aby data svých klientů znovu zabezpečila.

Napadení internetového bankovnictví v praxi

16.10.2015 Incidenty
Malware Brolux názorně ukazuje, jak kombinace návštěvy pornostránek, neaktualizovaného počítače, absence antiviru a neopatrnosti při používání internetového bankovnictví může vést k finanční ztrátě.

Na uživatele internetového bankovnictví útočí nový trojan, který Eset detekuje jako Win32/Brolux.A. Momentálně se šíří prostřednictvím pornostránek. Využívá dvou známých zranitelností – jedné v technologii Flash a druhé v prohlížeči Internet Explorer.

Malware, který se prozatím objevil pouze v Japonsku, po infikování PC čeká, jestli se uživatel nepřipojí k některé z 88 nastavených stránek internetového bankovnictví tamějších bank.

Pro takové případy má připravené falešné phishingové stránky – zobrazí se například varování před údajnými podvodníky, kteří číhají na chyby uživatelů internetového bankovnictví.

Tato konkrétní stránka imituje grafiku webu japonského regulátora finančního trhu. Snaží se však, pod záminkou posílení ochrany uživatele, získat jeho citlivé informace, a to nejen kontaktní údaje, ale především přihlašovací údaje do elektronického bankovnictví nebo čísla platebních karet a jejich PIN.

„Aby tento útok uspěl, musí se sejít neuvěřitelné množství prohřešků proti pravidlům bezpečného používání internetu,“ tvrdí Martin Skýpala, specialista Esetu. „Stačí totiž, aby jediná podmínka nebyla splněna, a útok ztroskotá.“

Malware Brolux může sloužit jako varování, že útoky na internetové bankovnictví jsou všudypřítomnou hrozbou.

„Je proto potřeba dodržovat alespoň ta základní pravidla: aktualizovat systém i aplikace, dvakrát přemýšlet, kam zadávám své citlivé údaje – a také používat kvalitní bezpečnostní řešení, ideálně takové, které obsahuje technologii pro ochranu bankovních a platebních transakcí,“ uzavírá Skýpala.

Čínští kyberzločinci ukradli miliony otisků prstů, tvrdí USA
24.9.2015 Incidenty

Neznámým hackerům se podařilo získat otisky 5,6 milionu lidí, kteří žádali nebo už získali bezpečnostní prověrku americké vlády. Původně mělo jít o 1,1 milionu otisků. Nyní ale bylo upřesněno, že na jaře byl odcizen až pětinásobek dat.

Terčem útoku byly osobní údaje 21,5 milionu bývalých či nynějších zaměstnanců amerických federálních úřadů, nebo osob, které se o práci v těchto institucích ucházely.

Američtí vyšetřovatelé se domnívají, že za útokem je Čína. I proto si odhalení získalo velkou pozornost kvůli svému načasování - v Americe je totiž nyní na návštěvě čínský prezident Si Ťin-pching (Xi Jinping). Kromě jiného se setkal i se zástupci velkých technologických firem. Ťin-pching vytrvale odmítá, že by Čína stála za útoky mířící proti americkým firmám.

Podle expertů krádež výrazně pomůže čínské rozvědce a může rovněž vést k odhalení některých amerických špionů. Kromě otisků prstů získali hackeři i čísla sociálního pojištění a další citlivé údaje.

Přestože je podle OPM možnost zneužití otisků prstů omezená, je hackerský útok pohromou, píše agentura AP. Už v červnu podezřívali vládní zdroje čínské kyberzločince z odcizení osobních dat čtyř milionů lidí z úředních serverů v USA.

Krádež otisků prstů by mohla zvýšit ohrožení některých systémů. „Heslo si změníte snadno, ale otisk prstu nezměníte,“ glosoval to server Wired. Vláda dodává, že „podle expertů je riziko zneužití dat o otiscích prstů minimální,“ mohlo by se ale změnit v budoucnu s příchodem nových technologií zabezpečení.

Zadejte do Chromu zabijáckou adresu a zhroutí se

21.9.2015 Incident
Lotyšský bezpečnostní specialista Andris Atteka objevil nepříjemnou chybu v prohlížeči Chrome. Stačí navštívit speciální krátkou adresu http://a/%%30%30 a celý Chrome se zhroutí.

630911540

Chrome spadne

Jak píše na svém blogu, chyba připomíná starší a podobnou nepříjemnost ve Skypu, který se hroutil poté, co jste odeslali speciální textovou zprávu. Chyba v Chromu je už každopádně nahlášená, a tak nejspíše nebude mít dlouhého trvání.

Zdá se ale, že adresu musíte zadat do adresního řádku ručně. Pokud z řetězce uděláte klasický odkaz, prohlížeč jej validuje a zobrazí jen hlášení o neexistující stránce. V jiném případě zase zobrazila chybové hlášení už samotná stránka, na které byl odkaz na tuto chybovou adresu, Chrome totiž odkaz automaticky auditoval a zjistil problém.

Symantec vydal falešný certifikát pro Google.com i www.google.com

21.9.2015 Incident

Interní testování prý může za zásadní bezpečnostní nedostatek: vydání vertifikátů pro doménu, aniž by o to vlastník žádal.
Symantec, respektive jím vlastněná certifikační autorita Thawte, vydal 14. září EV pre-certifikáty pro domény google.com i www.google.com, aniž by o to vlastník, tedy Google, žádal nebo k tomu dal svolení. Googlu se to podařilo zjistit velmi rychle prostřednictvím logů z Certificate Transparency, které od ledna podporuje Chrome.

Symantec posléze vysvětlil, že k chybnému vydání dvojice certifikátů došlo omylem, při interním testování. V platnosti vydržely zhruba jeden den, nyní jsou jejich veřejné klíče revokované v Chrome.

Jenže, jak vcelku trefně říkají Hacker News v komentáři „Symantec issues lame apology, fires wrong people in cert screwup“, výmluva Symantecu je skutečně podivná a poznámka o vyhození nesprávných lidí je také možná na místě.

Omluvu Symantecu najdete v A Tough Day as Leaders a mimo PR zdůrazňování toho, že jsou lídři na trhu, tam najdete nekonkrétní informaci o třech doménách a o tom, že nad tím „měli neustále kontrolu“ a „certifikáty revokovali okamžitě, jak na chybu přišli“. Nic víc, než nic neříkající PR řeči, které navíc neodpovídají skutečnosti, protože pokud se tyto certifikáty dostaly na veřejnost, tak je to prostě jenom klasický PR výmysl.

Firma také píše, že zaměstnanci, kteří „úspěšně prošli nástupními a bezpečnostními školeními“ selhali v otázce dodržování pravidel (a prý za to byli vyhozeni). Což naznačuje to, že Thawte (Symantec) se ve vydávání certifikátů spoléhá čistě na lidi a na to, jestli správně chápou, co dělají. A také to, že nemá žádné dodatečné ochrany, které by zajistily nevydání certifikátů pro kritické domény/služby.

V komentářích pod A Tough Day as Leaders je poměrně logicky napsáno, že místo vyhození nějakého toho nešťastníka, který stiskl klávesu, by bylo na místě vyhodit management, který umožnil, aby existoval systém, který něco takového volně umožňuje. A také to, že řeči o „lídrovi“ nic neřeší, zejména ne otázku důvěry. Protože tu je potřeba získat zpět tím, že Symantec zveřejní transparentní, nemanipulované a realistické informace o tom, co a v jakém rozsahu se přesně stalo.

Kaspersky měl roky produkovat malware, aby poškozoval konkurenty

25.8.2015 Incidenty

Nakolik lze brát vážně vzájemné obviňování mezi antivirovými firmami a fantastickou zprávu Reuters založenou na anonymních zdrojích?
V Reuters přišli s tvrzením dvou bývalých zaměstnanců Kaspersky Lab, že společnost dlouhé roky vytvářela falešné virové vzorky, které měly sloužit k poškozování konkurence.

To vše na základě reverzního inženýrství toho, jak konkurenční antiviry fungují. V řadě případů navíc mělo dojít k tomu, že konkurenční antiviry pak jako vir označovaly neškodné součásti systémů a poškozenými byli hlavně uživatelé.

Právě přesouvání podstatných systémových souborů do karantény mělo být podle Reuters hlavním cílem tohoto letitého podfuku. Firma měla vytvářet i reálný malware, který přidával kód do důležitých souborů. Sám kód byl sice neškodný, ale s ohledem na závislost řady antivirů na signaturách (v zásadě kontrolních součtech) to vedlo k falešné detekci.

Je otázkou, nakolik můžeme „dva bývalé“ zaměstnance brát vážně, ale trh s antivirovými programy zcela jistě neoplývá vzájemnou úctou a podporou mezi konkurenty, možná i proto, že doba postupně přinutila antivirové firmy ke sdílení vzorků a dalších informací. Agentura Reuters nakonec snad ví, nakolik je zpráva, kterou vypustila do světa, věrohodná. Ale pojďme se na to podívat detailněji.

Eugene Kaspersky osobně

Útoky prý nařizoval sám jeden ze zakladatelů, Eugene Kapersky. Mělo jít v zásadě dokonce o pomstu, konkurenti prý totiž kopírovali jeho antivirový software.

Kaspersky, jak Eugene, tak společnost, jakékoliv takové aktivity popírají. Sám Eugene Kaspersky na to reaguje v THE ABRACADABRA OF ANONYMOUS SOURCES, kde lze rozhodně souhlasit v tom, že zakládat něco takového na dvou čistě anonymních zdrojích, je diskutabilní.

V reakci na tvrzení Reuters Kaspersky uvádí, že je to celé nesmysl, čistý a jednoduchý nesmysl. A také upozorňuje, že bývalí nespokojení zaměstnanci běžně o svých původních zaměstnavatelích říkají spoustu věcí. Také říká, že jejich tvrzení nemají oporu v důkazech.

Má pravdu i v tom, že v době, které se celá záležitost měla zejména týkat (2012 až 2013), se antivirové firmy potýkaly s masivním výskytem falešných detekcí, včetně toho, že mezi firmy postižené tímto nedostatkem patřila i Kaspersky Lab. Nejzajímavější ale je, že Eugene Kaspersky tvrdí, že za to mohl koordinovaný útok na samotný antivirový průmysl.

V zásadě tedy potvrzuje, že se dělo to, co „anonymní zdroje“ popisují, ale dodává k tomu, že cílem útoků byly všechny antivirové firmy, včetně Kaspersky Lab. Kdo byl útočníkem, se bohužel nedozvíme.

Na útoku bylo zajímavé to, že probíhal podvrhováním mírně pozměněných souborů některých populárních aplikací (Steam, klient pro herní centrum Mail.ru či klienta pro QQ), a protože útočníci nejspíš dobře věděli, jak antivirové firmy zpracovávají došlé vzorky, vedlo to k zahrnutí těchto vzorků do databáze. Což následně vedlo k detekci virů tam, kde žádné nebyly.

Důvěryhodná agentura

Ale zpět ke zprávě Reuters. Cílem onoho teoretického útoku od Kaspersky Lab měli být konkurenti jako Microsoft, AVG, Avast i další. Což samozřejmě, pokud milujete svět plný konspirací, zní skvěle. V realitě to je ale dost sebevražedná taktika. Kdyby se na to přišlo, mělo by to pro Kaspersky Lab zničující následky.

Znamenalo by to navíc poškozování antivirového trhu jako takového. Zákazník, běžný uživatel, neřeší, který z antivirů je ten pravý, a pokud má řada antivirových programů problémy s detekcí virů, tak je všechny hodí do jednoho pytle.

Kaspersky Lab ale tak trochu přispěl k tomu, že se na příběh od Reuters dá pohlížet jako na pravděpodobný. Někdy v roce 2010 totiž záměrně poslali do VirusTotal deset zcela neškodných souborů s tím, že jsou škodlivé. A protože informace z VirusTotal jsou sdílené a přebírané dalšími antivirovými společnostmi, došlo během půldruhého týdne k tomu, že dalších čtrnáct antivirových firem všechny tyto soubory přebraly jako škodlivé. Bez ověření.

Uvážíme-li, že podle Reuters se mělo produkování falešných virů a manipulace s neškodnými soubory odehrávat celých deset let, je to další argument k tomu, aby se celá záležitost dala označit jako klasická situace, kdy novináři někomu naletěli.

Nástroje Hacking Teamu začali hojně využívat hackeři - i pro slídění hotelové Wi-Fi

11.8.2015 Incidenty
Kybernetická špionážní kampaň Darkhotel a řada skupin útočících pomocí slabin v Adobe Flash Playeru a OS Windows využívá nástroje od společnosti Hacking Team. Ta poskytuje „legální spyware“ řadě vlád a státních policejních složek.

Zneužití špionážních programů Hacking Teamu následovalo po úniku souborů firmy, které se dostaly na veřejnost na začátku léta.

Analytici Kaspersky Lab objevili elitní špionážní jednotku Darkhotel v roce 2014. Skupina infiltrovala Wi-Fi sítě v luxusních hotelech, aby mohla sledovat vybrané vysoce postavené manažery. Od července k tomu využívala zero-day zranitelnost ze sbírky Hacking Teamu, hned po jejím zveřejnění 5. 7. 2014.

Vzhledem k tomu, že Darkhotel nefiguroval mezi zákazníky Hacking Teamu, zdá se, že soubory zneužil až po jejich úniku na veřejnost.

Není to přitom jediná zero-day zranitelnost využívaná skupinou Darkhotel. Podle odhadů v posledních letech probrali několik zero-day zranitelností Adobe Flash Playeru a pravděpodobně do tohoto arzenálu investovali velké finanční prostředky.

V roce 2015 Darkhotel rozšířil působnost po celém světě a pomocí spearphishingu zacílil na Severní a Jižní Koreu, Rusko, Japonsko, Bangladéš, Thajsko, Indii, Mosambik a Německo.

Při útocích v roce 2014 a dříve skupina zneužila podpisové certifikáty a zapojila neobvyklé metody, jako bylo nabourání se do hotelových Wi-Fi sítí. V roce 2015 je využívali dále, ale analytici odhalili mimo jiné i nové varianty spustitelných souborů, využití sociálního inženýrství a zapojení zero-day zranitelnosti od Hacking Teamu.

Od loňského roku skupina pracovala na vylepšení obranných technik, například na rozšíření technologie proti odhalení. Verze Darkhotel downloaderu pro rok 2015 je navržena tak, aby identifikovala antivirová řešení od 27 výrobců s cílem je obejít.

Hacking Team dokázal měnit běžné aplikace na iOSu za šmírovací

7.8.2015 Incidenty

Hacking Team měl pozměněné mobilní aplikace Facebooku, WhatsAppu, Viberu, Telegramu, Skypu i Googlu Chrome na iOSu. Poměrně snadno to šlo až do S pomocí knihoven vsouvaných do jinak normálně vypadajících a chovajících se aplikací mohli hackeři z telefonu získávat informace a data – nahrávat hovory, sledovat posílané zprávy, získat historii webu, sledovat telefonáty, SMS/iMessage, zaznamenávat polohu, stáhnout kontakty či získat fotky.

Zajímavé na pozměněných aplikacích je to, že dostat do telefonu je bylo možné vydáváním se za zcela jinou aplikaci, kterou tam uživatel telefonu dobrovolně vpustil a následně došlo k záměně původní aplikace za tuto pozměněnou – útok tohoto druhu byl opraven v iOSu ve verzi 8.1.3. Což sice znemožní tento druh útoku, ale vpašovat do mobilu náhradu jakékoliv aplikace je stále možné a není ani potřeba jailbreak – stále je jediné nutné, aby uživatel klikl na instalační odkaz v poště.

Výhoda vydávání se za Facebook (či jakoukoliv jinou aplikaci) je zřejmá, uživatel takovéto aplikace zcela určitědovolí přístup k fotografiím, mikrofonu, kontaktům a dalším informacím. Útočníci tak mohli snadno překonat zábrany, které iOS klade do cesty škodlivým aplikacím.

Podle iOS Masque Attack Weaponized: A Real World Look měl Hacking Team připravených celkem jedenáct takovýchto pozměněných aplikací. Vedle výše jmenovaných jde ještě zejména o WeChat, BlackBerry Messenger, VK, Twitter či Facebook Messenger.

Hacking Team navíc v aplikacích pečlivě hlídal, aby aplikace byla aktivní pouze na telefonu s předem určeným IMEI. Jak ale FireExe upozorňují, toto omezení bylo možné vypnout a aplikace tak bylo možné použít a aktivovat kdykoliv a na kohokoliv.

Jaké exploity objednala česká policie? Maily Hacking Teamu jsou na WikiLeaks

5.8.2015 Incidenty

Na Wikileaks.org jsou kompletní e-maily z úniku po hacku Hacking Teamu. Zásadním problémem pro Česko je, že prozrazují příliš mnoho o aktivitách Policie.
Pokud si chcete prostudovat komunikaci mezi Hacking Teamem a společností Bull, včetně řady zábavných požadavků na vytvoření exploitů (namátkou žádost o exploity na stránky Komerční banky, Seznam.cz, Otomoto.cz, Parlamentních listů, atd.), stačí jít na search.wikileaks.org/advanced, zaškrtnout pouze „Hacking Team“ v omezení hledání, a pak už jenom zkoušet a zkoušet. Případně hledat přímo pomocí wikileaks.org/hackingteam/emails/.

Pozor, je to hodně dlouhé čtení, které vám vystačí na hodně dlouhou dobu. Dozvíte se v něm řadu věcí, včetně toho, že české „vysoké školy“ vyvíjejí exploity a byl zájem je zahrnout do řešení od HT. Desítky e-mailů probírají cenu, dodací podmínky, školení „zákazníka“ v tom, jak konkrétně hackovat, jak do stránek vsouvat útočné kódy nebo jak uživateli zablokovat přehrávání YouTube, aby si stáhl falešný Flash.

The attachment contains TXT file with the infecting URL.

Don't put this link on public websites or social networks (Facebook, Twitter), it is unsafe for you and it could be triggered by automatic bots. For delivering it, to a real target, we suggest you to create an html e-mail with an hyperlink to this URL, because otherwise it might look malicious: in the attachment you will also find a sample html code you can use to insert the link and mask it in a html email. For sending html mail via web-mail (eg: gmail) please refer to the message previously posted.

If html sending is not possible (eg: via Skype chat), we suggest to use tinyurl (tinyurl.com) to mask the real URL. The exploit will be available only for a limited period of time.

Požadavky na exploity, tedy na vytvoření specifického řešení, které v uniklých mailech najdete, se týkají vytváření útočného kódu pro specifické weby, prohlížeče, ale také pro Microsoft Word či Power Point.

Bez zacházení do detailů je dost zřejmé, že pokud si tuto komunikaci mezi Policií ČR a „servisním“ portálem Hacking Teamu přečtou například obhájci lidí, kterých se „hackování“ a sledování týkalo, budou mít informace, které mohou celý výsledek vyšetřování ohrozit. Mimo požadavků najdete v e-mailech i odpovědi, včetně připravených exploitů, informací o tom, jak je nasadit a čeho se vyvarovat.

Je hodně zvláštní, že komunikace obsahující velmi citlivé a konkrétní informace týkající se kriminálního vyšetřování probíhala v nezabezpečené podobě. Celé to navíc vyvolává řadu dalších otázek. K umístění některých exploitů musela mít policie spolupracující subjekt – řekněme, že pokud by chtěla umístit exploit přímo na webové stránky nějakého média, bylo by to bez spolupráce dost nepravděpodobné. Byť samozřejmě můžete uvažovat nad tím, že by mohlo dojít nejprve k hacknutí média, a až poté k umístění exploitu.

Je tu samozřejmě také varianta, že policie má přístup přímo k internetové komunikaci (ale nemá přístup ke koncovému zařízení sledované a vyšetřované osoby) a někde „cestou“ dokáže podvrhovat obsah. Což je ale nakonec stejně alarmující věc, jako ta předchozí.

Je také milé vidět, jak aktivní jsou české univerzity či vysoké školy, když jde o otázku hackingu. Ale tady se opět nabízí otázka, jak asi bude těm, kteří chtěli obchodovat s Hacking Teamem, když si uvědomí, že jejich práce mohla dobře sloužit represivním režimům ke stíhání disidentů, potlačování občanských svobod a řadě dalších věcí, které jsou s naším pojetím světa dost neslučitelné.

Bude zajímavé sledovat, kolik z řešených případů, které se objevují rozpoznatelné v e-mailech uniklých z Hacking Teamu, bude tímto únikem zmařeno. A zda za toto fatální selhání bude někdo zodpovědný.

Máte v počítači malware HackingTeamu? Tenhle nástroj to zjistí

4.8.2015 Incidenty

Ani dnes neopomeneme únik dat společnosti HackingTeam. Výzkumníci ze společnosti Rook Security totiž vytvořili nástroj pojmenovaný Milano, který slouží k detekci malwaru HackingTeamu na cílovém zařízení. Na tom může běžet jak operační systém Windows, tak OS X nebo nějaký z unixových operačních systémů. Malware je možné hledat ve dvou odlišných módech - rychlý scan a podrobný scan. Na rozdíl od rychlého scanu, který trvá několik sekund, podrobný scan může v závislosti na systému trvat i hodinu.

Nástroj aktuálně hledá více než 300 souborů a toto číslo se bude zvyšovat s postupující prací na analýze dat HackingTeamu. A právě ve způsobu hledání těchto souborů se liší typy scanování. Rychlý scan hledá podle názvů souborů a v případě shody porovná hashe souborů, kdežto podrobné hledání porovnává hashe všech souborů v systému proti hashům souborů HackingTeamu.

Kritickou zranitelnost ve Windows zneužívali hackeři

26.7.2015 Incidenty
V operačním systému Windows byla odhalena kritická bezpečnostní chyba. Zranitelnost, kterou se již podařilo počítačovým pirátům zneužít, je naštěstí možné snadno opravit. Společnost Microsoft totiž tento týden vydala opravnou aktualizaci.
Kritická zranitelnost ve Windows byla odhalena poté, co na internet unikla databáze italské bezpečnostní společnosti Hacking Team. Před chybou varoval Národní bezpečnostní tým CSIRT.CZ.

„Microsoft vydal záplatu pro zranitelnost, která byla nalezena ve velkém souboru dat, který byl zveřejněn po průniku do italské společnosti Hacking Team. Microsoft označil zranitelnost jako kritickou, protože se týká přímo Kernelu (jádra systému, pozn. red.),“ uvedl Pavel Bašta, bezpečnostní analytik CSIRT.CZ, který je provozován sdružením CZ.NIC.

Podle něj se zranitelnost týká různých verzí Windows – Vista, 7, 8 či Server 2008. „Je vysoce pravděpodobné, že se nachází také na již nepodporovaných verzích, jako je např. Windows XP či v připravovaném releasu Windows 10,“ konstatoval Bašta.

Chybu mohou počítačoví piráti zneužít k propašování libovolného škodlivého kódu do cizích počítačů. Zamezit jim v tom má právě uvolněná aktualizace. Stahovat ji je možné prostřednictvím služby Windows Update.

Špionážní software = miliónový byznys
Kauza okolo uniklé databáze Hacking Teamu ukazuje, jak tenká je hranice mezi počítačovými bezpečnostními experty a plnokrevnými hackery. I když by se mohlo na první pohled zdát, že zmiňovaná italská společnost má blíže k tomu druhému, ve skutečnosti zaměstnanci Hacking Teamu pracovali na obou stranách barikády. Milióny si tak nechali vyplácet dvakrát.

Z uniklé databáze, která obsahuje stovky gigabajtů dat a která koluje od minulého týdne internetem, totiž vyplývá, že nezanedbatelnou část příjmů společnosti Hacking Team tvoří ty z auditorské činnosti. Kromě vývoje šmírovacích programů, které zneužívaly podobných chyb, jako byla ta ve Flash Playeru, totiž italský podnik hodnotil a prověřoval zabezpečení webových stránek i interních systémů firem prakticky ze všech koutů světa.

Detailní plány zabezpečení tak dostali tito bezpečnostní experti naservírované doslova na dlani. Se všemi těmito znalostmi pak pro ně bylo velmi snadné vytvářet tzv. exploity, tedy speciální programy umožňující získat přístup na nejrůznější weby či služby za účelem napadení zmiňovaných subjektů.

Zlepšete své reakce na incidenty (1)

19.7.2015 Incidenty
Reakce na incidenty (Incident Response, IR) se často propaguje jako aktivní ochrana na své vlastní vrstvě, v celkovém obrazu by ji ale bylo možné stejně tak nazývat obnovou po havárii nebo plánováním nepřetržitého provozu.

Pokud zjistíte bezpečnostní incident, je jedno, zda právě probíhá nebo už prošel vaším IT před delší dobou, musí se vykonat několik kroků, které zajistí, že se vaše organizace zotavila z následků a že se daná situace už nebude opakovat. Předtím však musí existovat plán reakce.

Reakce na incidenty je něco, co se vyvíjí a také se v průběhu času v organizaci mění. Incidenty mohou být technické a fyzické. Přestože se nemůžete připravit na všechno, je moudré se alespoň přichystat na nejpravděpodobnější hrozby, kterým bude vaše organizace čelit.

„Firmám došlo, že ať budou investovat do obranných strategií jakkoliv vysokou částku, v určitém okamžiku stejně dojde k selhání. Prokazuje se to neustále. Dokonce i nejlepší systémy selžou, protože čím déle existují, tím více útočníků bude hledat způsoby, jak je obejít,“ tvrdí Ken Silva, prezident kybernetických strategií ve společnosti ManTech Cyber ​​Solutions.

„Vynakládají veškerý svůj čas, školení, vzdělávání a finanční prostředky na faktor obrany a dokonce i vnitřní ochrany, ale nedaly ani halíř na účely reakce na incidenty.

Ta přitom bývá ve většině případů záležitostí ad hoc, která vzniká podle potřeby a je podobná hasičskému sboru tvořenému dobrovolníky. Jediným rozdílem je, že dobrovolní hasiči jsou řádně vyškolení a používají správné postupy a mají vhodné nástroje.“

Vytváření plánu IR a zajištění, aby odpovídal cílům a potřebám organizace stejně jako existujícím zásadám a dodržování předpisů, může být velmi náročné. Kromě toho bude tento proces vyžadovat, aby spolu komunikovaly všechny části společnosti, což může být samo o sobě velký úkol. Jak to charakterizoval jeden bezpečnostní pracovník na nedávné konferenci Black Hat – „je to podobné jako hlídat kočky“.

Přinejmenším se musí zapojit právní oddělení, aby se zajistilo dodržování předpisů, dále vedení společnosti (tedy všichni vyšší manažeři), aby se každý z nich mohl potřebným způsobem vyjádřit, a samozřejmě i IT oddělení, které musí zajistit udržování a pravidelnou aktualizaci plánu.

Eric Fiterman, výkonný ředitel společnosti Spotkick, která nabízí platformu SaaS pro analýzy zabezpečení, tvrdí, že reakce na incidenty bude často záviset na velikosti samotné organizace. Jeho stanovisko je, že žádné dva plány nejsou stejné.

„Některé podniky a organizace jsou dostatečně velké, aby mohly trávit čas vyšetřováním, ale existuje také mnoho IT oddělení, pro které to není hlavním zájmem. Nejdůležitějším problémem je tedy zajistit spolehlivost a obnovení systémů, co nejrychleji je to možné,“ uvedl Fiterman.

Zásadní podle něj je, aby organizace pochopily, že incidenty nastanou. „Určitě se najdou určité typy škodlivých aktivit, které budou mít dopad na to, co děláte, takže by organizace měly mít plán, jak zvládnout různé okolnosti, jež mohou nastat.“
 

Podle expertů existuje několik častých problémů, pokud jde o reakce na incidenty, a jestliže se plány nevytvoří a neotestují před jejich výskytem, pak se ony potíže projevují v nejhorší možné době, tj. při skutečném incidentu.

„IT oddělením pomáhá, že svou infrastrukturu znají. Vědí, kde je hodnota dat, a znají své vstupní a výstupní body. Je to jejich síť a vědí, jak funguje. Chybují ale v tom, že nevyužívají pracovní znalosti o své síti k pochopení toho, jak incident vzniká,“ vysvětluje Chris Pogue, ředitel služeb Trustwave SpiderLabs.

Útočníci podle něj mají své cíle a nebývá to jen zábava a hraní. Mají v úmyslu něco ukrást. Chtějí to získat a zpeněžit. Pokud by oddělení IT kombinovala své znalosti se schopnostmi reakce na incidenty, dosahovala by mnohem lepších výsledků, protože znají cíle i vstupní a výstupní body.

Jedním z často se opakujících problémů reakce na incidenty je, že organizace málokdy chápou ty, kdo na ně útočí, co tito útočníci hledají a také způsoby, jak se to snaží získat.

Je tedy důležité vědět, co je cenné pro útočníka a kde se to ve vaší síti nachází. Jak již zmiňoval Pogue, znalost všech cest a přístupových bodů ke kritickým datům je nezbytná, abyste, když se něco stane, mohli přesně označit incident a odpovídajícím způsobem se s ním vypořádat.

Zásadní však je použít tento způsob myšlení i pro jiné incidenty, než jsou zranitelnosti a malware, protože třeba jsou i plány a postupy pro případy, že například dojde ke ztrátě či krádeži notebooku, k nežádoucímu vyzrazení údajů nebo se vyskytnou zlomyslní zaměstnanci, kteří zneužijí svůj přístup.

Dále by měly existovat plány pokrývající incidenty, kdy někdo zvenčí zneužije přístup nějakého pracovníka, což je případ mnoha trvalých útoků, které se často stávají v kratších úsecích a málokdy všechny najednou.

Příště se podíváme na provoz v síti a seznámíme se s osvědčenými motodami pro reakci na incidenty.

Zlepšete své reakce na incidenty (2)

19.7.2015 Incidenty
Reakce na incidenty (Incident Response, IR) se často propaguje jako aktivní ochrana na své vlastní vrstvě, v celkovém obrazu by ji ale bylo možné stejně tak nazývat obnovou po havárii nebo plánováním nepřetržitého provozu.

Minule jsme se podívali na podstatu reakce na incidenty, dnes se podíváme na praxi spojenou s firemními sítěmi.

Další oblast zájmu se soustředí na provoz v síti. Organizace musí monitorovat příchozí i odchozí provoz. Ve většině případů se pozornost věnuje hlavně příchozímu provozu, ale pokud se útočníkovi podaří toto sledování obejít, už nikdo nesleduje, co odchází.

Monitoring odchozích přenosů může pomoci odchytit unikající data. Je to rozdíl mezi způsobem řešení incidentů již dnes nebo až za rok, když vám nějaká další strana oznámí, že už jste napadeni nějakou dobu a stále vám unikají data.

Někteří lidé zdůrazňují, že při incidentu je potřebné mít jednu kontaktní osobu, která bude koordinovat úkoly a zajišťovat, aby každý, kdo se potřebuje události účastnit, měl potřebné informace.

Pokud incident vyžaduje nutnost oznámit jej, potom musí existovat jasně definované zprávy zákazníkům a partnerům (nebo široké veřejnosti), a i tehdy by měl za společnost mluvit jen tiskový mluvčí (často interní zaměstnanec pro vztahy s veřejností nebo agentura) a nikdo jiný.

Kontaktní osoba, zpráva a delegování úkolů se budou měnit v závislosti na incidentu, takže by organizace měly mít pro takové případy několik možností.

Protokolování je proces, který mnoho bezpečnostních pracovníků považuje za nezbytný. Když si přečtete různé zprávy o narušení, často se v nich poukazuje, že důkazy o útoku byly v protokolech snadno dostupné, ale nikdo jim nevěnoval pozornost. Ještě horší je, že v některých případech organizace ani netušily, že takové logy mají k dispozici.

Nejdůležitější jsou protokoly syslog, ale významné jsou i výstupy systémů IPS a IDS stejně jako protokoly ze všech nasazených firewallů. Řeknou vám, odkud útočníci přišli, co udělali a v některých případech také jak to udělali. Sice nejsou dokonalé, ale jsou velmi použitelným nástrojem.

Kromě nich je potřebné využít také další protokoly, které jsou neméně důležité, tedy například protokoly z proxy, VPN, DNS a směrovačů. Stručně řečeno – měly by se monitorovat a kontrolovat protokoly ze všech zařízení, služeb a aplikací v síti (včetně Active Directory).

Ve stejný okamžik však mohou být logy i noční můrou, protože organizace musí během incidentu rychle oddělit užitečné informace od nedůležitého zbytku. Existuje pár nástrojů, a to jak komerčních, tak i open source, které s tímto procesem mohou pomoci, ale ne každá firma je potřebuje.

Někdy je společnost tak malá, že jí stačí ruční filtrování a kontrola. V opačném případě by mělo být protokolování a reportování předmětem interní diskuze, a jsou-li potřebné nástroje, měly by se prověřit a koupit.

Například HBGary, dceřiná firma společnosti Mantech, vydala nástroj pro reakce na incidenty, vycházející z řešení firmy Vantos, již koupila. Platforma Vantos umožňuje organizacím připojit datové toky z oblastí e-commerce, turistických středisek, zábavních center apod. a vše zpřístupnit pomocí jednoduchého zobrazení, které lze sdílet s dalšími, kdo potřebují takové informace, ale vůbec nerozumějí technické stránce reakce na incidenty.

Většina dotázaných účastníků nedávné konference Black Hat zmiňovala institut SANS, kde je k dispozici užitečný dokument, jak pomocí nástrojů open source vytvořit sadu nástrojů pro reakci na incidenty a systém SIEM.

Přestože tento dokument nemusí být pro každého, určitě stojí za přečtení. Kromě tohoto jednoho dokumentu nabízí SANS i řadu informací o reakci na incidenty, které pokrývají problémy počínaje hrozbami nultého dne, sociální média a konče indikátory kompromitací a cloudovými incidenty.

Podle expertů jsou vhodné i profesionální skupiny, např. NAISG, jež jsou užitečné pro seznámení se s tím, co v oblasti reakce na incidenty existuje za nástroje a co se naopak neosvědčilo.

Osvědčené metody pro reakci na incidenty

Seznamte se s daty, která jsou cílem: Znamená to znalost všech typů dat v síti, kde se v síti ukládají a stanovení priorit jejich hodnoty. Potom zmapujte všechny způsoby, jakými lze k těmto datům přistupovat, a to jak interně, tak i externě. Naplánujte ochranu těchto dat při ukládání i při přenosech a kontrolujte i monitorujte veškeré přístupy k nim.
Zdokumentujte plány pro různé scénáře: Ne každý incident se bude týkat napadení hackery. Organizace by měly připravit plány pro útoky zvenčí, ale také pro incidenty způsobené ztrátou nebo krádeží vybavení, nehodami a útočníky z řad personálu (včetně případů, kdy vnější osoba zneužije přístup někoho ze zaměstnanců.)
Vytvořte provozní základnu: Provozní základna je určitý druh velitelského centra. Usnadní to situaci organizace a často to neznamená více než vyhrazení jedné konferenční místnosti nebo největší kanceláře v budově. V případě nutnosti to může být nějaký méně významný prostor, ale je důležité jej stanovit.
Jmenujte jedinou kontaktní osobu: Zajistěte, aby tato kontaktní osoba byla jediným, na koho se budou všichni obracet při práci na incidentu, a postarejte se o ty, kdo budou potřebovat pravidelné aktualizace a informace. Je také dobré ověřit, zda existuje možnost rychlého využití služeb agentury pro vztahy s veřejností, pro případ, že by to bylo třeba. Pokud jsou takové služby nutné, mělo by to být od tohoto okamžiku jediným hlasem komunikujícím za firmu vůči veřejnosti, co se týče libovolného incidentu. Pověřte právní oddělení řešením otázek dodržování předpisů.
Vykonávejte aktualizaci a údržbu:Zajistěte, aby se plány reakce na incidenty aktualizovaly pravidelně a aby se tyto informace udržovaly aktuální. Pokud se do sítě přidává nové zařízení nebo se přijímají další zaměstnanci, zajistěte, aby plány odrážely všechny příslušné změny. To by se mělo dělat minimálně jednou ročně.
A konečně, bez ohledu na to, jak dobrý plán je, nikdy nepřežije svůj první skutečný test: Zajistěte, aby někdo po incidentu vytvořil zprávu a abyste se poučili ze všech omylů, problémů a selhání. Plány a zásady přizpůsobujte podle potřeby.

Hackeři při útoku na OPM ukradli citlivé informace o více než dvaceti milionech Američanů

15.7.2015 Incidenty
Americká vládní agentura Office of Personnel Management (OPM), která se mimo jiné zabývá správou citlivých osobních údajů federálních zaměstnanců, oznámila, že hackeři při nedávném útoku na její systémy ukradli informace o více než dvaceti milionech lidí.

Vyšetřovatelé uvedli, že hackeři „s velkou pravděpodobností“ při nedávném útoku ukradli citlivé údaje 21,5 milionů Američanů. Útočníci získali informace o lidech, kteří si požádali u OPM o bezpečnostní prověrku včetně údajů o jejich známých - partnerech či přátelích, kteří byli při udělování prověrek taktéž prověřováni. Jak uvedlo OPM, útočníci tak získali data o téměř každém, kdo si u něj od roku 2000 zažádal o bezpečnostní prověrku. Hackeři se mimo jiné také dostali k 1,1 milionům otisků prstů.

OPM se stará o velkou většinu bezpečnostních prověrek pracovníků americké vlády, ale i potenciálních zaměstnanců a subdodavatelů, kteří s tamní vládou spolupracují. Při udělování prověrek musejí lidé poskytnout například podrobné informace o své finanční situaci či historii užívání drog.

Nechybí ani výpis z trestního rejstříku, informace o minulých zaměstnavatelích a další citlivá data. Některé záznamy navíc obsahovaly již zmíněné otisky prstů. Jak však uvedlo OPM, z provedeného vyšetřování vyplývá, že ty nejcitlivější údaje o finanční situaci pracovníků či jejich zdravotním stavu nebyly ukradeny.

„Nenalezli jsme žádný důkaz o tom, že by při útoku hackerů byly postiženy systémy, na nichž jsou uloženy informace týkající se zdraví, financí či penzijních plánů federálních zaměstnanců,“ uvedlo OPM s tím, že v současné době probíhá „upgrade“ jeho bezpečnostních systémů.

Informace o krádeži údajů více než dvaceti milionů federálních zaměstnancích přicházejí jen několik měsíců poté, co OPM oznámilo jiný průnik do svých systémů, v rámci kterého byla ukradena data o 4,2 milionech současných i bývalých federálních zaměstnancích. Někteří američtí zákonodárci začali po zveřejnění tohoto útoku volat po tom, aby byly citlivé údaje začaly být ukládány na serverech Ministerstva obrany.

LastPass pod útokem. Změňte hlavní heslo

16.6.2015 Incident

Používáte na ukládání hesel službu LastPass? V tom případě co nejdříve změňte své hlavní heslo, LastPass totiž na sklonku minulého týdne napadli hackeři a prolomili se do jeho databáze.

Ačkoliv k průniku došlo již v pátek, služba se na svém blogu s aférou pochlubila až nyní. Podle šetření se sice útočníkům nepodařilo získat samotná uložená hesla – ta byla dobře zabezpečená, ale získali přístup ke kontaktním údajům (e-mail aj.) a hashům hlavních přístupových hesel. Právě proto je třeba změnit primární heslo, aby se k němu reverzní analýzou útočníci přeci jen nedostali.

654937378
Útok nejspíše otřese důvěryhodností podobných služeb a nejeden uživatel se začne právem ptát, jestli není přeci jen lepší jako trezor na hesla používat vlastní paměť.

LastPass patří k nejpopulárnějším trezorům pro hesla. Služba spravuje a generuje hesla do vašich webových služeb, čili si je nemusíte pamatovat a zároveň můžete na každé používat jinou variantu, čímž se zvyšuje celková bezpečnost. Toto bezpečnostní schéma však funguje pouze v případě, pokud je naprosto bezpečný samotný trezor.

Kaspersky lab napadli hackeři, kompromitovali firemní systémy

15.6.2015 Incidenty

Až tři doposud neznámé techniky byly použity k úspěšné kompromitaci počítačových systémů Kaspersky Lab. Na světě je Duqu 2.0.
Možná to staré rčení znáte, možná jste ho slyšeli v jedné takřka legendární scifi. „Shit happens“ totiž platí takřka univerzálně, v tomto případě se to špatné stalo Kaspersky Lab. Útok hackerů na počítačové systémy byl úspěšný a došlo ke kompromitaci.

Kaspersky Lab uvádějí, že útok byl komplexní, skrytý a využíval několik 0day zranitelností. Navíc za ním údajně stojí nejmenovaná vláda. Po zjištění a zmapování útok získal i jméno – Duqu 2.0, tedy druhá generace známého Duqu, který ale do světa vyrazil už někdy v roce 2011. A u kterého se předpokládalo, že jej původní tvůrci opustili a v pozdějších letech se vrátil pouze v rukou některých dalších útočníků.

Útok na počítače v Kaspersky Lab využíval 0day zranitelnost v jádře Windows (CVE-2015–2360) a velmi pravděpodobně až další dvě doposud neopravené zranitelnosti, které fungovaly jako 0day v době útoku. Cílem útoku mělo být proniknutí do systémů Kasperky Lab a špionáž – technologická, ale i co se výzkumů a interních procesů týče. Případné detaily je možné najít v The Duqu 2.0 – Technical Details (PDF).

Mimo pevné disky

Útok začal zacílením na zaměstnance v jedné z menších kanceláří společnosti, pravděpodobně s pomocí e-mailu. Po úspěšném napadení počítače následovalo klasické zkoumání prostředí – opět s využitím 0day (CVE-2014–6324) – a získáním správcových práv k doméně a následnému infikování dalších počítačů. Tam už je to vcelku jednoduché, protože stačí připravit MSI balíčky a nasadit je na další stroje s pomocí klasického MSIEXEC.EXE. Vlastní instalovaný software už ale zdaleka tak triviální není, používá několik způsobů šifrování a různé techniky znesnadňující objevení.

Výsledkem je napadený počítač, kde je k dispozici vzdálený backdoor o poměrně malé paměťové velikosti, a také kompletní platforma pro špionáž s podstatně většími nároky na paměť. To vše šířené periodicky doménovými řadiči a schopné využít pokročilé možností pluginů, které mohou dodávat další potřebné funkčnosti. Špionážní funkce zahrnují řadu možností – snímání klávesnice, práci se soubory, přístup do databází, záznamy provozu na síti a řadu dalších možností.

Další zajímavostí u Duqu 2.0 je, že malware žije hlavně v paměti počítačů a využívá k tomu prioritně systémů, u kterých je jasné, že fungují dlouhodobě a bez vypínání či restartů. Tyto systémy pak následně infikují další počítače v síti. Neukládat data na disky je jednou z cest, jak se vyhnout možné detekci. Nevýhoda, kterou by přineslo například náhlé vypnutí všech počítačů, je eliminována instalováním ovladačů do malého množství počítačů, které mají přímou internetovou konektivitu. Tyto počítače pak slouží pro tunelování z internetu do vnitřní sítě.

Podstatnou součástí je klasický C&C (Command and Control) mechanismus umožňující vzniklou síť kompromitovaných počítačů řídit – u Duqu je zajímavé, že řídící data jsou přenášeny jako součást jinak neškodných souborů – u verze z roku 2011 šlo o JPEG, v novějších verzích je to navíc ještě GIF.

Útok sice úspěšný, nic víc se nepodařilo

Vraťme se ale zpět k úspěšné kompromitaci počítačů a sítě v Kaspersky Lab. Tu se podařilo odhalit, částečně i prostřednictvím nově vyvíjených bezpečnostních řešení. Jakkoliv se útočníkům podařilo dostat dovnitř, nic dalšího podstatného se jim podle firmy provést nepovedlo – žádné produkty ani služby nebyly kompromitovány.

Zkoumání a vyšetřování stále probíhá, pro Kaspersky Lab může být odhalení útoku a získání technologií k němu použitých nakonec i poměrně užitečnou událostí. Firma dostala do rukou kompletní útočný arzenál a může zlepšit detekční i ochranné mechanismy.

Objevené 0day bylo nahlášeno Microsoftu, ten už je opravil. Odkud útok pocházel, Kaspersky Lab nezveřejní, ale říkají, že v několika zemích předali informace příslušným orgánům, aby bylo možné zahájit tamní šetření.

Společnost Kaspersky byla napadena
10.6.2015 Incidenty

Začátkem tohoto roku zjistila společnost Kaspersky cyber narušení několika svých interních systémů. Po tomto zjištění provedla společnost kaspersky hloubkové vyšetřování. Byla nalezena nová verze škodlivého kódu Duqu. Tento nejlépe vytvoření kód byl vytvořen jednou z nejlepších skupin pro oblast APT hrozeb. Technická analýza duqu odhalila nové kolo útoků s novým a vylepšením kódem. Nejnovější název je Duqu 2.0.

V případě společnost Kaspersky Lab využil Zero-day zranitelností Windows a dalších dvou systémů. Tito systémy nebyly plně zaplátovány. Cílem tohoto útoku bylo špehovat společnost za účelem získání důležitých informací a výzkumech společnosti. Společnost nezjistila další zásahy do systémů nebo procesů. Zprava zde

Hackeři začali využívat pro své ataky TechNet, známý portál Microsoftu

21.5.2015 Incidenty
Čínští hackeři podle nových informací společnosti FireEye začali ke svým kybernetickým útokům zneužívat známý portál TechNet, který vlastní Microsoft.

Skupina hackerů, kterou FireEye přezdívá jako APT (Advanced Persisent Threat) 17, již v minulosti podnikla řadu útoků na počítačové sítě právnických firem, obchodníků se zbraněmi, vládních agentur či technologických firem. Nově skupina APT 17 - někdy také přezdívaná jako DeputyDog – ke svým sofistikovaným útokům používá účty na webovém portálu TechNet.

V rámci nového útoku si hackeři vytvoří účet na TechNetu a následně zanechávají na tomto blogu komentáře, v nichž jsou zakódovány instrukce pro variantu jejich červa BLACKCOFFEE. Pokud na danou stránku vstoupí uživatel, jehož systém je pomocí tohoto škodlivého kódu infikován, červ rozpozná instrukci zakódovanou v komentáři a přesměruje nic netušícího uživatele na doménu ATP17, pomocí níž mohou útočníci jeho systém na dálku ovládat. Zabezpečení TechNetu tedy při této formě útoku nebylo nijak prolomeno.

Většina hackerů využívá při podobných útocích méně známé webové stránky, které mohou snadno upravit, avšak využití známějších webů typu fór TechNetu není také ničím neobvyklým. Podle Bryce Bolanda ze společnosti FireEye totiž hackeři často chtějí, aby infikovaný počítač přistupoval nejprve k doméně, která v očích uživatelů nevypadá podezřele, než jej přesměrují na doménu jinou.
 

Jak dodal Boland, někdy jsou domény, pomocí nichž hackeři ovládají počítače uživatelů, již vloženy do samotného červa, avšak v takových případech mohou bezpečnostní experti nebezpečné stránky snadno identifikovat. Často je tedy příkaz ke kontaktování serverů útočníků na různé webové stránky.

Podle Bolanda útočníci takto v čím dál větší míře zneužívají legitimní domény typu Google Docs či Twitteru, což je pro jejich administrátory velkým problémem.

„ATP17 útočí na naše zákazníky již řadu let,“ dodal Boland s tím, že nejčastějším typem útoku je phishing, při němž jsou zaměstnancům různých firem odesílány e-maily obsahující odkazy na nebezpečné webové stránky či přílohy.

Čínská skupina hackerů již řadu let využívá k infikaci počítačů program BLACKCOFFEE, jenž mimo jiné umí na dálku ze systémů uživatelů mazat nebo na ně nahrávat různé soubory.

Hackeři ukradli z bank včetně českých desítky miliard korun

17.2.2015 Incidenty
Skupina hackerů ukradla během dvou let z finančních institucí v nejméně 25 zemích světa včetně těch v České republice až miliardu dolarů, tvrdí experti Kaspersky Lab.

Kaspersky Lab o skupině hackerů informoval v neděli s tím, že kompletní zprávu vydá dnes. Hackeři údajně používali velmi sofistikovaný systém, když pronikli hluboko do bankovních počítačových sítí a sledovali zaměstnance při jejich každodenních činnostech. V některých případech se útočníci naučili převádět bezhotovostně peníze pouze tím, že sledovali počítače pracovníků přes video.

„Díky tomu, že hackeři věděli, jakým způsobem zaměstnanci pracují, byli schopni realizovat převody, aniž by si jich někdo všimnul,“ uvedl Kaspersky. Skupina, jíž Kaspersky přezdívá jako "Carbanak", od roku 2013 pronikla do systémů v až stovce finančních institucí v téměř třiceti zemích světa. Členové gangu pocházeli především z Ruska, Ukrajiny a Číny.

Napadeny byly finanční instituce v Austrálii, Brazílii, Bulharsku, Kanadě, Číně, České republice, Francii, Německu, Hong-Kongu, Indii, Irsku, Maroku, Nepálu, Norsku, Polsku, Pákistánu, Rumunsku, Rusku, Španělsku, Švýcarsku, Velké Británii, Thajsku, USA, na Ukrajině a Tchaj-wanu. Kaspersky žádnou konkrétní instituci nejmenoval, jelikož Interpol a Europol případ stále vyšetřují.

Každý útok trval dva až čtyři měsíce, přičemž počítače uvnitř bank byly infikovány červy pomocí phishingových útokům, v rámci kterých byl vybraným zaměstnancům zaslán e-mail obsahující škodlivý kód.

Podle zjištění Kaspersky útočníci naráz ukradli až deset milionů dolarů - peníze byly převáděny na účty členů gangu v USA a Číně. Hackeři měli poměrně propracovaný systém, díky kterému nebyli doposud dopadeni.

V řadě případů uměle navyšovali zůstatky na účtech jednotlivých zákazníků a následně z nich peníze vybírali tak, aby bankovní bezpečnostní systémy nic nezaznamenaly. Kromě bezhotovostních převodů hackeři v několika případech ovládli také bankomaty, kterým v určitou denní dobu zaslali povel k vydání všech peněz.

Postupy odcizení peněz:
1) Když přišel čas zpeněžit aktivity, využili podvodníci online bankovnictví nebo mezinárodní online platební systémy k převodu peněz z účtů v bance na jejich vlastní účty. Tyto peníze byly následně vybrány v bankách v Číně nebo Americe. Analytici nevylučují možnost, že k tomu byly využity i banky v jiných zemích.
2) V dalších případech pronikli kybernetičtí zločinci do samotného srdce systémů účtů, pozměnili zůstatky a zbytek peněz převedli podvodnými transakcemi na své účty. Například když bylo na účtu tisíc dolarů, změnili jeho hodnotu na deset tisíc dolarů a devět tisíc si převedli k sobě. Oběť dlouho nic netušila, protože zůstatek byl stále původních tisíc dolarů.
3) Kybernetičtí zločinci také získali kontrolu nad bankomaty a zadali jim, aby vydaly hotovost v určený čas, kdy jeden člen gangu k přístroji přišel a vydané peníze převzal.

Čína začala intenzivně blokovat provoz přes VPN

26.1.2014 Incidenty
Zásadní vliv na kvalitu a bezpečnost připojení zahraničních uživatelů může mít nejnovější opatření Číny - několik zahraničních poskytovatelů VPN (virtual private network) totiž včera oznámilo, že přístup k jejich službám byl v Číně zakázán.

VPN fungují tak, že vytvoří jakýsi šifrovaný kanál mezi počítačem či smartphonem a serverem v zahraničí. Všechna komunikace je odesílaná v rámci tohoto kanálu, tudíž vládní agentury nemohou tak snadno sledovat pohyb uživatelů na internetu.

Například čínští uživatelé VPN používají k přístupu k zahraničním zpravodajským stránkám a zahraniční pracovníci v zemi je často použivají k lepšímu zabezpečení své komunikace.

Společnost StrongVPN, která spravuje síť serverů po celém světě, uvedla, že uživatelé v Číně v tomto týdnu začali zaznamenávat problémy s využíváním jejích služeb. Podle komentářů na blogu společnosti služby VPN v Číně fungují pouze občas.

Čínská vláda podle všeho využívá k zablokování VPN dvě techniky. První z nich zkoumá data v internetových paketech ve snaze zjistit, zda jde o VPN spojení. Druhá následně přeruší trafik určený pro internetové adresy používané VPN servery.
Zaujal vás tento článek? Přehled nejzajímavějších zpráv získáte odebíráním našeho newsletteru »

„Útok na nás a další poskytovatele VPN z tohoto týdne je mnohem sofistifikovanější, než tomu bylo v minulosti,“ uvedl Sunday Yokubaitis ze společnosti Golden Frog.

Problémy jsou podle listu Global Times zapříčiněny tím, že Čína utahuje svůj systém cenzury. Global Times citují nejmenovaného představitele tamní vlády, podle kterého by se Číňané měli na internetu chovat podle pravidel nastaveného systému cenzury „pokud jim záleží na jejich bezpečnosti“.

Čína má přes 600 milionů uživatelů internetu a všichni z nich jsou skryti za tzv. velkým firewallem, neboli systémem cenzury, který zakazuje na domácích webových stránkách určitá témata a filtruje vybrané zahraniční stránky.

Seznam zablokovaných stránek se neustále mění, ale zahrnuje známé portály jako BBC, Twitter, Facebook, Wordpress, Google Maps či Bing. Nedávno bylo zablokováno také připojení ke Gmailu.

tcp / 6379 trolling - Redis NoSQL? Nebo něco jiného?
16.1.2015 Incidenty

DShield senzory hlásí uptick skenování pro TCP / 6379, v současné době většinou pocházející z 61.160.x a 61.240.144.x, které jsou jak ChinaNET / Unicom. tcp / 6379 je výchozí port databáze Redis NoSQL (http://redis.io) a REDIS standardně přijímá spojení z "každý". To je známá již nějakou dobu i když, a je také velmi výrazně uvedeno v dokumentaci REDIS (http://redis.io/topics/security):

REDIS je navržen tak, aby se přístup důvěryhodnými klienty uvnitř důvěryhodné prostředí. To znamená, že obvykle to není dobrý nápad, aby se odkryla instance REDIS přímo na internetu

což nás zajímalo, jestli je služba naskenovaný v tomto případě je opravdu REDIS, nebo něco jiného? Má někdo zachycení paketů příkazů, že skenery snaží vedle, když se zjistí, port otevřít? Pokud ano, podělte se prostřednictvím našeho kontaktního formuláře nebo komentáře níže.

Ředitel FBI věří, Severní Korea byla za Sony hack, stále nabízí žádný důkaz
9.1.2014 Incidenty
Ředitel FBI James Comey vystoupil na mezinárodní konferenci o počítačové bezpečnosti, čtyřdenní akce koordinované FBI na Fordham University School of Law v New Yorku. Když koncem loňského roku FBI poskytla aktualizaci na jejich vyšetřování Sony Pictures Entertainment hack, že prsty na severokorejskou vládu jako iniciátor. Předsednictvo tvrdil, že je "významný přesah mezi infrastrukturou používané v tomto útoku a dalšími škodlivými kybernetického činnost americká vláda již dříve spojené přímo do Severní Koreje," že malware použitý v Útok má podobnosti (řádky kódu, šifrovací algoritmy, metody pro mazání dat, atd), na které dříve vázáno na severokorejských herci, a že nástroje používané v tomto útoku, jsou podobné těm, které používají v kybernetickými útoky proti jihokorejským bank a médií vývody, věřil být provedeny severokorejských hackery. Přesto, oni řekli, že nebudou zveřejňovat skutečné důkazy, protože by to odhalit organizace (a NSA je) vyšetřovací metody, intelligence a zdroje, stejně jako informovat Severní Korea , jeho zranitelných míst Pohledávky nejsou uklidnil bezpečnostní komunitu - mnozí nejsou připraveni uvěřit americkou vládu bez důkazu. Jak dobře-pokládaný počítačové bezpečnosti expert Bruce Schneier nedávno zdůraznil, "americká historie je plná příkladů utajovaných informací, směřující k nám k agresi proti jiným zemím, myslíte, že zbraně hromadného ničení, jen aby později se dozvěděli, že důkaz byl v pořádku." Ve středu, v Mezinárodní konference o kybernetické bezpečnosti konala na Fordham University Law School v New Yorku, ředitel FBI James Comey se pokusil přidat váhu svého slova pro nároky. "Mám velmi vysokou důvěru v tento přičítání, stejně jako celou zpravodajskou komunitu," řekl publiku. Nabídl žádné další důkazy, které by ho podporovat, omezit nové odhalení na tvrzení, že útočníci dostali nedbalé několikrát, a nevyužila proxy servery při připojování na servery Sony, odhalující ní vyplývající jejich skutečné IP adresy - IP adresa přidělené do Severní Koreje. Podle něj se útočníci také navštívili ze stejné IP adresy účet Facebook, jehož prostřednictvím poslali výhružné zprávy společnosti Sony. V komentáři k skepticismu bezpečnostní komunity, on říkal, že nemají všechna fakta. "Nevidí, co vidím já," řekl. Ale to je přesně to bezpečnostní experti bod po celém světě se snaží, aby se, a dále poukázat. "Různé IP adresy byly spojeny s tímto útokem, z hotelu Tchaj-wanu na IP adresy v Japonsku. Každá IP adresa připojení k internetu může být ohrožena a použity útočníky, " komentoval INFOSEC profesionální Brian honan . Všichni ve všech, Comey (a vláda USA) se nenabízí žádné důkazy pro své závěry. Jsou i nadále říkat "Věřte nám ! ", a pokud jsou nadále naříkat nedůvěry v kybernetické bezpečnosti Společenství. Do té doby, Obamova administrativa použila pohledávky jako ospravedlnění pro nové sankce, které uvalených proti severokorejské vlády. Oni také popíral, že nesouvisí s nedávnému výpadku ovlivňující Severní Koreje připojení k internetu.

Uživatelé hlásí Škodlivé reklamy ve Skype
7.1.2014 Incidenty
Někteří uživatelé Skype pozorovali škodlivé reklamy uvnitř svých klientů Skype v posledních dnech, které vedou na stránky, které se snaží stáhnout falešný Adobe nebo Java aktualizace.

Uživatelé ve Společenství fórum Skype v pondělí řekl, že byly vidět bannerové reklamy, která, pokud klikli na, povede k riskantní stránky, které se snaží nainstalovat software, který je skrytou buď jako Adobe či Java aktualizace. To je běžná taktika útočníků pomocí škodlivého reklamy v různých kontextech. Často se bude snažit lákat uživatele ke kliknutí na reklamu nebo odkaz tím, že říká, že je třeba aktualizovat společný kus softwaru, často Adobe Flash, Java nebo QuickTime.

V tomto případě, reklamy se objevují v Skype klientů uživatelů, informuje, že nějaký obsah vyžaduje aktualizaci Adobe. Text reklamy má nějaké překlepy, a není opravdu vypadat jako dialogovém okně, které Flash by uváděly uživatele. Ale pro uživatele, kteří mohou být obeznámeni s pravými aktualizace mechanismy, mohlo by to být účinné. Uživatelé ve Skype fóru řekl, že na odkaz v reklamě se oběti na stránky, které se snaží nainstalovat aplikaci na svých strojích.

"Neklikejte na reklamu !! Bude to trvat vás na webu předstírat, že je Adobe a pokusu o stažení virů do počítače, "člen pomocí názvu DavidR6 uvedl v příspěvku na fórum Skype .

Skype komunita manažer doporučil, aby uživatel spustit Fiddler stopy na provoz z počítače na webu zjistit, co přesně cesta byla.

"Pokud stále vidíte tento problém můžete nám pomoci tím, že tzv" Fiddler stopu ". To zahrnuje stopu webových zdrojů přístupné, pokud je tato reklama otevření stránky. To nám pomůže potvrdit nebo vyloučit, zda Skype reklama je vlastně příčinou chování, které popsal v tomto tématu, "napsal ředitel.

Mnoho velkých webových vlastnosti a aplikace používají pro publikování sítě k zobrazování reklam uživatelům, ale není jasné, zda se Skype používá syndication sítě.

Žádost o komentář zaslána Skype, který je ve vlastnictví společnosti Microsoft, se nevrací.

Morgan Stanley Insider Theft ovlivňuje desetinu Wealth Management klientů
7.1.2014 Incidenty
Finanční služby gigant Morgan Stanley včera oznámil, že tento zaměstnanec ukradl citlivé informace týkající se více než 900 klientů bohatství pro řízení firmy.

Podle tiskové zprávy společnosti, správy majetku zaměstnanec otázku "byl ukončen." Kromě toho, Morgan Stanley tvrdí, že kontaktoval příslušnou vymáhání práva a regulační orgány. Orgánů činných v trestním řízení jsou v současné době vyšetřuje záležitost.

Ukradl data jsou řekl, aby zahrnoval názvy účtů a čísla a telefonní čísla, ale ne hesla, údaje o kreditní kartě nebo číslo sociálního zabezpečení.

Osoba seznámí s záležitost vysvětlil Threatpost, že Morgan Stanley se domnívá, že zaměstnanec pro správu majetku, který ukradl informace s cílem prodat na internetu. Tato osoba také vysvětlil, že zaměstnanec ukradl informace z interních systémů, a že krádež zapojen žádný externí hacking. Samo o sobě, zdroj poznamenat, ukradené informace nemohly být použity ukrást skutečné peníze z některého z postižených zákazníků.

Krádež Insider Morgan Stanley postihlo některé deset procent klientů správy majetku společnosti

Tweet
K tomuto bodu, tam byl žádný důkaz o každého klienta trpí jakoukoliv hospodářskou škodu, Morgan Stanley tvrdil. Firma tvrdí, že je v procesu kontaktování postižené klienty, a to je také o zavedení zesílených bezpečnostních postupů včetně sledování podvodům v impaktovaných účtech.

Klienti wealth management, jsou ty, které slouží k zajištění cenných papírů a řízení cash účet u Morgan Stanley. Asi deset procent z Morgan Stanley klientů správy majetku se podílejí na krádeži.

Two-Factor Snafu otevření dveří do JPMorgan Porušení
29.12.2014 Incidenty

Největší americká bankovní porušení všech dob sestoupil do nejmenších detailů.

New York Times s odvoláním na zdroje blízké na probíhající vyšetřování porušení dat JPMorgan, řekl hackeři našel server, nechráněný by dvoufaktorové autentizace to rozchodit pomocí ukradené uživatelské jméno a heslo. JPMorgan zveřejněny v srpnu, že vyšetřoval "počítačový hacking útok" spolu s FBI a tajné služby.

Dohledu vystavil údaje, které patří do odhadovaných 76000000 spotřebitelských domácností a sedmi miliony podniků a horší pro spodním řádku finanční instituce, úhledně přeskočil závratných 250000000 dolar zabezpečení IT rozpočet JPMorgan.

Rozloha porušení byl popsán v říjnu v Komisi pro cenné papíry (SEC) podání; JPMorgan uvedeno, že hackeři udělali hned uživatel kontaktní informace, včetně jmen, telefonních čísel a e-mailových adres. Čísla účtů, hesla, uživatelská jména, data narození a čísla sociálního zabezpečení byly také ohroženy, ale nebyly ukradeny podle SEC.

Hackeři měli přístup k téměř 100 serverů mezi červnem a srpnem před bezpečnostních týmů odříznutých přístupu útočníků. Tyto hacky byly spojeny s ruským či východoevropských zločineckých gangů.

Dvoufaktorová autentizace doporučuje Federální finanční instituce zkouška Rady (FFIEC), aby se zabránilo podvodům a krádežím dat v případech, kdy jsou hesla ztrátě nebo odcizení. Při ověření pomocí dvou faktorů, se uživatel přihlásí se svým zvoleným uživatelským jménem a heslem, a pak je třeba použít druhý způsob ověřování, jako je software nebo tvrdý projev, nebo PIN poslal do mobilního telefonu nebo pevné linky na dokončení ověřování banky účet.

Zatímco dvě-faktor není stoprocentní, mohlo by to být dost frustrovat hackery ve snaze vyhnout se přistižení ve středu útoku, přejít na měkčí cíli. JPMorgan hackeři zřejmě našel jeden přehlédl serveru udeřit zlato.

Hackeři našli serveru bez ochrany by dvoufaktorové autentizace to rozchodit pomocí ukradené uživatelské jméno a heslo

Tweet
"Inventury všech síťových vstupních bodů a kontrola dvakrát za upgrade je další způsob, jak zajistit, že žádný server nebo aplikace nebo přihlášení nezaostával, pokud jde o provádění kybernetické nástroje," říká zpráva na Duo Security, ověřovací firmy. "Vzhledem k tomu, jaký to má smysl používat bezpečnostní řešení, pokud je to realizovat pouze na část prostředí?"

JPMorgan vloupání také ukazuje, opět, že hackeři se nemusí klesnout zero-day exploity proniknout i dobře finančně podniků.

"Víme, že útočníci pokračovat přístup i když všechny druhy prostředků, včetně phishingu. Víme, že útočníci jsou krádeže a pomocí pověření, zejména správní pověření nebo účty, "řekl Trey Ford, Global Security stratég, Rapid7. "Až do společnosti rozvést přesvědčení, že uživatelé a účty jsou totéž, a začít sledování využití účtu, ostražitě hledal oslabenou použití účtu, tento trend z porušení bude pokračovat."

- See more at: http://threatpost.com/two-factor-snafu-opened-door-to-jpmorgan-breach/110119#sthash.4u0Jn8w5.dpuf

Severní Korea Internet Down
28.12.2014 Incidenty
Jordan a jiní psali asi Severní Korea jsou offline. Arbor má velkou místo s nějakou analýzou ( http://www.arbornetworks.com/asert/2014/12/north-korea-goes-offline/ ). V souladu s článkem, netblock který je targted je 175.45.176.0 - 175.45.179.255. Další podrobnosti na odkaz výše.

Co si myslíte, že bude nejvyšší Cybersecurity příběh od roku 2015?
28.12.2014 Incidenty
Byl jsem požádán o reportér před pár dny, co jsem si myslel, že horní Cybersecurity příběh 2015 bude. 2014 viděl nějaké velké příběhy, Target (a nesčetné množství porušení POS), Heartbleed / Shellshock / kol, Sony ...

Bude to rok lidé konečně brát vážně kybernetické bezpečnosti, nebo zvítězí status quo? Nechte své myšlenky v sekci komentář níže a bude následovat příští týden.

Incident Response na Sony
28.12.2014 Incidenty
Pro ty z vás, kteří si nejsou vědomi; Sony má v současné době vysílání práce pro ředitele Incident Response . Tam, odkud pocházím, které odkazují k tomu, jak "zavření dveří stodoly poté, co kůň dostal ven," Je to třeba někde začít, a koneckonců to zní jako chladné práce pro zkušeného Incident Handler. Dělají zmínit certifikace SANS. Samozřejmě, že ano dát SANS certifikace na stejné úrovni jako CISSP a CISM, ale je to krok.

Moje rada pro nové IR manažer Sony je vrátit a revize a aktualizace, jejich plány reakce na incidenty, protože odezva Sony na tento incident byl fraškovitého v nejlepším případě. Matthew Schwartz na InfoRiskToday zveřejnil příspěvek popisující "Sony 7 Porušení Chyby odpovědí ". Chcete-li zobrazit podrobnosti naleznete znovu a četl jeho článek, ale shrnout, říká, že je 7 chyby byly:

Neschopnost rozpoznat, že toto porušení
Špatná porušení odpověď
Střelba posla
V rozporu se
Postoupení rizika kontrolu nad rozhovoru
Neschopnost přijmout odpovědnost
Hromadí staré e-maily
Ti z vás, kteří jsou studenty metodiky SANS Incident Response bude vědom toho, že metodika využívá plicní na PICERL; Příprava, identifikace, Zadržování, vymýcení, obnovy a poučení. Za předpokladu, že Sony měl IR plán, a po ní, srovnání tuto metodiku pro Sony "chyb", to mě napadlo, že většina poruch Sony důsledkem nedostatečného času stráveného v přípravě.

Většina lidí si myslí, přípravku jako ujistit, že máte správné preventivní a detektivní kontroly na místě, aby se zabránilo doufejme, a pokud ne, zjistit porušení. Příprava však musí zahrnovat mnoho dalších aspektů, včetně, rámce incident managementu, strategie reakce, a komunikačního plánu.

Rámec správy incidentů určuje každý aspekt svého týmu reakce na incidenty, z který jsou účastníci toho, kdo má na starosti s tím, jak komunikace tým bude fungovat. Ve většině společností IR se stala funkce technického IT. Zatímco má správné technické prostředky reagovat na události, je důležité, mít správnou strukturu řízení na místě, aby účinně řídit incident je stejně důležité. Nezapomeňte zahrnují právní a komunikační funkce v týmu reakce na incidenty. Budou nezbytné ve veřejném porušení.

Strategie reakce zahrnuje procesy a postupy, které budou použity v případě mimořádné události. Jeden skvělý způsob, jak rozvíjet tyto procesy a postupy, je spustit stolních cvičení a falešné incidentů cvičení s týmem IR. Výstup z těchto cvičení by mělo být mírně podrobné plány, jak zvládnout tyto incidenty. Předvídáním běžné scénáře předem incidentu vede ke skutečné reakce na mimořádné události je hladší a méně stresující, když ve skutečnosti dojde k incidentu. Není možné předvídat všechny myslitelné událost, ale myslet na postupů a procedur, jako stavební bloky, které mohou být znovu použity a modifikované v případě skutečného incidentu.

Důležitou součástí jakékoli veřejné události je efektivní komunikace s tiskem a vaše externí zainteresované strany, jako jsou zákazníkům a akcionářům. Důležitou součástí tohoto bude, aby si své právní a komunikační lidí na stejné stránce jako svého zástupce. Čas, aby se přijít na to, co vám bude a nebude veřejně uvolnění není v žáru incidentu. Podle mých zkušeností to obvykle vede k ochrnutí a nakonec vypadá, že máte něco skrývat, nebo se snaží uvést v omyl. Hodně stejný jako strategie incidentů, komunikační plán je nejlépe divised předem v rámci modelových incidentů a stolním cvičení. Podle mého názoru komunikuje pravdu, brzy a často, je nejlepší přístup. Komunikační funkce byla, kde Sony spadl nejhorší, jak s interní i externí komunikaci.

S ohledem na tuto skutečnost se zdá jako dobrý čas pro všechny z nás, aby si naše IR plány ve světle některých vysokých porušení profilu v letošním roce.

Google byl špehováním ze strany NSA šokován, stěhuje se pryč z Ruska

16.12.2014 Incidenty
Google podle Erica Schmidta od té doby, co se na internetu objevily informace o špehování firem ze strany NSA, tvrdě pracuje na ochraně dat svých uživatelů. Zároveň přesouvá inženýry z Ruska pryč.

Ředitel společnosti Googlu Eric Schmidt tvrdí, že špehování NSA a dalších vládních agentur poškodilo pověst amerických technologických firem „na několika úrovních“ - například Evropané v současné době nevěří tomu, že americké technologické společnosti jsou schopné uchránit jejich soukromá data. Schmidt to uvedl při svém pátečním projevu v libertariánském think tanku Cato Institute.

Schmidt uvedl, že zjištění, podle kterého britská špionážní služba měla napíchnuta přímo datová centra Googlu, pro něj bylo naprosto šokující. I když si totiž inženýři Googlu dokázali představit, že trafik lze odposlouchávat pomocí poměrně složitých metod, „fakt, že to dělali takto napřímo...byl pro nás opravdu šokující,“ uvedl Schmidt.

Google se proto rozhodl investovat spoustu peněz do ochrany svých systémů a mimo jiné začalal používat 2048bitové šifrování svého trafiku. „Interní systémy jsme poměrně masivním způsobem zašifrovali,“ řekl Schmidt. „Podle názorů expertů nelze toto šifrování prolomit během jednoho lidského života jakýmkoli způsobem. Uvidíme, zda je to opravdu pravda.“

Schmidt publiku řekl, že nejbezpečnějším místem pro ukládání důležitých dat jsou samozřejmě služby Googlu.

„Nikde jinde to tak bezpečné není,“ řekl Schmidt a upozornil na funkci v prohlížeči Chrome, která umožňuje uživatelům pohybovat se volně na internetu bez nutnosti bát se o jejich soukromí. Chris Soghoian z Amerického sdružení pro občanská práva však poukázal na to, že inkognito režim prohlížeče Chrome uživatele před vládami různých států světa neochrání. Schmidt k tomu podotkl, Google musí data o uživatelích řadu let uchovávat ze zákona a je povinen je vydávat na soudní příkaz.

Současným předseda správní rady Googlu dále uvedl, že jak Google, tak Apple, pracují „velmi, velmi tvrdě“ na zabezpečení svých mobilních operačních systémů.

Někteří analytici následně poukázali na to, že samotný Google o svých uživatelích shromažďuje velké množství dat. Jak však uvedl Schmidt, tato data jsou nezbytná ke zlepšení služeb Googlu a jeho společnost v minulosti již několikrát „odpískala“ nové služby kvůli obavám z ochrany soukromí uživatelů.

Nezávisle na pátečních vyjádřeních Schmidta Google dnes uvedl v tiskovém prohlášení, že přesouvá své inženýry z Ruska. Není zatím jasné, kolika lidí se tento krok dotkne. Podle expertů je důvodem schválení zákona v červenci tohoto roku, který nařizuje internetovým společnostem ukládat osobní data o ruských občanech přímo v této zemi.

GMail vtípek používá rozvrátit webové stránky sledování spam
12.12.2014 Incidenty
Včera, když si naše logy tady na SANS Internet Storm Center jsem narazil na tyto:

Přihlášení se nezdařilo pro s.ervic.d.157.6@gmail.com
Přihlášení se nezdařilo pro se.rv.icd.15.76@gmail.com
Přihlášení se nezdařilo pro ramo.s.odalys.33.3@gmail.com
Přihlášení se nezdařilo pro sho.ppin.g48service @ gmail.com

Důvod, proč to zachytil můj pohled je, že Vzpomínám si četl, že GMail ignoruje období v e-mailových adres. Například, když jsem zaregistrovat alexs12345@gmail.com, ale pak začne odesílání e-mailu na alexs1.2.3.4.5@gmail.com, že dorazí ve svém novém e-mailové schránky přes další funkční období.

Mnoho blog a fórum platformy mají funkce pro zákaz od e-mailovou adresu. Spammeři mohou využít období v Gmailu adresách rozvrátit tyto zakazovat kontroly po registraci znovu, aniž by museli vyrobit skutečně novou e-mailovou adresu. Do své systémy a / nebo internetové stránky umožňují registraci více účtů tímto způsobem?

Tam, kde to bude ještě zajímavější je, že tyto protokoly ukazují návštěvníků, kteří se snažili přihlásit pomocí těchto e-mailových adres, aniž by dokonce pokoušel se nejprve zaregistrovat. Žádný z výše uvedených protokolů pocházejí z jedné IP adresy, když první dva se pocházejí z jedné řady IP. Je to kvůli špatně naprogramované bot, nebo je to svědčí o něčem jiném?

Dejte nám vědět, co si myslíte, že v komentářích!

Pudl Strikes (kousne?) Opět
9.12.2014 Incidenty
Stejně jako Adam Langley ve svém blogu [1] uvádí, může být pudl zranitelnost nalezený v některých implementacích TLS, a to nejen v SSLv3.

Problémem je otázka implementace, ne tak moc problém s normou jako v původní instance SSLv3. Pudl zranitelnost byla způsobena SSLv3 jeho užívání nespecifikované a nechráněného použití vycpávky. V TLS, čalounění je určen, a TLS by nemělo být náchylné k útoku. Nicméně se ukazuje, že některé implementace nebude ověřit, zda byl použit správný výplň. Nesprávný padding by bez povšimnutí (stejně jako v SSLv3) a mohla by vést k problému pudla.

Na druhou stranu: My ještě neviděli rozšířené (nějaké?), Využívání pudla zranitelnosti. Tak se zaměřují na to, co Microsoft má nabídnout první dnes, pak se podívejte, pokud máte stále nějaké vynikající "pudlíci" ve vaší síti. F5 load-balancers zřejmě trpí nový problém.

Kromě toho, Heise.de poznamenává, že Kaspersky Internet Security produkt, který implementuje proxy na chráněné hostitele, stále podporuje SSLv3 a může způsobit připojení bude snížen na SSLv3, i když prohlížeč uživatele již podporuje SSLv3.

[1] https://www.imperialviolet.org

Hackeři vyhrožují zaměstnancům Sony a jejich rodinám

9.12.2014 Incidenty
Kybernetický útok proti společnosti Sony Pictures vstoupil do nové fáze, když zaměstnanci této firmy obdrželi v pátek od hackerů zprávy s výhružkami jim a jejich rodinám.

Ve zprávě odeslané hacekery, o níž informoval portál Variety stojí, že „v nebezpečí jsou samotní zaměstnanci i jejich rodiny“.

Počítačové sítě Sony byly napadeny na konci listopadu a hackeři při útoku ukradli velké množství dat včetně doposud nevydaných filmů, jež se následně objevily na internetu. I když útoky podobného rozsahu byly provedeny v uplynulých letech i v jiných částech světa, výhružky zaměstnancům jsou značně neobvyklé.

Zpráva, kterou poslali hackeři z hnutí s názvem Strážci míru, je napsána nepříliš dobrou angličtinou. „Odstranění Sony Pictures z povrchu zemského je pro naši skupinu, která patří do větší mezinárodní organizace, snadným úkolem. A to, co jsme provedli doposud, je jen malou součástí našeho dalšího plánu,“ píšou hackeři. Následně se útočníci v textu obracejí k zaměstnancům Sony.

„V mnoha částech světa se stanou věci, které byste si dříve neuměli představit. […] Pošlete své jméno na níže uvedenou e-mailovou adresu a vyjádřete tak svůj nesouhlas s falešností této společnosti. Pokud tak neučiníte, nejen vy, ale i vaše rodiny budou v nebezpečí,“ stojí dále ve zprávě, jejíž autenticitu nebylo zatím možné potvrdit. Mluvčí Sony se zatím k výhružkám nevyjádřil. E-mailová adresa, která měla být na „šéfa Strážců míru“ je však neaktivní - zaslaný e-mail se z ní vrátí s chybovou zprávou.

Jak ráno uvedl portál BBC, během noci na pondělí byl napaden kybernetickým útokem PlayStation Store, který je tak v současné době nedostupný. Společnost Sony Entertainment Network v tweetu uvedla, že si je problému vědoma a pracuje na obnově sítě.

„Děkujeme za trpělivost při prošetřování celé věci,“ stojí v Tweetu Sony. Útok na PlayStation store přichází jen několik dnů poté, co herní konzole Sony oslavila své dvacáté narozeniny.

K útoku se přihlásili hackeři ze skupiny „Lizard Squad“, kteří stojí podle všeho také za útokem typu DDoS, jenž byl minulý týden podniknut proti herní síti Xboxu od Microsoftu. Ta byla v důsledku útoku nedostupná po dobu více než jednoho dne. Podle vyjádření Lizard Squad z minulého týdne byl útok na síť Microsoftu pouze „malou ochutnávkou“ toho, co má přijít před Vánocemi.

Není zatím jasné, zda a jak souvisí útok Lizard Squad s útokem Strážců míru. Kybernetické útoky proti Sony v této chvíli vyšetřuje FBI spolu s nezávislou bezpečnostní agenturou FireEye.

Sony Pictures pirát, vydíral
6.12.2014 Incidenty
Zdá se, že Sony Pictures byl hacknut. Porušení nebylo dosud potvrzeno společností, jehož jediným komentář tak daleko, je, že jsou "vyšetřování IT věci." Ale podle uživatele, Reddit, který tvrdí, že pracoval pro Sony a stále má přátelé tam, každý počítač v Sony Pictures sítě byla účinně provedena nepoužitelný, a je sportovní následující obrázek:

Podle interního zdroje, který mluvil na The Next Web , mají všichni zaměstnanci společnosti Sony dostal pokyn, aby jít domů na den a pracovat tam, ale ne pro připojení firemní sítě společnosti, nebo je jejich pracovní e-mail. Oni také byli instruováni, aby obrátit z jejich počítače a vypnout Wi-Fi připojení na internet na svých mobilních zařízeních, zatímco IT oddělení vyšetřuje porušení. Zpráva identifikuje skupinu hackerů s názvem #GOP jako pachatele porušení. Zdá se, že se jim podařilo ohrozit jeden server a přístup zbytek sítě. V URL zahrnuty v obraze poukazují na ZIP soubor, který obsahuje údajně ukradené soubory, které obsahují finanční informace, soukromé klíče pro servery a další . skupina hrozí, že další soubory budou k úniku, pokud nebudou splněny jejich žádosti, ale my ne vědět, jaké jsou tyto požadavky jsou. Poznamenal termín přicházeli a odcházeli, ale tam je ještě žádné další informace nebo úniku. "útok velmi veřejný výkupné je poměrně neobvyklé," Eric Cowperthwaite, viceprezident pokročilé bezpečnosti a strategie na Core Security poznamenal. "Sony má více času a motivaci než průměrný společnosti s cílem zlepšit jejich bezpečnost. Předpokládal bych, že po posledních událostech zabezpečení v Sony, všechny divize Sony značně zlepšila bezpečnost. Je-li tomu tak, pak ten, kdo je zodpovědný za tento útok je docela schopný sami. Jako vždy, já bych to vnímat jako varování, že všichni ostatní musí věnovat pozornost. Pokud nemají lepší zabezpečení, než Sony Pictures (což bych se vsadit, je pravděpodobné), pak je třeba investovat čas a úsilí na zlepšování jejich schopností bezpečnosti a zralost. " "Fakta, jak jsme v současné době vím, jim naznačují, že jediný bod selhání - osamělý systém, který byl porušen, podle prohlášení k dnešnímu dni - vedlo ke katastrofálnímu porušení," říká Kevin O ' . Brien, Mmember o založení týmu Conjur "Vzít široce, to kopíruje stejný vzorek porušení, které jsme viděli přes 2013 a 2014:. Výsledky slabé řízení přístupu v systémové selhání" "Máme jen dohad tak daleko, ale to by nebylo příliš překvapivé, se dozvěděli, že tam byl vnitřní vektor hrozba v mixu zde, stejně. Podívejme se, co se stalo v Kodexu prostorů jako potenciální příklad stejné struktuře porušení: nespokojený (bývalý) zaměstnanec vedlo ke ztrátě pověření, eskalace oprávnění útoku a případné katastrofické přístup k datům, ". Dodal "organizací, jako Sony bude ( doufejme) mají robustní provedení auditu, které mají k dispozici, která je umístěna vně zařízení, která jsou zde ohrožena; co má tendenci stát, je, že útočníci budou pracovat na vymazání jejich stopy. Z tohoto pohledu, další otázka je, zda jsou tyto soudní složky jsou vystaveny jako součást stejném povrchu hrozeb, které vedly k původnímu porušení. Starší systémy inklinují míchat tyto dva proudy (data a systémy pod útokem, a obranné systémy, které jejich ochranu); množství času a úsilí nutné na Sony jménem se bude opírat (částečně) o tom, zda mají moderní infrastrukturu, která je odolná vůči tomuto druhu útoku.

Automatizace sběru dat Incident s Pythonem
6.12.2014 Incidenty
Jeden z mých nejoblíbenějších modulů Pythonu je Impacket by kluci na klíčové Labs. Mimo jiné to mi umožňuje vytvářet Python skripty, které mohou mluvit do počítačů se systémem Windows přes SMB. Mohu ji použít k mapování síťové jednotky, ukončení procesů na vzdáleném počítači a mnohem více. Během incidentu, který má schopnost dosáhnout do všech strojů ve vašem prostředí seznamu nebo zabít proces je velmi užitečná. Python a Impacket aby to velmi snadné. Podívejte se na to.

Po instalaci Impacket všechny úžasné moduly jsou k dispozici pro použití ve vašich skriptů v Pythonu. Kromě modulů, Impacket také obsahuje několik ukázkové programy. Úžasné nástroje jako psexec.py poskytuje funkcionalitu jako Microsoft PsExec navíc pass-the-hash ve snadno automatizované formátu. Už jste si někdy přáli, abyste mohli spustit wmic příkazy z Linuxu? Nechte použití wmiexec.py spustit příkaz na vzdáleném počítači Windows z Linuxu. Stačí poskytnout nástroje s uživatelským jménem a heslem, cílová IP adresa a wmic příkaz spustit na cílovém počítači. Například, to je to, jak se dostat na seznam uživatelů na vzdálené cíle.

WMIC z mého linux server je super, ale nejlepší na tom je, že to je Python !. Takže místo toho, běží wmiexec.py mohu importovat jako modul a použití v python skriptu. Začnu ve stejném adresáři jako wmiexec a startovací "python". Pak se "import wmiexec" a vytvořit proměnnou držet objekt WMIEXEC. V tomto případě budu vytvořit proměnnou s názvem wmiobj, který odkazuje na objekt WMIEXEC. První argument je příkaz chci spustit. V tomto případě jsem se spustit příkaz WMIC, který bude, že najde cestu spustitelného souboru pro každou kopii procesu s "cmd" někde v názvu procesu. Jediné další argumenty jsou uživatelské jméno, heslo a "share = 'ADMIN $'".

V tomto případě, že jeden z příkazové řádky běží od uživatele dočasného adresáře. To samé některé další vyšetřování! S těmito 3 jednoduchých linií Python kód, který jsme byli schopni automatizovat dotaz jednoho hostitele. Vzhledem k tomu, že je Python, můžeme snadno použít "k vedení" spustit tento na každé stanici v naší síti, zachytit ty výsledky a porovnat je. Najít hostitele s procesy, které nejsou spuštěny na některý z ostatních počítačích! Najít hostitele s unikátními neobvyklými síťových připojení! Poté, jsou-li vhodné podmínky, automatizovat něco izolovat.

Chcete se dozvědět více? Přijďte vyzkoušet SEC573 Python pro penetraci testerů. Dozvíte se Python od epicentra, a naučit se "automatizovat všechny věci". Připojte se mi na Cyber ​​Guardian 2. března nebo v Orlandu 11. dubna .

Podívejte se na kurzy zde:

http://www.sans.org/course/python-for-pen-testers

320 porušení hlášené v období od července do září
3.12.2014 Incidenty
Spotřebitelé zažil celou řadu ochrany osobních údajů a bezpečnostní hrozby ve třetím čtvrtletí roku 2014, jak hackeři úspěšně provedla rozsáhlé útoky proti finančních služeb a maloobchodních společností, jakož i osobní on-line účty spotřebitelů a identit.

Od července do září tohoto roku, bylo 320 porušení hlášeny po celém světě, což je nárůst o téměř 25 procent ve srovnání se stejným obdobím loňského roku, a více než 183 mil zákaznické účty a datové záznamy obsahující osobní nebo finanční údaje byly buď odcizení nebo ztráty, , podle SafeNet Jednotlivci také cítil o ochraně osobních údajů špetku s porušením dochází ve třech hlavních spotřebitelských aktivit: jejich bankovnictví, nákupy a on-line identity. Finanční služby (42%) a maloobchod (31%) dosáhli nejvyššího místa mezi všemi odvětví z hlediska počtu napadených zákaznických účtů a datových záznamů. Následovaly porušení zahrnující technologii a osobní on-line účty (20%), jako je e-mail , hry a další služby cloud-based. Kromě toho, krádeží identity také získala první místo mezi typy narušení dat, což představuje 46% z celkového počtu. "Hlavy spotřebitelů, musí být točí jako se zločinci jsou snadno získání přístupu k jejich kreditní karty, bankovní a osobní informace na každém kroku , "řekl Tsion Gonen, ředitel vývoje v SafeNet. "" Firmy by měly převzít porušení a plán podle toho. Je třeba zavést technologie a programy, které minimalizují dopad porušení na vrcholu tradiční prevence. Jak to znamená, že tyto technologie jsou prostě není používán v plném rozsahu buď spotřebitelé nebo společnosti. "

"Maloobchodní průmysl byl důsledně zasáhla s přestupků. Zločinci chtějí mít přístup k platební kartou a bankovní informace pro finanční zisk nebo získat osobní údaje použít ke krádeži identity. Zákazníci byli velmi tolerantní těchto porušení, protože mají pocit, že Tento přístup může být opraveno někdo jiný, jako banka nahrazující ukradené kreditní karty. Nicméně, tato nová vlna online porušení identity je mnohem závažnější pro jednotlivce. Jakmile byla zobrazena a unikly on-line vaše osobní fotografie nebo soukromé zprávy, není kterým se to. Tyto položky bude navždy v kybernetickém prostoru pro vaše budoucí zaměstnavatele, přátele a rodinu, aby přístup, "pokračoval Gonen. "I když to není překvapující, že sofistikované zločinci jsou i nadále pokoušet těchto porušení, co je překvapivé, je to, že opět jen o 1% porušil záznamy byly zašifrovány. Nyní je čas, aby zákazníci požadovat, aby jejich osobní údaje budou zašifrovány společnosti, "dodal. Podle typu porušení dat

Přístup k účtu: 86393338 záznamy, nebo 48%, a 39 porušovat incidenty údajů nebo 12% všech incidentů
Finanční Přístup: 58453288 záznamy, nebo 33%, a 52 porušovat incidenty údajů nebo 16% všech incidentů
Krádež identity: 30717154 záznamy, nebo 17%, a 147 mimořádných událostí nebo 46% všech incidentů
Rušení: 3.195.285 záznamů nebo 2%, a 46 mimořádných událostí nebo 15% všech incidentů
Existenciální Data: 116.220 záznamů nebo <1%, a 36 porušovat incidenty údajů nebo 11% všech incidentů.
Podle zdroje
Škodlivé Outsiders: představovaly 173835350 datových záznamů ukradených nebo 97% a 172 narušení dat událostí nebo 54%
Náhodné ztrátě: Tvořily 2795235 datových záznamů ztracených nebo 1%, a 77 narušení incidentů údajů nebo 24%
Stát Sponsored: Tvořily 2075584 datových záznamů ukradených nebo 1%, a 24 narušení incidentů údajů nebo 7%
Hacktivists: tvořily 117.105 datových záznamů ukradených nebo <1%, a 8 narušení incidentů údajů nebo 3%
Škodlivé Zasvěcenci: Tvořily 52.011 datových záznamů ukradených nebo <1%, a 38 narušení incidentů údajů či 12%.
Tím, zeměpisu

USA hlášeno více datových narušení než jakákoli jiná země s 199 mimořádných událostí (nebo 62%), následovaná Spojeným královstvím s 33 incidentů (nebo 10%), Kanada s 14 incidentů (nebo 4%), Austrálie s 11 incidentů (nebo 3%), a Izrael s 10 událostí (nebo 3%).
Severní Amerika: 215 mimořádným událostem nebo 66%
Jižní Ameriky: 2 událost nebo 1%
Evropa: 51 incidentů nebo 16%
Střední východ a Afrika: 21 incidentů nebo 7%
Asia-Pacific: 31 incidentů nebo 10%.

TRUSTe podvedl spotřebitelům prostřednictvím svého důvěrného programu
Publikováno dne 18. listopadu 2014. Incidenty
TRUSTe se dohodla na urovnání Federal Trade Commission obvinění, že je oklamal spotřebitele o jeho recertifikační programu praktiky ochrany osobních údajů společnosti, stejně jako lze odvozovat svůj omyl jako neziskový subjekt. TRUSTe poskytuje těsnění pro podniky, které splňují specifické požadavky na programy ochrany soukromí spotřebitelů, které jej spravuje. TRUSTe těsnění zajistit spotřebitelům, že postupy ochrany soukromí podniky "jsou v souladu s konkrétními normami ochrany osobních údajů, jako jsou dětské online ochranu soukromí Act (Coppa) a US-EU Safe Harbor Framework. "TRUSTe slíbil držet společnosti odpovědné za ochranu soukromí spotřebitelů, ale to padalo krátký této zástavy, "řekla předsedkyně FTC Edith Ramirez. "Samoregulace hraje důležitou roli při ochraně spotřebitele. Ale když se společnosti nepodaří dostát svým slibům spotřebitelům, FTC nebude váhat jednat. " Stížnost FTC tvrdí, že od roku 2006 do ledna 2013 TRUSTe neprovedla každoroční recertifikace společností vlastnících těsnění TRUSTe o ochraně osobních údajů ve více než 1000 výskytu Navzdory poskytování informací na svých internetových stránkách, že společnosti, které mají TRUSTe Certified o zachování důvěrného charakteru přijímat recertifikace každý rok. Kromě toho, stížnost FTC tvrdí, že od té doby TRUSTe se stala nezisková společnost v roce 2008, společnost se nepodařilo požadovat, aby společnost pomocí Truste těsnění aktualizovat odkazy na status neziskové organizace. Před převodem z non-zisk na neziskové, TRUSTe pokud klientům jazykový model popisující TRUSTe jako neziskové pro použití v jejich zásady ochrany osobních údajů. V souladu s podmínkami jeho dohody s FTC , TRUSTe bude zakázáno od nich nesprávná o jeho procesu certifikace, nebo na časové ose, stejně jako bytí vyloučen ze zkreslování jeho statutem, nebo zda účetní jednotka se účastní ve svém programu. Kromě toho, TRUSTe nesmí poskytovat dalším společnostem nebo subjektům, prostředky, aby nesprávná o těchto skutečnostech, například prostřednictvím nesprávných nebo nepřesných jazykový model, osada rovněž požaduje, aby společnost v jeho roli jako Coppa bezpečného přístavu, aby poskytla podrobné informace o jeho COPPA by tudíž činnosti ve své výroční podání FTC, stejně jako vedení podrobné záznamy o svých Coppa bezpečného přístavu činnosti po dobu deseti let. Každá z těchto ustanovení představuje nárůst zpravodajské povinnosti v rámci pravidla Coppa bezpečného přístavu programy. Společnost musí také zaplatit 200.000 dolar jako součást vyrovnání.

Syrská armáda Electronic útok vede k malvertising
28.11.2014 Incidenty
Řada služeb on-line byly ovlivněny tím, co bylo odkazoval se na více zdrojů jako přesměrování útoku syrské elektronické armády (SEA), vycházející z Gigya CDN. Problém byl popsán následovně: "Gigya vysvětlil, že dnes ráno v 06:45 EST, si všimla," ojedinělé selhání s přístupem k naší službě "Organizace, než našel porušení na svém registrátora domény, s hackery změnou DNS záznamů a ukazoval. je od Gigya je CDN domény, místo toho přesměrování na vlastní server, která rozděluje soubor "socialize.js", a to pop-up vidět každý. " Postižená místa zařazená Verizon, The Telegraph, The Independent, Forbes, Time Out, PC World, The Evening Standard, CNBC, a další.

Výsledný pop-up pouze uvedl: "Vy jste byl hacknutý syrské elektronické armády." Je smutné, že útoky tohoto druhu jsou samozřejmostí, a SEA vybrala dovolenou v minulých letech zintenzivnila svou činnost takže buďte připraveni s plánem reakce a postupy obnovy.

ISP se odstraní šifrování e-mailů od zákazníků
21.11.2014 Incidenty
Počet ISP v USA a Thajsku byly nedávno spatřen aktivní odstranění šifrování od svých zákazníků Data odeslaná na e-mail servery, Electronic Frontier Foundation varoval v pondělí. Na internetu jsou to dělá tím, že odstraní z odběratelů dat STARTTLS vlajky, který je používán e-mailové servery požádat šifrování, když mluví na jiný server nebo klienta. "Tím, že stripping tento příznak, tyto ISP zabránit e-mailové servery úspěšně šifrování jejich rozhovor, a ve výchozím nastavení servery přistoupí k odesílání e-mailů nezašifrované," vysvětlil EFF technolog Jacob Hoffman-Andrews. "Tento typ STARTTLS odizolování útoku většinou bez povšimnutí, protože to inklinuje být aplikován na rezidenční sítě, kde to je neobvyklé, spustit e-mailový server." Na rozdíl od PGP a S / MIME, STARTTLS neposkytuje end-to-end šifrování, ale jen server-to-server. Nicméně, to má nějaké výhody oproti dřívější:

Chrání metadat (podléhala čáry, do, za, Kopie a Skrytá pole)
Uživatelé si nemusí dělat nic pro to, aby fungovaly
E-mailový server s STARTTLS může poskytnout Forward Secrecy pro e-maily.
Kombinace všech těchto technologií dohromady - a to lze provést - poskytuje větší bezpečnost. Bohužel, jak vidíme dnes děje, STARTTLS vlajka je snadné rozpoznat (to není šifrována) a rušit. "Je důležité, aby poskytovatelé internetových služeb okamžitě zastavit neoprávněné odstranění bezpečnostních opatření svých zákazníků, "říká Hoffman-Andrews. "ISP působí jako důvěryhodné bran do globálního Internetu, a to je porušení této důvěry zachytit nebo upravit klienta provoz, bez ohledu na to, co protokol jsou jejich zákazníci používají. Je to dvojí porušení, kdy taková změna vypne bezpečnostní opatření, jejich zákazníci používají k ochraně samy o sobě. " On také sdílené, že ERF pracuje na zlepšení STARTTLS s STARTTLS Všude , nástroj, který bude vyžadovat šifrování pro servery, které jsou již známy na její podporu.

Osobní informace o 800.000 USPS zaměstnanců ohrožena v rozporu
19.11.2014 Incidenty
US Postal Service se připojil k řadám společnostem v soukromém sektoru a vládních agentur, které byly porušeny, a měli dat ukradených hackery. Podle na prohlášení vydané službou v pondělí, útočníci se podařilo najít cestu do některé ze svých informačních systémů, a mají pravděpodobně ohrožena osobní údaje některých 800.000 současných i bývalým zaměstnancům, jakož i některé údaje pro zákazníky, kteří kontaktovala Postal Service Centrum péče o zákazníky s dotazem telefonicky nebo e-mailem od 01.01.2014, a 16. srpna, 2014, nemusí tento podnikat žádné kroky v důsledku tohoto incidentu, USPS poznamenal, ale bývalý budou poskytnuty služby dohledu nad úvěrovými zdarma po dobu jednoho roku, a bude jim USPS "lidské zdroje centra sdílených služeb, as jejich ohrožení informace zahrnují své jméno, datum narození, rodná čísla, adresy a další informace, včetně začátku a konce data zaměstnanosti, a pohotovostní kontaktní informace. "Postal Service transakční systémy příjmů na poštách, stejně jako o usps.com, kdy zákazníci platit za služby s kreditní a debetní karty nebyly ovlivněny tímto incidentem, "oni poznamenal. "Neexistuje žádný důkaz, že veškeré informace, kreditní kartu z maloobchodní nebo on-line nákupy, jako je Click-N-lodi, o poštovních službách Store, PostalOne !, změny adresy nebo jiných služeb byl ohrožen." V prohlášení, USPS není říci, kdy byl poprvé objeven vniknutí, ale někteří úředníci se podělili s The Washington Post, že to bylo v polovině září. "Komunikace porušení okamžitě by se dal sanačních opatření v ohrožení a mohou mít za následek poštovní služby by museli mít jeho informační systémy v režimu offline znovu, "USPS vysvětlil v sekci FAQ na svých stránkách. narušení mluví se stalo o víkendu, kdy se služba Některé systémy off-line jako součást úsilí o zmírnění narušení počítačové bezpečnosti. "Jsme úzce spolupracuje s FBI, ministerstva spravedlnosti, USPS Úřad generálního inspektora, Poštovní Inspection Service a USA Computer Emergency Readiness Team. Postal Service přinesla i specialisty soukromého sektoru v soudním vyšetřování a datových systémů na podporu při vyšetřování a nápravu, aby zajistily, že se blíží tuto událost v komplexním způsobem, pochopení plné důsledky kybernetické vniknutí a zavedení ochranných opatření, jejichž cílem je posílení našich systémů, "dodali. Identita útočníků je neznámá, ale zřejmě čínské státem podporované hackeři jsou hlavní podezřelí. "V souvislosti s nedávným kompromisu USIS, UPM a nyní údaje zaměstnanců USPS ohrožena, otázkou je, proč by se útočníci se po tomto typu dat?" zeptal se bezpečnostní analytik Tripwire Ken Westin. "Veškeré údaje o státních zaměstnanců může být užitečné pro špionáž. Nemusí to být samotná data, ale je-li spojena s dalšími daty, jako jsou čísla sociálního zabezpečení, existuje velké množství poznatků, které mohou být získány na základě vzorů a přípojek. " "Bohužel, toto porušení je jen poslední v řadě incidentů, které jsou zacíleny na vládu USA, "poznamenal Dan Waddell, ředitel pro vládní záležitosti na (ISC) 2. "Zdá se, že tento konkrétní událost odhalil informace o jednotlivcích, které by mohly vést k cílené kopí-phishing útoky vůči zaměstnancům USPS. Každý z nás si musí být vědomi možných phishingovými nástrahami, ale v tomto konkrétním případě by zaměstnanci USPS být na pozoru jakýkoli podezřelý e-mail, který bude sloužit jako mechanismus extrahovat další informace, jako USPS duševní vlastnictví, informace o kreditní kartě a jiných typů citlivých dat. "