- Kyber -

H  Aktualizace  Analýzy  Android  Apple  APT  Bezpečnost  BigBrother  BotNet  Cloud  Exploit  Hacking  Hardware  ICS  Incidenty  IoT  IT  Kongresy  Kriminalita  Kryptografie  Kyber  Mobilní  OS  Ostatní  Phishing  Podvod  Ransomware  Rizika  Rootkit  Sociální sítě  Software  Spam  Těžařské viry  Útoky  Viry  Zabezpečení  Zranitelnosti

Úvod  Kategorie  Podkategorie 0  1  2  3  4  5 

Na Ukrajinu zaútočil zlý králík. Schytalo to kijevské metro i letiště v Oděse
25.10.2017 Živě.cz Kyber
Falešná aktualizace Flash PlayeruPřivítání zavirovaného počítačeDialog s odpočtem pro zaplacení výkupného skrze bitcoinZákeřný

Na některé země východní Evropy a Turecko zaútočil nová varianta ransomwaru Win32/Diskcoder.D (Not-Petya) s označením Bad Rabbit (zlý králík). Rozšiřuje se docela svižně, přičemž nejlépe se mu daří na Ukrajině a v Rusku. Ransomware například zašifroval některé počítače kijevského metra tamního ministerstva dopravy nebo třeba letiště v Oděse. Případy nakažení se podle Národního úřadu pro kybernetickou a informační bezpečnost a Esetu objevily i v Bulharsku, Turecku a Japonsku.

Rychlostí, jakou se Bad Rabbit šíří, připomíná podle expertů jarní kampaň ransomwaru WannaCry, který zasáhl i některé počítače v Česku. A s WannaCry má společný i postup útoku. Jakmile jej na počítači spustíte, zašifruje data a za odemknutí požaduje výkupné ve výši 0,05 bitcoinu, což po přepočtu činí okolo 6 000 korun.

Podzimní update Windows 10 přinesl nový Defender, který obsahuje dílčí ochranu před ransomwarem. Do vybraných složek se dostanou pouze povolené programy.

Podle Esetu se zlý králík šiří hlavně skrze falešné aktualizace Flash Playeru a protokol SMB (port 445) na Windows XP a vyšších.

„Účinnou prevencí (vakcinací) před nakažením ransomwarem Bad Rabbit je vytvoření souborů c:\windows\infpub.dat a c:\windows\cscc.dat a odebrání všech oprávnění k těmto souborům,“ píše na svých stránkách NÚKIB,

Pět kybernetických hrozeb, které musí mít každý manažer IT bezpečnosti na paměti

4.10.2017 SecurityWorld Kyber
Sítě se vyvíjí nebývalým tempem. Fyzická a virtuální prostředí, privátní a veřejné cloudy a stoupající množství IoT a koncových zařízení zásadním způsobem zvětšují prostor pro potenciální útoky. Ochrana síťových prostředí klade před manažery počítačové bezpečnosti řadu složitých problémů. Částečně je to způsobeno tím, že roste rozsah a závažnost kybernetických hrozeb, které se snaží využít nových možností k útoku.

Manažeři informační bezpečnosti si musí uvědomovat zejména to, že:

Digitální stopa podniků i jednotlivců se rychle zvětšuje, včetně nových multicloudových strategií, a tím se zvětšuje prostor pro možné útoky.
Téměř každé zařízení je potenciálním cílem a téměř cokoli lze užít k provedení kyberútoku.
Hrozby jsou inteligentnější a útoky automatizovanější, což značně ztěžuje jejich odhalení.

Společnost Fortinet nedávno identifikovala pět faktorů, které stojí za změnami kyberbezpečnostního prostředí. Každý z nich komplikuje ochranu sítí, dat a komunikace před útočníky:
1. Internet věcí

Hovoříme-li o zařízeních internetu (IoT) věcí, můžeme je rozdělit do tří základních kategorií. Do první kategorie spadají spotřebitelská IoT zařízení. Jedná se o běžné přístroje jako chytré telefony, hodinky, domácí spotřebiče a domácí zábavní systémy.

Zbývající dvě kategorie zahrnují zařízení, jako je kontrola stavu skladových zásob, sledování polohy zařízení, lékařské přístroje nebo výrobní systémy. Informace, které tato zařízení poskytují v reálné čase, zvyšují produktivitu a efektivitu, což se projevuje v podobě konkurenční výhody. V dalších prostředích dokáží tyto nástroje šetřit energii a přírodní zdroje i chránit životy. U většiny IoT zařízení nelze konfigurovat zabezpečení a není možné instalovat bezpečnostního klienta. Odborníci očekávají, že v roce 2020 čtvrtina všech počítačových útoků bude cílit na IoT.
2. Zavádění cloudu

Cloud mění způsob, jakým podniky fungují. Do několika let bude 92 % všech pracovních zátěží zpracováváno v cloudových datových centrech a pouze zbývajících 8 % zůstane v tradičních lokálních datových centrech. Cloudové služby se však nachází mimo hranice podnikové sítě, a tedy i mimo dosah tradičních bezpečnostních řešení.

Ačkoli většina poskytovatelů cloudových služeb nabízí určitou úroveň zabezpečení a smlouvy o zaručené úrovni služeb (SLA), existuje dlouhá řada dalších faktorů, které je nutné řešit, například viditelnost dat a možnost sledování jejich pohybu mezi jednotlivými cloudovými prostředími, konzistentní uplatňování bezpečnostních pravidel, ukládání dat v cloudu, centralizovaná koordinace a správa pravidel nebo schopnost reagovat na škodlivý datový provoz, jehož původ je v cloudovém prostředí, nebo který jím protéká.
3. Vyděračský software

Neuplyne den, aby se mezi novinovými titulky neobjevila zpráva o vyděračském softwaru. Denně dochází k více než 4000 vyděračských útoků a měsíčně je zasaženo 30 až 50 tisíc zařízení. Největší ztráty při napadení vyděračským softwarem přitom představují náklady na výpadek systémů. 63 % podniků, které se loni staly obětí takového útoku, uvedlo, že u nich došlo k výpadku ohrožujícímu obchodní činnost. V případě napadení zdravotnických zařízení, může výpadek ohrožovat i životy.
4. SSL

Značnou část síťového provozu tvoří důvěrná nebo citlivá data šifrovaná pomocí technologií, jako je SSL. Šifrování SSL sice chrání data protékající podnikovými sítěmi, ale zneužívají ho také kyberzločinci k ukrytí malwaru, sondování sítě a škodlivého provozu. To znamená, že je nutné otevřít a prozkoumat každou zprávu a není-li závadná, opět ji zabalit a odeslat. Tato operace je extrémně náročná na výpočetní zdroje. Při velké zátěži bezpečnostních násrojů může docházet k výraznému snížení výkonu sítě. Podniky a organizace, které pracují s aplikacemi citlivými na rychlost přenosu dat, proto buď důležitý provoz nešifrují, nebo šifrovaný provoz nekontrolují. Obě varianty však výrazně zvyšují již tak velká bezpečnostní rizika.
5. Nedostatek kvalifikovaných bezpečnostních odborníků

Podniky se potýkají nejen se stále důmyslnějšími hrozbami, ale také s nedostatkem kvalifikovaných bezpečnostních odborníků a růstem nabídky bezpečnostního softwaru. Dnes na trhu práce chybí 1 milion odborníků, v roce 2020 to podle odhadů bude o polovinu více.

Podniky se vybavují k obraně proti novým bezpečnostním hrozbám a zavádí do svých distribuovaných sítí desítky bezpečnostních řešení od různých výrobců, jejichž správa a integrace je časově náročná a pracná, přičemž většina subjektů se i bez toho potýká s nedostatkem zdrojů. Řešením je konsolidovaný přístup, kdy tradiční bezpečnostní technologie budou integrované a automatizované v rámci jednotné, úzce provázané bezpečnostní architektury, která dokáže pojmout dnešní vysoce elastické sítě a přizpůsobovat se jejich rozvoji a zároveň sledovat a chránit zařízení a data kdekoli v celém podnikovém ekosystému.

Kyberzločinci cílí na PC i mobily

29.9.2017 Novinky/Bezpečnost Kyber
S novými viry se v posledních týdnech doslova roztrhl pytel. Tyto škodlivé kódy se přitom již nezaměřují pouze na klasické počítače, stále častěji se je kyberzločinci snaží propašovat také do chytrých telefonů.
Důvod je jasný. Zatímco na zabezpečení počítačů si většina uživatelů dává již velký pozor, u mobilů řeší riziko kybernetických útoků málokdo. A to platí i o počítačových tabletech.

Přitom právě na zmiňovaných zařízeních uživatelé velmi často uchovávají citlivé osobní údaje, přístupová hesla a v neposlední řadě je používají také k obsluze svých bankovních účtů.

Právě poslední zmiňovaná činnost je pro počítačové piráty patrně nejatraktivnější. Pokud se počítačoví piráti dostanou k přihlašovacím údajům do internetového bankovnictví, jsou jen krůček od vybílení účtu. Stačí, aby se jim podařilo na telefon propašovat dalšího nezvaného návštěvníka, který dovede odchytávat SMS zprávy pro potvrzení plateb.

Právě proto je důležité chránit antivirovými programy a dalšími bezpečnostními nástroji nejen PC, ale také chytré telefony.

Důležitá je prevence
Před podobnými nezvanými hosty dokážou počítače, tablety i chytré telefony ochránit speciální programy. Kromě klasických antivirů jde například o aplikace, které se soustředí pouze na špionážní software a hledání trojských koňů.

Jiné programy zase dokážou v operačním systému nalézt tzv. keyloggery, které jsou schopné zaznamenávat stisk každé klávesy a nasbíraná data odesílat útočníkovi. Na PC i mobilu by měl být nainstalován vždy jen jeden bezpečnostní program svého druhu. Dva antiviry na disku dokážou udělat pěknou neplechu. Samotný antivirus ale zárukou bezpečí není.

Velmi důležité jsou také aktualizace, protože právě chyby v operačním systému a nejrůznějších programech počítačoví piráti velmi často zneužívají k tomu, aby do něj propašovali nezvané návštěvníky.

Sledují každý krok uživatele
Před novým virem, který je vylepšenou verzí bankovního malwaru zvaného Svpeng, varoval bezpečnostní expert ze společnosti Kaspersky Lab Roman Unuchek. Právě on totiž hrozbu objevil jako první.

Tento vylepšený záškodnický program jasně ukazuje, jak se v poslední době počítačoví piráti vyvíjejí. Kombinují různé škodlivé kódy tak, aby byli schopni nepozorovaně ukrást z cizího zařízení citlivá data a následně je zneužít – v tomto konkrétním případě je řeč o přístupových údajích do internetového bankovnictví.

Podvodníkům jde nejčastěji o peníze.
Většina bankovních trojských koňů je totiž poměrně snadno odhalitelná, alespoň pokud se bavíme o těch určených pro chytré telefony. Uživateli totiž na displeji podstrčí při pokusu o přihlášení do internetového bankovnictví podvodnou stránku, u které jde však velmi často poznat, že jde o padělek. Pozornější uživatelé tak zpravidla na tento trik nenaletí a kyberzločincům své přihlašovací údaje na zlatém podnose nenaservírují.

I když výjimky se pochopitelně také najdou. Upravená verze škodlivého viru Svpeng je však daleko sofistikovanější. Obsahuje totiž zabudovaný keylogger, který zaznamenává doslova veškerou činnost uživatele na napadeném smartphonu. Počítačoví piráti se tak dozvědí přihlašovací údaje i ve chvíli, kdy je uživatel skutečně zadává do legitimního formuláře banky.

Další část trojského koně se pak postará o zbytek – odchytne potvrzovací zprávu a zneužije ji. Počítačoví piráti pak mohou velmi snadno vybílit svým obětem celý účet.

Podvodníci to zkoušejí i přes tiskárny
Na pozoru by se měli mít v poslední době lidé, kteří obdrží e-mail s naskenovaným souborem. I když se může na první pohled zdát, že jej zaslala skutečně nějaká tiskárna, ve skutečnosti jde o podvod. A počítačovým pirátům jde pouze o to, aby mohli důvěřivce oškubat. Na množící se podvody upozornil český Národní bezpečnostní tým CSIRT.CZ.

Podle něho zneužívají podvodníci fakt, že moderní tiskárny skutečně dokážou naskenované dokumenty odeslat přímo do e-mailové schránky. „Aktuálně zaznamenáváme zvýšený výskyt e-mailů přesvědčivě se tvářících jako oskenovaný soubor poslaný tiskárnou,“ uvedl Pavel Bašta, bezpečnostní analytik CSIRT.CZ, který je provozován sdružením CZ.NIC.

Podle něj nebezpečí tkví právě v příloze, která je součástí nevyžádaného e-mailu. „V příloze je přiložený archív s příponou .rar. V archívu je zabalený .vbs skript, který již poté dokáže napáchat škodu,“ podotkl Bašta.

„Dle některých výzkumníků se s největší pravděpodobností jedná o novou variantu ransomwaru Locky, který šifruje soubory oběti a přidává jim následně příponu .lukitus. Námi zachycený vzorek je v současnosti úspěšně detekován pouze některými antiviry,“ varoval bezpečnostní expert.

To jinými slovy znamená, že nový škodlivý kód, který se šíří prostřednictvím příloh v e-mailu, nemusí antivirové programy vůbec rozeznat. Uživatelé tak po otevření přílohy vlastně ani nemusí vědět, že si zavirovali počítač.

Nebezpečný červ pro mobily
Milióny chytrých telefonů s operačním systémem Android z různých koutů světa se podařilo kyberzločincům infikovat nebezpečným červem, který lidem postupně tahal z kapes peníze. Z napadených zařízení totiž odesílal placené prémiové SMS zprávy.

Tímto škodlivým kódem zvaným ExpensiveWall se počítačovým pirátům podařilo infikovat nejméně 50 aplikací, které byly dostupné prostřednictvím oficiálního obchodu Google Play. To jinými slovy znamená, že do svého zařízení si lidé nezvaného návštěvníka stáhli s nějakým dalším programem, aniž to tušili. Všechny infikované programy – například aplikace Lovely Wallpaper – již byly z internetového obchodu staženy. I taky ale podle odhadů bezpečnostních expertů stihli počítačoví piráti škodlivým kódem nakazit až 4,2 miliónu zařízení.

Číslo přitom není v žádném případě konečné, neboť červ ExpensiveWall se vedle oficiálního obchodu Googlu šířil pravděpodobně také skrze aplikace nabízené na různých internetových fórech apod. Podle Check Pointu tak počet infikovaných zařízení dohromady pravděpodobně překročil číslovku 21 miliónů.

Je důležité upozornit na to, že jakákoliv infikovaná aplikace nainstalovaná na zařízení před tím, než byla odstraněna z Google Play, stále zůstává na zařízeních uživatelů aktivní. Uživatelé, kteří tyto aplikace stáhli, jsou proto stále v nebezpečí a musí je ručně odstranit ze svých zařízení.

Legitimní aplikace mohou být zavirované
CCleaner je velmi oblíbený program, který slouží k čištění zbytkových souborů v počítači. Jedna z jeho posledních aktualizací však obsahovala virus, jímž byly infikovány dva milióny počítačů. Výjimkou nejsou ani stroje z České republiky, i když přesný počet tuzemských obětí zatím není známý.

Škodlivým kódem přitom byla nakažena oficiální verze programu dostupná přímo na stránkách výrobce. Virus v aplikaci CCleaner objevil tým bezpečnostních výzkumníků Cisco Talos, který neprodleně informoval zástupce Avastu o tom, že jsou jejich uživatelé v ohrožení.

V počítači přitom virus, který se šířil prostřednictvím CCleaneru, dokáže udělat pěknou neplechu. „Pokud je tento malware v počítači uživatele nainstalovaný, mohou získat hackeři přístup do uživatelova počítače i do ostatních propojených systémů,“ uvedli bezpečnostní experti.

„Následně pak mohou získat přístup k citlivým datům či přístupovým údajům k internetovému bankovnictví nebo jiným účtům,“ zdůraznili výzkumníci z týmu Cisco Talos s tím, že hrozba je tedy pro uživatele velmi vážná. Že byla jedna z aktualizací CCleaneru skutečně zavirovaná, potvrdili už i zástupci antivirové společnosti Avast. Právě tento podnik za vývojem bezplatného nástroje pro čištění počítačů stojí.

Antivirové programy jednoduše obejdou
Bezpečnostní experti ze společnosti Check Point odhalili nový způsob, jak mohou počítačoví piráti relativně snadno obejít zabezpečení počítačů s operačním systémem Windows 10. Tato metoda přitom nezneužívá žádnou bezpečnostní trhlinu, ale jednu z funkcí tohoto operačního systému.

„Technika nazvaná Bashware využívá novou funkci Windows 10 nazvanou Subsystem for Linux (WSL), která ještě nedávno byla jen v betaverzi, ale nyní už je plně podporovanou funkcí Windows,“ uvedl Petr Kadrmas, bezpečnostní odborník ze společnosti Check Point.

Jde o oblíbený linuxový terminál (Bash), jenž je dostupný pro uživatele operačního systému Windows a umožňuje nativně spustit soubory z Linuxu v operačním systému Windows. Tento hybridní koncept tedy umožňuje současně kombinovat systémy Linux a Windows.

Bezpečnostní řešení v desítkách však ale ještě stále nejsou přizpůsobena pro sledování procesů spustitelných linuxových souborů. „Kyberzločincům se tak otevírají nová dvířka, jak nepozorovaně spustit škodlivý kód a využít funkce WSL k maskovaní před bezpečnostními produkty, které ještě neimplementovaly odpovídající detekční mechanismy,“ zdůraznil Kadrmas.

„Check Point testoval tuto techniku na většině předních antivirových a bezpečnostních produktů a malware nebyl detekován. Bashware tak může potenciálně ovlivnit libovolný ze 400 miliónů počítačů, které v současné době pracují se systémem Windows 10,“ podotkl bezpečnostní expert.

Na hrozbu nemůže z logiky věci zareagovat samotný Microsoft, ale tvůrci jednotlivých antivirových řešení. Ta musí být schopna pracovat jak v prostředí Windows, tak Linuxu. V opačném případě jsou uživatelé vystaveni riziku.

Přichází nový typ kyberútoků s cílem masivně poškozovat firmy

25.7.2017 SecurityWorld Kyber
Kybernetické hrozby se vyvíjejí extrémně rychle. V budoucnu se setkáme s novým typem ničivých kybernetických útoků, tzv. DeOS útoky (z anglického Destruction of Service).

Budoucí DeOS útoky budou mít jediný cíl – napáchat maximální škody a zničit veškeré zálohovací mechanismy, které organizace potřebují k obnově systému a dat. S těmito závěry přišla studie Cisco 2017 Midyear Cybersecurity Report, která pravidelně mapuje globální trendy a situaci v kybernetické bezpečnosti.

Studie dále poukazuje na to, že je na vzestupu obchod s vyděračským softwarem, ransomwarem, a jeho spuštění se pro útočníky stává stále snazším. Větší škody ale globálně způsobí útoky využívající sociálního inženýrství. Ty se zaměřují na konkrétní firmy a snaží se donutit oběť, aby útočníkovi převedla své peníze. Za 3 roky si takto hackeři vydělali 5,3 miliardy dolarů.

Studie také přinesla závěry průzkumu mezi 3000 bezpečnostními profesionály, který ukázal, s jakými největšími výzvami se potýkají jednotlivá průmyslová odvětví.

„Nedávné globální útoky ransomwaru WannaCry a Nyetya ukázaly, že tradiční útoky vyděračských softwarů se stávají stále ničivějšími. Odhadujeme, že jsou tyto incidenty předzvěstí nového typu, tzv. DeOS útoku, který dokáže napáchat mnohem větší škody, a ze kterého se napadené organizace budou jen těžko vzpamatovávat,“ říká Milan Habrcetl, bezpečnostní expert společnosti Cisco a doplňuje: „Nové možnosti kybernetickým útočníkům otevírá také rychlý rozvoj internetu věcí. Nedávná aktivita některých internetových robotů provádějících nežádoucí činnost (tzv. botnetů) naznačuje, že útočníci mohou položit základy počítačových hrozeb s obrovským dopadem, které by potenciálně mohly narušit i samotný provoz internetu. Dnes vidíme, že lépe na takové útoky reagují firmy, které průběžně monitorují provoz v síti a bezpečnostní řešení je její součástí.“

Výzkumníci společnosti Cisco monitorovali vývoj kybernetických hrozeb v první polovině roku 2017 a zjistili i nové postupy útočníků. Ti stále častěji využívají technik, které vyžadují uživatelovo kliknutí na infikovaný odkaz či přílohu emailu. Hackeři dnes vyvíjejí malware, který nemá formu klasického souboru, ale ukládá se rovnou do paměti.

Tento typ je mnohem náročnější detekovat a analyzovat, neboť se automaticky vymaže po restartování počítače. Útočníci také stále častěji spoléhají na anonymizovanou a decentralizovanou infrastrukturu, jako je například proxy služba Tor.

Studie společnosti Cisco ukazuje aktuální trendy a techniky, které útočníci využívají. Mezi ně patří:

Ransomware jako služba: Podle odhadů dosáhl zisk kybernetických útočníků z ransomware kampaní v roce 2016 více než 1 miliardu amerických dolarů. I proto se černý trh rozrůstá a společnost Cisco pozoruje nárůst modelu Ransomware jako služba (Ransomware‑as‑a‑service). Ten umožňuje útočníkům provést útok vyděračského softwaru, aniž by oni sami disponovali potřebnými nástroji a dovednostmi.
Sociální inženýrství: Větší finanční ztrátu než ransomware způsobily organizacím útoky s podvodnými emaily, které využívaly také technik sociálního inženýrství. V nich se útočnici snaží, aby organizace v domnění, že jde o legální transakci, převedly peníze na jejich účet. Tento byznys je velmi výnosný. Podle odhadů odborníků z amerického týmu Internet Crime Complaint Center dokázali hackeři mezi říjnem 2013 a prosincem 2016 tímto způsobem vydělat 5,3 miliardy dolarů.
Objem spamu stále narůstá: Kybernetičtí útočníci stále častěji využívají k šíření útoků nevyžádanou poštu. Výzkumníci společnosti Cisco očekávají, že objem spamu poroste i nadále, zatímco obliba exploit kitů (nástroje pro šíření škodlivého softwaru) bude klesat.
Firmy podceňují spyware a adware: Mnoho bezpečnostních odborníků stále považuje soubory typu spyware (špehovací software odesílající data bez vědomí uživatele) a adware (software zobrazující nevyžádané reklamy)za spíše nepříjemné než nebezpečné. Nicméně i tyto soubory mohou znamenat pro firmy vysoké riziko. Výzkumníci společnosti Cisco odhalili, že 20 % firem má ve firemní síti alespoň jeden ze 3 nejrozšířenějších typů spywaru. Ty přitom mohou odesílat útočníkům informace o firmě a tím zvýšit riziko nakažení skutečným malwarem.

Studie Cisco 2017 Midyear Cybersecurity Report dále zkoumala, jakým hlavním hrozbám čelí jednotlivá průmyslová odvětví. I přesto, že hackeři používají sofistikovanější techniky a zvyšují intenzitu, organizace se stále potýkají i se základními požadavky na kyberbezpečnost. Se stále užším propojením IT a operačních technologií, i v souvislosti s rozvojem internetu věcí, se firmám nedaří zajistit viditelnost provozu sítě a komplexní přístup k bezpečnosti.

Průzkum, kterého se zúčastnilo 3000 bezpečnostních profesionálů, zjistil, že bezpečnostní týmy jsou neustále pod tlakem zvyšujícího se množství útoků. Dále průzkum zjistil, že:

Pouze 2/3 organizací skutečně prošetřují bezpečnostní upozornění. V některých odvětvích (například zdravotnictví či doprava) je to dokonce jenom kolem 50 %.
I v nejrizikovějších odvětvích (jako je finančnictví či zdravotnictví) jsou podniky schopny efektivně reagovat na skutečné útoky v méně než 50 % případů.
Úspěšné průniky jsou motivací ke zlepšení. Napříč většinou odvětví znamená úspěšný útok přinejmenším minimální posílení bezpečnosti v alespoň 90 % organizací.

Mezi další zjištění v jednotlivých odvětvích patří:

Veřejný sektor: Ze všech zkoumaných hrozeb bylo 32 % z nich označeno jako skutečně oprávněných (ohrožujících). Ovšem pouze proti 47 % z nich vytvořily organizace dodatečnou obranu.
Maloobchod: 32 % podniků říká, že v posledních několika letech se jim kvůli kybernetickým útokům snížily zisky. Zhruba 25 % pak ztratilo zákazníky nebo obchodní příležitosti.
Výroba: 40 % bezpečnostních profesionálu z oblasti výroby řeklo, že nemají oficiální bezpečnostní strategii, ani neaplikují bezpečnostní normy, jako jsou ISO 27001 či NIST 800‑53.
Sektor utilit: Bezpečnostní profesionálové označili za největší bezpečnostní rizika cílené útoky (42 %) a tzv. přetrvávající pokročilé hrozby (advanced persistent threats). Ty jako největší hrozbu vnímá 40 % dotázaných.
Zdravotnictví: Za vysoké riziko označilo 37 % respondentů cílené útoky.

Šest rad na obranu

Aby se organizace efektivněji bránily současným stále sofistikovanějším útoků, měly by zvolit proaktivní přístup. Bezpečnostní tým Cisco radí:

Pravidelně aktualizujte infrastrukturu i aplikace, aby útočníci nemohli využít již známé zranitelnosti.
Bezpečnostní prvky musí být integrované. Omezte investice do izolovaných řešení.
Zapojte do kyberbezpečnosti nejvyšší členy vedení, aby porozuměli rizikům, výhodám i rozpočtovým omezením.
Vytvořte jasné metriky. Používejte je, abyste lépe pochopili přínosy konkrétních kroků a mohli svoji bezpečnost dále zlepšovat.
Zkontrolujte úroveň znalostí svých zaměstnanců prostřednictvím tréninkových postupů se zaměřením na konkrétní pracovní pozice i na obecné školení.
Snažte se vyvážit obranu s aktivní reakcí. Obrana před útoky spočívá v průběžné činnosti, nikoliv pouze v prvotním nasazení a následné pasivitě.

Hackeři pronikli do amerických elektráren

7.7.2017 Novinky/Bezpečnost Kyber
Hackeři operující ve prospěch cizího státu nedávno pronikli do nejméně tuctu amerických elektráren včetně kansaské jaderné elektrárny Wolf Creek. Napsala to v pátek agentura Bloomberg s odvoláním na informované americké činitele. Útok podle nich vyvolává podezření, že hackeři hledají slabá místa v rozvodu elektrické energie.
Experti varují, že nepřátelské síly si chtějí vytvořit podmínky pro narušení dodávky elektřiny v USA. Příslušné varování dostaly energetické podniky minulý týden. Hackeři rovněž nedávno pronikli do sítí jisté nejmenované společnosti, která vyrábí kontrolní systémy pro zařízení užívaná v elektrárenských provozech.

Hlavním podezřelým je Rusko, píše Bloomberg. Taková možnost je obzvlášť znepokojivá, protože Rusům se už podařilo vyřadit část elektrické rozvodné sítě na Ukrajině, což mohl být test jejich útočných nástrojů. Americká agentura dodává, že USA mají, jak známo, k dispozici vlastní kybernetické nástroje schopné rozvrátit nepřátelskou elektrickou síť.

Podle amerického ministerstva pro vnitřní bezpečnost Spojeným státům bezprostřední nebezpečí nehrozí. "Není náznak žádného veřejného ohrožení, protože případný dopad (hackerských útoků) se omezuje na administrativní a obchodní sítě," uvedlo ministerstvo. Partnerské ministerstvo energetiky prý s rozvodnými firmami spolupracuje na posílení bezpečnosti.

Google přestane skenovat Gmailové účty

30.6.2017 SecurityWorld Kyber
Google potvrdil, že přestane skenovat emailové účty svých uživatelům za účelem zobrazování cílené reklamy.

V svém blogovém příspěvku Diane Greenová, viceprezidentka pro Google Cloud, uvádí, že v rámci G Suite se už Gmail pro personalizaci reklamy nepoužívá, přičemž bezplatný Gmail by měl být z tohoto systému vyňat v průběhu roku.

Pro zajímavost dodejme, že počet firemních uživatelů G Suite se za poslední rok víc než zdvojnásobil, za službu v současnosti platí víc než tři miliony společností.

„Tohle rozhodnutí uvádí Gmailové reklamy do souladu s tím, jak personalizujeme reklamy pro ostatní produkty Googlu,“ uvádí Greenová.

„Reklamy jsou zobrazovány na základě uživatelského nastavení, které mohou uživatelé kdykoliv změnit, včetně vypnutí personalizace reklamy. G Suite bude nadále bez reklam.“

Greenová také dodává, že žádná jiná e-mailová služba své uživatelé nechrání před spamem, phishingem a útoky hackerů tak úspěšně jako Gmail, který má v současnosti skoro jednu a čtvrt miliardy uživatelů.

„Zobrazení možných odpovědí činí skrz funkce jako Smart Reply práci v Gmailu jednodušší, rychlejší a efektivnější. Další doplňky umožní například platby či fakturaci přímo v Gmailu, což bude další převrat v tom, co můžete s emailem dělat,“ píše ve svém příspěvku dále Greenová.

„Uživatelé G Suite i běžní uživatelé Gmailu mohou být ujištění, že soukromí a bezpečnost pro nás bude při pokračující inovaci nadále na prvním místě. Informace sdílené s Googlem zůstávají nastavitelné na myaccount.google.com.“

Novelu zákona o kybernetické bezpečnosti podepsal prezident

26.6.2017 SecurityWorld Kyber
Minulý týden prezident Miloš Zeman podepsal novelu zákona o kybernetické bezpečnosti. Nově tak vznikne úřad, který bude předcházet hackerským útokům a navrhovat opatření při řešení probíhajících incidentů. Zákon bude také vztažený na provozovatele informačních systémů v energetice nebo v dopravě, kteří budou muset hlásit bezpečnostní incidenty.
Novela zákona o kybernetické bezpečnosti přináší výrazné rozšíření tzv. povinných subjektů, které budou mít zákonnou povinnost řešit kybernetickou bezpečnost a přijmout odpovídající kroky, aby zabránily bezpečnostním rizikům.

Tuto povinnost vnáší nově do celé řady důležitých sektorů, jako např. zdravotnictví, a dalších, které poskytují kritické „základní služby“ typu utility apod.

Jednou z nejdůležitějších povinností je u všech těchto společností monitorovat dění ve vlastní síti a informačních systémech, umět vyhodnotit bezpečnostní útoky a včas je oznámit bezpečnostnímu úřadu.

Tato povinnost se vnímá jako klíčovou, neboť dnes většina společností bohužel neplní ani základní požadavky tzv. kybernetické hygieny, které spočívají mimo jiné právě ve schopnosti odhalovat útoky, odkrývat, analyzovat a řídit rizika, a sdílet informace o útocích napříč jednotlivými podniky, což jiným institucím pomůže se na případnou hrozbu lépe a včas připravit.

Nově vznikne také úřad, který bude hackerským útokům předcházet a navrhovat opatření při řešení bezpečnostních incidentů. Specializovaný orgán tak převezme část role Národního bezpečnostního úřadu. Za nesplnění nových povinností hrozí pokuta až pět milionů korun.

Riziko počítačových útoků celosvětově stoupá, v Česku to může být ročně až 1, 7 milionu kybernetických útoků s možnými ztrátami až 5, 4 miliardy korun, jak vyplývá z údajů České asociace pojišťoven.

Veřejné zprávy informující o úspěšnosti kybernetických útoků jsou ale v českém prostředí ještě stále méně časté než v zahraničí, což je částečně zapříčiněno dvěma faktory:

Schopnost detekce (neboli schopnost si vůbec všimnout probíhajícího útoku) je v ČR v průměru poměrně slabá. Společnosti by tak měly v rámci prevence rizik využívat moderních detekčních nástrojů, jež jsou k odhalení moderních hrozeb nezbytné, a zajistit si kvalitní odborníky a bezpečnostní analytiky.
V případě, že ve firmě dojde k odhalení útoku, je nyní vcelku častou praxí „zatloukat“ a nedat nic najevo. Podle zákona o kybernetické bezpečnosti nyní mají dotčené společnosti povinnost incident nahlásit úřadu. Velmi podobně k této oblasti přistupuje i nařízení GDPR, které také obsahuje povinnost každý takový incident zaznamenat, a ty významnější pak nahlásit do 72 hodin.

Koho se novela primárně dotkne?

Nově se novela ZKB bude týkat velké skupiny společností, které jsou provozovatelem tzv. základních služeb, např. banky, nemocnice, dopravní podniky atd., nebo poskytovatelem tzv. služeb digitálních – platformy pro elektronické obchodování a vyhledávače (v dosavadní verzi platného zákona zůstaly tyto společnosti mimo jeho platnost).

Základní služba je přitom slovy zákona „služba, jejíž poskytování je závislé na sítích nebo informačních systémech a jejížnarušení by mohlo mít významný dopad na zabezpečení klíčových společenských nebo ekonomickýchčinností v některém z těchto odvětví: energetika, doprava, bankovnictví, infrastruktura finančních trhů, zdravotnictví, dodávky a rozvody pitné vody, digitální infrastruktura, chemický průmysl a veřejná správa.“

Digitální službou se pak rozumí „služba informační společnosti, která spočívá v poskytování služby online tržiště, které spotřebitelům umožňuje online uzavírat s prodávajícím kupní smlouvu nebo smlouvu o poskytnutí služeb, internetového vyhledávače nebo cloud computingu, který umožňuje přístup k rozšiřitelnému a přizpůsobitelnému úložišti výpočetních zdrojů, jež je možno sdílet“.

Novelu zákona o kybernetické bezpečnosti uvítá snad každý, kdo má zdravý selský rozum, a ví, že dnes je opravdu životně důležité zajistit bezpečnost informačních systémů, zejména v uvedených kritických oborech jako jsou energetika, vodárenství, zdravotnictví atd. Právě zdravotnictví totiž dosud trpělo poměrně značnou neschopností zajistit si pro tyto účely potřebné zdroje, ať již finanční nebo lidské. Zákon by jim v tom měl nyní pomoci.

Pro většinu podniků však bude včasné splnění požadavků ZKB vzhledem k vysokému stupni zanedbanosti a finančnímu podhodnocení v minulých letech velmi obtížné.

Jak do budoucna sladit pravidla novely ZKB s další legislativou v této oblasti, např. GDPR?

Vztah novely ZKB, jejíž účinnost lze očekávat ke konci léta, případně začátkem podzimu, s evropským nařízením GDPR, které bude platné od 25. 5. 2018, je dvojsečný. Na jedné straně se shodují především ve dvou oblastech, a to v: 1) nutnosti umět včas detekovat a správně vyhodnotit nejrůznější typy kybernetických útoků, hrozeb a rizik, a umět na tato rizika rychle a účinně reagovat (povinnost incidenty včas hlásit), 2) potřebě věnovat kybernetické a informační bezpečnosti větší pozornost a prostředky.

Velké rozdíly se pak vnímají mezi smyslem a obsahem obou legislativ, za upozornění přitom stojí zvláště cíl ochrany a přístup k výběru bezpečnostních opatření.

ZKB si klade za cíl především ochránit funkčnost a dostupnost základních služeb, například aby byla k dispozici pitná voda, fungovala elektřina, jezdily dopravní prostředky, fungovaly státní orgány, banky apod.

Cílem GDPR je pak zejména ochrana soukromí a práv fyzických osob z pohledu ochrany zpracování jejich osobních údajů – aby nikdo neukradl, nezveřejnil, nezměnil či nevymazal jejich osobní data.

V přístupu k výběru bezpečnostních opatření je pak novela zákona o kybernetické bezpečnosti jasnější, neboť přesně stanovuje konkrétní seznam bezpečnostních opatření, která musí každá společnost, na niž se ZKB vztahuje, přijmout.

Jde například o ochranu přístupu do sítě, zajištění bezpečného přihlašování jejích uživatelů, využití šifrovacích technologií, pravidelný monitoring apod. U evropského nařízení GDPR je přístup založený na individuálním hodnocení rizik.

To znamená, že je na každém správci dat, aby si sám vyhodnotil, kolik osobních údajů zpracovává, jaké mají tyto údaje hodnotu nejen pro něj, ale i pro případné útočníky, jak rozsáhlé jsou systémy, v nichž údaje zpracovává, kolik uživatelů má do těchto systémů přístup a jak jsou jednotlivé systémy zranitelné.

Dle úvodní analýzy si tak každý vyhodnotí konkrétní rizika a přijme adekvátní bezpečnostní opatření (např. šifrování dat, jejich anonymizaci, monitoring atd.).

Oko za oko platí i v kyberbezpečnosti

4.6.2017 Novinky/Bezpečnost Kyber
V devadesátých letech byly v módě aplikace, jež bychom dnes bez uzardění označili za agresivní. Vycházely z filozofie: „Napadl jsi mne? Tak já na oplátku napadnu tebe!“ Na zjištěné hrozby tak reagovaly rozesíláním spamu, virů, prováděním útoků DoS apod.
Agresivní aplikace měly před dvaceti lety podobu například spořičů obrazovky, které v době své aktivace (= v době nečinnosti uživatele počítače) napadly třeba odesílatele spamu. Buď podle svého vlastního algoritmu, na přání uživatele nebo podle nějakého z webu získaného seznamu.

Zjednodušeně by se také dalo říci, že jsme se z obránců díky nim stávali útočníky.

Tyto aplikace rychle dosáhly velké obliby a k vidění byly nejen u domácích uživatelů, ale i v mnoha firmách (a ve vzácných případech dokonce i ve státních organizacích), které je braly jako „levnou bezpečnost“.

Navíc panovalo přesvědčení, že když na útočníky společně zatlačíme, tak je zničíme. Jenže stejně rychle, jako se objevily, tak i tyto aplikace zmizely.

Jejich slabé stránky jsou nabíledni – takže jen stručně. V první řadě byly absurdní: atakovat někoho, kdo využívá např. DoS útok, znamenalo, že jsme mu pomáhali palebnou sílu znásobit. Kdepak bylo psáno, že úder vracíme skutečnému útočníkovi, a ne podstrčené IP adrese?

Dalším problémem je právní rámec takovéhoto konání, protože podobný útok je zcela jistě „nepřiměřenou obranou“. Bezpečnostní firmy pak nerozlišovaly motivaci útočníka: na blacklistech nebo seznamech nedůvěryhodných subjektů končili útočníci i jejich zuřivě se bránící oběti. Jaké to mělo pro mnoho organizací důsledky, jistě netřeba zdůrazňovat.

V oblasti informační bezpečnosti se ale říká, že všechno už tady někdy v nějaké podobě bylo a že je těžké přijít s něčím skutečně novým a originálním. Staré nápady se tak pouze vracejí v různých modernizovaných podobách.

Moderní háv

Není tedy na čase, aby aplikace pracující stylem „oko za oko, zub za zub“ opět dostaly příležitost?

Pokud si teď klepete na čelo, máte naprostou pravdu: výše popsaná řešení z devadesátých let by pochopitelně dnes natropila více škody než užitku (pokud za užitek nepovažujeme velkou pozornost médií).

Ale co kdyby se tento koncept upravil, aby nepřipomínal divokou éru devadesátých let, nýbrž reflektoval skutečnosti 21. století? Reakce takového systému by musela být jiná, ale hlavně by byla aktivní.

Současné kapacity bezpečnostních systémů jsou proti motivovaným a pokročilým útokům příliš pasivní. I když jejich propagátoři často tvrdí něco jiného, čísla hovoří jasně.

Tradiční model obrany znamená, že od útoku po jeho odhalení uplyne (podle výzkumu Gartneru) průměrně 229 dní. A dalších 32 dní trvá, než jsme schopni vytvořit adekvátní odpověď na průnik. Samozřejmě lze zpochybnit metodiku, ale výstupy od jiných subjektů se příliš neliší: Ponemon Institute tvrdí, že na odhalení je třeba 197 dní, FireEye hovoří o 146 dnech.

Dnes se totiž hlavní důraz klade na prevenci, což je sice dobře, ale hříchem je, že často je to jediný způsob zajištění bezpečnosti. Má přitom silně omezené možnosti odhalení pokročilých útoků, u kterých je na pořadu dne nejtěžší otázka ICT bezpečnosti: „Jak zjistím, že se něco děje?“

Nelze zpochybnit, že jsme pod permanentním útokem – a z toho se dá usoudit, že tedy i ve stavu trvalé kompromitace. Reagovat tak jen na izolované incidenty není příliš šťastné řešení. Je třeba se posunout z „reakce na incidenty“ k „trvalé reakci“.

Zatímco jednorázová reakce zpravidla řeší jeden konkrétní problém, čelíme útokům trvalým. Mnoho z nich přitom představuje „dělostřeleckou přípravu“ nebo prachobyčejnou snahu o odvedení pozornosti.

Adaptive Security Architecture

V takové chvíli se otevírá prostor pro technologii, které je označovaná jako adaptivní bezpečnostní architektura – Adaptive Security Architecture. Jejím cílem je trvale upravovat systém a jeho nastavení, tak aby z hlediska útočníka nepředstavoval statický bod s prakticky neomezeným počtem pokusů o zásah, ale živý organismus aktivně se měnící a pohybující se.

Jeho základem je detekce, která nevyužívá signatury (proč taky, když 75 procent malwaru se použije jen jednou) a naopak pracuje s vícestupňovými virtuálními stroji, které se průběžně „učí“.

Následuje prevence, jež nabízí vícevektorový pohled na celý systém. Dalo by se také hovořit o shromažďování co nejširších dat. Analýza dat pak data agreguje a provádí rekonstrukci řetězců událostí.

Zatímco izolovaná akce se v takovém případě může jevit jako neškodná, v širším kontextu představuje přinejmenším varovně zdvižený prst nebo rovnou jeden střípek ze široké mozaiky útoku. A nakonec je to řešení, které automaticky odhalené hrozby eliminuje a zlepšuje řízení rizik.

Celý proces pak končí ve smyčce. Ovšem ne proto, aby ověřil funkčnost navrženého postupu jako většina soudobých systémů, ale proto, aby znovu hledal možné stopy, příznaky, náznaky – prostě cokoliv, co k běžnému provozu nepatří.

Že jste prakticky všechno výše uvedené už někdy někde slyšeli? To je samozřejmě pravda, ale rozhodně přišel čas na přebalení existujících technologií do nových balíčků. Roky neodhalené průšvihy hovoří jasně o tom, že současné technologie mají své slabiny. A že je čas na radikální akci a vykročení vpřed.

Kybernetická válka má své zákony i svůj manuál

2.6.2017 Novinky/Bezpečnost Kyber
Informační dálnice není Divoký západ, kde vládne anarchie, ale mohou a měly by se na ní uplatňovat mezinárodní zákony a předpisy, soudí experti na mezinárodní právo, kteří dali dohromady i příslušnou příručku, napsala agentura AFP z konference o počítačovém válčení.
Tallinn Manual 2.0 vytisklo v angličtině nakladatelství Cambridge University Press jako druhé vydání příručky, která poprvé vyšla v roce 2013. Jde o jedinečné dílo svého druhu, ve kterém se devatenáct právníků pokusilo stanovit pravidla, jimiž by se měly či mohly řídit vlády v případě kybernetických konfliktů.

"Estonsko čelilo v roce 2007 masivnímu počítačovému útoku. Následující rok vypukl konflikt mezi Ruskem a Gruzií, ve kterém se odehrála rovněž spousta kybernetických aktivit," řekl americký profesor Michael Schmitt z Exeterské univerzity, který práce na příručce vedl.

Masivní útoky hackerů
Od středy se v Tallinnu účastní již deváté konference o kybernetických konfliktech (CyCon), které od roku 2009 každoročně pořádá středisko NATO pro počítačovou obranu se sídlem v estonské metropoli. Vzniklo v důsledku masivního útoku hackerů na Estonsko, který místní úřady přisoudily Rusku.

"Mezinárodní společenství se kvůli tomu začalo zajímat o kybernetické konflikty. Reakce zněla: 'Panebože, nemohu odpovědět na žádné otázky!' Tak se zrodil nápad na tuto knížku," vysvětluje profesor Schmitt, který také stojí v čele katedry mezinárodního práva na škole amerického námořnictva.

"Zpočátku se ustavičně mluvilo o virtuálním Divokém západě, kde žádný zákon nemůže platit. My právníci jsme věděli, že zákony jsou, ale netušili jsme, jak je uplatnit," říká.

Přesto bylo naléhavě potřebné odpovědět na následující otázky: Stanoví počítačový útok právo na legitimní obranu? Jak útok přiřadit k útočníkovi? Jaké postavení mohou mít oběti? Jak reagovat? Co dělat, když nemůže být předložen žádný důkaz o vině útočníka, je-li tak snadné smazat stopy?

"Když bylo v roce 2007 napadeno Estonsko, chráněné článkem pět alianční smlouvy (podle kterého je útok proti jednomu členskému státu útokem proti celé Alianci), mělo to znamenat, že NATO musí Estonsku přijít na pomoc, anebo ne? Byl to útok proti civilnímu obyvatelstvu, a proto došlo k porušení mezinárodního humanitárního práva? Nikdo neznal odpovědi," připomněl Schmitt. "Bylo to, jako kdybychom začali hrát fotbal, aniž bychom znali, jak se dávají góly, co jsou fauly a kdo může být rozhodčí," dodal.

Nedokázali se shodnout
Devatenáct expertů, většinou profesorů mezinárodního práva, se tak pokusilo na 642 stránkách srovnat právní terén, často technicky velmi obtížný, aniž váhalo přiznat, kdy se nedokázali shodnout.

Má být například počítačová špionáž považována za vyzvědačskou operaci s využitím internetu, tedy v zásadě za přípustnou, anebo za agresi? Smí stát používat hesla svého válečného zajatce na sociálních sítích? Seznam otevřených otázek je dlouhý a odpověď na všechny nelze najít ani v Tallinn Manual.

"Nesnažíme se psát zákony," ujišťuje Schmitt. "To dělají vlády. Tato knížka se snaží vysvětlovat zákony. Je mým cílem, aby ji měli na stole všichni právníci ministerstev obrany, zahraničí, rozvědek. Pak by mohli říci: toto je situace, které čelíme, a toto můžeme udělat."

"Pokud zákon není jasný, musíte přijmout politické rozhodnutí. Ale přinejmenším debata postoupila dále. Už to není 'Panebože, co máme dělat?'," dodává Schmitt

Svět není připraven na nové kybernetické hrozby, varoval bezpečnostní expert

3.4.2017 Novinky/Bezpečnost Kyber
Způsob vedení válek se změnil a země světa se zatím neumí vypořádat s novými metodami útoků, které jsou vedeny po internetu. Nejnebezpečnější útoky přitom nevedou jednotlivci, ale přímo státy, často ve spolupráci se zločineckými organizacemi. Řekl to izraelský odborník na kybernetickou bezpečnost Lior Tabansky, který se v Praze minulý týden zúčastnil konference o mezinárodní bezpečnosti.
"Vznikly nové způsoby, jak vést válku," řekl specialista, který působí v úřadu pro kybernetickou bezpečnost spadajícím pod izraelskou vládu. Hackerské útoky, jako bylo nedávno odhalené napadení e-mailů českého ministerstva zahraničí, přitom podle něj nejsou tím hlavním rizikem. "To je tradiční špionáž, je to běžné a jsou i způsoby, jak omezit rizika. Mnohem větší obavu mám z destruktivních útoků, které kybernetické technologie umožňují," řekl.

Podle Tabanského je už nyní možné přes internet napadnout a fyzicky ochromit základní průmyslovou infrastrukturu států.

"Víme, jak se bránit proti konvenčním zbraním, máme prostředky, jak útočníky odstrašit. Ale na kybernetické útoky zatím nejsme připraveni. Tento způsob útoku obchází naši obranu, což je nezdravá situace a znamená, že stojíme proti velmi vážné hrozbě," řekl Tabansky.

Útoky, za kterými stojí státy
Nejvážnějším rizikem jsou podle Tabanského útoky organizované jednotlivými státy. "Často ale spolupracují s organizovaným zločinem pro vzájemný prospěch, takže je těžší než v minulosti rozlišovat mezi nimi," upozornil.

O tom, z jakého regionu hrozby nejčastěji přichází, přímo nemluvil, naznačil však, kdo pravděpodobně zájem na vedení kybernetického konfliktu nemá. "Zkušenost nám ukazuje, že země, které jsou nyní silné a kontrolují světový řád, nejsou ty, které by vyvíjely nástroje pro jeho rozbíjení. Zájem na tom mají spíš země, kterým současné uspořádání nevyhovuje," řekl.

Země světa se podle Tabanského musí zaměřit na vývoj nových obranných konceptů, které budou schopny na kybernetické hrozby reagovat. Upozornil ale, že se tím vytváří dilema mezi právem na ochranu a právem na soukromí. "Pokud chceme chránit kybernetické systémy, musíme je sledovat, vědět, co se v nich děje. A to samozřejmě vytváří konflikt se základními lidskými svobodami," řekl.

Mezinárodní spolupráce v obraně proti kybernetickým hrozbám je podle Tabanského jen omezená, a to i když jsou země součástí obranných aliancí. "Jsou tu jisté limity v tom, co chce jedna strana sdílet s tou druhou. I když jste členem mezinárodní aliance, většina odpovědnosti za národní bezpečnost zůstává na národních úřadech," řekl.

Kybernetické útoky proti Rakousku prováděl Turek žijící v USA

28.2.2017 Novinky/Bezpečnost Kyber
Za nedávnými kybernetickými útoky proti klíčovým institucím v Rakousku stojí turecký nacionalista žijící v USA. S odvoláním na rakouskou rozvědku o tom informoval server listu Der Kurier. Podle deníku se ale asi nepodaří zjistit, zda Arslan A. jednal na vlastní pěst, nebo ve spolupráci s tureckou tajnou službou MIT.
V Rakousku se v posledních měsících stalo terčem hackerů letiště, ministerstva, centrální banka a parlament. K útokům se přihlásila anonymní turecká skupina, která jako motiv uvedla "k Turecku nepřátelské" chování Rakouska. Vídeň například žádala zmrazení přístupových jednání mezi Evropskou unií a Ankarou.

Hlavní podezřelý, identifikovaný jako Arslan A., žije s bratrem a bratrancem v bungalovu ve městě Bowling Green ve východoamerickém státě Kentucky. Úřady Spojených států se mužem již zabývají a vyšetřuje jej také rakouská justice.

Útočil i v jiných zemích
Arslan A. napadl kromě cílů v Rakousku také servery v Izraeli, Iráku a v samotných USA. Jeho terčem se stal i server turecké Strany kurdských pracujících (PKK), která vede ozbrojený boj za autonomní Kurdistán. Pro své útoky využíval síť 600 počítačů nakažených škodlivým programem ve 150 zemích světa.

Série útoků začala loni v září, kdy se tehdy neznámí hackeři pokusili ochromit server vídeňského letiště. To se však dokázalo ubránit. Několik dní poté byl napaden server centrální banky.

Na konci listopadu se terčem stalo ministerstvo zahraničí, které ale útok také odrazilo. O dva dny později se hackeři zaměřili na ministerstvo obrany, přičemž dočasně vyřadili web rakouské armády. Jako poslední čelil letos 5. února napadení parlament.

Kyberzločinci vyřadili z provozu web rakouského parlamentu

7.2.2017 Novinky/Bezpečnost Kyber
Počítačoví piráti v neděli na zhruba dvacet minut vyřadili z provozu webové stránky rakouského parlamentu, k žádným neveřejným datům se ale nedostali. V prohlášení to uvedl parlament s tím, k žádným škodám nedošlo a že případem se zabývají bezpečnostní úřady. K činu se mezitím přihlásila turecká islamistická skupina Tým lvích vojáků (ANT), uvedla agentura Reuters.
"Napadení hackery bylo podle všeho vedeno takzvaným DDoS útokem, terčem podobného útoku byly loni v prosinci weby ministerstva zahraničí a obrany," upřesnil v prohlášení parlament.

Útok DDoS (Distributed Denial of Service) má vždy stejný scénář. Stovky tisíc počítačů začnou přistupovat v jeden okamžik na konkrétní server. Ten zpravidla nezvládne tak vysoké množství požadavků zpracovat a spadne. Pro běžné uživatele se pak takto napadená webová stránka tváří jako nedostupná.

ANT na svém webu uvádí, že chrání vlast, islám, národ a vlajku. Reuters poznamenal, že vztahy mezi Tureckem a Rakouskem v loňském roce značně ochladly poté, co Rakousko vyzvalo ke zmrazení přístupových rozhovorů mezi Evropskou unií a Ankarou.

Vídeň tak reagovala především na počínání tureckých úřadů po loňském neúspěšném pokusu o svržení prezidenta Recepa Tayyipa Erdogana. ANT rovněž na webu oznámil, že provádí operace proti prokurdské Lidové demokratické straně (HDP), rakouské centrální bance a jistému rakouskému letišti.

Útokům čelilo i Česko
Masivním útokům typu DDoS čelily v roce 2013 některé tuzemské servery. Směřovány byly nejprve na zpravodajské weby, potom na portál Seznam.cz, servery bank a telefonních operátorů.

Podle bezpečnostních expertů šlo tehdy o největší kybernetický útok v celé historii Česka.

Terčem kyberútoku se loni stala celosvětově pětina firem

6.2.2017 Novinky/Bezpečnost Kyber
Podíl firem, které se ve světě staly terčem kybernetického útoku, se loni zvýšil o šest procentních bodů na 21 procent. Celková odhadovaná škoda za rok 2016 je 279 miliard amerických dolarů (skoro sedm biliónů korun). Nejvíce na vzestupu bylo vydírání. Vyplývá to ze studie Grant Thornton, která zahrnuje informace 10 000 společností z 37 zemí.
V Severní Americe útoky přiznalo 24 procent firem, v EU dokonce 32 procent firem. Průměr stahuje dolů asijsko-pacifický region se 13 procenty napadených firem. Citelný nárůst kyberkriminality se však týká všech regionů.

Nejčastějším primárním důsledkem kyberútoků je zhoršená reputace, kterou uvedlo 29 procent společností, následuje ztráta času a energie, kterou je nutné vynaložit na nápravu vniklých škod. Ztrátu zákazníků označilo jako primární škodu 16 procent společností a sedm procent firem pocítilo přímý pokles obratu.

Vydírání je v kurzu
Nejčastěji se vyskytující formou kyberútoku je poškození obchodní infrastruktury. Tuto variantu přiznalo 22 procent napadených firem. Zkušenost s vydíráním pod pohrůžkou zveřejnění informací, násilí nebo poškození aktiv firmy přiznalo 17 procent společností.

"Vydírání je v paletě finančních zločinů tradičně vnímáno jako velmi nekalá praktika. V online světě je navíc vydírání velmi dobře organizované. Samotným útokem to však nekončí. Organizaci v návaznosti na tento útok vznikají další finanční ztráty vlivem poškozené reputace, zcizení informací, duševního vlastnictví, eventuálně fyzických škod na infrastruktuře," uvedl partner Grant Thornton David Pirner.

Podle expertů z Grant Thornton reagují společnosti na kyberútoky příliš pozdě. Celkem 13 procent firem zjistilo, že se staly oběťmi kyberútoku déle než po týdnu. Čtyři společnosti ze sta dokonce až déle než po měsíci.

Obama pohrozil Rusům odplatou za hackerské útoky

16.12.2016 Novinky/Bezpečnost Kyber
Spojené státy neponechají bez odpovědi vměšování ruských hackerů do amerických voleb, pohrozil odcházející šéf Bílého domu. Moskva tato obvinění popírá, nově zvolený prezident Donald Trump je zpochybňuje.
„Je jasné, že když se cizí vláda, ať je jakákoliv, pokouší zasahovat do našich voleb, tak musíme jednat. A uděláme to - v místě a době, o které sami rozhodneme,” prohlásil prezident Barack Obama v rozhlasovém rozhovoru, jehož výňatky byly zveřejněny ještě před odvysíláním celého interview stanicí NPR.

Obama uvedl, že některé odvetné kroky budou explicitní a veřejné, zatímco jiná opatření taková být nemohou. „Pan Putin si je dobře vědom mých pocitů pocitů, protože jsem s ním o tom přímo mluvil,” řekl.

Povahu odvetných kroků blíže neupřesnil.

Budoucí americký prezident Donald Trump ovšem ve čtvrtek zpochybnil roli Ruska na kybernetickém útoku proti serverům Demokratické strany.

Nesmysl, tvrdí Rusko
Kritika chování Ruska se objevila už před listopadovými volbami. V říjnu například oficiálně obvinila Rusko z hackerských útoků Obamova vláda. Prezident Obama tehdy varoval kremelského šéfa Vladimira Putina před následky.

Americké zpravodajské služby podle zdrojů tamních médií dospěly k závěru, že s postupem kampaně letošních prezidentských voleb věnovali ruští vládní představitelé zvýšenou pozornost snaze pomoci Trumpovi zvítězit. Dokazuje to podle nich fakt, že ruští hackeři se dostali k datům obou politických stran, ale na veřejnost pustili jen informace o demokratické kandidátce Hillary Clintonové.

Rusko jakékoli obvinění z kybernetických útoků či z vměšování do voleb v USA odmítlo.

Televize NBC dříve oznámila, že američtí zpravodajci "s velkou mírou pravděpodobnosti" věří, že kybernetickou kampaň proti americkým volbám řídil osobně Putin. „Je to prostě pitomost. Marnost pokusů kohokoli o tom přesvědčit je zjevná,” zareagoval ruský ministr zahraničí Sergej Lavrov v televizi Rossija 24.

Zombie routery chystaly útok v Německu a Británii, stejný vir dříve odstavil Twitter

7.12.2016 Novinky/Bezpečnost Kyber
Říjnový masový výpadek sociální sítě Twitter, ale také internetového obchodu Amazon nebo Facebooku ve Spojených státech, k němuž došlo při masovém DDoS útoku přes zařízení napojená na sítě Internetu věcí, se tento týden v menším měřítku zopakoval v Německu a ve Velké Británii.
K útokům vedeným na infrastruktury konkrétních operátorů hackeři opět využili botnet Mirai. Začátkem týdne se útočníkům podařilo odstavit síť pro Internet věcí německé telekomunikační společnosti Deutsche Telekom.

Výpadek se dotkl 900 tisíc zákazníků, kteří nemohli využívat chytrá zařízení ve svých domácnostech a připojit se k internetu. Původní záměr hackerů byl ale mnohem ambicióznější: plánovali využít domácí routery zákazníků Deutsche Telekomu k masivnímu DDoS útoku, který by byl podobně rozsáhlý jako říjnový výpadek internetových služeb ve Spojených státech.

Jeden z hlavních serverů, jehož prostřednictvím byl veden útok, se podle webu Infosecurity-magazine.com nacházel v Kyjevě a byl zapsán pod pseudonymem Peter Parker (skutečné jméno filmového Spidermana). Výpadky sítě Deutsche Telekom ovlivnily nejen internet, ale také hlasové a televizní služby poskytované touto společností.

„Sledujeme nový nebezpečný trend. V září se udál útok na webové stránky Briana Krebse o síle 665 gigabitů za sekundu, v říjnu ve Spojených státech šlo o více než 1 terabit. Pro srovnání – průměrný datový tok českého peeringového uzlu NIX.cz je přibližně 250 gigabitů za sekundu. Je zřejmé, že takovému útoku se lze bránit jen za velmi vysokou cenu,“ upozorňuje Miroslav Dvořák, technický ředitel antivirové společnosti ESET.

Britové museli resetovat routery
Jen několik dní po útoku na infrastrukturu Deutsche Telekom se s podobnými problémy potýkala britská pošta a mobilní operátor TalkTalk. Zákazníci těchto společností byli odříznuti od internetového připojení poté, co někdo na dálku vypnul jejich domácí routery. Po jejich restartování připojení opět bez problémů fungovalo.

Bezpečnostní experti předpokládají, že k tomuto útoku byla použita jedna z nejnovějších verzí botnetu Mirai. Výpadek probíhal podobným způsobem jako u Deutsche Telekomu a dotkl se 100 tisíc zákazníků. Britská BBC informovala, že odstavenými routery byly modely ZyXEL AMG1302, používané britskou poštou, a D-Link DSL-3780, který svým zákazníkům poskytuje operátor TalkTalk.

Bezpečnost musí být vždy komplexní a je nutné zabezpečit každé zařízení, které má přístup na internet.
Miroslav Dvořák, technický ředitel společnosti ESET software spol. s r. o.
„Router je povětšinou vnímán jako v uvozovkách hloupé zařízení, o které není potřeba se starat, ale opak je pravdou. Jednoduchou prevencí jsou v tomto případě pravidelná aktualizace firmwaru routeru, změna výchozího hesla a správná konfigurace, například zákaz dostupnosti administračního rozhraní z internetu,“ vypočítává Miroslav Dvořák ze společnosti ESET.

Základní chybou mnoha internetových uživatelů je používání výchozího hesla routeru, které bylo nastaveno od poskytovatele internetového připojení nebo od jeho výrobce a jež lze velmi jednoduše zjistit. Takový uživatel se pak vydává v milost či nemilost internetového útočníka.

„Rádi bychom ujistili naše zákazníky, že z napadených zařízení neunikla žádná jejich osobní data. Identifikovali jsme zdroj problému a nasadili řešení, které v současné době chrání všechny naše zákazníky,“ citovala BBC mluvčího britské pošty. Podle Miroslava Dvořáka však nestačí chránit pouze routery. „Bezpečnost musí být vždy komplexní a je nutné zabezpečit každé zařízení, které má přístup na internet. Počítač, mobilní zařízení a další. Nejlepším nástrojem ochrany je v tomto případě aktualizovaný a spolehlivý nástroj internetové ochrany,“ radí Dvořák.

Nelegálně sbíráte data o lidech, nařkl soud tajné služby

19.10.2016 SecurityWorld Kyber
S vysokou pravděpodobností sbírá data o svých občanech téměř každý stát. Je otázkou, nakolik je tato činnost transparentní; soudní rozhodnutí ve Velké Britanii se však může stát první vlaštovkou postupného přiznávání špionážní činnosti na vlastních občanech.

Soud ve Spojeném království rozhodl o tom, že letitý sběr téměř všech informací o komunikaci tamějších občanů (s výjimkou samotného obsahu komunikace) porušuje Evropskou úmluvu o lidských právech.

Po veřejném přiznání vlády k této činnosti se ale sběr informací stává legálním, tvrdí Investigatory Powers Tribunal, nezávislý útvar, který se zabývá stížnostmi na zpravodajské agentury. Útvar však ještě čeká rozhodnutí o tom, zda lze ospravedlnit šíři získávaných informací a zda jednání agentur bylo úměrné hrozbám, které se snažily eliminovat.

Na základě stížnosti sdružení Privacy International z června 2015 tribunál souhlasí, že informační služby Spojeného království skutečně po dlouhé roky porušovaly Evropskou úmluvu o lidských právech tím, jak ve velkém sbíraly osobní informace o občanech státu.

Data zahrnují informace o tom, kdo kontaktoval koho, kdy, kde a pomocí čeho, kdo platil za hovor a kolik platil. „Prakticky jediné informace, které agentury nesbíraly, jsou samotný obsah,“ popisuje ve svém verdiktu soud. Legální sběr takových informací by vyžadoval příkaz k zadržení daného subjektu.

V principu vláda může zpravodajským službám povolit sběr komunikačních dat od mobilních a internetových operátorů díky zákonu z roku 1984 (shodou okolností rok vzniku zákona koresponduje s názvem antiutopického románu George Orwella, který se zabývá mj. právě otázkou „Velkého bratra“, tedy sledování občanů státem).

Zda však byl sběr dat a jeho šíře nutná je otázka zcela jiná: když v roce 1984 zákon vznikl, podotýká tribunál, žádné mobilní telefony ani internet neexistovaly.

Mimo dat týkajících se přímo komunikace sbíraly agentury také osobní informace - databáze pasů, telefonní adresáře, bankovní záznamy. Dle vyjádření tajných služeb během soudního řízení je však majorita občanů pro potřeby agentur nezajímavá.

Pravidla pro masový sběr osobních dat britská legislativa neupřesňuje, dodává tribunál. Informace o činnosti informačních služeb vyplynuly na povrch až v březnu roku 2015, vláda se ke sledování následně přiznala v listopadu téhož roku.

Dle tribunálu se sběr dat po přiznání vlády stal legálním, neboť je „předvídatelný“. Občané mohou předvídat, že je někdo sleduje, a musí tak počítat s následky svých činů.

„Je nepřijatelné, že jen skrze občanský soudní proces započatý charitou jsme se dozvěděli rozsah moci [tajných služeb] a jak ji využívají,“ říká Millie Graham Woodová, právnička Privacy International. Zároveň vyzvala agentury k veřejnému potvrzení, že nelegálně získaná osobní data budou zničená.

O konci praktiky shromažďování dat o občanech si ale v této neklidné době můžeme nechat jedině zdát. Ba naopak - s vývojem nových technologií bude stát mít k dispozici ještě více nástrojů, pomocí kterých své občany může sledovat.

Snowden má poslední šanci na milost. NSA mezitím odhalila další únik tajných dokumentů
8.10.2016 Zive  Kyber
Na jaře před třemi lety naplno propukla kauza aféra PRISM, která učinila z Edwarda Snowdena jednoho z nejznámějších informátorů, který dodnes rozděluje Ameriku v otázce, jestli si zaslouží uznání, anebo celu.

Celkem jasný názor mají naopak oba prezidentští kandidáti, kteří by jej nejraději viděli v soudní síni. Snowden, kterému nakonec nabídlo útočiště paradoxně Rusko s mnohem represivnějším systémem, než sám kritizoval, by se přitom rád vrátil zpět do Států.

Klepněte pro větší obrázek
Vrcholí petice žádající milost pro Snowdena. Jeho podporovatelé už mají pouze tři měsíce

Lidskoprávní organizace tedy chtějí využít posledních několika měsíců Obamovy exekutivy a v petici jej žádají o udělení milosti. Pokud totiž v oválné pracovně zasedne Donald Trump, Snowdena doma rozhodně nebude čekat žádné přivítání a v případě, že se moci chopí Clintonová, nebude to o moc lepší.

Snowden v mezidobí již vícekrát oznámil, že je unavený, chce se vrátit a to i v případě následného zatčení a žaloby, ve které by mu mohl hrozit poměrně drakonický trest. Současný establishment totiž sice přiznává, že kauza okolo odposlechů NSA vedla k reformě Národní bezpečnostní agentury a neexistuje jediný důkaz, že by Snowdenovy úniky stály život jediného tajného agenta v zahraničí, nicméně pokud by unikl jakémukoliv trestu, jen by motivoval další whistleblowery a celý systém tajných služeb by se mohl rozpadnout jako domeček z karet.

Zastánci Edwarda Snowdena naopak hájí informátora slovy, že tajné dokumenty předal pouze médiím a teprve ta zvolila, co sama zveřejní. Tím pádem by byla jeho obhajoba založená na tom, že vše, co činil, činil v dobré víře a poukazoval na zjevné chyby v systému. Měl by být tedy naopak uctíván jako národní hrdina.

Tři roky po Snowdenovi v každém případě prolétla médii zpráva o dalším kontraktorovi, který vynesl z NSA tajné dokumenty. Jedenapadesátiletý Harold Thomas Martin sice pracoval pro stejnou analytickou firmu jako Snowden, nicméně podle aktuálních informací s ním neměl nic společného.

NSA si však od předchozích úniků dává větší pozor a zjistila, že Martin zkopíroval některé dokumenty, které FBI našla na jeho počítači při domovní prohlídce. Martin měl přitom prověrku na „přísně tajné,“ takže se mohl dostat k velmi citlivým informacím. Stejně tak zatím nejsou známé ani jeho motivy, těžko tedy říci, jestlii se jednalo o klasický trestný čin, anebo opět ideály hnaný boj za lepší zítřky.

Sleduje Yahoo e-mailové schránky svých uživatelů?

8.10.2016 SecurityWolrd Kyber
Podle zprávy zveřejněné agenturou Reuters byl americkou vládou vytvořen program na prohledávání příchozích e-mailů jednotlivých uživatelů služby Yahoo. Jak Yahoo, take jiné velké IT firmy v oboru však existenci takového programu popírají.

Dle Reuters má program být tajným příkazem americké vlády a zahrnuje prohledávání stovek milionů uživatelských účtů serveru Yahoo na popud zpravodajských bezpečnostních agentur NSA či FBI.

Giganti ICT průmyslu v USA, mezi něž patří Google, Microsoft, Twitter nebo Facebook jakákoli zapojení americké vlády či špionáž účtů uživatelů dementují. Z jejich vyjádření vyplývá, že většina zmiňovaných firem by podobnou žádost státu řešila soudní cestou. Nebylo by to poprvé - v podobném, silně medializovaném procesu o vytvoření backdooru pro iPhone se ocitl i Apple.

„Žádnou takovou žádost jsme nedostali, pokud by se tak ale stalo, naše odpověď by byla jednoduchá: 'v žádném případě,'“ říká Google.

Odborníci na trestní právo jsou z údajné žádosti státu rozpolcení. Soudní systém Spojených států pracuje na základě precedentů, které jsou však v této oblasti velmi sporadické a samotné právo prakticky nedefinované - jde o šedou zónu. Žádat firmu o průzkum emailových účtu uživatelů do této zóny spadá.

„Zda je to protiústavní, je otevřeno diskuzi,“ říká Roy Hadley, právník firmy Thompson Hine, která se zaměřuje na podobnou oblast práva. „Nemáme žádné národní právo, které by se týkalo takového případu.“

Pokud se sledování emailových účtu skutečně událo a překročilo hranice Spojených států, pak by dle Hadleyho mohla mít firma problém. „Evropa má mnohem výraznější práva na soukromí než Spojené státy,“ vysvětluje.

Yahoo zapojení odmítá. V úterním příspěvku píše, že „Yahoo je zákonem se řídící společnost, která dodržuje zákony Spojených států.“ Více však text nerozvádí.

Ve středu pak firma publikovanou reportáž Reuters popřela zcela. „Detailně prozkoumáváme každou žádost vlády o data našich uživatelů pro zminimalizování vyzrazování soukromých informací. Program na prohlížení e-mailů, zmiňovaný v článku, v našich systémech neexistuje,“ prohlásila firma e-mailem v reakci na Reuters.

Podle odborníka na zabezpečení z firmy Zscaler Michaela Sutton by takový program na sledování účtů uživatelů, pokud opravdu existuje, nemusel být zdaleka jediný. Firmy postupně nabízí stále lepší šifrování dat a pro státy je těžší a těžší nasazovat své vlastní programy bez svolení konkrétního subjektu.

„Šifrování neporazí, takže zkrátka nemají jinou šanci, než se domluvit s poskytovatelem služby,“ potvrzuje. „Myslím, že uvidíme více takových dohod a programů, protože zpravodajské agentury samy na to zdroje nemají.“

Publikovaná reportáž také tvrdí, že po zjištění přítomnosti programu na sledování e-mailů opustil Yahoo Alex Stamos, vedoucí bezpečnostní manažer firmy. Ten však odmítl situaci komentovat.

NSA a FBI prozatím taktéž neposkytly žádné vyjádření.

Skutečnosti v reportáži agentury Reuters se tak zdají nejasné - je ovšem možné, že se nikdo reálnou pravdu nedozví. Vládní organizace nebývají příliš sdílné a technologické korporace se mohou bát o svou reputaci.

Realitou je však opětovné narušení pověsti dlouholetého rivala Googlu v segmentu prohlížečů a e-mailových služeb, alespoň v americkém prostředí. Že se Yahoo ještě někdy vrátí ke své poněkud zašlé slávě, je stále méně pravděpodobné.

Jedna třetina z kybernetických útoků trvat několik hodin k detekci
24.6.2014 KyberSecurity
Více než jedna třetina z kybernetických útoků trvat hodiny zjistit. Ještě více alarmující, řešení porušení trvá několik dní, týdnů, a v některých případech i měsíce.

Přes zvýšené alokaci zdrojů určená k ochraně sítě, průzkum CSG Invotas a IDG Research zjistí, že 82 procent respondentů nahlásit žádný pokles v počtu bezpečnostních událostí v síti nebo porušení v loňském roce a více než čtvrtina dotázaných hlásí nárůst. Výzkumníci dotázaných s rozhodovací pravomocí o informační bezpečnosti, strategie a implementace řešení u společností s 500 a více zaměstnanci. Oni zkoumali bezpečnostní výzvy obchodní organizace čelí, když se setkají s narušením bezpečnosti v celé jejich sítě. Klíčová zjištění patří:

Více než jedna třetina z porušení trvat několik hodin k detekci
Řešení porušování může trvat dny, týdny nebo měsíce
Probíhající řízení elektronických identit, které kontrolují přístup k podnikání, oblačnosti, a mobilní zdroje se nejvíce času na změnu nebo aktualizaci během bezpečnostní akce
Většina respondentů hledají způsoby, jak snížit dobu odezvy, aby se opatření ke zmírnění rizika adresa, zachování reputace své společnosti, a chránit data zákazníků
Šedesát jedna procent respondentů připouští, že se hledají způsoby, jak zlepšit dobu odezvy na bezpečnostní události.
Automatizaci podnikových procesů řešení nabízejí nový přístup k nejobtížnějším krokem v bezpečnostních operacích: s okamžitou a koordinovanou akci k zastavení útoků na zabezpečení množení. Budování digitální workflow, které mohou být synchronizovány přes podniku umožňuje rychlou pult-reakce na kybernetické útoky. rychlost, přesnost a účinnost je dosaženo použitím carrier-grade technologie, kopírující opakující akce s automatizovaných workflow, a snížit potřebu pro více obrazovek. "To už není překvapením slyšet, že porušení je ohrožena data týkající se zákazníků, zaměstnanců nebo partnerů," řekl Paul Nguyen, prezident globálních bezpečnostních řešení na CSG Invotas. "CIO uvědomují, že potřebují rychlejší, chytřejší způsoby, jak identifikovat narušení bezpečnosti v rámci svých podniků. Ještě důležitější je, že potřebují rychlejší, chytřejší způsob, jak reagovat s rozhodným a koordinovaným opatřením k ochraně proti hrozbám dobrou pověst firmy, důvěru zákazníků a růst tržeb. " čtvrtina respondentů uvádí, že jsou spokojeni s myšlenkou na automatizaci některých bezpečnostních pracovních postupů a procesů a že nasadit automatizační nástroje, kde mohou. Padesát sedm procent respondentů tvrdí, že jsou o něco pohodlnější s automatizací pro určité nízké úrovni a několika vysoké úrovni procesů, ale přesto chtějí bezpečnostní týmy účastní. V průměru respondenti uvádějí, že 30 procent jejich bezpečnostních pracovních postupů jsou dnes automatické; ale téměř dvě třetiny respondentů očekávají, že bude automatizovat více bezpečnostních pracovních postupů v příštím roce.

útoků proti vesmíru, Satelitní firem spojených s druhou čínské PLA jednotky
12.6.2014 KyberWar
S obvinění stále čerstvých proti hrstce čínských občanů obviněných z hackování americké společnosti a krádeže duševního vlastnictví, další pobočka lidové osvobozenecké armády a údajně jeden z jeho důstojníků byly outed pro cyberespionage proti americké a evropské letectví a satelitních společností.

Jednotka 61486 z PLA třetího generálního štábu oddělení 12 th úřadu, s kódovým označením Putter Panda americká bezpečnostní společnost CrowdStrike, je údajně provedeny APT stylu špionáž kampaně, exfiltrating data z několika nejmenovaných společností v prostoru a obranného průmyslu.

Zpráva CrowdStrike o Putter Panda také propojuje počet bodů k identifikaci jedince s názvem Chen Ping, také známý jako cpyy, jako osoby, která zaregistrovala domény spojené s špionážní kampaň. Zpráva rovněž upozorňuje na překrývání inteligenci a sdílení informací mezi jednotkou 61486 a jednotka 61386, obyčejně známý jako informace Komentář Crew , která byla identifikována Mandiant ve své APT1 zprávě.

Použití open source inteligenci, Ping je identifikován jako by uvedené se jako čínskou armádou a policií.
Použití open source inteligenci, Ping je identifikován jako by uvedené se jako čínskou armádou a policií, a cvičil 12 th úřadu, CrowdStrike předsednictev pomoci. Firma, která prodává sebe jako hrozba zpravodajské firmy mimo jiné služby, řekl, že vydal zprávu, v reakci na čínské odsouzení 19.května obvinění a popírání, že nevykonává taková činnost je vykonávána.

"To je jeden z těch lepších atribuce jsme měli v komunitě, "řekl CrowdStrike spoluzakladatel a CTO Dmitri Alperovich. "Je nesporné, že to není jen pět jedinců, ale i jiné PLA důstojníci a další PLA jednotky. To je součástí jejich systematické činnosti proti vládě USA, aby ukrást duševního vlastnictví od amerických společností. Chtěli jsme aplikovat tlak na [PLA] a zvýrazněte jiným hackerům v Číně, které si nemůžete skrýt za zdí anonymity. "

Ping pád byl jeho naléhání na používání jeho cpyy přezdívku na registraci domény použity jako velení a řízení v kampani Putter Panda. CrowdStrike byl také schopný najít variace na stejné cpyy e-mailových adres, které byly použity k registraci osobní blogy, které patří Ping, z nichž některé byly zaregistrovány v roce 2007. Obsah na těchto stránkách jsou příspěvky o vlastenectví a zemi, ve které CrowdStrike že je v souladu s někým, kdo se vojenské spojení.

Stejný rukojeť se používá na automobilové fórum, kde je cpyy komunikuje s jiným hacker jménem Linxder, který má vazby na Komentář Crew, v kódu se tváří jako auto slang, řekl Crowdstrike. Tam jsou také množství fotografií, které považujeme z cpyy na jiném blogu, že registrovaný, a místa Picassa s fotografií jeho připojení k čínské armády, CrowdStrike řekl, včetně vypracování s vojenským personálem, slaví narozeniny ve vojenském oděvu, a obraz ze dvou nad sebou vojenské klobouky, CHKO důstojnické čepice.

"Je to hodně divné komentáře, které nedávají smysl, ale naši analytici poskládal dohromady, že se mluví o počítačové bezpečnosti, v rámci lsti automobilů," řekl viceprezident pro zpravodajské Adam Meyers, který objasnil, že cpyy snažil zakrýt své stopy změnou e-mailové adresy na registraci domény nějaký čas poté, co byly původně registrován. "Podařilo se nám dát dohromady více o příběhu založeného na veřejném zpráv a naší inteligence. To je docela přímka. "

Co se týče konkrétních útoků, žádná z obětí byli jmenováni, ale neliší od mnoha jiných APT útoků, které byly hlášeny. Útočníci používají různé exploity, především zaměřením stávající zranitelností v produktech Adobe Reader a Microsoft Office s off-the-shelf využije. Velmi málo vlastní malware byl použit v útoku, řekl CrowdStrike. V každém případě, trojské koně dálkového přístupu (potkani) byly použity pro přesun dat vypnout napadených systémů; Putter Panda využila ze čtyř různých RAT. Phishing e-maily, pomocí návnad na lekce jógy nebo pracovních nabídkách, byly použity pro zahájení různých fázích útoků, řekl Crowdstrike.

"Je těžké odhadnout úspěch, co udělali," řekl Myers. "Ale práce se zákazníky a podporovat je, můžeme kategorizovat, že mluvíme o majetkovou újmu, a že oni byli docela úspěšní nastupování a dostat to, co chtějí."

Prezident, generální ředitel a spoluzakladatel George Kurtz řekl Číny primární motivace je ekonomická pokrok, a urychluje dobu uvedení na trh knock-off technologií.

"To je zajímavý kousek je, že je zde silná obchodní majetkové účasti státu ve Chian, což není případ ve Spojených státech," řekl Kurtz. "To vše je součástí systémového shromažďování informací kampaně, která je jistě používá pro zpravodajské a vojenské povýšení, a pokud je to možné, informace jsou sdíleny se společnostmi, které by mohly mít prospěch z ní."

Meyers a Kurtz řekl, že CrowdStrike analyzuje zpravodajské cílů protivníků do amerických společností. Například, že poukázal na to, co je věřil být hrozící energetické krizi v Číně a jak země může urychlit jeho cíle stát se energeticky nezávislé.

"Musíme identifikovat jejich nedostatky v oblasti technologií a schopností ve státem vlastněných podniků v Číně a tam, kde je třeba urychlit, aby se zabránilo krizi," řekl Meyers. "Pak můžeme dát dohromady strategický dopad na to, jak Čína se zaměří na ropu a zemní plyn pro získání technologie a skok, aby se změny. Můžeme číst čajové lístky a vidět to, co jste po něm, proč to potřebují, a která se zaměří. "