Čína reaguje na obvinění vojenských hackerů ", obviňuje USA z pokrytectví
27.5.2014 Kyberšpionáž
Včera, poprvé v historii, americké ministerstvo spravedlnosti podal trestní oznámení proti známými činiteli pro hackování, protože obvinil pět čínských vojenských hackeři z kybernetické špionáže proti amerických firem. Čínská vláda reagovala očekávání tím, obviňuje USA z pokrytectví a dvojí standardy. "USA obvinění proti čínské zaměstnance je čistě neopodstatněné s postranními úmysly," uvedl Čínský ministerstva zahraničí mluvčí Qin Gang. "Čína je obětí závažných počítačové krádeže, odposlechů a dozorové činnosti v USA. Velké množství veřejně dostupných informacích ukazují, že relevantní Americké instituce byly vedení kybernetické vniknutí, odposlechy a dohledové činnosti proti čínské vládních úřadů, institucí, firem, vysokých škol a jednotlivců, "poznamenal a dodal, že Čína je naléhá na USA, aby stáhla obvinění. Čínská vláda také vydala (přes státem kontrolované Xinhuanet) nejnovější údaje o USA kybernetické útoky zaměřené na čínské počítačů a sítí:

Nejnovější údaje z Národního počítačové sítě Emergency Response technický tým koordinační centrum v Číně (NCNERTTCC) ukázala, že od 19. března do 18. května celkem 2077 trojských koní sítí nebo botnet servery v USA přímo ovládána 1180000 hostitelských počítačů v Číně. NCNERTTCC nalezeno 135 hostitelských počítačů v USA nesou 563 phishingových stránek zaměřených na čínské webové stránky, které vedly k 14,000 phishing operací. Ve stejném období, centrum nalezeno 2016 IP adresy v USA byl implantován zadní vrátka do 1754 čínských webových stránkách, zahrnující 57.000 backdoor útoky. Americké útoky, infiltruje a kohouty čínské sítě, které patří do vlády, institucí, podniků, vysokých škol a velkých komunikace páteřních sítí . Tyto činnosti zaměřují čínské vůdce, obyčejné občany a všechny, kdo s mobilním telefonem. Mezitím, USA opakovaně obviňuje Čínu ze špionáže a hackování.

Čína také vytáhl z pracovní skupiny Čína-USA v současné době. UD ministerstvem spravedlnosti v obvinění tvrdí, že čínské státní podniky přímo těžily z informací ukradené těmito vojenskými hackery. Také je třeba poznamenat, že obvinění byla vznesena pro hacking amerických podniků, nikoliv vládní a vojenské sítě. Americká vláda opakovaně řekl, že i když se zabývá sledování a špehování v zájmu národní bezpečnosti, se nikdy sdíleny některé z získaným informacím s podniky se sídlem v USA, aby pro ně získat konkurenční výhodu na trhu. Zatímco ne -kdo očekává, že účtované jednotlivci stanout před soudem v USA, obvinění byl zřejmě vyroben tlačit na čínskou vládu, aby omezení hospodářské počítačové špionáže. Na druhou stranu , by tento krok selhat a způsobit v Číně a jiných zemích (jako je příklad, Brazílie ) zvyšování stejné obvinění proti NSA špionů a dodavatelů. Konečně, pohyb je viděn některými jako způsob, jak americká vláda přeformulovat diskusi dohledu. Jak jste si možná vzpomínáte, před Snowdenová odhalení, USA byl neustále a opakovaně obvinil Čínu z hackování, a některé společnosti z Číny, založená usnadnit těmto invazím. Ale minulý týden, další zjevení vyplývající z Snowdena v trove NSA dokumentů ukázal, že NSA bylo pěstování zadní vrátka do amerických vyrobené síťových zařízení určených pro zahraniční trh. Přestože tato situace untangles, bylo zjištěno, že Čína oznámila, že má zakázala používání Windows 8 na vládních počítačů. Zákaz byl zveřejněn minulý týden, takže rozhodnutí není spojen s tímto posledním konfliktu. Centrum čínské centrální zadávání veřejných zakázek se nevyjádřil, zda Windows 7 budou zakázány, stejně, ale je známo, že pracují na alternativní OS založený na Linuxu pro vládní účely.

University of Maryland stanoví konkrétní kybernetické cíle v důsledku porušení dat
7.3.2014 KyberSecurity
Dotčeným osobám v nedávné narušení dat na University of Maryland se dostat pět namísto jednoho roku zdarma kreditní monitorování, univerzita prezident Wallace D. Loh uvedeno v další prohlášení vydaném v důsledku porušení. On také sdílel jeho plánují zahájit "komplexní, top-to-bottom vyšetřování všech výpočetních a informačních systémů." - jak centrální ty provozované univerzitou, stejně jako místních systémů provozovaných jednotlivými správními a akademických jednotek Šetřením se nejprve prohledá všechny databáze na systému zjistit, co informace, které obsahují. "Existují tisíce databází po celém areálu, před mnoha lety, kdy vytvořené prostředí pro kybernetických hrozeb byl jiný," poznamenal. závislosti na zjištěních, z nichž každá databáze bude buď odstraněna (není-li relevantní a potřebné už) nebo více plně chráněna . Za druhé, od teď na všechny univerzita systémy budou pravidelně se podrobí Penetrační testování. "Za třetí, budeme přezkoumá vhodnou rovnováhu mezi centralizovaným (University-ovládané) proti decentralizovaných (jednotka ovládané) IT systémů. Musí tu být politické změny doprovázet technické opravy, "vysvětlil. "Chápeme potřeby jednotlivých útvarů ovládat své vlastní servery a databáze. Musíme také zajistit, aby záruky na centrální a místní úrovni jsou stejně robustní a dobře koordinovaná." To vše bude provedeno podle Nově vytvořená prezidenta Task Force o kybernetické bezpečnosti, který se bude skládat z odborníků z kampusu univerzity a Maryland Cybersecurity Center. Budou pomáhal zatím nejmenované počítačové bezpečnosti společnost "s pokročilými možnostmi hacking." Revidovaná porušení FAQ sekce také nabízí velmi užitečné informace o tom, jak mohou postižení jedinci aktivovat jejich úvěrového rizika, a že je potřeba pro umístění bezpečnostní zmrazení na jejich kreditní souboru. "Státní a federální orgány činné v trestním řízení, US Secret Service, konzultanti z MITRE Corporation, a našich vlastních univerzitních pracovníků bezpečnostních IT pracují společně, aby zjistili, jak se útočníci pronikli našich více vrstev zabezpečení. Tato forenzní analýza nám umožní bránit proti tomuto typu útoku v budoucnu. bude také poskytnout vodítka k tomu, kdo byli útočníci, " vysvětlil Loh, a dodal, že "není nedobytný bariéra proti každému ďábelsky dovedné kybernetického útoku." "V dnešním digitálním světě, každý z nám musí přijmout přiměřená opatření, aby zajistil svou vlastní informační bezpečnosti. Proto se univerzita představí sérii krádeží identity seminářů pro všechny naše studenty, fakulty, zaměstnanců a absolventů. Semináře-, které budou rovněž zaznamenány a později dány k dispozici on-line budou vybaveny odborníky o tom, jak chránit své citlivé informace, "oznámil.

Zdarma nástroj vám pomůže odrazit většinu kybernetických útoků
6.3.2014 Nástroje | KyberWar
Dnes na konferenci RSA Qualys oznámila, že spolupracuje s SANS Institute a Rady o kybernetické bezpečnosti vydat nový bezplatný nástroj, který pomůže organizacím realizovat Top 4 Critical Security Controls odrazit útoky. nový nástroj , pomáhá organizacím rychle určit, zda na PC v jejich prostředí, jsou řádně prováděny na ovládací prvky Top 4 kritické zabezpečení, které Rada na základě odhadů kybernetické bezpečnosti může pomoci společnostem zabránit 85% z kybernetických útoků. "Qualys Top 4 nástroj je velmi elegantní a efektivní řešení, které pomáhá i malé a velké podniky zjistit, jak odolné jsou na dnešních pokročilých hrozeb, "řekl Jonathan Trull, CISO pro stát Colorado." To je přesně ten typ veřejno-soukromého partnerství naše země potřebuje k řešení kybernetické útoky ohrožují naši ekonomiku a kritické infrastruktury. " Postaveno na QualysGuard Cloud Platform, nová Top 4 cloud služeb pomáhá firmám snadno a rychle zjistit, zda Windows PC v jejich prostředí, zavedli Top 4 ovládací prvky pro: 1. Aplikace Whitelisting - pouze umožňuje schválený software ke spuštění. 2. Aplikační záplatování - udržování aplikace, plug-iny a další software aktuální. 3. OS Instalace oprav - udržování operační systémy v aktuálním stavu pomocí nejnovějších oprav. 4. Minimalizace oprávnění správce -. zabránit škodlivému softwaru v provádění tiché změny IT administrátorům pak můžete použít zpráv z bezplatný nástroj pro sledování koncové body, které nejsou v souladu, a uplatňovala nezbytná opatření, aby byly odolnější vůči útokům. "Síla kritické bezpečnostních kontrol, které odrážejí kombinaci znalosti skutečných útoků a účinné obrany z odborníků, kteří mají rozsáhlé znalosti o současných hrozbách, "řekl Philippe Courtot, předseda představenstva a generální ředitel společnosti Qualys. "Postavili jsme to cloud službu ve spolupráci s SANS Institute a Rady kybernetické bezpečnosti, které pomohou organizacím zajistit, aby se tyto ovládací prvky jsou na svém místě a jako výsledek identifikace počítačů v jejich prostředí, které vyžadují okamžitou pozornost."

Cyber rizika čekají na návštěvníky a diváky v Soči 2014 olympijských her
12.2.2014 KyberSecurity
Zimní olympijské hry 2014 jsou stanoveny začít v pátek v Soči, ruské město nacházející se na pobřeží Černého moře.

Tam bylo mnoho spory týkající se této volbě hostitelského města (a země), ale také, pokud jde o očekávané deka komunikační dohled - komunikace odposlech, kolekce metadata, atd. -., že Rusko se bude platit během hry US CERT byl zveřejněn na Úterý sada tipů jak pro diváky a cestující do Soči o rizicích spojených s kybernetickými by měly brát v úvahu. Zatímco hacktivist činnost není něco, co by se měly týkat se, vládní dohled je. "Rusko má národní systém zákonného odposlechu všechny elektronické komunikace. Systém operativních-vyšetřovacích opatření, nebo SORM, právně umožňuje ruská FSB sledovat, zachytit a blokovat veškerou komunikaci odeslána v elektronické podobě (tj. mobilní telefon nebo volání na pevné linky, internetového provozu, atd.), "vysvětlili. "Zprávy o Rostelecom, ruská národní telekomunikační operátor, instalace hloubkovou inspekci paketů (DPI) znamená, že úřady mohou snadno použít klíčová slova, vyhledávat a filtrovat komunikaci. Proto je důležité, aby účastníci pochopili komunikaci, zatímco na hry by neměly být považovány za soukromé." Oni také varoval před možností libovolného počítače nebo softwaru, který obsahuje citlivé nebo šifrovaných dat jsou zabavené ruskými orgány, které se odchylují od země. "Cestující může zvážit opuštění osobních elektronických zařízení (např. notebooky, smartphony, tablety), doma nebo alternativně přinést zapůjčení náhradního zařízení, která nejsou již ukládají citlivá data o nich, a může být vymazán po návratu do své domovské země. Pokud se jednotlivci rozhodnou přivést své osobní zařízení, zvážit všechny komunikace a soubory na nich být náchylné k odposlechu nebo propadnutí, "se ukázal ven. Dalším typem hrozby pochází z kybernetických podvodníků a podvodníky, kteří chtějí využít obrovského celosvětového zájmu v hrách. uživatelů internetu se doporučuje dávat pozor při prohlížení v přímém přenosu, opakování události, nebo kontrolní statistiky medaili on-line. "Události, které získají významný veřejný zájem a ve sdělovacích prostředcích se často používají jako návnady pro spam či spearphishing kampaní. Škodlivé aktéři mohou rovněž vytvářet falešné webové stránky a domény, které se zdají být oficiální olympijský novinky a zpravodajství, které mohou být použity k doručení škodlivého softwaru koncového uživatele při návštěvě webu , "oni si všimli. "Diváci by měli mít na pozoru před jakýkoliv jiný zdroj tvrdí, že poskytnutí přímé přenosy. Jako vždy, je nejlepší navštívit důvěryhodných zdrojů přímo, spíše než kliknete na e-mailem odkazy nebo otevírání příloh." Kromě toho, pokud hledáte koupit lístky, použijte nástroj Kontrola webových stránek (na konci této stránky ), aby zjistili, zda webové stránky, které plánujete koupit vstupenky ze je Authorised Ticket Reseller. NBC News má krátkou zprávu o nebezpečích návštěvníci čelí pomocí jejich zařízení Internet-umožnil, ale bohužel nejde příliš do detailů o tom, jak kompromisy se stalo. ale nebezpečí je reálné: z nezabezpečených veřejných WiFi sítí a nepoctivými přístupových místech; útoky Bluetooth, škodlivé nabíjecí stanice, až se zlými úmysly stažení maskuje jako aktualizace nebo záplaty a krádeži. Vlastně, to nejlepší, co dělat, pokud si nejste tech-důvtipný, je to, aby svůj vlastní telefon nebo notebook s vámi vůbec, nebo přinést to, ale před návštěvou vyčistěte důkladně každého kusu citlivých informací . Vypnout Wi-Fi, Bluetooth a NFC na zařízení, se nelze přihlásit do citlivých účtů, když jste tam, nepřijímáme nevyžádané stahování, a ne (pokud to může pomoci) používat třetí stranou nabíjení nebo skladovací služby.

NSA ředitel popírá Špehování evropské občany
6.11.2013 Kryptografie | KyberSecurity

Zpravodajské úředníci před dům Stálého výboru pro tajné služby v úterý popřel sběr telefonní evidenci občanů ve Francii, Španělsku a Itálii, v poslední době hlásí médiích v těchto zemích.

"Tvrzeními Le Monde ve Francii, El Mundo Španělska a L'espresso Itálie jsou zcela nepravdivé," řekl ředitel NSA generálporučík Keith Alexander, který dodal, že screenshoty citovány jako důkaz sbírky byly z nástroje pro správu dat a noviny nechápal, co se dívá. "Nástroj počítá metadata a zobrazí metadata. Tyto údaje byly shromažďovány a legálně, které nám poskytlo zahraničními partnery. Je to informace, které shromažďují na evropské občany. To znamená, že údaj my a naši spojenci v NATO shromážděné v obraně našich zemí a na podporu vojenských operací. "

Nejnovější Snowden úniku přišel k hlavě, když se vynořil obvinění, že NSA a americká zpravodajská špehoval zahraničních hlav států, včetně německé kancléřky Angely Merkelové.

Ředitel Národní zpravodajské James Clapper řekl výboru, který je nedílnou součástí zpravodajských operací, něco, co se naučili ve škole sahající do roku 1963.

"Plány a záměry zahraničních vůdců, je důležité vědět," řekl Klapka. "Je to vytrvalá, protože jsem byl v inteligenci. Vedení záměry je základním principem, co sbírat a analyzovat. "

Klapka řekl zahraniční hlavy státu jsou sledovány, a tento druh činnosti je dvousměrná ulice s USA spojenci mohou provádět stejnou činnost proti americkým vedením.

Předseda výboru Rep. Mike Rogers (R-Mich.) požádal Alexander bod prázdný, pokud američtí spojenci jsou zapojeni do špionáže proti USA, které Alexander odpověděl: "Přesně tak," a dodal, že to probíhá.

Klapka řekl špehuje zahraničních představitelů, včetně spojenců, pomáhá určit, zda americký spojenec politik a činností se shodují.

"Je to pro nás neocenitelné vědět, kde země přicházejí, jaké jsou jejich politiky jsou a jaký mají dopad nás na řadu otázek," řekl Klapka.

Klapka a Alexander opět stála za své činy na pozadí dohledu říkají, je bezkonkurenční na celém světě. Alexander dodal, že NSA budou najmout soukromí a občanských svobod důstojník, přidávat další kontroly a plnění povinností v jejich úsilí.

"Chceme ukázat, že máme dveře, které máme transparentnost a bereme to vážně," řekl Alexander. "Je to obrovský krok kupředu, a je tu víc, co musíme udělat, pokud jde o tlačení informací do tisku."

Oni byli také tlačil na vnímanému nedostatku transparentnosti informuje Kongres odposlechy zahraničních vůdců jako pověřenými 1947 zákona o národní bezpečnosti. Klapka však řekl, že zpravodajské úsilí žil až do ducha i litery zákona.

Dnešní slyšení se konalo pod záštitou možných změn zahraniční zpravodajské Surveillance Act (FISA). Alexandr bránil akce NSA a posmíval úniky pocházející z informátorů Edward Snowdena jako protistátní a škodlivé pro USA 's schopnost se bránit proti teroristům

Americké zpravodajské hlavy mluví za zachování FISA
27. září 2013. Špionáž | KyberSecurity
Dva protichůdné síly se střetli v otevřeném slyšení čtvrtečním podle amerického senátního Výboru pro zpravodajskou na téma možných legislativních změn cizineckého zákona Intelligence Surveillance.

Jedna strana - vedená výboru předseda Dianne Feinstein a místopředseda Saxby Chambliss a zřejmě couval většina ostatních senátorů sedí na něm - uvedl svou podporu pro aktuální program NSA zaměřené na udržení záznamy každého telefonního hovoru ze strany amerických občanů senátor Feinstein řekl, že se domnívá, že program v souladu se zákonem, a oznámil, že ona a Senator Chambliss pracují na návrhu zákona, který by drobné změny programu - například snížením počtu let Zaznamenaná data jsou uložena a vyžadují NSA zaslat FISC seznam telefonních čísel jsou surveilling, spolu s podrobnými důvodů, proč tak činí -. ale, že pokračování programu by neměly být zpochybňovány další síla zmínil na začátku tohoto článku byl vytvořen dva členové výboru, senátoři Ron Wyden a Mark Udall, které zavedla komplexní právní předpisy ( přehled ) k reformě dohledu domácí zákony a tajné sledování kurt ve středu. Mezi pěti Rozhodce (jít sem pro jejich připravených příkazů), který řeší Výbor byl také ředitel Národní zpravodajské James Clapper, NSA generální ředitel Keith Alexander, a náměstek generální prokurátor James Cole, který se očekávaně obhajoval program. Ve společném prohlášení, zopakovali své úsilí směrem k větší transparentnosti ohledně shromažďování informací za účelem podpory větší důvěra veřejnosti v těchto zpravodajské činnosti, a uvedli, že "protože [Snowdena je] neoprávněné zveřejnění, velké množství informací, které byly dříve klasifikovány o těchto zpravodajských programů je nyní ve veřejné doméně. Tyto neoprávněné zveřejnění již způsobil značné škody pro národní bezpečnost, a nepřesné či neúplné tiskové pokrytí neautorizovaných zveřejnění také podkopala důvěru veřejnosti v venku úsilí o ochranu Američanovo soukromí. " Senátor Wyden zopakovala tím, že "každý státní úředník, který si myslel, že ruší, ústavně vadný systém dohledu by nikdy být zveřejněny ignoroval minulost. "Bez ohledu na mimořádné profesionalitě a vlastenectví tisíců specializovaných zpravodajských profesionálů, vedení vašich agentur vybudoval zpravodajskou sběrný systém, který opakovaně klamal americký lid. Znovu a znovu, byli Američané řekli jednu věc o domácí dohledu na veřejných fórech, zatímco vládní agentury dělal něco jiného v soukromí, "poznamenal. "Nyní se jedná o tajné výklady zákona a porušování ústavních práv Američanů stali veřejnosti , vaše agentury čelit strašlivé důsledky, které nebyly plánované. Došlo ke ztrátě důvěry v naší zpravodajského aparátu tady doma a přátelské zahraničními spojenci, a že důvěra bude trvat čas na obnovu. A podle mého názoru tato ztráta důvěry ohrožuje americkou schopnost shromažďovat zpravodajské informace o skutečné hrozby, a každý člen této komise ví, že jsou velmi reálné hrozby venku. " On také sondoval ředitel Alexander odpovědi na to, zda NSA někdy shromažďovány nebo vyrobené Nějaké plány sbírat buňky-site Američanů informace ve velkém, ale neobdržel přímou odpověď, protože tato záležitost je klasifikována.

NSA dopis odhaluje detaily analytiků NSA špehuje své i milovníci
27. září 2013. Špionáž | KyberSecurity
Podrobnosti o dvanáct evidovaných případů od roku 2003, ve kterém analytici zneužitou sledování amerických zpravodajských agentur schopnosti špehovat své lásky úroků nebo jiných nepovolených předmětů byly odhaleny NSA generální inspektor Dr. George Ellard. mimořádné události byly stručně popsány v dopise na Americký senátor Charles Grassley, který požádal o "vědomé a úmyslné zneužití orgánů dozoru." Dopis zahrnuje případy, vojenských i civilních dodavatelů provádějících SIGINT dotazy na telefonní čísla a e-maily, které patří do jejich stávajících nebo bývalých milenců (většinou cizinci, ale některé státní příslušníky USA, stejně), lidé se sešli v sociálním prostředí (většinou cizinci), relativní americký zpravodajské cíle a v jednom případě, množství (náhodně?) telefonní čísla v zemi tak, že vojenská člen v otázce mohli naučit jazyku dané země. Nazval LOVEINT, byly některé z těchto porušení zjistil přezkoumáním SIGINT auditních logů, ale znepokojující číslo bylo odhaleno znesvětitelům sám během nebo před polygrafické výslechů provedených když museli projít procesem obnovy bezpečnostní prověrka. To nás přivádí k otázce, kolik takových porušení zůstala nepovšimnuta a nehlášené během těchto deseti let? Jako Kevin Poulsen správně poznamenal , tento dopis je "fascinující pohled na to, co se stane, když impuls, který pohání průměrné surfařů se podívat do dávnou ex Milovníci na Facebooku je spojen se silou na oheň se odposlechu s několika stisků kláves. " Je také dobré si uvědomit, že většina civilních zaměstnanců, které byly nalezeny porušení těchto pravidel jsou v důchodu, nebo odstoupil, než oni mohli být disciplinovaní, a že se jen pár případů, ministerstvo spravedlnosti byl informován o zneužití, a rozhodla, že nebude stíhat danou osobu. Vojenské členy, které se zabývají v těchto porušení by obvykle byl potrestán snížením stupně, dob omezení a další povinnost, lhůty od obdržení pouze poloviční plat a být zbavený bezpečnostní prověrky, které vlastnil a přístup k utajovaným informacím zrušeno. Podle Dr. Ellard, jeho kancelář je v současné době vyšetřuje další dva údajné SIGINT zneužívá, a je jedno přezkoumání tvrzení pro případné vyšetřování.

Americké vládní bezpečnostní kontroly na pozadí potýkal vyšetřovateli
26. září 2013. Špionáž | KyberSecurity
Edward Snowden úspěšná exfiltrace důvěrných dokumentů NSA se ukázalo, že v pozadí kontroly prováděné pro státní zaměstnance, aby mohly získat potřebnou bezpečnostní prověrku nejsou stoprocentní. Ale jak nedokonalá je tento systém? Reuters reportéři vzal to na sebe sáhnout prostřednictvím soudních dokumentů a tiskové zprávy související s 21 případů, ve kterých americké federální prokurátoři odsouzených speciální kanceláří a soukromých dodavatelů pro nepravdivých informací, které vedly k osobě pobírající bezpečnostní prověrku . když to snad neměli mít v těchto 21 případů, které byly řešeny v období od prosince 2004 do března 2012 bylo přinejmenším 350 "vadné" vyšetřování Vyšetřovatelé říkají, že rozhovor s osobou, která zemřela před lety, nebo mají rozhovor osobu, kterou útočiště " t dokonce navštívil, atd. Některé z těchto šetření byly pro budoucí armády a financí USA personál, který vyžaduje "přísně tajné" vůlí. A tato čísla jsou pouze pro případy, které byly již na závěr - to je třikrát mnoha případech stále otevřít. Kontroly jsou někdy provádí pomocí speciálních agentů pro Úřad amerického personálního řízení (OPM), a někdy i soukromými dodavateli. Během uvedeného období bylo 11 OPM agenti shledán vinným z toho, že zápasila jejich vyšetřování, a sedm vyšetřovatelů pracujících pro ÚSIS byly soukromé dodavatel, který se ověřením oba Snowdena a nechvalně Washington Navy Yard střelec Aaron Alexis (a bývalý vládní technologie dodavatel), také odsouzen. Co je zajímavé poznamenat, že dva z těchto ÚSIS vyšetřovatelů zpackaný asi 50 kontrol za kus , a po tom všem by mělo přijít jako žádné překvapení, že společnost je v současné době vyšetřován OPM generálního inspektora. Odsouzení vyšetřovatelé obvykle rozhodnout prosit vinný k poplatkům a často dostat pryč s Probační a veřejně prospěšné práce. V jednom případě, vyšetřovatel rozhodl se jít k soudu - byl shledán vinným a odsouzen na 27 měsíců strávil ve vězení. V některých případech by vyšetřovatelé také nakonec dostat zakázáno pracovat pro federální agentury pro určité období Tim (i když to se zatím nestalo). Ale zatímco smluvní vyšetřovatelé očividně snížit některé rohy tím, že rozhodla o vytvoření informací zahrnuty ve svých zprávách, problém nespočívá pouze s nimi. Po obdržení vůlí - "Tajemství" ty, nejméně - poslední deset let. A hodně může změnit v tomto období, anonymní Senát asistent komentoval. Podle zpravodajů, může něco udělat nejdříve o těchto zřejmých problémů, protože Senát Homeland bezpečnostní výbor bude konat jednání na vládní povolení a ověření na 1. října.

RSA radí zákazníkům, aby přestali používat NSA-ovlivňoval šifrovací algoritmus
21. září 2013. Šifrování | KyberSeucirity
V návaznosti na zveřejnění , že NSA ovlivnila NIST přijmout šifrovací standard, který obsahuje jeden náhodný generátor bit se slabostí, který zná pouze zpravodajské agentury NIST znovu otevřela veřejnosti komentář období pro standard tak, aby veřejnost mohla analyzovat a to znovu komentovat.

Také slíbil, že pracovat s kryptografickým komunity řešit jakékoliv chyby, které mohou být nalezeny, a doporučil , aby generátor na otázku (Dual_EC_DRBG) již není možné použít. A podle Ars Technica , RSA Security se rozhodl poslouchat. Společnost poslal z poradní pro vývojáře zákazníků svých Bsafe Toolkits a Data Protection Manager, a oznámí jim, že nástroje byly pomocí algoritmu ve výchozím nastavení, které jim na tom, jak to změnit. Všechny verze obou nástrojů jsou ovlivněny. Podle mluvčí společnosti RSA vede vnitřní přezkum všech svých produktů, aby zjistil, zda algoritmus je vyvolána v žádném z nich, ale zdroj blízký společnosti potvrdil , že jeho vlajkový produkt - dvoufaktorová autentizace SecurID systému -. nepoužívá chybný algoritmus "V té době, eliptické křivky byly v módě a hash-based RNG byl pod kontrolou nadějí bylo, že eliptické křivky techniky, které se zakládají na teorii čísel. -by neměla trpět mnoho ze stejných slabých stránek jiných technik (jako FIPS 186 SHA-1 generátoru), které byly považovány za negativní, a Dual_EC_DRBG byla přijata a veřejně zkoumány standard, "RSA Security CTO Sam Curry vysvětlil, proč se společnost rozhodla použít algoritmus jako výchozí obou přípravků. Dodal také, že tam byla řada funkcí, které dělal to vypadat ideální v té době (2004-2005): průběžné testování výstupu, povinné re-setí, volitelný predikce odpor a Možnost konfigurovat pro různé síly. RSA vyslala poradenství pro volbu vývojářům, ale toto varování by mělo být dbal mnoho, že pravděpodobně neobdrželi, v e-mailu.

Výzkumníci: Neviditelný hardwarový trojský kůň možný

19.09.2013 Viry | Hardware | KyberSecurity
Tým bezpečnostních výzkumníků z USA a Evropy zveřejnil pojednání ukazující na to, jak mohou být integrované obvody v počítačích i armádním vybavení během výrobního procesu napadeny pomocí neodhalitelných změn na úrovni tranzistorů.

Pojednání jako příklad účinnosti této metody popisuje, jak by mohla být použita k upravení a oslabení generátoru náhodných čísel na procesoru Ivy Bridge.

Tento výzkum je prvním, který popisuje možnost vložení hardwarového trojského koně do procesoru bez dodatečných obvodů, tranzistorů či jiných zdrojů, popsal Christof Paar, vedoucí fakulty informačních technologií na německé Rúrské univerzitě.

Podle Paara jsou hardwarové trojské koně předmětem výzkumu již od roku 2005, kdy americké ministerstvo obrany vyjádřilo znepokojení nad tím, že se armáda spoléhá na integrované obvody vyráběné v zahraničí.

Jednotlivé bloky obvodu v jediném mikročipu často navrhuje několik různých subjektů, vyrábí je jedna zahraniční firma, druhá je balí a třetí distribuuje, což podle pojednání vedlo k problémům s důvěrou a k obavám o bezpečnost.

V průběhu let věnovali výzkumníci pozornost spíše nacházení způsobů, jak tyto zákeřné součásti v hardwaru, které byly do čipu záměrně umístěny během výrobního procesu, nalézt a odstranit, především v případech, kdy mají čipy sloužit například armádě. Celkem překvapivě se však mnohem méně pozornosti věnovalo tomu, jak by mohl někdo hardwarového trojského koně v první řadě sestavit a implementovat.

Předchozí výzkumy popisovaly hardwarové trojské koně skládající se z malých až středních integrovaných obvodů přidaných do procesoru během vytváření vrstvy jazyka popisu hardwaru. Poslední výzkum oproti tomu ukazuje, jak může být trojský kůň umístěn v pozdější fázi výroby, a to změnou dopování v několika tranzistorech.

Dopování je proces, který modifikuje elektronické vlastnosti křemíku přidáním různých „nečistot“, například boru, fosforu nebo galia, jeho přepnutím přestanou části integrovaného obvodu fungovat tak, jak by měly.

Změny se odehrávají na úrovni atomů a podle Paara je opravdu těžké něco takového zpozorovat. „Opticky nelze poznat rozdíl,” řekl. Trojský kůň je tak odolný proti většině detekčních technik.

Kryptolog a bezpečnostní výzkumník Bruce Schneier nazval sabotáž, kterou výzkumníci ve své práci popisují, jako „nerozpoznatelnou funkčními zkouškami ani vizuální prohlídkou“. Nejhorším zneužitím této techniky je podle Schneirera úprava generátoru náhodných čísel. „Tato technika by mohla snížit množství entropie v hardwaru ze 128bitové na 32bitovou, aniž by to vestavěné testy zaznamenaly.“ Takže zatímco by uživatel předpokládal, že generátor náhodných čísel produkuje silné 128bitové šifrovací klíče, ve skutečnosti by generoval pouze snadno prolomitelné 32bitové.

Doporučení pro posílení kybernetické bezpečnostní politiky
18. září 2013. KyberSecurity
McAfee a digitální vláda Security Forum (DGSF) vydala novou zprávu, která prozkoumá kybernetických rizik, s nimiž se potýká vládu a nabízí doporučení ke zmírnění těchto rizik.

Zpráva poskytuje obrysy dvou nástrojů, doporučenou hodnotící proces a navrhovaný rozvoj rámce, který by prkno, vedoucích pracovníků a informační týmů v organizacích, které chtějí, aby přehodnotily své strategie informační bezpečnosti a pravidla řízení. Od svého spuštění v březnu tohoto roku, DGSF Aktivně se zabývá úředníky, počítačové specialisty a poskytovatelé technologií s cílem napomoci směrování vývoje fóra a pomáhat při zajišťování kvality je práce v rámci iniciativy. Zpráva identifikuje čtyři nejdůležitější oblasti, na vládu, aby řešila, jak to pokračuje více využívat technologie ke splnění cílů úsporných a zlepšit poskytování veřejných služeb digitální: nedostatek povědomí o hrozbách informační bezpečnosti na úrovni představenstva, což organizacím nedaří poskytnout ujištění, že se plnění jejich povinností informační bezpečnosti a nákladové efektivní správu informací a kybernetické hrozby. Obavy o bezpečnost dat, blokování úsilí o posílení spolupráce, sdílení dat, BYOD a efektivnější pracovní v době, kdy vláda a veřejné služby jsou pod tlakem dodat více při nižších nákladech. Rozhraní mezi různými organizacemi jsou klíčové nebezpečných míst jako vládní hlavním cílem je spojit služeb a podpořit větší partnerské spolupráce a spolupráce napříč sektory. Stávající systémy, které nebyly určeny pro digitální věk , který podněcuje, dědictví myšlení z hlediska informační bezpečnosti, což často vede k roztříštěné a siled bezpečnostní opatření. John Thornton, tajemník digitální fóra Government Security říká: "Celkově lze říci, Velká Británie učinila obrovský pokrok ve zpracování informací a bezpečnost dat po sérii vysokých profilových porušení v posledních letech . Neexistuje však usnout na vavřínech. Organizace je třeba myslet, pokud jde o bezpečnost-by-default dodávat digitální-by-default a sdílení informací, aby bylo možné čelit kybernetickým hrozbám. Počítačová kriminalita je globální povahu a silnou veřejného a soukromého sektoru je důležité vytvořit prostředí, ve kterém organizace veřejného sektoru mohou spolupracovat k vzájemnému prospěchu. " The DGSF doporučení na radách a vedoucích zaměstnanců jsou:

Buďte si vědomi svých rizik a dát základy na místě: Identifikujte klíčové rizik, zranitelnosti a kritické informační aktiva, provádění základních kontrol a aktivně řídit informační rizika
Embrace technologie: Ujistěte se, že bezpečnostní technologie infrastruktura zahrnuje komplexní počítačové hrozby, rizika a behaviorální analýzy, a robustní, odolné a automatickou ochranu před hrozbami
Použijte lepší informační bezpečnosti jako prostředek: Podpora a umožňují úspory, servis vývoj a zlepšení účinnosti digitální svět nabízí po bezpečnostní bariéry byly odstraněny
Rozvíjet kulturu, která zahrnuje změny: Sdílet zkušenosti a odborné znalosti napříč veřejným sektorem s cílem posílit důvěru občanů, podniků a vlády samotné do těchto digitálních systémů.
Chcete-li stáhnout celou zprávu, budete muset zaregistrovat jako člen DGSF.

30 procent z transakcí uskutečněných od Tor jsou podvodné
17. září 2013. Zabezpečení | Šifrování | KyberSecurity
iovation oznámil, že 30,2 procent operací prováděných od Tor (cibule směrovač) v srpnu bylo podvodné. To je ve srovnání s celkovým podvod mírou 1 procento pro všechny on-line transakcí v srpnu.
Tor je soukromí protokol, který je určen na pomoc lidem, pro prohlížení internetu anonymně. Činí tak tím, že přesměruje webový provoz po hard-to-následovat cesty a přiřazení uživatelů webových náhodné IP adresy, která může kdykoliv změnit. To pomáhá maskovat skutečné uživatelů geolocations a IP adresy jejich zařízení připojených k Internetu. Podle Tor metriky, více než 1,5 milionu lidí používá Tor každý den od začátku září 2013 se z 500 tisíc denně na začátku srpna 2013. " Počítačoví zločinci jsou vždy hledají způsoby, jak létají pod radarem, "řekl Scott Waddell, technologický ředitel společnosti iovation. "Zatímco Tor na jeho povrchu se zdá být pro větší dobro, je nepřiměřeně používá k podvodným a zneužívající transakcí. Za zmínku stojí, Tor použít více než zdvojnásobil v srpnu, pravděpodobně kvůli masivnímu botnetu pákového Tor pro velení a řízení komunikace. " podvodu nálezy byly vyrobeny iovation analýzou 240000000 transakcí uskutečněných v srpnu 2013 pocházejí z 1,5 miliardy zařízení, jež má ve svém zařízení pověst databáze. Transakce s využitím Tor byly identifikovány iovation využitím technologie je vyvinuta korelovat transakce na IP adresy, které jsou součástí Tor.

Zůstat v bezpečí před zloději virtuálních

17.9.2013 Zdroj: Kaspersky Zabezpečení | KyberSecurity

Schopnost provádět finanční transakce na internetu učinil naše životy mnohem jednodušší. Nyní prakticky každý druh výrobku či služby lze zakoupit z domova, zatímco webové služby bankovní ušetří námahu stojí v břehové čáry. Nicméně, rostoucí popularita on-line plateb, hraje do rukou zločinců, kteří jsou také plné ruce práce se přijímají špičkové technologie: čím více lidí se rozhodnou pro vzdálenou finančního řízení, tím více potenciálně stát obětí. Trestná činnost se stává výhodnějším. Jako výsledek, krást finanční informace a převodem aktiv uživatelů na účty pod kontrolou zločinci je nyní velmi efektivní způsob, jak vydělat peníze, zaměstnaná zločinci po celém světě.

Teoreticky pro zločinci, kteří se snaží ukrást finanční informace, je výhodnější zaútočit na straně serveru zpracování plateb (včetně infrastruktury bankovnictví, platebních systémů, serverů apod.), neboť obsahuje obrovské množství dat, které mohou být použity pro Výhodou nebo prodat. Nicméně, v praxi je stejně obtížné získat takový přístup, aby narazit do fyzického bankovním sejfu, protože firemní servery jako velmi dobře chráněna. Proto zločinci raději útočit na uživatele bankovnictví a platebních systémů - ty nejsou tak dobře chráněny. V jediném útoku, může zločinci nakazit desítky tisíc domácích počítačů, a ve velkém měřítku jim přinese kýžený zisk.

Jak uživatelská data krádeži

Zločinci jsou vyzbrojeni celý arzenál metod, s nimiž získat přístup k důvěrným informacím uživatelů. Většina útoků, které se zaměřují na finanční údaje mají sociální inženýrství jako jejich základní prvek.To lze použít k šíření malware nebo ukrást přihlašovací údaje přímo.

Phishing je klasickým příkladem využití sociálního inženýrství s cílem podvést uživatele o jejich finančních informací. Uživatel je svedena předávání důvěrných informací zločinci. Například může být dezorientovaný oběť obdrží "oficiální" písmeno v názvu renomované banky (platební systém, internetový obchod, atd.), které říká, že tam byla porucha na serveru organizace, takže všichni klienti potřebují urychleně poskytnout jejich osobní údaje pro ověření. Záminky se může lišit, ale v každém případě je klient vyzván, aby zaslaly své přihlašovací údaje v odpovědi e-mailem, zadejte je v přiloženém webového formuláře, nebo na banky "oficiální" webové stránky, v návaznosti na odkaz v e-mailu. Veškeré informace poskytnuté uživatelem dorazí v rukou kybernetických zločinců.

Podvodníci používají falešné webové stránky, které napodobují originály.

Příklad phishing webu

Chcete-li spoofing méně nápadné, že počítačoví zločinci používají URL adresy, které jsou podobné těm z původních webových stránek. Různé způsoby falšování lince v adresním řádku jsou také používány.

Výmysly Podvodníci jsou často těžké odlišit od původních stránek. Proto odborníci radí uživatelům přístup k finančním stránky ze záložek ve svém prohlížeči, spíše než po e-mailový odkaz.

Existují také specializované škodlivé programy určené k ukrást finanční informace, jedná se o bankovní trojské koně. Obvykle se automaticky shromažďují informace o platbách provedených z infikovaných počítačů a občas provádět finanční transakce ve jménu uživatele.

Když klienti bank jsou napadeny pomocí škodlivých programů, phishing e-maily mohou být zaslány ve jménu napadeného banky. V těchto falešných e-mailů jsou uživatelé požádáni, aby zaslali informace, ale otevřít přiložený dokument pod nějakou záminkou. Příloha, ve skutečnosti je škodlivý soubor.

Tato masivní rozšíření bankovních trojských koní je podporovaný využije zranitelnosti ve Windows a dalších populárních softwarových aplikací. Bez toho, aby uživatel vědět, že tyto exploity proniknout do systému pomocí softwarových chyb a stahovat další škodlivé programy, které kradou informace o financích z počítače oběti. Chcete-li útok efektivní, že zločinci využít tzv. exploit balení, nebo balení, které využije na různé zranitelnosti, spíše než jednotlivé využije. Exploit balení analyzuje software nainstalovaný na počítači uživatele, pokud zjistí mezery v software, ale vybere si vhodnou exploit infikovat počítač.

Exploit balení jsou umístěny buď na serverech Počítačoví zločinci "nebo pirát zdrojů. Odkazy na činů jsou distribuovány zločinci přes spam, sociálních sítí, hostované na napadených legitimní stránky, dokonce i transparenty a Hádanky právních reklamních systémů mohou být použity pro toto. Využije zase stáhnout trojské koně obětí počítačů. Infekce oblíbených míst jsou obzvláště nebezpečné: jsou navštívilo mnoho uživatelů, a když škodlivý odkaz je k dispozici, je pro každého návštěvníka je počítač nenápadně napaden exploity, které se snaží připojit škodlivé programy k nim.

Zločinci používají oba víceúčelových bankovní trojské koně, schopné napadat klienty různých bank nebo platební systémy a jednoúčelové trojské koně určené k útoku na zákazníky konkrétních bank.

Jak trojské koně pracují

Jakmile se na počítači uživatele, bankovní trojské koně vytváří oporu v systému, a pak začne jeho zadaný úkol, který je ukrást všechny typy finančních informací od uživatele.

Škodlivé programy používají následující postupy:

Keylogging. Intercept trojské koně úhozů, když uživatel zadá informace, které nejsou předmětem zájmu zločinci, jako jsou přihlašovací údaje.
Snímání screenshotů zachytit důvěrné finanční informace zadané pomocí běžné klávesnice. V tomto případě se zločinci pouze poznat informace zobrazené během typu dovnitř, ale nemůže získat přístup uživatele přihlašovací jméno a heslo, protože zadané znaky jsou nahrazeny hvězdičkami na obrazovce.
Obcházení virtuální klávesnice: zachycením obrazu obrazovky plochy kolem kurzoru v době, kdy uživatel klepne levým tlačítkem myši. Tímto způsobem cybercriminal zachycuje znaky, které uživatel zadá pomocí virtuální klávesnice, a tak ví uživatele přihlašovací jméno a heslo.
Úprava souboru hosts. Informace uložené v tomto souboru má přednost před informacemi, které webový prohlížeč obdrží z DNS-server. Trojské koně přidat bankovní URL k tomuto souboru a přiřadit IP-adresy serverů počítačoví zločinci "k nim. V důsledku toho jsou uživatelé, kteří zadejte tyto adresy URL banky do svých prohlížečů přijata podvodné stránky, i když stále vidět právní bankovní URL ve svém prohlížeči. Pokud uživatel zadá své přihlašovací údaje na falešné stránky, je tato informace zaslána zločinci.
Vniknutí do běžícího procesu prohlížeče. Díky tomu, může Trojan ovládání prohlížeče připojení k serveru. Tímto způsobem mohou zločinci získat přihlašovací údaje, které uživatelé vstupují na bankovní stránkách, stejně jako upravit webovou stránku v obsahu (přes webové injekce), čímž se získá další důvěrné informace.

Pro compelte drtivou většinu on-line finančních operací, uživatelé potřebují webových prohlížečů. Techniky používané v moderních bankovních trojských koní jsou tak či onak souvisí s tímto softwarem.

Webové injekce nebo modifikující obsah HTML stránky, jsou populární metoda s zločinci. Škodlivý program přidá další pole, když jsou banky webové stránky zobrazené v prohlížeči, vyzve uživatele k zadání důvěrných informací. Například Trojan Carberp používá webové injekci přidat další pole na stránce online bankovnictví položka, ve které vyzve uživatele k zadání jeho / její číslo platební karty, jméno držitele, datum platnosti, CVV, CVC a kód slovo. Pokud uživatel odmítne učinit, Trojan zobrazí chybovou zprávu a blokuje bankovní relace.

Žádosti informace Carberp o pozměněném hlavní stránce on-line bankovního systému (viz červených krabic)

Dodatečné informace zadané uživatelem se dostane do rukou kybernetických zločinců ", ale nedosahuje banku tak, jak je zachytil, když jsou data posílána na bankovní server. Proto ani oběť, ani banka neví nic o podvodu.

Ve většině případů, zločinci raději používat kombinace různých technik - tudy se zlepšit své šance na úspěšné infekce a zvýšit účinnost škodlivého programu. Bankovní Trojan Zeus (Zbot) je jedním z nejmodernějších high-tech, trojských koní používaných zločinci. Mnoho druhů tohoto škodlivého programu existují po celém světě, a navíc jeho funkční klon - byla vytvořena - Trojan SpyEye.

Zde jsou některé z funkcí, Diův:

Trojan krade veškeré informace, které má uživatel "vzpomínat na počítači", např. kontrolou "Uložit heslo" políčko.
Trojan stopy, které klávesy uživatel stiskne. Pokud se virtuální klávesnice používá, Zeus zachycuje obrazovky oblast kolem kurzoru v době, kdy levé tlačítko myši je klepli. V důsledku toho, cybercriminal získá informace o tom, které jsou stlačená na virtuální klávesnici, a tak zná uživatele přihlašovací údaje.
Zeus používá webové injekce. Když uživatel otevře webovou stránku, která je uvedena v konfiguračním souboru Zeus, Trojan přidá nové pole, ve kterém je uživatel vyzván k zadání důvěrné finanční informace, které jsou předmětem zájmu zločinci.
Zeus je schopen obejít nejmodernějších systémů bankovní záruku (viz diskusi níže).

Tento škodlivý program se šíří pomocí sociálního inženýrství a využití zranitelnosti v populárním softwaru společnosti Microsoft, Oracle, Adobe, atd., když uživatel navštíví nedůvěryhodné weby. Odkazy na tyto stránky jsou většinou distribuovány ve spamu.

Zeus je schopen krást důvěrné informace o získání neoprávněného přístupu k účtům v největších světových bank. V roce 2012 jsme zaznamenali 3524572 pokusí nainstalovat tento škodlivý program na 896.620 počítačích s produkty společnosti Kaspersky Lab instalovaných na nich, které se nacházejí v různých zemích.

2012 Mapa Zeus / Zbot Infekční pokusy (KSN statistika)

Obcházení druhý faktor

Jak bylo uvedeno výše, banky investovat hodně úsilí při ochraně svých klientů. Bankovní trojské koně byly tak účinné, že banky mají zavést další ochranné vrstvy - nástroje identifikace uživatele, se standardními přihlašovací údaje, které tvoří tzv. dvoufaktorovou autentizaci. S dvoufaktorové autentizace na místě, že nestačí znát uživatelské jméno a heslo k získání kontroly nad bankovním účtu.

Nicméně, zločinci viz upgradovaný ochranu jako novou výzvu, a dál hledat nové způsoby, jak to obejít.

S dvoufaktorové autentizace na místě, banky používají jednorázová hesla (Transaction Authentication Number, TAN). V praxi, které mohou být ATM skluzu s kódy vytištěné v něm, SMS zprávy s jednorázovými hesly, která banka zasílá mobilní telefon uživatele (MTAN), nebo dokonce speciální zařízení (chipTAN).

Chcete-li obejít výše uvedených bezpečnostních systémů, zločinci vytvořili nové metody krádeže dat a upravovat jejich techniky sociálního inženýrství.

Jednorázové heslo (TAN)

Bankovní Trojan Zeus sadu nástrojů ve svém arzenálu, který může obejít různé druhy dvoufaktorové autentizace. Zeus používá zajímavý nástroj pro sběr jednorázová hesla, která uživatelé tisknou v bankomatu.

Jakmile uživatel je registrován u on-line bankovního systému a zadá své jednorázové heslo, Zeus krade autentizačních dat, zobrazí falešné oznámení, která říká, že aktuální seznam jednorázových hesel je neplatná, a vyzve uživatele k odběru Nový seznam hesel.
Chcete-li získat "nový seznam", musí uživatelé zadat své současné Tan-kódy, údajně proto, aby si je zablokován do příslušných polí ve formuláři vytvořil Zeus pomocí metody webové injekce.
Všechny přihlašovací údaje, které jsou zadány jsou zaslány počítačovými zloději, kteří se bezprostředně používají pro přenos oběti aktiv na jejich účty.

Příklad falešného oznámení vytvořil Zeus

MTAN

Ve spolupráci s mobilním Zeus Trojan-in-the-Mobile (ZitMo), můžete Zeus ukrást jednorázová hesla uživatelů, které přicházejí do mobilního telefonu.

To je, jak dva Trojans interakci s uživateli:

Když uživatelé navštíví přihlašovací stránka internetového bankovnictví, Zeus používá webové injekce vytvořit další pole v této stránce, kde jsou uživatelé vyzváni k zadání telefonního čísla, údajně obdržet certifikát aktualizace.
Pokud uživatelé zadejte přihlašovací údaje požadované pro povolení a telefonní číslo, Trojan krade informace a odešle ji na své majitele. Po nějaké době přijde SMS na uživatele smartphone, který obsahuje odkaz na "nové bezpečnostní list". Když uživatelé pokusí nainstalovat tento falešný certifikát, dostane smartphone napaden místo.
Tímto způsobem zločinci získat přístup ke všem údajům potřebných na dálku ovládat uživatele bankovní účet, a kradou peníze z něj.

chipTAN

chipTAN je další způsob ověření pomocí dvou faktorů. Používá se západoevropskými bankami a vyžaduje, aby každý klient mají speciální TAN generátoru zařízení. Máte-li nastaveny transakci na bankovním místě, uživatelé dát své bankovní karty do chipTAN a zadejte kód PIN.

Další uživatelé přepnutí přístroje vedle svého monitoru počítače zkontrolovat podrobnosti transakce probíhá. Po kontrole podrobnosti transakce podle následujících údajů zobrazených na displeji přístroje, uživatelé zadat další kód ze zařízení pro potvrzení transakce.

ChipTAN stránka na německé banky stránek

chipTAN je nyní nejmodernější a efektivní bankovní bezpečnostní nástroj. Bohužel, tvůrci SpyEye bankovnictví Trojan se naučili obejít tento high-tech bezpečnostní nástroj stejně.

Pomocí webové injekce, Trojan upravuje uživatele seznam bankovních transakcí. Z tohoto důvodu, když uživatelé přihlášení do on-line bankovního systému, vidí, že bankovní převod na velkou sumu dorazil, a zůstatek účtu změní.
SpyEye, ve jménu on-line bankovního systému, upozorní uživatele, že tato operace byla provedena omylem, a že účet bude blokován, dokud se vrací součet se údajně obdržel.
Aby se tomu zabránilo, uživatelé zahájit novou platební operace vrátit peníze. SpyEye vyzve uživatele s požadovanou bankovní účet a sumou peněz. Trojan nemusí krást generovaný kód chipTAN, protože uživatelé zadejte kód vlastníma rukama a potvrdit transakci.
Po tomto, aby Trojan manipuluje s webové stránky se zobrazí původní zůstatek na bankovním účtu, zatímco peníze jsou zaslány zločinci.

Německá banka varuje své klienty o oznámení chybného převodu peněz

Jak je vidět, tato metoda nevyžaduje ani další technické triky na straně zločinců, útok je založen na webových injekce a sociální inženýrství.

Známka

Token je USB zařízení sloužící jako další bezpečnostní nástroj a obsahující jedinečný klíč, který systém vyžaduje pokaždé, když uživatel provede platbu operaci. Tvůrci bankovního Trojan číhá nejedno efektivní způsob, jak obejít tuto ochranu:

Uživatelé iniciovat platební operace v internetovém bankovnictví a zadejte údaje.
Trojan číhají zachycuje údaje o platbě a čeká na systému požádat token.
On-line žádost bankovního systému žeton, a uživatelé představují jejich kredit vložením USB tokenu do příslušné zásuvky.
Trojan zachycuje tuto událost, po které se ukazuje, falešný "modrá obrazovka", která informuje uživatele o tom, že výpis fyzické paměti je vytvořené pro následnou analýzu, a žádá uživatele, aby přepnout počítač vypnout před dokončení operace.

Falešný modrá obrazovka zobrazí Trojan

Zatímco uživatelé čekat na "provoz" na dokončení (a zatímco jejich žetony jsou v portu USB), cybercriminal přístupu na tyto účty na dokončení příkazu k úhradě ve jménech uživatelů a převede peníze na jiný účet.

Mezi škodlivé programy Trojan-Banker.Win32.BifitAgent rodiny použít jinou metodu, aby se vyhnula USB tokenu. Tyto škodlivé programy jsou určeny k útoku uživatelů online bankovnictví software vyvinutý ruským BIFIT výrobce softwaru.

BifitAgent škodlivý program se skládá ze dvou hlavních modulů, které běží na počítači oběti - spustitelný soubor a archiv Java. Když se škodlivý program běží, hlavní spustitelný modul, který umožňuje komunikaci s C & C serveru, pracuje současně s škodlivých souborů JAR a umožňuje útočníkům změnit jakékoliv JAVA kód v okamžiku, kdy jsou bankovní transakce prováděny. Hlavní funkce kódu v jazyce Java obsažené v škodlivého souboru JAR je falešný údaje použité při bankovních transakcích na infikovaném počítači, aniž by uživatel nevšimne. Použití USB tokenu v dané transakce není překážkou cybercriminal protože token pouze znaky transakcí po data byla falešnou identitou. V důsledku toho, že uživatelé "peníze přistane v počítačovými zloději účtů.

Jak se mohu bránit?

Banky a platební systémy investovat hodně úsilí ke zlepšení bezpečnostní situace svých klientů, ale to samo o sobě nestačí znamenat uživatelé mohou být uvolněný o bezpečnost jejich majetku. Počítač uživatele musí být zabezpečeny proti krádeži platebních údajů bankovní trojské koně a další malware - to je zajištěno tím, že chrání před škodlivým kódem prohlížeče, ochrana klávesnice vstupy a antivirové technologie, které zabraňují průniku škodlivého softwaru systému. Přesto ani antivirová ochrana samo o sobě, tam musí být způsob kontroly legitimitu webové zdroje (stránky banky, platební systém, internetový obchod atd.) a zabezpečené připojení k němu.

Žádná finanční transakce mohou být považovány za bezpečné, pokud tři klíčové komponenty jsou chráněny:

1.. Počítač, ze kterého uživatelé přistupovat ke svým online bankovnictví účty

Antivirus chrání systém jako celek před škodlivými programy, speciální složka v antivirus chrání prohlížeče používané pro přístup k on-line bankovního systému.

Antivirus používá řadu ochranných mechanismů, díky nimž je obtížné nebo nemožné pro škodlivý kód proniknout do systému, spuštění a spustit na počítači. Tyto ochranné mechanismy fungují ve všech fázích bankovní operaci.

Pokud neznámý škodlivý program se podaří proniknout do systému, je hlavním úkolem komplexního antivirového řešení je ochrana dat. Za tímto účelem musí být výrobek sledovat prohlížeč běžící procesy a chrání ji před manipulací v jiných aplikacích. Doplňková ochrana je zde zajištěna virtuální klávesnici, s níž mohou uživatelé bezpečně vstoupit na podrobnosti o platební operace (číslo platební karty, CVV2/CVC2, osobní údaje apod.) do prohlížeče.

2.. Komunikační kanál mezi klientem a serverem

Zabezpečené připojení brání zachycení údajů sdělených z klienta na server. Komunikační kanál je zajištěna použitím speciální protokoly (TLS / SSL), které zaručí, že šifrování sdělených údajů. Místo, na které je navázáno je identifikován pomocí certifikátu.

Místa bank a platebních systémů mají digitální certifikáty , které jsou vydané a podepsané certifikační autority. Tyto certifikáty ověřit pravost stránek a legitimitu jejího vlastníka.

Falešné stránky buď nemají certifikáty nebo používat falešné certifikáty. Nicméně, může být složitější situace také existují. Například, může Trojan, který získal oporu v systému upravit soubor hosts a vzít uživatelů na webu, který je přesnou replikou původního místa. Stejné Trojan můžete nainstalovat extra kořenový certifikát oběti počítači, který by ověřil oprávněnost falešné potvrzení o kybernetických zločinců "webové stránky, při kontrole v prohlížeči. Tak, že zločinci jsou schopni rozluštit všechny údaje předávané v prohlížeči z falešné stránky.

Antivirové řešení musí nezávisle ověřit pravost certifikátu zabezpečení, spíše než se spoléhat na operačním systému a prohlížeče pro to. Pokud certifikát není legitimní uživatelé upozorněni.

3.. Na stránkách finanční organizace

Počítačoví zločinci řemeslo svých stránek, aby vypadal jako oficiální stránkách bank a platebních systémů. Certifikát legitimita kontrola je účinná pouze v případě, že uživatelé zadat správnou URL bankovním webu. Pokud uživatelé jít na bankovní místě po falešném odkazu z dopisu phishing, sociální sítě nebo z výsledků vyhledávání, musí být anti-phishing komponenty zasáhnout. Odkazy jsou kontrolovány proti databázi nedůvěryhodných webových zdrojů. Pokud se uživatelé pokusí navštívit nelegitimní stránky, obdrží varování před hrozbami. Aby se zabránilo pádu obětí phisherů, je vhodné navštívit bankovní stránek pomocí příslušný seznam z antivirový produkt.

V neposlední řadě, vysoká úroveň vlastní ochrany, je nezbytnou součástí řešení kvality bezpečnosti. Pokud byl škodlivý program, dokáže narušit práci antivirového řešení, vytváří mezeru v bezpečnostním systému a ohrožuje bezpečnost budoucích transakcí.

Klíčové prvky v bezpečné transakce

Je to právě tato koncepce zabezpečení online transakcí, která je implementována v nouzovém Money, Kaspersky Lab software řešení.

Bezpečné transakce Scénáře

Podívejme se nyní, jak je zabezpečená transakce prováděné podle Bezpečné peníze.

Komplexní antivirová ochrana zabraňuje pronikání škodlivého softwaru z počítače. Zejména bezpečnostní řešení kontroluje systém zranitelnosti v operačním systému nebo aplikace. Pokud uživatel nemá pravidelně aktualizovat systém, a pokud tam jsou chyby v systému, které byly uzavřeny vývojář, bezpečnostní řešení varuje uživatele o možném nebezpečí a vyzve k aktualizaci zranitelný software.
Pokud uživatelé ručně zadejte adresu URL nebo následovat odkazy z písmen nebo sociálních sítí, anti-phishing modul kontroluje, zda je URL v databázi nedůvěryhodných webových zdrojů. Pokud se jedná o phishing nebo škodlivých URL, uživatelé obdrží varování.

Pokud je stránka v URL je nalezen v databázi, uživatelé jsou vyzváni k otevření tohoto webu v zabezpečené prohlížeči.
Antivirus zkontroluje certifikát použitý k vytvoření zabezpečeného připojení. Požadavek je odeslán na cloudové služby ověření certifikátu.
Pokud certifikát není legitimní, uživatelé obdrží upozornění, že spojení nelze navázat. Bezpečné peníze vysvětluje, proč je spojení považováno za nedůvěryhodné.

Uživatel Oznámení v nouzovém Money Kaspersky Lab pro vykazování neplatný certifikát. Ve stejné době, je toto potvrzení specifické považovaná podle prohlížeče

Pokud je certifikát je důvěryhodný, zabezpečený prohlížeč vytváří šifrované spojení s bankovním webu.
Je bezpečnější používat seznam bank v bezpečnostní řešení otevřít přihlašovací stránku pro online bankovnictví nebo k zadání klienta stránku platebního systému.

V tomto případě je bezpečné navázání spojení a banky legitimní stránky je otevřen okamžitě pomocí zabezpečeného prohlížeče.

V nouzovém režimu Money, okno pomocí zabezpečeného prohlížeče má černé zelené pozadí
Bezpečný Money aktivní režim, data zadaná na stránky banky, ať už z virtuální klávesnice nebo pravidelné, je chráněn speciálním ovladačem, který nedovolí zločinci zachytit to.

Tak, platební transakce chráněny před bankovních trojských koní pomocí antiviru, pomocí zabezpečeného prohlížeče proces a bezpečné vstup z klávesnice. Pravost platebního systému nebo internetového bankovnictví webu je ověřena kontrolou na odkazy a digitální certifikát.

Účinnost řešení založené na konceptu bezpečných on-line transakcí byla potvrzena zkušební laboratoře.

Závěr

Banky, platební systémy a další finanční organizace investovat hodně úsilí chránit jejich infrastrukturu a klienty před počítačovými zločinci. Nicméně, zločinci přetrvávají i při vývoji malware, přijít s novými způsoby, jak obejít bezpečnostní nástroje a ukrást bankovní údaje uživatelů. V této fázi je bankovní uživatelů Informace o nejlépe chráněny antivirových produktů a věnoval řešení, která může upozornit na nebezpečí, zabránit infekci včas a nenechá mezeru za nového bankovního Trojan.

FBI potvrzuje, že byly za převzetí Freedom Hosting je

17 září 2013 Hacking | KyberSecurity

Agent FBI svědčit u soudního jednání, kde byla projednána předmětem kauci za svobodu vlastník Marques Hosting Eric Eoin potvrdil, že FBI, opravdu, měl ruku v převzetí hostitele serveru a nastavení stránky hostované na ně sloužit de- anonymity škodlivého softwaru návštěvníkům, Kabelové zprávy . je Freedom Hosting dobře známý pro umožnění stránky obsahující dětskou pornografii, která se má uskutečnit na svých serverech, a byl terčem útoků od Anonymous v roce 2011, ale mezi lokality je hostované byly také "dobré" služby jako je TorMail. Marques byl zatčen v Dublinu dne 4. srpna a ve stejný den všechny weby hostované Freedom Hosting začala slouží "kvůli údržbě" zpráva. Zatímco uživatelé spekuloval, on-line, co se děje, oni zpočátku nepodařilo zjistil, že spyware byl sloužil na některé z nich. Vědci analyzující kód šlo na stránkách potvrdila, že byl vytvořen s cílem zneužít zranitelnost ve Firefoxu. "Přestože se chyba týká uživatelů Firefox 21 a pod exploit se zaměřuje pouze ESR-17 uživatelům. Protože tento útok byl nalezen na Tor skrytých služeb podle všeho je to, že Tor Browser Bundle (TBB) je založena na Firefox ESR-17 ", Daniel Veditz, olovo bezpečnosti na Mozille , se domníval, v té době. sloužil malware má jeden jediný cíl - vyhledat oběti MAC adresu a hostname Windows a odeslat tyto informace na server ve Virginii provozuje FBI. Výzkumní pracovníci se domnívají, že je to FBI neslavný CIPAV (počítač a Internet Protocol Address Verifier) spyware, který byl použit v předchozím dětské porno bodnutí operace. Zatímco svědčit před irského soudu, FBI dozorčí zvláštní agent Brooke Donahue neřekl, jak může předsednictvo se podařilo převzít Freedom Hosting serverů (pronajaté od obchodního francouzského poskytovatele hostingu), ale má společné, že Marques se podařilo krátce spustit ven a změňte hesla předtím, než konečně a definitivně uzamčení z nich sám. Agent řekl soudu, že Marques byl hledá do získávání ruské občanství, aby se mohl dostat mimo dosah prosazování práva Spojených států, že je stále v držení jeho vlastní cestovní pas a prokázal ochotu používat falešné Prodám web hosting prostoru od ruské společnosti, a to měl spoustu peněz, které má k dispozici -. všechny věci, které by dělat to pro něj jednodušší uniknout ze země, kdyby se být poskytnuta kauci Soudce zřejmě našel tyto argumenty přesvědčivé, a rozhodl, že Marques bude muset zůstat ve vazbě až do jeho vydání slyšení.

Největší belgický telekomunikační porušena NSA?
16. září 2013. KyberSecurity | Hacking
Belgacom, a to především ve vlastnictví státu a největší telekomunikační v Belgii, bylo oznámil , že jeho vnitřní IT systémy byly porušeny a napaden malware "neznámého třetí strany".

"Při důkladném zkoumání stop digitálního vniknutí, jsme objevili neznámý virus v počtu jednotek v našich interních IT systému. Za účelem odstranění tohoto viru efektivně, jsme se rozhodli vyčistit celý systém," oni rozdělili, a dodal, že operace byla dobře připravena a byla provedena efektivně. Udělali určitě zdůraznit, že neexistuje žádný náznak jakéhokoli dopadu na zákazníky a jejich dat a poskytování svých telekomunikačních služeb nebyla ohrožena v žádném bodě. " Virus se pouze byla zjištěna v rámci vnitřního počítačového systému společnosti Belgacom, ne v telekomunikační síti, "řekli, a poté, co všechny instance ní byly odstraněny, byly zaměstnanci společnosti vyzváni ke změně svého hesla. Společnost se podílela že Belgický federální prokurátor vyšetřuje vniknutí, a oni nemají komentoval pravděpodobných útočníků. Belgický premiér Elio Di Rupo nabídl formální prohlášení říká, že cílem není intrusion byla sabotáž ale jejich vybírání ze "strategických informací." Řekl také, že technologie používaná k útoku naznačuje, že jiné zemi by mohl být za ním. "Pokud je tato hypotéza je potvrzena, a to je opravdu kybernetické špionáže, vláda důrazně odsuzuje tuto vniknutí a porušení integrity veřejné společnosti," řekl uvedl a dodal, že pokud se to ukáže být pravda, budou mít "vhodná opatření". Na tiskové konferenci, jak Belgacom generální ředitel Didier Bellens a Jean-Pascal Labille, belgický ministr veřejných podniků a rozvojovou spolupráci, se odmítl vyjádřit k, který cizí zemi může být za útokem a řekl, že nevěděl, jak dlouho TELECOMU systémy byly ohroženy. Podle nizozemského novinky místě NRC a jejich "dobře informovaných zdrojů", kompromis se datuje do roku 2011, a složitost malware naznačuje, že britská a americká inteligence je pravděpodobné, že viníci. "Hackeři jsou zájem o služby společnosti Belgacom International Carrier (BICS), podpora služeb, které přináší provoz mezi telekomunikačními společnostmi. BIC, společného podniku s Swisscom a MTN Jihoafrické telekomunikační společnosti, je globálním hráčem a jedním z největších poskytovatelů služeb v Africe a na Středním východ, "vysvětlil novinářům s tím, že útočníci se podařilo proniknout do infrastruktury v BICS a byli schopni přistupovat k telefonní a datové přenosy ze zemí, jako je Sýrie a Jemenu.

NSA vydával službě Google MITM útoky
16. září 2013. Počítačový útok | KyberSecurity
Po všech těch nedávných odhalení o NSA a jejich sledování a šifrování-zmaření aktivit, to by vás překvapí, že agentura nebo její britský protějšek GCHQ také vydával Google, Yahoo a Microsoft při útocích typu man-in-the-Middle zaměřených na zachycení Komunikace s uživateli?

Ryan Gallagher než na břidlicové byl první zprávu o zjevení pro anglicky mluvící veřejnosti kopání do hlášení brazilské televizní show Fantastico, jehož reportéři měli možnost projít souborem dokumentů unikly informátorů NSA Edward Snowdena na Guardian Glenn Greenwald novinář:

Nicméně, v některých případech GCHQ a NSA zřejmě nebere agresivnější a kontroverzní route-na přinejmenším jedna příležitost obcházet potřebu přistupovat přímo společnost Google provedením man-in-the-middle útok na Google vydávat bezpečnostní certifikáty. Jeden dokument vydaný Fantastico, zjevně převzatý z prezentace NSA, která obsahuje také některé GCHQ diapozitivy, popisuje, "jak se to dělá útok" se zřejmě odposlouchávat provozu SSL. Tento dokument ukazuje, s diagramem, jak jedna z agentur, zjeví se naboural do terčem internetového routeru a skrytě přesměrován cílený Google provoz pomocí falešného bezpečnostního certifikátu tak, aby mohl zachytit informace v nešifrované formátu. Dokumenty z GCHQ "sítě vykořisťování" unit přehlídky že pracuje program s názvem "Flying Pig", která byla zahájena v reakci na zvyšující se využívání SSL šifrování e-mailových poskytovatelů, jako je Yahoo, Google a Hotmail. Flying Pig systém vypadá, aby mohla identifikovat informace týkající se použití anonymitu prohlížeče Tor (má možnost dotazovat "Tor událostí"), a umožňuje rovněž vyzvědači shromažďovat informace o konkrétních SSL šifrování certifikátů. GCHQ síť využívání jednotka se může pochlubit v jednom dokumentu, který je schopen shromažďovat provoz nejen z cizí vládě sítě, ale ze strany leteckých společností, energetických společností a finančních organizací, taky.

Ale jak NSA dostat do rukou těchto falešných certifikátů? Známý odborník kryptografie Matthew Green zdůraznil , že NSA mohl snadno dostat svůj podpisový klíč z méně důvěryhodné certifikační autority, s cílem vytvořit a podepsat falešné certifikáty, které budou v MITM útoky. Podle cryptographer Bruce Schneier , jeden z uniklých snímků v prezentaci se zdá naznačovat, že NSA buď popraveni nebo využila nechvalně 2011 DigiNotar porušení , která vyústila ve vydání nepoctivých SSL certifikátů pro velký počet vysoce-profil oblastech, jako je Facebook, Yahoo!, Microsoft, Skype,

NSA říká, že nelegální sběr dat byl způsoben příliš složité tech
13. září 2013. KyberSecurity | Zabezpečení
NSA opakované tvrzení o nutnosti jeho sledování zařízení pod kontrolou vzít další hit poté, co agentura byla právně nucen vydávat obrovské dávky předtím klasifikovaných dokumentů. Mimo jiné, jeden z dokumentů vyplynulo, že NSA "byl nesprávně zpochybnil hromadné telefonování metadata pomocí automatizovaného "Upozornûní" proces, který vyústil v použití selektorů, která nebyla individuálně zhodnotil a rozhodl se splnit si vyžaduje přiměřenou articulable podezření standard. " Jak to dopadá, v těchto třech letech agentura skončil sledování některých 17835 telefon účty, kdy jen 1935 z nich se setkal, že norma. ředitel Národní zpravodajské James Clapper nazval to jako "dodržování incidentů", který "pocházel z velké části z složitosti technologie použité v souvislosti s objemnější telefonie metadat programu , interakce těchto technologií s jinými systémy NSA, a nedostatek společného porozumění mezi různými složkami NSA o tom, jak některé aspekty komplexní architektury podporující program fungoval. " "Po objevu těchto událostí, které byly okamžitě hlášeny na FISC, Soudní dvůr v roce 2009 vydal rozkaz vyžadující NSA usilovat o soudní schválení dotaz telefonie metadata případ od případu, s výjimkou pokud je to nutné k ochraně proti bezprostředního ohrožení lidského života, "říká. "Poté, NSA dokončila end-to-end recenze a udělal několik kroků k nápravě těchto problémů, včetně vytváření technologických opravy, zlepšení vzdělávání a zavádění nových dozorových postupů. Tyto kroky k nápravě pak byly hlášeny Soudnímu dvoru, a v září 2009, Soud zvedl požadavek NSA usilovat o souhlas k dotazu na telefonní metadata případ od případu a od té doby neustále reauthorized tento program. " Není to poprvé, že FISC soud slyšel od NSA, že to byl "omylem" zpronevěra dat a / nebo sdělení, že nemá právoplatné svolení ke dělat. Nicméně FISC soudci opakovaně ukázaly být soucitný a nebyly rozhodl skoncovat s programem sledování. V tomto konkrétním případě, ale pouze dočasně omezen přístup k údajům týmem analytiků NSA integrity dat. ERF a Trevor Tim rovněž poukázal na to, že klapky říkal, že oni byli uvolnění dokumenty, protože směřovalo k tomu prezidenta USA . "Toto tvrzení je zavádějící," řekl poukázal . "Jsou této informace, protože soud nařídil jim, aby jako součást svobody EFF soudního řízení informačního zákona, podané před téměř dvěma lety na desátým výročím Patriot Act." "Je neuvěřitelné, zpravodajských služeb dnes řekl, že nikdo na NSA plně pochopil, jak jeho vlastní kamerový systém pracoval v té době, takže se nemohli adekvátně vysvětlit soudu, To je úžasné vstupné. NSA dohled přístroje pro let, byla tak složitá a rozčleněný, že žádný člověk mohl pochopit, " dodal. "Zpravodajské úředníci také uznal, že soud musí své rozhodnutí opřít o informace NSA dává to, který nikdy nebyl dobrý základ pro brzd a protivah, která je charakteristickým znakem americké demokracie."

NSA není všemocná, data lze před ní stále uchránit

Nejnovější zprávy naznačují, že NSA je schopná zlomit většinu bezpečnostní protokolů, které jsou dnes používány. Zde je malý přehled nástrojů, které minimalizují rizika průniku agentů nebo jiných nezvaných zájemců k zabezpečeným údajům.

09.09.2013 KyberSecurity

Ve čtvrtek světem otřásla další bomba, kterou odpálil Edward Snowden. NSA dokáže proniknout řadou bezpečnostních technologií pomocí kombinace různých zadních vrátek vložených do programů v okamžiku jejich vzniku, rozpočtu 250 milionů dolarů určeného k „motivaci“ výrobců k oslabování odolnosti jejich komerčních řešení a síly svého vybavení a personálu.

Do jisté míry to není překvapující. Ostatně, jiné země disponují podobnými možnostmi. K tomu se přidává fakt, že 90 procent uživatelů bezpečnostní zajištění svých dat vůbec nebere vážně. Vše ale není ještě ztraceno. Dosavadní šokující články neukázaly na konkrétní společnosti ani technologie, kterým již nelze důvěřovat, ale riziko lze do jisté míry minimalizovat.

Dnes již můžeme se slušnou mírou jistotu tvrdit, že korporace, nebo přinejmenším někteří jejich zaměstnanci, spolupracují s NSA a umisťují do zabezpečovacích technologií utajené vzdálené přístupy. Ti, kterým na jejich datech velmi záleží, budou ke komerčním šifrovacím technologiím (jako je například Microsoft BitLocker) více než rezervovaní.

Možnou cestou je používat nástroje, které jsou postaveny na otevřeném zdrojovém kódu a využívají veřejně publikovaných šifrovacích metod. Přinejmenším potřebují být kompatibilní s nejrůznějšími platformami a lze v nich pátrat po potenciálních bezpečnostních slabinách.

Zde je příklad několika takových nástrojů:

Truecrypt je vhodný pro zabezpečení citlivých souborů, složek nebo celých disků.
GPG je otevřená implementace protokolu OpenPGP, kterým lze šifrovat e-mailovou komunikaci.
TAILS (The Ammensic Incognito Live System) je linuxová distribuce cílená na zabezpečení a anonymitu. Je to balík mnoha řešení včetně klientů sítě TOR.
OTR, čili Off-The-Record messaging, je to kryptografický protokol pro šifrování a ověřování rychlých zpráv. Je postaven na standardech AES a SHA-1. Je mimo jiné součástí balíku TAILS.

Zabezpečení dat samozřejmě také závisí na bezpečném a zodpovědném chování, ale je třeba si uvědomit, že připojování přes HTTPS a VPN bylo primárním cílem NSA. Dnes se doporučuje používat především TLS a IPsec.

Poskytovatel šifrované pošty: Nepoužívejte služby z USA

Své služby přestali nabízet už dva poskytovatelé šifrovaných e-mailových služeb, protože se cítí ohroženi tím, že by museli na vyžádání amerických úřadů odtajnit data svých zákazníků.

10.08.2013 Šifrování | KyberSecurity

Lavabit a Silent Circle, kteří nabízeli služby šifrování e-mailů, se rozhodli zastavit svou činnost. Hlavním důvodem jsou obavy o to, že by svým zákazníkům nemohli zaručit naprosté soukromí. K dešifrované e-mailové komunikaci totiž může kdykoli získat přístup některý z amerických úřadů zabývajících se národní bezpečností.

Ladar Levison, majitel Lavabitu, oznámil, že pozastavil provoz své firmy, ale protože je americkými federálními zákony vázán mlčenlivostí, nemůže zcela vysvětlit proč. Šifrovanou e-mailovou službu Lavabit použil Edward Snowden ke komunikaci s novináři, když jim prozrazoval informace ze zákulisí špehování dat na americkém území.

„Bohužel mi zákony neumožňují podělit se s vámi o události, které vedly k mému rozhodnutí,“ napsal Levison. „Nemohu. Mám za to, že byste měli vědět, co se děje. Podle prvního dodatku ústavy bych měl mít svobodu slova i v takovýchto situacích. Bohužel, Kongres schválil zákony, které mi toto právo upírají,“ dodal.

Podle úřadu národní bezpečnosti musí příjemce elektronické pošty úřadům prozradit její obsah a nesmí se zmínit nejen o tom, ale dokonce ani o tom, že nějakou poštu vůbec dostal. Levison proto svým zákazníkům doporučuje: „Nesvěřujte svá data žádné společnosti, ani soukromé, která má fyzické vazby na Spojené státy.“

Společnost podala podnět k federálnímu soudu, protože se domnívá, že je ohrožena americká ústava. V souvislosti s tím založila nadaci Lavabit Legal Defense Fund, které má shromažďovat prostředky na právní boj s americkými zákonodárci.

Druhou společností, která ukončila své šifrované služby, je Silent Circle. Její služba Silent Mail již není k dispozici, společnost však dále podniká a nabízí všechny ostatní služby. Společnost na svém webu odkazuje na případ Lavabitu a na vysvětlenou dodává: „Signály nám jsou jasné. Proto jsme usoudili, že nejlepší pro nás bude Silent Mail zastavit. Prozatím se na nás žádný americký úřad neobrátil, proto nemáme svázané ruce.“

V prohlášení se dále uvádí, že tato americká společnost ukládá data svých zákazníků na území USA a přesto, že jsou šifrovaná, nebyla by v bezpečí. Společnost proto rozhodla, že s ohledem na soukromí jejích zákazníků bude lepší, když přestane data přijímat a ukládat, což znamená ukončení služby.

Mezi další produkty společnosti patří služby Silent Phone, Silent Text a Silent Eyes, které jsou zabezpečeny přímo mezi dvěma komunikujícími subjekty a společnost tak nemusí ukládat žádná data. „Nemáme ani zašifrovaná data, ani neukládáme žádná metadata o jednotlivých konverzacích,“ uvádí společnost. Když tyto údaje nemáme, nemůžeme je ani nikomu vyzradit.

Silent Circle své zdůvodnění vypnout službu Silent Mail vysvětluje samotnou podstatou e-mailových protokolů, které jsou otevřené, a tím i nezabezpečené. „Samotné e-mailové protokoly obsahují příliš mnoho míst, kde může docházet k úniku informací, a příliš mnoho metadat odhalujících informace o komunikujících,“ uvádí se dále v prohlášení.

Zákazníkům doporučují používat zachované služby, které nabízejí zabezpečenou komunikaci dvou subjektů a o kterých nevlastní společnost žádné záznamy, natož jejich obsah.

Aféra PRISM se dotýká poskytovatelů cloudu v USA

Američtí provozovatelé cloudu nesou následky odhalení špionážního programu NSA. Dotazník aliance CSA ukazuje, že zahraniční firmy ruší smlouvy a cloudové služby objednávají jinde.

27.07.2013 Špionáž | KyberSecurity

Zahraniční zákazníci amerických cloudových poskytovatelů jsou očividně otřeseni zjištěním, do jaké míry a jak snadno americká bezpečnostní agentura NSA monitoruje a sbírá data o uživatelích. Podle dotazníku Cloud Security Alliance (CSA) 10 procent z 207 představitelů neamerických společností vypovědělo smlouvu s americkými provozovateli služeb po tom, co vyšel najevo špionážní program PRISM.

Pouze jedna třetina respondentů nehodlá z odhalených informací vyvodit závěry týkající se jejich používání amerických cloudových služeb. Studie CSA proběhla mezi 25. červnem a 9. červencem a podle Jima Reavise, výkonného ředitele CSA, ukázala větší negativní ohlas, než očekával. „Předpokládal jsem, že více lidí chápe, jak jsou tyto aktivity rozšířené i v jiných zemích.“

Většina dotázaných žádá větší transparentnost toho, jak americká vláda využívá zákon FISA (Foreign Intelligence Surveillance Act), který ji umožňuje žádat uživatelská data od amerických internetových společností. Google, Microsoft, Yahoo, ale i další firmy musí vždy vyhovět podobným požadavkům, ale současně nesmí o nich ani zpětně uveřejnit žádné informace.

Program PRISM byl odhalen v sérii dokumentů, které v minulém měsíci novinářům zpřístupnil dřívější spolupracovník NSA Edward Snowden. (Ten právě žádá o azyl v řadě zemí a v USA již mu nehrozí trest smrti za velezradu.) Pro odbornou veřejnost nebyly až tak velikým překvapením, obavy o rozsahu amerických špionážních aktivit se objevují poslední desetiletí, přinejmenším od prvních informací o projektu Echeolon z roku 2001.

Ostatně tyto obavy byly konkretizovány ve studii Boj s kyberzločinem a ochrana soukromí v cloudu, kterou v roce 2012 nechal vypracovat Evropský parlament. Její obsah sice nereprezentuje názory Evropského parlamentu, ale Centra pro evropské politické studie (CEPS), nicméně je jednoznačný.

„Rozsah sledování prováděného v rámci FISA a fakt, že bylo rozšířeno na všechna data ve veřejných cloudech, má rozsáhlé následky pro suverenitu dat Evropské unie a ochranu práv jejích občanů.“ „Jinými slovy je ve Spojených státech legální sledovat z politických důvodů data cizinců, která jsou přístupná v amerických cloudech.“

Po tom, co Snowden uveřejnil své dokumenty, Parlament EU odhlasoval vyšetření dopadu špionážního programu NSA na soukromí a občanská práva všech členů EU. Současně například podle finské bezpečnostní firmy F-Secure se potenciální zákazníci ptají, zda je firma vlastněná subjekty ze Spojených států nebo zda hostuje data zákazníků na území USA. Řada z nich nehodlá nakupovat služby amerických společností nebo vůbec od firmy pocházející ze zemí NATO.

Ale to podle Mikko Hypponena z F-Secure není nic nového, řada zákazníků se zase chce vyhnout službám společností čínských, ruských či izraelských. V podobných situacích vždy ze skandálů nejvíce těží provozovatele služeb z neutrálních zemí.

DHS nastavit "kybernetické obchod" za vlád agentur

Publikováno dne 25. července 2013. KyberSecurity

US Department of Homeland Security byl pověřen vytvořením centralizované nákupní rozbočovač, ke kterému všechny ostatní americká federální, státní a místní úřady nám získat nástroje a odborné znalosti pro všechny jejich potřeby kybernetické bezpečnosti. Podle Businessweek zprávy DHS byla dána 6000000000 dolarů strávit v příštích pěti letech, aby se to stalo a je v současné době přijímá nabídky. Lockheed Martin, Northrop Grumman a další velcí dodavatelé soupeří o kus koláče, stejně jako několik velkých firem kybernetické bezpečnosti. počet společností, jejichž nabídka bude přijata byla omezena na pět. Tento program je přímým důsledkem prezidenta Obama z února dekret , s níž za úkol DHS, aby - mimo jiné - zkontrolovat zda civilní vládě sítě jsou vyrobeny odolné vůči kybernetickým útokům. A i když to bylo začít s civilními vládními agenturami v mysl, inteligence agentury a ministerstva obrany budou také moci využít, a získat software, hardware a na poradenské služby nabízejí přes něj. Jedním z hlavních důvodů pro jeho zřízení bylo vyřešit problém udržet menších agentur obranu nahoru, jak tyto agentury don ' t dost velký rozpočet, aby tak sám, a podpořit podávání informací a podrobnosti útoků jsou předloženy.

Icefog špionáž Kampaň "Hit and Run" Cílený provoz

26. září 2013. KyberWar | Hacking

Špionáž kampaň představovat přesné zacílení obětí a malware, který umožňuje útočníkům jeden na jednoho interakce s ohroženého systému byl odkryt. Vládní agentury, výrobci high-tech společnosti a mediálních organizací v Jižní Koreji a Japonsku byly primární cíle kampaně s názvem Icefog, který byl dnes oznámila výzkumníky společnosti Kaspersky Lab.

Čína-založené kampaně je dva roky starý a následuje vzor obdobných APT stylu útoků, kde se oběti ohrožena prostřednictvím škodlivého přílohu v kopí-phishing e-mail, nebo jsou lákáni na webové stránky a ohrožení napaden škodlivým softwarem.

icefogphishingemail

Nicméně, zatímco jiné APT kampaně udržovat dlouhodobé přetrvávání uvnitř infikovaných sítí Icefog Zdá se, že pravý opak. Útočníci, Kaspersky vědci, vědí, co potřebují od oběti a jakmile to mají, se opouští cíl. Jsou také pravděpodobné, že malá skupina najatých pistolníků, blízký žoldáků, zneužita k útoku na určitou skupinu, krást data, a dostat se rychle.

"Vstoupili jsme do éry rostoucího počtu těchto menších, agilní skupiny najatých na jednotlivé projektové bázi," řekl Kaspersky Lab vědec Kurt Baumgartner, mluví dnes na summitu Cybersecurity Billington ve Washingtonu, DC "Operativní zlepšení přišli a tyto leštěné APT skupiny se mnohem lépe letí pod radarem.

"Hledání vzoru ve všech hluk není snadné. Je to stále těžší a těžší identifikovat vzory a spojit je se skupinou, "řekl Baumgartner.

K dnešnímu dni, Kaspersky Lab Global Research and Analysis Team zaznamenal šest variant Icefog a byl schopen sinkhole 13 domén používaných v útoku, zachycovat snímky z použitého malware a zaznamenává podrobně obětí a interakci se velení a řízení serverů.

Windows a Mac OS X verze Icefog byly pozorovány také, ale zdá OS X backdoor je pouze beta soud malware, z velké části nacházejí v on-line čínských nástěnkách. Mezitím, více než 200 unikátních systémem Windows IP adresy se připojit k Kaspersky kontrolované jámě, jen zlomek z celkového počtu infekcí vědci.

kurt_baumgartner"Je to tým operátorů, které jsou právě velmi selektivní a jít po přesně to, co potřebují," řekl Baumgartner, že jo. "Je to klasický APT chování. Mají pravděpodobně předchozí znalosti sítí a cílů. "

Tyto cíle zahrnují dodavatelů obranného průmyslu jako Lig Nex1 a Selectron průmyslová společnost, stavba lodí společnosti DSME Tech, Hanjin Heavy Industries, telekomunikační operátoři, jako je Korea Telecom a mediální společnosti, jako je Fuji TV.

Icefog nejen vytváří backdoor připojení k útočníkovi ovládané zabezpečovací infrastrukturou, ale také sníží množství nástrojů, které umožňují útočníci ukrást určité typy dokumentů a otočte do infikovaného společnost hledá pro více počítačů, infikovat a další zdroje krást.

Kampaň se rovněž opírá o zneužití chyb zabezpečení, které byly záplatované ve Windows nebo Java vytvořit oporu na koncový bod. Vzdálené spuštění kódu chyby v operačním systému Windows (CVE-2012-0158 a CVE-2012-1856) se šíří přes škodlivé aplikace Word nebo Excel soubory jsou nejběžnější způsob zahájení Icefog útok. V infikované prílohy nic slíbit z nedovoleného obraz ženy k dokumentu napsaného v japonštině s názvem: "Malý nadšení pro regionální suverenity reformy." Uživatelé jsou také poslal odkazy na napadených místech hosting Java exploity (CVE-2013-0422 a CVE-2012 -1723).

Jednotlivé kampaně spear phishing byly také spatřen použití HLP-starší verze WinHelp souborů, infikovat cíle. WinHelp byl podporován nativně, dokud systém Windows Vista byl propuštěn.

"S největší pravděpodobností, volba zneužívání WinHelp naznačuje, že útočníci mají představu o tom, jaká verze operačních systémů útočí," stojí ve zprávě Kaspersky řekl.icefog

Další spear phishing snaha použít NsP soubory dokumentů šířit Icefog, HWP je proprietární formát dokumentu používá v Jižní Koreji, a to zejména ze strany vlády.

Jakmile je počítač napaden, útočníci samostatně analyzovat informace o systému a soubory uložené na počítači, a pokud to projde shromáždit, jsou zadní vrátka a příčný pohyb nástroje vzdáleně odeslána do zařízení, včetně hesla a hash-vých nástrojů pro uložený Internet Explorer a Outlook hesla. Kompresní program je také poslán ke kompresi ukradených dat dříve, než bude odeslána na velení a řízení serveru. Za pověření oběti ztrácejí soubory systému Windows Address Book (. WAB), stejně jako HWP, Excel a Word.

Ze šesti variantách, nejstarší v roce 2011 použity v útoku na dům v Japonsku reprezentantů a Sněmovny radních. Šest AOL e-mailové adresy byly použity a příkazy byly načteny z těchto účtů.

Nejvíce obyčejně viděný Icefog varianta se nazývá typ 1 a má všechny zadní vrátka a stranového pohybu funkcí popsaných výše, stejně jako dává útočníkům přístup k vykonání SQL příkazů SQL serverů nalezených v síti. Je to tady, kde byl termín Icefog vidět v řetězci použité velení a řízení serveru (C & C je software s názvem Tři Dagger). Velení a řízení skript, zatím, poskytuje profesionálně vypadající rozhraní pro komunikaci a interakci s napadených počítačů. To používá nativní souborový systém pro ukládání dat ukradených a dočasné soubory.

"Asi nejzajímavější je, že typ 1 C & C panel udržuje úplnou historii útočníka interakci s obětí," píše se ve zprávě. "To je veden jako šifrované logfile, v" logs "adresáře na serveru. Kromě toho, že server udržuje plné interakce protokoly a výsledky provedení příkazu z každé oběti. "

Další varianta byla použita ke zvýšení typu 1 infekce s další šifrování zamlžování komunikaci s příkazem servery. To nebyla použita proti oběti a zmizel, jakmile počítač byl restartován.

Vzorky pro další dvě varianty ještě získat, ale Kaspersky byl schopen sinkhole tři domény používané s těmito útoky. Tyto dvě varianty se pouze prohlížet a aktualizovat schopnosti.

ips_icefog

Nejnovější verze, Icefog-NG, nekomunikuje s centrálním serveru a příkaz namísto použití webserver, jeho velení a řízení je Windows desktop aplikace, která funguje jako samostatný server naslouchá na portu TCP 5600.

Kaspersky uvedl, že jako první získala Icefog vzorku v červnu po útoku na Fuji TV. Bylo možné pospojovat zpět do útoku na japonské parlamentu před dvěma lety.

"Předpokládáme, počet malých, zaměřených APT-nájemných skupin rostou, specializující se na hit-and-run operací, jakýsi" žoldáků "kyber-moderního světa," píše se ve zprávě.

"Kimsuky" Operation: Severokorejský APT?

14.9.2013 Zdroj: Kaspersky Hacking | KyberVálka
Po několik měsíců jsme monitorovali probíhající kybernetické špionáže kampaň proti Jižní Koreje think-tanků. Existuje několik důvodů, proč tato kampaň je výjimečný ve svém provedení a logistiky. Všechno to začalo jednoho dne, když jsme se setkali s poněkud naivní špionážní program, který komunikoval jeho "master" prostřednictvím veřejné e-mailového serveru. Tento přístup je spíše vlastní mnoha amatérských virem spisovatelů a tyto útoky škodlivého softwaru jsou většinou ignorovány.

Nicméně, tam bylo pár věcí, které přitahuje naši pozornost:

Veřejnost e-mailového serveru v pochybnost byla Bulharština - mail.bg .
Kompilace řetězec cesty obsažené korejské hieroglyfy.
Tyto dvě skutečnosti nucen se blíže podívat na tento malware - korejské překladače vedle bulharských e-mailové velení a řízení komunikace.

Kompletní nalezena cesta v malware představuje některé korejské řetězce:

D: \ rsh \ 공격 \ UAC_dll (완성) \ Release \ test.pdb

"Rsh" slovo, podle všeho, znamená zkrácení "Remote Shell" a korejská slova mohou být přeloženy do angličtiny jako "útok" a "doplnění", tj.:

D: \ rsh \ ATTACK \ UAC_dll ( DOKONČENÍ ) \ Release \ test.pdb

Ačkoli úplný seznam obětí zůstává neznámý, se nám podařilo identifikovat několik cílů této kampaně. Podle naší technické analýzy, útočníci měli zájem zaměření těchto organizací. "

Sejong Institute

Sejong Institute je nezisková soukromá organizace pro veřejný zájem a vedoucí think tank v Jižní Koreji, provádí výzkum na strategii národní bezpečnosti, sjednocení strategie, regionální otázky a mezinárodní politické ekonomie.

Korea ústav pro obranu analýz (KIDA)

KIDA je komplexní obranný výzkum institucí, která zahrnuje širokou škálu produktů pro obranné účely záležitostí. KIDA je organizována do sedmi výzkumných center: Centrum pro bezpečnost a strategie, Centrum pro vojenské plánování, Centrum pro rozvoj lidských zdrojů, Centrum pro řízení zdrojů, Centrum pro studia zbraňových systémů; Centrum pro studium informační systém a Centrum pro modelování a simulace. KIDA má také IT Consulting Group a různé podpůrné oddělení. Kida posláním je přispět k racionální obranu politiky prostřednictvím intenzivní a systematické výzkumu a analýzy obranných otázkách.

Ministerstvo sjednocení

Ministerstvo sjednocení je výkonným útvarem Jihokorejská vláda odpovědná za činnost směřující k sjednocení Koreje. Jeho hlavní úkoly jsou: stanovení severokorejskou politiku, koordinaci inter-korejské dialog, sledovat inter-korejské spolupráce a vzdělávání veřejnosti o sjednocení.

Hyundai Merchant Marine

Hyundai Merchant Marine je jihokorejská společnost poskytující logistické služby po celém světě Kontejnerová přeprava.

Některé indicie rovněž naznačují, že počítače, které patří do "příznivců korejské sjednocení" ( http://www.unihope.kr/ ) byly také zaměřeny. Mezi organizacemi se počítá, jsou 11 se sídlem v Jižní Koreji a dvě jednotky jsou umístěny v Číně.

Částečně proto, že tato kampaň je velmi omezený a vysoce cílené, jsme se zatím nepodařilo zjistit, jak je to malware rozděluje. Škodlivého vzorky, které jsme našli, jsou v rané fázi malware nejčastěji dodává kopí phishingové e-maily.

Infikování systému

Počáteční Trojan kapátko je Dynamic Link Library fungující jako zavaděč pro další malware. Nezáleží udržovat vývoz a jednoduše přináší další šifrované knihovny zachována ve své části zdrojů. Tato druhá knihovna plní všechny funkce špionáže.

Při spuštění v systému Windows 7, škodlivý knihovna využívá frameworku Metasploit je open-source kód Win7Elevate na vložení škodlivého kódu do explorer.exe . V každém případě, ať už je to Windows 7 nebo ne, tento škodlivý kód dešifruje jeho špionážní knihovnu ze zdrojů, uloží na disk se zdánlivě náhodně, ale hardcoded jména, například ~ DFE8B437DD7C417A6D.TMP , v uživatelském dočasné složky a načte tento obrázek jako knihovna.

Tato další fáze knihovna kopíruje do System32 adresáře ve složce Windows po hardcoded názvu souboru - buď KBDLV2.DLL nebo AUTO.DLL , v závislosti na malware vzorku. Pak služba je vytvořen pro servisní DLL. Servisní jména také se mohou lišit od verze na verzi, jsme zjistili následující jména - DriverManage, webové služby a WebClientManager . Tyto funkce zajišťují malware vytrvalost narušenou OS mezi restartování systému.

V této fázi, malware shromažďuje informace o infikovaném počítači. To zahrnuje výstup systeminfo příkazu uloženého v souboru oledvbs.inc následováním hardcoded cesta: C: \ Program Files \ Common Files \ System \ Ole DB \ oledvbs.inc . Tam je další funkce nazvaná - malware vytvoří řetězec obsahující počítač a uživatelská jména, ale to není používán kdekoliv. Podle všeho se jedná o chybu v malware autorem. Později, přijdeme do funkce, takový řetězec by mohl být relevantní, ale malware není schopen najít tato data v místě, kde by měla být. Tyto kroky jsou přijata pouze v případě, že běží v infikovaném systému poprvé. Na startu systému, škodlivý knihovna provádí špionáž činnosti, které potvrzuje, že je načten obecným svchost.exe procesu.

Špehování moduly

Existuje mnoho škodlivých programů zapojených do této kampaně, ale kupodivu, každý z nich implementovat jednu špionážní funkce. Kromě základní knihovny ( KBDLV2.DLL / AUTO.DLL ), která je odpovědná za společnou komunikaci s jeho kampaně pána, byli jsme schopni najít modulů, které vykonávají následující funkce:

Klávesové zkratky protokolování
Výpis adresáře kolekce
HWP dokument krádeži
Dálkový ovladač ke stažení a spuštění
Dálkové ovládání přístupu
Vypnutí brány firewall

Na startu systému, základní knihovna zakáže systému firewall a všechny AhnLab firewallu (Jihokorejská bezpečnostní produkt prodejce) od vynulování související hodnoty registru:

= = 0
HKLM \ SOFTWARE \ AhnLab \ V3IS2007 \ InternetSec FWRunMode = 0
HKLM \ SOFTWARE \ AhnLab \ V3IS80 \ je fwmode = 0

To také vypne Centrum zabezpečení systému Windows službu, aby se zabránilo upozorní uživatele o zdravotně postižené firewall.

Není náhodou, že malware autor vybral AhnLab bezpečnostní produkt. Během našeho výzkumu Winnti , jsme se dozvěděli, že jeden z korejských obětí byl ostře kritizován v Jižní Koreji regulátorů pomocí zahraničních bezpečnostních produktů. Nevíme jistě, jak tato kritika ovlivnila další jihokorejské organizace, ale víme, že mnoho organizací, jihokorejský nainstalovat AhnLab bezpečnostní produkty. Proto tyto útočníci ani neobtěžujte se vyhnout výrobky zahraničních dodavatelů ', protože jejich cíle jsou pouze jihokorejská.

Jakmile je malware firewall zakáže AhnLab, zkontroluje, zda je soubor taskmgr.exe je umístěn v hardcoded C: \ WINDOWS \ složky. Pokud je soubor přítomen, spustí tento spustitelný soubor. Dále malware smyčky každých 30 minut, aby se zprávy a čekat na odpověď od operátora.

Komunikace

Komunikace mezi robotem a provozovatel protéká bulharské webové bezplatný e-mailový server ( mail.bg ). Bot udržuje napevno přihlašovací údaje pro jeho e-mailový účet. Po ověření, malware posílá e-maily na jinou přesně stanovenou e-mailovou adresu a čte e-maily z e-mailové schránky. Všechny tyto činnosti jsou prováděny pomocí "mail.bg" webové rozhraní s použitím funkcí systému WinInet API. Ze všech vzorků, které se nám podařilo získat, jsme extrahovali následující e-mailové účty použité v této kampani:

beautifl@mail.bg
ennemyman@mail.bg
fasionman@mail.bg
happylove@mail.bg
lovest000@mail.bg
monneyman@mail.bg
sportsman@mail.bg
veryhappy@mail.bg
Zde jsou dva "master" e-mailové adresy, na které roboty posílat e-maily jménem výše uvedených účtů. Jsou zprávy o stavu a předávat infikované systémové informace prostřednictvím příloh:

iop110112@hotmail.com
rsh1213@hotmail.com
Pravidelné podávání zpráv

Chcete-li ohlásit nákazový status, malware čte z C: \ Program Files \ Common Files \ System \ Ole DB \ oledvbs.inc který obsahuje systeminfo výstup příkazu. Pokud soubor existuje, je odstraněna po přečtení.

Pak to čte uživatelsky související informace ze souboru sqlxmlx.inc ve stejné složce (vidíme řetězce odkazující na "UserID" komentáře v této části kódu). Ale tento soubor nebyl nikdy vytvořen. Jak si jistě vzpomínáte, tam je funkce, která by měla tyto údaje shromažďovány a měl chytá do tohoto sqlxmlx.inc souboru. Nicméně, na prvním spuštění se shromažďují informace o uživateli uložené do " xmlrwbin.inc " . To v praxi znamená, že malware spisovatel chybně kódované bot pro uložení informací o uživateli do špatného souboru. Tam je šance na mylném kódu i nadále pracovat - údaje o uživateli mohou být zkopírovány do zasílat informace haldy. Ale ne v tomto případě - v době psaní, shromáždil informace o uživateli proměnné, které by měly směřovat k xmlrwbin.inc souboru dosud nebyla inicializována, což je soubor psát k nezdaru. Vidíme, že sqlxmlx.inc není vytvořena k ukládání uživatelských informací.

Dále jsou zachycené kláves číst ze souboru a poslal na master. Klávesové zkratky jsou zaznamenány a uchovávány v obyčejném a konzistentní podobě v tomto souboru - oba názvy oken, které byly zadány a klíče Skutečné pořadí Vstup z klávesnice. Tato data se nachází v souboru C: \ Program Files \ Common Files \ System \ Ole DB \ msolui80.inc vytvořen externí Key Logger modul.

Všechna tato data jsou sloučeny do jednoho souboru xmlrwbin.inc, který je pak šifrován s RC4. Klíčem RC4 je generován jako MD5 hash náhodně generované 117-bajtů vyrovnávací paměti. Aby bylo možné dešifrovat údajů by útočník určitě vědět buď MD5 hash nebo celý obsah bufferu. Tato data je také odeslána, ale RSA šifrovaný. Malware vytvoří 1120 bit veřejný klíč, používá k šifrování 117-bajtů vyrovnávací paměti. Malware pak spojí všechny údaje, které mají být odeslány jako 128 bajtů bloku. Výsledná data se uloží do C: \ Program Files \ Common Files \ System \ Ole DB \ do souboru s názvem podle následujícího formátu:

"<system Time> _ účtu> na bulharské e server>. Txt", například "08191757_beautifl@mail.bg.txt".

Soubor je pak připojen k e-mailu a poslal na magisterském e-mailový účet. Po přenosu, je okamžitě odstraněn ze systému oběti.

Získání magisterského údajů

Malware také načítá instrukce z poštovního serveru. Kontroluje e-maily v bulharském e-mailový účet s určitou značkou. Identifikovali jsme několik "Předmět značky" v síťové komunikaci: Down_0 , Down_1, Happy_0, Happy_2 a ddd_3 . Po nalezení a e-mail udržuje přílohu, malware stáhne a uloží tuto přílohu s názvem souboru " msdaipp.cnt " v C: \ Program Files \ Common Files \ System \ Ole DB \ . Útočník může poslat další spustitelné soubory tímto způsobem. Spustitelné soubory jsou šifrované RC4 a pak připojen. Klíč pro dešifrování je napevno ve škodlivých vzorků. Je zajímavé, že stejný " rsh! @! # "řetězec je zachována u všech známých vzorků a slouží ke generování klíčů RC4. Jak bylo popsáno výše, malware vypočítá MD5 tohoto řetězce a používá hash jako jeho klíč k dešifrování RC4 spustitelný. Potom je prostý spustitelný klesl na disk jako " sqlsoldb.exe " a spustit, a pak se stěhoval do C: \ Windows složky s názvem souboru "taskmgr.exe" . Původní e-mail a jeho přílohy jsou pak odstraněny z bulharského e-mailové schránky.

Key logger

Další Key Logger modul není příliš složitý - prostě zachycuje úhozy na klávesnici a zapíše zadané klíče do C: \ Program Files \ Common Files \ System \ Ole DB \ msolui80.inc, a také zaznamenává aktivní okno název, kde uživatel stiskl klávesy . Viděli jsme stejný formát v Madi malware . K dispozici je také jedním z klíčových logger varianta, která se přihlásí úhozů do C: \ WINDOWS \ Setup.log .

Výpis adresáře kolektor

Další program, poslal obětem výčet všech jednotek v infikovaném systému a spustí následující příkaz na ně:

dir <písmeno_jednotky>: / / s / t /-c

V praxi se tento příkaz zapsán do C: \ WINDOWS \ msdatt.bat a uskutečňuje výstup přesměrován do C: \ WINDOWS \ msdatl3.inc . V důsledku toho, tento udržuje seznam všech souborů ve všech složkách na disku. Malware později přečte, že údaje a připojí se k obsahu souboru C: \ Program Files \ Common Files \ System \ Ole DB \ oledvbs.inc . V tomto bodě, " oledvbs.inc "již ukládá systeminfo výstup.

Je zajímavé, že jeden vzorek z kolektoru výpisu adresáře byl napaden neslavný "Viking" virus čínského původu. Některé z těchto virových úpravy putovali ve volné přírodě na pět let a jeho autoři či provozovatelé nikdy očekávat, že to skončí v tajném APT související špionážní nástroj. Pro útočníky je to určitě velký neúspěch. Nejen, že původní špionáže mít program známky známého škodlivého softwaru, který může být detekován anti-malware produkty, navíc útočníci jsou odhalení jejich skrytých činnost cyber-kriminálními gangy. Nicméně, podle všeho, útočníci si všiml nežádoucí přírůstek do své malware a zbavil infekce. To byl jediný vzorek nesoucí Viking virus.

Kvůli drahé práci malware s různými další soubory, není to na místě ukázat tyto "vztahy" v diagramu:
HWP dokument zloděj

Tento modul zachytí NsP dokumentů na infikovaném počítači. Soubor HWP formát je podobný aplikace Microsoft Word dokumentů, ale podporuje Hangul, jihokorejský aplikace na zpracování textu ze svazku Office Hancom. Hancom společnosti je široce používán v Jižní Koreji. Tento malware modul pracuje nezávisle na ostatních a udržuje své vlastní bulharské e-mailový účet. Účet je napevno v modulu spolu s pánem na e-mail, na který se posílá zachycené dokumenty. Je zajímavé, že modul není vyhledat všechny soubory v NsP infikovaného počítače, ale reaguje pouze na ty, které jsou otevřeny uživatelem a ukradne jim. Toto chování je velmi neobvyklé pro dokument krást součásti a my nevidíme v jiných škodlivých toolkity.

Program kopíruje sám sebe jako <Hangul plné path> \ HncReporter.exe a změny standardního programu sdružení do registru otevřete NsP dokumentů. Provedete to tak, že změní následující hodnoty registru:

HKEY_CLASSES_ROOT \ Hwp.Document.7 \ shell \ open \ command
nebo
HKEY_CLASSES_ROOT \ Hwp.Document.8 \ shell \ open \ command
Ve výchozím nastavení je nastavení registru "<Hangul plný path> \ Hwp.exe" "% 1" sdružující Hangul aplikace " Hwp.exe " s dokumenty NsP Ale škodlivý program, nahradí tento řetězec s následující:.. "<Hangul úplná cesta> \ HncReporter.exe ""% 1 " . Takže, když se uživatel je otevření jakéhokoli dokumentu. NsP je malware program sám popraven otevřít. NsP dokument. Po tomto registru upravit, jakékoli otevření . HWP je dokument číst a poslat jako přílohu e-mailu s předmětem " NsP "na útočníky. Po odeslání malware vykonává skutečnou Hangul aplikaci pro zpracování textu " Hwp.exe " otevřete. NsP dokument jako uživatel zamýšlel. Znamená, že oběť pravděpodobně ani nevšimnete krádež. NsP souboru. Modul je zaslání rutinní závisí na následujících souborů v C: \ Program Files \ Common Files \ System \ Ole DB složky: xmlrwbin.inc, msdaipp.cnt, msdapml.cnt, msdaerr.cnt, msdmeng.cnt a oledjvs.inc .

Dálkové ovládání modulu downloader

Další program je určen výhradně stahovat přílohy z příchozích e-mailů s určitou značkou. Tento program je podobný modul čepu, ale s omezenou funkčností: zachovává hardcoded bulharské e-mailový účet, přihlásí, čte příchozí e-maily a hledá speciálního předmětu tagu " týmu ". Když najde, načte související přílohu, klesne to na pevném disku jako C: \ Program Files \ Common Files \ System \ Ole DB \ taskmgr.exe a spustí. Tento konkrétní spustitelný dorazí bez šifrování.

Dálkové ovládání modulu

Je také zajímavé, že malware autor nebyl zakázku vytvořit backdoor program. Místo toho, autor upravené TeamViewer klientskou verzi 5.0.9104. Počáteční spustitelný tlačil útočníky v e-maily související s dálkovým ovládání modulu se skládá ze tří dalších spustitelných souborů. Dva z nich jsou součástí týmu Viewer sami, a jiný je nějaký backdoor nakladače. Takže, kapátko vytvoří tři soubory v C: \ Windows \ System32 adresáře:

netsvcs.exe - upravený Team Viewer klientem;
netsvcs_ko.dll - zdroje knihovna klienta Team Viewer;
vcmon.exe - installer / startér;
a vytváří služby " Remote Access Service ", upravena k provedení C: \ Windows \ System32 \ vcmon.exe při startu systému. Pokaždé, když vcmon.exe je proveden, zakáže AhnLab firewall od vynulování následující hodnoty registru:

HKLM \ SOFTWARE \ AhnLab \ V3 365 Clinic \ InternetSec
UseFw = 0
UseIps = 0
Pak se upraví nastavení Team Viewer registru. Jak jsme již řekli, komponenty Team Viewer použité v této kampani nejsou ty původní. Jsou mírně upraven. Celkově bylo zjištěno, dvě různé varianty pozměněné verze. Malware autor nahradil všechny položky z " TeamViewer strun "v týmu Viewer komponent. V prvním případě se " Goldstager "řetězec a řetězec" Coinstager "ve druhém. TeamViewer klienta Nastavení registru jsou pak HKLM \ Software \ Goldstager \ Version5 a HKLM \ Software \ Coinstager \ Version5 odpovídajícím způsobem. Launcher nastaví několik hodnoty registru, které řídí, jak nástroj pro vzdálený přístup bude fungovat. Mezi nimi je SecurityPasswordAES . Tento parametr představuje hodnotu hash hesla, s nimiž vzdálený uživatel má připojit ke klientovi Team Viewer. Tímto způsobem, útočníci nastavit předem sdílený ověřovací hodnotu. Za to, že startér provede samotnou Team Viewer klienta netsvcs.exe .

Kdo je Kim?

Je zajímavé, že pokles box mailových účtů iop110112@hotmail.com a rsh1213@hotmail.com jsou registrovány s těmito názvy "Kim": kimsukyang a "Kim asdfa" .

Samozřejmě, že nemůžeme být jisti, že se jedná o skutečné jména útočníků. Nicméně, není tento výběr často vidět. Možná je to také poukazuje na podezřelé severokorejského původu útoku. S ohledem na profily cílových organizací - Jihokorejský vysokých škol, které provádějí výzkumy na mezinárodních záležitostech, produkovat obranné politiky vlády, národní lodní společnosti, podporovat skupiny pro korejské sjednocení - dalo by se jednoduše podezření, že útočníci mohou být ze Severní Koreje .

Cíle téměř dokonale spadají do oblasti jejich zájmu. Na druhou stranu, není to tak těžké zadat libovolný registrační informace a uvést v omyl vyšetřovatelům na zjevnou severokorejského původu. Nestojí nic vymyslet falešné registrační údaje a zadejte kimsukyang při registraci Hotmail. Jsme připustit, že tento registrační údaje neposkytuje konkrétní, nespornou informace o útočníků.

Nicméně útočníků IP-adresy se poskytnout nějaké další stopy. V naší analýze jsme sledovali deset IP adres používaných v Kimsuky operátorů. Všechny z nich leží v rozsahu sítě provincii Jilin provincie Liao-ning a sítě, v Číně.

Žádné další IP-adresy byly odkryté, které by poukazovaly na činnosti útočníků a patří do jiných IP rozsazích. Je zajímavé, že poskytovatelé internetových služeb, které poskytují přístup k internetu v těchto provinciích také věřil k udržení linky do Severní Koreje. Konečně, tato geo-umístění podporuje teorii pravděpodobné, že útočníci stojí za Kimsuky se sídlem v Severní Koreji.

Příloha

Soubory používané malware:

% Windir% \ system32 \ kbdlv2.dll
% Windir% \ system32 \ auto.dll
% Windir% \ system32 \ netsvcs.exe
% Windir% \ system32 \ netsvcs_ko.dll
% Windir% \ system32 \ vcmon.exe
% Windir% \ system32 \ svcsmon.exe
% Windir% \ system32 \ svcsmon_ko.dll
% Windir% \ system32 \ wsmss.exe
% Temp% \ ~ DFE8B437DD7C417A6D.TMP
% Temp% \ ~ DFE8B43.TMP
% Temp% \ ~ tmp.dll
C: \ Windows \ taskmgr.exe
C: \ Windows \ Setup.log
C: \ Windows \ winlog.txt
C: \ Windows \ Update.log
C: \ Windows \ wmdns.log
C: \ Windows \ oledvbs.inc
C: \ Windows \ weoig.log
C: \ Windows \ data.dat
C: \ Windows \ sys.log
C: \ Windows \ PcMon.exe
C: \ Windows \ Update.exe Google
C: \ Windows \ ReadMe.log
C: \ Windows \ msdatt.bat
C: \ Windows \ msdatl3.inc
C: \ Program Files \ Common Files \ System \ Ole DB \ msdmeng.cnt
C: \ Program Files \ Common Files \ System \ Ole DB \ xmlrwbin.inc
C: \ Program Files \ Common Files \ System \ Ole DB \ msdapml.cnt
C: \ Program Files \ Common Files \ System \ Ole DB \ sqlsoldb.exe
C: \ Program Files \ Common Files \ System \ Ole DB \ oledjvs.inc
C: \ Program Files \ Common Files \ System \ Ole DB \ oledvbs.inc
C: \ Program Files \ Common Files \ System \ Ole DB \ msolui80.inc
C: \ Program Files \ Common Files \ System \ Ole DB \ msdaipp.cnt
C: \ Program Files \ Common Files \ System \ Ole DB \ msdaerr.cnt
C: \ Program Files \ Common Files \ System \ Ole DB \ sqlxmlx.inc
<Hangul Plný path> \ HncReporter.exe
Související MD5:

3baaf1a873304d2d607dbedf47d3e2b4
3195202066f026de3abfe2f966c9b304
4839370628678f0afe3e6875af010839
173c1528dc6364c44e887a6c9bd3e07c
191d2da5da0e37a3bb3cbca830a405ff
5eef25dc875cfcb441b993f7de8c9805
b20c5db37bda0db8eb1af8fc6e51e703
face9e96058d8fe9750d26dd1dd35876
9f7faf77b1a2918ddf6b1ef344ae199d
d0af6b8bdc4766d1393722d2e67a657b
45448a53ec3db51818f57396be41f34f
80cba157c1cd8ea205007ce7b64e0c2a
f68fa3d8886ef77e623e5d94e7db7e6c
4a1ac739cd2ca21ad656eaade01a3182
4ea3958f941de606a1ffc527eec6963f
637e0c6d18b4238ca3f85bcaec191291
b3caca978b75badffd965a88e08246b0
dbedadc1663abff34ea4bdc3a4e03f70
3ae894917b1d8e4833688571a0573de4
8a85bd84c4d779bf62ff257d1d5ab88b
d94f7a8e6b5d7fc239690a7e65ec1778
f1389f2151dc35f05901aba4e5e473c7
96280f3f9fd8bdbe60a23fa621b85ab6
f25c6f40340fcde742018012ea9451e0
122c523a383034a5baef2362cad53d57
2173bbaea113e0c01722ff8bc2950b28
2a0b18fa0887bb014a344dc336ccdc8c
ffad0446f46d985660ce1337c9d5eaa2
81b484d3c5c347dc94e611bae3a636a3
ab73b1395938c48d62b7eeb5c9f3409d
69930320259ea525844d910a58285e15
Názvy služeb vytvořených malware:

DriverManage
WebService
WebClientManager
Remote Access Service
Zjistíme, jak těmto hrozbám Trojan.Win32.Kimsuky kromě upravených týmu Viewer komponent klienta, které jsou zjištěny při Trojan.Win32.Patched.ps .

Za rozsáhlými výpadky v EU obvykle stojí kyberútoky

Nejhorší vliv na kvalitu internetového připojení v členských zemích Evropské unie mají kybernetické útoky.

22.08.2013 KyberWar

Ačkoliv měly kybernetické útoky v loňském roce na svědomí asi jen 6 % všech výpadků veřejných elektronických komunikačních sítí a služeb v Evropské unii, na zhoršenou konektivitu uživatelů měly podstatně větší vliv než hardwarové poruchy, které jsou přitom častější příčinou internetových výpadků.

S informací přišla Evropská agentura pro bezpečnost sítí a informací (ENISA). Podle ní stály hardwarové poruchy v roce 2012 asi za 38 % všech výpadků internetového připojení na území EU a nějakým způsobem se průměrně dotkly přes 1,4 miliónu uživatelů. Kybernetické útoky i přes menší podíl na samotných výpadcích narušily komfort v průměru asi 1,8 miliónu lidí.

Primárním cílem kyberútoků bylo narušení internetového připojení. Konkrétně byly druhou nejčastější příčinou výpadku pevného internetového připojení (20 %) a v menší míře narušily také mobilní internetové služby (13%).

ENISA ve své zprávě vychází z analýzy 79 incidentů, které se v loňském roce staly v 18 členských státech Evropské unie a které vedly k vážným výpadkům telefonních a internetových služeb. Pouze 9 členských zemí nezaznamenalo žádný výpadek a 1 země zatím nepodala hlášení.

Agentura rozdělila incidenty do pěti kategorií podle jejich příčin. Kromě selhání systému či třetí strany ENISA rozlišuje také lidské chyby, přírodní jevy a úmyslné jednání. Nejčastější příčinou (79 %) byla systémová chyba. Selhání třetí strany stálo za 13 % incidentů, úmyslné jednání za 8 %, přírodní jevy za 6 % a lidské chyby za 5 %. Některé incidenty se přitom dostaly i do více než jedné kategorie.

Poruchy způsobené přírodními jevy: bouřemi, záplavami, vánicemi či zemětřesením, a lidskou chybou vyústily ve vůbec nejdelší výpadky. Jeden takový výpadek trval v průměru 36, respektive 26 hodin. Na druhou stranu však oba typy výpadků postihly malé množství uživatelů – v průměru 557 a 447 tisíc.

Úmyslné jednání naproti tomu postihlo přes 1,5 miliónu uživatelů, ačkoliv v průměru takový výpadek trval 4 hodiny. Co do počtu postižených uživatelů však „zvítězily“ výpadky způsobené přetížením, které se průměrně dotkly asi 9,4 miliónu lidí. Kyberútoky, jak již bylo řečeno, odstřihly od internetu v průměru přes 1,8 miliónu uživatelů. Asi nikoho nepřekvapí, že šlo obvykle o útoky typu DDoS.

Čínská armáda oznámila cvičení otestovat své síly digitalizovaných
29. května 2013. KyberWar

Čínské lidové osvobozenecké armády (PLA), oznámila, že uspořádá vojenské cvičení v červnu, jejímž cílem je zkoušet "nové typy bojových jednotek, včetně jednotek s použitím digitální technologie uprostřed úsilí k vyrovnání informationalized války." Cvičení se bude konat v Zhurihe výcvikové základny ve vnitřním Mongolsku autonomní oblasti, a podle státní tisková agentura Xinhua , že "bude poprvé posilovnou PLA se zaměřila o boji proti silám včetně digitalizovaných jednotek speciálních operací, armádě letectví a elektronická následná protiopatření sil. " Dva armádní sbory a osm vojenské akademie se rovněž zúčastní. zpráva přichází v návaznosti na zjevení , že čínští hackeři byli pravděpodobně za celou kampaň kybernetické špionáže, který vyústil v krádeže dokladů a provedení dvou desítek kritických amerických zbraňových systémů, a zvýšení calls politiků za účelem uložení sankcí Chinese (a další) společnosti, jejichž výrobky byly pravděpodobně částečně výsledkem z porušování práv duševního vlastnictví od společností ve Spojených státech. Za den prvního setkání Nová Čína prezident Xi Jinping a americký prezident Barack Obama se blíží, počítačové espionage a kybernetické konflikt se zdá být rychle vyšplhat až na vrchol seznamu otázek, které je třeba projednat.