- Počítačový útok -

H  Aktualizace  Analýzy  Android  Apple  APT  Bezpečnost  BigBrother  BotNet  Cloud  Exploit  Hacking  Hardware  ICS  Incidenty  IoT  IT  Kongresy  Kriminalita  Kryptografie  Kyber  Mobilní  OS  Ostatní  Phishing  Podvod  Ransomware  Rizika  Rootkit  Sociální sítě  Software  Spam  Těžařské viry  Útoky  Viry  Zabezpečení  Zranitelnosti

Úvod  Seznam  Kategorie  Podkategorie 0  1  2  3  4  5 

Počet kybernetických útoků na finanční podniky se za pět let ztrojnásobil

16.3.2018 Novinky/Bezpečnost Počítačový útok
Ve finančních službách se za posledních pět let celosvětově ztrojnásobil počet kybernetických útoků, vyplývá ze studie společností Accenture a Ponemon Institute. Pojišťovny začaly firmám i obyčejným uživatelům nabízet speciální pojištění kybernetických rizik. Česká policie se loni zabývala 6424 případy kybernetické kriminality, což je o 1080 případů více než v roce 2016.

"I když náklady na řešení kyberkriminality se u společností poskytujících finanční služby stále zvyšují, náš průzkum zjistil, že mají významně vyváženější a přiměřenější úroveň výdajů na klíčové bezpečnostní technologie k potírání sofistikovaných útoků než společnosti z jiných sektorů," uvedl Chris Thompson, který v Accenture Security vede sekci bezpečnosti finančních služeb.

To podle něj platí zejména při využívání automatizace, umělé inteligence nebo technologií strojového učení, což by mohlo být pro budoucí úsilí v oblasti kyberbezpečnosti zásadní.

Vyděračské viry
Podle bezpečnostní společnosti Eset byl rok 2017 rokem takzvaného ransomwaru. Jde o vyděračský software, který blokuje operační systém nebo šifruje data v něm obsažená a po uživateli pak vyžaduje výkupné za obnovení systému. Běžní uživatelé, ale i nadnárodní organizace museli čelit masivním útokům, jakými byly NotPetya nebo WannaCry.

Ransomware se ale nezaměřuje pouze na klasické počítače. Zneužívají ho i útočníci, kteří chtějí vydělat na vysoké popularitě mobilních zařízení a nejrozšířenějšího operačního systému Android, vysvětlil analytik Esetu Lukáš Štefanko.

První DDoS útok z IPv6. Na obzoru jsou další

10.3.2018 SecurityWorld Počítačový útok
Poprvé na servery udeřil distribuovaný DoS útok pocházející z protokolu IPv6. Pocházel z více než 1 600 IPv6 adres rozprostřených na 650 různých sítí.

Slovníkový DNS útok proběhl na servery společnosti Neustar, která se věnuje například analytice a zároveň je také správcem některých internetových domén ve Spojených státech, popisuje server SC Magazine, který zprávu o útoku přinesl.

Distribuovaný útok ukázal, že hackeři využívají nové metody k vykonání IPv6 útoků a nejde o pouhou replikaci útoků IPv4 s použitím protokolů IPv6, věří Neustar.

„Už jsme něco podobného chvíli očekávali a nyní je to tu. Viděli jsme také v letošním roce nárůst IPv4 útoků – je téměř dvojnásobný oproti stejnému období v roce 2017 – ale IPv6 útoky přicházejí s novými problémy, které není snadné vyřešit. Jeden příklad za všechny je obrovské množství dostupných adres dostupných útočníkovi, které mohou přehltit paměť moderních bezpečnostních zařízení,“ popsal serveru SC Magazine šéf vývoje a výzkumu Neustaru Barrett Lyon.

Celkové množství adres IPv6 je nepředstavitelně vysoké – je jich 7.9x1028vícekrát než u IPv4. Stárnoucí protokol IPv4 poskytuje přibližně 4,3 miliardy 32bitových adres. Vlivem obrovského množství IPv6 adres je možný podstatně větší útok, a protože mnohé nové sítě mohou IPv6 podporovat, ale bezpečnostní nástroje zatím ne, představuje to pro útočníky lákavý cíl s vysokým potenciálem.

Wesley George, hlavní inženýr síťového zabezpečení Neustaru sdělil SC Magazinu: „Je to velká výzva, ale v posledních letech se věci posunuly dál. Dobré bezpečnostní rady už existují a je jasné, že protokol IPv6 je nutné vnímat jako velmi důležitý. V mnoha případech je problém ve viditelnosti – máme společnosti se skvělou telemetrií pro IPv4, a to samé se musí přesunout i k IPv6.“

UltraDNS služba Neustaru je odpovědná za 10 % veškerého internetového provozu, mezi zákazníky patří Tesco, Forbes nebo NetRefer. Z žebříčku Alexa Top 1000 webů je momentálně 26,9 % navštívitelných pomocí protokolu IPv6.

Za půl roku bylo v Česku zaznamenáno 1600 DDoS útoků, nejvíce jich je domácích
3.3.2018 Lupa Počítačový útok
Kybernetické útoky DDoS jsou v Česku běžnou věcí, ukazují nová čísla společnosti net.pointers. Ta analyzovala situaci mezi srpnem loňského roku a letošním lednem. Za půl roku bylo zaznamenáno 1600 DDoS útoků, což je 51 útoků denně.

„Nejčastěji byly údery na české počítače a další zařízení vedeny z České republiky (27,32 % z celkového počtu útoků), z Velké Británie (26,12 %), z Číny (24,14 %) a Německa (22,41 %). Nejsilnější útok byl zaznamenán v polovině ledna: jeho intenzita dosáhla 14,4 Gb za sekundu. Vzhledem k tomu, že v posledních letech nejsou výjimkou ani napadení o síle přes 100 Gb za sekundu, jednalo se v globálním měřítku spíše o slabší případ,“ uvádí net.pointers.

Společnost také uvádí, že na sousedním Slovensku bylo za stejné období evidováno pouze 64 DDoS útoků.

Kdo napadl v říjnu volební weby? Policie stále pátrá

4.1.2018 Novinky/Bezpečnost Počítačový útok
Policie se stále zabývá hackerským útokem na volební weby Českého statistického úřadu (ČSÚ), který se uskutečnil loni v říjnu. Útok během volebního víkendu dočasně znepřístupnil informační stránky pro veřejnost, volební výsledky ale neovlivnil. Útočníka se však zatím ochráncům zákona dopadnout nepodařilo. Potvrdil to mluvčí Národní centrály proti organizovanému zločinu (NCOZ) Jaroslav Ibehej.

Kvůli hackerskému útoku byly volební weby volby.cz a volbyhned.cz nedostupné zhruba 2,5 hodiny. Šlo o tzv. DDoS útok (Distributed Denial of Service). Ten má vždy stejný scénář, stovky tisíc počítačů začnou přistupovat v jeden okamžik na konkrétní server. Ten zpravidla nezvládne tak vysoké množství požadavků zpracovat a spadne. Pro běžné uživatele se pak takto napadená webová stránka tváří jako nedostupná.

A přesně to bylo příčinou výpadku zmiňovaných volebních webů.

Výsledky voleb útok neovlivnil
„Národní centrála proti organizovanému zločinu, sekce kybernetické kriminality, se stále zabývá DDoS útokem na komunikační infrastrukturu externího dodavatele ČSÚ, v důsledku čehož byly zaznamenány výpadky na webech, které zveřejňovaly výsledky voleb do Poslanecké sněmovny Parlamentu České republiky," uvedl pro ČTK Ibehej.

Hackeři útočili přímo na síť operátora O2, proto byly weby volby.cz a volbyhned.cz nedostupné. „Je třeba zdůraznit, že DDoS útoky díky technickému řešení nijak neovlivnily sčítání hlasů ani systémy statistického úřadu,“ uvedla na dotaz Novinek mluvčí O2 Lucie Pecháčková.

Přiblížila, jak se útoky po uzavření volebních místností uskutečnily. „Poprvé se náznaky útoku objevily kolem 14. hodiny a v průběhu odpoledne několikrát vyřadily z provozu prezentační web volby.cz. Situaci jsme začali okamžitě řešit a v 16:30 se podařilo útoky definitivně odklonit,“ zdůraznila Pecháčková.

Kdy bude vyšetřování celého útoku uzavřeno, zatím není jasné. „O tom, jak dlouho bude trvat prověřování, zatím nebudeme spekulovat,“ uzavřel mluvčí NCOZ.

Případem se zabývá policie
ČSÚ zatím nechtěl útoky komentovat, protože je vyšetřuje policie a NÚKIB.

„Dle dostupných informací jde v případě tohoto DDoS útoku o víceméně dobře zvládnutý bezpečnostní incident. Výsledky voleb dle našeho názoru nemohl ovlivnit," podotkl ředitel bezpečnostní divize DCIT Karel Miko.

Podle technického ředitele antivirové firmy Eset Miroslava Dvořáka se dá podobným útokům čelit dostatečně robustní infrastrukturou v kombinaci s filtračními mechanismy. Lze to zajistit vlastními silami či využitím nabídek externích společností, tzv. scrubingových center. Vždy se zohledňuje nákladová efektivita takové ochrany.

DDoS útok na Bitfinex, 31 milionů ukradených Tetherů a růst ceny Bitcoinu

2.12.2017 Lupa.cz Počítačový útok

Začátkem týdne se na twitterovém účtu největší světové bitcoinové burzy současnosti objevila zpráva o probíhajícím DDoS útoku.
Zdánlivě nevinný tweet z neděle večer rozproudil novou vlnu otázek kolem již tak kontroverzní tchajwanské bitcoinové burzy Bitfinex. DDoS útok začal během plánované pravidelné technické odstávky a přetrvával během celého pondělí, což pocítila řada uživatelů na vlastní kůži.

Burza k incidentu, jak je v poslední době jejím nedobrým zvykem, neposkytla žádné detailní informace. Útok samotný je sice (pravděpodobně) externí událostí, kterou burza nemohla nijak ovlivnit, představuje ale zároveň další článek v řetězci kontroverzních událostí, které jsou od loňského roku s burzou spojeny.

Bitfinex je pověstný dlouhou historií netransparentních operací a po celou svoji historii se důsledně vyhýbá poskytování informací o osobách, které jsou odpovědné za jeho provoz.

Manipulace s cenou?
Jaký je možný smysl útoku? DDoS útoky nikoho přímo neokrádají o peníze ani nezpůsobují úniky citlivých dat. Útoky na dostupnost služby (Distributed Denial of Service) mívají nejčastěji, podobně jako například blokáda komunikace ve fyzickém světě, nějaký aktivistický účel.

Ve světě kryptoměn, kde vznešené ideály často ustupují finančním zájmům úzké skupiny, plní ale ještě jiný účel: jsou nástrojem manipulace s cenou. Pokud obchodníkům zabráníte v přístupu na trh, objem obchodů výrazně klesne, tento umělý pokles se přímo promítne do umělého poklesu ceny a vy můžete například na jiné burze levně nakoupit či bezpečně uzavřít své shorty.

Svědkem podobného DDoS útoku směrovaného právě na Bitfinex jsme byli letos v červnu. V hlavní fázi aktuálního útoku ze začátku tohoto týdne klesla cena Bitcoinu z přibližně 9800 na 9300 amerických dolarů, brzy se ale opět vyšvihla k hranici 11 400 dolarů (než přišla středeční korekce ceny).

BTC burzy ve středu nestíhaly simultánní nápor uživatelů, kteří při nečekaném pohybu kurzu zadávali prodejní příkazy

Kdo za DDoS útoky stojí, lze vypátrat jen těžko, přesto je zarážející, že společnost, která má profit z transakčních poplatků přes milion dolarů denně, nevěnuje větší péči ochranně před podobným typem události. Obzvláště když připustíme, že má burza za sebou historii dvou bitcoinových krádeží v relativně krátkém časovém odstupu.

Kontroverzní Tether
Společnost nejprve přišla o 1500 bitcoinů (v tehdejší hodnotě asi 400 tisíc dolarů) v roce 2015 a jen o rok později se stala obětí krádeže 120 000 bitcoinů (96 000 000 dolarů při tehdejších cenách). Bitfinex tehdy rozdělil ztráty mezi všechny zákazníky, a to včetně těch, kteří v dané době na burze žádný bitcoin nedrželi. Z každého účtu burza odečetla 36 %, které zůstaly v podobě pohledávky – tzv. BFX tokenu s teoretickou hodnotou 1 BFX = 1 USD.

Bitfinex má ve světě kryptoměnových burz výjimečné postavení, a tak podobný útok rozhodně dává smysl. Za prvé se již dříve po odhalení falešných objemů na čínských bitcoinových burzách ukázalo, že jde pravděpodobně o největší subjekt co do bitcoinových obchodů na světě (viz data CoinMarketCap), za druhé dceřiná společnost Bitfinexu stojí za kontroverzním tokenem Tether a právě machinacím s Tetherem část komunity přisuzuje další významný vliv na manipulaci s cenou bitcoinu.

Cena jednoho Tetheru je víceméně fixní (vázána na americký dolar) a jeho účelem je pomáhat burzám, které Tether používají, obcházet přísný rámec ze strany amerických regulátorů (SEC, IRS, FED), který by na ně jinak dopadal skrze bankovní AML a KYC legislativu.

Skutečný problém, nebo kouřová clona?
Právě Tether byl v hledáčku bitcoinového světa celý uplynulý týden, a to zejména v souvislosti krádeží 30 950 010 tokenů z online peněženky společnosti Tether Limited. Události si všiml dokonce mainstreamový newyorský deník The New York Times.

Co je to Tether
Tether, neboli USDT (ačkoli v plánu je též euro a japonský jen) je digitální token běžící na bitcoinovém blockchainu prostřednictvím vrstvy Omni Layer Protocol (dříve Mastercoin). Každá jednotka USDT by měla být teoreticky podložena americkým dolarem, který je držen v rezervách společnosti Tether Limited a vykoupitelná prostřednictvím platformy Tether. USDT lze převádět, ukládat a utrácet podobně jako jiné kryptoměny, a to prostřednictvím všech peněženek, které podporují Omni Layer (například Ambisafe, Holy Transaction či Omni Wallet). Tether má v plánu postupně rozšířit svůj token také na platformu Ethereum, kde bude figurovat jako ERC20 token. S Tetherem se kromě Bitfinexu, odkud se většina tetherů dostává do oběhu, můžete setkat zejména na burzách Poloniex, Bittrex či Kraken.

Samotná krádež, kterou se podařilo vyřešit tzv. rollbackem transakční historie a zablokováním určitých adres, vyvolala řadu otázek. Jednak k jejímu zdárnému uskutečnění bylo zapotřebí získat přístup ke třem ze čtyř podpisových klíčů, které se měly nacházet na čtyřech různých místech odpojených od internetu, a existuje tak teorie, že šlo o „inside job“.

Druhým aspektem bylo samotné řešení problému. To sice není u centralizovaného projektu tak kontroverzní jako například nejistý komunitní konsensus při loňském hardforku Etherea, přesto však vyvolává různé pochybnosti. Pokud je možné u kryptoměny s kapitalizací 675 milionů dolarů v tichosti provést hardfork a zneplatnit tak libovolnou sérii adres a proběhlých operací, kdo vlastně kontroluje Omni ledger a za jakých okolností má právo takovéto operace provádět?

Podle jakého klíče byly konkrétní adresy trvale zablokovány a koho může potkat podobný osud? Takováto úroveň centralizace je totiž skvělým předpokladem pro manipulaci s celou dnes již celkem zajímavě kapitalizovanou sítí. Záznamy mohou být podobnými zásahy celkem snadno měněny a váš kapitál uložený v Tetheru tak zůstává poněkud nejistým dočasným záznamem v centralizované databázi soukromé společnosti.

To je hodně velký rozdíl oproti veřejnému blockchainu a tradičním decentralizovaným kryptoměnám (viz náš článek Jak porozumět blockchainu v deseti minutách aneb Jak funguje technicky a k čemu je). Pokud nebudeme hned myslet na nejhorší, může například tým Tetheru pod tlakem justičních autorit trvale zablokovat libovolné adresy s libovolnými Tether fondy.

Proč roste Bitcoin
Faktem také zůstává, že komunikace Tether Ltd. s veřejností není zrovna nejlepší a hlavní softwarové změny, záplaty chyb a dokonce i významnější forky protokolu jsou prováděny celkem netransparentně a s minimálním informováním. Zarážející jsou také některé komunikační praktiky, jako používání softwaru pro změnu hlasu při poskytování vyjádření pro veřejnost.

Do třetice je zde ještě jedna záležitost. Letos na jaře začal být na Twitteru velmi populární tajemný uživatel jménem Bitfinex'ed. Ten pravidelně přináší nejrůznější nepřímé důkazy, které nasvědčují tomu, že průběžně do oběhu uvolňovaná likvidita Tetheru ve skutečnosti vůbec nemusí být krytá skutečnými dolary na bankovních účtech společnosti, ale že jde o peníze tisknuté takříkajíc ze vzduchu.

Jedním z těchto důkazů mělo být i extrémně rychlé splacení závazků vůči uživatelům po loňském hacknutí burzy, při kterém zmizelo 120 000 bitcoinů. Závazky měly být podle všeho kryté právě ze vzduchu natištěným Tetherem. Na druhé straně je ale nutno dodat, že při obratu 1–1,5 milionu dolarů denně a prudkém nárůstu nových uživatelů počátkem letošního roku není předčasné splacení závazků až zase tak moc překvapivé.

Kdyby šlo do tuhého, půjde Tether vůbec vybrat a směnit zpátky na dolary? V podmínkách společnosti nalezneme mimo jiné toto:

Tether token nepředstavuje peníze ani jiný finanční instrument. Také není určen jako uchovatel hodnoty. Neexistuje žádné smluvní právo nebo jiný právní nárok proti nám umožnující vynutit si výměnu vašich Tetherů za peníze. Nezaručujeme žádné právo na vykoupení nebo výměnu Tetherů a neexistuje žádná záruka proti ztrátám při nákupu, obchodování, prodeji nebo jejich zpětném odkupu.

Takováto právní formulace může mít sice za účel se pouze vyhnout dosahu regulátorů, uživatelům Tetheru ale na klidu rozhodně nepřidává.

TIP: Tone Vays: 99 % kryptoměn nemá šanci přežít. Za hard forky je snaha o kontrolu peněz

Tak trochu konspirační teorie, kterou Bitfinex'ed razí, tvrdí, že nekrytý kvantitativně uvolňovaný Tether je přímou příčinou současného růstu ceny bitcoinu. Kampaň proti Tetheru se začala v posledních měsících stupňovat a komunita uživatelů kryptoměn se začala oprávněně ptát, jak to tedy s transparentností Tetheru ve skutečnosti je. Tether na toto konto slíbil celou věc znovu vyjasnit. Namísto toho přišel výše zmiňovaný hack a pozornost se přesunula právě k němu. Je tedy možné, že celá událost byla jen kouřová clona, která má odvrátit pozornost od skutečného problému?

Pravdou je, že již v září 2017 Bitfinex a Tether publikovali dokument, který měl rozehnat některé hlavní pochyby o tom, jak je Tether podložen. Podle nezávislého právníka Lewise Cohena je ale dokument formulován tak, že z něj podloženost Tetheru skutečnými dolary nelze ani potvrdit, ani vyvrátit.

Další souvislosti
Z toho mála, co o Bitfinexu víme, můžeme říci, že byl založen na Britských panenských ostrovech a je řízen Janem Ludovikem van der Velde (v roli ředitele) a Philem Potterem v roli CSO. Snaha držet navenek obě společnosti zdánlivě maximálně oddělené, ale přitom zároveň jako seismograf reagující na momentální potíže druhé firmy, budí pochopitelně oprávněná podezření.

Oba pány můžeme nalézt také na seznamu takzvaných Dokumentů z ráje, které představují databázi 13,4 milionu důvěrných finančních dokumentů, jež byly zveřejněny 5. listopadu 2017 a odhalují seznamy více než 120 000 jedinců (včetně Čechů) a společností a jejich masivní daňové úniky.

Nás by však měl zajímat nejvíce právě Potter, protože právě on zároveň představuje ředitele společnosti Tether. Potter má relativně kontroverzní historii. V 90. letech pracoval pro Morgan Stanley, ale byl propuštěn pro používání „agresivních technik“ vydělávání peněz. V Dokumentech z ráje je zmiňován mimo jiné v souvislosti se společností Appleby a projektem Tether, který tato společnost zakládá na Britských panenských ostrovech koncem roku 2014.

Místo, kde je společnost vedena, a její spolumajitel nejsou jedinými indiciemi úzké provázanosti mezi Bitfinexem a Tetherem. Většina Tetherů se totiž dostává do oběhu právě přes Bitfinex. Na druhé straně to samotné, ani pohyb se v šedé zóně americké a evropské legislativy, ještě není důvodem k vážným obavám.

Poněkud zarážející souvislostí, která by nahrávala teorii uživatele Bitfinex'ed, je, s jakou podivuhodnou lehkostí se burza vypořádala s odstřižením od svých účtů s milionovými klientskými deposity po zásahu regulátorů letos na jaře. Zde sehrál Tether, ať již podložený dolary z účtů Tether Ltd., či vytištěný takříkajíc „ze vzduchu“, zcela zásadní roli.

Web Účtenkovky napadli hackeři

16.11.2017 Novinky/Bezpečnost Počítačový útok
Výpadek webových stránek loterie Účtenkovka, kde se ve středu měly objevit výsledky prvního slosování, způsobil útok hackerů, řekla Radiožurnálu náměstkyně ministra financí pro daně a cla Alena Schillerová. Stránky byly asi hodinu a půl nefunkční, ministerstvo muselo výsledky zveřejnit na vlastních stránkách.

„Celou dobu jsem ve spojení s dodavatelskou firmou. Ta ten problém zanalyzovala. Došlo k hackerskému útoku, který ona odstraňuje a dává dohromady. Nicméně, my jsme hned v 19:30 zveřejnili všechny údaje na webové stránce ministerstva financí,“ řekla Schillerová Radiožurnálu.

Výpadek postihl web www.uctenkovka.cz od zhruba sedmi hodin večer do půl deváté.

Útokům čelilo Česko už dříve
O jaký typ útoku se jednalo, není v tuto chvíli jasné. S největší pravděpodobností však šlo o hackerskou techniku DDoS (Distributed Denial of Service). Ta má vždy stejný scénář. Stovky tisíc počítačů začnou přistupovat v jeden okamžik na konkrétní server. Ten zpravidla nezvládne tak vysoké množství požadavků zpracovat a spadne. Pro běžné uživatele se pak takto napadená webová stránka tváří jako nedostupná.

Stejnému typu útoku čelily na konci října – během volebního víkendu – prezentační volební weby volby.cz a volbyhned.cz. Ty byly tehdy nefunkční 2,5 hodiny.

Masivním útokům typu DDoS čelily v roce 2013 některé další tuzemské servery. Směrovány byly nejprve na zpravodajské weby, potom na portál Seznam.cz, servery bank a telefonních operátorů.

Podle bezpečnostních expertů šlo tehdy o největší kybernetický útok v celé historii Česka. 

O co se hraje v Účtenkovce
Do prvního kola Účtenkovky se zapojilo kolem pěti procent Čechů, dohromady registrovali přes 11 miliónů účtenek. Losovalo se z účtenek ze systému EET zaregistrovaných do hry v době od začátku října do neděle 12. listopadu. Generátor náhodných čísel vybral 21 tisíc výherních kódů. 

Od 1. listopadu mohou soutěžící registrovat účtenky ze svých listopadových nákupů do slosování, které bude 15. prosince, a kde se bude znovu hrát o 21 025 výher včetně automobilu. Ceny jsou hrazeny z veřejných peněz.

DDoS útoků přibývá. Hackeři se činili v desítkách zemí

13.11.2017 Novinky/Bezpečnost Počítačový útok
Kybernetických útoků typu DDoS (Distributed Denial of Service) ve třetím čtvrtletí letošního roku přibylo. Metody útočníků jsou přitom stále sofistikovanější a v ohrožení už dávno nejsou jen obyčejné počítače, ale také chytré telefony či zařízení tzv. internetu věcí. Vyplývá to z bezpečnostního reportu antivirové společnosti Kaspersky Lab.

„Ve třetím čtvrtletí byly DDoS útoky zaměřeny na cíle v 98 zemích, zatímco v předchozím období to bylo 86 zemí,“ uvedli zástupci společnosti Kaspersky Lab.

Změny zaznamenal také žebříček prvních deseti zemí, na které DDoS útoky cílily nejčastěji. „Rusko se ze sedmého místa posunulo na čtvrté, zatímco Francie a Německo v top desítce nahradily Austrálii a Itálii. První desítka zemí, v nichž se nachází řídicí botnetové servery, nově zahrnovala Itálii a Velkou Británii, které nahradily Kanadu a Německo. V obou těchto žebříčcích se na prvních třech místech umístily Čína, Jižní Korea a Spojené státy,“ podotkli bezpečnostní experti.

Vždy stejný scénář
Útok DDoS má vždy stejný scénář. Stovky tisíc počítačů začnou přistupovat v jeden okamžik na konkrétní server. Ten zpravidla nezvládne tak vysoké množství požadavků zpracovat a spadne. Pro běžné uživatele se pak takto napadená webová stránka tváří jako nedostupná.

O přechodu kyberzločinců k sofistikovanějším útokům svědčí také využívané metody. „Například byl zastaven botnet WireX šířící se prostřednictvím legálních aplikací pro Android nebo došlo k odhalení technologie Pulse Wave, která zvyšuje sílu DDoS útoků pomocí zranitelností v hybridních a cloudových technologiích,“ přiblížili technickou stránku věci experti.

„Zajímavá je také různorodost obětí DDoS útoků ve třetím kvartále. Napadeny byly zejména sázkařské služby, jako je Final Fantasy, Blizzard Entertainment, American Cardroom a UK National Lottery,“ uzavřeli bezpečnostní experti.

Zařízení internetu věcí
Podobným útokům počítačových pirátů pomáhají nevědomky také někteří uživatelé, kteří si příliš nelámou hlavu se zabezpečením svých zařízení. Je nutné podotknout, že řeč není pouze o chytrých telefonech a klasických počítačích, ale například také o tzv. zařízeních internetu věcí (IoT) – jde například o nejrůznější kamery, které se mohou připojovat k internetu.

Právě tato zařízení se stala součástí obřího botnetu, který využili kyberzločinci na konci října při útoku na DNS servery společnosti Dyn. Ty standardně překládají webové adresy na číselné adresy fyzických počítačů (IP adresy). Právě proto se podařilo hackerům vyřadit z provozu na východním pobřeží USA hned několik velkých webů – tím, že nefungoval překladač (DNS servery), webové prohlížeče po zadání adresy nevěděly, kam se mají připojit.

Uživatelé se tak nemohli připojit například na sociální sítě Twitter a Facebook, zpravodajské servery Daily News, CNN i New York Times a hudební portály Spotify a Soundcloud. 

Uživatelé by měli dbát na zabezpečení
K útokům na koncové uživatele využívají počítačoví piráti velmi často různé viry, prostřednictvím kterých mohou napadenou stanici ovládat na dálku. Tu pak přiřadí do obřího botnetu, s jehož pomocí pak v případě dostatečné velikosti mohou vyřadit z provozu prakticky libovolný cíl na internetu.

Zabránit DDoS útokům tak mohou v první řadě samotní uživatelé, když budou klást dostatečný důraz na zabezpečení svých zařízení.

Bluetooth má díry. Nový útok BlueBorne ovládne počítač nebo mobil za 10 vteřin
13.9.2017 Root.cz Počítačový útok
Jak kompletně ovládnout zařízení s dostupným Bluetooth a infikovat ho malware nebo se do pozice man-in-the-middle? Jednoduše. Bezpečáci z firmy Armis vymysleli útok, který může ovládnout víc než pět miliard zařízení. Upozorňuje na to server HackerNews.

Podle bezpečnostní analýzy ohrožuje zařízení s OS Android, iOS, Windows a Linux až po IoT zařízení, pokud tato zařízení používají Bluetooth.

Pro některé platformy již byly vydány záplaty, nicméně uživatelé starších verzí Androidu a iOSu jsou stále v ohrožení. Uživatelé Androidu si mohou stáhnout aplikaci „BlueBorne Vulnerability Scanner“, která byla vytvořena společností Armis, a je dostupná přes Google Play Store. Tato aplikace umožňuje zjistit, zda je dané zařízení zranitelné vůči.

DDoS útoky se prodlužují a chtějí výkupné

1.8.2017 SecurityWorld Počítačový útok
Firmy v průběhu druhého čtvrtletí tohoto roku zaznamenaly návrat dlouhotrvajících DDoS útoků. Nejdelší z nich trval celých 277 hodin (více než 11 dní), což je v porovnání s předchozím čtvrtrokem nárůst o 131 %. Podle Q2 2017 botnet DDoS reportu společnosti Kaspersky Lab se tak jedná v tomto roce o dosavadního rekordmana.

Nicméně DDoS útoky se v období mezi dubnem a červnem nelišily pouze svojí délkou. Významně se také zvýšil počet států, v nichž došlo k napadení různých organizací – počet stoupl ze 72 států v prvním čtvrtletí na 86 ve druhém. Mezi 10 nejvíce napadených států patřily Čína, Jižní Korea, USA, Hong Kong, Velká Británie, Rusko, Itálie, Nizozemsko, Kanada a Francie. Itálie a Nizozemí v první desítce oproti prvnímu čtvrtletí vystřídaly Vietnam a Dánsko.

Cílem DDoS útoků se stala například velká mediální agentura Al Jazeera, internetové stránky novin Le Monde a Figaro nebo servery populární služby Skype. V průběhu dubna až června se také kyberzločinci pokusili pomocí DDoS útoků manipulovat s cenou kryptoměn, k čemuž je vedl neustále stoupající kurz těchto měn. Největší obchodní burza s měnou Bitcoin, Bitfinex, byla napadena ve chvíli, kdy došlo ke spuštění obchodování nové kryptoměny IOTA token. Ještě předtím zaznamenala výrazné zpomalení svého provozu v důsledku mohutného DDoS útoku také burza BTC-E.

Zájem DDoS útočníků o peníze je nicméně žene dál, než jen k manipulacím s kurzem kryptoměn. Použití těchto útoků může být výhodné pro vymáhání peněz, čehož jsou příkladem Ransom DDoS nebo RDoS trendy. Kyberzločinci obvykle svým obětem zasílají zprávy, v nichž požadují výkupné ve výši 5 až 200 bitcoinů. V případě, že firmy odmítnou požadovanou částku zaplatit, přistoupí útočníci k vyhrožování DDoS útokem na kriticky důležité online zdroje oběti.
Zaujal vás tento článek? Přehled nejzajímavějších zpráv získáte odebíráním našeho newsletteru »

Výhružnou zprávu navíc může doprovázet krátkodobý DDoS útok, který má oběť přesvědčit o tom, že se jedná o reálnou hrozbu. Na konci června například došlo k pokusu o masivní RDoS útok skupinou nazývanou Armada Collective, která požadovala po sedmi jihokorejských bankách sumu okolo 315 000 dolarů.

Existuje nicméně ještě jeden způsob, který se v posledním kvartále stal oblíbeným – Ransom DDoS bez jakéhokoliv DDoS útoku. Podvodníci zasílali velkému množství firem výhružné zprávy a doufali, že se některé rozhodnou zaplatit výkupné v obavě z možných následků. Jestliže se pouze jedna firma rozhodne zaplatit, přinese to kyberzločincům zisk s minimem vynaloženého úsilí.

„V dnešní době útoky typu Ransom DDoS nevyžadují zkušené týmy kyberzločinců se špičkovými technologiemi. V podstatě jakýkoliv podvodník, který ani nemá technické vědomosti a dovednosti k zorganizování plnohodnotného DDoS útoku, si může jednoduše zakoupit demonstrativní útok za účelem vydírání. Tito lidé si vybírají především ty firmy, které své systémy nijak nechrání před DDoS útoky. V jejich případě stačí jednoduchá demonstrace a nechají se snadno přesvědčit k zaplacení výkupného,“ komentuje Kirill Ilganaev, vedoucí oddělení DDoS ochrany ve společnosti Kaspersky Lab.

Odborníci Kaspersky Lab firmy varují před placením výkupného. Mohlo by to totiž způsobit dlouhodobé škody nad rámec okamžitých peněžních ztrát. Informace o firmě, která zaplatila výkupné, se rychle rozšíří komunitou zločinců a mohla by vyprovokovat další útoky od jiných skupin.

Za obřím kybernetickým útokem stojí Severní Korea, míní experti

16.5.2017 Novinky/Bezpečnost Počítačový útok
O víkendu postihl svět jeden z největších kybernetických útoků v historii internetu, celosvětovou počítačovou sítí se začal šířit vyděračský virus WannaCry. Bezpečnostní experti se nyní usilovně snaží zjistit, odkud útok přišel. Stopy údajně vedou do Severní Koreje.
„Našli jsme doposud nejvýraznější stopu vedoucí k původu WannaCry,“ uvedl pro agenturu Reuters kybernetický specialista Kurt Baumgartner z antivirové společnosti Kaspersky Lab.

Podle něj se část zdrojového kódu tohoto vyděračského viru velmi podobá některým programům, které jsou používány hackerskou skupinou Lazarus. O té se již delší dobu spekuluje, že jde o krycí jméno pro skupinu kybernetických expertů, kteří pracují pro Severní Koreu. Tamní režim to však nikdy oficiálně nepotvrdil.

Původ potvrdili i další experti
Zdrojový kód podrobila analýze také antivirová společnost Symantec a ta nezávisle na výsledcích zkoumání expertů z Kaspersky Lab došla ke stejnému závěru. Stopy kybernetického útoku vedou do Severní Koreje.

Zjištěním kybernetických výzkumníků se nyní budou zabývat policisté ve více než 150 zemích světa, kde škodlivý kód WannaCry útočil. Podle informací amerických bezpečnostních expertů, kteří pracují pro Bílý dům, se za pouhých pár dní počet infikovaných strojů přehoupl přes číslovku 300 000. 

Antivirová společnost Avast uvedla, že škodlivý kód WannaCry útočil také v Česku. Napadl zde podle prvních odhadů na 400 počítačů.

Piráti si příliš nevydělali
Tom Bossert, bezpečnostní poradce amerického prezidenta Donalda Trumpa, v pondělí uvedl, že tento vyděračský virus vydělal kyberzločincům méně než 70 000 dolarů. Tedy v přepočtu bezmála 1,7 miliónu korun.

I když se tato částka může zdát příliš vysoká, s ohledem na množství nakažených počítačů je naopak spíše nízká. Vzhledem k tomu, že kyberzločinci požadovali výkupné zhruba 7300 Kč, je velmi pravděpodobné, že drtivá většina postižených uživatelů se rozhodla nedat počítačovým pirátům ani pětník.

WannaCry – první i vylepšená druhá generace – útočí úplně stejně jako ostatní vyděračské viry, které jsou označovány souhrnným názvem ransomware. Nejprve tedy škodlivý kód pronikne do počítače, pak jej uzamkne a zašifruje všechna data. Za jejich zpřístupnění následně počítačoví piráti požadují výkupné.

Tisíce zotročených routerů útočily na webové stránky

18.4.2017 Novinky/Bezpečnost Počítačový útok
Počítačovým pirátům se podařilo především v domácnostech na dálku ovládnout tisíce routerů. Prostřednictvím těchto zařízení, která se standardně používají k připojení k internetu, pak podnikli hned několik útoků na různé webové stránky. Upozornil na to Národní bezpečnostní tým CSIRT.CZ.
„Tisíce zranitelných domácích routerů byly hacknuty a jsou zneužívány k útokům na webové stránky,“ varoval Pavel Bašta, bezpečnostní analytik týmu CSIRT.CZ. Ten je provozován sdružením CZ.NIC.

Podle něj využili kybernetičtí nájezdníci síť zotročených routerů hned k několika útokům, vždy se však soustředili na menší stránky běžící na systému WordPress. Ty zpravidla nezvládly přístup tak velkého množství „uživatelů“ a zhroutily se.

Zotročit se podařilo kyberzločincům jen některé routery. „Problém se týká celé řady výrobců různých zařízení s integrovaným web serverem AllegroSoft RomPager verze 4.07. Ten totiž trpí zranitelností známou jako Misfortunate Cookie, která byla v pozdějších verzích opravena,“ přiblížil technickou stránku věci Bašta.

Většina zotročených routerů pochází podle bezpečnostních expertů z Alžírska, není nicméně vyloučeno, že k útokům jsou zneužívány i tuzemské routery.

Zda je tento síťový prvek zranitelný, si mohou uživatelé vyzkoušet sami díky webové společnosti Wordfence. Ta vytvořila jednoduchou aplikaci, prostřednictvím které je možné zabezpečení routeru otestovat pouhým kliknutím na tlačítko „scan me“. On-line nástroj je k dispozici na anglických stránkách Wordfence.

Útoky jsou stále častější
Na brány do světa internetu se zaměřují kyberzločinci stále častěji. Využívají toho, že zabezpečení těchto internetových zařízení uživatelé především v domácnostech velmi podceňují, někdy to ale platí i o firmách. Loňská studie Cisco Annual Security Report totiž ukázala, že devět z deseti internetových zařízení má slabá místa.

Hlavní problém je podle bezpečnostních expertů v tom, že routery není možné chránit antivirovými programy, jako je tomu u počítačů. I tak ale nejsou uživatelé úplně bezbranní. „Hlavní způsob, jak této hrozbě předejít, představuje upgrade firmwaru routeru na aktuální verzi a nepoužívat mnohdy triviální přednastavené přihlašovací jméno a heslo. Rovněž je vhodné zvážit přihlašování k routeru pouze z vnitřní sítě, a nikoliv z internetu,“ uvedl již dříve Pavel Matějíček, manažer technické podpory společnosti Eset.

Do konfigurace routerů by se nicméně neměli pouštět méně zkušení uživatelé. Mohou totiž nevhodným nastavením způsobit více škody než užitku. Paradoxně tak mohou klidně otevřít zadní vrátka pro útočníky.

Kolik stojí DDoS? Základní přijde na pár dolarů, pokročilý na stovky

4. 4. 2017 Root.cz Počítačový útok
DDoS patří stále mezi nejrozšířenější druhy útoků a objemy neustále rostou. Důvody mohou být různé, od pouhého vandalismu až k vydírání. Zájem o ně je velký a jsou účinné. Není divu, že se dají pronajmout jako služba.

DDoS je velmi oblíbeným nástrojem kyberzločinu, původně šlo o nástroj pomsty, aktivizmu nebo prosté zábavy. Postupně se jeho použití zaměřilo na nebezpečné vydírání, kdy útočníci osloví konkrétní společnost a požadují platbu. V opačném případě vyhrožují zahájením DDoS útoků a odstavením služeb. Zejména provozovatelé e-shopů se podobné hrozby děsí, především v období Vánoc.

Obětí se může stát vlastně kdokoliv, provést takový útok je velmi snadné, proto je to i levné. Podobně jako je možné si pronajmout celý botnet nebo ransomware, je možné si pronajmout DDoS jako službu. Pokud nemá cílová síť dobře navrženou obranu, je možné ji takto velmi snadno (a levně) úplně odstavit.

DDoS jako služba
Společnost Kaspersky zveřejnila analýzu současných služeb, které nabízí pronájem DDoS útoků. Společného mají především to, že se snaží svým zákazníkům vycházet maximálně vstříc. Vše je možné ovládat pomocí webového rozhraní, služby mají různé cenové programy a věrným zákazníkům dokonce nabízejí různé odměny. Jde tak vlastně o byznys velmi podobný třeba pronájmu VPS, jen se v tomto případě pronajímají útoky.

Autor: Kaspersky
Ruské fórum nabízející útoky od 50 dolarů za den
Některé služby se dokonce chlubí počtem uživatelů a množstvím útoků, které už provedly nebo ten den provádějí. I když je jasné, že čísla mohou být zfalšovaná, aby se služba lépe prezentovala potenciálním zákazníkům.

Autor: Kaspersky
Desítky tisíc uživatelů a stovky tisíc útoků
Výjimkou nejsou ani podrobné statistiky jednotlivých druhů útoků včetně přehledných grafů vysvětlujících popularitu různých variant.

Autor: Kaspersky
Jaké typy útoků u nás nejvíc děláme
Podle čeho se počítá cena
Různé služby se snaží své zákazníky nalákat na výhody či vlastností, které jinde nenajdou. Opět stejně, jako je tomu i u běžných legálních podnikání. Kaspersky uvádí čtyři různé oblasti, které mohou výrazně ovlivnit výslednou cenu útoku.

Specifické cíle – služba se zaměřuje například na vládní servery. Za útok na takový cíl si ale může vyžádat výrazně vyšší částku, stejně jako za sítě s lepší ochranou. Provozovatel totiž musí filtry prozkoumat a vymyslet způsob, jak je obejít.

Zdroje útoku – různé zdroje útoků stojí různé peníze. Například útok přicházející z tisícovky napadených bezpečnostních kamer bude levnější než využití botnetu sestaveného ze stovky napadených serverů. Vytvořit botnet ze špatně zabezpečených IoT zařízení je výrazně jednodušší a tedy i levnější.

Různé scénáře útoku – pokud si budete chtít nechat útok ušít na míru nebo budete požadovat něco specifického, zaplatíte více. Příkladem může být kombinovaný útok nebo rychlé změny útočných vektorů během krátkých časových oken.

Průměrná cena v konkrétní zemi – také tady funguje konkurenční boj, takže služby spolu bojují o zákazníky svou cenovou politikou. Záleží také například na kupní síle místních uživatelů, takže podobná služba v USA bude stát výrazně více než v Rusku.

Dostupné je také účtování útoků po sekundách bez ohledu na další parametry. Pětiminutový DDoS tak může stát například 5 dolarů, hodinová varianta vás vyjde na 90 dolarů. Ve všech případech má botnet kapacitu 125 Gbps.

Autor: Kaspersky
Plaťte za délku útoku
Část kyberzločinců navíc nechce příliš odkrývat detailní specifikace svých řešení, proto nabízí jen obecné údaje a účtují pak jen za dobu běhu útoku. Nedozvíte se, jaký druh botnetu používají ani jak jsou napadené systémy připojené.

Některé ceníky naopak zohledňují druh provozu, který potřebujete na oběť poslat: SYN-flood, UDP-flood, NTP-amplification nebo kombinaci různých paketů zároveň. Útok je možné naplánovat na různých síťových vrstvách a útočit na infrastrukturu nebo konkrétní služby.

Autor: Kaspersky
Ceník služby, která umožňuje doslova na pár kliknutí zahájit útok
Jiné služby se chlubí možností velmi rychlého přepnutí útočného vektoru. Pokud zákazník zjistí, že jeho oběť je odolná například proti SYN-floodu, může prostým kliknutím přepnout na jiný druh útoku, na který není oběť tak dobře připravená.

Autor: Kaspersky
Další ceník zaměřený na délku trvání útoku
Zvláštní sazby jsou pak účtovány za dobře chráněné sítě, které používají DDoS ochrany. Útok na takovou síť přijde třeba na 400 dolarů za den. Provozovatel služby totiž musí být vynalézavější a musí se snažit proniknout obranou cílové sítě.

Stejně tak se platí výrazně více za útoky na vládní servery. Ty jsou totiž často pod ochranou bezpečnostních složek a provozovatelé botnetů nechtějí odhalit napadené stroje. Buďto proto na podobné cíle vůbec neútočí nebo na ně mají speciální tarify s vyšší cenou.

Zajímavé také je, že některým provozovatelům nedělá vůbec problém kromě organizování DDoS útoků nabízet také ochrany proti nim.

Autor: Kaspersky
Zaútočíme nebo vás ochráníme
Příklad financování útoku
Kaspersky uvádí také konkrétní příklad financování takového útoku. V případě zneužití cloudu od Amazonu stojí pronájem jednoho virtuálního serveru tisíciny dolaru za hodinu provozu. Pokud jich útočník potřebuje padesát, dostává se na necelý půldolar za hodinu provozu. Při započtení dalších nákladů stojí útok na nákladech asi čtyři dolary.

Autor: Kaspersky
Ceník virtuálních serverů u Amazonu
Pronájem botnetu čítající tisícovku běžných počítačů vyjde na sedm dolarů za hodinu. Za podobný útok se ovšem platí desítky dolarů, z čehož je patrné, že útočníci provozující DDoS služby mají z každého realizovaného útoku velmi slušný příjem.

Uživatelé těchto služeb vědí přesně, co za své peníze dostávají. Krátký útok stojí jednotky dolarů a může oběť významně poškodit. Pokud například e-shop objedná útok na svého konkurenta, může jej poškodit dvakrát: uživatelé nemohou nakoupit a přejdou v ideálním případě k němu. Pokud bude navíc útok trvat třeba celý den, mohou být ztráty obrovské.

Provozovatelé těchto služeb se snaží stále hledat co nejlevnější způsob budování botnetů, nejnovějším trendem jsou různá IoT zařízení jako kamery, televize nebo mobilní telefony. Pokud existují bezpečnostní mezery v podobných zařízeních, útočníci je dřív nebo později najdou a zneužijí. Čím snadnější a levnější pro ně bude botnet postavit, tím lépe.

Jde tu totiž v první řadě o peníze, náklady jsou poměrně nízké a vydírání se útočníkům vyplácí. Proto roste popularita DDoS služeb. V budoucnu tak pravděpodobně můžeme očekávat jen další pokles cen a zvýšení dostupnosti i frekvence podobných služeb.

Počet hackerských útoků na Rusko loni vzrostl na trojnásobek

3.3.2017 Novinky/Bezpečnost Počítačový útok
Počet pokusů o kybernetický útok na ruské informační systémy loni vzrostl na 52,5 miliónu, meziročně je to více než trojnásobek. Na konferenci v jihouralském Kurganu to v pátek řekl šéf ruské Bezpečnostní rady Nikolaj Patrušev.
"V roce 2015 šlo pouze o 14,4 miliónu případů," řekl Patrušev. Upozornil přitom, že systém zabezpečení není schopen bránit se většině existujících hrozeb.

Cílem hackerů je narušit fungování ruského internetu nebo snaha získat utajované informace, mimo jiné i pomocí útočných virů, řekl Patrušev. Účinnost systému zabezpečení proti kybernetickým útokům snižuje i neoprávněné připojení k internetu, nízká kvalifikace uživatelů a užívání zahraničních informačních technologií.

DDoS útoky se dostaly na své maximu

10.2.2017 SecurityWorld Počítačový útok
DDoS útoky zaznamenaly v posledních třech měsících roku 2016 značný pokrok -- novým trendem jsou ataky spuštěné prostřednictvím velkého počtu botnetů tvořených zranitelnými zařízeními internetu věcí (IoT).

Podle reportu společnosti Kaspersky Lab v průběhu posledního čtvrtletí minulého roku analytici zaznamenali botnetové DDoS útoky v 80 zemích, přičemž v předchozím kvartále jich bylo pouze 67.

Mezi 10 zeměmi, které zaznamenaly nejvíce DDoS obětí, došlo ke změně - Itálie a Nizozemí byly nahrazené Německem a Kanadou. Tři západoevropské země (Nizozemí, Velká Británie a Francie) zůstaly druhý kvartál v řadě mezi top 10 státy s nejvyšším počtem hostitelských C&C serverů, přičemž se k nim v posledním kvartále přidaly Bulharsko a Japonsko.

Nejdéle trvající DDoS útok v posledním čtvrtletí trval 292 hodin (přes 12 dní), což z něj udělalo rekordmana roku 2016. Nejvyšší počet DDoS útoků během jednoho dne se datuje na sobotu 5. listopadu.

Celkově se poslední tři měsíce roku 2016 nesly ve znamení neobvyklých DDoS útoků proti rozmanitým cílům, mezi něž se zařadily společnosti jako Dyn (doménový systém), Deutsche Telekom a některé velké ruské banky.

Tyto společnosti se staly prvními oběťmi nového trendu – DDoS útoky spuštěné prostřednictvím velkého počtu botnetů, které byly tvořeny zranitelnými zařízeními internetu věcí (IoT). Příkladem může být útok Mirai. Přístup, který zvolili tvůrci Mirai, posloužil jako základ mnoha dalším botnetům, které byly utvořeny z infikovaných IoT zařízení.

Narůstající počet útoků, jejichž součástí byly zařízení internetu věcí, byl jen jedním z trendů posledního čtvrtletí. V průběhu celých tří měsíců došlo ke značnému poklesu množství zesílených DDoS útoků, které byly hojně využívané v první polovině loňského roku. Důvodem může být lepší ochrana proti takovýmto útokům a méně zranitelných serverů, na které by mohli kyberzločinci cílit.

Mezeru po zesílených útocích rychle zaplnily útoky prostřednictvím aplikací, mezi něž se zařadily například útoky WordPress Pingback. Detekce útoků skrze aplikace představuje daleko složitější proces, protože útok napodobuje aktivity reálných uživatelů.

Hrozba je o to větší, že tyto útoky čím dál častěji využívají šifrování. To do velké míry zvyšuje efektivitu DDoS útoků, protože se jejich dešifrováním značně komplikuje proces filtrování závadných a pravých požadavků.

Druhá největší ruská banka VTB se stala terčem kybernetického útoku

6.12.2016 Novinky/Bezpečnost Počítačový útok
Druhá největší ruská banka VTB se v pondělí stala terčem kybernetického útoku. Informovala o tom agentura AFP. Podle ní byla akce počítačových pirátů zaměřena na internetovou stránku banky, žádného z klientů se ale prý nijak nedotkla.
Co je DDoS

Útok DDoS (Distributed Denial of Service) má vždy stejný scénář. Stovky tisíc počítačů začnou přistupovat v jeden okamžik na konkrétní server. Ten zpravidla nezvládne tak vysoké množství požadavků zpracovat a spadne. Pro běžné uživatele se pak takto napadená webová stránka tváří jako nedostupná.
K útoku došlo v době, kdy se ruské finanční instituce obávají častějších nepřátelských aktivit počítačových pirátů. Ruská kontrarozvědka FSB minulý týden obvinila „zahraniční zpravodajské služby”, že se chystají s pomocí kybernetických útoků destabilizovat ruský finanční systém.

„Stránky skupiny VTB byly vystaveny útoku typu DDoS. IT infrastruktura funguje normálně a klienti banky nebyli nijak postiženi,” uvedla banka.

Centrála, z které jsou útoky na ruské banky údajně řízeny, se podle FSB nachází v Nizozemsku a patří ukrajinské společnosti BlazingFast. Kyjev a Moskva se pravidelně vzájemně obviňují z pokusů o destabilizaci.

Ruská centrální banka v pátek sdělila, že se do jejího systému letos dostali hackeři a s pomocí zfalšovaných hesel se pokusili ukrást přes dvě miliardy rublů (800 miliónů Kč). V prohlášení uvedla, že více než polovinu této částky se podařilo zachránit, kde je zbytek, ale nesdělila.

DDoS útoků přibývá. Na vině je i laxnost uživatelů

10.11.2016 Novinky/Bezpečnost Počítačový útok
Útoky nejrůznějších botnetů – tedy sítí zotročených počítačů i mobilů – jsou stále častější. Za uplynulé čtvrtletí byly podle antivirové společnosti Kaspersky Lab napadeny tímto způsobem cíle v 67 zemích. Kyberzločincům přitom práci velmi usnadňuje i laxnost samotných uživatelů.
Co je DDoS

Útok DDoS (Distributed Denial of Service) má vždy stejný scénář. Stovky tisíc počítačů začnou přistupovat v jeden okamžik na konkrétní server. Ten zpravidla nezvládne tak vysoké množství požadavků zpracovat a spadne. Pro běžné uživatele se pak takto napadená webová stránka tváří jako nedostupná.
Ve třetím kvartále byly botnetovými útoky napadeny cíle celkem v bezmála sedmi desítkách zemí. Zatímco v Japonsku, Spojených státech a Rusku počty útoků vzrostly, počty čínských a jihokorejských obětí naopak znatelně klesly.

Zajímavé je rozhodně i to, že ve zmiňovaném čtvrtletí se poprvé mezi prvními 10 zeměmi s nejvyšším počtem zaznamenaných DDoS útoků objevily tři západoevropské státy – Itálie, Francie a Německo.

Nejčastější jsou útoky na Čínu
Nejvíce DDoS útoků bylo nicméně ve sledovaném období cíleno na Čínu, i když ve srovnání s předchozím čtvrtletím jde o pokles. Konkrétně jen na populární čínský vyhledávač Baidu bylo vedeno dohromady 19 útoků, přičemž byl tento poskytovatel zároveň vystaven nejdéle trvajícímu útoku ve třetím čtvrtletí – rekordních 184 hodin.

K podobným útokům pomáhají nevědomky počítačovým pirátům také někteří uživatelé, které si příliš nelámou hlavu se zabezpečením svých zařízení. Je nutné podotknout, že řeč není pouze o chytrých telefonech a klasických počítačích, ale například také o tzv. zařízení internetu věcí (IoT) – tedy například nejrůznější kamery, které se mohou připojovat k internetu.

Právě tato zařízení se stala součástí obřího botnetu, který využili kyberzločinci na konci října na útok na DNS servery společnosti Dyn. Ty standardně překládají webové adresy na číselné adresy fyzických počítačů (IP adresy). Právě proto se podařilo hackerům vyřadit z provozu na východním pobřeží USA hned několik velkých webů – tím, že nefungoval překladač (DNS servery), webové prohlížeče po zadání adresy nevěděly, kam se mají připojit.

Uživatelé se tak nemohli připojit například na sociální sítě Twitter a Facebook, zpravodajské servery Daily News, CNN i New York Times a hudební portály Spotify a Soundcloud.

Uživatelé by měli dbát na zabezpečení
K útokům na koncové uživatele využívají počítačoví piráti velmi často různé viry, prostřednictvím kterých mohou napadenou stanici ovládat na dálku. Tu pak přiřadí do obřího botnetu, s jehož pomocí pak v případě dostatečné velikosti mohou vyřadit z provozu prakticky libovolný cíl na internetu.

Zabránit DDoS útokům tak mohou v první řadě samotní uživatelé, když budou klást dostatečný důraz na zabezpečení svých zařízení.

Kybernetické útoky jsou stále agresivnější. Británie výrazně zvýší výdaje na bezpečnost

1.11.2016 Novinky/Bezpečnost Počítačový útok
Británie posílí boj s kybernetickou kriminalitou. Na zlepšení své bezpečnosti vydá v příštích pěti letech 1,9 miliardy liber (57,2 miliardy Kč), oznámilo v úterý britské ministerstvo financí. Šéf tajné služby MI5 Andrew Parker varoval před „stále agresivnějšími” metodami Ruska, které se podle něj v soupeření se Západem spoléhá daleko častěji právě na kybernetické útoky.Investice by se měly soustředit na ochranu institucí i občanů proti útokům hackerů. Částku 1,9 miliardy liber vynaloží Londýn na boj s kybernetickým zločinem v průběhu příštích pěti let. Oproti předchozímu pětiletému období jde o zvýšení rozpočtu o polovinu.

„Nová strategie nám umožní podnikat výraznější kroky na naši obranu v kyberprostoru a odpovědět na útok, až budeme napadeni," uvedl Hammond ve zprávě ministerstva financí.

Britská vláda chce v následujících letech vytvořit také nový ústav, který se bude zabývat výzkumem kybernetické bezpečnosti. Fungovat bude paralelně s Národním střediskem kybernetické bezpečnosti (NCSC), které zahájilo svou činnost v říjnu a má zhruba 700 zaměstnanců.

Ředitel tajné služby MI5 v rozhovoru poskytnutém listu The Guardian dnes varoval, že Rusko se stává pro Británii stále větší hrozbou. K destabilizaci země podle něj Moskva používá sofistikované metody včetně kybernetických útoků. Rusko se hackerskými útoky snaží získat vojenská tajemství, informace o průmyslu a hospodářství i vládní a zahraniční politice, tvrdí Parker.

DDoS pod lupou: Co skutečně stojí za jedním z největších útoků posledních let?

28.10.2016 SecurityWorld Počítačový útok
Páteční útok na DNS poskytovatele Dyn způsobil nedostupnost mnoha významných webových stránek, mimo jiné Twitteru, Spotify, GitHubu, ale i zpravodajských portálů typu New York Times. Šlo o klasický DDoS útok s využitím mnoha hacknutých přístrojů internetu věcí.

Masivní výpadek přišel od hackerů využívajících přibližně 100 000 zařízení, infikovaných notoricky známým malwarem Mirai, schopným převzít kontrolu nad přístroji s unixovým prostředím - kamerami, DVR přehrávači apod., tvrdí Dyn.

„Můžeme potvrdit, že značné množství provozu pocházelo z botnetů hacknutých pomocí kódu Mirai,“ uvedlafirma na svém blogu.

Již předtím se mělo za to, že alespoň částečně za útoky stojí botnety vytvořené skrze Mirai; středeční zpráva však potvrzuje, že Mirai mohl za majoritní část distribuovaného DoS útoku.

Dalším, poměrně strašidelným zjištěním je, že se hackeři zřejmě drželi zpátky. Firmy vysledovaly rychlost šíření některých druhů Mirai až na více než 500 000 zařízení, a to velmi snadno díky slabým základním heslům.

Vzhledem k tomu, že za pátečními útoky stálo „jen“ 100 000 zařízení, je možné, že by hackeři zvládli ještě mnohem silnější DDoS útok, říká Ofer Gayer, bezpečnostní technik u společnosti Imperva, která se zaměřuje na zmírnění intenzity DDoS útoků.

„Možná, že šlo jen o varovný výstřel,“ popisuje. „Možná, že věděli, že takováto míra stačí a že nepotřebují nasadit svůj plný arzenál.“

Hackeři dosud využívali DDoS útoky na shození jednotlivých webových stránek, často za účelem vydírání, říká Gayer. Páteční útok na Dyn, klíčového člena internetové infrastruktury, je novinkou.

„Někdo opravdu zmáčkl spoušť,“ pokračuje Gayer. „Postavili největší botnet, se kterým mohou položit i ty největší cíle.“

Kromě pátečního incidentu si Imperva všimla nedávných útoků skrze Mirai botnety na svou vlastní webovou stránku a stránky svých klientů. Jeden srpnový byl opravdu velký s trafficem čítajícím 280 Gb/s. „Většina firem padne na 10 Gb/s. Ty největší pak na 100 Gb/s,“ vysvětluje Gayer.

Imperva si také povšimla, že mnoho z pozorovaných infikovaných zařízení šlo vysledovat na IP adresy ze 164 zemí, primárně ve Vietnamu, Brazílii a Spojených státech. Většinou šlo o CCTV kamery.

Ačkoli DDoS útoky nejsou zdaleka něčím novým, díky Mirai je jejich rozsah nevídaný. Nedávný silně medializovaný útok na novináře Briana Krebse zaměřeného na kybernetickou bezpečnost dosáhl neuvěřitelných 665 Gb/s.

Je stále nejasné, kdo stojí za pátečním útokem, podle některých bezpečnostních odborníků však jde o amaterské hackery. Na konci minulého měsíce totiž (rovněž neznámý) tvůrce malwaru Mirai uvolnil jeho zdrojový kód pro hackerskou komunitu, takže každý s alespoň minimálními základy hackingu jej může využít.

Ačkoli Mirai stojí za většinou útoku z minulého týdne, využity byly i jiné botnety, popisuje páteřní poskytovatel sítě Level 3 Communications. „Viděli jsmě alespoň jedno, možná dvě chování nekonzistentní s Mirai,“ uvedl hlavní bezpečnostní manažer firmy Dale Drew. Je podle ní možné, že hackeři v rámci ztížení vystopování využili několika botnetů.

Do pátečního útoku na populární weby mohl zasáhnout i váš router nebo IP kamera. Zkontrolujte si je
24.10.2016 Živě.cz Počítačový útok

Internet v pátek zažil masivní DDoS útok a nefungovalo při něm množství velkých webů. Jak upozornil web Motherboard, na útoku se podílela zařízení z botnetu Mirai, který zahrnuje i zařízení tzv. internetu věcí (IoT) jako jsou routery či IP kamery.

Podle dostupných informací se do útoku zapojilo jen 10 % zařízení z botnetu, ale i to stačilo k tomu, aby byly vyřazeny z provozu populární služby jako Twitter, PlayStation Network, PayPal a další.

Chcete-li zjistit, zda může být součástí podobného botnetu i jedno z vašich síťových zařízení, vyzkoušejte webovou službu Bull Guard.

Nástroj skenuje primárně IoT zařízení v síti a zjišťuje možné zranitelnosti, případně využití defaultních, výrobcem předdefinovaných hesel. Právě ta jsou totiž velmi častým důvodem, proč se zařízení do podobného botnetu dostane.

Pokud Bull Guard taková zařízení objeví, upozorní na ně. Uživatel by měl následně přístupové údaje změnit. To by měl koneckonců udělat při koupi každého zařízení - zejména pokud bude připojeno k internetu.

Facebook, Twitter i CNN. Terčem obřího kybernetického útoku se staly velké weby

21.10.2016 Novinky/Bezpečnost Počítačový útok
Hned několik velkých světových serverů se v pátek stalo terčem masivního útoku typu DDoS. Kyberzločinci začali webové stránky přetěžovat krátce po 12. hodině středoevropského času. Útok podle serveru Tech Crunch trval několik hodin.
Podle prvních informací se počítačoví piráti zaměřili například na sociální sítě Twitter a Facebook. Zároveň však pokusy o přetížení byly zaznamenány také na zpravodajských serverech Daily News, CNN i New York Times. Pozornosti kyberzločinců neunikly ani hudební portály Spotify a Soundcloud.

Podle ohlasů uživatelů se přinejmenším tisíce lidí nemohly v průběhu několika hodin na dotčené webové stránky připojit, napsal server RT.com. Prohlížeče jim hlásily, že jsou nedostupné.

Follow
Spotify Status ✔ @SpotifyStatus
Uh oh, we’re having some issues right now and investigating. We’ll keep you updated!
2:59 PM - 21 Oct 2016
11 11 Retweets 23 23 likes
Technické problémy, kvůli kterým se někteří uživatelé nemohli připojit, již potvrdili zástupci Spotify na Twitteru
Webové stránky však nebylo možné načíst především v USA. Například evropští uživatelé tak snahy kyberzločinců pravděpodobně ani nezaznamenali.

Pod taktovkou zotročených počítačů
Útok DDoS (Distributed Denial of Service) má vždy stejný scénář. Stovky tisíc počítačů, které většinou počítačoví piráti zotročili a mohou je tedy ovládat na dálku, začnou přistupovat v jeden okamžik na konkrétní server. Ten zpravidla nezvládne tak vysoké množství požadavků zpracovat a spadne. Pro běžné uživatele se pak takto napadená webová stránka tváří jako nedostupná.

Uživatelé se tedy nemusí u serverů obávat toho, že by byla jakkoliv v ohrožení jejich data. Jediné, čeho počítačoví piráti dosáhli, je nedostupnost služeb pro uživatele.

I přesto je ale rozsah DDoS útoku v tomto případě alarmující. Kyberzločincům se totiž podle serveru RT.com podařilo vyřadit z provozu opravdu velké množství počítačů. To nasvědčuje tomu, že útok byl veden s velkou razancí, se kterou se bezpečnostní experti zatím nesetkali.

Podle prvních odhadů tak jde o jeden z nejmasivnějších DDoS útoků v celé historii internetu.

Velké dělo děsí bezpečnostní experty
Kdo za kybernetickým nájezdem stojí, zatím není jasné. Bezpečnostní experti nicméně již několik měsíců před útokem varovali, že Číňané mají k dispozici zbraň přezdívanou Velké dělo. Ta slouží právě k DDoS útokům

Velké dělo by mělo podle dřívějších ohlasů zvládnout s ohledem na svou velikost vyřadit z provozu prakticky libovolný cíl na internetu.

Kybernetickým útokům typu DDoS čelily začátkem března roku 2013 také některé tuzemské servery. Směřovány byly nejprve na zpravodajské weby, poté na portál Seznam.cz, servery bank a telefonních operátorů. Bezpečnostní experti v této souvislosti hovořili o největším útoku v historii českého internetu.

Kybernetické útoky jsou sofistikovanější, experti trénují obranu

19.10.2016 Novinky/Bezpečnost Počítačový útok
Kybernetické útoky jsou stále sofistikovanější. Odborníci, kteří pečují o kritickou páteřní infrastrukturu, proto potřebují častější a realističtější trénink. Novinářům to u příležitosti cvičení v brněnském kybernetickém polygonu řekl Radim Ošťádal z Národního centra kybernetické bezpečnosti. Centrum je součástí Národního bezpečnostního úřadu.
Důležité nejsou podle expertů jen technické znalosti a vybavení, ale i takzvané měkké dovednosti, třeba dělba práce a schopnost koordinace.

"Je velmi důležité si rozdělit, co má který člen týmu na starost. Stávalo se, že se dva členové zaměřili na jednu oblast a nevěnovali pozornost nějaké jiné, možná ještě důležitější, a bylo to proto, že se na začátku nedokázali efektivně domluvit," řekl vedoucí bezpečnostního týmu Masarykovy univerzity Jan Vykopal, který vyhodnocoval výsledky dřívějších cvičení.

Podmínky, které se blíží realitě
Trénink v polygonu umožňuje navodit podmínky, které se blíží realitě. Scénářem je tentokrát obrana bezpečnostního systému chránícího železniční síť a transportu s jaderným odpadem před útoky hackerských aktivistů. Experti ze státní sféry, firem i bezpečnostních složek jsou rozdělení do šesti týmů. Musejí zvládat také simulované informování veřejnosti a komunikaci s novináři.

"Letošní scénář jsme udělali složitější, obsahuje více zařízení a služeb. Týmy musí zvládnout nejen jejich obranu, ale musí být schopny také komunikovat s okolím a mít právní povědomí o dopadech svých rozhodnutí," popsal Vykopal. V polygonu jsou pozorovatelé z Finska a Estonska.

Do kritické informační infrastruktury spadají například systémy mobilních operátorů, bank a elektráren i sítě kontrolující dopravu. Podobná cvičení zaměřená na obranu infrastruktury jsou běžná po celém světě, vysoce ceněná jsou například cvičení organizovaná NATO.

Obří DDoS útok byl jen špička ledovce. Hackeři dostali detailní návod

4.10.2016 Novinky/Bezpečnost  Počítačový útok
Minulý týden byl odhalen jeden z největších DDoS útoků v celé historii internetu. Zodpovědná za něj byla síť zotročených zařízení internetu věcí, tedy například nejrůznější kamery, které se mohou připojovat k internetu. Bezpečnostní experti však nyní upozorňují, že šlo jen o špičku ledovce. Předpovídají dramatický nárůst podobných útoků.
Co je DDoS

Útok DDoS (Distributed Denial of Service) má vždy stejný scénář. Stovky tisíc počítačů začnou přistupovat v jeden okamžik na konkrétní server. Ten zpravidla nezvládne tak vysoké množství požadavků zpracovat a spadne. Pro běžné uživatele se pak takto napadená webová stránka tváří jako nedostupná.
Více zde
Včera 22:36
O tom, že se hackeři zaměřují na zařízení internetu věcí – tedy na chytré přístroje, které jsou schopny připojovat se na internet a komunikovat mezi sebou prostřednictvím této celosvětové počítačové sítě – informovaly Novinky.cz již minulý týden. [celá zpráva]

Tehdy více než 150 00 přístrojů, jež se podařilo hackerům zotročit, zaútočilo na francouzskou společnost OVH. DDoS útok měl intenzitu 1 Tb/s. To je pro lepší představu tak velká zátěž, že by ji neustála ani celá řada větších tuzemských serverů.

Jako na zlatém podnose
Zdrojové kódy škodlivých programů, pomocí kterých se podařilo tak velké množství zařízení zotročit, nyní kolují na hackerských webech. Bezpečnostní experti se tak po právu obávají toho, že kódy nyní budou počítačoví piráti hojně zneužívat – přeci jen díky zdrojovým kódům dostali návod na samotný útok naservírovaný jako na zlatém podnose.

Z analýzy zveřejněných zdrojových kódů těží pochopitelně i bezpečnostní experti, jak upozornil server The Hacker News. Ti již zvládli virus analyzovat a nyní díky tomu mají jasnou představu o tom, jak funguje.

Hackeři se soustředí výhradně na zařízení internetu věcí. Ne náhodou, lidé u nich totiž velmi často podceňují zabezpečení. Řeč je například o rekordérech, meteorologických stanicích, kamerách, termostatech, ale klidně také o chytrých žárovkách, u kterých je možné prostřednictvím počítačové sítě upravovat teplotu světla.

Využívají slabého zabezpečení
Právě slabého zabezpečení nezvaný návštěvník využívá. Napadnout totiž dokáže pouze taková zařízení, která nemají unikátní hesla, ale používají přednastavené údaje od výrobce. Ty pak útočník zotročí a může jim na dálku přikázat, aby se například připojila na nějaký konkrétní web.

Když má k dispozici celou armádu podobných zařízení, může s jejich pomocí klidně libovolnou webovou stránku vyřadit z provozu. Jednoduše na ní přesměruje takový počet požadavků, že je server nezvládne zpracovat a zhroutí se. Přesně jak tomu bylo při útoku na OVH.

Internet věcí představuje pro uživatele velké pohodlí, zároveň se ale ukazuje i jeho stinná stránka – slabá bezpečnost. První, na co by uživatelé měli myslet, je změna přístupových údajů. Bez nich jsou totiž útočníci bezradní. Tedy alespoň prozatím.

Největší DDoS útok v historii, internet věcí útočí

27.9.2016 SecurityWorld Počítačový útok
Soustředit se na zabezpečení internetu věcí by se nyní mělo stát prioritou; pro jeden z největších distribuovaných DoS útoků v historii útočník využil botnet až milionu infikovaných počítačů a zařízení internetu věcí.

Botnet obřích rozměrů, tvořený hacknutými, k internetu připojenými chytrými zařízeními typu kamery, žárovky a termostaty, zaútočil na účet bezpečnostního bloggera, spadajícího pod velkou americkou IT firmu Akamai. Ta mu nakonec musela účet zrušit, neboť jeho obrana zabrala příliš mnoho zdrojů.

Nebylo to tak, že by se firma nepokoušela útoku bránit – tři dny tak činila – ale nakonec se vlivem vysokých finančních nákladů vzdala a zákazníkovi musela účet zrušit, popisuje Andy Ellis, hlavní bezpečnostní manažer firmy.

Akamai tedy zrušila ochranu blogu Briana Krebse „Krebs on Security“, který zůstává nedostupný. Provoz v době útoků činil 665 Gb/s a web zcela zahltil. Velikost útoku je téměř dvojnásobná oproti jakémukoli jinému, který kdy firma zažila.

Analýza botnetu internetu věcí generujícího takový datový provoz podle Ellise zabere určitý čas, ale mohl by vést k lepším obranným nástrojům na zmírnění následků útoku.

Dopad je podobný jako v roce 2010, kdy Anonymous útočili pomocí open-source programu LOIC nebo jako v roce 2014, kdy DDoS útoky dočasně poškodily servery hostingových služeb Joomla a Wordpress.

Lekce pro podniky dle Ellise spočívá v tom, že současné formy ochrany proti DDoS útokům se musí zlepšit, aby se weby zvládly ubránit i vyšším objemům dat.

Internet věcí musí zapracovat na zabezpečení

Podle firmy Akamai stojí za útokem na web Briana Krebse velký botnet, složený primárně ze zařízení internetu věcí. Použito dokonce bylo takové množství zařízení, že útočník ani nemusel využívat běžné taktiky, využívané na zvýšení efektivity jednotlivých přístrojů, sdělil Ellis.

Přesný počet zařízení zneužitých k útoku zatím není znám, ale mohl by snadno dosahovat jednoho milionu.

„Stále se snažíme odhadnout velikost,“ říká Ellis. „Myslíme si, že jde o přehnaný odhad, ale nakonec se může ukázat, že není daleko od pravdy.“

S předpokládaným množstvím zařízení internetu věcí dosahujícího 21 miliard v roce 2020 by velikost botnetů, tvořených těmito relativně nechráněnými přístroji, mohla dosáhnout gigantických rozměrů, myslí si Dave Lewis, významný bezpečnostní odborník Akamai. Sdělil to během čtvrteční konference Security of Things Forum v Cambridgi v Massachussetts.

„Co když útočník do zařízení vpraví kód, aby vytvořil Fitbit botnet?“ Naráží na slavné fitness náramky Lewis. Výzkumníci prokázali, že bezdrátově nahrát do Fitbitu malware jde do 10 sekund, takže nejde o přehánění. Zabezpečení zařízení internetu věcí je skutečně chabé, pokud vůbec existuje.

Některé z přístrojů zjištěné během útoku využívaly klienty, které standardně běží na kamerách.

„Možná jde o podvod, ale možná do útoku opravdu zasáhly kamery,“ věří Lewis. „Jsou tu náznaky, že se v botnetu nacházela zařízení internetu věcí, a ne v malém množství.“

Útočník ani nevyužil klasické metody zesílení distribuovaného DoS útoku typu odražení, takže šlo o legitimní http requesty, potvrdil Ellis.

Mnoho informací o útoku je stále nejasných nebo neznámých. Kdo útočil nebo jaké metody útočník použil k ovládnutí jednotlivých zombie, se lze jen domnívat.

Akamai kontaktovali i jiní poskytovatelé, kteří zažili podobné útoky v menším rozsahu. Z části šlo o herní stránky, o útocích na něž Krebs psal; dle Ellise zde může existovat souvislost.

Firma útok zanalyzuje a vyvine nástroje pro boj s podobnými útoky, dodává.

Poškozený blogger Krebs po útoku o vynuceném smazání jeho účtu tweetnul:

„Nemohu Akamai vinit z jejich rozhodnutí. Asi jsem je dnes stál hodně peněz. Sbohem všichni. Bylo to fajn.“

Opera pod útokem. Raději resetovala hesla všem svým uživatelům
27.8.2016 cnews.cz Počítačový útok
Norská Opera právě oznámila, že resetovala hesla svých uživatelů ke službě Opera Sync. Ta slouží k synchronizaci záložek, nastavení, historie i hesel. Důvodem pro tento krok bylo detekování útoku na některé své servery, při kterých zřejmě unikla některá uživatelská data (hesla prý ale jen v zašifrované podobě). Opera přesto raději resetovala hesla všem uživatelům této služby. Pro obnovení stačí kliknout na obnovení hesla a zadání nového.
Počet uživatelů služby Opera Link činí 1,7 milionu, což je ani ne půl procenta všech uživatelů Opery. Přitom Opera Sync je jednou z nejdůležitějších služeb prohlížeče, stejně jako obdobné služby u ostatních prohlížečů. Nedávno měli o koupi Opery zájem Číňané, které se ale (možná naštěstí) nakonec neuskutečnilo.

Weby Wedosu jsou pod palbou. Firma hlásí plošný DDoS

13.8.2016 Root.cz Počítačový útok
Tuzemská hostingová firma se ocitla pod palbou útoku. Podle hlášení čtenářů jde o akci, která zlobí servery společnosti celý tento týden.
Firma chce vybudovat v jihočeské Hluboké jedno z nejbezpečnějších datacenter v Česku. Tento týden se jí ale nedařilo a ještě v pátek odpoledne bojovala s masivním DDoS útokem.

Sledovat
Hosting WEDOS.cz @WEDOS_cz
Momentálně je na nás veden velmi silný plošný útok. Na vyřešení situace pracujeme. Omlouváme se za komplikace.
Podle čtenáře Jana Nejmana jde tento týden o několikátý útok. „Útok je zřejmě opravdu plošný, Wedos má kompletní výpadek,“ tvrdí Nejman. To potvrzují i dotazy na Twitteru, které kromě dneška zmiňují výpadek osmého, desátého srpna.

Pro webhostingovou firmu to není nic nového. S útoky se setkává pravidelně. Pokaždé ale připomíná, že se na DDoS připravuje a zesiluje obranu.

Wedos dnes webhosting a virtuální servery živí. Za normálních okolností aktivních hostingů hlásí firma 80 tisíc. Za rok 2014 zaznamenal růst obratu o více než 47 procent. „Za rok 2015 bude růst o něco málo menší, protože nemáme IP adresy verze 4, a tak uměle brzdíme prodej virtuálních serverů. Zároveň jsme část sil věnovali přípravě datacentra a hodně úsilí i ochraně proti DDoS útokům,“ tvrdil loni na podzim šéf firmy Josef Grill s tím, že s novou datovou budovou je zaděláno na další růst.

Česko v datech: Kybernetické útoky v energetice

2.1.2016 Zdroj: SecurityWorld Počítačový útok
Je hrozba útoku na energetické sítě skutečná? Co může znamenat pro koncového odběratele? A jak se proti útokům bráníme v Česku? Podívejte se na názory odborníků a případy z minulosti, které pro vás Česko v datech shromáždilo.

Odpověď na první otázku je jednoduchá a zároveň poněkud znepokojující. Ano, s kybernetickými útoky na společnosti energetického sektoru se dnes odborníci už nesetkávají jen v rovině teoretických úvah, ale i ve skutečnosti. A přizpůsobovat tomu samozřejmě musí i svou práci, stejně jako u jiných útoku, i u hrozeb pro energetické sítě je třeba identifikovat případná rizika a připravit scénáře pro minimalizaci případných škod.

„V současnosti už v podstatě neexistuje složitější energetický systém, který by byl řízený bez využití informačních technologií. Zejména u ovládacích systémů klíčových prvků sice stále existuje velká snaha o striktní oddělení od veřejné sítě, ne vždy je to z provozních důvodů možné,“ vysvětluje Libor Šup, Solutions Architect ze společnosti Unicorn Systems.

Kybernetickým útokem v energetice se míní situace, kdy se hacker nebo skupina hackerů pokusí získat přístup ke klíčovým informacím či prvkům infrastruktury (např. elektrárnám, rozvodným soustavám či řídícím centrům), s cílem ovládat je nebo do nich nahrát škodlivý kód, který bude vykonávat určené příkazy. Motivací pro útočníky může být osobní zisk, zničení vybraného cíle, vyvolání paniky a napáchání dodatečných škod nebo prostě „jen“ chuť ukázat, že něco takového dokáží.

„Podle statistik britského serveru hackmageddon.com byl v roce 2015 celkový počet kybernetických útoků výrazně vyšší než v roce předchozím, a to i navzdory neustále se vyvíjející obraně proti podobným případům. Zhruba za pětinou zaznamenaných útoků stáli nejrůznější aktivisté a skupiny, 10 % útoků je dílem špionáže a jen asi 24 případů z tisíce pak připadá na tzv. kybernetickou válku. Na průmyslové podniky včetně oblasti energetiky mířila celá čtvrtina útoků, daleko za nimi jsou pak vlády, zdravotnická zařízení nebo finanční instituce,” přibližuje strukturu současné kyberkriminalityZuzana Lhotáková, Marketing manager SAS Institute ČR.

„Útočníky můžou být jednotlivci, ale i organizované skupiny aktivistů, teroristé, vládní organizace nebo armáda. Mezi takové skupiny patří například Energetic Bear, která je podle zpráv z několika nezávislých zdrojů zapojena do kybernetické špionáže v oblasti energetiky a škodlivý software z jejich dílny – Havex – je rozšířen po celém světě. Havex se v současnosti nezaměřuje jen na kybernetickou špionáž, ale je schopen také sabotovat infikované systémy. To je velmi závažné zjištění, protože jeho cílem jsou primárně SCADA (Supervisory Control and Data Acquisition) systémy využívané energetickými společnostmi. Energetic Bear mají nejpravděpodobněji sídlo ve východní Evropě a jejich malware se objevil mimo jiné i v Česku. Z činnosti skupiny je patrné, že pracuje v běžném pracovním týdnu, a dá se tedy usuzovat, že se nejedná o nadšence, ale členy nějaké organizace, která bude mít silné finanční zázemí,“ dodává Libor Šup z Unicorn Systems.

Kde už hackeři na energetické systémy zaútočili?

Zpoždění při spouštění íránské jaderné elektrárny
Už v roce 2010 byl zaznamenán kybernetický útok, který měl za úkol oddálit nebo zastavit spuštění jaderné elektrárny v Iránu. Cílem ochromení tehdy nebyla samotná jaderná elektrárna, ale závod na obohacování uranu. Červ Stuxnet vyřadil z činnosti a následně zničil několik stovek centrifug na obohacování uranu tím, že změnil frekvenci jejich otáček.

Nejprve je roztočil nad povolenou hranici a poté jejich otáčky naopak snížil na velmi pomalé. Tím způsobil finanční ztráty i zpoždění při zprovoznění samotné elektrárny. Vzhledem k architektonické složitosti tohoto červa se muselo jednat o experty s obrovským finančním potenciálem.

Stuxnet je natolik kvalitní a modulární systém, že je možné jej u průmyslových systémů využít pro téměř libovolnou podobnou činnost. I proto byly z útoku podezřívány tajné služby USA a Izraele, avšak bez jasných důkazů.

Převzetí kontroly nad vodním dílem v USA

Pravděpodobně jako odvetu za útok proti jaderné elektrárně v roce 2013 podnikla íránská skupina SOBH Cyber Jihad, která se k útoku sama přihlásila, úspěšný kybernetický útok na malou přehradu (přesněji větší stavidlo) poblíž New Yorku. Podařilo se jim na krátkou dobu převzít kontrolu nad ovládacím zařízením a i když se tentokrát jednalo o malé vodní dílo o výšce několika metrů, i tento útok ukázal možné následky plynoucí z nedostatečného zabezpečení.

Únik informací v Jižní Koreji

V prosinci 2014 došlo k útoku na servery společnosti Korea Hydro & Nuclear Power, která v Jižní Koreji provozuje několik jaderných elektráren a hydroelektráren. Došlo k úniku dat, která ovšem podle vyjádření společnosti nepatřila mezi klíčová. Podobné informace však mohou být cenné při plánování dalšího útoku. Možná spojitost s KLDR nebyla potvrzena ani vyvrácena.

Masivní výpadek dodávky elektrického proudu na Ukrajině

V prosinci roku 2015 došlo k rozsáhlému výpadku dodávek elektrické energie v Ivanofrankivské oblasti na Ukrajině. Bez elektřiny tehdy zůstalo po dobu několika hodin až 700 tisíc lidí. Z následných analýz útoku vyplynulo, že se nejednalo o náhodný výpadek, ale koordinovanou součinnost skupiny hackerů. Ti pomocí trojského koně BlackEnergy pronikli do jednotlivých komponent distribučních sítí a následně ji poškodili nebo ochromili. Kromě klasických funkcí destruktivního malware (odstranění systémových souborů, které znemožní spustit systém) se tato varianta speciálně zaměřila na sabotáže v průmyslových systémech. Jednalo se tedy o konkrétní aplikaci běžného malware pro potřeby útoků na podobné cíle. I když konkrétní útočník nebyl odhalen (spekuluje se o jeho napojení na ruské vládní složky), jedná se o první jasně potvrzený útok na rozvodnou elektrickou síť v tomto rozsahu. Podobný trojský kůň byl využit i pro útok na ukrajinská média po volbách nedlouho předtím a spekulovalo se i o hrozbě pro kyjevské letiště, kterou se však údajně podařilo včas zastavit.

„Kybernetické útoky bychom neměli řadit jenom jako problematiku IT. Pro sofistikovaný útok totiž útočník používá více různých prostředků, přičemž nejčastěji využívá psychologický aspekt zranitelnosti uživatele. Oklamáním uživatele totiž útočník umístí do vnitřní sítě organizace falešnou bránu, malware, která pak simuluje interního uživatele. Pak už bezpečnostní brány, firewally, nerozliší komunikace útočníka pod ukradenou identitou oproti oprávněnému uživateli. Ale i proti takovýmto útokům se lze bránit pojetím bezpečnosti multidisciplinárně,” vysvětluje Adrian Demeter, senior manažer Deloitte Security.

Kybernetické útoky a český spotřebitel
Běžnému spotřebiteli nebo firmě se podobné útoky mohou zdát vzdálené a málo pravděpodobné. Ale s nástupem tzv. ‚chytrých domácností‘ a internetu věcí se začíná riziko kybernetických útoků přibližovat i jim.

Reálná je například situace, kdy útočník přepíše údaje na elektroměru se vzdálenou správou nebo vzdáleně zapne v domácnosti spotřebič – například topení – s cílem uměle navyšovat spotřebu energií. Na podobném principu může fungovat převzetí řízení jaderné elektrárny, regulace výpustě přehrady nebo manipulace s přenosovou soustavou či zásobníky plynu.

V současnosti v ČR dochází k pomalému posunu ve vnímání kybernetických hrozeb nejen pro energetický sektor. Děje se tak na základě platného kybernetického či krizového zákona, případně z vůle jednotlivých subjektů.

V neposlední řadě probíhají kybernetická cvičení, která pomáhají hledat možná rizika a nabízet jejich řešení – například v říjnu 2015 proběhlo v Brně pod záštitou Národního centra kybernetické bezpečnosti cvičení simulující útok na elektrárnu i obranu před ním, ve kterém proti sobě stály týmy „útočníků“ a „obránců“.

O2 čelí v souvislosti s MS v hokeji masivním DDoS útokům

19.5.2016 Počítačový útok

Hackeři zaútočili ve čtvrtek 19. května na streamovací servery O2. Jedná se již o několikátý útok od začátku hokejového šampionátu, který zapříčinil technické problémy při online vysílání hokejového zápasu Česka proti USA a několika minutové problémy s přihlášením k mobilní službě O2 TV.

O2 před dnešním zápasem výrazně posílilo své streamovací kapacity a přijalo několik opatření, které pomáhají útoky typu DDoS odrazit.

"První útoky přicházely již minulý týden a o víkendu,"vysvětluje Václav Hanousek, šéf síťového provozu. "Přesto jsme byli minulý čtvrtek schopni poskytnout službu 320 tisicům zákazníků a přenést rekordní objem 237 Gbps. Opatření, které jsme na ochranu služby poskytované našim zákazníkům přijali, bohužel vlivem systémové chyby způsobily dnešní hodinový výpadek na pevném internetu v části Prahy a středních Čech," dodává Hanousek.

Intenzita a rozsah útoků vedly také k přetížení serverů mobilní televize O2 TV. Krátké výpadky mohli bohužel zaznamenat také diváci, kteří hokejový zápas sledovali prostřednictvím iVysílání.

Další útok. Po webu ČSSD hlásí napadení i servery ČTK

27.4.2016 Zdroj: Lupa.cz  Počítačový útok

Po webu sociálních demokratů se pod palbu internetových útoků dostaly i weby České tiskové kanceláře.
Klienti ČTK by se měli připravit na změnu hesel. Veřejnoprávní tisková agentura se totiž podle serveru HlídacíPes.org dostala v minulých dnech pod palbu internetového útoku. Dnes ráno to potvrdila i samotná agentura.

Poslední měl přijít během včerejší noci, který na čas vyřadil stránky z provozu. Zpravodajský servis ale podle všeho ohrožen nebyl. „Některé servery ČTK se v minulých dnech staly terčem útoku hackerů. Cílený útok v noci na dnešek chvílemi omezil dostupnost některých webových stránek a hackeři se také pravděpodobně dostali k některým údajům z databáze jednoho ze serverů. Může jít o hesla některých externích uživatelů. Hesla jsou uložena v šifrované podobě, nelze ale vyloučit, že stažená hesla se podaří prolomit,“ tvrdí oficiální prohlášení agentury.

Podle interního mailu, který má redakce HlídacíPes.org k dispozici, ale bylo útoků víc a odehrály se v několika posledních dnech. „Bohužel také zatím nemůžeme vyvrátit tvrzení hackerů, že stáhli z našich serverů data a hesla. Pokud k tomu došlo, jedná se pravděpodobně o hesla části registrovaných uživatelů Fotobanky,“ píše se v e-mailu, který rozesílal šéf IT oddělení.

Situaci agentura řeší ve spolupráci s externím partnerem. „Zablokovali jsme adresy, ze kterých byly útoky dosud vedeny, analyzujeme uložené záznamy a v nejbližší době zavedeme některá opatření, která by měla riziko dále snížit,“ uvádí interní materiál. Podle ČTK se na webových serverech neukládají žádné citlivé údaje zaměstnanců ani smluvních partnerů, taková data tedy zcizena být nemohla.

Jde už o třetí útok během tohoto týdne. Během noci na včerejšek byly DoS útokem sestřeleny stránky vládních sociálních demokratů a web byl nahozen až včera před obědem. Podle ČTK šlo o stejné útočníky, kteří se zaměřili na servery veřejnoprávní tiskové agentury.

Kromě toho včera ohlásil hack debatní server Lapiduch. „Domníváme se, že útočník získal databázi uživatelů, obsahující e-mailové adresy a přístupová hesla na Lapiduch,“ informuje dosud titulní stránka Lapiduch.cz.

Stránky ČSSD nefungovaly. Může za to DoS útok, říká strana

26.4.2016 Zdroj: Lupa Počítačový útok

Web vládní strany se od noci potýkal s problémy. Teď nejede vůbec. Server podle oficiálního vyjádření vyřadili z provozu neznámí útočníci.
Aktualizováno 11:31: Stránky se po jedenácté hodině dopolední zase rozjely.

Už se to řeší. „Mohu potvrdit snahu jednotlivce nebo skupiny přetížit náš server. Podle našich informací jde o takzvaný DoS útok. Samotný obsah webu by měl zůstat nedotčen a do našeho systému se nikdo neautorizovaný nedostal,“ potvrdil Lupě mluvčí strany Michal Kačírek.

Podle Kačírka teď jejich správce pracuje na tom, aby se web znovu rozjel. „Útočníci neustále mění své IP adresy a servery a my se snažíme zastavit ten proud požadavků na náš server,“ dodává Kačírek.

Po průniku do soukromé e-mailové schránky premiéra Bohuslava Sobotky jde o další internetový útok na vládní ČSSD.

Útok DROWN využívá staré chyby v SSLv2

2.3.2016 počítačový útok
Informace o útoku nazvaném DROWN (Decrypting RSA with Obsolete and Weakened eNcryption) zveřejnil mezinárodní výzkumný tým 1. března. Využívá 17 let staré chyby v dnes již překonaném, ale stále používaném protokolu SSLv2.

„Jde o vážnou zranitelnost, která se dotýká protokolu HTTPS a dalších služeb závisejících na SSL a TLS, tedy klíčových šifrovacích protokolů nezbytných pro zabezpečení na internetu,“ uvádí autoři studie (dostupná v PDF). „Zranitelné mohou být webové stránky, mailové servery a jiné služby, které protokol TLS využívají,“ dodává český Národní bezpečnostní tým.

Zranitelné jsou ty servery, které:

povolují zastaralý protokol SSLv2
využívají klíč, který je zároveň využit serverem povolujícím SSLv2
Princip útoku DROWN
Princip útoku DROWN: Útočník napadne server požadavky SSLv2 a získá tak údaje, které využije k dekódování dat oběti přenášených přes TLS.Ohrožené jsou servery, které využívají TLS i SSLv2 protokoly, nebo servery, které používají SSLv2 protokol a sdílí klíč s jiným TLS serverem. Celkem je tak zranitelných 33 % webových serverů.
Zobrazit galerii

Podle odhadu autorů je zasažena čtvrtina až třetina všech internetových serverů. „Tento problém je srovnatelný s chybou Heartbleed (více o Heartbleed zde). I v tomto případě může dojít k dešifrování komunikace,“ uvedla pro Technet.cz Zuzana Duračinská, bezpečnostní analytička sdružení CZ.NIC.

Po celém světě jsou zranitelné miliony serverů. V České republice jsou to tisíce. „Podle informací, které jsme včera obdrželi, se problém týká téměř třinácti tisíc IP adres,“ řekla Duračinská. „Všechny provozovatele těchto adres jsme již o tomto problému informovali.“

Řešení: okamžité i dlouhodobé
Každý provozovatel webových serverů si může ověřit, zda je jeho server napadnutelný útokem DROWN. Nejjednodušší ochranou je zakázat protokol SSLv2 na všech serverech. Některé webové servery (např. Microsoft IIS od verze 7.0) a knihovny (např. OpenSSL od verze 1.0.2g) jsou takto již nastavené, u jiných je potřeba toto nastavení upravit.

Uživatelé nemohou pro svou ochranu v tuto chvíli udělat nic, na straně klienta není proti útoku DROWN obrany. Maximálně se mohou vyhýbat serverům, které nejsou zabezpečené. To nám potvrdila i Duračinská: „Na straně uživatelů bohužel není možné se jakkoliv bránit. Potřebná opatření musí udělat dotčení provozovatelé služeb.“

Dlouhodobé řešení vidí autoři studie v pečlivém zavírání bezpečnostních chyb, odstřihávání zastaralých protokolů a knihoven a omezení opakovaného využívání bezpečnostních klíčů. V současné době ale podle nich „finanční politika certifikačních autorit povzbuzuje firmy k tomu, aby si nakoupily nejmenší možný počet bezpečnostních certifikátů.“

Současné kyberútoky - mimořádný zisk pro zločince, velká výzva pro firmy

11.2.2016 Počítačový útok
Až desítky milionů dolarů může přinést zločincům jediná kampaň. Jejich práce se totiž výrazně profesionalizuje -- ukazuje se tedy, že pro současné ataky zločinců je nezbytná koordinovaná obrana.

Dohodu o úzké spolupráci v oblasti kybernetické bezpečnosti uzavřely Cisco a Národní bezpečnostní úřad (NBÚ). Cílem je nejen sdílet informace o aktuálních hrozbách, ale i o nových bezpečnostních trendech či postupech.

Cisco kromě zmíněné spolupráce s NBÚ oznámilo i výsledky nedávné studie Cisco Annual Security Report. Podle ní do války v kybersvětě vstupují žoldáci -- týmy kyberpirátů se profesionalizují, disponují špičkovou výbavou a nechávají se najímat na útoky. Například jediná kampaň založená na exploit kitu Angler mohla ročně přinést zločincům až 34 milionů dolarů.

Útočníci prý také stále častěji sahají k legálním zdrojům, které využívají pro své útoky. Pro šíření svých kampaní využívají vlastní infrastrukturu, které vypadá zdánlivě bezpečně.

Například počet zneužitých WordPress domén vzrostl od února do října 2015 o 221 procent. Drtivá většina útoků pak využívá nezabezpečené DNS servery. Autoři studie zjistili, že DNS protokol se stal jedním z pilířů kybernetického útoku v 92 procentech případů.

Dříve používané metody obrany i bezpečnostní strategie jsou proti pokročilým typům jsou podle studie prakticky neúčinné. To vede k tomu, že klesá důvěra manažerů ve schopnost jejich firem ubránit se kybernetickým útokům.

Jak zjistil Cisco Annual Security Report, pouze 45 procent organizací na světě důvěřuje svému stávajícímu zabezpečení proti kybernetickým útokům. V porovnání s výsledky z minulých let toto číslo přitom setrvale klesá.

V celé řadě firem totiž může škodlivý kód existovat v síti až 200 dní, aniž by byl detekován. Právě zkrácení času, po který má útočník přístup k napadené síti je jedním z klíčových prvků bezpečnostních strategií.

„Zabránit proniknutí škodlivého kódu do sítě je dnes prakticky nemožné. Bezpečností strategie musí být založena na schopnosti co nejrychleji napadení odhalit,“ tvrdí Michal Stachník, generální ředitel Cisco ČR.

NBÚ už úzce spolupracuje s dalšími komerčními subjekty, jako je třeba CZ.NIC či Microsoft. Dohoda NBÚ s Ciscem byla oznámená na konferenci CyberSecurity 2016, jejímž pořadatelem je vydavatelství IDG Czech Republic.

Té se letos zúčastnilo více než 300 návštěvníků a kromě tradičních přednášek byla její součástí například i panelová diskuze na téma Ochrana proti pokročilým hrozbám a organizovanému kybernetickému zločinu, jíž se zúčastnili Vladimír Rohel, NBÚ, Karel Šimek, Cisco; Ivo Němeček, Cisco; Tomáš Přibyl, Security Consultant, Jaroslav Dvořák, ÚOOZ a Bohuslav Zůbek z MV ČR.

Masivní DDoS útok vyřadil internetové bankovnictví britské HSBC

8.2.2016 Počítačový útok
Dva dny trvalo největší evropské bance, než znovu zprovoznila osobní internetové bankovnictví. Pachatel dosud nebyl odhalen.
Útok DDoS (Distributed Denial of Service) má vždy stejný scénář. Stovky tisíc počítačů začnou přistupovat v jeden okamžik na konkrétní server. Ten zpravidla nezvládne tak vysoké množství požadavků zpracovat a spadne. Pro běžné uživatele se pak takto napadená webová stránka tváří jako nedostupná.Tisíce zákazníků britské pobočky světové banky HSBC se nemohly během víkendu dostat prostřednictvím internetu ke svým osobním účtům. Internetové bankovnictví HSBC zkolabovalo pod náporem masivního DDoS útoku, při kterém na stránky přicházely tisíce a miliony požadavků z řady počítačů po celém světě, jež zcela vyřadily web z provozu.

Odstávka systému trvala dva dny, po které nebylo možné zadávat platby online. Útok byl načasovaný na dobu, kdy řada Britů podává daňové přiznání za loňský rok. Banka kvůli tomu čelila kritice rozzuřených nespokojených klientů, kteří si často nebrali servítky a zaplavili její profil na Facebooku řadou nadávek.

Jde o druhý velký výpadek v jediném měsíci.
I když se bance podařilo online bankovnictví po víkendovém výpadku zprovoznit, stále ještě nefunguje na sto procent. „Internetové a mobilní služby HSBC jsou částečně funkční, nadále ale pracujeme na obnovení kompletního servisu,“ ujistil zákazníky provozní ředitel britské pobočky HSBC John Hackett. Banka se nechala slyšet, že „úspěšně ochránila“ své systémy před DDoS útokem, ale čelí další vlně útoků, kvůli nimž nemůže zcela obnovit všechny své služby.

Pro britskou HSBC jde o druhý velký výpadek v jediném měsíci: začátkem ledna se tisíce klientů banky nemohly dostat ke svým účtům přes internet kvůli výpadku elektrického proudu.

Opakované kolapsy bankovních systémů nenechávají chladnými britské zákonodárce.
Konzervativní předseda finančního výboru dolní sněmovny britského parlamentu Andrew Tyrie vyzývá k urychlenému řešení situace. „Banky zkrátka nejsou na takovéto případy připraveny. Ohrožuje to nejen je, ale i celé hospodářství a tím se vystavujeme riziku selhání celého systému,“ varoval Tyrie. Mluvčí HSBC ujistil, že víkendový výpadek internetových služeb nevedl k žádným reálným škodám na zákaznických účtech.

Finanční kriminalita přijde britskou státní kasu na 52 miliard liber ročně.
„Známe případy, kdy DDoS útoky proti bankám plnily funkci jakési kouřové clony a kryly další zločinné aktivity, jako jsou kybernetické loupeže, převody velkého objemu peněz nebo krádeže a pozměňování dat klientů,“ upozornil Robert Capps, viceprezident pro rozvoj společnosti NuData Security.

Finanční kriminalita přijde britskou státní kasu na 52 miliard liber ročně (1,85 bilionu korun). Podle inspektora Jamese Phipsona z londýnského policejního ředitelství pro vyšetřování hospodářské kriminality odhalování pachatelů ztěžuje fakt, že nahlášeno bývá jen asi 12 procent případů počítačové kriminality. Případ HSBC policie stále vyšetřuje, viník však uniká.

Za výpadkem BBC stál útok hackerů

1.1.2016 Počítačový útok
Britská veřejnoprávní zpravodajská stanice BBC oznámila, že její portál ve čtvrtek na několik hodin ochromil rozsáhlý počítačový útok. Stanice v první chvíli tvrdila, že omezení jejích internetových služeb bylo jen „technickou záležitostí”.
Uživatelé si začali stěžovat na chybné fungování webu BBC kolem 08:00 SEČ. Výpadek neomezil tradiční rozhlasové a televizní vysílání stanice. Internetové služby BBC byly obnoveny krátce před 12:00 SEČ, i poté se ale potýkaly s občasnými výpadky.

„Všechny internetové portály BBC byly ve čtvrtek dopoledne nepřístupné z důvodu rozsáhlého počítačového útoku," uvedla stanice v prohlášení na svém webu po obnovení internetových služeb. Klientům se omluvila. Kdo za počítačovým útokem stojí, se zatím neví.

Šlo o útok typu DDoS, který se snaží zablokovat internetové služby „zaplavením" sítě velkým množstvím požadavků na spojení či narušením spojení s vytipovaným serverem. BBC byla terčem podobného útoku v červenci 2014.

Uživatelé Twitteru výpadek prestižní veřejnoprávní stanice BBC podle britského deníku The Telegraph se zjevnou nadsázkou komentovali mimo jiné slovy, že je to znamení blížící se apokalypsy.

Podle britské policie se stalo loni terčem počítačových útoků na 30 procent britských podniků a institucí.

České firmy jsou pod palbou kyberútoků, pomoci chce stát
24.11.2015 Počítačový útok

** Většina českých firem čelí útokům hackerů ** Na trhu chybějí tisíce odborníků na kybernetickou bezpečnost ** Stát se chce více angažovat v kyberbezpečnosti
České firmy jsou pod palbou kyberútoků, pomoci chce stát
O tradičních ozbrojených konfliktech se veřejně hodně mluví. Jsou na očích a dá se k nim přilepit „líbivý“ vizuální materiál. V dnešní době jsou ale mnohem intenzivnější takzvané asymetrické války. Všemožné skupiny útočí skrze kybernetický prostor. Nejde pouze o vlády a jednotlivé státy, hackeři rovněž v masivní míře zasahují do sítí firem a organizací. Tyto věci nejsou tolik viditelné. I když se čas od času něco dostane na povrch, o kybernetických incidentech se většinou příliš nemluví.

A Česka se to týká více, než tomu bývá zvykem třeba na Západě. „Takřka se nestává, že bychom do nějaké společnosti či instituce přišli a nic v jejich síti a IT systémech neodhalili,“ říká David Řeháček z izraelské společnosti Check Point Software Technologies, „vždy tam něco je.“ Podobně mluví v podstatě všechny další kyberbezpečnostní firmy. Ty do sítí často nasazují svůj hardware a software a následně testují, jak si na tom kdo stojí. „Prakticky u všech subjektů v Česku se něco našlo, třeba agent komunikující se vzdálenými servery,“ doplňuje Řeháček.

Tutlané incidenty

Tuzemské firmy o takových problémech veřejně nemluví. Napadení jejich informačních systémů by logicky na veřejnosti nepůsobilo dobře a mohlo by dojít ke ztrátě důvěry u klientů. „Incidenty jsou u nás velmi významné. A zároveň jsou i tutlané,“ říká Michal Zedníček ze společnosti Alef, která se reálným řešením kybernetických útoků zabývá.

Důvody útoků kopírují všeobecné trendy. Útočníkům jde o finanční zisk, průmyslovou špionáž, citlivé dokumenty či třeba narušení výroby. Na datacentra a hostingové služby míří přehlcující DDoS útoky. Hrozby jdou jak od soukromých subjektů, tak od státy podporovaných skupin. Rusko, Čína, Írán a další země stojí za kyberútoky běžně, cílem je například západní energetický sektor.

34 lidí dnes zaměstnává Národní centrum kybernetické bezpečnosti. Během následujících tří let chce přijmout dalších čtyřiadvacet

Podobně samozřejmě zbrojí i druhá strana z geopolitické mapy včetně Spojených států či Izraele. Rusko s Čínou nedávno podepsaly smlouvu o kybernetické bezpečnosti, v rámci které se na sebe zavazují neútočit na státní úrovni. Směrem ven ale situace může být jiná. „Vláda nám řekla, ať v zahraničí útočíme a krademe, jak chceme. Ale jak to zkusíme doma, pojedeme prvním vlakem na Sibiř,“ říkají například ruští hackeři, se kterými měl týdeník Euro možnost mluvit.

Jednou z mála zdejších společností, která se o své zkušenosti dělí – podobně jako se to děje třeba ve Spojených státech – je provozovatel českých plynovodů Net4Gas. Firma se například potýkala s útoky na své webové servery a další infrastrukturu a situaci díky rychlému zákroku dokázala řešit bez větších následků.

Tuzemské společnosti každopádně v současné době nemají povinnost hackerské útoky na své sítě hlásit. To, zda se o informace podělí s ostatními, je dobrovolné. Výjimkou brzy budou členové takzvané kritické infrastruktury státu. Tu vzhledem k novému zákonu o kybernetické bezpečnosti postupně určuje Národní bezpečnostní úřad (NBÚ) a spadnou do ní i elektrárny či ministerstva.

Spolupráce místy funguje

Dobrovolná výměna informací mezi firmami někde do určité míry funguje. V Česku už je v provozu dvaadvacet takzvaných kyberbezpečnostních CERT týmů, mají je zejména firmy typu Seznam.cz, O2 a podobně. Několik subjektů se sdružuje také v projektu Fenix provozovaném národním internetovým uzlem NIX. CZ.

Rostoucí riziko kybernetických útoků nějakou dobu ve firmách pomáhalo rozpočty na tuto oblast alespoň nesnižovat, nyní se ale postupně naopak investice zvedají. Dá se očekávat, že čísla v budoucnu výrazně narostou. „V Česku začínáme u klientů pozorovat, že už nechtějí získat pouze lejstro s certifikací, ale skutečně problémy řešit. Česko v této oblasti směřuje k vyšší odolnosti, na všech frontách nás však čeká opravdu hodně práce,“ dodává Zedníček z Alefu. Firmy jsou dnes na fungování IT naprosto závislé a výpadky mohou mít zcela zásadní následky pro celý byznys.

Útok na elektrárnu Hrháň

Zároveň chybějí lidé. Na zdejším trhu se podle odhadů v současnosti nedostává řádově tisíce odborníků na kyberbezpečnost. V celé Evropské unii jich během několika let nebude až milion. České vysoké školy se na to snaží reagovat a bezpečnostní obory zavádí či se snaží posilovat Vysoké učení technické (VUT) v Brně, České vysoké učení technické či Masarykova univerzita (MUNI). Přidávají se i některé soukromé školy. Přesto platí, že ze školy připravený člověk nevyjde a je nutné s ním nadále pracovat. VUT společně s MUNI spouští také obor, který má kombinovat technické znalosti počítačové bezpečnosti s právními aspekty.

Masarykova univerzita v Brně nedávno otevřela také Kybernetický polygon. Jde o výcvikovou arénu, kde je možné ve virtuálním prostředí zprovozněném díky vědeckému cloudu CERIT simulovat a trénovat kybernetické útoky. Tohoto moderního zázemí před pár dny využil také NBÚ. Ten vůbec poprvé v historii podobné cvičení realizoval. NBÚ se sice i několikrát do roka účastní podobných cvičení NATO, v tomto případě se ale simulované incidenty zaměřily přímo na infrastrukturu českého státu. Hlavním cílem byla fiktivní elektrárna Velký Hrháň.

Dokážou čelit útoku?

Principem cvičení bylo vyzkoušet, zda bezpečnostní zaměstnanci státu, kteří byli rozděleni do pěti týmů po čtyřech lidech, dokážou čelit organizovanému útoku hackerů. Ty představovali zaměstnanci Národního centra kybernetické bezpečnosti (NCKB), které spadá pod NBÚ a funguje v Brně, a akademici z Masarykovy univerzity. Akce se připravovala tři čtvrtě roku a zúčastněné strany nechtějí příliš rozvádět, jaké přesně útoky se trénovaly. Cvičení se totiž má uskutečnit ještě dvakrát.

První várka zkoušených týmů relativně obstála. Od zmiňovaného Národního centra kybernetické bezpečnosti se toho ze začátku v kuloárech příliš nečekalo. Stát odborníkům na kybernetickou bezpečnost může nabídnout tabulkový plat, což zapříčinilo to, že NCKB nabírá především absolventy, které si pak vychovává. Dnes centrum zaměstnává 34 lidí a během následujících tří let jich chce přijmout dalších čtyřiadvacet, každý rok osm.

O NCKB začíná být poměrně dost slyšet i v zahraničí. Centrum se podílí na několika zahraničních projektech a jezdí také pomáhat stavět kyberbezpečnostní know-how a týmy. Aktivní je například na Balkáně, kde se s celou oblastí teprve začíná, a v návaznosti na poslední události Česko pomáhalo také na Ukrajině, která musí čelit útokům z Východu. Šéf NBÚ Dušan Navrátil zároveň před pár dny podepsal nové memorandum o kyberbezpečnostní spolupráci národních složek s NATO, a Česko se tak stalo vůbec prvním spojencem v této záležitosti. NATO už kyberválku zařadilo mezi své priority.

Kvalitní hráč

Silným spojencem NBÚ je také firma Microsoft. Ta s úřadem spolupracuje už několik let, nedávno však došlo k podepsání nové smlouvy, díky které NBÚ získal přístup ke zdrojovým kódům softwaru z Redmondu, včetně Windows a Office. NBÚ nezískává nad zdrojovými kódy softwaru kontrolu a ani je nebude skladovat na svých serverech a počítačích. NCKB pouze může na dálku přistupovat ke „zdrojákům“ ve čtecím režimu. Může tak zkoumat, jak je software Microsoftu napsaný, a na základě toho analyzovat bezpečnostní záležitosti a psát si vlastní nástroje, včetně národního šifrování.

NCKB získává také přístup do takzvaného transparentního centra, které Microsoft provozuje v Bruselu. To umožňuje třeba automatizované testování softwaru Microsoftu a hledání zadních vrátek. Vše funguje na dálku. NBÚ je oprávněn nahlédnout také do dokumentací ISO 27001, které Microsoft získal v rámci svých cloudových služeb.

Důvody útoků kopírují všeobecné trendy. Útočníkům jde o finanční zisk, průmyslovou špionáž, citlivé dokumenty či třeba narušení výroby

Česká republika se zároveň v minulosti stala třetí zemí na světě, která je součástí programu Botnet Feeds. Ten provozuje Microsoft a NCKB má díky tomu přístup k analýzám Microsoftu o botnetech. Získává tak informace o IP adresách, které jsou rozesílány do jednotlivých zemí. NBÚ poté může kontaktovat ohrožené státní úřady. Soukromý sektor pak stejně řeší národní bezpečnostní tým CSIRT. CZ, který provozuje správce české internetové domény CZ. NIC a se kterým NBÚ nedávno obnovil smlouvu.

Česko je obecně díky firmám jako AVG, Avast, Cognitive Security či několika novým mladým projektům typu TeskaLabs ve světě vnímáno jako velice kvalitní hráč na poli kyberbezpečnosti. Státní bezpečnostní instituce se těmto firmám snaží sekundovat.

Sofistikované útoky na firmy se změní, předpokládají experti

23.11.2015 Počítačový útok
Značné změny na poli kybernetické špionáže očekávají odborníci firmy Kasperský Lab. Podle nich se dramaticky promění struktura APT hrozeb i to, jak se vedou.  U ataků typu APT (advanced persistent threat) se sníží důraz na ‚vytrvalost‘ a pozornost se přesune k tzv. memory-resident a fileless malwaru, který se snaží vyhnout detekování tím, že minimalizuje počet stop zanechaných v napadeném systému.

Odborníci také zpozorovali, že útočníci již nemají tendenci předvádět své vynikající kybernetické dovednosti. Většina z nich se bude rozhodovat na základě návratnosti investic. Lze tedy očekávat zvýšení počtu změn u standardního ‚off-the-shelf‘ malwaru, spíše než investování do bootkitů, rootkitů a vytváření malwaru na míru, který analytické týmy odhalí a zničí.

V dlouhodobější perspektivě experti předpokládají, že se do prostředí APT hrozeb zapojí více nováčků. Kybernetických žoldáků bude přibývat, jak budou jednotlivé skupiny hledat co největší zisk z online útoků.

Můžeme očekávat, že žoldáci budou nabízet své znalosti komukoliv, kdo bude ochotný platit. Budou také prodávat zainteresovaným třetím stranám digitální přístup k nejzajímavějším obětem, tedy budou nabízet ‚Access-as-a-Service‘ službu.

Vyvíjet se budou také hrozby cílící na uživatele. Podle expertů naroste objem ransomwaru na úkor bankovních trojanů. Ransomware se bude kromě tradičních mobilních zařízení a internetu věcí šířit i na nových platformách, jako jsou například zařízení se systémem OS X, jejichž vlastníky jsou často majetnější, a tedy lukrativnější, cíle.

Kyberzločinci neustále hledají nové cesty, jak získat od obětí peníze. Dá se tedy očekávat, že finanční útoky na platební systémy jako ApplePay nebo AndroidPay, stejně tak jako na burzy, budou narůstat.

Aby podniky minimalizovaly rizika spojená s budoucími kybernetickými útoky, měly by vytvořit a implementovat kompletní bezpečnostní strategii. Klíčové je také vzdělávání zaměstnanců a nasazení vícevrstvého koncového bezpečnostního řešení.

Uživatelé by měli investovat do silného bezpečnostního řešení a používat šifrovanou komunikaci. Neměli by nicméně spoléhat výhradně na technologie.

Útok na DNS nekonečnou rekurzí

27.7.2015 Počítačový útok

Špetka základů DNS

Nejprve to vezměme trochu ze široka. Když pošlete DNS serveru dotaz, obslouží jej buď rekurzivně, nebo nerekurzivně.

Při rekurzivním chování se dotazu chopí, pokládá dotazy dalším serverům, dokud se mu nepodaří najít odpověď a tu pak pošle tazateli. Tímto způsobem se typicky chovají lokální DNS servery obsluhující zařízení v koncové síti. Pokud se zeptám lokálního serveru na adresu www.root.cz, dostanu odpověď 91.213.160.118. Výhodou rekurzivního chování je, že si server zjištěné informace ukládá do vyrovnávací paměti a při opakovaných dotazech se na ně nemusí znovu ptát, čímž se zrychlují odezvy a celému DNS se ulehčuje. Cenou je, že rekurzivní řešení dotazu server zatěžuje.

Nerekurzivně se chovající server se dotazem podrobněji nezabývá, jen pošle informace o serverech, které jsou blíže k jeho řešení. Sám se jich ale neptá, to musí udělat tazatel. Nerekurzivně se chovají autoritativní servery. Kdybych se třeba některého z autoritativních serverů domény cz zeptal na adresu www.root.cz, dostanu odpověď „zeptej se ns.iinfo.cz nebo ns6.adminit.cz“, což jsou autoritativní servery domény root.cz, které jsou o krok blíže k odpovědi. Má-li k dispozici jejich adresy, přiloží je k odpovědi.

Princip útoku

Útok nekonečnou rekurzí spočívá v tom, že si autoritativní server zlobivé domény vymýšlí stále nové a nové servery „bližší“ řešení, které ale leží ve stejné doméně, takže se na jejich adresy musíme ptát zase jeho. Na každý takový dotaz odpoví opět odkazem na další smyšlené servery.

Řekněme, že se takovým způsobem bude chovat autoritativní server domény zlo.root.cz. Doména by měla mít alespoň dva autoritativní servery, ale buď se budou oba chovat stejně, nebo zlí hoši prostě nebudou doporučení respektovat. Dále pro zjednodušení budeme zmiňovat jen jeden.

Útok začne tím, že někdo někde projeví zájem třeba o adresu pro www.zlo.root.cz. Buď útočník využije otevřený rekurzivní server a položí mu dotaz sám, nebo přiměje některého z místních uživatelů k návštěvě tohoto webu – phishingem, příslibem atraktivního obsahu nebo jinak.

Místní rekurzivní server, který byl osloven, je cílem útoku. Pustí se do řešení dotazu: Standardním způsobem začne v kořenové doméně a postupně bude nerekruzivními servery odkázán na autoritativní servery pro domény cz, root.cz a zlo.root.cz. Až dosud vše probíhá normálně.

Jelikož hledané jméno je v doméně zlo.root.cz, normálně by její autoritativní server (řekněme ns.zlo.root.cz) poslal odpověď. On ale místo toho v odpovědi prohlásí, že je třeba ptát se serveru ns1.zlo.root.cz nebo ns2.zlo.root.cz. A neposkytne jejich adresy, což by korektně se chovající server udělal.

Oba „bližší“ servery mají jména v doméně zlo.root.cz, takže nezbývá, než jejich adresy shánět opět u ns.zlo.root.cz, který je jejím autoritativním serverem. Na dotaz po adrese ns1.zlo.root.cz ovšem odpoví, že je třeba ptát se u ns3.zlo.root.cz nebo ns4.zlo.root.cz, zatímco adresu ns2.zlo.root.cz prý znají ns3.zlo.root.cz nebo ns4.zlo.root.cz. A tak dále pořád dokola.

Kdykoli se jej zeptáte na adresu některého z údajných serverů, dostanete jen odkaz na další nové servery, jejichž adresy ovšem musíte poptávat zase u něj. Jejich jména mohou být vytvářena algoritmicky – například zde dotaz na server nsX vede k odkazu na servery ns(2X+1) a ns(2X+2) – nebo se prostě generují náhodně.

Rekurzivnímu serveru se exponenciálním tempem množí úkoly a odpověď je stále v nedohlednu. Server tak postupně vyčerpává dostupné zdroje, dokud není zahlcen do té míry, že přestává zpracovávat další dotazy lokálních strojů, pro které se DNS stane téměř nedostupným. Bylo zaznamenáno i zhroucení některých programů.

Útok existuje také v upravené variantě, vyvolávající DoS prakticky do libovolné sítě. V tom případě server do odpovědi vloží více falešných autoritativních serverů. Některé ponechá bez adres, aby se tazatel vracel a udržoval útok v chodu. K jiným přibalí adresy, na které chce útočit. Rekurzivní server řešící původní dotaz zajásá, že má konečně nějaké adresy, a obešle je dotazy. Na napadených adresách samozřejmě nemusí běžet DNS servery – dotazy ze strany rekurzivního serveru budou prostě jen zatěžovat tyto stroje a síťovou infrastrukturu k nim vedoucí. A pokud jich bude dost…

Útok nekonečnou rekurzí má poměrně neobvyklé vlastnosti. Typický DoS útok vyvolá armáda útočících strojů posílajících mraky požadavků, často s padělanými adresami. Zde útočníkovi v zásadě stačí zahajovací dotaz a jeden (či několik málo) nemravně se chovající autoritativní DNS server. Navíc v DNS komunikaci nemusí porušit jediné RFC. Posílané zprávy odpovídají standardům, jen v jejich obsahu si vymýšlí.

Obrana

První linií obrany je samozřejmě neprovozovat otevřený rekurzivní server, tedy přijímat dotazy jen z lokální sítě. Tím významně omezíte možnost položit startovací dotaz. Pokud by chtěl útočník napadnout váš rekurzivní server, musel by nejprve ovládnout některý z vašich počítačů nebo nalákat některého uživatele.

Skutečnost, že útok je založen na zlovolném chování autoritativního serveru určité domény, usnadňuje obranu. Pokud zjistíte, že se váš rekurzivní server stal obětí nekonečné rekurze, stačí zablokovat inkriminovanou doménu. Třeba tak, že svůj rekurzivní server nastavíte jako její autoritativní. Většina programů implementujících rekurzivní servery to umožňuje.

Nejlepší zpráva přijde nakonec: pokud udržujete svůj DNS software aktuální, pravděpodobně se vás tento útok vůbec netýká. Byl oficiálně oznámen počátkem prosince 2014 a současně s ním vyšly opravy pro BIND, Unbound a další programy.

e-book_prehistorie_pocitacu

Aby byl útok nekonečnou rekurzí úspěšný, musí být rekurzivní server ochoten věnovat řešení dotazu prakticky neomezené úsilí. Opravy proto směřovaly právě do této oblasti a autoři programů zavedli různé hranice. Přístupy se liší – někde omezili hloubku řešení dotazu, jinde šířku, počet zpráv nebo celkovou dobu řešení. Nějaká omezení ale má dnes prakticky každý. Pokud by vás zajímaly podrobnosti, najdete je na 33. stránce prezentace Floriana Mauryho [PDF].

Paradoxní je, že už základní specifikace DNS v RFC 1034 obsahuje doporučení, že množství práce věnované řešení dotazu by mělo být omezeno, aby případná chyba v datech nezpůsobila trable. Netrvalo to ani třicet let a došlo na ně.

Největší útok policie na hackery. Zadržela Rusy i Pákistánce

16.7.2015 Počítačový útok

Vyšetřovatelé zavřeli diskusní fórum Darkode, kde se údajně obchodovalo s citlivými daty a kde si hackeři vyměňovali software, kterým útočili proti vyhledávaným cílům.
New York – Americké úřady ve spolupráci se zahraničními partnery zablokovaly internetové diskusní fórum Darkode s poukazem na kriminální aktivity, které se na něm odehrávají. Oznámilo to ministerstvo spravedlnosti USA. Zároveň bylo v USA zatčeno dvanáct osob, které se na provozu serveru podílely. Další lidé byli zadrženi v Evropě.

Pittsburský prokurátor David Hickton označil Darkode za "hnízdo hackerských zločinců". Ze zhruba 800 kriminálních internetových fór na světě je podle něj Darkode největší hrozbou pro data na počítačích amerických uživatelů.

Koordinovaná mezinárodní akce, jejímž cílem bylo nebezpečnou síť rozbít, byla podle expertů největší svého druhu na světě.

Americká FBI aktivity serveru vyšetřovala ve spolupráci s evropskou policejní agenturou Europol a s partnery z Latinské Ameriky, Austrálie, Izraele a Nigérie, napsala agentura Reuters. Europol zadržel 28 lidí.

Podle vyšetřovatelů zločinci využívali Darkode k obchodu s ukradenými daty a se softwarovými nástroji, s jejichž pomocí útočili proti vyhlédnutým cílům. Servery Darkodu byly dobře zabezpečené a přístupné jen prověřeným hackerům. "Byla to unikátní křižovatka hackerů z různých zemí," řekl novinářům Brian Krebs, který se kybernetickou zločinností zabývá a do Darkodu se mu podařilo proniknout.

Podle Reuters jsou mezi zadrženým hackeři ze Švédska, Slovinska, Španělska, Ruska nebo Pákistánu. Obviněni jsou z počítačových loupeží, praní špinavých peněz a šíření škodlivého softwaru.

Facebook pomáhá bojovat proti XARA útokům na Apple

29.6.2015 Počítačový útok

Apple stále pracuje na opravách chyb, které využívají XARA útoky popsané v našem posledním dílu SecUpdate. Z průběhu prací není moc informací a stejně tak je tomu ohledně termínu vydání opravy, který zatím nebyl stanoven.

Je proto dobrou zprávou, že přišla pomoc ze strany Facebooku a to v podobě nových rozšíření frameworku osquery. Jedná se o monitorovací nástroj, který jistým způsobem přemění operační systém v relační databázi. Umožňuje tedy psát SQL-like dotazy nad daty operačního systému. Jednotlivé tabulky obsahují například běžící procesy, načtené moduly jádra, otevřená síťová spojení, doplňky prohlížeče, hardwarové události a podobně.

Nově byly do osquery přidány tři tabulky, které poskytují data k rozpoznání XARA útoků:

“keychain_acls” - pomůže proti krádežím hesel, díky sledování veškerých změn v ACL vztahujících se k položkám v keychainu
“sandboxes” - sleduje změny sandboxů, ze kterých může uživatel vyčíst, že útočná aplikace získává data jiných aplikací pouhým použitím jejich identifikátoru (BID)
"app_schemes" - tabulka obsahuje registrovaná schémata na daném zařízení a aplikace, které si je registrovali, což pomůže uživateli zjistit, zda útočná aplikace nepředběhla v registraci schématu jinou, která ho běžně používá
Pokud se zajímáte o to, co se ve vašem Apple systému děje, neváhejte k vašemu bádání osquery použít. Nástroj je volně dostupný na GitHubu.

Útoky na SSH: je ještě bezpečné?

27.6.2015 Počítačový útok

V posledních měsících je zvykem bezpečnostní chyby ohlašovat s velkou pompou, vytvářet pro ně vlastní web a v ideálním případě i logo. Uživatelé jsou takto průběžně masírovaní tím, kolik chyb je v protokolech nebo jejich implementacích. Otázkou ale je, zda a jak moc je stále bezpečné třeba SSH.

SSH je velmi rozšířeným protokolem nejen pro dálkovou správu unixových serverů, ale také pro přenos souborů, přesměrování portů a další úkony. V poslední době ale přibylo oznámení nejrůznějších bezpečnostních chyb, které ohrožují šifrovací algoritmy a hrozí únikem dat. Svůj podíl na tom mají i tajné služby, jejichž aktivita v tomto odvětví donutila uživatele klást si otázku: Je tohle vlastně ještě bezpečné?

Historický základ

Kořeny SSH sahají až do roku 1995, kdy na Helsinki University of Technology vyvinul Tatu Ylönen první implementaci nového protokolu, který měl za úkol zabránit odposlechu hesel na univerzitní síti. Autor se později rozhodl svůj software prodávat, a proto po čtyřech letech kód uzavřel a změnil jeho licenci. V tu chvíli se poslední otevřené verze chopili vývojáři projektu OpenBSD, kteří pokračovali ve vývoji otevřené verze. V tu chvíli začalo také masivní šíření software na mnoho různých platforem včetně linuxových a unixových operačních systémů.

V roce 2008 už mělo OpenSSH na internetu více než 80% podíl. V současné době je aktuální verze 6.8 a další je už ve fázi testování. SSH nahrazuje starší protokoly jako telnet, rlogin, rsh, rcp a ftp. Předpokládám, že jste o nich slyšeli a doufám, že žádný z nich už nepoužíváte, řekl ve své přednášce na konferenci CryptoFest Jakub Jelen ze společnosti Red Hat a spolku vpsFree.cz. SSH umožňuje autentizaci bez hesla, ověření protistrany pomocí otisku klíčů, přesměrování portu nebo třeba přenos X11 sezení bezpečným kanálem. Zásadní také je, že SSH dnes není závislé na konkrétním hashovacím algoritmu, algoritmu výměny klíče nebo šifře. V průběhu let byla část algoritmů označena za problémovou – například byla používaná šifra Blowfish, 3DES, RC4, IDEA nebo tehdy patentovaná RSA. Nebyly dobré, ale tehdy to bylo to nejlepší, co bylo k dispozici.

OpenSSH
OpenSSH už pohřbilo řadu protokolů
Existují dvě verze protokolu označované jako SSH1 a SSH2. Původní protokol SSH1 je dnes považován za zastaralý a nebezpečný, což plyne také z toho, že byl vymyšlen v roce 1995 jedním člověkem. Když vymýšlíte něco na zelené louce, je nepravděpodobné, že to bude napoprvé správně. Proto se v průběhu let objevilo několik různých zranitelností – nedostatečně kontrolovaná integrita dat, modifikace posledního bloku šifry IDEA a možnost MitM útoku. Dnes se s ním naštěstí člověk už nepotká, většina serverů a klientů je má zakázané. Problém je jen ve vestavěných systémech, které jej ještě někdy používají.

Od roku 2006 existuje SSH2, které je zpětně nekompatibilní, ale významně vylepšuje bezpečnost. Z dokumentů, které vynesl Snowden, je zřejmé, že NSA dokáže dekódovat ‚některá SSH spojení‘. Bohužel není zřejmé, co přesně a za jakých okolností je možné odposlouchávat. Opět to ale důvod zabývat se celou bezpečností SSH, jak z pohledu algoritmů, tak jejich implementace v OpenSSH.

Známé vektory útoků

Pro bezpečnost SSH je zásadní bezpečnost výměny šifrovacích klíčů metodou Diffie-Hellman. Ta umožňuje předat protistraně informaci tak, že informace samotná zabezpečeným kanálem vůbec neputuje. Putují jen dílčí informace, které jsou ale bez znalosti nepřenášené části bezcenné. Pokud by v budoucnu někdo získal od jedné strany privátní klíč, stejně by nebyl schopen celou komunikaci dešifrovat. Ta je totiž zabezpečena jednorázovým symetrickým klíčem, který nelze vyčíst ani po dešifrování začátku komunikace.

OpenSSH
Princip Diffie-Hellman: Alice a Bob si vymění barvy už smíchané, výsledkem je hnědá, která ale v komunikaci nefigurovala a je velmi obtížné ji odvodit.

Velmi známým útokem je takzvaný Logjam, který neútočí přímo na SSH, ale právě na výměnu klíčů pomocí Diffie-Hellman. Ta se netýká jen SSH, ale obecně TLS – potenciálně ohroženy jsou tedy i další protokoly jako HTTPS nebo VPN. Algoritmus výměny totiž předpokládá, že se na vstupu používají dostatečně velká prvočísla, která se navíc příliš často neopakují. Praxe je ale bohužel jiná. Ukázalo se, že na celém internetu se používá jen několik málo prvočísel a většina použitých čísel má velmi malou délku. Přibližně v 90 % případů se používá asi jen pět prvočísel, která jsou navíc poměrně malá (512 bitů). Pří útoku Logjam je možné přimět server používat právě tato malá prvočísla – takzvaný downgrade attack. Servery tuto možnost stále obsahují kvůli zpětné kompatibilitě.

Většina běžně používaných aplikací navíc používá stále stejný seznam předgenerovaných čísel, který je k dispozici už od devadesátých let. Konkrétně v OpenSSH je připraveno třicet prvočísel, která mají délku 1024 bitů, a pak také další s větší délkou. Problém totiž spočívá v pravděpodobnostních testech, které dovolují ověřit, zda je vygenerovaná hodnota prvočíslem. Tyto testy jsou velmi náročné a pro uživatele by bylo velmi nepraktické generovat si tímto způsobem vlastní sadu prvočísel.

Běžná faktorizace prvočísel je velmi náročný úkol, ale pokud bereme v potaz jen velmi malé množství prvočísel, můžeme provést jejich předzpracování. Pro 512 bitů to na milionu procesorových jader trvá přibližně týden. Samotné dešifrování spojení pak proběhne do jedné minuty. Je docela možné, že NSA takový výkon k dispozici má. Současná verze OpenSSH odebrala prvočísla s délkou 1024 bitů, takže už není možné se se serverem dohodnout na jejich použití. Pomůže také samozřejmě zakázání starších protokolů a slabších šifrovacích algoritmů. Při délce 1024 bitů se nám doba předzpracování na milionu jader protáhne na 35 milionů let, dodává Jelen.

Bezpečnost SSH závisí také na dalších komponentách systému, jako je například Bash nebo standardní knihovna C. Na ně byly před časem předvedeny útoky jako ShellShock ze září 2014, POODLE z října 2014 a GHOST z ledna 2015. Pomocí nich je možné spouštět příkazy přes proměnné prostředí nebo dešifrovat zasílané zprávy. Naštěstí bylo možné tyto chyby poměrně rychle opravit, záleží však na správcích serverů a uživatelích, zda záplatují.

Kromě technických chyb jsou tu ale i problémy s lidským faktorem, který tu s námi je a vždy bude. Nejzajímavější jsou chyby vznikající mezi počítačem a židlí. Zmíněna byla například úprava SSH v Debianu, která poškozovala generátor klíčů, takže bylo možné vygenerovat jen asi 100 000 různých klíčů. Další problémy souvisí s tím, že uživatelé rádi ukládají své domovské adresáře na GitHub včetně souborů s privátními klíči. Stačilo tak použít vyhledávání a získali jste stovky privátních klíčů.

Jak se bránit?

Bránit je možné se ve třech různých oblastech: auditem kódu, úpravou programu v závislosti na současných trendech a implementací. V roce 2002 zavedlo OpenSSH privilege separation a sandboxing což jsou bezpečnostní postupy schopné zabránit předautentizačním útokům. Zneužívá se toho, že SSH server běží s právy roota, takže je ho možné teoreticky napadnout a získat v systému nejvyšší práva. Po zavedení zmíněných úprav už uživatel po síti komunikuje s neprivilegovaným procesem v sandboxu, který pak s SSHd komunikuje přes definované API. Vše ostatní má zakázáno, takže prakticky není možné jej zneužít k připojení do systému bez autentizace. Proces běží v prázdném chrootu, je obvykle přísně omezen limity a ještě často chráněn SELinuxem.

Z uživatelského hlediska je možné použít například fail2ban, který automaticky blokuje IP adresy, ze kterých přichází příliš mnoho požadavků na přihlášení. Na můj server se denně pokusí někdo připojit přibližně třistakrát. Dále je možné službu zcela utajit a zavřít pomocí firewallu. Poté je možné se autorizovat pomocí port knockingu či jednoho podepsaného UDP paketu, který pak otevře přednastaveným IP adresám patřičný přístupový port – využít je možné například program Fwknop. Má klienty pro všechny možné platformy včetně mobilních, takže si do mobilu nahrajete klíč a poté si můžete otevírat porty na serveru. Výhodou je, že útočník vůbec nevidí otevřený port SSH a není schopen na něj ani začít útočit.

skoleni

Důležité také je, aby uživatelé poctivě kontrolovali otisky veřejných klíčů u prvních spojení s novými servery. Eliminujeme tím riziko man-in-the-middle útoku, kdy by se útočník mohl vydávat za cizí server. Výhodou je, že klíč je nutné kontrolovat jen jednou, poté si jej klient zapamatuje a sám provádí další ověřování.

Podle Jakuba Jelena je SSH stále bezpečné, ale bezpečnost závisí na konkrétní implementaci. Největší slabina je stále v útoku hrubou silou. Dejte si pozor zejména na hesla. I když používáte přihlašování klíčem, pokud explicitně nezakážete přihlašování heslem, je stále možné hesla hádat a přes slabá se do systému přihlásit, uzavřel svou přednášku.

XOR DDOS Zmírňování a analýza

23.6.2015 Počítačový útok
XOR DDOS Trojan Trouble

Jsem bojoval za posledních posledních měsících s klienty prostředí nákazy a opakovaně napaden s XOR DDOS trojan. Narušení a reinfekcí sazby byly drahé občas. Klient v pochybnost je malá firma s omezenými zdroji. Vzhledem k tomu, že systém by si opakovaně napaden, návnadou systém byl nakonec dát na místo pro stanovení příchozí vektor. To nebylo prokázáno, ale věřil, že ssh hrubá síla byla příchozí vektor útoku. Jakmile útočník však na server, byla použita souprava kořenový trojský. Velmi inteligentní jeden. Velmi doporučuji, že někdo, že dostane chytili tento trojan, nebo jeden jako to přeinstalaci operačního systému co nejdříve, a vykonávat mé prevence kroky uvedeny níže. Nicméně, tam jsou některé okolnosti, které vyžadují zmírňování před dostupné zdroje můžete využít k přeinstalovat / výměnu a preventivní opatření. Klient se v situaci, kdy při systému offline, nebyla možnost bezprostřední. Umístil jsem některé opravdu skvělé spojení níže. [1] [2] [3] Oni recenze, analyzovat a plně potvrzují to, co jsme se setkali byl stejný. Tam byly některé drobné rozdíly. Nicméně, oni nikdy skutečně nabídli krátkou cestu termín zmírnění následovat. Jen někde v komentáři k fóru (případně jeden ze tří předmětů níže), to někdo něco navrhnout, aby změnit soubor / atributy adresář pomáhat při zmírňování. Byl to jen návrh bez dalšího sledování. Zmírnění tohoto trojan bylo obtížné, protože to bylo dost inteligentní, aby se vždy znovu, když to byl zabit, který zahrnoval pomoc od zápisů crontab každé tři minuty. Bylo také pozorováno spustitelný někdy byla skryta velmi dobře v tabulce procesu.

Základní MO
Oběť Server byl CentOS 6.5 systém se základní nastavení LAMP, který nabídl ssh a VSFTP služby. Iptables byl v použití, ale ne SELinux. Je to můj nevyzkoušený tvrzení, že SELinux pravděpodobně by zabránila této Trojan z zabydluje. Nejsem SELinux uživatel / expert, takže jsem byl schopen vzít čas a přidejte ji do tohoto prostředí. Původní malware byl objeven v /lib/libgcc4.so . Tento exe byl udržován pomocí cronu v / etc / crontab každé tři minuty. (* / 3 * * * * kořen /etc/cron.hourly/udev.sh) Pokud crontab dostane vyčištěna a spustitelný soubor je stále běží, pak crontab bude být repopulated v pátek večer kolem půlnoci. (Pamatujte, že někdy exe byla skryta dobře a byl přehlédnut) malware vytváří náhodný řetězec spouštěcí skripty a umístí je do /etc/init.d/* . Jediné, co potřebujete k provedení LS -lrt /etc/init.d/* objevit nějaký důkaz. Spolu s použitím horního nástroje, lze určit, kolik jsou spuštěny. V případě, že začínajícím jsou odstraněny, pak se vytvoří další spustitelné soubory a startovací skripty a začíná běžet také. Malware sám byl používán jako DDOS činidlo. Trvalo příkazy z C & C. IP adresy, že by komunikovat s byly k dispozici od strun výstupu spustitelného souboru. Když byl malware činidlo povoláni do akce, celý server a místní potrubí byl nasycen a následně odříznut od služby.

Zmírnění
Byla přijata následující kroky pro zmírnění. Jediná věc, která zabránila znovuvytvoření malwaru bylo použití chattr příkazu. Přidání neměnnou bit do /etc/init.d a / lib adresářů byly užitečné při prevenci malware z repopulating. Dal jsem dohromady následující scénář pro smyčky a dodal následující IP adresy IP tabulky klesnout veškerou komunikaci. Cyklus for se skládá z vyčištění čtyř běžících procesů. Použil jsem ls a top určit pro smyčky argumenty a PID je používaných v kill příkazu. I přes následující do skript s názvem runit.sh a popraven to. U smyčky: pro f v zyjuzaaame lcmowpgenr belmyowxlc aqewcdyppt dělat mv /etc/init.d/$f / tmp / DDoS / rm -f /etc/cron.hourly /udev.sh rm -f /var/run/udev.pid mv /lib/libgcc4.so /tmp/ddos/libgcc4.so.$f chattr -R + I / lib chattr -R + i / etc / init. d kill -9 19.897 19.890 19.888 19.891 udělal IP adresy k poklesu veškerý provoz: 103.25.9.228 103.25.9.229

Prevence
I teď udržet neměnnou bit nastavený na / lib na čistý systém. To jej vypnout před záplatování a software nainstaluje, v případě, / lib adresář je potřebné pro aktualizaci. Také jsem doporučujeme nainstalovat fail2ban a konfiguraci jej sledovat mnoho vašich služeb. Mám to v současné době sledování Apache logů, ssh, vsftp, webmail, atd. Je to opravdu vypadá, že bude bít značku pro prevenci. Tam je whitelist funkce ignorovat provoz z dané IP nebo rozsahu IP adres. To pomáhá udržet nepříjemné zákazníci od stávat kobylka. Pokud jste zažili něco podobného výše, pak neváhejte se podělit. Tato analýza je pouze poškrábání povrchu.

Quantum Insert attack

8.6.2015 Počítačový útok
Holandská společnost Fox-IT odhalila podrobné informace o kvantové Vložit útoku. "Je zvolena" HTML přesměrování "útok vstřikováním škodlivý obsah do určité relace TCP. Relace pro injekce na základě" selektory ", jako je trvalé sledování cookie, který identifikuje uživatele pro delší časové období."

Útok lze provést čichání požadavkem HTTP pak útočník bude falešnou si vytvořenou odpověď HTTP. Aby se řemeslu falešnou odpověď HTTP útočník by měl vědět následující:

Zdrojová a cílová IP adresa
Zdrojový a cílový port TCP
Pořadové číslo a potvrzení
Jakmile je paket falešnou spor dojde, pokud útočník vyhrát závod pak on / ona by odpověď na oběti se škodlivým obsahem, místo legitimního jeden.

Provedení Quantum Insert útok vyžaduje, aby útočník může sledovat provoz a mají velmi rychlou infrastrukturu, vyhrát závod podmínku.

Chcete-li zjistit Quantum Vložit bychom se měli podívat na následující:

Duplicitní pořadové číslo s dvěma různými náklad, protože útočník zfalšovat odpověď, oběť bude mít dva pakety se stejným pořadovým číslem, ale s různou užitečného zatížení.
TTL anomálie, Falešná pakety by ukazují jiný čas žít hodnotu, než skutečné pakety. TTL jiný může být legitimní vzhledem k povaze internetového provozu ale vzhledem k tomu, že útočník bude blíže k cíli vyhrát spor, které by mohly dát neobvyklé liší v TTL mezi legitimní pakety a podvodného jeden.
==========================================

http://blog.fox-it.com/2015/04/20/deep-dive-into-quantum-insert/

Stav Internet: Útok provozu, DDoS, IPv4 a IPv6
9.1.2014 Počítačový útok
Akamai dnes zveřejnila svou nejnovější stát internetu zprávy , která poskytuje vhled do klíčových globálních statistik, jako je rychlost připojení a širokopásmové technologie napříč pevných a mobilních sítí, celková útoku dopravy, globální 4K připravenost a vyčerpání IPv4 a IPv6 realizace. Útok provoz a bezpečnost Akamai udržuje distribuované sadu budoucnu nebyly propagovány agentů nasazených přes internet přihlásit připojení pokusů, že společnost označuje za útok provozu. Na základě údajů získaných těmito látkami základě Akamai je schopen identifikovat horní země, ze které napadají provoz pochází, stejně jako top porty jsou cílem těchto útoků. Je důležité poznamenat, že země původu, jak je stanoveno podle zdrojové IP adresu nemusí reprezentovat národ, ve kterém útočník nachází.

Ve třetím čtvrtletí roku 2014, Akamai pozorovat útoku provoz pocházející z 201 unikátních zemí / regionů, který byl výrazně vzrostla z 161 ve druhém čtvrtletí, a více v souladu s 194 vidět v prvním čtvrtletí. Jak se ukázalo v předchozích zprávách, nejvyšší koncentrace útoků (50%) pochází z Číny, je téměř třikrát vyšší než ve Spojených státech, který viděl pozorované provoz růst o přibližně 25% čtvrtletí více než čtvrtinu. Čína a Spojené státy byly jen dvě země, které pocházejí z více než 10% z pozorovaného globálního útoku provozu. Indonésie byla jedinou zemí, mezi top 10 pro zobrazení pozorovaného útok provozu pokles, pád z 15% celosvětového útoku provozu ve druhém čtvrtletí na 1,9% ve třetím, celková koncentrace pozorovaných útoku provozu ve třetím čtvrtletí mírně snížil, s top 10 zemí / regionů původní 82% pozorovaných útoků, oproti 84% v předchozím čtvrtletí. Kromě toho 64% z útoku dopravy pochází z asijsko-pacifickém regionu, dolů z 70% v loňském čtvrtletí, zatímco nejnižší objem (1%), pochází z Afriky. Objem pozorované provozu zaměřeného na porty 80 (HTTP / WWW), 443 (HTTPS / SSL) a 880 (HTTP Alternate), se výrazně snížil ve třetím čtvrtletí, přičemž všechny tři porty vidět zlomek objemu útoku jako v předchozích čtvrtletích. Port 23 zůstal nejoblíbenějším terčem útoků pozorovaných za pocházející z Číny, což představuje více než třikrát větší objem než port 80, druhý nejvíce napadl přístav v zemi. Hlášeny DDoS útok dopravní zákazníci Akamai hlášeno 270 DDoS útoky na druhé čtvrtletí v řadě. Celkově to představuje snížení o 4,5% útoků od začátku roku 2014 a pokles o 4% ve srovnání se třetím čtvrtletím roku 2013.

Na rozdíl od zprávě druhého čtvrtletí, počet útoků klesl v obou Amerik, s 142 útoků, a v regionu EMEA, s 44 útoků. Nicméně, počet útoků v asijsko-tichomořské oblasti vzrostly o 25% oproti předchozímu čtvrtletí 84. distribuce průmyslu nezměnil ve srovnání s předchozím čtvrtletím; obchod, podnikání, high tech, média a zábavu, a veřejný sektor všichni viděli stejný počet útoků, jako v předchozím čtvrtletí, a to i přesto, že skutečné cíle těchto útoků změnil. Ve srovnání se stejným čtvrtletím roku 2013, podnikových útoky klesly o více než třetinu z 127 na 80. Současně, útoky proti high-tech společností, které ztrojnásobil 14-42. Akamai došlo ke zvýšení počtu opakovaných útoků proti stejný cíl ve třetím čtvrtletí, se vracet k 25% šanci na pozdější útoku, jehož cílem stejné organizaci. To představuje pokles unikátních cíle z 184 ve druhém čtvrtletí na 174 ve třetím. IPv4 a IPv6 ve třetím čtvrtletí roku 2014, více než 790.000.000 IPv4 adres připojených k Intelligent Platform Akamai z více než 246 unikátních zemích / oblastech. Globální Počet unikátních IPv4 adres dělat požadavky na Akamai vzrostl o téměř dva miliony čtvrt-over-čtvrtletí nominální nárůst po ztrátě sedmi milionů v druhém čtvrtletí. Podíváme-li se na top 10 zemí ve třetím čtvrtletí, jedinečný počet IP ve Spojených státech viděl malou zisk zhruba 20.000 adres. Kromě Spojených států, Brazílie, Francie a Rusko viděl nominální nárůst unikátních adres IPv4 se počítá, zatímco zbývajících šest zemí viděl jedinečný IPv4 adresa počty mírně klesat od druhého čtvrtletí. Padesát osm procent zemí viděl čtvrtletí oproti čtvrtletí nárůst unikátních adres IPv4 se počítá, s 28 zemích / oblastech rostou o 10% a více. Cable and Wireless poskytovatelé i nadále řídit počet IPv6 žádosti podané k Akamai, mnoho které vede cesta k zavádění IPv6 ve svých zemích. Verizon Wireless a Brutélé viděl více než polovina jejich požadavků na Akamai vyrobený přes IPv6, s Telenet blízko za sebou.

Skandinávské banky hit s DDoS útoky
6.1.2014 Počítačový útok
Nový rok začal špatně pro finský bankovní OP Pohjola Group a jejími zákazníky: poslední bylo zabráněno realizaci svých on-line bankovní transakce pomocí DDoS útoku, která se zaměřovala na služby banky on-line začíná v poslední den roku 2014, "služby OP objevily určité problémy Na Silvestra kvůli datových komunikačních výpadků. Tyto výpadky byly způsobeny denial-of-služeb útoku. Útok zaplavila datové komunikační systémy OP a zabránit bankovnictví zákazníků. Během přerušení, on-line služby jsou k dispozici, a výběry hotovosti nemohl být vyrobeny z bankomatů. Tam byl také některé obtíže při platbách kartou, "banka sdílené na druhý den útoku. "Výpadek byl zjištěn na asi 16,30 na Silvestra, začal znovu fungovat v době Služby a byly zcela obnoven a zákazníkům k dispozici po půlnoci. Nicméně další narušení jsou možné, protože byla přijata nápravná opatření jsou stále probíhají a úroveň zabezpečení datového provozu byla vznesena v současné době. Zákazníci v zahraničí, přesto mohou mít potíže s přihlášením do služby OP pro on-line ". Útok je stále probíhá, a služby OP byli ne jediný cíl . Finská divize banky Nordea a dánský Danske Bank zažila i on-line služby zpomalení nebo narušení. Zatímco ten druhý je ještě aby se vyjádřil k otázce, Nordea potvrdil, že se stávají terčem neznámých DDoS útočníky a volali policii, aby prošetřila, příčinou útoku je stále neznámý, říkali. Zákazníci Nordea byly stále moci používat on-line bankovnictví, ale služba byla zpomaluje. Zákazníci OP Pohjola Group, na druhé straně, nemohli využívat službu zcela po mnoho hodin, během posledních šesti dnů, protože v bance podařilo obnovit občas. Ty, spolu s jeho servisní společnost Tieto, spolupracujeme s úřady a vyšetřování útoku. Do té doby, banka zřídila několik telefonních služeb, které mohou být použity zákazníci, kteří nemají přístup k jejich on-line služby a mají naléhavou bankovnictví. Oni se také zavázali kompenzovat zákazníkům žádné poplatky, které mnozí z nich vzniklé a škody, které mohou mít utrpěly v důsledku jejich neschopnosti přístup ke službám banky on-line během útoku.

Počet kybernetických útoků na maloobchodníky klesne o polovinu
6.1.2014 Počítačový útok
Přes 50 procent poklesu počtu útoků proti maloobchodníků v USA, počet záznamů ukradených z nich zůstává blízko rekordních maximech. Výzkumníci IBM zabezpečení uvádějí, že v roce 2014, kybernetické útočníci ještě podařilo ukrást více než 61 milionů záznamů z prodejců i přes pokles počtu útoků, což dokazuje zvyšující se složitosti Kyberzločinci a efektivitu.

"Hrozba ze strany organizovaných kroužků počítačové kriminality zůstává největší bezpečnostní výzvou pro maloobchodníky," řekl Kris Lovejoy, generální ředitel IBM Security Services. "Je nezbytné, aby vedoucí do cenných papírů a CISO zejména, používat jejich rostoucí vliv, aby bylo zajištěno, že mají ty správné lidi, procesy a technologie na místě, aby se na tyto rostoucí hrozby." Černý pátek a kybernetické pondělí fotoaparát Cyber ​​útočníci snížila svou činnost ve všech odvětvích na Černý pátek a Cyber ​​pondělí , spíše než přijetí opatření. Při pohledu na dvou týdnů (listopad 24 - 5.prosince) kolem těchto dnech údaje ukazují na následující aktivitu napříč všemi odvětvími:

Počet denních kybernetických útoků bylo 3043, téměř o třetinu nižší, než je průměr 4200 v tomto období v roce 2013.
Od roku 2013 a 2014, se počet porušení klesl o více než 50 procent na Černý pátek a Cyber ​​pondělí.
V roce 2013 bylo více než 20 porušení zveřejněny, včetně několika velkých narušení, které způsobily počet záznamů ohrožení roste drasticky, dosahující téměř 4 miliony.
Za stejné období v roce 2014, 10 porušení bylo popsáno, které mělo za následek jen něco málo přes 72.000 záznamů dostat ohrožena.
Přesto cyber hrozba zpomalit, maloobchodní a velkoobchodní průmyslu se jeví jako nejvyšší průmyslu cíl pro útočníky v roce 2014, což je potenciální výsledek vlny nedávných vysokých profilových incidentů, které mají dopad značkových prodejců. Za dva roky před, výroba řadí na první místo mezi top pěti zaútočili průmyslu, zatímco maloobchodní a velkoobchodní průmyslu na posledním místě. Minulý rok, primární způsob útoku byl neoprávněný přístup a konkrétněji Secure Shell Brute Force útoky, které vysoce převyšoval škodlivý kód, nejlepší volba v roce 2012 a 2013. Nahoru porušení zastíní rostoucí trend Útočníci zajištěna více než 61 milionů záznamů v roce 2014, se z téměř 73 milionů v roce 2013. Nicméně, když se data zúžen pouze o událostech, které se týkají méně než 10 milionů záznamů (což Vyloučí prvních dvou útocích nad tomto časovém rámci, Target Corporation a Home Depot ), údaje ukazují jiný příběh:, počet maloobchodních záznamů ohrožení v roce 2014 zvýšil o více než 43 procent více než 2013 sofistikované metody útoku sice došlo nárůst počtu Point of Sale (POS) malware útoky, drtivá většina incidentů zaměřených na maloobchodní sektor podílí Command Injection nebo SQL injection, složitost SQL nasazení a nedostatek potvrzení údajů provádějí správci zabezpečení z retailové databází primární cíl. Přes 2014, tato metoda Command Injection byla použita v téměř 6000 útoků proti prodejců. Mezi další metody patří Shellshock stejně jako POS malwaru, jako jsou BlackPOS, Dexter, vSkimmer, Alina a Citadela.

Odd nový ssh skenování, případně pro D-Link zařízení
12.12.2014 POčítačový útok
Všiml jsem si to ve svých vlastních logů přes noc, a také měl několik čtenářů (oba s názvem Peter) Zpráva z nějakého zvláštního nové ssh skenování přes noc. Skenování zahrnuje mnoho míst, které by mohly botnet, pokoušet se ssh se jako 3 uživatelů, D-Link, admin a ftpuser. Vzhledem k první z těchto uživatelských jmen, mám podezření, že jsou cílení nesprávně nakonfigurovány D-Link routery nebo jiné zařízení, které mají nějaký výchozí heslo. Systém, který mám doma nebyla spuštěna Kippo, takže jsem se nedostal hesla, které byly hádat, a nebyl schopen vidět, co by mohli dělat, pokud se jim podaří ssh-ing. Pokud někdo tam má víc informace o tom, co přesně se cílení, dejte nám prosím vědět e-mailem, přes kontaktní stránku nebo komentovat tento příspěvek. Pokusím se překonfigurovat pár Kippo honeypots aby zjistil, jestli můžu zachytit padouchy tam a tento post později může aktualizovat.

POODLE útok teď cílení TLS
9.12.2014 POčítačový útok
Je tu nový SSL / TLS problém se dnes oznámila, a je pravděpodobné, že vliv na některé z nejpopulárnějších internetových stránek na světě, která vlastní velké části k popularitě F5 rozložení zátěže a ke skutečnosti, že tato zařízení mají vliv. Existují i další známá zařízení mohla být ovlivněna, a je možné, že stejný chyba je přítomen v některých SSL / TLS komíny. Dozvíme se více v následujících dnech. Chcete-li přestat číst tady, tyto kroky: 1.. Zkontrolujte, zda vaše webové stránky pomocí testu SSL Labs . 2. Pokud je zranitelný, použijte opravu poskytované vaším dodavatelem. Jako problém jít, tohle by mělo být snadné opravit. Dnešní oznámení je vlastně o pudla útoku ( zveřejněné před dvěma měsíci , v říjnu), repurposed k útoku TLS. Pokud si vzpomínáte, SSL 3 nevyžaduje její padding být v konkrétní podobě (s výjimkou posledního byte, délka), otevírá se k útokům ze strany aktivních síťových útočníků. Nicméně, i když TLS je velmi přísný o tom, jak je jeho čalounění formátován, se ukazuje, že některé implementace TLS zapomenout zkontrolovat strukturu odsazení po dešifrování. Tyto implementace jsou citlivé na pudla útoku dokonce s TLS. Dopad tohoto problému je podobná jako u pudla, se útok je něco snazší provést, není třeba downgrade moderní klienty až do SSL 3 první, TLS 1.2 bude dělat v pořádku. Hlavním cílem jsou prohlížeče, protože útočník vložení škodlivého JavaScript zahájit útok. Úspěšný útok bude používat asi 256 žádostí o odhalit jeden cookie znak, nebo pouze 4096 žádostí o 16 znaků cookie. To je útok velmi praktické. Podle našich nejnovějších SSL Pulse skenování (které nebylo dosud nezveřejněné), asi 10% serverů jsou citlivé na pudla útoku proti TLS. Autor: Ivan Ristić, ředitel inženýrství na Qualys

DDoS útoky nadále klesat ve velikosti a frekvence
3.12.2014 Počítačový útok
Nejnovější up-and-nadcházející země původu, pro DDoS útoky budou Vietnam, Indii a Indonésii v roce 2015, v závislosti na Black Lotus. I když tyto země nemají potřebnou šířku pásma zahájit masivní DDoS útoky, objem ohrožení koncového bodu zařízení, jako jsou mobilní telefony, aby byly hlavními zdroji nových botnetů. Čína na špičce seznamu předních zdrojů DDoS útoků ve 3. čtvrtletí 2014, následované Spojenými státy a Ruskem.

Tým zmírnění Black Lotus očekává, že útočníci budou i nadále uchylovat k non-zesílení útoků, pokud není k dispozici dostatek zranitelné systémy k dispozici pro využití metod odrazem, a oni očekávají nárůst mobilních DDoS útoky a rychle se rozvíjející země zvýšit využití smartphone účastníka, IT manažeři a bezpečnostní týmy se budou muset přizpůsobit strategie na rukojeť cílené, multi-vektorové útoky zmařit výpadků spíše než objemových metod, při přípravě na rostoucí objem paketů, které mohou nasycení své stávající DDoS ochranná opatření. Největší bit Objem DDoS útok pozorovány během sestavy bylo 15,2 Gbps 3. září, výrazný pokles v objemu od začátku roku 2014, vzhledem k NTP a jiné typy zesílení útoků stále obtížnější provést bez dostatečných NTP zranitelnosti. Spíše než používat objemové útoky přemoci servery, organizace by měly mít na pozoru před cyber útočníci zaměřují zásadní porty zmařit legitimní provoz nedosahují pro on-line cílů. 73 procent z 201.721 útoků zaznamenaných v průběhu 3. čtvrtletí 2014 byly považovány za závažné, z nichž téměř polovina byla SYN flood útoky a 15 procent cílené webové servery (HTTP) a název domény služby ( DNS). Průměrný útok v průběhu období, na které bylo 3,2 Gbps, trvalý nárůst v bitovém objemu a 1,0 milionů paketů za sekundu (MPPS), pokračující pokles objemu paketu od posledního čtvrtletí. To naznačuje změnu metod útoku ze strany velkých objemových útoky ze sítě až po složité útoky pomocí více vektorů, s oběma vrstev útoky aplikací a SYN flood útoky smíchány dohromady, což znamená, bezpečnostní odborníci budou muset využít zmírnění inteligentní DDoS spíše než rozpočtování navíc šířku pásma sítě. "DDoS útoky i nadále klesat ve velikosti a četnosti v roce 2014, což je snazší pro řádu jednoho dopravce sítě s nadměrnou kapacitou, ale přesto složité řídit organizací s menší šířkou pásma," řekl Shawn Marck, ČSÚ Black Lotus. "Rozšířený vzdělávání způsobů, jak zmařit NTP způsobila útočníkům se uchýlit na pravý a vyzkoušený směsi SYN flood a aplikací útoky vrstev, které jsou velmi obtížně zmírnit pomocí běžného síťového hardwaru, protože tyto typy se zaměřují na stejný port potřebné sloužit legitimní uživatele.

Bash Shellshock chyba: Více útoků, více záplat
8.10.2014 Počítačový útok
Jako prodejci tahanice o vydání patche pro GNU Bash Shellshock chyby a firmy spěchat k jejich provedení, útočníci po celém světě Snímací systémy pro díry se otevře. Počáteční útoky zaměřené na vytváření DDoS botnety řízené přes IRC byly následoval průzkum pokusy v Brazílii a Číně , kde se IP adresy různých institucí (včetně finanční), které byly zkoumány, a poté, co zjistil citlivé na chyby, útočníci "zeptala se" cílové servery pro informace, jako například typ a verzi operačního systému, typ stroje, typ procesoru, atd Předpokládá se, že útočníci se shromažďování informací, které se vám bude hodit pro stahování budoucím útokům. Cisco Systems vydala informační zpravodaj , že vlajky mnoho svých síťových produktů jsou zranitelné, a upozorňuje uživatele vůči aktualizací softwaru opravit chybu. Mají také IPS a Snort podpisy, které dokáže detekovat a blokovat útoky na síťové úrovni, jejichž cílem je zneužití této chyby. Oracle vydala bezpečnostní upozornění s podrobnostmi, které z jejích produktů jsou zranitelné a které ne, a za předpokladu, patche pro malý počet ně. "Oracle se stále vyšetřuje tento problém a bude poskytovat opravy poškozeného výrobku, jakmile byly plně testovány a rozhodl se poskytnout účinné zmírnění proti zranitelnosti," všimli si, a dodal, že uživatelé by měli pravidelně kontrolovat aktualizace. To je také možné, že společnosti jsou zpoždění opravy, dokud všechny otázky týkající se chyby mohou být řešeny. Red Hat bezpečnostní inženýr Huzaifa Sidhpurwala nabídl nějakou představu v tom, jak byla zjištěna jejich první náplast chtějí-li další otázky se vynořily brzy po, a jak šli o vydání druhého opravu. Chet Ramey , aktuální GNU Bash, který oznámil o víkendu, že nový patch, kterým se stanoví jak CVE-2014-7169 a CVE-2014-7169 byl zpřístupněn. Náplast v otázce byl vyvinut Red Hat bezpečnostní produkt výzkumníka Florian Weimer, a to také řeší dva další problémy (CVE-2014-6277 a CVE-2014 - 6278), které by mohly vést ke vzdálenému vykořisťování. Konečně, tady je dobrá proti zápisu up podle SANS ISC CTU Johannes Ullrich, který naléhá na administrátory hlouběji a propojovací systémy, které mohou mít vynechal v jejich počátečním pohybem.

Velkoobjemové DDoS útoky na vzestupu
1.10.2014 Počítačový útok
Pokračující trend DDoS útoky jsou krátké trvání a často opakuje. Současně, velkoobjemové a high-rychlost DDoS útoky jsou na vzestupu v první polovině roku 2014, v souladu s NSFOCUS.

Útoky nadále krátké trvání s opakovaným frekvence: Více než 90 procent útoků zjištěných trvala méně než 30 minut. Tento pokračující trend naznačuje, že webové stránky latence citlivé, jako je například on-line hraní her, eCommerce a hostingové služby by měly být připraveny na implementaci bezpečnostních řešení , která podporují rychlou reakci. High-rychlost, high-objem útoků zvýšil: objem DDoS byl provoz až celkově se třetina vrcholit u přes 500Mbps a více než pět procent dosahující až 4Gbps. Kromě toho, výsledky ukázaly, že více než 50% DDoS útoky byly nad 0.2Mpps v první polovině roku 2014, se zvýšil z přibližně 16%. A více než 2% DDoS útoků byla zahájena ve výši přes 3.2Mpps. Tři nejlepší DDoS metody útoku odhalila: HTTP Flood, TCP Flood a DNS Flood byly první tři typy útoku, společně tvoří 84,6 procent všech útoků. DNS Flood útoky držel své místo jako nejpopulárnější metody útoku, což představuje 42 procent všech útoků. Zatímco počet DNS a HTTP Flood útoků se snížil, TCP Flood útoky výrazně vzrostly. Zvýšení poskytovateli internetových služeb, podniků a on-line herní cíle: . útoků na poskytovatele internetových služeb se zvýšil o 87,2 procenta, podniky od 100,5 procenta a on-line hraní her o 60 procent Nejdelší, největší a nejvyšší frekvence útoků: Nejdelší jeden útok trval devět dnů a 11 hodin, nebo 228 hodin, přičemž jeden největší útok v rámci paketů za sekundu (pps), zasáhla v objemu 23 milionů pps. Více než 42 procent obětí útoku byly zaměřeny několikrát, zatímco jeden z každých 40 obětí byl opakovaně zasažen více než 10 krát. Nejvyšší frekvence útoků zažil jedinou obětí bylo 68 samostatných DDoS útoky . Ameen Pishdadi , zakladatel vůdce ochrany DDoS GigeNET , komentáře:. "Nejoblíbenější útoky vidíme, jsou odrazem DNS a NTP NTP byla obrovská na začátku roku a byly podstatně větší než normální, teď, že chyba NTP byl zapojený a čas pryč, že už servery byly oprava objemu velikosti a frekvence se snížila výrazně. " Výsledky statistické analýzy a hlavních připomínek jsou založeny na údajích z aktuální incidentů DDoS útoků, ke kterým došlo v průběhu první poloviny roku 2014 byly shromážděny údaje z kombinace globálních společností, poskytovatelů internetových služeb, regionálních telekomunikačních operátorů a internetových hosting společnosti. Srovnání jsou založeny na 1H2014 ve srovnání s 2H2013.

Web Scan hledá /info/whitelist.pac
19.9.2014 Počítačový útok
Nathan dnes oznámila, že byl vidět nový trend webového skenování na jeho webových serverů, kteří hledají /info/whitelist.pac. Skenování, kterou pozoroval je přes SSL. On byl pozoroval tuto činnost od 22.srpna

[22 / srpen / 2014: 18: 55: 32 -0500] xx.12.93.178 GET /info/whitelist.pac HTTP / 1.1 Mozilla / 4.0 (compatible; MSIE 7.0, Windows NT 5.1)
[...]
[14 / září / 2014: 11: 10: 05 -0500] xx.216.137.7 GET /info/whitelist.pac HTTP / 1.1 Mozilla / 4.0 (compatible; MSIE 7.0, Windows NT 5.1)
[14 / září / 2014: 13: 16:19 -0500] xx.174.190.254 GET /info/whitelist.pac HTTP / 1.1 Mozilla / 4.0 (compatible; MSIE 7.0, Windows NT 5.1)
[14 / září / 2014: 14: 03: 48 -0500] xx .252.188.49 GET /info/whitelist.pac HTTP / 1.1 Mozilla / 4.0 (compatible; MSIE 7.0, Windows NT 5.1)
[14 / září / 2014: 17: 10: 40 -0500] xx.17.199.47 GET / info /whitelist.pac HTTP / 1.1 Mozilla / 4.0 (compatible; MSIE 7.0, Windows NT 5.1)
[14 / září / 2014: 21: 10: 26 -0500] xx.13.136.13 GET /info/whitelist.pac HTTP / 1.1 Mozilla / 4.0 (compatible; MSIE 7.0, Windows NT 5.1)
[16 / září / 2014: 06: 30: 15 -0500] xx.10.51.74 GET /info/whitelist.pac HTTP / 1.1 Mozilla / 4.0 (compatible; MSIE 7.0, Windows NT 5.1)
[16 / září / 2014: 14: 03: 54 -0500] xx.240.174.203 GET /info/whitelist.pac HTTP / 1.1 Mozilla / 4.0 (compatible; MSIE 7.0; Windows NT 5.1)

Je ještě někdo viděl podobnou činnost proti jejich webových serverů?

Google DNS server IP Adresa podvodné SNMP reflexní útoky
16.9.2014 Počítačový útok
Dostáváme nějaké zprávy o tom, SNMP, prověřování, která tvrdí, že pochází z 8.8.8.8 (veřejné rekurzivní DNS server společnosti Google). Toto je pravděpodobně součástí pokusu spustit DDoS proti Google pomocí SNMP jako zesilovače / reflektoru.

Prosím, dejte nám vědět, pokud vidíte některý z paketu. Zdrojová adresa IP by měla být 8.8.8.8 a cílový port by měl být 161 UDP. Například v tcpdump:

tcpdump -s0 -w / tmp / googlensmp dst port 161 a src hostitel 8.8.8.8

Díky Jamese zasláním šňupat záznam vyvolaný tímto:

15.září 11:07:07 uzel šňupat [25421]: [1: 2.018.568: 1] ET CURRENT_EVENTS Možná příchozí SNMP Router DoS (TTL 1) [Klasifikace: Pokus Denial of Service] [Priorita: 2] {UDP} 8.8.8.8 : 47074 -> xx251.62: 161

Zatím to nevypadá jako službu DNS serveru Google je degradován.

Web-based útoku zaměřeného na domácí směrovače, brazilský způsob
15.9.2014 Počítačové útoky

Všiml jsme zajímavý útok z brazilských padouchy, jejichž cílem je změnit nastavení DNS domácích směrovačů pomocí web-based útok, nějakou sociální inženýrství, a škodlivé webové stránky. V těchto útoků jsou škodlivé DNS servery konfigurované v síťovém zařízení uživatele jsou zaměřeny na phishingové stránky brazilských bank, naprogramované ukrást finanční údaje.

Útoky zaměřené na domácí routery jsou vůbec nové; v roce 2011, moje kolegyně Marta popsáno Malware Network zaměřovací přístroje, jako jsou tyto. V Brazílii jsme zaznamenali dlouhou a bolestivou sérii vzdálených útoků, které byly zahájeny v roce 2011-2012, která ovlivnila více než 4,5 milionu DSL modemy , využívající dálkové zranitelnost a měnící se konfigurace DNS. Ale tento "web-based" přístup byl něco nového brazilského Bad kluci do teď a my věříme, že se rychle rozšířila mezi nimi i počet obětí zvyšuje.

Útok začíná s nebezpečným e-mailu a trochou sociálního inženýrství, Vás zve na tlačítko:

2014-09-02 02-00-26 Screenshot

"Jsem tvůj přítel a chci vám říct, že jste byli podvedeni, podívejte se na fotky"

Kolik lidí věří, že v něm? No, mnoho: 3,300 kliknutí na 3 dny, u většiny uživatelů se nachází v Brazílii, USA a Číny, pravděpodobně Brazilců, kteří tam žijí, nebo lidi, kteří rozumí portugalsky:

2014-09-02 02-42-09 Screenshot

Zkrácené URL jsou levný způsob, jak pro padouch měřit jejich "výkon"

Webové stránky spojené ve zprávě je plný obsah pro dospělé, porno fotky. Zatímco v pozadí začne spouštět skripty. V závislosti na konfiguraci, v určitém okamžiku webové stránky mohou požádat o uživatelské jméno a heslo vašeho bezdrátového přístupového bodu - pokud ano, je to dobrá věc. Pokud tomu tak není, může to být problém pro vás:

Webové stránky

Skript se nachází na webových stránkách se snažit uhodnout heslo vašeho domácího routeru. Snaží několik kombinací, jako je "admin: admin":

2014-09-02 03-26-31 Screenshot

nebo "root: root"

kořen

nebo "admin: gvt12345" (GVT je velký brazilský ISP):

2014-09-02 03-28-12 Screenshot

Skripty budou i nadále snažit kombinace, které odkazují na ovládacím panelu síťového zařízení, jako je [váš směrovače IP]. rebootinfo.cgi nebo [vaše směrovače IP]. dnscfg.cgi ?. Každý skript obsahuje příkazy pro změnu primárního a sekundárního serveru DNS . Pokud používáte výchozí pověření ve vašem domovském routeru, nebude existovat interakce a nikdy si uvědomit, že došlo k útoku. Pokud nepoužíváte výchozí pověření, pak webové stránky a objeví se výzva s dotazem, zadejte jej ručně.

2014-09-02 03-42-38 Screenshot

Zjistili jsme, brazilské zločinci aktivně používá 5 domén a 9 DNS servery - to vše z nich hosting phishingových stránek pro největší brazilské bank. Mezi škodlivé webové stránky používané při útocích filtrování přímý přístup pomocí HTTP odkazovačů, tedy s cílem, aby se zabránilo přímý přístup z bezpečnostních analytiků.

Tak jak se chránit? Ujistěte se, že nepoužíváte výchozí heslo domácí router a NIKDY zadání pověření do libovolné webové stránky, která žádá pro ně. Naše Kaspersky Internet Security je připraven, aby se automaticky blokovat takové skripty.

Odd Trvalé Heslo Bruteforcing

8.9.2014 Počítačový útok
To není nic nového, ale myslím, že to je často přehlížena, "pomalu a nízko" heslo brutální nutit.

Jeden z denních zpráv se mi líbí na pohled je heslo pokusy hrubou silou. více či méně "na věčné časy", pár sítí držet v těchto denních zpráv. Pokusy síly hesla hrubou nejsou nijak zvlášť agresivní, se obvykle méně než 10 pokusů za den z konkrétní IP adresy. Další zvláštní věc je, že účetní závěrka je brutální nuceni neexistují, což zvracet zaměření na "@ hotmail.com" účtů.

Zdaleka nejvíce agresivní síť 193.201.224.0/22,"Besthosting "na Ukrajině, po němž následuje jiné sítě Ukraining, 91.207.7.0/24 (Steephost).

Prvních brute nucené domény:

gmail.com
outlook.com
zfymail.com <- Tato doména je spojeno s mnoha roboty / spamových zpráv.
hotmail.com

V úmyslu, není zcela jasné, jak účty neexistují, a pokusy nejsou příliš agresivní (snad aby se zabránilo dostat uzamčen?).

Každý, kdo sleduje podobné útoky a schopni zjistit, co jsou po?

Netflix otevřených zdrojů nástroje pro detekci plánované útoky
3.9.2014 Počítačový útok
Tvorba svému slovu, aby open source mnoho ze svých interně vyvinutých nástrojů a knihoven, Netflix vydala tři nové nástroje, které umožňují bezpečnostní týmy dávat pozor na jednání založené na Internetu týkající se možných útoků proti infrastruktuře své organizace, ať už je to DDoS útoky nebo jakýkoliv jiný druh.

Nástroje jsou pojmenovány Scumblr, útržkovité a Workflowable. Scumblr je aplikace, která vlečné sítě na webu pro příspěvky a diskuse, které se zmiňují o útoky nebo jiný obsah zájmů. "Scumblr obsahuje sadu vestavěných knihoven, které umožňují vytváření vyhledá běžných lokalit, jako je Google, Facebook a Twitter. Pro ​​jiné stránky, je snadné vytvořit pluginy pro výkon cílené vyhledávání a vrátí výsledky, "Andy Hoernecke a Scott Behrens z bezpečnostního týmu Netflix Cloud sdíleny v pondělí. "Jakmile budete mít nastavení Scumblr, můžete spustit vyhledávání ručně nebo automaticky na opakujícím se základě." Scumblr používá Workflowable nastavit pracovní postupy spouštěné rozdílnou povahou výsledků vyhledávání, automatizaci - alespoň částečně - reakce obránce. Sketchy může být také integrován s Scumblr. Jejím cílem je, aby se automaticky pořizovat snímky obrazovky nalezených rozhovorů a prohlášení, oškrábejte text a uložit HTML tak, aby iv případě, že to všechno dostane odstraněny včas, screenshoty zůstávají jako důkaz, a bezpečnostní analytici si prohlédnout výsledky Scumblr bez nutnosti návštěvy potenciálně škodlivé weby přímo. Pro ​​více informací o nástrojích a odkazy na stažení stránky, podívejte se na týmu Netflix příspěvek .

70% financí apps citlivé na vstupní validaci útoky
3.9.2014 Počítačový útok
Rostoucí počet narušení dat a bezpečnostní incidenty mohou být přímo spojeny s nízkou kvalitou kódu, podle CAST.

Data odhaluje financí a maloobchodu aplikace jsou nejvíce náchylné k narušení dat , 70 procent z maloobchodní a 69 procent žádostí o finanční služby prokázáno, že vstupní údaje porušování ověření. To je zejména pokud jde o, s ohledem na množství osobních a finančních údajů o zákaznících často drženy v aplikací v těchto odvětvích. CAST EVP Lev Lesokhin který vedl analýza bezpečnosti řekl: "Tak dlouho, jak to organizace obětovat kvalitu softwaru a zabezpečení, v zájmu splnění nereálné plány, můžeme očekávat, že více vysoce postavených útoky, které vedou k expozici a využívání citlivých dat zákazníků. Podniků, které zpracovávají zákazníka finanční údaje mají odpovědnost za zlepšování kvality softwaru a snížit nerozhoduje jen chránit své podnikání operačního rizika jejich aplikace, ale nakonec své zákazníky. " validace vstupu dostal velkou pozornost v letošním roce díky Heartbleed chyba , která vystavena více než 60 procent serverů na internetu je k vniknutí z důvodu nesprávného ověření vstupu v podobě chybějících hranic zkontrolovat realizaci rozšíření TLS srdce. Od 21.června 2014, odhaduje se, že 309.197 veřejné webové servery stále zůstal zranitelný. Kromě toho nedávná zpráva ukázala, že vstupní validace útoky byly využívány v 80 procentech útoků proti aplikací loni v maloobchodě sami - s možná největší obětí je rekordní eBay porušení dat , což má za následek hackeři získat přístup k více než 145 milionů . Záznamy uživatelů a federální vyšetřování CAST také zjistili, že - na rozdíl od veřejného mínění - vláda IT měl nejvyšší procento aplikací bez jakýchkoliv porušení vstupní validace (61 procent), zatímco nezávislí dodavatelé softwaru přišel v mrtvém poslední (12 procent bez porušení). Ještě překvapivější, údaje ukazují, že odvětví finančních služeb má nejvyšší počet překročení vstupní validace na použití (224), i když jejich aplikací v průměru, jsou jen z poloviny tak složitého, jako největší aplikace naskenovaného.

1900 / UDP (SSDP) Skenování a DDOS

1.9.2014 Počítačový útok

V posledních několika týdnech jsme zjistili významný nárůst jak skenování pro 1900 / UDP a obrovský nárůst 1900 / UDP se používá pro zvýšení výkonu reflexní DDOS útoky. 1900 / UDP je jednoduchý Service Discovery Protocol (SSDP), který je součástí Universal Plug and Play (UPnP). Omezené informace, které mám k dispozici vyplývá, že většina zařízení, které jsou používány v těchto DDOS útoky jsou Dlink směrovače a dalších zařízení, s největší pravděpodobností unpatched nebo unpatchable a citlivé na UPnP chyb oznámených HD Moore v lednu 2013 .

Ve stejném intervalu, jsme také zaznamenali výrazný pokles Network Time Protocol (NTP) na základě DDOS. Velkou otázkou v mé mysli je důvod, proč se útočníci rozhodli přejít z NTP, který má maximální zesílení faktor 600 plus, na SSDP, která má zesilovací faktor cca 30. Pokud někdo má nějaké další informace na toto téma, nebo dokonce ještě lépe, balíček zachycuje z jedním z prostředků, které jsou používány jako reflektor, prosím, dejte mi vědět!

Sony PSN zpět do režimu online po DDoS útoku
29.8.2014 Počítačový útok
Sony PlayStation Network byl zasažen a sestřelil velkým DDoS útoku o tomto víkendu, ale je nyní zpět online fungování, jak by měl. "Stejně jako dalších významných sítí po celém světě, PlayStation Network a Sony Entertainment Network byly ovlivněny snahou přemoci naši síť s uměle vysokou návštěvností, "společnost vysvětlil na svém blogu v neděli. "I když to má vliv na schopnost přístupu do naší sítě a užívat si naše služby, žádné osobní informace byly přístupné." Později ten den, kdy vysvětloval, že vzali dvě sítě v režimu offline kvůli útoku DDoS, a potvrdil, že "neexistuje žádný důkaz jakékoliv vniknutí do sítě a bez známek jakéhokoliv neoprávněného přístupu k osobním údajům uživatelů. " Zpočátku, skupina hackerů, která calles se Lizard Squad převzal odpovědnost za útok, naznačuje, že síť Microsoft Xbox Live byl také napaden. Tvrdili, že útok byl vzhledem k tomu, že Sony není utrácet peníze vydělané od uživatelů PSN ke zlepšení služeb, a že útok byl způsob, jak protestovat bombové útoky zaměřené proti ISIS. Nakonec tvrdil, že to tam bylo bomba nastoupit do komerční let nesoucí Sony Online Entertainment prezident John Smedley do Dallasu do San Diega. Let byl odkloněn do Phoenixu a FBI zapojil a začal vyšetřování. Mezitím, další hacker - známý na Twitteru jako Fame - tvrdil, že provedl útok:

Poslal důkaz, že byl za útokem a videa s vysvětlením, jak se provádí to. Kromě toho, že zveřejnil údajné IP adresy členů Lizard Squad je. Tvrdí, že provedl útok s využitím citlivých NTP servery - co z nich zbylo ., přesto jeho motivace k útoku je zřejmě stejná jako ta, kterou tvrdí původně od Lizard Squad: on nesnáší Sony laxní bezpečnostní opatření a chamtivost.

Útočníci zneužívají službu Amazon Elastic Search k útokům DDoS

30.7.2014 Počítačový útok
Kyberzločinci zneužívají zranitelnost v softwaru Elastic Search k instalaci červů na servery Amazonu a další cloudové servery, které mohou sloužit k útokům typu DDoS. Elastic Search je velmi populární open-sourcové vyhledávací rozhraní napsané v Javě, které aplikacím umožňuje provádět fulltextové vyhledávání různých typů dokumentů pomocí rozhraní REST API (Representational State Transfer). Elastic Search se často využívá v cloudových prostředích, jako je třeba u Amazon Elastic Compute Cloud (EC2), Microsoft Azure, Google Compute Engine a další. Verze 1.1.x Elasticsearch má podporu pro aktivní skriptování prostřednictvím API ve výchozím nastavení. Tato funkce však představuje bezpečnostní riziko, jelikož nevyžaduje autorizaci a skript není chráněn v sandboxu. Bezpečnostní experti již dříve v tomto roce hlásili, že útočníci mohou zneužít skriptovací engine Elastic Search a spustit na dálku nebezpečný kód. Toto bezpečnostní riziko bývá označováno jako CVE-2014-3120. Tvůrci této služby pro verzi 1.1.x ještě nevydali aktualizaci, avšak od verze 1.2.0 vydané 22. května je dynamické skriptování standardně vypnuto.

Minulý týden bezpečnostní experti z ruské společnosti Kaspersky Lab našli nové varianty trojského koně Mayday, jenž je využíván k útokům typu DDoS (dynamické odepření služby). Jedna z nových variant Mayday byla nalezena na serveru Amazon EC2, avšak podle Kaspersky nejde o jedinou platformu, na niž je cíleno. Podle Kurta Baumgartnera z Kaspersky se útočníci napojí na virtuální servery využívané zákazníky Amazon EC2 zneužitím CVE-2014-3120 v Elastic Search 1.1.x, jenž je stále hojně využíván velkými organizacemi.

Mezi oběťmi těchto útoků jsou v současné době mimo jiné velká regionální banka, velký výrobce elektroniky nebo poskytovatel služeb z Japonska. „Četnost útoků je tak velká, že Amazon nyní své zákazníky na možná rizika upozorňuje. A situace je pravděpodobně stejná i u jiných poskytovatelů cloudových řešení,“ uvedl Baumgartner. Uživatelé Elastic Search 1.1.x by měli přejít na novější verzi a ti, kteří potřebují zmíněnou skriptovací funkci, by se měli řídit bezpečnostními doporučeními tvůrců tohoto enginu zveřejněnými na jejich blogu 9. července.

Nová vlastnost: "Živé" SSH Brute Force Protokoly a New Kippo Client
26.7.2014 Počítačový útok

Jsme oznamuje novou funkci jsme pracovali na chvíli, že bude zobrazovat živé statistiky o hesel používaných SSH brutální nutí roboty. Kromě toho jsme také aktualizovali naše skript, který vám umožní přispět údaje k tomuto úsilí. Právě teď jsme podporu kippo honeypot pro sběr dat. Tento skript bude předkládat uživatelská jména, hesla a IP adresy útočníka do našeho systému.

Chcete-li stáhnout skript viz https://isc.sans.edu/clients/kippo/kippodshield.pl .

Skript používá nový REST API nahrát přihlásí do našeho systému. Chcete-li jej používat, budete potřebovat API klíč, který můžete načíst z https://isc.sans.edu/myinfo.html (podívejte se v dolní polovině stránky pro "parametry sestavy").

U dat, která sbírají tak daleko, viz https://isc.sans.edu/ssh.html .

Máte-li jakékoli další systémy pak kippo sběru podobné informace (jsme chtěli sbírat uživatelské jméno, heslo a IP adresu), pak prosím dejte mi vědět a já budu vidět, jestli můžeme přidat konkrétní formát protokolu pro tohoto klienta.

Tím přispívá protokoly, pomůžete nám lépe pochopit, kdo a proč se provádí útoky, a to jisté, "musí se vyhnout" hesla. Všimněte si například, že některé z hesel tyto skripty vyzkoušet nejsou nutně triviální, ale mohou být natolik běžné, že stojí za to hovado nutit cíle.

100 + DDoS událostí za 100GB/sec hlášených v letošním roce
24.7.2014 Počítačový útok
Arbor Networks vydala globální DDoS útok údaje vyplývající z jeho sledování infrastruktury ATLAS hrozeb. Data ukazují, jedinečnou počet objemových útoků v první polovině roku 2014 s více než 100 útoků větší než 100GB/sec hlášeny.

Klíčová zjištění:
1H 2014 viděl největší objemové DDoS útoky vůbec, s více než 100 událostí více než 100GB/sec hlášeny doposud v tomto roce
U poloviny roku 2014, 2x počet událostí než 20GB/sec byly hlášeny ve srovnání se všemi 2013
Největší hlášený útok ve 2. čtvrtletí byl 154.69GB/sec, se 101% od 1. čtvrtletí 2014. To byl NTP odraz útok cílení cíl ve Španělsku.
NTP reflexe útoky jsou stále významné, ale velikost a rozsah je dole oproti 1. čtvrtletí roku 2014. Průměrný objem NTP dopravy padají zpět na celém světě, ale stále není zpět na úroveň z listopadu 2013 (před začátkem NTP útoku zbraní)
Q2 2014 viděl méně velmi velké útoky - s průměrnou velikostí útok snížil o 47% ve srovnání s 1. čtvrtletím 2014.
"V návaznosti na bouři NTP reflexe útoků v 1. čtvrtletí objemových DDoS útoky pokračovaly být problém i do druhého čtvrtletí, s bezprecedentních 100 útoků než 100GB/sec hlášeny doposud v letošním roce. Také jsme již viděli více než dvojnásobný počet útoků než 20GB/sec, než jsme viděli v celý loňský rok, "řekl Arbor Networks ředitel Solutions Architects Darren Anstee. "Četnost velkých útoků i nadále problém , a organizace by měly mít integrovaný, multi-vrstvený přístup k ochraně. Dokonce i organizace s významným množstvím připojení k internetu lze nyní vidět, že kapacita vyčerpána relativně snadno útoky, které se děje tam venku, "dodal Anstee.

WordPress brute force útok přes wp.getUsersBlogs
23.7.2014 Počítačový útok

Nyní, XMLRPC "pingback" DDoS problém v WordPress je stále pod kontrolou, podvodníci se zdá, že se snaží hrubou silou heslo hádat útoky prostřednictvím "wp.getUsersBlogs" způsobu xmlrpc.php. ISC čtenář Robert poslal v některých protokolů, které vykazují masivní distribuovaný (> 3000 zdroj IPS) pokus o uhodnutí hesla na jeho instalaci Wordpress. Žádosti vypadat jako na obrázku níže

a jsou účtovány do xmlrpc.php. Bohužel, webový server odpoví 200 OK ve všech případech, protože příspěvek do xmlrpc.php vlastně byl úspěšný. Očekává, že "403 - není povoleno" chyba je součástí XML zprávy, které server vrací jako užitečného zatížení . Proto, aby se zjistilo, co se děje, se spoléhat na jednoduchých protokolů HTTP webového serveru není dostačující. Jedním z problémů je to, že "tradiční" způsob omezování hrubou silou útoky v WordPress, jako je použití BruteProtect, jsou méně účinné, protože většina z těchto doplňků mají tendenci se dívat pouze wp_login.php a související wp_login_failed výsledek, který dělá nespustí v případě xmlrpc přihlášení chybě.

Pokud vidíte v podobných útoků, a našli účinný způsob, jak je mařit, prosím, podělte se v komentářích níže.

Ivan řádově
23.7.2014 Počítačový útok

ISC čtenář Frank hlásí, že vidí pár podivné názvy DNS v jeho DNS resolver log

4e6.1a4bf.565697d.f52e1.306.60ae.766e0.mdleztmxhvxc.speakan.in. = 193.169.245.133 TTL = 30 N = 193.169.245.133
3a.276965.3e6b39.cdaf104.da.e018.72c1a.mdleztmxhvxc.speakan.in. = 193.169.245.133 TTL = 30 N = 193.169.245.133

Jako tak často, jako první krok v řetězci infekce byla návštěva benigní, ale unpatched a naboural Wordpress webové stránky. Je přesměrován na prostředníka, což přesměrované na doménách výše. Následná http spojení s Java využívat pokus byl zastaven filtry plnou moc Frankově případě, tak se nic neděje.

Ale při pohledu na veřejných pasivních DNS záznamů, je zřejmé, že "něco" děje, a byl na dlouhou dobu. Byly pozorovány doménová jména tohoto vzoru, protože o listopadu 2013 a jsou spojeny s velikostí Exploit Kit. Snort a Emergingthreats mají slušné podpisy, a příznak provoz jako "velikost EK".

Nedávno použité názvy domén jsou v rámci indického TLD ". In", a kontrola registrační informace, které byly všechny registrované stejným údajným "Ivan Biloev" z Moskvy, a všechny z nich pomocí stejného registrátora (webiq.in) . Oni dokonce pozastavena hrst domén z důvodu zneužívání, ale zřejmě i nadále nechat Ivan šťastně registrovat nové adresy. Možná, že registrátor chtít popovídat si se zákazníkem, který měl domén zrušena dříve, než nechat registrace pro další jména projít?

Včetně Nedávné amplitudové mal-domény, jen abychom jmenovali alespoň některé: speakan.in busyneeds.in chancessay.in futureroll.in loadsbreak.in suchimages.in touchitems.in waysheader.in putsediting.in regionwhole.in resultsself.in unlikesolve.in advisefailed . ve closesthotel.in comesexpands.in installseven.in deducecontact.in poundscaptain.in delayattempted.in lawuniversitys.in obviouslyheads.in

Brad než na malware-dopravní-analysis.net má zápis-up [1] na nedávném vzorku. Pokud máte aktuální intel na druhu a rozsahu EK, vzory doménové jméno, využije tlačil v aktuální sadě, atd., pak prosím podělte se níže nebo pomocí našeho kontaktního formuláře na komentáře.

[1] http://malware-traffic-analysis.net/2014/07/15/index.html