Czech Articles - Úvod Odborné články (42) Bleskovky (0) Témata (6) List EN CZ Seriály Blogy Newspaper Magazines Knihy
Úvod Aktualizace Analýzy Android Apple APT Bezpečnost BigBrother BotNet Cloud Exploit Hack.techniky Hacking Hardware ICS Incidenty IoT IT Kongresy Kriminalita Kryptografie Kyber Mobilní OS Ostatní Phishing Podvod Rizika Rootkit Sociální sítě Software Spam Útoky Viry Zabezpečení Zranitelnosti
Úvod 0 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 List
Postřehy z bezpečnosti: modrý odposlech
5.11.2018 Root.cz Bezpečnost
Nová dvojice kritických zranitelností v Bluetooth Low Energy (BLE) čipech, pojmenovaná BleedingBit, umožňuje vzdálenému útočníkovi spustit libovolný kód a převzít nad zranitelným zařízením plnou kontrolu. Zranitelné čipy, které vyrábí firma Texas Instruments, používají firmy Cisco, Meraki a Aruba ve svých produktech určených pro nasazení ve firmách.
První ze zranitelností (CVE-2018–16986) se týká čipů CC2640 a CC2650. Dle dostupných informací se jedná o klasický buffer overflow útok, při kterém musí útočník nejdříve zasílat řadu neškodných BLE broadcastových zpráv, zvaných advertising packets, které se ukládají do paměti zranitelného BLE čipu a slouží k zasílání reklamních sdělení na krátkou vzdálenost. Následně útočník pošle další advertising packet, který však bude mít nastaven specifický bit na ON místo OFF. Tato drobná změna způsobí, že si čip alokuje mnohem více místa v paměti, než je reálně potřeba, což vede k přepsání paměti a útočník může tuto paměť využít ke spuštění škodlivého kódu.
Druhá zranitelnost (CVE-2018–7080) se týká čipů CC2642R2, CC2640R2, CC2640, CC2650, CC2540 a CC2541. Chyba pochází z funkcionality pro update firmwaru BLE čipů zvané Over the Air firmware Download (OAD). Protože všechny AP Aruba sdílejí stejné OAD heslo, získatelné odposlechem legitimního updatu, nebo reverzním inženýrstvím, útočník může přístupovým bodům zaslat vlastní upravený update operačního systému. Již byly vydány záplaty, dobrá zpráva také je, že ve výchozím nastavení Cisco i Aruba zařízení je bluetooth vypnutý.
Nejhorší scénář každopádně vypadá tak, že cizí člověk přijde k vaší firemní kanceláři, oskenuje si Wi-Fi síť, zjistí, zda náhodou některé vaše zařízení neběží na BLE technologii a začne se pohodlně ze židle na chodbě zmocňovat firemních dat. Dosah BLE jsou desítky metrů, nemusí to být ani židle ve vašem patře.
Chyby identifikovala izraelská bezpečnostní společnost Armis, která se už loni proslavila nálezem devíti jiných zranitelností technologie Bluetooth.
Spekulujete s kryptoměnami? Pozor na e-mail!
Policie v Austrálii zatkla třiadvacetiletou ženu v australském Melbourne v souvislosti s krádežemi obrovského množství virtuální měny.
Vše začalo v lednu 2018, kdy šestapadesátiletý muž zjistil, že jeho e-mailový účet byl zablokován, jeho heslo bylo změněno a aktualizovalo se nastavení zabezpečení jeho účtu, aby jako prostředek sekundární autentizace musel použít záhadný mobil.
Po dvou dnech zajistil muž kontrolu nad svým e-mailovým účtem, ovšem zmizelo z něho sto tisíc kusů Ripple směnky (známé také jako XRP) – tedy přibližně tři sta dvacet tisíc dolarů.
Během dalšího vyšetřování se zjistilo, že virtuální měna byla zaslaná na čínskou burzu a přeměněna na Bitcoin. Vyšetřování vedlo k třiadvacetileté ženě z Eppingu v Melbourne. Během domovní prohlídky u ní policie zabavila počítače, pevné disky a mobilní telefony. Žena se podle vyšetřovatelů nabourala do e-mailového účtu a použila informace v něm obsažené, aby se nakonec dostala do digitální peněženky oběti.
Detektiv policie Nového Jižního Walesu Arthur Katsogiannis varoval, že uživatelé e-mailů si musí dávat pozor nejen na to, jak chrání svou schránku, ale musí dávat pozor i na citlivé informace ve složkách „Odeslané“ nebo „Koš“.
Autor článku Graham Cluley považuje e-mailovou adresu za křižovatku celé internetové identity. Právě u každé služby, ke které se dostanete, je nějaký typ odkazu na vaši e-mailovou adresu a uvnitř vaší schránky budou citlivé informace, které mohou být zlatým dolem pro on-line zloděje. Navíc se většinou jedná o vaši e-mailovou adresu, kterou budou kontaktovat služby, pokud vy (nebo zločinec) požádáte o obnovu hesla na on-line účet.
Většina hlavních on-line služeb, včetně e-mailových účtů, poskytuje další úrovně zabezpečení, které mohou komplikovat získání přístupu do vašeho emailu – například dvoufaktorové ověřování (2FA).
Autor rovněž zdůrazňuje nutnost silného, těžce dostupného hesla, které není opakovaně používané na různých webových stránkách. K bezpečnému ukládání hesel pak doporučuje správce hesel.
Počet kybernetických útoků na finanční podniky se za pět let ztrojnásobil
16.3.2018 Novinky/Bezpečnost Počítačový útok
Ve finančních službách se za posledních pět let celosvětově ztrojnásobil počet kybernetických útoků, vyplývá ze studie společností Accenture a Ponemon Institute. Pojišťovny začaly firmám i obyčejným uživatelům nabízet speciální pojištění kybernetických rizik. Česká policie se loni zabývala 6424 případy kybernetické kriminality, což je o 1080 případů více než v roce 2016.
"I když náklady na řešení kyberkriminality se u společností poskytujících finanční služby stále zvyšují, náš průzkum zjistil, že mají významně vyváženější a přiměřenější úroveň výdajů na klíčové bezpečnostní technologie k potírání sofistikovaných útoků než společnosti z jiných sektorů," uvedl Chris Thompson, který v Accenture Security vede sekci bezpečnosti finančních služeb.
To podle něj platí zejména při využívání automatizace, umělé inteligence nebo technologií strojového učení, což by mohlo být pro budoucí úsilí v oblasti kyberbezpečnosti zásadní.
Vyděračské viry
Podle bezpečnostní společnosti Eset byl rok 2017 rokem takzvaného ransomwaru. Jde o vyděračský software, který blokuje operační systém nebo šifruje data v něm obsažená a po uživateli pak vyžaduje výkupné za obnovení systému. Běžní uživatelé, ale i nadnárodní organizace museli čelit masivním útokům, jakými byly NotPetya nebo WannaCry.
Ransomware se ale nezaměřuje pouze na klasické počítače. Zneužívají ho i útočníci, kteří chtějí vydělat na vysoké popularitě mobilních zařízení a nejrozšířenějšího operačního systému Android, vysvětlil analytik Esetu Lukáš Štefanko.
Populární přehrávač Flash Player je opět děravý. Chybu mohou zneužít hackeři
16.3.2018 Novinky/Bezpečnost Zranitelnosti
V pořadí již druhou kritickou bezpečnostní chybu oblíbeného internetového přehrávače Flash Player musí během jediného měsíce řešit společnost Adobe. Trhlina otevírá v podstatě zadní vrátka do celého operačního systému. S instalací opravy by tak uživatelé neměli otálet.
Jednu kritickou chybu operačního systému řešila společnost Adobe už na začátku března.
Sotva se třetí měsíc roku přehoupnul do druhé půlky, je tu v podstatě ta samá situace v bledě modrém. Flash Player opět obsahuje kritickou bezpečnostní trhlinu. S využitím chyby mohou piráti propašovat do cizího počítače prakticky jakýkoli virus.
Právě proto by uživatelé neměli s instalací nejnovější verze otálet. Stahovat záplatu je možné prostřednictvím automatických aktualizací daného programu nebo prostřednictvím stránek společnosti Adobe.
Častý terč útoků
Flash Player používá na celém světě několik stovek miliónů lidí. Právě kvůli velké popularitě se na něj zaměřují kybernetičtí nájezdníci pravidelně. Podle analýzy bezpečnostní společnosti Record Future cílilo osm z deseti nejrozšířenějších hrozeb v roce 2015 právě na tento přehrávač videí.
To je i jeden z hlavních důvodů, proč se společnost Adobe rozhodla Flash Player sprovodit ze světa. Podle dřívějšího oznámení jej bude podporovat už jen dva roky.
Reagovat na kybernetické incidenty dělá firmám problémy
16.3.2018 SecurityWorld Incidenty
Třem čtvrtinám dotazovaných firem chybí plán, jak v případě incidentu reagovat a 69 % z nich uvádí, že na kybernetickou odolnost nemá vyčleněno dostatek peněz.
Institut Ponemon ve spolupráci s IBM zveřejnila výsledky globální studie, která se zabývá tím, co všechno musí společnosti řešit, pokud chtějí být kyberneticky odolné.
Celkem 77 % respondentů připustilo, že nemá oficiální plán (CSIRP) v případě kyberbezpečnostního incidentu, který by byl v celé firmě důsledně dodržován. Téměř polovina z 2 800 respondentů uvedla, že jejich plán reakce na incidenty vzniká ad hoc, není oficiální nebo vůbec neexistuje.
Navzdory chybějícím oficiálním plánům ale 72 % firem tvrdí, že se v současnosti cítí kyberneticky odolnější než v loňském roce. Organizace, které se považují za vysoce odolné (61 %), zakládají své přesvědčení na schopnosti najmout kvalifikované zaměstnance.
Ale kybernetická odolnost organizací stojí nejenom na lidech, ale také na technologii. Respondenti si to uvědomují a 60 % z nich považuje nedostatečné investice do umělé inteligence a strojového učení za největší překážku v dosažení kybernetické odolnosti.
Sebedůvěra firem tedy nemusí mít pevné základy, protože 57 % respondentů ve studii prohlásilo, že se incidenty dnes řeší déle a 65 % uvedlo, že se závažnost útoků zvyšuje. To jsou přitom klíčové faktory, které mají na celkovou kybernetickou odolnost zásadní dopad.
Tyto problémy ještě znásobuje fakt, že pouze 31 % dotázaných má na kybernetickou odolnost přidělený dostatečný rozpočet a 77 % respondentů má problém najít a udržet si odborníky na IT bezpečnost.
„Pokud se firmy dnes cítí více kyberneticky odolné, tak je to hlavně z důvodu toho, že mají kvalifikované zaměstnance,“ říká viceprezident pro produktový management a spoluzakladatel IBM Resilient Ted Julian.
„Mít ty správné lidi je samozřejmě zásadní, ale stejně tak důležité je dát jim k dispozici ty nejmodernější pracovní nástroje. Jediné, co bezpečnostním týmům umožní vypořádat se s případnou hrozbou a zvýšit celkovou kybernetickou bezpečnost, je reakční plán, který sladí lidskou a strojovou inteligenci.“
Neexistence důsledně používaného CSIRP se ve výsledcích objevuje každý rok, navzdory zjištěním studie IBM z roku 2017, kolik porušení zabezpečení dat stojí. Pokud firmy zvládly porušení zabezpečení dat vyřešit do třiceti dnů, stálo je to průměrně skoro o jeden milion dolarů méně. Proto je CSIRP tak důležitý a cenný.
Další závěry studie:
Personální zajištění aktivit spojených s kybernetickou odolností není dostatečné.
Druhou největší překážkou kybernetické odolnosti se ukázal být nedostatek kvalifikovaných zaměstnanců v oblasti kybernetické bezpečnosti.
29 % respondentů uvedlo, že k dosažení kybernetické odolnosti mají ty správné zaměstnance.
50 % říká, že jejich současný manažer informační bezpečnosti nebo osoba zodpovědná za bezpečnost jsou ve své funkci tři roky nebo méně.
23 % firem podle studie v současnosti nemá manažera informační bezpečnosti ani osobu zodpovědnou za bezpečnost.
Vlády přesměrovávají uživatele na software doplněný o malware
16.3.2018 Root.cz BigBrother
Vlády některých zemí začaly ovlivňovat připojení k internetu tak, že při stahování populárních aplikací přesměrují uživatele na vlastní verzi instalačního balíčku, který je ovšem doplněný o malware.
Avast, CCleaner, VLC, Opera, 7-Zip a další populární aplikace. Pokud se je pokusíte stáhnout v Turecku, dostanete k nim zvláštní dárek – malware. Citizen Lab z Torontské univerzity totiž objevil, že některé vlády ovlivňují cíleně připojení k internetu přes své poskytovatele a přesměrovávají uživatele na vlastní servery s upravenými instalačními soubory.
Využívají přitom zařízení od společnosti Sandvine network, které je schopné sledovat nešifrovaný provoz a podle nastavených pravidel do něj zasáhnout. Pokud se tak pokusíte stáhnout některou z vyjmenovaných aplikací, dostanete ji z jiného zdroje. Podle Citizen Lab byl do instalačních souborů nejprve přidáván malware FinFisher, později byl změněn na StrongPity. Nejde přitom o běžný malware, ale o velmi drahé řešení prodávané vládám a určené ke sledování uživatelů.
Přesměrovat nebo blokovat
Přesměrování navíc neprobíhá jen při návštěvě oficiálních stránek daných aplikací, ale také například při použití serveru Download.com, který patří společnosti CNET. Zajímavé je, že přesměrování neprobíhá plošně, ale jen u vybraných IP adres. Odborníci objevili 259 IP adres, u kterých je cíleně provoz odkloněn. Některé z nich patří uživatelům v Sýrii, kteří se přes hranici připojují pomocí Wi-Fi.
Podle autorů zprávy jsou stejná zařízení od společnosti Sandvine použita také k blokování některých webů jako Wikipedie, kurdské politické strany PKK nebo nizozemské nadace NOS. Cenzura politicky orientovaných webů a nasazení komerčního malware podle Citizen Lab jasně ukazuje na přímé zapojení turecké vlády. Není ovšem jasné, zda jde o akci namířenou proti disidentům nebo proti kurdským vojákům v rámci hybridní války.
Zařízení společnosti Sandvine schopné sledovat a upravovat provoz
Problému si už všimla společnost ESET, která na něj upozornila v září a poté znovu v prosinci. ESET varoval před některými sítěmi, které přesměrovávají uživatele a doručují mu malware FinFisher a později StrongPity. Neobjevil ale souvislost mezi sítěmi a konkrétními státy. Citizen Lab začal problém zkoumat právě na základě zveřejnění těchto zářijových zjištění.
Kromě Turecka i Egypt
Turecko se svým poskytovatelem Türk Telekom však není jedinou zemí, kde byla tato praktika objevena. Stejné zařízení pro zkoumání provozu bylo objeveno také v Egyptě u společnosti Telekom Egypt. Blokují přístup k mnoha webům organizací jako Reportéři bez hranic, Human Rights Watch, Al Jazeera, Mada Masr a HuffPost Arabic.
Egyptský poskytovatel sice nepřesměrovává uživatele na instalační soubory s malware, ale podstrkává uživatelům vlastní reklamy, které obsahují skripty pro těžbu kryptoměn. Egyptské schéma, které je nazváno AdHose, má dva režimy: v jednom plošně přesměrovává uživatele na reklamu, ve druhém pak za provozu upravuje některé javascriptové knihovny, které pak místo své běžné funkce těží kryptoměny.
Šifrování problémům zabrání
Odborníci ze Citizen Lab zdůrazňují, že oficiální weby pro stahování aplikací používají nešifrované připojení, což umožňuje velmi snadno komunikaci upravovat. Pikantní přitom je, že například web společnosti Avast používá na svém webu EV certifikát, ale při stahování pošle uživatele na server, který šifrování nepoužívá. Pokud by weby používaly důsledně šifrování s důvěryhodným certifikátem, nebylo by možné nepozorovaně uživatele přesměrovat jinam.
Objevitelé problémů konfrontovali přímo společnost Sandvine, která ale jejich zjištění označila za falešná, chybná a špatná, požádala o zastavení šíření chybné zprávy a zároveň vyzvala k vrácení zařízení PacketLogic, které Citizen Lab používá při svých testech. Firma také 7. března poslala na univerzitu dopis [PDF], ve kterém vyjadřuje nespokojenost s celou analýzou. Odpověď [PDF] byla odeslána následující den, přičemž univerzita žádá o konkrétní výtky, které firma odmítla dříve zveřejnit.
Nebezpečná chyba Windows ohrožuje 500 miliónů počítačů. Záplata chybí
16.3.2018 Novinky/Bezpečnost Zranitelnosti
Výzkumníci z italské Padovské univerzity objevili velmi nebezpečnou chybu v operačním systému Windows, kterou mohou zneužít kyberzločinci. V ohrožení je podle serveru Dark Reading na 500 miliónů počítačů. Alarmující je přitom fakt, že bezpečnostní záplata zatím chybí.
Trhlina se týká systému Control Flow Guard (CFG), který je nedílnou součástí systémů Windows 8.1 a Windows 10.
Pikantní na tom je, že tato softwarová součást osmiček a desítek se má primárně starat o to, aby byly operační systémy od Microsoftu bezpečnější. V podstatě jde o sérii pravidel, která mají útočníkům znemožnit spuštění škodlivých kódů na napadených strojích.
Ochranný systém obsahuje chyby
Jenže výzkumníci z Padovské univerzity zjistili, že při návrhu tohoto systému udělali programátoři amerického softwarového gigantu celou řadu chyb, kvůli čemuž je naopak možné spustit škodlivé kódy, které jinak restrikce CFG zakazují.
Zjednodušeně řečeno tedy kyberzločinci kvůli chybnému návrhu mohou propašovat na napadený počítač viry nebo klidně i mohou celý stroj ovládnout na dálku. A to překvapivě prostřednictvím funkce, která měla uživatele naopak chránit.
Vědečtí pracovníci již takový útok dokázali demonstrovat v praxi. Detaily samotného průniku však tají, aby nedali hackerům přesný návod, jak takové nájezdy na sestavy běžných uživatelů provádět.
Na aktualizaci se pracuje
Podle serveru MS Power User už se celým případem zabývá i samotný Microsoft, který byl výzkumníky na trhliny v zabezpečení upozorněn. Aktualizaci se chystá vydat v horizontu maximálně několika týdnů.
To jinými slovy ale znamená, že chránit se uživatelé v současné době nemohou. Záplata zatím chybí a trhliny v podstatě otevírají zadní vrátka do systému, na která jsou i antivirové programy krátké.
Uklidněním může být alespoň fakt, že přesný návod na úspěšný útok – tedy na to, jak zneužít chybu – zatím kyberzločinci nemají.
Na virtuálních mincích vydělávají kyberzločinci desítky miliónů korun
16.3.2018 Novinky/Bezpečnost Kriminalita
Nejrůznější virtuální měny jsou v hledáčku kyberzločinců již delší dobu. Teprve nyní se však ukázalo, jak výhodné je pro hackery využívat výkon napadených počítačů. Sofistikovaný útok jim může přinést klidně i desítky miliónů korun. Upozornil na to výzkumný tým antivirové společnosti Check Point.
Bezpečnostním expertům se podařilo rozkrýt jednu z vůbec největších podvodných kampaní těžících kryptoměny. Útočník či útočníci šířili internetem malware XMRig, který se jim podařilo propašovat na blíže neupřesněný počet počítačů s operačním systémem Windows. Podle nejstřízlivějších odhadů se však oběti počítají na desítky tisíc.
Výkon napadených strojů pak kyberzločinci využívali k tomu, aby těžili kryptoměnu Monero. A za pouhých pár týdnů takto získali údajně více než tři milióny dolarů, tedy v přepočtu přes 62 miliónů korun.
Jak vyplývá ze zprávy Check Pointu, stopy útoku vedou do Číny. Vystopovat útočníky se ale s největší pravděpodobností nepodaří, neboť dohledat transakce ve virtuálních měnách je ve většině případů nemožné.
Zaměřují se na servery
Podobný útok přitom podle bezpečnostních expertů není ojedinělý. V poslední době se navíc útočníci stále častěji zaměřují na výkonné servery, které přece jen pracují při citelně rychlejším tempu než obyčejné počítače a kyberzločinci tak při útoku mohou těžit kybernetické mince daleko rychlejším tempem.
"Společnosti investují mnoho úsilí a peněz do vytvoření výkonných serverů, které podporují kritické podnikové operace. Ale jak jsme už dříve viděli, vzhledem k ziskovosti kryptoměn jsou nyní tyto výpočetní zdroje cílem kyberpodvodníků," prohlásil Petr Kadrmas, Secuity Engineer Eastern Europe ve společnosti Check Point.
Jak je z řádků patrné, navzdory poklesu hodnoty jednotlivých kryptoměn v posledních týdnech jsou podobné útoky pro kyberzločince stále velmi atraktivní.
Výzkumníci společnosti Check Point uvedli, že škodlivé kódy těžící kryptoměny ovlivnily v prosinci 55 % organizací po celém světě. Bezpečnostní experti navíc zjistili, že kódy pro těžbu kryptoměn byly záměrně vkládány i do některých velmi navštěvovaných a známých webových stránek, zejména zaměřených na streamování médií a sdílení souborů, aniž by o tom uživatelé byli informováni.
Tři nejobávanější viry mobilního světa
16.3.2018 Novinky/Bezpečnost Viry
Kybernetické hrozby se stále častěji týkají také mobilních zařízení, jako jsou chytré telefony a počítačové tablety. Se zabezpečením těchto zařízení si totiž láme hlavu málokdo. Antivirová společnost Check Point zveřejnila žebříček tří virů, které cílí na mobilní zařízení v poslední době nejčastěji.
Vůbec nejrozšířenější mobilní hrozbu představuje aktuálně škodlivý kód Lokibot. Jde o bankovního trojského koně pro Android a současně malware zaměřený na krádeže informací, který se může změnit také na ransomware.
V případě odstranění administrátorských oprávnění se tedy tento virus začne chovat velmi agresivně a uzamkne telefon. Za zpřístupnění dat pak chtějí útočníci zaplatit výkupné v bitcoinech, aby platbu nebylo možné vystopovat. Ani po zaplacení výkupného nicméně oběť nemá jistotu, že jim útočníci skutečně data zpřístupní.
Virus Hiddad se dokáže navázat na legitimní aplikace a pak je umisťuje do internetových obchodů.
Druhá příčka patří viru zvanému Triada, tento modulární backdoor cílí také na zařízení s operačním systémem Android. Škodlivý kód uděluje superuživatelské oprávnění útočníkům, takže kyberzločinci mohou stahovat do mobilních zařízení další malware. Triada také umí zfalšovat URL odkazy uložené v prohlížeči a nasměruje tak uživatele na podvodné stránky.
Třetím nejrozšířenějším mobilním virem je aktuálně malware Hiddad, který se dokáže navázat na legitimní aplikace a pak je automaticky umisťuje do obchodů třetích stran. Uživatelé si tohoto záškodníka tedy stáhnou z neoficiálních obchodů v dobré víře, že instalují úplně jinou aplikaci.
Hlavní funkcí nezvaného hosta Hiddad je zobrazování reklam, ale může také získat přístup ke klíčovým bezpečnostním informacím obsaženým v operačním systému, což umožňuje útočníkovi získat citlivá uživatelská data.
Útočí stále častěji
Důvod, proč se útočníci zaměřují na mobilní zařízení stále častěji, je jasný. Zatímco na zabezpečení počítačů si většina uživatelů dává již velký pozor, u mobilů řeší riziko kybernetických útoků málokdo. A to platí i o počítačových tabletech.
Přitom právě na zmiňovaných zařízeních uživatelé velmi často uchovávají citlivé osobní údaje, přístupová hesla a v neposlední řadě je používají také k obsluze svých bankovních účtů.
Právě poslední zmiňovaná činnost je pro počítačové piráty patrně nejatraktivnější. Pokud se počítačoví piráti dostanou k přihlašovacím údajům do internetového bankovnictví, jsou jen krůček od vybílení účtu. Stačí, aby se jim podařilo na telefon propašovat dalšího nezvaného návštěvníka, který dovede odchytávat SMS zprávy pro potvrzení plateb.
Antivirus jako samozřejmost
Právě proto je důležité chránit antivirovými programy a dalšími bezpečnostními nástroji nejen PC, ale také chytré telefony.
Před podobnými nezvanými hosty dokážou tablety i chytré telefony ochránit speciální programy. Kromě klasických antivirů jde například o aplikace, které se soustředí pouze na špionážní software a hledání trojských koňů.
Na mobilu nebo tabletu by měl být nainstalován vždy jen jeden bezpečnostní program svého druhu. Dva antiviry na disku dokážou udělat pěknou neplechu. Samotný antivirus ale zárukou bezpečí není.
Velmi důležité jsou také aktualizace, protože právě chyby v operačním systému a nejrůznějších programech počítačoví piráti velmi často zneužívají k tomu, aby do něj propašovali nezvané návštěvníky.
Po útoku vyděračského viru obnoví data pouze polovina uživatelů
16.3.2018 Novinky/Bezpečnost Viry
Vyděračské viry patřily v loňském roce k nejobávanějším hrozbám vůbec a situace se příliš nemění ani letos. Uživatelé navíc poměrně často přicházejí po útoku těchto nezvaných návštěvníků o svá data, obnovit je zvládne pouze polovina z nich.
Potěšující je, že přesně 53,3 % uživatelů svá data pravidelně zálohuje. To jinými slovy znamená, že po útoku mohou majitelé jednoduše přeinstalovat počítač a všechna data nahrát znovu.
Rovných 8 % uživatelů však přiznalo, že výkupné útočníkům po uzamčení počítače vyděračským virem nezaplatilo a o svá data nenávratně přišlo. Alarmující je také číslo 19,6 %, přesně tolik lidí totiž sice výkupné zaplatilo, ale k uzamčeným datům se bohužel ani přesto nedostalo.
Celkově se tak ke svým datům po útoku škodlivého kódu z rodiny tzv. ransomwarů nedostal každý třetí člověk.
V téměř pětině případů (19,1 %) se majitelé napadených sestav přiznali, že výkupné zaplatili a následně jim byla data zpřístupněna. Vyplývá to z průzkumu společnosti CyberEdge Group, který byl realizován v 17 různých zemích světa, jak upozornily servery Bleeping Computer a The Register.
Aktualizovat a zálohovat
Bránit se je přitom možné poměrně snadno, stačí dodržovat základní bezpečnostní poučky. Nejčastěji totiž nezvaného návštěvníka, který následně uzamkne počítač a požaduje výkupné, pustí samotní uživatelé. Prvním pravidlem by tak mělo být, že uživatelé nebudou otvírat přílohy e-mailových zpráv od neznámých a podezřelých adresátů. Právě touto cestou se totiž vyděračské viry dostanou do PC nejčastěji.
Vyděračský virus mohou kyberzločinci propašovat do počítače i prostřednictvím nějaké bezpečnostní trhliny v operačním systému či jiném programu. Samozřejmostí by tak měly být pravidelné aktualizace, jež počítačovým pirátům velmi znesnadní jejich práci.
Nutné je samozřejmě také pravidelně aktualizovat antivirový program, případně jiné bezpečnostní aplikace. Zvýšenému riziku se pak vystavují uživatelé, kteří používají nepodporované programy a operační systémy. Hrozba nákazy například na Windows XP je mnohonásobně vyšší než u novějších verzí tohoto operačního systému.
Vhodné je také pravidelně zálohovat svoje data. V případě nákazy se počítač jednoduše přeinstaluje a zašifrovaná data se mohou obnovit i bez placení výkupného nebo nutnosti je odšifrovat. Média či externí disky, na nichž budou záložní data uložena, by neměly být neustále připojeny k PC. Minimalizuje se tím riziko, že se vyděračský virus zabydlí i u zálohovaných dat.
Hackeři mohou získat snadno citlivé informace. Kvůli chybě v Chromu
16.3.2018 Novinky/Bezpečnost Zranitelnosti
Na pozoru by se měli mít uživatelé internetového prohlížeče Chrome. Obsahuje totiž vážnou kritickou chybu, kterou mohou relativně snadno zneužít kyberzločinci k napadení cizího počítače. Prostřednictvím těchto zadních vrátek se pak dostanou k citlivým informacím uloženým na disku.
V bezpečí přitom nejsou uživatelé prakticky žádného operačního systému. Trhlina se totiž týká platforem Windows, Mac i Linux.
Na rozdíl od jiných kritických bezpečnostních chyb v případě této zranitelnosti nemohou hackeři převzít kontrolu nad napadeným strojem, případně do něj propašovat nezvaného návštěvníka – počítačový virus. I tak ale dovedou v počítači napáchat poměrně dost škod, kvůli trhlině totiž mohou přistupovat k datům uloženým na disku, a to i k těm citlivým.
Opravu je již možné stahovat
Společnost Google však již naštěstí chybu opravila, nejnovější verze Chrome s pořadovým číslem 65.0.3325.146 ji již neobsahuje.
V případě, že uživatelé nemají nastavenou automatickou instalaci aktualizací, neměli by s jejich stažením otálet. V opačném případě nechávají pro počítačové piráty otevřená zadní vrátka do svých počítačů.
Nainstalovat aktualizaci manuálně je možné prostřednictvím nápovědy, konkrétně v části „O aplikaci Chrome“. Po rozkliknutí této nabídky se uživateli automaticky nabídne instalace nejnovější verze.
Řadu bezpečnostních chyb opravovala společnost Google už na konci ledna. Tehdy Chrome obsahoval rekordních 53 zranitelností, nálepku „vysoce závažné“ přitom měly tři z nich.
Americký generál varoval před kybernetickými útoky Ruska
16.3.2018 Novinky/Bezpečnost BigBrother
Americká vláda nemá účinný a jednotný přístup k boji s kybernetickým ohrožením, které představuje Rusko. Při slyšení v branném výboru amerického Senátu to ve čtvrtek prohlásil generál Curtis Scaparrotti, vrchní velitel amerických vojsk v Evropě. Povědomí o ruské kybernetické infrastruktuře je podle něj neuspokojivé.
Scaparrotti senátory upozornil, že jsou patrné známky ruské "aktivity" namířené proti Spojeným státům. O podrobnostech se ale podle agentury Reuters nezmínil. Prohlásil nicméně, že o ruské kybernetické hrozbě Spojené státy nemají dostatečnou představu.
Američtí činitelé a pracovníci zpravodajských služeb stále častěji varují, že Rusko chystá útoky hackerů na podzimní hlasování ve volbách do amerického Kongresu. Moskva je v podezření, že připravuje kampaň propagandy a dezinformací na sociálních sítích. Někteří kongresmani vyčítají Bílému domu, že boji s touto hrozbou se věnuje jen málo.
"Nemyslím, že ve vládních úřadech existuje účinný a jednotný názor, není tam dost energie a soustředěnosti, kterou by bylo možné očekávat," řekl při slyšení Scaparrotti.
Nejrozšířenější viry na českém internetu
16.3.2018 Novinky/Bezpečnost Viry
Antivirová společnost Eset zveřejnila svůj pravidelný žebříček nejrozšířenějších virů, které cílí na tuzemské uživatele v prostředí internetu. Nejrozšířenější hrozbu představuje JS/CoinMiner, který pochází z rodiny tzv. těžařských virů. Na pozoru by se ale měli mít uživatelé také před dalšími škodlivými kódy.
„Javový skript JS/CoinMiner, který běží na pozadí internetových stránek a útočníci jej používají ke skryté těžbě kryptoměn, jež využívá výpočetního výkonu napadených počítačů, zůstal i v únoru nejčastější internetovou hrozbou v České republice,“ prohlásil Miroslav Dvořák, technický ředitel společnosti Eset.
Zároveň však zdůraznil, že podíl této potenciálně nechtěné aplikace (PUA) na detekovaných škodlivých kódech proti lednu klesl téměř na polovinu a představoval zhruba každý šestý zachycený incident (17,80 procenta).
Trojské koně zneužívají bezpečnostní chyby
„V porovnání se začátkem letošního roku jde o výrazný pokles, podíl JS/CoinMiner však nadále zůstává poměrně vysoký. Mezi nejčastějšími hrozbami se navíc drží i další dvě varianty CoinMineru, které se chovají jako trojany – Win32/CoinMiner a Win64/CoinMiner,“ podotkl Dvořák.
Oba trojské koně zneužívají bezpečnostní chyby neaktualizovaných operačních systémů. Do infikovaných zařízení stahují škodlivý skript pro Windows Management Instrumentation (WMI), jehož prostřednictvím vytváří zadní vrátka. Ta umožní automatické spuštění těžby kryptoměn pokaždé, když dojde ke spuštění operačního systému napadeného zařízení.
Pozor na falešné aktualizace
Druhou nejčastější únorovou hrozbou byl HTML/ScrInject, generická detekce programového kódu, který automaticky přesměrovává prohlížeč uživatele na stránky obsahující škodlivý software. Představoval 6,04 procenta všech únorových detekcí.
Na třetí příčku mezi internetovými hrozbami se v únoru dostala potenciálně nechtěná aplikace JS/Adware.Agent.T, která zobrazuje nechtěné reklamy s nabídkou údajné aktualizace nebo stažení softwaru pro optimalizaci webového prohlížeče. Útočníkům může tento škodlivý kód generovat zisk z prokliku na reklamy. JS/Adware.Agent.T v únoru představoval 5,07 procenta zachycených škodlivých kódů.
Níže naleznete přehled deseti největších hrozeb za druhý měsíc letošního roku:
Deset nejčastějších internetových hrozeb v České republice za únor 2018
1. JS/CoinMiner (17,80%)
2. HTML/ScrInject (6,04%)
3. JS/Adware.Agent.T (5,07%)
4. JS/Redirector (4,57%)
5. HTML/Refresh (3,92%)
6. SMB/Exploit.DoublePulsar (3,22%)
7. JS/Adware.AztecMedia (3,22%)
8. Win32/CoinMiner (2,34%)
9. Java/Adwind (2,29%)
10. Win64/CoinMiner (2,28%)
První DDoS útok z IPv6. Na obzoru jsou další
10.3.2018 SecurityWorld Počítačový útok
Poprvé na servery udeřil distribuovaný DoS útok pocházející z protokolu IPv6. Pocházel z více než 1 600 IPv6 adres rozprostřených na 650 různých sítí.
Slovníkový DNS útok proběhl na servery společnosti Neustar, která se věnuje například analytice a zároveň je také správcem některých internetových domén ve Spojených státech, popisuje server SC Magazine, který zprávu o útoku přinesl.
Distribuovaný útok ukázal, že hackeři využívají nové metody k vykonání IPv6 útoků a nejde o pouhou replikaci útoků IPv4 s použitím protokolů IPv6, věří Neustar.
„Už jsme něco podobného chvíli očekávali a nyní je to tu. Viděli jsme také v letošním roce nárůst IPv4 útoků – je téměř dvojnásobný oproti stejnému období v roce 2017 – ale IPv6 útoky přicházejí s novými problémy, které není snadné vyřešit. Jeden příklad za všechny je obrovské množství dostupných adres dostupných útočníkovi, které mohou přehltit paměť moderních bezpečnostních zařízení,“ popsal serveru SC Magazine šéf vývoje a výzkumu Neustaru Barrett Lyon.
Celkové množství adres IPv6 je nepředstavitelně vysoké – je jich 7.9x1028vícekrát než u IPv4. Stárnoucí protokol IPv4 poskytuje přibližně 4,3 miliardy 32bitových adres. Vlivem obrovského množství IPv6 adres je možný podstatně větší útok, a protože mnohé nové sítě mohou IPv6 podporovat, ale bezpečnostní nástroje zatím ne, představuje to pro útočníky lákavý cíl s vysokým potenciálem.
Wesley George, hlavní inženýr síťového zabezpečení Neustaru sdělil SC Magazinu: „Je to velká výzva, ale v posledních letech se věci posunuly dál. Dobré bezpečnostní rady už existují a je jasné, že protokol IPv6 je nutné vnímat jako velmi důležitý. V mnoha případech je problém ve viditelnosti – máme společnosti se skvělou telemetrií pro IPv4, a to samé se musí přesunout i k IPv6.“
UltraDNS služba Neustaru je odpovědná za 10 % veškerého internetového provozu, mezi zákazníky patří Tesco, Forbes nebo NetRefer. Z žebříčku Alexa Top 1000 webů je momentálně 26,9 % navštívitelných pomocí protokolu IPv6.
Kyberzločin zneužíval popularitu Bitcoinu a fotbalu
10.3.2018 SecurityWorld Kriminalita
V roce 2017 sledovali kyberzločinci aktuální světové dění a události, které se následně snažili využít k oklamání uživatelů. Podle reportu „Spam a phishing v roce 2017“ společnosti Kaspersky Lab mezi takové události patřilo například blížící se mistrovství světa ve fotbale nebo stoupající popularita Bitcoinu. Falešnými zprávami o těchto událostech se z uživatelů snažili vylákat peníze nebo osobní údaje.
Spammeři prokázali velkou míru přizpůsobivosti a mazanosti. V průběhu celého roku sledovali celospolečenská témata a významné události, jejich prostřednictvím chtěli upoutat pozornost uživatelů, od kterých by následně podvodně získali peníze či cenné informace.
Společnost Kaspersky Lab dlouhodobě pozoruje trendy v oblasti spamu a phishingu, a může bohužel potvrdit, že jsou tyto metody kyberzločinců velmi účinné. Je to způsobeno především klesající ostražitostí uživatelů a jejich bezvýhradnou důvěrou. Často se totiž řídí instrukcemi podvodníků, které od nich obdrží do svých e-mailových schránek. Zločinci je pak bez jejich vědomí okrádají o peníze nebo osobní údaje.
V minulém roce se pozornost velké části sportovních fanoušků upírala k probíhající kvalifikaci na nadcházející mistrovství světa ve fotbale, které proběhne letos v Rusku. Toho využili spammeři k rozesílání podvodných e-mailů. Uživatelům posílali falešné zprávy jménem organizátorů nebo sponzorů této akce, které obsahovaly i oficiální logo mistrovství. E-maily většinou upozorňovaly na výhry v loterii nebo dokonce slibovaly vstupenky na mistrovství zdarma.
Dalším velmi oblíbeným tématem objevujícím se v roce 2017 v phishingových zprávách byly kryptoměny. Hlavním důvodem pro to byla strmě stoupající cena Bitconu. Především ve třetím čtvrtletí roku 2017 zaznamenali odborníci Kaspersky Lab zvýšený výskyt podvodných e-mailů s tématikou blockchainu.
Jak zjistili odborníci z Kaspersky Lab, kyberzločinci využívali poměrně nové techniky, kdy například podvodné stránky maskovali jako kryptoměnovou burzu. V jiném případě zase nabízeli cloudové servery a služby pro těžbu kryptoměn. V podvodných e-mailech lákali uživatele, že si prostřednictvím jejich služeb vydělají velké peníze. Stal se ale pravý opak – z uživatelů se stali oběti. I v jiných, už osvědčených podvodných praktikám, jako jsou falešné loterie, využívali kyberzločinci Bitcoin jako návnadu. Ve spamech zacílených díky široké databázi adres podvodníci nabízeli k odkupu kryptoměny, které slibovaly velké zisky.
Zločinci navíc v e-mailových spamech šířili různé typy malwaru, které se tvářily jako nástroje pro získání Bitcoinu nebo jako návody, jak s kryptoměnami obchodovat. Dobrou zprávou ale je, že se ve spamu oproti roku 2016 méně často objevovaly známé Cryptlockery. Ty uzamkly obsah na uživatelově počítači, za jehož opětovné odemčení požadovaly výkupné v Bitcoinech.
Na jednu stranu se v roce 2017 oproti předchozímu roku snížil objem spamu o 1,68 procentního bodu na 56,63 %. Na druhou stranu se ale zvýšil počet phishingových útoků – systém Anti-Phishing společnosti Kaspersky Lab zaznamenal 246 231 645 útoků na počítače uživatelů těchto řešení, což je o 59 % více než v roce 2016.
„Letos očekáváme další nárůst a vývoj spamu i phishingu zaměřeného na kryptoměny. Kyberzločinci se na rozdíl od roku 2017 zaměří i na další kryptoměny než pouze Bitcoin a budou využívat techniky označované jako „pump and dump,“ říká Darya Gudková, spamová analytička ve společnosti Kaspersky Lab.
Mezi další zajímavá zjištění reportu „Spam a phishing v roce 2017“ patří:
Nejčastějším zdrojem spamu byly USA (13,21 %), Čína (11,25 %) a Vietnam (9,85 %). Zbývajícími státy v top 10 jsou Indie, Německo, Rusko, Brazílie, Francie a Itálie.
Nejvíce spamem zasažených cílů se naopak objevilo v Německu (16,25 %), kde počet obětí meziročně stoupl o 2,12 procentního bodu. Dalšími státy v top 10 jsou Čína, Rusko, Japonsko, Velká Británie, Itálie, Brazílie, Vietnam, Francie a Spojené arabské emiráty.
Největší zastoupení obětí phishingu zaznamenala Brazílie (29,02 %). Celosvětově bylo napadeno phishingem 15,9 % uživatelů produktů společnosti Kaspersky Lab.
Kam kráčí šifrování?
4.3.2018 SecurityWorld Kryptografie
Přechod od SHA-1 na SHA-2, kongresové vítězství nad zadními vrátky a vzestup šifrované komunikace nás vedou k bezpečnějšímu světu.
Vypadá to, jako by se vývoj technologií každý rok zrychloval. Je tu však vždy jeden opozdilec: šifrování. Proč tak rozvážné tempo? Protože jeden malý omyl dokáže zablokovat komunikaci a pohřbít firmu.
Nastávají však chvíle, kdy je potřebné zbystřit – například abyste zjistili, že se sféra šifrování prakticky přes noc změnila. Ten čas nastal nyní. Přestože v průběhu několika let docházelo ke změnám postupně, výsledný efekt je dramatický.
Některé z těchto změn začaly krátce po zveřejnění informací od Edwarda Snowdena o tom, jak rozsáhlý je sledovací program vlády USA. Další jsou přirozeným důsledkem kryptografických nápadů, které se dostávají na trh, vysvětluje Brent Waters z Texaské státní univerzity.
„Mnoho z těchto nových dostupných nástrojů a aplikací je založeno na výsledcích výzkumů z let 2005 a 2006,“ vysvětluje Waters. „Teprve si uvědomujeme, jaké typy šifrovacích funkcí jsou možné.“
O krok blíže
Šifrovaný webový provoz je prvním krokem směrem k bezpečnějšímu světu internetu, kde útočníci nebudou moci odposlouchávat privátní komunikace, finanční transakce ani obecné internetové aktivity.
Mnoho webů včetně služeb Google a Facebook zapnulo šifrování HTTPS ve výchozím stavu pro všechny uživatele. Pro většinu majitelů domén je však nákup a nasazení certifikátů SSL/TLS pro zajištění bezpečné komunikace s jejich weby drahým a komplikovaným úsilím.
Naštěstí iniciativa Let’s Encrypt (Pojďme šifrovat) a její bezplatné certifikáty SSL/TLS transformovaly celý ekosystém a dalay vlastníkům domén nástroje pro snadné zapnutí protokolu HTTPS na jejich webech.
Tato nezisková certifikační autorita provozovaná skupinou ISRG (Internet Security Research Group), Let’s Encrypt, je podpořenáa takovými velikány, jako jsou Mozilla, Electronic Frontier Foundation, Cisco nebo Akamai.
Jak všudypřítomným se protokol HTTPS stal? V říjnu loňského roku zveřejnil Josh Aas, šéf iniciativy Let’s Encrypt a bývalý zaměstnanec společnosti Mozilla, telemetrický graf Mozilly, který ukazuje, že protokol HTTPS využívá již více než 50 procent webů.
Přestože graf ukazuje jen uživatele prohlížeče Firefox, je toto číslo stále významné, protože poprvé počet šifrovaných stránek přerostl množství stránek nešifrovaných. Společnost NSS Labs očekává, že tento trend bude pokračovat, a předpovídá, že do roku 2019 bude šifrovaných 75 procent veškerého webového provozu.
Bezplatné nabídky certifikátů toto přijetí dále urychlí. Do příštího roku počet vydaných bezplatných veřejných důvěryhodných certifikátů pravděpodobně překročí množství certifikátů placených, prohlašuje Kevin Bocek, viceprezident strategie zabezpečení a threat intelligence ve společnosti Venafi, která se zabývá správou klíčů.
Mnoho podniků také začíná využívat bezplatné služby. Když už cena certifikátů nehraje žádnou roli, zaměří se certifikační autority na lepší nástroje pro bezpečnou správu certifikátů a na ochranu klíčů.
Když už mluvíme o správě certifikátů, je dobré připomenout, že po letech varování, že jsou certifikáty SHA-1 slabé a zranitelné vůči útokům, začaly podniky houfně upgradovat své certifikáty na takové, které využívají SHA-2, což je sada kryptografických hašovacích funkcí nahrazujících zastaralý algoritmus SHA-1.
Hlavní tvůrci prohlížečů, tedy firmy Google, Mozilla a Microsoft, se zavázali, že vyřadí SHA-1 počátkem letošního roku a začnou blokovat weby, které stále používají starší certifikáty.
Facebook přestal obsluhovat připojení SHA-1 a nezaznamenal „žádný měřitelný dopad“, tvrdí Wojciech Wojtyniak, produkční inženýr Facebooku.
Podle telemetrie Firefoxu kleslo od května do října 2016 použití SHA-1 na internetu ze 3,5 procenta na méně než procento. Podniky si nemohou dovolit samolibost, ale je pravda, že nedávné odhady společnosti Venafi naznačují, že cca 60 milionů webových stránek i nadále používá nedostatečně silný šifrovací algoritmus.
„Těšíme se na posun tohoto odvětví směrem k většímu využití silnějších certifikátů, jako je SHA-256,“ dodává Wojtyniak.
Šifrování je králem
Kryptografie dostala v posledních několika měsících několik ran, když výzkumníci vytvořili kryptografické útoky, jako je například Drown, který lze použít k dešifrování TLS spojení mezi uživatelem a serverem, pokud server podporuje SSLv2.
Další metodou je pak Sweet32, která umožňuje zaútočit na šifrovaná webová spojení vytvořením velkého množství webových přenosů.
Aktéři z řad státních zpravodajských služeb mají také šifrování ve svém hledáčku. Nedávno odhalila společnost Juniper Networks špionážní kód implantovaný v konkrétních modelech svého firewallu a v zařízeních VPN. Mnozí odborníci se domnívají, že v tom má prsty NSA.
Krátce poté, co si sada hackerských nástrojů, údajně patřící NSA, našla cestu na černé trhy, odhalilo Cisco chybu ve svém softwaru IOS, IOS XE a IOS XR, který se využívá v mnoha jejích síťových zařízeních.
Tato zranitelnost, kterou lze využít k získání citlivých informací z paměti zařízení, byla podobná jako zranitelnost zneužitelná uvedenými nástroji a souvisela s tím, jak tento operační systém zpracovává protokol výměny klíčů pro sítě VPN, uvedlo tehdy Cisco.
Dokonce i aplikace Apple iMessage, která je ukázkou, jak mohou firmy přinést kompletní šifrování masám, měla svůj podíl na problémech. Profesor kryptografie Matthew Green a jeho tým studentů na Univerzitě Johnse Hopkinse totiž dokázali vykonat adaptivní útok, který by za určitých okolností dokázal dešifrovat komunikaci iMessage a přílohy.
Tento tým také zjistil, že aplikace iMessage postrádá mechanismus FS (Forward Secrecy, dopředná bezpečnost), což znamená, že by útočníci mohli dešifrovat dříve zašifrované zprávy, například ty, které jsou uložené v iCloudu.
FS funguje tak, že se po uplynutí nastaveného časového intervalu vytváří nový klíč, takže i v případě, že útočníci získají originální klíč, není možné dříve zašifrované zprávy prolomit.
Jedna věc však navzdory všem špatným zprávám zůstává jasná: Kryptografie není prolomená. Matematika za kryptografickými výpočty zůstává silná a šifrování je stále nejlepší způsob, jak chránit informace.
„Poslední útoky se netýkaly matematiky, ale implementace,“ vysvětluje Waters. Ve skutečnosti šifrování funguje tak dobře, že na něj spoléhají také sami útočníci.
Zločinci dokážou získat klíče a certifikáty pro skrývání svých aktivit uvnitř šifrovaných přenosů. Skutečnost, že se tento vektor útoku rychle stává výchozím chováním zločinců, „téměř maří celý smysl přidávání většího množství šifrování“, uvádí Bocek.
Kyberzločinci používají šifrování také k zajištění velkého dopadu ransomwaru. Jakmile jsou soubory zašifrované, musejí oběti buď zaplatit, aby získaly klíč, nebo smazat své systémy a začít znovu.
Stejně jako se útočníci zaměřují na zranitelné implementace, bezpečnostní výzkumníci úspěšně vyvinuli dešifrovací nástroje pro ty varianty ransomwaru, které v sobě obsahovaly chyby ve svém šifrovacím kódu.
Zadní vrátka
Technologické firmy vždy musely vyvážit aspekty bezpečnosti a ochrany soukromí s faktem, že orgány činné v trestním řízení požadují přístup k informacím uživatelů. James Comey, šéf FBI, intenzivně usiloval o povinnost implementace zadních vrátek v technologických produktech využívajících šifrování a prohlašoval, že kódování dat maří vyšetřování zločinu.
Přestože společnosti často tiše spolupracovaly se zpravodajskými službami a s orgány činnými v trestním řízení, bezpříkladná konfrontace mezi FBI a společností Apple v minulých letech ukázala, že se podniky začínají bránit.
FBI v tomto boji ustoupila a došlo k vytvoření dvoustranné pracovní skupiny složené z komisí z oblasti justice, energií a komerce. Cílem této skupiny je studium problematiky šifrování. Pracovní skupina pro šifrování jednoznačně odmítla požadavky Comeye na zadní vrátka a radí zkoumat jiná řešení.
„Každé opatření, které oslabuje šifrování, pracuje proti národnímu zájmu,“ uvedla tato pracovní skupina ve své zprávě. „Kongres nemůže zabránit zločincům – doma ani v zahraničí – v používání šifrování. Proto by měly komise hledat další strategie, jak řešit potřeby komunity zástupců zákona.“
Oslabování šifrování tak, že by se policie dokázala prolomit do šifrovaných zařízení, by sice urychlilo vyšetřování zločinů, ale bylo by to krátkodobé vítězství s „dlouhodobým dopadem na národní zájmy“, varovala tato pracovní skupina.
Alternativní strategií je například poskytnutí legálních metod zástupcům zákona k přinucení podezřelých odemknout svá zařízení nebo zlepšování sběru metadat a analýz.
Zatímco zpráva pracovní skupiny naznačuje, že Kongres USA nebude usilovat o zákonná zadní vrátka, na obzoru se rýsují další bitvy související se šifrováním.
Tato zpráva totiž vytváří dojem, že podporuje možnost policie používat „zákonné hackování“ k prolomení do produktů s využitím zranitelností softwaru, které znají jen zástupci zákona a zpravodajské služby, což ale může mít bezpečnostní důsledky.
Technologický obor má zájem na oznamování zranitelností ihned po jejich zjištění, aby vláda neměla možnost si je hromadit bez dohledu.
Požadavek Comeye na úplnou kompromitaci tak bude podle slov skupiny realizován spíše v podobě různorodých forem.
Technologie pro všechny
Vlády se snažily roky stále omílat argument boje proti teroristům a vždy k tomu využívaly strašení, uvádí Mike Janke, šéf pro šifrovanou komunikaci ve společnosti Silent Circle. Změnou podle něj je, že podniky začínají brát vážněji zabezpečení své komunikace a jsou méně ochotné tyto funkce obětovat.
Mnoho organizací bylo šokováno rozsahem vládního dohledu odhaleného Edwardem Snowdenem z NSA. Zareagovaly integrací bezpečných nástrojů pro textovou a obrazovou komunikaci současně s šifrováním hlasových přenosů v rámci podnikové komunikace, popisuje Janke.
Šifrování nyní hraje větší roli v technologických diskusích, kdy se podniky ptají na dostupné funkce a možnosti. Oddělení IT už k šifrování nepřistupuje jako k přídavné funkci, za kterou se platí navíc, ale je to povinná vlastnost každého produktu a platformy, kterou používají.
I samotní spotřebitelé byli pobouřeni rozsahem sledovacích programů a neoficiální evidence ukazuje, že mnoho z nich začalo používat aplikace se šifrovaným obsahem, jako jsou WhatsApp nebo Signal. Ve většině případů však za bezpečné produkty neplatí, ani nemění své chování, aby zvýšili rozsah soukromí ve svém každodenním životě.
Změna přichází od šéfů zabezpečení, viceprezidentů technologií a dalších podnikových šéfů zaměřených na technologie, protože nesou odpovědnost za rozhodování v oblasti bezpečnosti a ochrany soukromí svých produktů a služeb.
Když společnost Tesla nyní digitálně podepisuje firmware pro každou svou jednotlivou interní komponentu pomocí kryptografického klíče, je jednodušší se ptát výrobců televizorů a hraček, proč to také nedělají, vysvětluje Janke.
Spotřebitelé jsou ti, kdo budou mít prospěch z integrace šifrování ve výchozím stavu, stejně jako když podniky mění svůj způsob myšlení o významu šifrování.
Osobní data v ohrožení – na co si dát nově pozor?
4.3.2018 SecurityWorld BigBrother
Jen za poslední měsíc se objevilo několik nových překvapivých způsobů, jak pomocí internetu a chytrých telefonů krást a vyzrazovat osobní údaje. Následující trendy možná stojí za spuštění poplašných sirén.
Samozřejmě že tyto nové starosti lze přidat ke všem starým. Společnosti jako Google a Facebook vás stále sledují a dolují vaše osobní údaje. Hackeři neustále chtějí ukrást vaše data. Také vládní agentury, jako třeba NSA, nadále pracují podle svých zvyklostí.
Pět nových trendů nyní ukazuje, že vaši bezpečnost a soukromí lze ohrozit způsoby, které vás možná nikdy nenapadly.
1. Otisky prstů lze ukrást z fotky selfie.
Vědci z japonského Národního institutu informatiky (NII) nedávno oznámili, že otisky prstů je možné ukrást z fotografií vašich prstů. Lze jejich prostřednictvím vytvořit falešné prsty pro oklamání biometrických bezpečnostních systémů.
Fotoaparáty chytrých telefonů jsou už tak dobré a mají tak velké rozlišení, že lze z fotografií rozpoznat a zkopírovat reliéf otisků vašich prstů a použít ho k oklamání bezpečnostních systémů pracujících s otiskem prstů.
Největší hrozbou je to v Japonsku, kde se na fotografiích vystavovaných na webu hodně používá gesto V, tzv. znamení míru tvořené ukazováčkem a prostředníčkem.
Někteří lidé jsou skeptičtí. Například i proto, že „vědci“ nabízejí absurdní „řešení“ tohoto problému – čirou vrstvu oxidu titanu s natištěným speciálním vzorem, kterou byste si při focení selfie nasadili na prsty, aby zakryla vaše otisky.
Také okolnosti takové krádeže musejí být příznivé. Prsty je nutné mít zaostřené, osvětlení musí být perfektní, vzdálenost od kamery musí být asi tři metry a fotograf musí používat špičkový chytrý telefon. (A takové přístroje obvykle zaostřují na obličej, a ne na prsty.)
Verze fotografií s vysokým rozlišením, jako jsou tyto vlastní ruce autora, by bylo možné použít ke zkopírování otisků prstů.
Jiní ale zase tvrdí, že byste se měli skutečně bát. Zaprvé krádež otisku prstu z fotografie se už uskutečnila.
Před dvěma roky Němec Jan Krissler totiž získal kopii otisků prstů německé ministryně obrany Ursuly von der Leyenové z veřejně dostupných fotografií a udělal trojrozměrnou napodobeninu jejího prstu, který dokázal odemknout smartphone.
Zadruhé tato technologie již existuje. Není potřebný žádný další výzkum. Zatřetí otisky prstů jsou trvalé a nelze je změnit, takže se krádež otisků nepodobá ukradení hesla, které si můžete podle potřeby upravovat.
Začtvrté fotoaparáty smartphonů jsou stále lepší. Je jen otázkou času, než většina lidí bude mít fotoaparáty minimálně stejně dobré, jako jsou nyní ty nejlepší v chytrých telefonech typu iPhone 7 nebo Samsung Galaxy S7.
A konečně hackeři mohou používat on-line fotografie jako výchozí bod namísto toho, že by se nejprve zaměřili na konkrétní lidi. Mohlo by být obtížné soustředit se na určitou osobu, protože byste museli hledat vysoce kvalitní fotografie jejích prstů.
Pokud ale začnete u snímků obsahujících prsty s vysokým rozlišením, řekněme pomocí služby Obrázky Google, potom můžete efektivně získat stovky tisíc vhodných otisků.
Sám autor zkontroloval vlastní Fotky Google a našel hromadu fotografií vhodných pro získání otisků. Kdyby je vystavil veřejně, mohl by někdo se zlými úmysly a dostatečnými prostředky použít více fotografií k vytvoření jeho otisků prstů.
2. Političtí trolové útočí publikováním vašich osobních údajů.
V této náročné politické době se v diskuzích objevují jedovaté poznámky a sociálním sítím vládne jízlivost. Nejnovějším trendem v on-line politické argumentaci je tzv. doxnutí, což je čin on-line vyzrazení osobních informací nějakého člověka.
Některé typy informací jako telefonní čísla a domovní adresy lze snadno najít on-line, což napomáhá k obtěžování. Jeden nenávistník vás „doxne“ a sto dalších vyhrožuje smrtí či bombou nebo na vaši adresu prostřednictvím ohlášení vymyšlené hrozby nějakého údajně probíhajícího násilí pošle speciální zásahovou jednotku.
Tento problém se nedávno stal na webu Reddit natolik závažným, že raději vymazali a zakázali subreddity /r/altright a r/alternativeright. Web Reddit nedokázal běžnými způsoby zabránit doxování v subredditech, takže to vedlo k radikálnímu řešení v podobě jejich ukončení.
Bohužel doxnutelné osobní údaje lze na internetu najít velmi snadno.
3. Weby zabývající se genealogií zveřejnily vaše osobní údaje na internetu.
Weby zabývající se osobními údaji, včetně webů genealogie a webů pro vyhledávání osob, zde existují celá léta.
Obchodní model byl dlouho tvořen nabídkou zajímavých informací a požadavkem zaplatit za získání informací úplných. Nyní se však objevily dva trendy, které by vás měly vyděsit.
Prvním z nich je spuštění superwebu Family Tree Now obsahujícího osobní údaje. Ten bezplatně zveřejňuje údaje, za které si ostatní nechávali platit, a nedávno způsobil velký poprask, když na tento dříve neznámý web upozornila jedna žena na Twitteru.
Když totiž zadáte jméno a příjmení hledané osoby, vypíšou se vám osoby stejného a podobného jména s rokem narození a věkem. Po rozkliknutí se dozvíte i jména členů jejich rodiny s jejich rokem narození, věkem a se současnými a předchozími adresami.
Druhým trendem je, že některé weby pro „vyhledávání lidí“ využívají sociální inženýrství, aby vás přiměly ke sdělení informací namísto toho, že by vám informace naopak poskytly.
Například web TruthFinder během procesu klade otázky a tvrdí, že mu vaše odpovědi pomohou poskytnout vám lepší data. Ve skutečnosti získává TruthFinder informace od vás.
Některé weby pro hledání lidí předvádějí dramatickou podívanou vyhledávání v databázích, aby vám řekli o někom nějaké informace, ale přitom vás zasypávají otázkami, aby mohly vaše odpovědi zadat do svých databází.
4. Mobilní aplikace posílají osobní data pryč na vzdálený server.
Čínská aplikace s názvem Meitu určená pro úpravy selfie dokáže změnit vaši tvář na fantaskní komiksový obrázek. Přitom vybělí, zesvětlí a zvětší oči a přidá vizuální efekty.
Její popularita explozivně vzrostla, protože její efekty jsou velmi neobvyklé a přehnané. Změní váš obličej na pohádkovou postavičku z komiksu.
Přes noc se však ukázalo, že aplikace posílá zpět do Číny všechny druhy informací včetně vaší lokality, údaje o vašem poskytovateli mobilních služeb, IP adresy a IMEI čísla uživatelů na platformě Android. Firma reagovala na internetové pobouření prohlášením, že data neprodává a používá je pouze na vylepšení aplikace.
Tato kontroverze zvýšila povědomí o nepříjemné skutečnosti, že mnoho aplikací shromažďuje vaše údaje bez vašeho vědomí či výslovného souhlasu. Takže jaké je řešení? Bezpečnostní aplikace? Asi ne…
5. Dokonce i bezpečnostní aplikace mohou ohrozit vaši bezpečnost
Jedním z nejlepších způsobů, jak chránit něčí soukromí na internetu, je použití VPN neboli virtuální privátní sítě. VPN vám teoreticky umožňují použít veřejný internet, jako byste byli v privátní síti.
Můžete skrýt a zašifrovat svou on-line aktivitu dokonce i před svým poskytovatelem připojení k internetu. Umožní vám také podvrhnout lokalitu, takže můžete prohlásit, že jste připojeni k internetu v jiném městě či zemi.
Flash Player má kritickou chybu. Masivně ji zneužívají kyberzločinci
3.3.2018 Novinky/Bezpečnost Zranitelnosti
Kyberzločinci si opět vzali na mušku oblíbený program Flash Player, který slouží k přehrávání videí na internetu a po celém světě jej používají milióny lidí. Zneužít se přitom snaží chybu, kterou tvůrci ze společnosti Adobe již dávno opravili. Útočníci ale sází na to, že celá řada uživatelů s instalací bezpečnostních aktualizací nijak zvlášť nepospíchá.
Před novou masivní vlnou počítačových útoků varoval český Národní bezpečnostní tým CSIRT.CZ.
„Útočníci využívají zranitelnost na neaktualizovaných systémech Adobe Flash Player k velké phisingové kampani,“ uvedl na dotaz Novinek Pavel Bašta, bezpečnostní analytik CSIRT.CZ, který je provozován sdružením CZ.NIC.
Mohou ovládnout počítač
Podle něj kyberzločinci rozesílají zprávy a pokouší se přimět uživatele, aby stáhli dokument Word. „Když oběť soubor otevře a povolí makra, nakažený soubor se pokusí zneužít chybu u Adobe Flash Player. V případě, že oběť nemá aktuální verzi aplikace, může útočník převzít kontrolu nad nakaženým systémem,“ zdůraznil bezpečnostní expert.
To jinými slovy znamená, že prostřednictvím chyb mohou kyberzločinci propašovat na cizí počítač prakticky jakýkoli škodlivý kód, případně jej zcela ovládnout na dálku. Mohli by se tak snadno dostat k uloženým datům, případně odchytávat přihlašovací údaje na různé webové služby.
Obrana je přitom velmi jednoduchá – stáhnout nejnovější verzi Flash Playeru, která již trhlinu neobsahuje. To je možné prostřednictvím automatických aktualizací daného programu nebo prostřednictvím stránek společnosti Adobe.
Častý terč útoků
„Společnost Adobe žádá uživatele, aby pravidelně prováděli aktualizace Adobe Flash Playeru a vyhnuli se tak možným útokům, které cílí na neaktuální systémy,“ uzavřel Bašta.
Flash Player používá na celém světě několik stovek miliónů lidí. Právě kvůli velké popularitě se na něj zaměřují kybernetičtí nájezdníci pravidelně. Podle analýzy bezpečnostní společnosti Record Future cílilo osm z deseti nejrozšířenějších hrozeb v roce 2015 právě na tento přehrávač videí.
To je i jeden z hlavních důvodů, proč se společnost Adobe rozhodla Flash Player sprovodit ze světa. Podle dřívějšího oznámení jej bude podporovat už jen dva roky.
Útok hackerů na Německo je jen špička ledovce, prohlásil bezpečnostní expert
3.3.2018 Novinky/Bezpečnost BigBrother
Hackerský útok na počítačové sítě německé vlády může být podle amerického experta Benjamina Reada součástí výrazně většího organizovaného útoku na evropské státy. Read, který pracuje pro americkou bezpečnostní firmu FireEye, to řekl německému listu Die Welt. V Berlíně se ve čtvrtek kvůli útoku, který podle německých odborníků přišel z Ruska, mimořádně sejde výbor Spolkového sněmu pro kontrolu tajných služeb i výbor pro digitalizaci.
"Několik měsíců pozorujeme, že (ruská skupina) APT28 cíleně napadá ministerstva zahraničí a obrany v Evropské unii a snaží se získat přístup do chráněných systémů," uvedl Read.
Právě dvojice těchto ministerstev se podle německých médií dotkl i útok na spolkovou republiku. Hackerům se při něm podařilo dostat do speciálně zabezpečené sítě německé vlády, která slouží k výměně informací mezi vládními i bezpečnostními úřady. Podle ministerstva vnitra se útok, který mohl trvat až rok, podařilo dostat pod kontrolu.
Útoky nejsou ojedinělé
Německé úřady – stejně jako instituce dalších zemí – čelily hackerským útokům i v minulosti. Například v roce 2015 se terčem stal Spolkový sněm. Za tímto i nynějším útokem podle německých bezpečnostních činitelů stojí nejspíš ruští hackeři ze skupiny APT28.
Americký expert Read je přesvědčen o tom, že APT28 není žádná běžná hackerská skupina, která si chce jen vydělat peníze. Výběr cílů, použité metody i výdrž skupiny jsou podle něj jasné indicie svědčící o tom, že je financována státem a spolupracuje se státními úřady. Jaká tajná služba za APT28 stojí, není ještě jasné, ale podíl ruských úřadů na její činnosti považuje Read za jistý. Ruští činitelé dlouhodobě takové aktivity popírají.
Spolková vláda registruje denně asi 20 vysoce specializovaných útoků na své počítače. Zhruba za jedním útokem týdně stojí podle ní tajné služby.
Stránky s lechtivým obsahem jako hrozba. Polovina Čechů si stáhla virus
3.3.2018 Novinky/Bezpečnost Viry
Nejrůznější erotické servery a porno stránky představují pro tuzemské uživatele bezpečnostní riziko. Dokládá to nový průzkum antivirové společnosti Kaspersky Lab, podle kterého si do svých počítačů a mobilů stáhla při návštěvě webů s lechtivou tematikou škodlivý kód polovina Čechů.
„Nejnovější průzkum odhalil, že polovina Čechů (49,7 %, pozn. red.) si do svého počítače, notebooku nebo chytrého telefonu stáhla během sledování porna na internetu virus. Zvýšenému riziku nákazy ‚digitální pohlavní nemocí‘ se vystavují i kvůli nedostatečné ochraně svých zařízení,“ prohlásil David Jacoby, bezpečnostní odborník z Kaspersky Lab.
Je přitom nutné zdůraznit, že nejrůznější virové hrozby se netýkají pouze klasických počítačů, ale také tabletů a chytrých telefonů. U těchto mobilních zařízení ale řeší ochranu málokdo, což kyberzločincům značně usnadňuje práci.
Falešný pocit bezpečí
„Alarmující zjištění je, že 7 % českých uživatelů na svých zařízeních surfuje bez ochrany. Nemají totiž nainstalováno žádné bezpečnostní řešení. Naopak 11 % se domnívá, že jsou v bezpečí, když sledují porno na chytrých mobilech a tabletech. Jsou totiž přesvědčeni, že se tato zařízení nemohou ničím nakazit,“ zdůraznil bezpečnostní expert.
Průzkum realizovaný na podzim loňského roku na vzorku pěti stovek Čechů také ukazuje, že se tuzemští uživatelé za sledování lechtivých videí a fotografií stydí. „Více než 17 % Čechů totiž vinu za infikování zařízení virem z pornografické stránky svádí na své blízké, ačkoliv vědí, že se tak stalo při jejich návštěvě těchto webů,“ konstatoval Jacoby.
Podle průzkumu Češi v průměru sledují porno na svých počítačích nebo tabletech čtyřikrát týdně, polovina (53 %) jich pak připouští, že se na porno kouká alespoň jednou denně. Během jedné návštěvy na těchto webech průměrně stráví 22 minut, což za celý rok dělá více než pět dnů strávených sledováním erotických fotografií či videí.
Češi a Němci jsou na tom podobně
„V této statistice se velmi blížíme Německu, kde se na stránky s obsahem pro dospělé dívá 51 % respondentů denně, v průměru pak čtyřikrát týdně,“ prohlásil bezpečnostní expert.
Každý pátý respondent z ČR (19,8 %) si navíc myslí, že je v bezpečí, pokud pro surfování na internetu využívá anonymní mód ve vyhledávači. To samé si o anonymním módu myslí 42 % Němců. 19 % Čechů také věří, že je jejich počítač v bezpečí před viry, pokud si vymažou historii prohlížeče. Němečtí uživatelé jsou o tom přesvědčeni ve 24 % případů.
Právo být zapomenut využilo na Googlu už téměř 2,5 miliónu lidí
3.3.2018 Novinky/Bezpečnost Zabezpečení
Americká internetová společnost Google dostala od poloviny roku 2014 bezmála 2,5 miliónu žádostí o vymazání odkazů z výsledků hledání v rámci „práva být zapomenut”. Jak podnik uvedl ve výroční zprávě, toho využívají politici, celebrity, ale například také úředníci. Upozornil na to server The Verge.
Firma s procesem výmazu dat začala v červnu 2014.
„Právo být zapomenut" ve výsledcích populárního vyhledávače Googlu lidem před lety přiznal Soudní dvůr Evropské unie. Stalo se tak v případu jednoho Španěla, který si stěžoval na údajné narušení soukromí v souvislosti s dražební vyhláškou na jeho opětovně nabytý dům, která se objevila ve výsledcích vyhledávání.
Lidé, kteří se rozhodnou žádost podat, mimo jiné musejí předložit digitální kopii průkazu k ověření totožnosti, například platného řidičského průkazu, vybrat z nabídky 32 evropských zemí tu, jejíž zákony se na žádost vztahují, poskytnout internetovou adresu každého odkazu, jehož odstranění požadují, a vysvětlit, proč je tato adresa „ve výsledcích vyhledávání irelevantní, zastaralá nebo jiným způsobem nevhodná".
Žádost je možné podávat prostřednictvím tohoto internetového formuláře.
Kritici označují rozhodnutí soudu za cenzuru a snahu o vymazávání historie, jejímž důsledkem bude, že o vymazání nepohodlných údajů budou žádat politici a zločinci. To se do určité míry stalo, neboť zástupci Googlu přiznali, že například politici o výmaz skutečně žádají.
Zastánci verdiktu jej hájí tím, že soud vyňal ze svého rozhodnutí odkazy, u nichž právo veřejnosti na informace převažuje nad právem jednotlivce na soukromí.
Proti falešným zprávám chtějí vědci bojovat internetovou hrou
3.3.2018 Novinky/Bezpečnost Spam
Odolnost vůči falešným zprávám získáme nejlépe tak, když si je sami zkusíme vytvořit, tvrdí vědci z univerzity v Cambridgi. Ti kvůli tomu spolu s nizozemskými vývojáři jménem DROG vytvořili vlastní počítačovou hru Bad News. Vyzkoušet si ji může kdokoliv zdarma.
V nové hře se objevil i prezident Trunp – většina hráčů si patrně ani nevšimne, že jeho jméno není napsáno správně.
Vědci si díky hře mohou otestovat následující hypotézu: když je člověk vystaven očividné lži a je mu ukázáno, jak propaganda funguje, snadněji pak odhalí důmyslnější nepravdy a polopravdy.
„Když se vcítíte do někoho, kdo se vás snaží obelhat, lépe pak odhadnete toho, kdo se vás bude snažit podvést,“ říká Sander van der Linden, sociální psycholog pracující na univerzitě v Cambridgi. Hráč tak musí ve hře vytvářet falešné zprávy a manipulovat veřejným míněním.
Poplašné zprávy o mezinárodní politice
Vypouští na internet, pochopitelně pouze v rámci herního světa, poplašné zprávy o mezinárodní politice, globálním oteplování nebo o genetickém inženýrství, píše telegraph.co.uk.
V jednom z prvních úkolů například vypustí do světa zprávu pod účtem Donalda Trunpa ve znění: „Vyhlašuji válku Severní Koreji.“ Hráč, a možná i leckterý čtenář, si zprvu ani nevšimne drobného detailu ve jméně amerického prezidenta: Trunp místo Trump. Účet a zpráva jím zveřejněná vypadají na první pohled jako oficiální, ale ve skutečnosti jsou falešné. A podobných chytáků a triků pozná hráč celou řadu.
Hra Bad News je zatím jen v angličtině zdarma k vyzkoušení na fakenewsgame.org.
Za půl roku bylo v Česku zaznamenáno 1600 DDoS útoků, nejvíce jich je domácích
3.3.2018 Lupa Počítačový útok
Kybernetické útoky DDoS jsou v Česku běžnou věcí, ukazují nová čísla společnosti net.pointers. Ta analyzovala situaci mezi srpnem loňského roku a letošním lednem. Za půl roku bylo zaznamenáno 1600 DDoS útoků, což je 51 útoků denně.
„Nejčastěji byly údery na české počítače a další zařízení vedeny z České republiky (27,32 % z celkového počtu útoků), z Velké Británie (26,12 %), z Číny (24,14 %) a Německa (22,41 %). Nejsilnější útok byl zaznamenán v polovině ledna: jeho intenzita dosáhla 14,4 Gb za sekundu. Vzhledem k tomu, že v posledních letech nejsou výjimkou ani napadení o síle přes 100 Gb za sekundu, jednalo se v globálním měřítku spíše o slabší případ,“ uvádí net.pointers.
Společnost také uvádí, že na sousedním Slovensku bylo za stejné období evidováno pouze 64 DDoS útoků.
Certifikát na tři roky už si nepořídíte, maximální platnost se zkrátila na dva
3.3.2018 Root Zabezpečení
Počínaje dnešním dnem nesmí certifikační autority vydávat TLS certifikáty s délkou platnosti tři roky. Maximální délka platnosti DV a OV certifikátů se zkracuje na dva roky, stejně jako tomu je u EV.
Členové CA/Browser Fora už před rokem rozhodli, že se maximální doba platnosti Domain Validated (DV) a Organization Validated (OV) certifikátů k 1. březnu 2018 zkrátí z 39 měsíců na 825 dnů (přibližně 27 měsíců). Od dnešního dne tedy autority nevydávají nové certifikáty na tři roky, ale nejdéle na dva. Starší tříleté certifikáty samozřejmě existují dál a podle své životnosti běžným způsobem doběhnou.
Některé autority ke změně přistoupily s předstihem, například DigiCert vydával tříleté certifikáty do 20. února, následující den už platila nová pravidla a mohli jste pořídit jen dvouletý certifikát. Autorita o tom ovšem své zákazníky informovala s předstihem, takže pokud jste stihli certifikát získat dříve, máte jej vystavený až do roku 2021. Firma vydala ke změně infografiku, která vysvětluje, jak se platnost zkracuje a jak pak bude autorita přistupovat k vystavení duplikátů certifikátů:
DigiCert
Zkracování platnosti nových certifikátů
Průběžně zkracujeme
Potřebu zkracování platnosti certifikátů vysvětluje například autorita GlobalSign, která poukazuje na stále se měnící pravidla, která se musejí přizpůsobovat proměnlivé bezpečnostní situaci. Snížení maximální životnosti certifikátu ze tří na dva roky pomáhá omezovat přítomnost starších, zastaralých a možná i nebezpečných certifikátů, které vznikly před zavedením nových pravidel.
Když se například začalo s výměnou slabé hašovací funkce SHA1, umožňovala pravidla vydávat DV a OV certifikáty na pět let. To znamená, že některé z nich jsou stále ještě platné. Pět let je velmi dlouhá doba. Vzniká tak jakési šedivé období, ve kterém sice už neplatí stará pravidla, ale stále ještě platí staré certifikáty podle nich vydané.
Zkracování doby platnosti umožňuje omezit toto období a uvést nová pravidla do praxe výrazně rychleji. GlobalSign proto například změnu provedl o rok dříve a tříleté certifikáty přestal vydávat už 20. dubna 2017. Tlak na další zkracování platnosti tu stále je, takže se pravděpodobně za čas dočkáme dalších změn.
Od deseti let ke třem měsícům
Úpravou doby platnosti certifikátů se zabývá také známý bezpečnostní odborník Scott Hellme. Ten na svém webu podrobně vysvětluje, proč je potřeba ještě dále zkracovat. Před deseti lety, kdy ještě neexistovala žádná (samo)regulace, byla autorita GoDaddy schopna vydat certifikát třeba na deset let. Některé z nich stále ještě platí, jak se můžete přesvědčit v databázi Censys.
Certifikáty s platností 10 let
První nastavení hranice pak přišlo v roce 2012, kdy byla CA/Browser Fórem přijata první verze pravidel pro certifikační autority [PDF], která omezovala platnost certifikátů na 60 měsíců – tedy na pět let. Hned v roce 2015 ale byla maximální doba platnosti zkrácena na 39 měsíců – tedy na tři a čtvrt roku. To byl vlastně stav, který jsme tu měli až do včerejšího dne.
Další návrh přišel až v únoru roku 2017, kdy Ryan Sleevi z Google navrhoval razantní omezení na 398 dnů – tedy na pouhý rok. O návrhu hlasovalo 25 autorit, ale pro byla jen jediná: Let's Encrypt. Tato otevřená autorita totiž od začátku vydává certifikáty jen na tři měsíce a její názor je v tomto ohledu naprosto jasný.
V březnu 2017 byl pak předložen další návrh, který upravoval maximální platnost certifikátů na 825 dnů – tedy na dva a čtvrt roku. Pro tuto variantu naopak hlasovaly všechny zúčastněné strany. To je právě návrh, který dnes vstoupil v platnost. Můžeme předpokládat, že se za čas opět někdo pokusí předložit další návrh, třeba opět na už jednou probíraných 398 dnů.
Proč je to potřeba
Na první pohled se zdá, že zkrácení z 10 let na tři měsíce je šíleně otravné a jen přidělává spoustu práce. Ve skutečnosti existuje ale řada praktických důvodů, proč nechceme mít na internetu certifikáty s dlouhou dobou platnosti.
V první řadě: revokace nefungují. Pokud vám unikne privátní klíč (což se opravdu stává), chcete mít možnost starý certifikát zneplatnit ještě před jeho skutečným vypršením. V opačném případě se za vás držitel klíče může zbytek doby platnosti vydávat. V současné době bohužel nemáme rozumný a široce podporovaný způsob revokace. Klasické seznamy CRL jsou obrovské, alternativní OCSP je zase problémem pro soukromí. Navíc je tu otázka, co má prohlížeč dělat, když jsou servery autority nedostupné – přestává tu tedy fungovat hlavní výhoda certifikátů, tedy možnost jejich offline ověření.
Tvůrci prohlížečů proto přistoupili k vlastnímu řešení, kdy do instalace sami vkládají seznamy neplatných certifikátů. To má také několik na první pohled viditelných úskalí – seznamy jsou tvořeny centrálně, výběrově a každý prohlížeč si to dělá po svém. Jak tedy můžete stoprocentně zajistit, že váš kompromitovaný certifikát bude revokován u všech uživatelů? Nemůžete. Nejde to.
V takové situaci je velký rozdíl, jestli máte certifikát vystavený na tři měsíce nebo na tři roky. Certifikát s krátkou platností za pár dnů vyprší a nic dalšího se nestane, nedáváte útočníkovi do ruky bianco šek, který je možné třeba dva a půl roku zneužívat.
Od dubna také bude nutné, aby byl platný certifikát v logu Certification Transparency. Ve skutečnosti bude muset být alespoň ve třech databázích od tří různých organizací. V průběhu životnosti certifikátu se ale může stát, že některý z logů bude z nějakého důvodu z prohlížečů vyřazen a jeho hlas přestane platit. V takové situaci přestane být důvěryhodný i daný certifikát, protože naráz bude mít platné potvrzení jen od dvou logů. Certifikáty s kratší dobou platnosti budou mít výhodu – včas se protočí, získají jiná potvrzení a problém nevznikne.
Musíme začít automatizovat
Správci serverů si začínají v mnoha oblastech zvykat na automatizaci, což se čím dál více týká i certifikátů a autorit. Uživatelé autority Let's Encrypt jsou na automatizaci od začátku zvyklí, postupně bude pronikat i dalším autoritám. Jelikož je protokol ACME otevřený, je možné jej použít k obsluze vlastní autority.
Je tedy pravděpodobné, že se brzy i klasické komerční autority budou snažit nabídnout automatickou cestu k získání certifikátů. Registrujete se, nabijete kredit a budete mít přístup k API umožňujícímu vystavit nové certifikáty. Odstraní to otravné ruční obnovování a zabrání lidské chybě. Let's Encrypt už navíc v praxi ověřuje, že je to velmi pohodlná a bezproblémová cesta.
Windows 7 bez antiviru, ale také s některými antiviry nepřijímá aktualizace. Co s tím?
3.3.2018 CNEWS.cz Zabezpečení
Proč se v některých případech automaticky nestahují aktualizace pro Sedmičky? Co se s tím dá dělat?
Microsoft byl nucen zastavit distribuci letošních lednových a únorových opravných balíčků pro Windows 7. Situace je však dočasná a týká se jen některých zařízení, nejedná se o dlouhodobou paušální změnu politiky, jak by se mohlo zdát. Aktualizace aktuálně nepřijímají stroje s některými antiviry. Ve výsledku však aktualizace nepřijímají ani zařízení bez antivirových systémů.
Proč? To si hned vysvětlíme.
Dostupnost letošních aktualizací pro Windows 7
Byl identifikován problém s kompatibilitou s některými antiviry po aplikaci lednových, ale později také únorových opravných balíčků. Konkrétní jména nepadla, takže nevíme, jakých antivirů a v jakých verzích se jich situace týká. Některé antiviry provádí nepodporovaná volání do jádra Windows – jsme opět u problematiky, kdy mnohé antiviry vzhledem ke hlubokým a možná necitelným zásahům do systému působí potíže.
Tato volání mohou způsobovat pády operačního systému. Situace může eskalovat až do stavu, kdy systém není schopný nastartovat. Microsoft to přímo neuvádí, ale podobná situace nastala také ve Windows 10, přičemž nekompatibilita vznikla po implementaci ochranných opatřeních proti dírám Spectre a Meltdown.
Bezpečnost
Také v případě Desítek proto platí, že během ledna a února vydané aktualizace nemusí být nainstalovaný na systémech s nekompatibilními antiviry. Klíčová je otázka, jak se Microsoft rozhodl ověřit kompatibilitu. Pokud je antivirus kompatibilní, musí v registru provést určitou úpravu, jež slouží jako signál. Bez tohoto signálu je distribuce aktualizací pro daný počítač pozastavena, viz např. článek Únorové záplatovací úterý nabídlo dávku oprav pro Windows.
Ačkoli se jedná jen o můj odhad, řekl bych, že to stejné platí na sestavách s Windows 7. jinými slovy Microsoft kompatibilitu systému s novými aktualizacemi zatím ověřuje kontrolou příslušné hodnoty v registru. Pokud není nastavena antivirem, do systému nejsou vpuštěny nové aktualizace – aspoň ne automatizovaně skrze Windows Update.
Windows 7 bez antiviru
Patrně jste se dovtípili, kde leží zakopaný pes. Zatímco Desítky v základní výbavě obsahují antivirus Windows Defender, Windows 7 obsahuje jen antispyware Windows Defender. Ten se proměnil v plnohodnotný antivirový nástroj až ve Windows 8, přičemž byl odvozen ze samostatně stojícího produktu Microsoft Security Essentials mj. pro Sedmičky.
Redmondští tento antivirový systém zdarma ke stažení stále nabízí, jenže stažení je volitelné – ve výsledku základní instalace Windows 7 antivir neobsahuje. Je proto možná trochu zvláštní, že Microsoft kontrolu kompatibility s posledními systémovými aktualizacemi nastavil tak, že pokud nemáte antivirus žádný, nikdo příslušnou hodnotu v registru nenastaví a zařízení nebude přijímat aktualizace.
Řešení
Situace se může změnit, do té doby ale můžete podniknout kroky k nápravě. Pakliže jste si do Sedmiček žádný antivir nepřidali, můžete si nějaký stáhnout. Jak jsem již uvedl, např. Microsoft nabízí zdarma svůj Security Essentials. Pokud antivirus používáte, ujistěte se, že máte poslední verzi. Případně se informujte u výrobce, zda je produkt kompatibilní s posledními aktualizacemi pro Windows.
Pakliže žádné antivirové řešení používat nechcete, je doporučeno, abyste manuálně vytvořili v registru příslušnou hodnotu, aby Windows mohl nadále automaticky přijímat aktualizace. V Editoru registru nastavte hodnotu:
Klíč: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\QualityCompat
Hodnota: cadca5fe-87d3-4b96-b7fb-a231484277cc
Typ: REG_DWORD
Data: 0x00000000 (Údaj hodnoty = 0)
Podnikové systémy trpí pod těžbou kryptoměn
28.2.2018 SecurityWorld Rizika
Nejnovější Celosvětový index dopadu hrozeb uveřejnil Check Point. Podle něj na organizace po celém světě útočil malware zaměřený na těžbu kryptoměn, přičemž téměř čtvrtina organizací bylo ovlivněných variantou CoinHive.
V Top 10 škodlivých kódů nejčastěji použitých k útokům na organizace se umístily tři různé varianty malwaru těžícího kryptoměny, CoinHive se dokonce umístil na první příčce, když ovlivnil více jednu z pěti organizaci. CoinHive těží kryptoměnu Monero bez souhlasu uživatele a implantuje JavaScript, který využívá CPU koncových uživatelů a negativně ovlivňuje výkon stroje.
„Během uplynulých tří měsíců se malware těžící kryptoměny stal velmi vážnou hrozbou pro všechny organizace, protože kyberzločinci zde vidí lukrativní zdroj příjmů,“ říká Peter Kovalčík, SE Manager ve společnosti Check Point.
„Ochrana před malwarem těžícím kryptoměny je náročná, protože škodlivý kód je často ukrytý ve webových stránkách, což umožňuje hackerům zneužívat výkon procesorů nic netušících obětí. Je proto zásadní, aby organizace používaly taková řešení, která je ochrání i před těmito maskovanými kyberútoky.“
Check Point také zjistil, že 21 procent organizací stále úspěšně nevyřešilo problém se stroji infikovanými malwarem Fireball. Fireball může být použit jako plně funkční downloader malwaru, který je schopný spouštět jakýkoli kód na počítačích obětí. Poprvé byl objeven v květnu 2017 a masivně útočil na organizace během léta 2017.
Top 3 malware ve firmách
Jedničkou mezi škodlivými kódy nejčastěji použitými k útokům na organizace se stal i v lednu CoinHive, malware těžící kryptoměny, který ovlivnil 23 procent organizací. Na druhé místo poskočil Fireball a v Top 3 se udržel exploit kit Rig ek ovlivňující 17 procent společností.
↔ CoinHive –je navržen pro těžbu kryptoměny Monero bez souhlasu uživatele.
↑ Fireball –Převezme kontrolu nad prohlížečem a může ho změnit na plně funkční downloader malwaru. Je schopen spustit jakýkoli kód na počítačích obětí, takže může provádět nejrůznější škodlivé akce, od krádeží přihlašovacích údajů až po stažení dalšího malwaru.
↓ Rig ek – Exploit kit poprvé použitý v roce 2014. Rig zneužívá zranitelností ve Flashi, Javě, Silverlightu a Internet Exploreru. Infekce začíná přesměrováním na vstupní stránku obsahující JavaScript, který zjistí a umožní zneužití zranitelných plug-inů.
Top 3 - mobilní malware
Nejčastěji použitým škodlivým kódem k útokům na podniková mobilní zařízení byl v lednu bankovní trojan Lokibot, následovaly škodlivé kódy Triada a Hiddad.
Lokibot – Bankovní trojan pro Android a současně malware zaměřený na krádeže informací, který se může změnit také na ransomware. V případě odstranění administrátorských oprávnění zamkne telefon.
Triada – Modulární backdoor pro Android, který uděluje superuživatelské oprávnění pro stažení malwaru a pomáhá jej vložit do systémových procesů. Triada take umí zfalšovat URL odkazy uložené v prohlížeči.
Hiddad – Android malware, který přebaluje legitimní aplikace a pak je umísťuje do obchodů třetích stran. Jeho hlavní funkcí je zobrazování reklam, ale může také získat přístup ke klíčovým bezpečnostním informacím obsaženým v operačním systému, což umožňuje útočníkovi získat citlivá uživatelská data.
Check Point analyzoval i malware útočící na podnikové sítě v České republice. V žebříčku došlo k řadě změn, ale zcela nejvýraznějším trendem je vzestup škodlivých kódů těžících kryptoměny, což potvrzuje i první místo, kam se stejně jako ve světě posunul CoinHive.
Zároveň vydal i žebříček zemí, které jsou nejčastěji terčem kyberútoků. V žebříčku opět došlo k mnoha výrazným změnám a i Česká republika se tentokrát posunula o 15 míst mezi nebezpečnější země a v Indexu hrozeb jí patřilo 101. místo. Naopak Slovensko se posunulo o 24 míst mezi bezpečnější země a umístilo se na 116. pozici. Na prvním místě se v Indexu hrozeb nově umístila Botswana. Největší skok mezi nebezpečné země zaznamenal Mosambik (posun ze 123. pozice na 28. příčku). Naopak Lichtenštejnsko poskočila o 119 míst z 5. pozice na druhý konec žebříčku a bezpečnější 124. příčku.
Speciální antivirus pro chytré televize představil Eset
28.2.2018 SecurityWorld Zabezpečení
Smart TV Security, bezpečnostní aplikaci pro chytré televizory s Androidem, oznámil Eset. Novinka podle výrobce ochrání diváky před narůstajícími útoky pomocí malwaru včetně obrany před ransomwarem.
Prostřednictvím napadnutého chytrého televizoru mohou kyberzločinci proniknout i do jiných zařízení připojených do stejné domácí sítě, ale také provádět špionáž a shromažďovat citlivé osobní údaje. I kvůli tomu navrhnul Eset vlastní aplikaci na ochranu chytrých televizorů s operačním systémem Android TV.
„Vzhledem k rizikům, jež představují ohrožení bezpečnosti a soukromí, musí uživatelé řešit ochranu chytrých zařízení v domácnosti stejným způsobem, jako chrání své notebooky, tablety nebo mobilní telefony – nemohou k nim přistupovat jako k obyčejným televizím, varným konvicím nebo hodinkám,“ tvrdí Branislav Orlík, Mobile Security Product Manager společnosti Eset.
Chytré televizory s operačním systémem Android TV se podle něj stávají terčem nechvalně proslulého vyděračského ransomwaru určeného pro zařízení s Androidem, který se již řadu let zaměřuje na tablety a chytré mobilní telefony.
Hrozba se nyní rozšířila i na televizory s tímto operačním systémem, což vedlo k případům zašifrovaných obrazovek a požadavkům na výkupné za jejich odšifrování.
Aplikace Smart TV Security využívá při ochraně diváků různé bezpečnostní funkce, mezi něž patří:
Antivirová ochrana, jež brání v průniku rostoucímu počtu škodlivého softwaru určenému pro zařízení s Androidem.
Nástroj Anti-ransomware, který chrání před zašifrováním obrazovky. Pokud již do televizoru proniknul ransomware a zašifroval data, doporučuje se divákům vypnout a znovu zapnout chytrou televizi, provést aktualizaci virové databáze a spustit skenování malwaru. Pokud Smart TV Security detekuje ransomware, doporučí uživateli odinstalovat malware. Po potvrzení jeho odinstalování bude ransomware vymazán.
Skenování více zařízení na přítomnosti škodlivého softwaru, včetně těch, která se k chytré televizi připojují prostřednictvím USB.
Antiphishing na ochranu uživatelů před pokusy o krádež citlivých osobních dat. Tato funkce bude k dispozici pouze v prémiové verzi aplikace Smart TV Security.
Bezpečnostní aplikaci lze do televizoru stáhnout prostřednictvím obchodu Google Play.
Německá ministerstva obrany a zahraničí napadli ruští hackeři
28.2.2018 Novinky/Bezpečnost BigBrother
Německé bezpečnostní zdroje přiznaly, že se ruským hackerům podařilo v prosinci nepozorovaně nabourat počítačové sítě ministerstev obrany a zahraničí. Zdroje podle stanice Deutsche Welle uvedly, že škodlivý malware byl do sítí nainstalován o rok dříve.
Německá vláda přiznala, že se útok povedl ruské skupině APT28 známé taky jako Fancy Bear, která je spojována s ruským vojenským zpravodajstvím. Zdroj agentury DPA uvedl, že se hackerům zřejmě podařilo do klíčové vládní sítě nasadit malware, který tam mohl být rok. Infiltrovaná byla vládní síť Informationsverbund Berlin-Bonn (IVBB), což je speciálně navržená platforma pro komunikaci kancléřství, federálních ministerstev a několika bezpečnostních institucí v Berlíně a v Bonnu. Z bezpečnostních důvodů je oddělená od veřejné sítě.
Německé úřady čelily útokům hackerů i v minulosti, kdy se internetovým útočníkům podařilo proniknout například do sítě parlamentu.
Za útokem na Bundestag z roku 2015 je také skupina APT28. Byl tak rozsáhlý, že po něm musela německá vláda vyměnit celou IT infrastrukturu.
Německá vláda uvádí, že eviduje dvacet hackerských útoků denně.
Hackeři ukradli přes 150 miliónů korun. Policie nakonec dopadla jejich šéfa
28.2.2018 Novinky/Bezpečnost Kriminalita
Ukrajinská policie dopadla vůdce nebezpečné hackerské skupiny, která bankovním systémům po celém světě způsobila škody za stovky miliónů dolarů. Oznámila to agentura Unian. Úřady jméno zadrženého nezveřejnily, podle ukrajinských médií jde o šéfa skupiny Avalanche Gennadije Kapkanova.
družení hackerů Avalanche podle ukrajinských expertů organizuje kybernetické útoky sedm let, na dopadení jeho členů pracuje policie 30 zemí světa. Kapkanova už v listopadu 2016 zadrželi ukrajinští policisté v Poltavě jihovýchodně od Kyjeva, soud ale rozhodl o jeho stíhání na svobodě a hacker krátce nato zmizel.
Podle agentury Unian bude zatčený Kapkanov obviněn z kybernetických útoků, maření soudního rozhodnutí, praní špinavých peněz a finančních podvodů. Hrozí mu trest až patnácti let vězení. Členové skupiny Avalanche čelí trestnímu stíhání i v Německu, kde způsobili škody ve výši nejméně šesti miliónů eur (přes 150 miliónů korun).
Sdružení Avalanche se podle agentury AP specializovalo na metodu takzvaného phishingu, podvodné techniky používané na internetu k získávání citlivých údajů. V minulých letech byly phishingové útoky příčinou 95 procent všech neoprávněných čerpání peněz z účtů bankovních klientů přes kanály elektronického bankovnictví.
Hackeři široce zneužívají šifrované weby, i díky podvrženým certifikátům
28.2.2018 SecurityWorld Kryptografie
Důmyslnost hackerů stoupá nebývalým tempem -- ke svým útokům stále častěji využívají zašifrovanou webovou komunikaci i známé internetové služby jako jsou Dropbox či Google Docs. Více se zaměřují také na zařízení internetu věcí, které organizace často nechávají neaktualizovaná a zranitelná.
Tyto závěry přinesla studie Cisco 2018 Annual Cybersecurity Report. Ta dále říká, že nejčastější překážkou pro vybudování spolehlivé bezpečnostní architektury je nízký rozpočet, nekompatibilita jednotlivých bezpečnostních řešení a nedostatek IT specialistů na trhu.
Proto 74 % bezpečnostních profesionálů v obraně alespoň částečně spoléhá na umělou inteligenci a 83 % na automatizaci. Útoky jsou přitom stále ničivější. A tak zatímco dříve šlo útočníkům využívajícím vyděračský software (ransomware) především o zisk, dnes se stále častěji setkáváme s útoky, které se snaží napáchat maximální škody.
Letošní studie zjistila, že kybernetičtí útočníci stále častěji doručují škodlivý software prostřednictvím šifrované webové komunikace (typicky označované HTTPS). Jedním z klíčových faktorů, které nárůst ovlivňují, je snadné získání levných či dokonce bezplatných SSL certifikátů. Hackeři tak získávají mocný nástroj, jak doručit obětem škodlivý software.
„Šifrovaná komunikace na jedné straně představuje velmi dobrý způsob, jak ochránit soukromí uživatelů, avšak na té druhé otevírá útočníkům další možnosti, jak se vyhnout detekci. Proto podniky v dnešní době stále častěji vyhledávají bezpečnostní řešení, která využívají automatizaci a umělou inteligenci, neboť ta dokážou najít podobnosti mezi známým škodlivým softwarem a anonymním vzorkem dat,“ říká Milan Habrcetl, bezpečnostní expert společnosti Cisco.
Spam: útoky přichází ve vlnách
Nevyžádaná pošta (neboli spam) stále tvoří nejčastější způsob, jakým se útočníci snaží proniknout do zařízení. Z výzkumu škodlivých domén vyplynulo, že 60 % z nich je spojeno právě se spamovými kampaněmi.
Bez ohledu na to, jak se mění prostředí kybernetických hrozeb, zůstává email důležitým a mocným nástrojem útočníků. Počet doručovaných spamů není v průběhu času konstantní, ale přímo souvisí s aktivitou botnetů (internetoví roboti zasílající spamy), především pak botnetu Necurs, který je globálně hlavním šiřitelem infikovaných emailů.
Škodlivé přílohy emailů jsou nejčastěji ve formátu sady Office (.doc, .ppt, xls a další), a to v 37,7 % případů. Následují archivní formáty, tedy přílohy obsahující přípony .zip či .jar (36,8 %) a soubory s příponou .pdf (13,7 %).
Nové techniky hackerů
Kybernetičtí zločinci se, kromě šifrované komunikace, také stále častěji zaměřují na napadení uživatelů skrze známé a legitimní služby jako jsou například Google Docs, GitHub či Dropbox, jejichž prostřednictvím šíří command and control protokoly.
Zneužívání těchto legitimních aplikací souvisí s jejich velkou oblibou a mnoho zaměstnanců je využívá i přesto, že je podniková pravidla nepovolují. Navíc je velmi těžké, někdy až nemožné, takové útoky odhalit, neboť také využívají šifrovanou komunikaci.
Organizace podceňují aktualizace zařízení internetu věcí
Výzkumníci také zkoumali, jak se organizace zaměřují na zabezpečení svých zařízení internetu věcí a zjistili, že velmi podceňují aktualizování jejich softwaru. Test, ve kterém se zaměřili na citlivost na již známé typy malwaru, provedli na 7328 zařízeních internetu věcí, jako jsou požární alarmy, čtečky karet či senzory pro regulaci teploty.
Zkouška ukázala, že celých 83 % zařízení mělo kritickou zranitelnost a aktuální patch mělo nainstalováno pouze 17 % těchto zařízení. Infikovaná zařízení přitom mohou být využita nejen k napadení vlastní organizace, ale také k DDoS útokům.
V roce 2017 totiž kyberzločinci často využívali krátké (trvající v řádu sekund), ale intenzivní útoky a podle průzkumu se s nimi v loňském roce setkalo 42 % všech organizací.
Žák se naboural do systému školy a změnil známky
28.2.2018 Novinky/Bezpečnost Kriminalita
Až roční vězení hrozí mladistvému, který se na Karlovarsku naboural do počítačového systému základní školy a změnil známky. Policisté ho zadrželi a upozornili, že učitelé měli slabá hesla. O případu ve čtvrtek informovala mluvčí policie Kateřina Böhmová.
„Když se pedagogové přihlásili k systému elektronické žákovské knížky, zjistili, že žákům byla změněna klasifikace či přidány různé poznámky,“ uvedla Böhmová.
Případ oznámili a policisté začali pátrat po hackerovi. Našli lokalizační údaje, které ukazovaly na konkrétního člověka. Při domovní prohlídce následně kriminalisté zajistili techniku, která k útoku na školu sloužila. Mladistvému, jehož věk policie nesdělila, nyní hrozí až roční vězení.
„Takový kybernetický útok by se mladému muži nepodařilo uskutečnit, pokud by zaměstnanci základní školy jednali v souladu se zásadami bezpečného užívání počítačového systému,“ shrnula mluvčí policie.
Když šifrování snižuje bezpečnost a banka vyzrazuje číslo karty
28.2.2018 Root.cz Kryptografie
Šifrování je velmi užitečná věc, ale existují okrajové situace, kdy situaci zhoršuje. Příkladem je bankovní výpis, který je šifrovaný, což umožňuje zjistit téměř všechny informace o platební kartě.
Ne vždy je šifrování prospěšné, existuje malé množství případů, kdy je tomu přesně naopak. Takovým je třeba zabezpečení elektronických výpisů z účtu od české pobočky Raiffeisenbank. Začátek příběhu je už poměrně dávný:
🙋♂️
@denikembecka
Vrchol mé lenosti: Přišel mi výpis z banky, chráněný PINem. Než abych ho hledal, radši jsem bruteforcem uhádl heslo a nezvedl zadek z křesla
1:23 PM - Apr 22, 2017
168
55 people are talking about this
Twitter Ads info and privacy
Tento status proslavil Michal Špaček ve úvodu své přednášky o rizicích sdílení kódů, kterým nerozumíme. V tomto případě Tomáš Heřmanský, autor statusu, na snímku obrazovky sice rozmazal výsledné heslo, ale ponechal záhadné hexadecimální mezivýsledky, které, jak se později ukázalo, je možné použít k vypočítání hesla.
Na příběh jsem si vzpomněl v úterý, když mi poprvé přišel podobný výpis od téže banky. Vyzkoušel jsem tedy také nástroj pdfcrack, který čtyřmístné číselné heslo PDF souboru uhodl za desetinu sekundy. Co mě ale zarazilo, byl výběr číslic, které se banka rozhodla použít jako heslo.
E-mailová zpráva s popisem, jak se k heslu dobrat
Tím heslem totiž nejsou poslední čtyři číslice čísla karty, které se na mnoha místech zobrazují otevřeně za účelem určení konkrétní karty, ale naopak čtyři z šesti tajných číslic, které jsou v naprosté většině míst nahrazeny hvězdičkami či jinak. Jejich použití vypadá na první pohled logicky – zabezpečují, aby si výpis přečetl jen oprávněný držitel karty. Vezmeme-li ale v potaz fakt, že takto omezený prostor hesel je možné projít hrubou silou za desetinu sekundy, znamená to, že každý, kdo se takto šifrovanému PDF souboru dostane, okamžitě zjistí čtyři z šesti tajných číslic. Jak špatné to může být?
Co vytěžit z výpisu
Výpis ke kreditní kartě obsahuje všechny běžné náležitosti, mimo jiné:
datum výpisu
jméno držitele karty
jeho adresu
číslo karty bez šesti tajných číslic
přehled transakcí
stav konta bonusů za používání karty
předepsanou minimální splátku
číslo účtu a variabilní symbol, pod kterým lze úvěr splatit
úrokovou sazbu
Vžijeme-li se do role útočníka, který bude chtít nabyté údaje zneužít, musí znát minimálně číslo karty a datum konce platnosti. Většina obchodníků dnes také požaduje bezpečnostní kód z podpisového proužku karty či dodatečné ověření systémem 3-D Secure, ale stále je možné najít takové, kteří jej nepožadují.
Jedním z obchodů, které požadují minimum informací o kartě, je i gigant Amazon.
Začněme datem konce platnosti karty. To na výpisu sice není uvedeno, nicméně máme jako útočník několik možností, jak se k němu dobrat. Tou první může být už samotný způsob, jak jsme se k PDF souborům dostali. Pokud to bylo nabouráním se do něčí e-mailové schránky, pak zřejmě máme i informaci o tom, kdy byl doručen první výpis z účtu. Takový výpis také poznáme tak, že dluh z předchozího období bude nulový a nulový bude i stav bonusů, které se používáním kreditní karty sbírají. K vypočtení data konce platností tak stačí zjistit, na jak dlouho daná banka obvykle vydává platební karty, což je obvykle celistvý počet roků. Tato informace není nijak tajná a její zjištění nestojí velké úsilí.
Ze stovky na deset s Hansem Peterem Luhnem
Z šestnácti číslic čísla karty jich najdeme deset přímo na výpise, další čtyři jsou tvořeny uhodnutým heslem PDF souboru. K odhalení celého čísla karty tedy zbývá uhodnout dvě číslice, což dává prostor jedné stovky různých kombinací. Jako útočník ale máme velké štěstí – čísla karet jsou totiž zabezpečena Luhnovým algoritmem. Ten zajišťuje odolnost proti překlepům při opisování čísla karty přidáním kontrolní číslice tak, aby ciferný součet čísla karty (po určité transformaci sudých číslic zprava) byl beze zbytku dělitelný deseti.
Můžeme tedy jednoduše vytipovat, které dvojice hledaných čísel splňují podmínku Luhnova algoritmu, například tímto jednoduchým programem v Pythonu:
?
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
In [1]: import luhn
In [2]: for n in range(100):
...: ccnum = "531533{:02d}34567890".format(n)
...: if luhn.verify(ccnum):
...: print(ccnum)
...:
5315330134567890
5315331934567890
5315332734567890
5315333534567890
5315334334567890
5315335034567890
5315336834567890
5315337634567890
5315338434567890
5315339234567890
Máme tedy pouhých deset kandidátů na číslo karty, které můžeme postupně nebo lépe současně v různých obchodech vyzkoušet. Nepotřebovali jsme přitom nic jiného, než přístup k e-mailové schránce s výpisy z kreditní karty. Paradoxem je, že kdyby banka výpisy nešifrovala, nemá útočník jak zjistit čtyři tajné číslice a kandidátů by měl sto tisíc.
Zabezpečení čtyřmi číslicemi nedává smysl
Tohle je jeden z mála případů, kdy nějaké šifrování je prokazatelně horší než žádné šifrování. Použití čtyřmístného číselného hesla na místě, kde je možné provádět off-line neomezené množství pokusů o uhodnutí, je absolutní nesmysl, který odradí tak maximálně bankovního úředníka; ale jen takového, který se v práci nenudí natolik, aby všech deset tisíc kombinací vyzkoušel ručně. V kombinaci s použitím přísně tajného čísla v roli hesla pak jde o zbytečné hazardování s bezpečností.
Uvedený útok je naštěstí možné provést jen tam, kde obchodník nepožaduje zadání bezpečnostního kódu karty a/nebo potvrzení v systému 3-D Secure. Tím by mělo být pro případnou oběť snazší domoci se svých peněz zpět, neboť v případě nepoužití těchto doplňkových zabezpečení se zvyšuje obchodníkova odpovědnost za škody způsobené zneužitím platební karty. To ostatně ve své reakci (1, 2) tvrdí i přímo Raiffeisenbank:
Tato forma zabezpečení výpisu slouží především jako základní ochrana proti náhodnému přečtení. Velká většina obchodníků chrání transakce kartou na internetu pomocí CVC2 a 3DS kódu. Ano, existují i obchodníci, kde nakoupíte bez kódu, pokud by zde ke zneužití došlo, tak transakci vyreklamujeme zpět. Pokud hledáte jiný způsob zasílání výpisů, nabízíme možnost jeho stahování v rámci IB, které máte plně zabezpečené. K tomuto způsobu chceme do budoucna směřovat všechny klienty.
I tak je však na místě obezřetnost a rozumně nastavené limity. Stojí také za zvážení, zda nepožádat banku o nezasílání výpisů e-mailem; je možné je stáhnout nešifrované ze zabezpečeného webového bankovnictví.
Post scriptum: výpis obsahuje celé číslo karty
Andrei Badea
@0xabadea
Líný hacker si navíc všimne, že na první stránce výpisu je desetimístní variabilní symbol, který se nápadně shoduje s heslem výpisu (předposlední čtyřčíslí) a s posledním čtyřčíslím (obsaženým ve výpisu), takže ani nemusí nic hádat. https://twitter.com/Oskar456/status/966062292168269824 …
3:44 PM - Feb 21, 2018
20
See Andrei Badea's other Tweets
Twitter Ads info and privacy
Po napsání tohoto textu se ukázalo, že se zabezpečením čísla karty je to ještě horší a velká část předchozího textu přistupuje k problému až zbytečně složitě. V tomto konkrétním případě totiž všech šest tajných číslic z čísla karty je součástí variabilního symbolu, pod kterým je úvěr splácen. Hádat zbylé číslice tedy vlastně vůbec není nutné a vyzrazení čtyř číslic uhodnutím hesla je tedy vlastně jen podružný problém.
Ne, Elon Musk lidem neposílá ethereum. Je to podvod
28.2.2018 Živě.cz Spam
Ne, Elon Musk lidem neposílá ethereum. Je to podvod
Podvodníci si zase našli způsob, jak z důvěřivých lidí vytáhnout peníze. Tentokrát k tomu použili osobu vizionáře Elona Muska, pod jehož jménem založili falešný účet na Twitteru a slíbili, že lidem rozdají ethereum v hodnotě 4 milionů dolarů. Stačí jen, když mu lidé pošlou nějaký malý obnos, aby získal adresu jejich peněženky. Samozřejmě je to nesmysl.
Skutečný Elon Musk ve středu na Twitteru informoval o plánovaném startu satelitů Starlink. Příspěvek byl relativně nadšený. Nějakého podvodníka tak napadlo, že toho využije a založil téměř totožný účet @elonhmusk, ve kterém na příspěvek navázal jednoduchým sdělením - k příležitosti úspěchu rozdá lidem 5000 kusů etherea. Pokud kryptoměnu lidé chtějí získat, mají poslat nějaký malý obnos, aby Musk získal adresu jejich peněženky.
Účet je už z Twitteru odstraněný, zpráva vypadala takto:
To celebrate this, I'm also giving awaу 5,000 ЕTH!
To identify your address, just sеnd 0.5-1.0 ЕTH to the address bеlow and gеt 5-10 ЕTH back to the address you used for the transaсtion. ЕТH Аddress: ...
If you are latе, yоur EТH will bе sent back.
— Еlon Мusk (@elonhmusk)
Zní to jako jasný podvod a podvod to také je. Už samotný princip nedává smysl, adresu peněženky stačí sdělit, není potřeba z ní něco posílat. Nicméně mnoho lidí se nachytalo a podle sledování v blockchainu je možné zjistit, že podvodníkovi už lidé poslali ethereum v hodnotě více než 16 tisíc dolarů.
Účet lze přitom velice jednoduše odhalit. Není verifikovaný a má jinou adresu. Hlavně je třeba říct, že i když je Elon Musk znám jako šílenec, určitě by jen tak lidem neposlal skoro 4,3 miliony dolarů. A určitě by nechtěl, aby mu lidé něco posílali.
Není to letos poprvé, co se něco podobného stalo. Twitter už musel zrušit účty @elonmus_ a @elonnmuusk, které se pokoušely o něco podobného.
Smart Life od Avastu ochrání IoT před malwarem. Pomůže mu A.I.
28.2.2018 Živě.cz IoT
Smart Life od Avastu ochrání IoT před malwarem. Pomůže mu A.I.Smart Life od Avastu ochrání IoT před malwarem. Pomůže mu A.I.Smart Life od Avastu ochrání IoT před malwarem. Pomůže mu A.I.Smart Life od Avastu ochrání IoT před malwarem. Pomůže mu A.I.Smart Life od Avastu ochrání IoT před malwarem. Pomůže mu A.I.
Avast zprvu před malwarem chránil počítače, pak přibral chytré telefony a nyní se pokusí dohlédnout i na malou firemní a domácí síť s chytrými krabičkami IoT. Novou bezpečnostní platformu pojmenoval Smart Life.
Jak to bude fungovat v praxi? Vedle běžné detekce malwaru bude platforma pracovat i s prvky strojového učení a odhalování podezřelé aktivity. Když se tedy třeba chytrý termostat zapne v netradiční dobu, která neodpovídá dosavadnímu charakteru používání, a zároveň začne komunikovat s podezřelými IP adresami, Smart Life aktivitu vyhodnotí jako útok, zabrání pokračování a upozorní správce domácí sítě.
Podobným způsobem by měl bezpečnostní systém odhalit třeba podezřelou aktivitu chytrých televizorů, webkamer, všemožných přehrávačů a dalších prvků v domácím LANu, nebo v síti malé firmy. Ostatně jak upozorňuje sám Avast, hromadu podobných zařízení lze zneužít útočníkem třeba k těžbě kryptoměny Monero, kterou lze při větším množství napadených krabiček smysluplně těžit i na slabších armových čipsetech.
Smart Life je nicméně pouze software, takže aby mohl neustále skenovat vaši síť, musí běžet na nějakém železe. Tím bude buď přímo výkonnější Wi-Fi router některého ze smluvních partnerů, anebo dedikovaná krabička – sniffer – připojená do LANu. „Sniffer je v podstatě takové lepší Raspberry Pi postavené přímo pro nás,“ řekl nám bezpečnostní expert Avastu Filip Chytrý.
Internet věcí
Domácí IoT může vypadat všelijak počínaje komerčními krabičkami a konče DIY. Třeba takto, když si jej složíte a naprogramujete sami. Bezpečnostní a meteorologický systém autora článku obsahuje kameru s rybím okem, infračervený a mikrovlnný detektor pohybu, teploměr, vlhkoměr, tlakoměr, luxmetr, síť vnitřních i venkovních dálkových bezdrátových sond (868 MHz, LoRa), senzor CO2 a nakonec automatické spínání světel v bytě. Vše je postavené na Raspberry Pi Zero W, které může být také napadnutelné útočníky.
Bezpečnostní a meteorologická centrála postavená na Raspberry Pi Zero W
Samozřejmě jsme se Avastu zeptali i na to, jestli bude moci zkušenější uživatel nahodit celý systém i na některou z otevřených platforem – třeba na router s OpenWrt, kam patří i populární český router Turris. Ačkoliv se tomu Avast výhledově nebrání, zatím se bude soustředit pouze na železo od partnerů.
Pro Avast není Smart Life úplnou novinkou, podle Chytrého se totiž v podstatě jedná o evoluci platformy Chime, kterou vyvíjí AVG. No a AVG dnes patří pod křídla Avastu.
Stinná stránka umělé inteligence, inteligentní stroje pomáhají kyberzločincům
22.2.2018 Novinky/Bezpečnost Bezpečnost
Mezinárodní experti bijí na poplach před možností zneužití umělé inteligence ze strany „kriminálníků, teroristů či zločineckých států”. Stostránkovou zprávu napsalo 26 odborníků na umělou inteligenci, kyberzločiny a robotiku včetně expertů z univerzit (Cambridge, Oxford, Yale, Stanford) a z neziskového sektoru (společnosti jako OpenAI, Středisko pro novou americkou bezpečnost či Electronic Frontier Foundation).
Ve zprávě píší, že v příštích deseti letech by mohla zvyšující se efektivnost umělé inteligence posílit počítačovou kriminalitu a teroristé by mohli více využívat drony či roboty. Odborníci také zmiňují možnost snadnější manipulace voleb na sociálních sítích prostřednictvím takzvaných internetových botů, což jsou počítačové programy, které pro svého majitele opakovaně vykonávají nějaké rutinní činnosti.
Tito odborníci vyzývají vlády a další vlivové skupiny k omezení těchto možných hrozeb. "Domníváme se, že útoky, které by snadnější přístup k umělé inteligenci mohl umožnit, budou obzvlášť účinné, přesně cílené a těžko odhalitelné," píše se ve zprávě.
Vyprovokované dopravní nehody
Odborníci zmiňují i některé "hypotetické možnosti" zneužití umělé inteligence. Teroristé by například mohli uzpůsobit systémy umělé inteligence používané třeba v dronech či samořiditelných dopravních prostředcích pro vyprovokování srážek a výbuchů.
Odborníci připomínají i možnost zneužití například úklidového robota v nějakém úřadu, který by se mohl dostal mezi jiné roboty, kteří připravují třeba jídlo. Takovýto robotí vetřelec by pak mohl pomocí výbušniny zaútočit na nějakého úředníka poté, co by jej identifikoval.
Podle jednoho z autorů zprávy a ředitele střediska z Cambridgeské univerzity Seána Ó hÉigeartaigha by se mohla "s větším zneužitím umělé inteligence zvýšit zejména počítačová kriminalita".
Větší záběr by mohly představovat i útoky pomocí tzv. spear phishingu, což je podvodná technika používaná na internetu k získávání citlivých údajů (útočník zasílá e-mail konkrétní osobě; pro tradiční phishing je typické rozeslání obrovského množství mailů).
Velké nebezpečí vidí Seán Ó hÉigeartaigh "v možném zneužití umělé inteligence v politice". "Již jsme zažili, jak se jednotlivci či skupiny snažili zasahovat pomocí internetu do demokratických voleb," připomíná a dodává: "Jestliže umělá inteligence umožní, aby byly tyto útoky silné, jednoduché na zopakování a složité na odhalení, mohlo by to znamenat velký problém pro politickou stabilitu."
Umělá inteligence by mohla sloužit třeba i k výrobě falešných a velmi realistických videí, která by pak mohla být použita k diskreditaci politických činitelů. Do rozvoje umělé inteligence by se mohly zapojit i některé autoritářské státy, které by pak mohly s její pomocí snadněji sledovat své občany.
Před zneužitím varoval i Hawking
Není to poprvé, co se upozorňuje na možné zneužití umělé inteligence. V roce 2014 před tím varoval známý astrofyzik Stephen Hawking, k němuž se v poslední době přidal třeba podnikatel Elon Musk a další. Zveřejněny byly také zprávy například o možném užívání zabijáckých dronů.
Tato nová zpráva přináší "nový pohled na část umělé inteligence, která by mohla přinést nové hrozby nebo změnit existující hrozby v oblastech počítačové, politické i lidské bezpečnosti".
Umělá inteligence, která se objevila v 50. letech 20. století, je obor informatiky zabývající se tvorbou strojů vykazujících známky inteligentního chování. V posledních letech bylo dosaženo pokroku v oblastech kupříkladu vnímání, hlasového rozeznávání či obrazové analýzy.
"V současnosti ještě existuje rozdíl mezi rychlostí výzkumu a možnými aplikacemi novinek. Ještě je čas jednat," říká vědec z Oxfordské univerzity Miles Brundage. Právě na jeho pracovišti začala tato zpráva vznikat.
"Na zmírnění těchto hrozeb by měli spolupracovat vědci na umělou inteligenci, vývojáři robotů a dronů i regulační orgány a politici," říká Seán Ó hÉigeartaigh.
Hackeři se dostali do cloudu Tesly běžícím na Amazonu a těžili kryptoměny
22.2.2018 Novinky/Bezpečnost Hacking
Hackeři se dostali do cloudu Tesly běžícím na Amazonu a těžili kryptoměnyHackeři se dostali do cloudu Tesly běžícím na Amazonu a těžili kryptoměnyHackeři se dostali do cloudu Tesly běžícím na Amazonu a těžili kryptoměnyHackeři se dostali do cloudu Tesly běžícím na Amazonu a těžili kryptoměnyHackeři se dostali do cloudu Tesly běžícím na Amazonu a těžili kryptoměny24 FOTOGRAFIÍ
zobrazit galerii
Bezpečnostní společnost RedLock, která se specializuje na kyberútoky a odhalení děr v systémech, objevila hacknutý účet na AWS (Amazon Wev Services) společnosti Tesla.
Tesla používá cloudovou platformu Amazonu na mnoho věcí, kromě sběru dat z automobilů i analýzu a podobně. RedLock odhalil, že jeden z administračních účtů neměl heslo a hackeři přes něj využívali výkon cloudu k těžení kryptoměn.
V rámci odměn za odhalení chyb Tesla vyplatila RedLocku pouze 3 tisíce dolarů, takže lze předpokládat, že nešlo o nějaký kritický účet, který by měl vliv na celou platformu či zabezpečení uživatelských dat. Ostatně podle vyjádření zástupců šlo pouze o testovací účet pro interní automobily Tesla.
Právě bezpečnost celé platformy je pro automobilový průmysl stále kritičtější. Obzvláště s příchodem autonomních systémů, které budou zpracovávat data z obrovského množství vozů a budou pochopitelně obsahovat i soukromá data o jednotlivých jízdách daných uživatelů. Pro hackery mají taková data jistě vysokou cenu a v nejhorším případě by případné hacknutí mohlo ovlivnit i samotnou funkčnost platformy, která bude v nějaké formě udržovat autonomní vozidla neustále připojená a kontrolovaná.
Rakousko chystá vlastního trojského koně. Bude pomáhat v boji s teroristy na internetu
22.2.2018 Novinky/Bezpečnost BigBrother
Rakouská vláda ve středu schválila balíček opatření umožňujících prostřednictvím sledování komunikace odhalovat závažnou kriminalitu a terorismus. Úřadům tak má být do budoucna umožněno nasazovat do počítačů státní sledovací software, neboli takzvaný „Bundestrojaner” (spolkový trojský kůň), informují rakouská média.
Nasazování špionážních programů do komunikačních aplikací jako jsou Skype nebo WhatsApp jsou jen jedním z opatření, která zahrnuje rozsáhlý balíček přijatý novou pravicovou vládou lidovců (ÖVP) a svobodných (FPÖ).
Zostřena má být celková kontrola veřejného prostoru. Úřady mají získat přístup k obrazovým a zvukovým záznamům z monitorovacích zařízení všech veřejných i soukromých subjektů, jako jsou dopravní podniky, letiště nebo nádraží.
Kromě toho bude systém na rozeznávání státních poznávacích značek evidovat údaje o řidiči, SPZ, značce, typu a barvě každého automobilu.
V případě počátečního podezření na trestný čin mohou úřady telekomunikačním společnostem nařídit uchovávání příslušných dat po dobu až jednoho roku.
Hackeři zneužili cloudový systém Tesly k těžbě kryptoměn
22.2.2018 Novinky/Bezpečnost Hacking
Cloudový systém amerického výrobce elektromobilů Tesla napadli hackeři a využili ho k těžbě kryptoměn. Podle sdělení společnosti RedLock, která se zaměřuje na kybernetickou bezpečnost, pronikli do administrativní konzole Kubernetes, která nebyla chráněna heslem. Dopad útoku na bezpečnost vozidel ani dat zákazníků Tesla zatím nezjistila. Jak uvedl server televize CNBC, ohroženy byly účty na úložišti Amazon Web Services (AWS).
Kubernetes je systém navržený společností Google, zaměřený na optimalizaci cloudových aplikací.
Společnost RedLock nesdělila, jaká kryptoměna byla těžena. Obdobné problémy podle ní měly i další přední firmy včetně britské pojišťovny Aviva a nizozemského výrobce SIM karet Gemalto. Průnik do systémů Tesly však byl sofistikovanější a používal několik různých strategií, aby zabránil odhalení hackerů.
Tesla problém po informaci RedLocku okamžitě vyřešila. Automobilka oznámila, že dopad na ochranu dat klientů ani na bezpečnost vozidel nezjistila. Podle mluvčího se kybernetický útok dotkl jen automobilů používaných zaměstnanci firmy.
Z analýz RedLocku je zřejmé, že poskytovatelé cloudových služeb jako Amazon, Microsoft a Google dělají, co mohou, a žádný z velkých útoků v loňském roce se nestal z důvodu jejich nedbalosti, prohlásil představitel společnosti Gaurav Kumar. "Bezpečnost je však společnou odpovědností. Organizace na všech úrovních jsou povinny sledovat infrastrukturu rizikových konfigurací, neobvyklých aktivit uživatelů a podezřelého síťového provozu," zdůraznil.
Kyberšpionážní skupina z KLDR rozšířila pole působnosti
22.2.2018 Novinky/Bezpečnost BigBrother
Severokorejská kyberšpionážní jednotka, která se v minulosti zaměřovala na jihokorejskou vládu a soukromý sektor, loni výrazně zdokonalila svou činnost a rozšířila pole působnosti do Japonska či na Blízký východ. Podle agentury Reuters to vyplývá ze studie americké společnosti FireEye, která se zabývá bezpečností v kybernetickém prostoru.
Kyberšpionážní jednotka ATP37 (Reaper) podle expertů dříve pracovala pod vedením skupiny Lazarus, která je údajně zodpovědná za kybernetické útoky na společnost Sony Pictures z roku 2014 nebo za šíření vyděračského viru WannaCry. Tím se loni infikovaly statisíce počítačů ve 150 zemích světa. Skupina ATP37 zřejmě funguje už od roku 2012, trvalou hrozbu však začala představovat až v loňském roce.
Jednotka ATP37 se dosud ve své činnosti soustřeďovala pouze na jihokorejskou vládu, armádu, média nebo organizace na ochranu lidských práv a severokorejské přeběhlíky. Podle expertů se však loni nově zaměřila i na japonské organizace spojené s misí OSN pro lidská práva a sankcemi vůči KLDR, vietnamské dopravní a obchodní firmy a finanční společnosti na Blízkém východě.
"Myslíme si, že primárním úkolem ATP37 je shromažďovat informace, které by podpořily strategické, vojenské, politické a ekonomické zájmy Severní Koreje," cituje britský list The Guardian závěry odborníků.
Kybernetické útoky, za nimiž podle expertů stojí severokorejský režim, byly v minulosti zaměřeny na letecké, telekomunikační a finanční podniky. Pchjongjang veškerá obvinění důrazně odmítl.
Google našel další díru ve Windows 10. Starší verze Windows nepostihuje
22.2.2018 Novinky/Bezpečnost Zranitelnosti
Microsoft si myslel, že chybu opravil, ale zřejmě se tak nestalo.
Byl to opět Google, kdo našel díru ve Windows a informace o ní zveřejnil. Shodou okolností je to druhý případ ve velmi krátkém období. Zatímco zmíněná díra v Edgi byla vyhodnocena jako střední hrozba, v tomto případě se budeme bavit o vysoké zneužitelnosti. To je hodnocení od Googlu, Microsoft pak díře přisoudil nálepku důležité, nikoli kritické.
V nově objeveném scénáři útoku dochází ke zneužití funkce SvcMoveFileInheritSecurity tak, že se vydává za uživatele či uživatelku. Pomocí funkce MoveFileEx se útočnice či útočník pokusí přesunout soubor do jiného umístění. Po vyvolání funkce dojde o opuštění modelu vydávání se za uživatele a k pokusu o resetování bezpečnostního popisovače nového souboru tak, aby odpovídal zděditelným oprávněním.
Chyba CVE-2018-0826
K problému dochází pouze při práci se soubory s pevnými odkazy. Pakliže je soubor přesunut do adresáře, jenž disponuje dědičnými položkami pro správu přístupu, je krátce řečeno možné, aby byl soubor díky zděděným oprávněním modifikován tím, kdo útok provádí. Podle Googlu byly dokonce nalezeny dvě velmi podobné chyby.
Jednu interně označil číslem 1427. Jedná se o chybu známou též pod označením CVE-2017-11783 a byla opravena na podzim. Týkala se přitom všech do té doby vydaných verzí Windows 10, ale také Windows 8.1. Druhý problém, na který Google upozornil po vypršení lhůty pro opravu, (Microsoft si vyžádal prodloužení oproti standardním 90 dnům, čemuž bylo vyhověno), viz výše, reklamní gigant interně označuje číslem 1428 a je známa též pod označením CVE-2018-0826.
Podle Microsoftu se tato chyba týká jen Windows 10. Výměna informací mezi Googlem a Microsoftem naznačuje, že si firmy zcela nerozumí. Redmondští tvrdí, že chybu opravili v aktualizacích, jež vydali v rámci únorového záplatovacího úterý. Chybu 1427 považovali za duplikát chyby 1428. Jenže podle Googlu byla ve skutečnosti opravena jen chyba 1427, zatímco chyba 1428 v systému zůstala.
Takže nejde o duplikát, jen o podobnou chybu. Zřejmě nás tedy čeká další oprava. Tato chyba by naštěstí neměla být snadno zneužitelná. Tedy, její zneužití je snadné, ale podmínky pro takový útok jsou jen obtížně splnitelné. Např. útok nelze provést vzdáleně, nelze jej provést ze sandboxu, který nabízí aplikace jako Chrome nebo Edge apod.
Google zveřejnil detaily k díře v prohlížeči Edge. Varoval Microsoft předem, ale ten chybu včas neopravil
22.2.2018 Živě.cz Zranitelnosti
Živě.cz v prohlížeči EdgeTmavé téma prohlížeče EdgePodporuje další technologie HTML5, třeba WebRTC 1.0, a jak vidíte, dokáže i takto zobrazit miniatury otevřených stránekKlepnutím na tlačítko nahoře vlevo můžete uložit otevřené panely na pozdějiEdge docela dobře zobrazuje PDF a nově se naučil i EPUB
Google zveřejnil detaily bezpečnostní chyby v prohlížeči Edge. Microsoft přitom o chybě věděl dopředu, ale ve stanovené lhůtě nedostatky neodstranil, informoval web Neowin.net.
Tým Googlu prostřednictvím Projektu Zero odhalil v listopadu minulého roku zranitelnost prohlížeče Microsoft Edge a poskytl Microsoftu 90 dní na opravu. Pro složitost opravy lhůtu prodloužili o 14 dní, ale ani po tomto termínu chyba nebyla odstraněna.
Zranitelnost dovoluje útočníkovi obejít zabezpečení prohlížeče a vložit škodlivý kód do počítače oběti. Chyba byla označena jako středně závažná. Microsoft je přesvědčen, že tuto záležitost vyřeší do 13. března. Proč se tak nestalo doposud však blíže nevysvětlil.
Ohrožení podnikových sítí ze strany internetu věcí je realitou
22.2.2018 SecurityWorld IoT
V nedávném seriálu BBC zvaném McMafia převzal hacker vládu nad IT sítí bombajského přístavu pomocí prodejního automatu s jen několika málo bezpečnostními údaji. Ač se takový případ může zdát nepravděpodobný, je hrozba ze strany internetu věcí vůči kriticky důležité infrastruktuře velice reálná. Jak se stále více zařízení připojuje k síti a další a další senzory nachází využít napříč průmyslovými odvětvími, stává se zároveň ohrožení podnikových sítí skrze neaktualizovaná zařízení internetu věcí skutečnou hrozbou. Zprávu přináší server SC Magazine. Jaká jsou tedy fakta za obavami z hacknutí důležitých IT systémů skrze internet věcí?
Hrozba je reálná a nezmizí sama od sebe.
Celosvětově stoupá míra využití zařízení internetu věcí. Majorita sítí je ovšem nepřipravena na takto masivní příliv nových zařízení, a ještě méně jsou připraveny na hackery a další jednotlivce, kteří se pokusí získat přístup k podnikovým sítím a uživatelským datům pro zločinné úmysly.
Gartner předpokládá, že zde do konce roku 2020 bude kolem 20,4 miliard k síti připojených zařízení. Je evidentní, že počet propojených zařízení se bude i nadále zvyšovat. To sice přináší spoustu výhod, ale také vzrůstající bezpečnostní riziko. Jak se sítě stávají dynamičtějšími a neustále rostou, je těžší a těžší identifikovat a spravovat všechna zařízení k nim připojená.
Ta hrozba je tu a je velmi reálná. Rok 2016 přinesl jeden z největších DDoS útoků všech dob – botnet Mirai – který vyřadil z provozu mnoho webových stránek. Útok byl možný díky zařízením internetu věcí, unikátním IP adresám hostujícím malware. Zařízení nejvíce se podílející na útoku? Průmyslové kamery.
Nejnovější potomek botnetu Mirai se nazývá Satori a objevil se v letošním roce, specificky cílí na procesory ARC. Hlavním účelem je krást kryptoměnu Ethereum skrze hackování online těžařských hostů a tajnému nahrazení jejich peněženek.
Mirai a Satori plně odhalují potenciál kybernetických zločinců ozbrojených malwarem a velkým množstvím nezabezpečených zařízení internetu věcí. Jak se stále více zařízení dostává na síť, hrozeb bude přibývat. Více zařízení znamená více bodů, skrze které může útočník zařízení infikovat a následně je využívat při DDoS útocích.
Jak bohužel ukazuje výše zmíněný seriál McMafia, právě klíčová IT infrastruktura je obzvláště ohrožena. Některé příklady podobných útoků na nezbytné systémy ukazuje hned několik hacknutých vodních elektráren mezi roky 2011 a 2016 a také elektrárnu ve Spojených státech, která byla infiltrována hned sedmnáctkrát mezi roky 2013 a 2014. Co je horší: jaderná elektrárna částečně hacknutá v roce 2016.
Množství zařízení připojených k podnikové síti je nejen téměř nemožné spravovat, ale někdy ani nelze jejich počet vůbec zaznamenat. Princip BYOD (buy your own device, kdy zaměstnanec nedostane firemní notebook nebo mobil, ale koupí si vlastní) a zařízení internetu věcí vede k většímu rozšíření zařízení s vlastními IP adresami a výkonem – ale často bez pořádného zabezpečení. Právě tato zařízení se poté pro hackery stávají bodem vniku do podnikových sítí.
Nová chytrá zařízení se nyní zvládají na vaše sítě připojovat samy od sebe. Vše od chytrých telefonů až po bezpečnostní kamery. Tyto zařízení nejsou spravována a mohou se stát nezabezpečenými koncovými body, které výrazně zvýší šanci na hacknutí sítě. A právě tato zařízení se také stávají hlavním cílem hackerů a kybernetických zločinců. Ti díky nim mohou využít LAN přístup na servery nebo, ještě častěji, mohou podobná zařízení sloužit k manipulaci s daty a získání přístupu do sítě.
Většina organizací si nemyslí, že mají do své sítě připojena nějaká zařízení internetu věcí, ale dokud je nehledají, nemohou si být jistí.
Mnoho firem se nyní, oprávněně, obává útoků zvenčí, které by do jejich sítí pronikly. Nejnovější firewally, systémy na prevenci proti vniknutí, pokročilé ochranné systémy a další, to vše hraje roli v obraně. Jak se však k síti připojuje stále více zařízení, je nutné hledět i na hrozby z vnitřku.
Pokud společnosti nemají kvalitní infrastrukturu na podporu zařízení internetu věcí, riskují odhalení svých podnikových sítí zločinným aktivitám. To může vést k devastujícím výsledkům, obzvláště pokud hackeři odhalí zranitelnosti v zařízení internetu věcí s přístupem ke klíčové IT infrastruktuře.
Dobrým začátečním bodem pro firmy, které berou svou bezpečnost vážně v dnešním hyperpropojeném světě, je zvýšit povědomí o všech zařízeních v síti a implementovat centralizovaný systémy správy pro zajištění dodržování všech pravidel.
Najděte je, zhodnoťte je, spravujte je. To musí být nová mantra pro ochranu organizací od všech různých zařízení. Žijeme v časech jako z televize a v kybernetickém světě musíme chránit svá aktiva lépe než ti, kteří byli na televizních obrazovkách hacknuti.
Zkontrolujte si, jestli je váš firemní počítač chráněn před chybami Meltdown a Spectre
22.2.2018 SecurityWorld Zranitelnosti
Analytická služba Microsoftu Windows Analytics nyní může prozkoumat podnikové počítače s Windows 10, 8.1 a 7 a určit, zda jsou systémy zranitelné vůči vadám Meltdown a Spectre nacházejícím se v procesorech.
Nová schopnost služby Analytics spadající pod sekci „Upgrade Readiness“, tedy připravenost na aktualizaci, představil Terry Myerson, vrcholný představitel firmy zaměřený právě na operační systém Windows. Myerson zranitelnosti nazval „výzvou pro nás všechny,“ neboť vychází z hardwaru jako takového, nikoli ze softwaru.
„K naší službě Windows Analytics jsme přidali možnost nahlásit stav všech zařízení s Windows, které IT odborníci spravují,“ píše Myerson na blogu Microsoftu.
Windows Analytics je shrnující pojem pro tři různé separátní služby: Upgrade Readiness, Update Compliance a Device Health. Zaměřují se na připravenost počítače na aktualizace a také na samotné „zdraví“ stroje. Vychází z telemetrických dat, která Microsoft z osobních počítačů s Windows získává. Windows Analytics jsou dostupné pouze pro zákazníky s licencí Windows Enterprise.
Služba Upgrade Readiness měla původně odhalovat stroje nejvhodnější k aktualizaci z Windows 7 a 8.1 na Windows 10. Doporučuje také ty systémy, které by měli jako první aktualizovat na nejnovější build, tedy verzi systému.
S aktualizací určenou na ověření zabezpečení vůči zranitelnostem Meltdown a Spectre ukáže služba IT administrátorům, zda je antivirový software počítače kompatibilní s aktualizacemi, které Microsoft vydal minulý týden a které mají lépe zabezpečit počítače vůči oběma zranitelnostem.
Upgrade Readiness také určuje, které systémy jsou již proti Meltdownu a Spectru chráněny a ty PC, které mají aktualizace dočasně deaktivovány. Poskytuje rovněž informace o aktualizacích firmwaru, které ve spolupráci s Microsoftem vydává Intel.
Protože Meltdown i Spectre se nachází přímo v procesoru, je nejlepší obranou právě aktualizace firmwaru (tedy kromě celkové fyzické výměny procesoru). Zpočátku se bude Upgrade Readiness zaměřovat jen na Intel, ale podle Myersona „přidáme i CPU partnerů hned jak budou data o nich dostupné Microsoftu“.
Zack Dvorak, programový manažer Microsoftu však varuje, že uživatelé mohou zprvu vidět množství neznámých nebo prázdných polí při využití služby. „Na vylepšení dat poskytovaných službou Upgrade Readiness pracujeme a nové informace vám zobrazíme hned jak to bude možné.“
IPhony už nelze vyřadit z provozu jedinou zprávou. Apple vydal aktualizaci systému
20.2.2018 Novinky/Bezpečnost Apple
Vyřadit prakticky jakýkoliv iPhone z provozu nebyl ještě minulý týden vůbec žádný problém. Operační systém totiž obsahoval chybu, kvůli které bylo jablečné zařízení vyřazeno z provozu poté, co obdrželo zprávu s jedním konkrétním znakem. Společnost Apple však nyní vydala aktualizaci, která tento nepříjemný problém řeší.
Informace o tom, že je možné snadno vyřadit iPhone z provozu, začala internetem kolovat na konci minulého týdne.
Ukázalo se, že iPhony se zhroutí poté, co je na nich zobrazena zpráva obsahující jeden konkrétní znak v telugštině, tedy v třetím nejpoužívanějším indickém jazyce po hindštině a bengálštině. Roli přitom nehrálo, zda se jednalo o SMS zprávu nebo zda byl text zaslán prostřednictvím Twitteru, Skypu či přes e-mail.
Apple’s latest operating system has a bug that could really mess up your phone https://t.co/gqpRzAGKqd
— New York Magazine (@NYMag) February 16, 2018
Takto vypadá znak, který dokázal vyřadit iPhone z provozu.
Ve chvíli, kdy se v jakékoliv aplikaci daný znak zobrazil, aplikace se zasekla a přestala pracovat. V krajním případě – pokud byl znak zobrazen v notifikačním okně – došlo dokonce k pádu celého operačního systému a iPhone se neustále restartoval.
Po pouhých pár dnech přispěchala společnost Apple s opravou, vydána byla v noci na úterý. Uživatelé, kteří si nechtějí nechat od vtipálků a zlomyslných uživatelů výše popsaným způsobem zablokovat své přístroje, by měli tedy co nejdříve provést aktualizaci na iOS 11.2.6.
Dříve trápily uživatele odkazy
Vtipálci – a případně i nefalšovaní záškodníci s nekalými úmysly – tak mají další možnost, jak potrápit uživatele jablečných smartphonů. A historicky to není poprvé.
V roce 2016 se například internetem šířily odkazy na speciální webovou stránku, která dokázala u iPhonů a stolních počítačů od Applu „shodit“ nejen samotný prohlížeč, ale také celý operační systém, jak je vidět i na videu níže.
Stránka obsahuje speciálně upravený kód v JavaScriptu, který zkrátka donutí zařízení provést restart. Jedinou obranou je na podobné odkazy neklikat.
Souborový systém APFS má v High Sierra kritickou chybu. Hrozí při ní ztráta zálohovaných dat
20.2.2018 Živě Apple
Systém High Sierra přinesl na Macy jako jednu v hlavních novinek souborový systém APFS. Ten je optimalizovaný pro SSD a odolnější vůči chybám moderních úložišť. Jak ale nyní zjistil vývojář zálohovací utility Carbon Copy Cloner, obsahuje chybu, při které může dojít ke ztrátě dat.
Týká se primárně dynamických diskových obrazů (sparse), které reprezentují data na externím úložišti, typicky na NASu nebo externím disku. Tam lze vytvořit obraz disku tohoto typu a nasměrovat na něj například zálohovací aplikaci. Obraz disku potom ukazuje právě takovou velikost, jakou zabírají data na fyzickém disku.
Problém ale nastane v případě, že se zaplní cílové fyzické úložiště. Systém ne vždy korektně vrátí hodnotu o zaplněném disku a jeho obraz tak stále ukazuje informaci o volném místu (a předá ji dalším aplikacím). A i přesto, že fyzicky není možné data na externí úložiště zkopírovat, systém přenos dat zobrazí jako úspěšný.
Před odpojením disku dokonce lze takto zkopírovaná data z obrazu otevřít a korektně číst. Po odpojení a znovupřipojení se však samozřejmě stanou nedostupná. To je právě v případě použití se zálohovacími aplikacemi kritickou chybou. Náprava by tak měla ze strany Applu přijít co nejdřív. Více na:
Stovky českých webů těžily virtuální mince
20.2.2018 Novinky/Bezpečnost Bezpečnost
Hned několik stovek českých internetových serverů zatěžovalo nadměrně výkon počítačů a chytrých telefonů svých návštěvníků, ukrývaly se na nich totiž speciální skripty pro těžbu kybernetických mincí, jako jsou například bitcoiny. Upozornil na to serveru Lupa.cz.
Kybernetické měny jsou fenoménem dnešní doby. V loňském roce nalákaly celou řadu uživatelů o stovky procent rostoucí kurzy prakticky všech kybernetických měn. Popularita nicméně rostla také díky tomu, že lidé mohou těžit virtuální mince sami, za jejich pořízení tedy nemusí platit ani korunu.
Pokud mají dostatečně výkonný počítač – případně chytrý telefon –, mohou si nainstalovat speciální software a s jeho pomocí kryptoměny doslova těžit – tento program totiž používá předem nastavené výpočty, jejich výsledkem je zisk virtuálních mincí. Za ty je pak možné nakupovat prakticky cokoliv.
Virus se nestahuje, web stačí jen navštívit
Stejným způsobem mohou těžit také hackeři, kteří internetem masivně šíří nejrůznější těžařské viry. Speciálními skripty, které pracují na stejných principech jako samotné viry, jsou dokonce hojně šířeny také prostřednictvím nejrůznějších webových stránek.
Do počítačů nebo jiných zařízení se tedy žádné škodlivé kódy nestahují. Návštěvníci dotčených webů pomáhají počítačovým pirátům vydělat peníze už jen tím, že web navštíví, neboť výkon jejich počítačů či jiných zařízení byl využíván k těžbě kybernetických mincí.
Objevily se na 950 tuzemských webech, jak vyčíslil bezpečnostní tým CSIRT.CZ.
Kolik lidí infikované stránky navštívilo, zatím není jasné. CSIRT.CZ nicméně kontaktoval provozovatele všech dotčených stránek, aby zjednali nápravu.
Nejrozšířenější těžařské viry
Z prvních třech míst v žebříčku nejrozšířenějších počítačových hrozeb obsadily hned dvě příčky právě těžařské viry. Konkrétně šlo o nezvané návštěvníky CoinHive a Cryptoloot.
CoinHive byl navržen pro těžbu kryptoměny monero bez souhlasu uživatele. Tento škodlivý kód implantuje JavaScript, který využívá procesor koncových uživatelů a negativně ovlivňuje výkon stroje těžbou kryptoměn. Kyberzločinci mohou využít pro těžbu kryptoměn až 65 % celkových zdrojů CPU koncového uživatele, aniž by o tom věděl.
Malware Cryptoloot funguje velmi podobně. Využívá výkon procesoru nebo grafické karty pro těžbu různých virtuálních mincí, které mohou následně počítačoví piráti směnit za skutečné peníze.
„Uživatelé stále častěji nedůvěřují vyskakujícím oknům a bannerové reklamě a využívají software pro blokování reklam, takže webové stránky více a více využívají jako alternativní zdroj příjmů těžbu kryptoměn. Ale často bez svolení a upozornění uživatelů, jejichž stroje jsou pro těžbu využívané,“ prohlásil Peter Kovalčík, SE Manager ve společnosti Check Point.
„Navíc kyberpodvodníci se ve snaze maximalizovat zisk snaží využít nástroje pro těžbu kryptoměn a získat ještě více z výpočetního výkonu uživatelů ve svůj prospěch. Je pravděpodobné, že v příštích měsících bude tento trend ještě výraznější,“ dodal.
Olympijské hry jsou rájem pro hackery. Denně se uskuteční milióny útoků
20.2.2018 Novinky/Bezpečnost Hacking
Zraky snad všech sportovních fanoušků se v posledních týdnech ubírají k Pchjongčchangu, kde se konají 23. zimní olympijské hry. Ty lákají – stejně jako v minulých letech – také počítačové piráty. Bezpečnostní experti varují, že počet útoků v době olympiády vzroste o milióny každý den.
Na útoky počítačových pirátů by měli být připraveni také uživatelé, kteří se do Pchjongčchangu vůbec nevydali a jednotlivá sportovní klání sledují z pohodlí svého obýváku.dynamic-picture-free1__660762
Počítačoví piráti totiž prakticky vždy podobně hojně sledované akce zneužívají k tomu, aby šířili nejrůznější škodlivé kódy. Sázejí především na to, že diváci touží po co nejrychlejších a nejzajímavějších zprávách.
Na sociálních sítích, různých chatovacích skupinách i v nevyžádaných e-mailech je tak možné narazit na odkazy na fotografie i videa o aktuálních výkonech či počtu medailí. Velmi často však takové výzvy směřují na podvodné stránky, kde číhají škodlivé kódy.
Výjimkou nejsou ani odkazy na videa, která však nejdou přehrát. Uživatel údajně pro jejich shlédnutí potřebuje nainstalovat speciální plugin, ve skutečnosti jde však o počítačový virus.
Počty útoků raketově rostou
Útoky nicméně nejsou nijak výjimečné ani v samotném místě konání her. V průběhu pekingských her v roce 2008 bylo podle antivirové společnosti Kaspersky Lab detekováno okolo 190 miliónů kybernetických útoků (12 miliónů denně). V Londýně v roce 2012 jich analytici zaznamenali 200 miliónů a v roce 2014 při hrách v Soči 322 miliónů. Během poslední olympiády v Riu před dvěma lety odborníci odhalili celých 570 milionů útoků.
„Olympijské hry vždy vedle úžasných sportovních výkonů nabízejí i jedinečnou přehlídku nejnovějších technologií, které často předznamenávají další vývoj. Vzhledem k obrovské důležitosti technologií pro bezproblémový chod této události je nezbytné zajistit jejich bezpečnost. Lákají totiž velké množství hackerů, jejichž cílem je narušit hlavní komunikační a informační systémy a způsobit chaos,“ uvedl Mohamad Amin Hasbini, bezpečnostní analytik ve společnosti Kaspersky Lab.
První útok postihl hry v Pchjongčchangu už během předminulého pátku, kdy probíhalo slavnostní zahájení. Tehdy kyberzločinci prováděli nájezdy na webové stránky her a korejské televizní systémy, cílem bylo kompletní vyřazení z provozu.
Šlo o tzv. DDoS útok, při kterém stovky tisíc počítačů začnou přistupovat v jeden okamžik na konkrétní server. Ten zpravidla nezvládne tak vysoké množství požadavků zpracovat a spadne. Pro běžné uživatele se pak takto napadená webová stránka tváří jako nedostupná.
Dva útoky již byly odvráceny
Hackerům však útok nevyšel, neboť na něj byli administrátoři tamních počítačových systémů připraveni. Zástupci Mezinárodního olympijského výboru to bez dalších podrobností potvrdili o několik dní později.
Přestože znají původ útoku, odmítli jej komentovat. Nechtějí prý ohrozit průběh her politickými tahanicemi. „Podobné snahy hackerů nejsou nijak výjimečné. Důležité je, že se nám je podařilo opětovně odrazit a že nijak nebyl ohrožen průběh her,“ zdůraznil pro agenturu Reuters mluvčí Mezinárodního olympijského výboru Mark Adams.
I z dalších zpráv je nicméně zřejmé, že administrátoři mají s počítačovými systémy na olympiádě plné ruce práce. Už od konce loňského roku totiž měl probíhat sofistikovaný hackerský útok na počítače více než tří tisíc klíčových zaměstnanců, kdy by se pomocí škodlivého kódu dostali útočníci k citlivým datům, případně mohli manipulovat na dotčených strojích se zobrazovanými informacemi.
Také tento útok se však podařilo ještě před startem olympiády odvrátit.
Podvod poznají jen pozorní. ČSOB varovala před počítačovými piráty
20.2.2018 Novinky/Bezpečnost Podvod
Počítačoví piráti se v posledních dnech zaměřili na klienty ČSOB, internetem šíří odkaz na podvodné stránky imitující vzhled této banky. Z klientů se snaží vylákat přihlašovací údaje k jejich účtům. Podvodné stránky přitom pozorní uživatelé poznají na první pohled.
Před falešným internetovým bankovnictvím, které imituje vzhled stránek ČSOB, varovali přímo zástupci banky.
„Upozorňujeme na výskyt podvodné stránky v designu ČSOB internetového bankovnictví s cílem získat přihlašovací data do internetového bankovnictví, data o platebních kartách a další důvěrné údaje,“ uvedl mluvčí banky Patrik Madle.
Ukázka podvodné webové stránky
FOTO: ČSOB
Ten zároveň zdůraznil, jak mohou lidé podvodné stránky odhalit. „Pokud se přihlašujete do internetového bankovnictví, zkontrolujte vždy nejdříve řádek s internetovou adresou. V každé chvíli, kdy pracujete s internetovým bankovnictvím nebo se do něj přihlašujete, musí být v adresním řádku vašeho prohlížeče adresa https://ib.csob.cz a vedle ní ikona zámku,“ prohlásil mluvčí.
Zběhlejší uživatelé patrně již vědí, že po kliknutí na zmiňovanou ikonu zámku se zobrazí certifikát potvrzující platnost a ověřující identitu stránky. To se však u těch podvodných nestane.
„V moderních internetových prohlížečích se kontrola provádí automaticky (řádek s adresou stránky zezelená, pozn. red.),“ připomněl Mandle.
Jdou po zůstatku i půjčkách
Pokud důvěřivci své přihlašovací údaje do falešných stránek skutečně zadají, jsou již jen krůček od vybílení bankovního účtu. Se znalostí telefonního čísla je totiž pro podvodníky hračkou vylákat od lidí potvrzovací SMS zprávu, pomocí které mohou například provádět peněžní transakce.
V ohrožení jsou přitom i jedinci, kteří nemají na bankovním účtu příliš mnoho financí. Útočníci mohou touto cestou sjednat bez vědomí majitele klidně i půjčku. A tyto peníze následně vyberou.
Zda kvůli podvodným stránkám přišel nějaký klient skutečně o peníze, však mluvčí banky nekomentoval. „V případě pochybností neváhejte kontaktovat helpdesk elektronického bankovnictví na telefonním čísle 495 800 111,“ dodal mluvčí.
Na pozoru by se měli mít také klienti dalších bank
V současnosti se objevily na síti pouze stránky imitující internetové bankovnictví ČSOB. Není nicméně vyloučeno, že se v dohledné době budou podvodníci vydávat za bankéře také jiného finančního ústavu v Česku.
V minulosti se touto cestou snažili například počítačoví piráti opakovaně napálit klienty České spořitelny. Obezřetnost je tedy na místě.
Agentuře unikla z cloudu osobní data 12 tisíc hvězd sociálních sítí
20.2.2018 Novinky/Bezpečnost Sociální sítě
Únik citlivých osobních dat a kontaktních údajů 12 tisíc známých osobností ze sociálních sítí oznámila marketingová agentura Octoly. Jde o známé tváře, které propagují značky kosmetických a dalších firem, jako jsou Dior, Estée Lauder, Lancôme a Blizzard Entertainment.
Webové stránky agentury Octoly
FOTO: repro octoly.com
Včera 13:27
Firma, která sídlí v Paříži, využívala tyto celebrity k propagování známých značek kosmetiky a dalších produktů. Mezi její klienty patří například společnosti Dior, Estée Lauder, Lancôme nebo Blizzard Entertainment. Společnost však měla špatně nakonfigurováno úložiště dat v cloudu a nešťastnou náhodou se jí podařilo zveřejnit řadu citlivých údajů o těchto vlivných uživatelích sociálních sítí, většinou z Instagramu, Twitteru a YouTubu.
Uniklá data obsahovala skutečná jména propagátorů značek, jejich adresy, telefonní čísla a e-mailové adresy včetně těch, které byly určeny pro používání účtů na PayPalu, a data narození. Nezřídka šlo rovněž o ověřovací tokeny, které mohly být zneužity pro převzetí účtů na sociálních sítích, a tisíce hesel a uživatelských jmen, která patřila různým internetovým účtům tvůrců.
Úložiště obsahovalo rovněž informace o 600 značkách, které využívají služeb marketingové agentury Octoly, a rovněž 12 tisíc zpráv Deep Social, které byly vytvořeny zvlášť pro každého spolupracovníka a představují podrobnou analýzu vlivu těchto osobností sociálních sítí na internetu, různé zájmové a věkové skupiny a informace o značkách, které by mohly nejlépe propagovat.
Interní záznamy o klientech
Součástí balíku informací byly i interní zprávy o klientech, které by mohly poškodit zákazníky agentury, pokud by se dostaly do rukou jejich konkurence. Podle bezpečnostní společnosti UpGuard je únik o to nebezpečnější, že řadu propagátorů značek na sociálních sítích tvoří ženy, jimž nyní hrozí obtěžování, protože byly zveřejněny jejich adresy i telefony. Marketingové agentuře nyní hrozí žaloby ze strany klientů i spolupracovníků.
„Takto citlivá data musí být rozhodně několikanásobně zabezpečena před zneužitím,“ říká bezpečnostní expert společnosti ESET Václav Zubr. „Minimem by měla být dvoufaktorová autentizace, tedy nejen jednoduché uživatelské jméno a heslo, ale také jednorázově generovaný kód zaslaný na mobilní telefon,“ dodává.
Agentura má do jisté míry štěstí, že k úniku osobních dat došlo před letošním květnem, kdy začne platit nová evropská směrnice o ochraně osobních dat (GDPR). Za podobný prohřešek by poté musela zaplatit velmi vysokou pokutu.
CZ.NIC spouští HaaS: honeypot as a service
20.2.2018 Root.cz Zabezpečení
Přesněji, přivítat jste ho mohli v říjnu loňského roku, kdy jsme spustili jeho beta verzi. Z počátku jsme nechávali volnou registraci a ladili první nedostatky, zátěžovou zkouškou pak bylo přesunutí všech uživatelů routerů Turris.
Veškeré problémy a připomínky jsme vyřešili a nic nebránilo tomu spustit ostrý provoz služby HaaS neboli Honeypot as a Service.
Co to vlastně HaaS je a k čemu slouží? Honeypot je speciální aplikace, která simuluje operační systém a dovoluje potenciálnímu útočníkovi se přihlásit přes SSH do koncového zařízení a provést libovolné příkazy nebo třeba stáhnout malware. Nainstalovat si takovou aplikaci není jednoduché a pokud se v ní objeví chyby, může být i nebezpečná. Proto jsme se rozhodli vzít bezpečnostní riziko na sebe a zpřístupnit honeypot jako veřejnou službu, na kterou mohou uživatelé Internetu přesměrovat útoky vedené na jejich routery.
Moc rádi bychom řekli, že stačí na vašem routeru či serveru povolit port 22 a přesměrovat na naše servery, ale není tomu tak. Snažili jsme se však o co nejjednodušší řešení, co se instalace a vývoje týče. Věřte, že jsme minimálně měsíc strávili pouze výběrem proxy, která musí u uživatelů běžet. K čemu proxy je? Pouze k jednomu malému, ale velmi důležitému detailu. Abychom znali IP adresu útočníka, která slouží k následné analýze chování útočníků s cílem odhalení nových, dosud neznámých útoků.
Dobrá zpráva je, že i přes krátkou dobu provozu a porodní bolesti máme hodně dat. S přírůstkem deset tisíc SSH sessions za hodinu, v takto malém počtu uživatelů (aktuálně 1 600 aktivních uživatelů), budeme brzy řešit zajímavé úlohy, jak všechna data stihnout analyzovat. Uděláme pro to maximum, protože botnety volající rm -rf jako první příkaz nás děsí a je třeba s nimi zatočit.
Nasbíraná data využívá Národní bezpečnostní tým CSIRT.CZ pro zkoumání útoků z českých IP adres, o čemž jsou pak majitelé informováni a hlavně vyzváni k nápravě. Největší počet útoků pochází z Číny, proto již spolupracujeme s Taiwanem, aby i u nich mohli zasáhnout. Na spolupráci s dalšími bezpečnostními týmy se pracuje.
NMI18_Materna
Pokud se chcete do projektu zapojit, můžete tak učinit na stránkách haas.nic.cz, kde se zaregistrujete a dle pokynů nainstalujete HaaS proxy (dostupné jako deb a rpm balíček, na PyPI nebo jen tar). V případě zájmu o analýzu dat jsou anonymizovaná data dostupná na stránce s globálními statistiky. Chybí v nich úmyslně použitá hesla, protože jsme zaznamenali nejeden případ, při kterém se uživatel omylem dostal do svého vlastního honeypotu.
Velká část e-mailů putuje internetem nešifrovaně. Kdo to změní?
20.2.2018 Root.cz Zabezpečení
Máme rok 2018 a stále jsme se ještě nevypořádali ani s pořádným šifrováním elektronické pošty. IETF má nyní nová doporučení ohledně šifrování a co možná nejlepší ochrany uživatelů. Jak jsou na tom vaše maily?
Internet Engineering Task Force (IETF) se dlouhodobě snaží o bezpečný a důvěryhodný internet. Nejnovějším příspěvkem na tomto poli je nový standard zavádějící bezpečnější přístup k elektronické poště. Přestože máme rok 2018, stále je v této oblasti co dohánět, protože velká část pošty putuje internetem v otevřené podobě nebo s velmi slabým zabezpečením.
Výsledkem je RFC 8314, ve kterém Chris Newman z Oracle a Keith Moore z Windrock vysvětlují, že v některých případech není komunikace mezi klientem a serverem šifrovaná. Zároveň dokument novelizuje celou řadu předchozích standardů a zavádí přísnější přístup s cílem zajistit uživatelům výrazně vyšší bezpečnost.
Oportunistické šifrování nestačí
Dokument identifikuje hlavní nedostatky v komunikaci mezi e-mailovým klientem (MUA) a servery. Ty mohou být přitom dvojího druhu – pro odesílání pošty (Submission) a příjem pošty (Access). Používají různé protokoly jako Internet Message Access Protocol (IMAP) (RFC3501), Post Office Protocol (POP) (RFC1939) a Simple Mail Transfer Protocol (SMTP) Submission (RFC6409).
Obvykle se při jejich použití používá zabezpečení pomocí Transport Layer Security (TLS) (RFC5246), ale často to není prováděno tím nejlepším způsobem vzhledem k utajení e-mailové komunikaci při přenosu internetem.
Typickým příkladem je takzvané oportunistické (česky příležitostné) šifrování. Předchozí standardy (RFC 2595, 3207 a 3501) totiž doporučovaly používat právě tento způsob. Klient se k serveru připojí běžným otevřeným protokolem bez šifrování a teprve v průběhu komunikace může navrhnout přechod na šifrovanou komunikaci pomocí příkazu STARTTLS.
Konkrétní podoba šifrovaného kanálu pak závisí na dohodnutých schopnostech obou stran. Jinými slovy: pokud o to klient výslovně požádá, může být zahájeno vyjednávání o sestavení nového šifrovaného kanálu pro bezpečnější komunikaci. K němu ovšem vůbec nemusí dojít, pokud se protistrany nedohodnou, přenese se pošta v klidu nešifrovaně. Navíc začátek celé komunikace vždy probíhá v otevřeném prostředí a může tak být odposloucháván nebo manipulován.
Řešení existuje, je jím implicitní šifrování, tedy použití odděleného TCP portu, na kterém se nejprve vždy povinně naváže TLS spojení a teprve v něm probíhá komunikace s poštovním serverem. Čerstvě vydané RFC tedy pro protokoly POP, IMAP, SMTP a další příbuzné doporučuje právě použití této bezpečnější metody.
Klient musí ověřovat certifikáty
Nový dokument zavádí povinnou validaci certifikátů na straně klienta, který se tak musí při navazování spojení řídit RFC 7817. V případě POP3S a IMAPS s tím není problém, protože implicitní TLS je dnes na serverech už velmi rozšířené. Jinak je to ale v případě SMTP, kde je stále ještě častým zvykem používat oportunistické šifrování se STARTTLS. Aby byl přechod pro uživatele pokud možno hladký, měly by servery po přechodné období implementovat jak STARTTLS na portu 587, tak bezpečnější implicitní TLS na portu 465.
TCP port 465 původně vznikl pro TLS variantu SMTP, ale poté se ukázalo, že není možné nijak pomocí MX záznamu signalizovat šifrování (a tedy ani použití jiného portu). Proto se stále pro komunikaci mezi servery používá původní port 25 a vyhrazení nového portu 465 bylo zrušeno. Řada uživatelů ale už mezi tím začala nový port používat pro doručení pošty ze svého klienta s implicitním TLS. Tento postup se nyní formalizuje zavedením nové služby Submissions.
Port 25 není určen pro klienty
Stále rozšířené je použití TCP portu 25 také pro doručení pošty na odesílající server (SMTP Submission), pro které jsou ovšem vyhrazeny už zmíněné porty 587 a 465. Tvůrci nového RFC proto říkají, že by poskytovatelé služeb měli své uživatele co nejdříve přesunout na bezpečnější varianty – ať už oportunistické nebo implicitní. To navíc bez ohledu na to, zda se uživatelé při použití dané služby musejí autentizovat.
Port 25 by tak měl být vyhrazen pro komunikaci mezi servery a klienti by přes něj neměli vůbec poštu na svůj odesílací server předávat. Bohužel je historicky na použití tohoto portu řada uživatelů zvyklá, takže i někteří poskytovatelé poštovních služeb nabízejí přijetí pošty přes tento port. Zároveň ale poskytovatelé připojení často použití portu 25 blokují kvůli boji s odchozím spamem, takže jsou uživatelé chtě něchtě tlačeni do použití správných rozhraní.
Změny na obou stranách
Výše uvedené změny se týkají e-mailových klientů (Thunderbird, Outlook, Apple Mail a dalších), ale také serverů. Ty podle RFC musí implementovat TLS na zmíněných komunikačních protokolech a měly by tak učinit i na jakýchkoliv dalších. Povinně musí TLS umožnit na těch protokolech, kde se uživatel přihlašuje pomocí jména a hesla.
NMI18_Sedivy
Poskytovatelé poštovních služeb by co nejdříve měli ukončit podporu nešifrovaných protokolů, čemuž by měla předcházet postupná migrace uživatelů na šifrované kanály. Za bezpečné se při tom považuje TLS verze 1.1 a vyšší. Server by měl buďto spojení se starší verzí úplně odmítnout nebo přijmout, ale poté zamítnout přihlášení uživatele. Druhá varianta umožňuje navázat komunikaci a poté předat zprávu o důvodu selhání, přináší ale riziko vyzrazení přihlašovacích údajů uživatele. Po nových uživatelích by tak mělo být od začátku požadováno použití TLS alespoň verze 1.1.
RFC 8314 zavádí řadu nových MUST a SHOULD pro obě strany komunikace: klienta i server. Cílem je opustit zastaralé oportunistické šifrování a přinést i do přenosu elektronické pošty podobné standardy, na jaké jsme zvyklí například u HTTPS. Bohužel svět webu a svět elektronické pošty dělí dvě dekády (alespoň po formalizační stránce) a starší protokoly se novým trendům obecně přizpůsobují pomaleji.
Prediktivní antimalwarovou ochranu s podporou hlubokého učení má Sophos
6.2.2018 SecurityWorld Zabezpečení
Technologie hlubokého učení, kterou Intercept X nově využívá, je podle výrobce výrazně účinnější než tradiční strojové učení. Sophos je tak prý schopen nabídnout vysokou míru detekce infekci při nízkém stupni falešně pozitivních zjištění.
Dostupnost svého produktu Intercept X, který pro detekci malware využívá neuronové sítě s technologií hlubokého učení, oznámil Sophos. Hluboké učení přináší masivně škálovatelnou detekci, která se učí na celém dostupném spektru hrozeb.
Díky svým schopnostem zpracovávat stovky miliónů vzorků může být technologie hlubokého učení – ve srovnání s tradičním strojovým učením – přesnější i rychlejší a také méně náchylnější na falešně pozitivní zjištění.
“Úspěšnost tradičních modelů strojového učení velmi silně závisí na výběru atributů použitých pro tréning a tím se do celého systémů vnáší vliv lidského faktoru. Přidáváním nových dat navíc složitost těchto modelů neustále roste, systémy opírající se o gigabajty dat jsou těžkopádné a pomalé. Problémem je i velká míra falešně pozitivních zjištění, díky kterým musí administrátoři posuzovat, zda je daný software legitimní nebo jde o malware. A důsledkem tohoto jejich vytížení je nižší produktivita IT oddělení,“ vysvětluje Tony Palmer, analytik společnosti Enterprise Strategy Group (ESG).
Neuronová síť v Intercept X podle něj využívá technologii hlubokého učení, která je oproti tradičním modelům navržená tak, aby se učila na základě zkušeností a hledala vzájemné souvislosti mezi pozorovaným chováním a malware.
Tyto korelace podle Palmera umožňují dosahovat vysoké přesnosti jak v případě identifikace již existujícího, tak i dosud nezveřejněného (zero-day) malware. Významným přínosem je prý i snížení výskytu falešně pozitivních zjištění.
Součástí nové verze Intercept X jsou I inovace v oblasti boje proti ransomwarU i ochrany proti zneužívání zranitelností. Nechybí ani mechanismy pro aktivní boj s hackerskými pokusy, jako je například ochrana proti krádežím přihlašovacích údajů.
Jde o důležitá vylepšení, protože právě krádeže identit jsou stále častějším nástrojem, který kybernetičtí zločinci využívají pro průnik do chráněné informační architektury, ve které se pak mohou pochybovat jako zcela legitimní uživatelé. Nový Intercept X umí tato podezřelá chování odhalit a předejít možným důsledkům.
Intercept X lze nasadit prostřednictvím cloudové konzole Sophos Central, a to vedle jakékoli stávající softwarové ochrany koncových bodů – míru bezpečnosti tak lze zvýšit prakticky okamžitě. Při použití ve spojení s firewally Sophos XG přináší Intercept X NAVÍC výhody synchronizované ochrany, které ještě více posílí bezpečnost dané informační architektury.
Nové funkce a vlastnosti Intercept X jsou podle výrobce ty níže uvedené.
Detekce malware pomocí strojového učení:
Hluboké učení umí odhalit známý i dosud neznámý malware i potenciálně nežádoucí aplikace ještě před jejich spuštěním, a to bez využívání identifikačních vzorů
Model si vystačí s méně než 20 MB a nevyžaduje časté aktualizace dat
Aktivní opatření
Ochrana před krádeží přihlašovacích údajů – nový Intercept X zabraňuje zjišťování hesel a dalších přihlašovacích informací z paměti, registrů i úložišť a předchází tak mechanismům, které využívá například nástroj Mimikatz.
Zjišťování přítomnosti cizích programových částí propašovaných do jiných aplikacích, což je technika využívaná pro přetrvávající hrozby a vyhýbání se antivirovým kontrolám.
Ochrana před zneužitím APC (Application Procedure Calls), tedy před útoky typu AtomBombing a mechanismy šíření, které byly využité například u hrozeb WannaCry a NotPetya. Útočníci tato volání zneužili prostřednictvím exploitů EternalBlue a DoublePulsar a mohli tak škodlivý kód provést pomocí jiného procesu.
Nové a vylepšené techniky proti zneužívání zranitelností
Ochrana před migracemi škodlivých procesů, která detekuje vzdálené zneužívání dynamických knihoven, tedy techniky pro přesouvání mezi procesy běžícími na konkrétním systému.
Ochrana před zvyšováním oprávnění, která brání tomu, aby neprivilegované procesy získaly přístup k chráněným částem systému.
Pokročilejší omezování aplikací
Omezování aplikací na úrovni prohlížeče, které brání nežádoucímu spouštění příkazů PowerShell
Omezování HTA aplikací, které brání nežádoucímu chování stejně, jako by šlo o prohlížeč.
Microsoft vydal nový update Windows, řeší restarty kvůli chybám čipů Intelu
31.1.2018 SecurityWorld Zranitelnosti
Intel nedávno varoval uživatele, aby si nestahovali firmwarové aktualizace, vydané za účelem řešení zranitelností Spectre a Meltdown, protože způsobovaly náhodné restartování systému. Microsoft na to o víkendu reagoval vydáním aktualizace KB4078130.
Bezpečnostní aktualizace deaktivovala předchozí nestabilní záplatu. Nová aktualizace je reakcí Microsoftu na týden staré oznámení, které zákazníky firmy – podniky, výrobce i koncové uživatele – varovalo před nestabilní záplatou.
Podle Intelu může nový firmware „může způsobit neočekávaně vysoký počet restartů a dalších nepředvídatelných systémových reakcí na procesorech Broadwell a Haswell.“ Tyto stále ještě rozšířené čipy pochází z let 2015 a 2013.
Microsoft na nepříjemné zprávy reagoval odstraněním mitigací pro jednu ze tří zranitelných oblastí, které Meltdown a Spectre zasahují.
„Naše vlastní zkušenost je, že nestabilita systému může v určitých případech způsobit ztrátu dat,“ potvrzuje v podpůrném dokumentu k nové aktualizaci Microsoft. „Zatímco Intel testuje, aktualizuje a nasazuje nový mikrokód, my zpřístupňujeme aktualizace KB4078130, který specificky ruší mitigaci CVE-2017-5715 ‚Branch target injection vulnerability‘. V našem testování se ukázalo, že tato aktualizace popsané chování blokuje.“
Aktualizace je dostupná pro všechny dosud podporované verze Windows, tedy 7, 8.1, 10 a související Windows Server edice. Spolu s tím Microsoft zveřejnil klíče, které IT administrátorům umožňují v registrech libovolně aktivovat či deaktivovat vybrané mitigace Spectre a Meltdown zranitelností.
Společnost Microsoft dále doporučuje uživatelům, aby poté, co Intel oznámí vyřešení problémů, uživatelé zablokované mitigace znovu povolili.
Neutopte se v bezpečnostních datech
29.1.2018 SecurityWorld Bezpečnost
Mnoho firem si myslí, že vědí, co jsou klíče k jejich království a kde se nacházejí příslušné brány. Bohužel často zjišťují, že nejzávažnější narušení jejich výsostného území se často stane úplně někde jinde. Threat intelligence jim umožní mít bezpečnostní rizika i bezpečnostní programy pod kontrolou.
Organizace mohou například sledovat aktivity v bankomatech a uniknou jim jemné varovné signály procházející přes jejich centrální počítač, říká Sharon Vardi, marketingový šéf v Securonix. „Aniž si to uvědomují, nechávají firmy své korunovační klenoty napospas.“
Chceme-li vědět, co je nutné hlídat, je potřeba sbírat data k analýze a nechat někoho takovou analýzu vykonávat. Firmy však neuspějí, pokud neshromažďují a neanalyzují úplný datový proud – úspěch vyžaduje více než jen snímek z omezeného časového intervalu. Data se musejí shromažďovat předtím, během a poté, co dojde k záškodnické aktivitě.
„Podniky také musejí zahrnout data z celé sítě, z každého jednotlivého koncového bodu a potenciálně dokonce z externích a veřejných zdrojů umístěných vně sítě,“ vysvětluje Alan Hall, ředitel strategie ve firmě Blue Coat Systems. „V opačném případě budou reakce přinejlepším limitované.“
Nutný kontext
Schopnost reakce na incidenty je místo, kde mohou vznikat problémy. To vyžaduje získat kontext – informace nad rámec toho, co se nachází v nezpracované podobě. Kontext lze použít k identifikaci pokročilého či jinak skrytého útoku nebo kompromitace a poskytuje prostředky ke zjištění nejvhodnějšího způsobu reakce.
„K řádné správě bezpečnostních incidentů potřebují firmy nejen sběr dat, ale také jejich analýzu v reálném čase a ukládání těchto dat, aby je bylo možné použít později k nalezení souvislostí s novými daty proudícími v reálném čase,“ vysvětluje Travis Smith, výzkumník ve společnosti Tripwire. „Problémem je, že ukládání dat stojí peníze a správa a využití těchto dat mohou být také skutečným problémem.“
Realitou je, že bezpečnostní týmy, jež chtějí analyzovat protokoly, jsou vydané na milost vývojářům, kteří rozhodují o tom, co protokolovat a z jakých systémů. Tyto podrobnosti se často vestavějí do systémů (nebo přesněji řečeno se opomíjejí) už při jejich vývoji.
Bezpečnostní protokoly jsou však i tak jen špičkou ledovce. Skutečná podstata spočívá v zachytávání paketů v rámci celé sítě. Překonání této bariéry tvořené jen protokoly a přechod na zachytávání síťového provozu sice přinášejí firmám velké množství bezpečnostních dat, ale také další problém: „Data zabezpečení nejsou totéž co big data,“ vysvětluje Smith. „Jsou to morbidně obézní data.“
Normální osvědčené postupy pro ukládání dat počítají se 30 dny provozu, ačkoli některé oborové zásady vyžadují více a některá vládní nařízení dokonce ještě více. „Je to téměř nedbalost, když bezpečnostní tým funguje jen v režimu pohotovosti a nedokáže analyzovat kontext,“ dodává Hall.
Někdy je to více než jen otázka jak moc – mohla by to být také otázka jak: zákazníci se snaží od svých programů pro správu zabezpečení dostat to, co chtějí. „Bezpečnostní týmy buď nedostávají žádné výstrahy či příliš málo výstrah ... Nebo trpí vážnou přemírou výstrah a následným vyčerpáním,“ říká John Humphreys, viceprezident společnosti Proficio.
„Rozhodně zachytávejte svá data protokolů, ale směřujte svou pozornost nad rámec protokolů a využívejte také informace z interní sítě. Měli byste také provázat relace dohromady, zachytávat řetězce paketů a nakonec využívat plné zachytávání paketů,“ doporučuje Smith z Tripwiru.
Podle Vardiho by podniky měly uvážit také využití externích zdrojů dat, které se tradičně nepovažují za bezpečnostní údaje. To zahrnuje například aktivity na Facebooku, vyhledávače zaměstnání a další dostupné datové zdroje.
„Za těchto okolností je férové využívat data společnosti za pomoci zpravodajských kanálů z otevřených zdrojů,“ dodává Vardi. Tyto zdroje dat nemusejí vypadat jako bezpečnostní data, ale mohou dramaticky změnit kontext bezpečnostních dat a poskytnout firmám nový způsob, jak se dívat na svůj rizikový profil.
Samozřejmě je pro užitečnost threat intelligence nutné, aby byly zpravodajské kanály věrohodné a založené na spolehlivých zdrojích, jež zahrnují i ty vlastní interní. Existuje velké množství aplikací, které generují spoustu zdánlivě neškodných interních přenosů, z nichž většina je navržena pro sdílení dat, aby mohly firemní týmy dělat svou práci. Přesto není možné zahrnutí těchto zdrojů dat a kvalitu těchto dat opomíjet.
Výhradně interní síťové přenosy se totiž často ignorují nebo nedochází k jejich detekci, pokud se sledují jen systémové protokoly pro vniknutí a úniky dat. To je obvykle způsobené tím, že takové přenosy probíhají horizontálně uvnitř sítě a nikdy neprocházejí přes systémy, které nativně monitorují vniknutí, a ani při své cestě neputují přes hraniční firewall.
„Vniknutí a úniky nastávají jen tehdy, když přenosy zařízení vstupují do podnikové sítě nebo ji opouštějí,“ vysvětluje Carmine Clementelli, manažer divize PFU Systems ve společnosti Fujitsu. „Podobně také řídicí komunikace probíhá mimo síť pomocí externích dočasných webových stránek. Ve většině případů platí, že pokud najdete problém na této vrstvě, je už příliš pozdě.“
Jaký kontext hledat?
Když přijde otázka na určení kontextu, který se použije pro vyhledání hrozeb, jimž společnost čelí, a probíhajících útoků, je nutné vybrat jednu z následujících tří možností:
Nechat systém automaticky definovat kontext a doufat, že jeho dodavatelé definovali konfigurace a pravidla, tak „aby to fungovalo dobře“.
Použít svůj vlastní naučený kontext, který jste během času získali, a doufat, že své prostředí znáte dostatečně nebo alespoň tak dobře jako útočníci.
Definovat kontext za běhu způsobem ad hoc a pokoušet se k tomu použít data o hrozbách a podpůrné informace a pak se doslova modlit, abyste měli stále náskok a nestali se obětí únavy z nadmíry varování.
Anebo lze využít výhody bezpečnostní komunity a využívat oborové sady a oborové profily definované ostatními pro výběr a následné úpravy kontextu. „Bezpečnostní týmy potřebují pozorovat svůj IT život v realitě pomocí zkušeností jiných firem,“ tvrdí Humphreys a dodává, že právě to je dobrý způsob, jak pochopit skutečný kontext.
Co se týká lidí zevnitř, kteří by mohli krást data a posílat je konkurenci, spočívá kontext ve sledování toho, zda nějací zaměstnanci či smluvní dodavatelé nepřistupují k datům mimo obvyklý rámec, například častěji. Můžete také zachytit provoz, který ukazuje, že zaměstnanci sdílejí citlivé údaje mimo organizaci, například pomocí osobního e-mailového účtu nebo vyměnitelného USB disku.
Zaměstnance, který nedávno dostal nějaké špatné hodnocení, lze označit za ještě větší riziko. A pokud se například dodavatel (třetí strana) snaží několikrát přihlásit a přistupovat k systémům firmy mimo obvyklý rámec, může to být příznak, že se buď chová zle on sám, nebo že se stal obětí phishingového útoku.
Ale nejsou to jen lidé a systémy, co poskytují kontext. „Entitou může být také dokument,“ vysvětluje Vardi. „Chování dokumentu je stejně tak důležité sledovat. Kde se nachází? Kdo k němu přistupuje? Z jaké IP adresy se k němu přistupuje? Kam se přenáší?“
Každý z těchto aspektů – při sledování společně s dalšími událostmi a varováními – může přinést dodatečný kontext k jinak nezjištěné škodlivé aktivitě. Pokud se například zaměstnanec, partner nebo zákazník obvykle přihlašují z počítače se systémem Windows a používají Firefox a najednou dochází ke stahování dokumentů z počítače Mac pomocí prohlížeče Safari, potom by to mohl být příznak probíhajícího problému.
Bankomatový podvod je dalším příkladem z reálného světa, který v současné době významně roste. Představte si klienty banky, kteří jsou jejími zákazníky 20 let a většinu této doby s bankou komunikují určitým způsobem. Můžete hledat anomálie v jejich aktivitách: výše jejich výběrů, místa výběrů, použitou kartu. Dokonce i počet použití karty během dne na různých místech.
A stejný princip můžete použít pro monitorování přístupu k podnikovým zdrojům a dalších aktivit uživatelů a systémů v síti. Zde je několik příkladů:
Koncový bod přidělený jednomu uživateli se přihlašuje do sítě několikrát pomocí více uživatelských identit. Pokud toto vidíte, existuje reálná možnost, že došlo ke kompromitaci systému.
Nešifrované přenosy typu sever-jih se souvislostí s interními přenosy východ-západ – mějte se na pozoru před síťovými aktivitami, které přijdou zvenčí a pohybují se laterálně. Takto související přenosy mohou být příznakem neautorizovaného uživatele či zařízení v síti.
Využívání metod detekce založených na chování – sledování odchozích přenosů a přenosů peer-to-peer pro zjišťování, kam přenosy směřují a jak často danou cestou putují. Zaměření na vstup by ale nemělo být jediným přístupem – musíte totiž také předpokládat, že malware je už uvnitř, a sledovat proto i výstupy.
Využijte výhodu detekce řízení a identifikace existujících útoků, které pravděpodobně odesílají data. Uvědomte si přitom, že odesílání dat často neprobíhá jako jeden přenos a může proběhnout jako řada malých akcí za dlouhou dobu. Ve středu, který představuje dlouhé období aktivity, dochází k bočním pohybům. Identifikace je v tomto případě možná na základě chování, nikoliv pouhou analýzou paketů. Uvažte, že web schválený oddělením IT nebo oddělením zabezpečení, který je však unesený a využívaný útočníkem jako úložná služba, nebudou vaše systémy pro reputaci a filtrování vůbec detekovat.
Při analýze používaných funkcí aplikací jděte nad rámec monitorování aplikací na nejvyšší úrovni. Facebook jako celek se může v případě některých zaměstnanců ještě akceptovat, ale jak a kdy se využívají řešení jako chat Facebooku nebo sledování a odesílání videa v rámci této sociální sítě? Jaká a kolik dat se přenáší při využití uvedených funkcí?
V Androidu špehuje malware SkyGoFree
23.1.2018 SecurityWorld Android
Největší dosavadní bezpečnostní hrozbou roku 2018 spojenou s operačním systémem Android – tedy alespoň podle zájmu médií – je malware s mírně zarážejícím názvem SkyGoFree. Samotné jméno pravděpodobně pochází od výzkumníků společnosti Kaspersky a nestojí za ním žádné tajemno.
Toto slovní spojení totiž bylo nalezeno v jedné z domén požitých ve zkoumaném vzorku a malware tak nijak necílí na uživatele telekomunikační společnosti Sky nebo její televize Sky Go. A co vlastně SkyGoFree (nebo SkyFree dle identifikace produkty společnosti Sophos) přesně je? Jedním slovem: Spyware.
Následující část dekompilovaného kódu v Javě, přičemž znalost tohoto jazyka není nutná, protože se jedná jen o ilustraci, naznačuje rozsah dat, která může tento malware ukrást:
. . .
public static final String URL_UPLOAD_CAMERA = "upload_camera.php";
public static final String URL_UPLOAD_CELL_INFO = "upload_cella.php";
public static final String URL_UPLOAD_FILESYSTEM = "upload_filesystem.php";
public static final String URL_UPLOAD_FILE_SEND = "upload_documents.php";
public static final String URL_UPLOAD_HISTORY = "upload_history.php";
public static final String URL_UPLOAD_INFO_TEL = "upload_info_tel.php";
public static final String URL_UPLOAD_LISTAPP = "upload_listapp.php";
public static final String URL_UPLOAD_REG_CALL = "upload_reg_call.php";
public static final String URL_UPLOAD_RUBRICA = "upload_rubrica.php";
public static final String URL_UPLOAD_SMS = "upload_sms.php";
public static final String URL_UPLOAD_WHATSAPP_SMS = "upload_whatsapp_msg.php";
. . .
Při pozornějším pohledu si lze všimnout slova RUBRICA – jde o italský pojem pro adresář. Mnohé ze škodlivého kódu tohoto malware pochází pravděpodobně od italsky mluvících autorů. Výše uvedená ukázka pochází ze souboru s názvem Costanti.java, což by v angličtině odpovídalo názvu Constants.java.
SkyGoFree obsahuje řadu škodlivých funkcí včetně StartReverse(), která nakažený telefon připojí k serveru kybernetických zločinců a umožní tzv. reverzní shell (pojem shell odkazuje na terminologii unixových a linuxových systémů). Za normálních okolností se uživatel musí přihlásit do příkazové řádky a provést připojení k zařízení, což znamená projít několika firewally i překladem síťové adresy, které stojí v cestě.
Řada mobilních datových sítí a téměř všechny Wi-Fi sítě, kde je uživatel konzumentem dat (klient), sice umožňují odchozí komunikaci s jinými lidmi, ale připojení k jeho zařízení již nedovolí - jeho zařízení tak nemůže sloužit jako poskytovatel dat, tedy server. A právě technika reverzního shellu umožňuje hackerům toto omezení obejít a celý proces přihlašování vlastně o 180 stupňů převrátit.
První krok sice i v tomto případě iniciuje uživatelské zařízení, nicméně pouze za účelem navázání spojení se serverem provozovaným počítačovými podvodníky. Následně se již nakažený telefon chová jako server, zatímco zločinci vystupují jako klienti – přihlásí se a získají nad zařízením nic netušící oběti přímou kontrolu.
Součástí SkyGoFree je vlastnost – dá-li se tak vůbec tato funkce nazvat – označovaná jako Social, jejímž cílem je sbírat data z mnoha dalších aplikací spuštěných na klientském zařízení.
Následující fragment kódu ukazuje, jak se SkyGoFree pokouší získat data ze sociálních sítí:
. . .
mMap.put("messenger", new Social("/data/data/com.facebook.orca/databases/", new String[] { "upload_facebook_chat.php" }));
mMap.put("facebook", new Social("/data/data/com.facebook.katana/databases/", new String[] { "upload_facebook_search.php", "upload_facebook_contacts.php" }));
mMap.put("whatsapp", new Social("/data/data/com.whatsapp/databases/", new String[] { "upload_whatsapp_msgstore.php", "upload_whatsapp_contacts.php" }));
mMap.put("gmail", new Social("/data/data/com.google.android.gm/databases/", new String[] { "upload_email_gmail.php" }));
mMap.put("mlite", new Social("/data/data/com.facebook.mlite/databases/", new String[] { "upload_messengerlite_chat.php" }));
. . .
Dobrou zprávou je, že drtivé většiny telefonů se systémem Android využívaných běžným způsobem se tento problém netýká a aplikace si data vzájemně (a nepozorovaně!) číst nemohou. Pokud nejde o rootnutý telefon nebo o příliš staré či neaktualizované zařízení, které obsahuje bezpečnostní chybu umožňující utajený automatický Root, nebude uvedená část tohoto malware fungovat.
SkyGoFree obsahuje i komponentu, která „může volat domů“ a stáhnout si k instalaci další moduly. Jde vlastně o obdobu systému pluginů, jen ve světě malware. Nicméně aktuálně jsou tyto dodatečné balíčky nedostupné. Malware bývá často naprogramován tak, aby se mohl sám aktualizovat i rozšiřovat. Důsledkem tohoto přístupu je, že reálné hrozby jsou ještě větší a nikdo, ani uživatelé ani bezpečnostní výzkumníci, vlastně neví, k čemu infikovaná zařízení kybernetičtí zločinci v budoucnu zneužijí.
Z pohledu uživatele
Zkoumaný vzorek Malware předstírá, že se jedná o „aktualizaci systému“ a používá k tomu zelenou ikonu Androidu:
Dojde-li ke spuštění této aplikace, poběží na pozadí a takřka okamžitě svoji ikonu odstraní a uživatel tak může snadno podlehnout dojmu, že se „aktualizace“ zdařila. Naštěstí se ale tento program stále zobrazuje v přehledu aplikací (Nastavení|Aplikace), kde ho lze zastavit a odinstalovat:
Všechny dostupné informace svědčí o tom, že tento malware nikdy nebyl součástí obchodu Google Play. Aby šlo tento škodlivý software nainstalovat, musí uživatelé zapnout volbu Povolit instalaci neoficiálních aplikací (Nastavení|Zabezpečení|Neznámé zdroje):
Obchod Google Play sice není rajská zahrada bez jakéhokoli viru obehnaná neprostupnou zdí, nicméně ve srovnání s neznámými zdroji – jako jsou alternativní obchody, nemoderovaná diskusní fóra nebo odkazy od přátel – jde pořád o mnohem bezpečnější místo pro získávání aplikací.
Co s tím?
Držet se obchodu Google Play. Pokud opravdu potřebujete využívat specifickou aplikaci, která není k dispozici v Google Play, po její nainstalování možnost využití neznámých zdrojů opět zakažte (Nastavení|Zabezpečení|Neznámé zdroje).
Používejte antivirový program pro operační systém Android.
Nevěřte systémovým aktualizacím třetích stran. Zvláště obezřetní buďte před „aktualizacemi“ uvádějícími, že nabízí další funkce a vlastnosti, které oficiálně nejsou k dispozici.
Každý den kolují internetem statisíce virů
9.1.2018 Novinky/Bezpečnost Analýzy
Bezpečnostní odborníci z antivirové společnosti Kaspersky Lab spočítali, že každý den koluje internetem rekordních 360 000 virů. Toto číslo je alarmující i s ohledem na to, že o rok dříve to bylo o 11,5 % méně. Uživatelé by tak nejrůznější počítačové hrozby rozhodně neměli podceňovat.
Aktivita počítačových pirátů v kyberprostoru se zkrátka neustále zvyšuje, jak je ze statistik patrné. Například v roce 2011 kolovalo internetem pouze 70 000 škodlivých souborů denně. Od té doby prakticky každý rok počet virů pouze roste, v současnosti dosahuje pětinásobku původní hodnoty.
V uplynulých měsících se přitom nejčastěji šířily vyděračské viry z rodiny ransomware.
„V průběhu posledních dvou let jsme zaznamenali enormní nárůst počtu útoků ransomwarem. Předpokládáme, že tento trend bude i nadále pokračovat, protože za vývojem ransomwaru stojí obrovský zločinný ekosystém, který denně produkuje stovky nových hrozeb,“ prohlásil Vyacheslav Zakorzhevsky, vedoucí anti-malwarového týmu ve společnosti Kaspersky Lab.
Jak probíhá útok vyděračského viru
Útoky vyděračských virů probíhají prakticky vždy na chlup stejně. Nejprve zašifrují záškodníci všechna data uložená na pevném disku. Za jejich zpřístupnění pak útočníci požadují výkupné, a to klidně i několik tisíc korun.
Kyberzločinci se zpravidla snaží v majiteli napadeného stroje vzbudit dojem, že se ke svým souborům dostane po zaplacení pokuty. Ta byla údajně vyměřena za používání nelegálního softwaru apod. I proto jim celá řada lidí již výkupné zaplatila.
Ani po zaplacení výkupného se ale uživatelé ke svým datům nedostanou. Místo placení výkupného je totiž nutné virus z počítače odinstalovat. Zpřístupnit nezálohovaná data je už ale ve většině případů nemožné.
„Minulý rok se také výrazně rozšířily minery. Tento malware začali kyberzločinci využívat ve vyšší míře především proto, že stoupala obliba kryptoměn. V neposlední řadě stojí za zvyšujícím se počtem každodenně detekovaných škodlivých souborů i zlepšující se bezpečnostní technologie. Díky každé nové aktualizaci jsme schopni detekovat více druhů malwaru, a tím pádem stoupá i počet objevených hrozeb,“ uzavřel Zakorzhevsky.
Microsoft vydal záplatu a počítače s AMD přestaly startovat. Prý za to nemůže
9.1.2018 Živě.cz Zranitelnosti
Microsoft sice vydal první várku záplat proti chybám v procesorech Meltdown a Spectre už zkraje roku, nicméně po týdnu je musel zablokovat. Tedy ne všem – jen majitelům počítačů s některými procesory od AMD.
Oprava totiž zalátala chyby v procesorech opravdu dokonale: Po instalaci nelze nastartovat Windows. To je samozřejmě ohromný problém, Microsoft však v oznámení jednoznačně viní AMD.
Dokumentace k procesorům AMD je plná chyb
„After investigating, Microsoft has determined that some AMD chipsets do not conform to the documentation previously provided to Microsoft to develop the Windows operating system mitigations to protect against the chipset vulnerabilities known as Spectre and Meltdown.“
Podle redmondské korporace vycházeli vývojáři z dokumentace výrobce, ta však prý neodpovídá tomu, jak procesor funguje. A tak se oprava sama stala chybou. Microsoft nyní dle svých slov usilovně spolupracuje s AMD, aby problém co nejrychleji vyřešil.
Microsoft pozastavil aktualizace Windows na počítačích s vybranými procesory od AMD
Neodpovídající dokumentace není ve světě IT nic nového a zejména bastlíři se tu a tam setkají s neodpovídající oficiální dokumentací třeba k nejrůznějším senzorům. Zpravidla se však jedná o levné čínské výrobce. Pokud se takových chyb dopustilo i AMD, je to nesporně ostuda.
Wi-Fi bude opět bezpečné. WPA3 ochrání i otevřené sítě
9.1.2018 CNEWS.cz Zabezpečení
Wi-Fi jsou dnes nejčastěji chráněny technologií WPA2 starající se o autentizaci a šifrovaní sítí. Sada těchto protokolů ale pochází už roku 2004 a doposud neměla nástupce. Když bylo loni na podzim WPA2 kompromitováno exploitem KRACK, vývoj to rychle posunulo kupředu. Wi-Fi Alliance, sdružení výrobců spravující bezdrátový standard, proto včera představilo WPA3.
Přidává čtyři nové prvky ochrany, které zlepší bezpečnost sítí. Konkrétní detaily ale zatím zveřejněny nebyly.
V otevřených sítích v kavárnách apod. již mezi přístupovým bodem a připojeným zařízením bude probíhat šifrovaná komunikace, kterou nebude možné odposlouchávat. Šéf marketingu WFA Kevin Robinson ale dodává, že nejde o neprůstřelné řešení, jen nezbytné minimum, aby váš proud packetů nemohli snadno zaznamenávat ostatní uživatelé v dosahu.
Přibude účinnější ochrana u sítí zabezpečených slabým heslem. Nebude již možné slovníkovým útokem nebo hrubou silou zkoušet všechny možné kombinace, systém takové typy útoků zablokuje.
Žárovky, chytré vysavače a jiné spotřebiče využívající internet věcí budou rovněž bezpečnější. Aktuálně jsou totiž výrobky bez displeje kvůli jednoduchosti snadno napadnutelné. WPA3 má přinést možnost tato zařízení nastavovat pomocí blízkého mobilu či tabletu.
WPA3 podporuje nové 192bitové šifrování z Commercial National Security Algorithm Suite (CNSA Suite) vyvinutého v americkou vládní organizací. Bez bližších podrobností pouze víme, že půjde o extra stupeň ochrany určený pro citlivé sítě v podnicích nebo úřadech.
Zatím ani nevíme to hlavní, kdy se WPA3 objeví v prvních produktech a zdali půjde technologii dostat aktualizací firmwaru do současných zařízení, nebo bude potřeba vytvořit nová.
PŘEHLEDNĚ: Meltdown a Spectre změní procesory , jak ale útoky fungují?
9.1.2018 SecurityWorld Hardware
Bezpečnostní hrozba týkající se velké části v současnosti užívaných procesorů už pár dní hýbe technologickými médii. Týká se nejen stolních počítačů, ale také laptopů, chytrých telefonů, tabletů a dalších zařízení. Zranitelnosti se dělí na dva typy – Spectre a Meltdown.
Oba typy přibližuje společnost Red Hat a její ARM vývojář Jon Masters, který na odhalení a opravě zranitelností osobně pracoval.
Spectre i Meltdown fungují na principu zneužívání tzv. spekulativního vykonávání, standardního jevu u fungování procesorů. Připodobněme si jej k lépe uchopitelné situaci z reálného světa.
Zákazník pravidelně navštěvuje oblíbenou kavárnu a objednává si stále tu samou kávu; obsluha si postupem času „zvykne“ na toto pravidelné chování a začne mu kávu připravovat předem. Jednoho dne však zákazník svou objednávku změní a obsluha musí uvařit kávu jinou a novou.
Teď si k tomu přidejme prvek, že na zákazníkově kelímku, do kterého mu obsluha kávu připravuje, je napsáno jeho jméno. Když mu spekulativně připravují jeho kávu, ale zákazník si tentokrát objedná něco jiného, musí popsaný kelímek s kávou vyhodit; v tu chvíli je však informace na kelímku viditelná pro kohokoliv, kdo by jej potenciálně sledoval.
Jde o příklad spekulativního vykonávání: obsluha neví jistě, zda si zákazník objedná to, co obvykle, ale soudě podle předchozích zkušeností učiní kvalifikovaný odhad. Podobně spekulace se během našeho dne dějí běžně, protože jsou efektivní a často pravdivé. Téměř stejně fungují i naše počítače: spekulativní vykonávání umožňuje uskutečnit některé operace a procesy ještě předtím, než je zcela jasně známo, že budou potřeba. Jde o časovou úsporu.
Moderní procesory spekulativní vykonávání využívají často a jejich algoritmy se neustále zdokonalují; často dosahují až 99% přesnosti ve svých odhadech.
Potenciální zrychlení využitím spekulativního vykonávání je značné: čipy dokáží poměrně spolehlivě předpovídat, zda nastane možnost A, nebo zda budou muset vykonat jinou činnost a tím zvyšují rychlost procesů. Jde o jednu z klíčových optimalizací posledních několika dekád.
A tím se dostáváme ke zdroji zranitelností Spectre a Meltdown: pokusy o další optimalizaci spekulativního vykonávání způsobily problémy, protože vývojáři předpokládali, že celý proces je „černá skříňka“, neviditelná pro třetí stranu, a tedy i útočníky.
To se však ukázalo jako nepravda a útočníci mohou do „spekulativního okna“ proniknout a systémem následně do jisté míry manipulovat. Masters z Red Hat očekává, spolu s dalšími odborníky, že objevené zranitelnosti snadno mohou zapříčinit proměnu procesu výroby čipů do budoucna.
Meltdown je zranitelnost, při které útočník zneužívá spekulativního okna tak, aby mohl na data, která jím prošla, nahlédnout. Útok spoléhá na běžně užívané principy, standardní pro celý průmysl. Problémem je paralelní kontrola povolení k přístupu a načítání dat z mezipaměti, která není nijak řešena, neboť, jak je psáno výše, nikdo neočekával, že by na proces spekulativního vykonávání mohl někdo „nahlížet“.
Meltdown jde výrazně omezit už nyní, problém je ovšem z toho plynoucí zpomalení systému.
Spectre je o něco složitější druh zranitelnosti, princip jeho zneužití je však obdobný: útočník může z cache čerpat citlivá data. Velice náročnou záležitostí bude Spectre omezit natolik, aby již pro uživatele nemohl být hrozbou; dopad na výkon zařízení je totiž ještě výraznější; Red Hat mluví o zpomalení, které „není nevýznamné“.
Masters zdůrazňuje, že jde o zcela nové kategorie systémových zranitelností: není jasné, jak se v následujících měsících situace vyvine.
Intel: většina novějších čipů s chybami Meltdown a Spectre dostane opravu do týdne
9.1.2018 Lupa.cz Hardware
Šéf firmy Intel Brian Krzanich na veletrhu CES v Las Vegas znovu ujišťoval, že jeho firma i další výrobci procesorů dělají všechno pro to, aby opravili nedávno zveřejněné chyby v zabezpečení svých čipů. Zranitelnosti známé pod jmény Meltdown a Spectre teoreticky umožňují útočníkům přistupovat k datům v paměti počítače či mobilního zařízení.
Podle Krzaniche Intel nemá žádné informace o tom, že by chyby někdo už v praxi zneužil. To samo o sobě samozřejmě není informace, která by mohla uživatele uklidnit. Důležitější je, že Intel by měl do týdne vydat opravné balíčky pro své procesory, které by měly chyby opravit u asi 90 % čipů vyrobených v posledních pěti letech. Zbytek novějších čipů se má opravy dočkat do konce ledna, prohlásil šéf Intelu.
Kdy (a zda vůbec) se opravy dočkají i starší procesory, zatím není jasné. Krzanich mluvil i o možných dopadech patchů na výkon procesorů. Zopakoval stanovisko Intelu, že jsou závislé na druhu jejich vytížení a Intel se do budoucna bude snažit propady ve výkonu co nejvíce omezit.
Své první opravy postupně vydávají také výrobci operačních systémů. Apple v pondělí vydal iOS 11.2.2, který obsahuje opravy pro prohlížeč Safari a jeho renderovací jádro WebKit. Svůj patch pro Windows uvolnil i Microsoft a někteří uživatelé s procesory AMD podle serveru Computerworld hlásí, že po jeho instalaci mají problémy s nastartováním systému.
V čem spočívají Meltdown a Spectre? Zneužívají optimalizací procesorů
9.1.2018 Root.cz Hardware
O útocích Meltdown a Spectre hovoří snad všechna světová média. Jedná se vlastně o celý nový princip postihující moderní procesory. V čem ale přesně spočívají a jak je možné je zneužít? Existují dostatečně účinné záplaty?
Volně přeloženo z textu What are Meltdown and Spectre? Here’s what you need to know, jehož autorem je Jon Masters ze společnosti Red Hat. Vydáno se svolením autora.
Všechna média mluví o nově objevených bezpečnostních hrozbách, které zahrnují i napadení vlastností moderních procesorů, které pohánějí naše počítače, tablety, telefony a další přístroje. Tyto útoky se nazývají „Meltdown“ a „Spectre“ a přitahují hodně pozornosti. Lidé se (oprávněně) obávají a je samozřejmě velmi důležité aplikovat všechny dostupné softwarové záplaty, které byly pečlivě vytvořeny a zveřejněny. Přední technologické firmy, včetně Red Hatu, pracují společně na tom, aby minimalizovaly potenciální riziko útoku.
V Red Hatu jsme pracovali na zmírnění dopadů případných útoků pod standardním bezpečnostním embargem, takže jsme cíleně vytvářeli malé týmy vybavené minimálními nutnými informacemi, abychom byli připraveni ještě před veřejným odhalením celého problému. Měl jsem to štěstí, že jsem mohl být mezi těmi, kteří vedli naše snahy o řešení problémů Meltdown a Spectre, které jsou také známé jako varianty 1, 2 a 3 celé rodiny útoků, kterou Google Project Zero zveřejnil 3. ledna. V rámci našich snah jsme ve svých laboratořích reprodukovali Meltdown (variantu 3) a prozkoumali další varianty. Mezi tím jsme spolupracovali s našimi hardwarovými partnery na řešeních.
Rozumíme velmi dobře těmto chybám a máme k dispozici nejnovější analýzy i záplaty zmírňující potenciální dopad. Pokračujeme ve spolupráci s našimi partnery, zákazníky a výzkumníky při řešení této situace. Zároveň bychom rádi ostatním pomohli v pochopení těchto komplexních potíží, ideálně tak, abychom použili jazyk a pojmy, které po čtenáři nevyžadují, aby rozuměl problematice tvorby počítačových procesorů.
Pokud vás zajímají technické detaily, původní studie a související publikace jsou dostupné na webech meltdownattack.com a spectreattack.com. Mějte ale na paměti, že většina z jejich tvůrců jsou lidé s akademickým vzděláním týkajícím se architektur počítačů. Minimálně jeden z nich má v této oblasti titul Ph.D. Nebuďte tedy nešťastní z toho, že vám bude trvat dlouho, než proniknete do všech technických detailů – je to velmi komplexní a složitá problematika.
Spekulativní provádění instrukcí
Abychom mohli pokračovat, musíme pochopit něco o spekulativním provádění instrukcí. Použijeme k tomu každodenní analogii.
Představte si běžného zákazníka, který navštěvuje denně stejnou kavárnu a objednává si každé ráno stejný nápoj. V průběhu času si jej baristé zapamatují a budou znát jeho obvyklou objednávku. Protože chtějí nabídnout špičkové služby (a případně ušetřit svému zákazníkovi čas ve frontě), mohou se baristé rozhodnout, že začnou připravovat obvyklý nápoj, jakmile zákazníka uvidí vejít do dveří a zamávat na pozdrav. Jednoho dne ale zákazník změní svou objednávku. V takovou chvíli musí barista vylít v předstihu připravenou kávu a udělat novou podle zákazníkova přání.
Pojďme ještě o krok dále a představme si, že barista zná zákazníkovo jméno. Když v předstihu připraví obvyklý nápoj, rovnou fixou na kelímek jméno napíše. Pokud se zákazník výjimečně rozhodně pro změnu, celý kelímek i se jménem je vyhozen do koše. V tu chvíli je ale jméno i obsah viditelný pro kohokoliv, kdo se právě dívá.
Scénář s kavárnou zavádí spekulaci. Zaměstnanci neví jistě, zda si daný zákazník chce dát latte nebo Americano. Z historických dat ale ví, co si daný zákazník obvykle dává a mohou tak učinit kvalifikovaný odhad, aby zkrátili čas vyřízení objednávky. Podobné spekulativní odhady používáme každý den, protože se obvykle ukáží být správné a ve výsledku tak za stejný čas stihneme udělat víc.
Stejné je to s našimi počítači. Ty používají techniku zvanou „spekulativní provádění instrukcí“, aby provedly některé operace ještě dříve, než bude jisté, že budou potřeba. Předpokládá se přitom, že vše je založené na správných odhadech, které obvykle ušetří čas.
Koukáme pod ruce procesoru
V případě počítačů se toto spekulativní provádění používá k rozhodování při testech jako „pokud A, udělej toto; jinak udělej tohle“. Říkáme tomu testování podmínek a výsledkem je provádění kódu, kterému říkáme podmíněné větvení. Větev označuje část programu, kterou jsme se rozhodli provádět na základě výsledku rozhodování. Moderní procesory disponují sofistikovanými algoritmy schopnými toto větvení předvídat. Jsou tak schopné určit, jaký bude pravděpodobně výsledek rozhodovacího testu, ještě před tím, než bude skutečně proveden. V mezidobí pak spekulativně provedou kód ve větvi, kterou se bude pravděpodobně nutné za chvíli vydat. Pokud se odhad ukáže být správným, procesor zdánlivě poběží rychleji, než kdyby doopravdy čekal na dokončení testu. Pokud byl odhad špatný, procesor zahodí zpracované výsledky a běžným způsobem začne provádět kód v jiné větvi.
Algoritmy pro předvídání jsou obvykle úspěšné v 99 % případů, takže potenciální výkonnostní dopad spekulativního vykonávání kódu je významný. Ve skutečnosti jde jen o jednu z mnoha optimalizačních technik, které pomáhaly dramaticky zvyšovat výkon počítačů v posledních několika desetiletích. Pokud se správně implementuje, je zvýšení výkonu značné. Zdrojem nově objevených problémů je předpoklad, že spekulativní proces je černá skříň, do které nevidí vnější pozorovatel.
Celé odvětví se domnívalo, že cokoliv se děje během celé spekulace (proces se nazývá „okno spekulativního provádění“) je později buď potvrzeno nebo je to popřeno a bezpečně zahozeno. Ukázalo se ale, že existují způsoby, jakými mohou útočníci sledovat, co se během procesu dělo a na základě toho pak mohou se systémem manipulovat. Útočník může dokonce řídit chování předvídacích algoritmů tak, aby způsobil spekulativní spuštění těch částí kódu, které by procesor jinak nikdy neprováděl. Očekáváme, že tyto a další podobné chyby ovlivní to, jak budou procesory navrhovány v budoucnu – abychom mohli používat spekulativní provádění bez rizik.
Meltdown
Pojďme se na popsané útoky podívat podrobněji, začneme s Meltdown (varianta 3). Ten na sebe strhává více pozornosti, protože má širší dopady. Při provádění tohoto útoku je čip manipulován tak, že načte citlivá data během spekulativního okna, aby je později útočník mohl prozkoumat. Celé to stojí na běžné praxi, že je načítání dat z paměti odděleno od procesu kontroly oprávnění. Všichni doposud věřili, že je celý proces neviditelný, takže to vlastně nikomu nevadilo.
Během útoku Meltdown je pečlivě sestaven útočný kód, který bude spuštěn během spekulativního procesu. Tento kód načítá citlivá data, ke kterým za normálních okolností nemá proces přístup. Protože se ale vše provádí spekulativně, zároveň probíhá kontrola oprávnění, která není ukončena před doběhnutím daného spekulativního okna. V důsledku se do cache procesoru nahrají chráněná data. Poté se spustí druhá pečlivě připravená sekvence, která provede jinou operaci na základě získaných citlivých dat. Za normálních okolností by výsledky tohoto běhu nebyly nikdy vidět, protože by byly potichu zahozeny. Útočník ale může využít techniku známou jako analýza cache postranním kanálem a může z dočasné paměti vyčíst uložená data.
Odstranění této chyby vyžaduje změnu ve správě paměti mezi aplikacemi a operačním systémem. Představili jsme novou technologii nazvanou KPTI, která odděluje paměť tak, že bezpečná data nemohou být načtena do interní cache, pokud běží uživatelem spuštěný kód. Vyžaduje to ale další kroky, které jsou prováděny vždy, když aplikace požádá o některou akci operačního systému (tomu říkáme „systémová volání“). Tím ale přicházíme o část výkonu, jejíž velikost je dána tím, jak často daný proces volá služby operačního systému.
Spectre
Útok Spectre má dvě části. První (varianta 1) porušuje kontrolu omezení. Opět, když se spekulativně provádí kód, čip může načíst nějaká data, která jsou pak použita k lokalizaci jiných dat. V rámci výkonnostních optimalizací se ale může procesor rozhodnout načíst rovnou druhou část dat, aniž by ověřil, že první část je v definovaném rozsahu hodnot. Pokud k tomu dojde, je možné sestavit kód tak, aby byl spekulativně vykonán a načetl citlivá data do cache procesoru. Odtud mohou být získána opět pomocí útoku postranním kanálem, jak bylo zmíněno dříve.
Abychom tento problém odstranili, musíme přidat okolo celého jádra něco, čemu říkáme „načítací oplocení“ (load fences). To zabrání spekulativnímu hardware, aby provedl druhé načtení založené na tom prvním. Vyžaduje to malé, triviální a ne příliš výkonově náročné změny ve zdrojovém kódu jádra. Náš tým vytvořil nové nástroje, které pomáhají odhalit místa, kam by tento plot měl být umístěn.
Druhá část útoku Spectre (varianta 2) je v mnoha ohledech tou nejzajímavější. Pracuje s trénováním předvídacího hardware, který pak při spekulativním provádění upřednostní jiný kód než je obvyklé. Běžnou hardwarovou optimalizací je založit rozhodování o daném větvení programu na základě adresy kódu dané větve v paměti. Bohužel způsob uložení této adresy není mezi aplikacemi a jádrem operačního systému unikátní. To umožňuje natrénovat algoritmus tak, aby spustil libovolný kód, který si bude útočník přát. Vhodným zvolením existujícího jaderného kódu, který má přístup k citlivým datům, může útočník tato data načíst do cache a poté pomocí známého útoku postranním kanálem tato data získat.
Jedním z největších strašáků tohoto útoku je možnost obejít hranice mezi jádrem operačního systému a hypervizorem nebo mezi různými virtuálními stroji běžícími na společném hardware. Algoritmy je totiž možné natrénovat tak, že je spekulativně spuštěn privilegovaný kód hypervizoru (nebo jiného virtuálního stroje), který načte data a útočníkovi je zpřístupní. To vytváří vážné riziko pro privátní i veřejná cloudová prostředí běžící na nezáplatovaných serverech.
Oprava druhé části Spectre vyžaduje, aby operační systém selektivně vypínal hardware pro předvídání, kdykoliv nějaký program zavolá operační systém (systémové volání) nebo hypervizor. V takové situaci nebude žádný pokus o trénování algoritmů předán do jádra, hypervizoru nebo mezi jednotlivými virtuály na stejném serveru. Toto opatření funguje dobře, ale přináší výkonnostní postih, který není zanedbatelný. Naše záplaty ve výchozím stavu tuto změnu implementují, ale dávají správcům možnost ji vypnout. Zároveň pracujeme s linuxovou komunitou na tom, abychom dopad snížili a našli alternativu k vypnutí předvídacích funkcí. Jedna z možností je známá jako „retpoline“ a jde o speciálně sestavený kód jádra, který brání nesprávnému spekulativnímu běhu.
Nepanikařte, řešení existuje
Doufám, že vám tento článek dal nahlédnout do hlubin těchto velmi sofistikovaných útoků. Jejich zneužití není triviální, záplatování je možné a přestože jsou už dostupné některé příklady používající Meltdown (varianta 3), velcí výrobci už začali distribuovat záplaty. V průběhu času mohou být objeveny další související zranitelnosti a mohou se objevit příklady jejich zneužití. Je proto důležité sledovat bezpečnostní záplaty a aplikovat je, jakmile budou dostupné.
Je důležité mít na paměti, že tento nový druh bezpečnostních chyb byl objeven teprve před několika dny. Takže se v průběhu času mohou měnit doporučené postupy i způsoby řešení těchto problémů. Budeme i nadále spolupracovat s velkými společnostmi i open-source komunitou, abychom ochránili své zákazníky před těmito a dalšími známými zranitelnostmi a učinili Linux ještě robustnějším vůči útokům typu Meltdown a Spectre. V následujících měsících zveřejníme další informace o této činnosti. Pro více informací navštivte access.redhat.com.
Podsvětí táhne kurzy kybernetických měn nahoru
9.1.2018 Novinky/Bezpečnost Kriminalita
Transakce prováděné pomocí kybernetických měn jsou prakticky nevystopovatelné. Právě proto si je velmi oblíbilo kybernetické podsvětí, jsou prakticky jediným platidlem na nejrůznějších internetových černých trzích. Od bitcoinu však dává podsvětí stále častěji ruce pryč, což nahrává kurzům dalších měn – ty díky stoupající popularitě raketově rostou.
Bitcoin byl ještě před pár měsíci prakticky jediným platidlem na černém trhu. Daly se za něj koupit zbraně, drogy a celá řada dalších nelegálních věcí.
Mimochodem právě podsvětí má nemalý vliv na tom, že popularita bitcoinu tak raketově rostla. Jednoduše jej používalo stále více lidí, díky čemuž i raketově rostl kurz, což následně přilákalo investory a další spekulanty.
Ale právě stále rostoucí popularita bitcoinu nehrála obchodníkům na černém trhu do karet. Kupující se kvůli rostoucím kurzům nechtěli svých mincí vzdávat a stále častěji si je nechávali jako investici. A obchody začaly stát.
Proto se začalo obchodovat s jinými virtuálními mincemi.
Monero či ethereum
Toho si všimli už i pracovníci evropské policejní organizace Europol. Ti upozornili již před koncem loňského roku na to, že obchodníci na černém trhu stále častěji využívají další kryptoměny – například monero či ethereum.
A rostoucí popularita zmiňovaných virtuálních mincí je znát i na jejich kurzech. Ještě před koncem loňského roku se monero obchodovalo za 100 dolarů (2130 Kč). Aktuálně má však jedna mince cenu už okolo 450 dolarů, tedy v přepočtu téměř 9600 Kč.
Růst ceny je patrný také u etherea. V prosinci se jedna mince obchodovala za 450 USD (9600 Kč), aktuálně je to však již 1140 USD (24 300 Kč).
Meltdown a Spectre ohrožují i Apple
8.1.2018 SecurityWorld Apple
Společnost Apple uvádí, že aktuální kauza problémových čipů se týká také jejích produktů – iPhonů, iPadů i Maců.
Bezpečnostní slabiny procesorových čipů označené jako Meltdown a Spectre vyšly najevo tento týden. Závažná hrozba se týká potenciálně miliard počítačů, chytrých telefonů i tabletů s čipy od Intelu, AMD i ARM, nově potvrzená jsou tedy i zařízení od Applu. Společnost ale rovnou uvedla, že už vydala patche, které mají riziko hrozby zmírnit, a také to, že nemá zprávy o tom, že by na jejích zařízeních došlo ke zneužití tohoto bugu. Doporučila však svým zákazníkům, aby jakýkoliv software stahovali výhradně z důvěryhodných zdrojů a vyhýbali se škodlivým aplikacím.
„Hrozba se týká všech Mac systémů a zařízení s iOS, o zneužití slabiny však od našich zákazníků žádné informace nemáme,“ uvádí Apple. „Problém se týká všech moderních procesorů a tedy téměř všech počítačových zařízení a operačních systémů.“ Jedinou výjimku dle společnosti představují Apple Watch, kterých se Meltdown netýká. Patche proti Spectre ve formě aktualizace pro prohlížeč Safari by měly být vydány „v nejbližších dnech“.
Google a Microsoft se ke kauze vyjádřili už dříve. Uživatelé Androidu jsou podle Googlu v bezpečí, jestliže mají stažené poslední bezpečnostní aktualizace. Microsoft většinu svých služeb už též záplatoval, uživatelé Windows by však měli před instalací systémových patchů pro jistotu aktualizovat antivirové programy třetích stran.
Americký úřad pro kybernetickou a informační bezpečnost původně doporučil hardwarovou výměnu procesorů, později však své doporučení upravil pouze na nezbytnou aktualizaci softwaru.
Bezpečnostní chyby v procesorech Intel otevírají dveře útočníkům
6.1.2018 SecurityWorld Hardware
Před nedávnem odhalená chyba se týká velké části dosud užívaných čipů, sahá přibližně do posledních deseti let. Na opravě se podle Intelu a dalších zúčastněných firem již pracuje, některé aktualizace na hlavní operační systémy jsou již dostupné. Zprávu původně přinesl server The Register.
Ve zveřejněné zprávě Intel přibližuje rozsah škod a také opravuje některé první informace, které se dostaly na internet. Popisuje, že zneužití chyby má potenciál sbírat citlivá data z počítačů, ale že „nemá potenciál ničit, upravovat nebo mazat data“.
Zmiňuje, že zranitelnost není omezena pouze na produkty Intelu, jak původně média sdělovala. Podle analýz firmy jsou ohroženy procesory a operační systémy různých výrobců; v dokumentu se také píše o tom, že na opravě společnost spolupracuje i s AMD a ARM, tedy svými úhlavními konkurenty v oblasti procesorů.
To je však logický krok. Podobně masivní zranitelnost je špatná pro všechny a vyřešit ji je nutné co nejrychleji.
Brzké aktualizace slibuje Microsoft, Apple i některé linuxové distribuce; oprava zabraňující zneužití zranitelnosti s názvem Meltdown (o ní více na konci článku) vyšla 4. ledna pro Windows 10, dočkají se jí i Windows 7 a 8. Androidy s nejnovějšími bezpečnostními aktualizacemi jsou podle Googlu chráněny, stejně jako jeho webové služby; Chromebooky na aktualizaci teprve čekají. Prohlížeč Chrome se má opravy až dočkat 23. ledna.
Zda jsou ohroženy iPhony a iPady jasné není, laptopy a stolní PC Applu se však aktualizací dočkají. Cloudové služby pro podniky jako AWS nebo Google Cloud Platform jsou z většiny již chráněny, zbytek se oprav dočká brzy.
Spectre, druhý typ zranitelnosti, je údajně těžší na opravu a žádná dosud není všeobecně dostupná.
„Intel začal poskytovat softwarové a firmwarové aktualizace, které mají snížit účinek případného zneužití,“ píše firma. Dopady aktualizací na výkon zařízení by měly být podle firmy pro uživatele nepříliš významné, byť uznává, že závisí na konkrétním zařízení a na pracovním vytížení stroje.
Někteří experti však podle britského serveru BBC hovoří až o 30% zpomalení výkonu strojů.
Intel dále zmiňuje, že spolu s dalšími společnostmi chtěla o zranitelnosti referovat příští týden, až budou k dispozici dodatečné aktualizace; média jej však předběhla. O chybě se podle informací BBC vědělo přinejmenším šest měsíců.
To je poměrně neobvyklá situace – zjištěné bezpečnostní problémy se standardně nejprve řeší v soukromí mezi společnostmi, kterých se zranitelnost týká, a až pak se se vším jde na světlo světa. Jde o ochranné opatření, aby zločinci neměli čas zranitelnost zneužití.
Ten však nyní mají, pokud tedy přijdou na to, o jakou zranitelnost se vlastně jedná. To zatím naštěstí není přesně známo, byť již zranitelnost byla rozdělena na dva různé typy: Meltdown („roztavení“) a Spectre („přízrak“)
Meltdown se dotýká laptopů, stolních počítačů a internetových serverů s čipy Intelu; Spectre je pak problémem pro čipy všech tří hlavních výrobců a je hrozbou pro smartphony, tablety i počítače.
Dosah obou zranitelností by byl v případě zneužití drastický, dosahoval by více než 90 % stolních počítačů a laptopů a značného množství dalších elektronických zařízení.
Zločinci by měli možnost přečíst si data uložená v počítači, získat by mohli například informace o heslech nebo údajích kreditní karty.
Hackerský útok se nedá vyloučit, experti budou během voleb v pohotovosti
6.1.2018 Novinky/Bezpečnost BigBrother
Brněnský úřad pro kybernetickou bezpečnost bude v době konání prezidentských voleb v polovině ledna v pohotovosti. K zásahu bude připraveno až 25 odborníků. Mluvčí úřadu Radek Holý řekl, že se nedá vyloučit další hackerský útok. Takový atak po ukončení sněmovních voleb loni v říjnu způsobil výpadky volebních webů Českého statistického úřadu (ČSÚ) a vyšetřuje ho policie.
Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) funguje od loňského léta, mimo jiné zajišťuje podporu v případě kybernetických útoků. „Spolupráce se statistickým úřadem funguje už od předchozích voleb, připravujeme se společně na to, že se i u těchto voleb může objevit něco podobného. Že někdo něco může jen vyzkoušet nebo může mít nějaké nekalé úmysly," uvedl Holý.
Odborníci a analytici úřadu budou v pohotovosti a propojeni se statistickým úřadem, ministerstvem zahraničí i ministerstvem vnitra, stejně jako u předchozích voleb. V momentě, kdy statistický úřad či nějaký jeho partner nahlásí, že se děje něco nestandardního, úřad bude k řešení problému nápomocný.
Jako když se jede s autem do servisu
„Odhadujeme, k jakým útokům může dojít, o možnostech víme od našich národních partnerů i od těch zahraničních. Útočník je ale vždy o krok či dva napřed. Nejdříve se musí zjistit, že útok probíhá, analyzovat ho a teprve poté se rozhodnout, jaké kroky vůči danému útoku podniknout," uvedl Holý.
Podle něj je to podobné, jako když člověk jede s autem do servisu. Nejprve se na diagnostice zjišťuje, kde je problém, a teprve pak se navrhuje řešení. „Záleží na spoustě parametrů. Někdy útok zachytíte přímo, je viditelný, jindy to může trvat déle," řekl mluvčí.
Hackeři útočili v době voleb už loni, tehdy se zaměřili na weby ČSÚ. Kvůli hackerskému útoku byly stránky volby.cz a volbyhned.cz nedostupné zhruba 2,5 hodiny. Šlo o tzv. DDoS útok (Distributed Denial of Service). Ten má vždy stejný scénář, stovky tisíc počítačů začnou přistupovat v jeden okamžik na konkrétní server. Ten zpravidla nezvládne tak vysoké množství požadavků zpracovat a spadne. Pro běžné uživatele se takto napadená webová stránka tváří jako nedostupná.
Policie se případem stále zabývá, útočníky se však zatím nepodařilo dopadnout.
Chyba procesorů se týká i nás, přiznal Apple. Zpomalí se také iPhony a iPady
5.1.2018 Novinky/Bezpečnost Apple
Není žádným tajemstvím, že počítače společnosti Apple využívají procesory společnosti Intel. Také jich se tedy týká nebezpečná chyba, která si žádá záplatu zpomalující celkový výkon. Společnost Apple však nyní přiznala, že problémy se týkají také iPhonů a iPadů.
„Bezpečnostní experti nedávno odhalili problémy týkající se procesorů. Ty se týkají – stejně jako v případě konkurence – všech našich moderních zařízení. Chybou jsou postiženy přístroje s operačním systémem macOS a iOS,“ stojí v prohlášení amerického počítačového gigantu.
To jinými slovy znamená, že ohroženi jsou uživatelé stolních počítačů, notebooků, tabletů i chytrých telefonů s logem nakousnutého jablka.
Zástupci Applu však zároveň potvrdili, že v rámci aktualizací byly chyby u celé řady zařízení opraveny. „Záplaty jsou obsaženy v systémech iOS 11.2, macOS 10.13.2 a tvOS 11.2, které byly vydány v uplynulých dnech,“ stojí dále v prohlášení.
Jak se instalace aktualizace promítne do celkového výkonu jednotlivých zařízení, není v tuto chvíli jasné. Lze nicméně předpokládat, že scénář bude stejný jako v případě jiných počítačů konkurenčních výrobců, kteří již záplaty otestovali.
Antiviry nepomohou
Při pohledu na technickou stránku věci je chyba opravdu kritická. Kvůli bezpečnostní trhlině se může dostat škodlivý kód do adresního prostoru, který byl vyhrazen pouze pro jádro systému. Řeč je tedy o prostoru, ke kterému neměl uživatel jinak přístup.
Zjednodušeně řečeno tak kvůli chybě mohou počítačoví piráti propašovat virus přímo do procesoru, aniž by se před ním mohl uživatel jakkoliv chránit. S adresním prostorem totiž nemohou pracovat například ani antivirové programy.
V současnosti jsou uživatelský prostor i ten pro jádro systému v procesoru mapovány společně, oprava chyby však vyžaduje jejich oddělení. A to je podle serveru The Register ten největší problém, protože po implementování záplaty dochází k citelnému zpomalení celého systému.
Vzhledem k tomu, že procesory společnosti Intel využívá více než 80 % počítačových systémů na světě, jde skutečně o problém obrovských rozměrů. Všem uživatelům – domácím i firemním – se kvůli tomu totiž sníží výkon jejich sestav.
Společnost Intel zatím drží všechny informace o chybě pod přísným embargem. Dokud nebudou záplaty nainstalované na všech počítačích, pomohlo by zveřejnění všech detailů hackerům v plánování útoků, aby mohli chybu skutečně zneužít v praxi.
Výkon nižší až o polovinu
Podle serveru The Register se nicméně problémy týkají procesorů Intel Core šesté, sedmé a osmé generace. Dále pak trhlina postihuje čipy Xeon v5, v6, Xeon-W a také procesory Pentium a Atom z nižších řad Apollo Lake.
Nejrůznější testy procesorů od Intelu – a toho, jak se chovají před a po instalaci bezpečnostní aktualizace – doslova zaplavily internet. Prakticky všechny se shodují v tom, že úbytek výkonu není plošný, ale projevuje se jen při určitých pracích na počítačích.
Například při práci s videem a různými šifrovacími programy zaznamenal server Computerbase pokles výkonu pouze v řádu jednotek procent, což běžný uživatel nemá v praxi příliš šanci postřehnout.
Například při práci s databázemi však je již propad výrazně citelnější – zpravidla testy pojednávají o propadu okolo 20 %. Serveru Grsecurity však v některých testech vyšly propady výkonu pod operačním systémem Linux až o 51 %.
Sluší se připomenout, že chyba objevená v samotném jádře procesorů se týká prakticky všech desktopových platforem, tedy vedle zmiňovaného Linuxu také Windows a macOS.
AMD dává od kauzy ruce pryč
Zpráva serveru Grsecurity je zajímavá také tím, že podle ní se chyba týká i konkurenčních procesorů od AMD. A propady výkonu jsou po úpravách operačního systému stejně výrazné jako v případě Intelu.
Softwarový inženýr AMD Tom Lendecky však opakovaně prohlásil, že čipy tohoto podniku využívají zcela jinou architekturu než Intel, díky čemuž se jich aktuální problémy vůbec netýkají. Procesory totiž pracují jinak s pamětí a jádrem, a nemohou být tedy útočníky zneužity.
Lendecky však připustil, že AMD také vydalo nedávno bezpečnostní aktualizaci pro procesory. Ta se však k problémům Intelu nevztahuje.
Podobná chyba nicméně byla objevena i u čipů platformy ARM, které využívá většina mobilních telefonů. Společnost ARM oznámila, že již poskytla nástroje k odstranění bezpečnostních nedostatků.
Intel: Bezpečnostní bug se týká procesorů všech výrobců. AMD a ARM: Nás ani ne…
5.1.2018 Novinky/Bezpečnost CDR.cz Hardware
Společně s vyjádřením výrobců k bezpečností slabině se začaly objevovat různé spekulace, kterých produktů se problém týká a kterých ne. Přehlednosti situace nepřispěly některá vágní vyjádření výrobců…
Zmatek trochu souvisí i s tím, že při popisech problémů používá každý výrobce trochu odlišnou terminologii a navíc i fakt, že diskutované slabiny jsou ve skutečnosti tři a nikoli jedna. Když poté jeden z výrobců prohlásí „tento problém se nás netýká“ a jiný „tento problém se týká všech“, může ve skutečnosti každý hovořit o něčem trochu jiném a mít tedy svůj kus pravdy, byť by se mohlo zdát, že se vyjádření různých stran vzájemně vylučují.
Úvodem nebude na škodu, pokud se velmi stručně podíváme, kde se vzala nejzásadnější část problému. Moderní procesory, aby byly rychlé, používají tzv. spekulativní provádění instrukcí. Odhadují, co po nich bude v následujících taktech žádáno a to provedou s předstihem. Pokud se ukáže, že byl odhad správný, výsledek se použije (nebo ve výpočtu pokračuje) a úloha je hotová dříve = procesor je výkonnější. Pokud je odhad chybný, výsledek se zahodí.
To se samo o sobě nezdá být nějak zneužitelné, ale lze na tom dále stavět. Pokud je totiž uživatelem vyžádáno provedení kódu, ke kterému je vyžadována vyšší úroveň oprávnění, pak je při provedení první instrukce, u které je zjištěn přístup k datům s vyšší úrovní autorizace, kód zablokován a zahozen. Jenže na úrovni spekulativního provádění mohl kód běžet dál, provést ještě další instrukci (či instrukce) a pozůstatky po těchto úkonech zůstávají ležet v cache procesoru, dokud nejsou přepsány. Protože cache nižší úrovně nebo operační paměť funguje pomaleji než cache vyšší úrovně, existuje určitý čas k těmto datům, ke kterým neměl mít uživatel přístup, přistupovat a případně si je zkopírovat a dál je využít.
Stručně řečeno, obecné využití této myšlenky je označováno jako Spectre (po onom datovém reziduu v cache) a zcela konkrétní způsob využití, který můžeme chápat jako konkrétní prvek množiny Spectre, jehož možnost využití (respektive zneužití) byla prokázána a v praxi vyzkoušena, je označován jako Meltdown.
Protože spekulativní provádění instrukcí podporují všechny moderní procesory, je otázka Spectre relevantní ve vztahu ke všem moderním procesorům. Konkrétní bezpečností slabina v podobě Meltdown ovšem byla prokázána pouze u procesorů Intel.
Proto Intel může oprávněně tvrdit, že „Podle aktuálních analýz je mnoho typů výpočetních zařízeních s procesory mnoha různých výrobců […] citlivých k těmto způsobům zneužití.“ a zároveň AMD může oprávněně prohlásit: „Nulová zranitelnost procesorů AMD z důvodu odlišné architektury procesorů AMD.“
Vždy je třeba důsledně vyhodnotit kontext. AMD (podle rozdělení zavedeného Googlem) vysvětluje, jak to je s jednotlivými typy bezpečnostních slabin, které odhalil a dokumentuje Google v rámci svého projektu Zero, během něhož došlo k jejich odhalení.
Bounds Check Bypass - (Vy)řešeno aktualizacemi softwaru a operačních systémů. Výkonnostní dopad těchto řešení je zanedbatelný. [Tento bod, který lze chápat spíše jako slabinu v softwaru než jako slabinu hardwarů, mohl být využit (zneužit) na veškerém moderním hardwaru (AMD, ARM, Intel), ale byl již vyřešen a nemá citelný dopad na výkon.]
Branch Target Injection - Odlišnost architektury AMD znamená téměř nulové riziko zneužitelnosti tohoto postupu. Doposud se nepodařilo demonstrovat, že by varianta 2 byla využitelná (zneužitelná) na procesorech AMD. [Bod z množiny Spectre.]
Rogue Data Cache Load - Nulová zneužitelnost na hardwaru AMD z důvodu odlišné architektury. [Slabina Meltdown, která se týká Intelu.]
Toto rozdělení mimo jiné vysvětluje, proč se zároveň objevují zprávy, které ve vztahu k hardwaru Intelu hovoří o zcela minimálním výkonnostním dopadu záplat stejně jako o možných výkonnostních propadů dosahujících v krajních případech i nižších desítek procent. Obojí se totiž týká řešení jiného bodu.
První bod, jak je uvedeno, je už v řadě operačních systémů zazáplatován; došlo k tomu ještě před zveřejněním informace o možném zneužití této slabiny, aby nebyla využita nějakými protispolečensky smýšlejícími živly.
Body dva a tři si bude muset pořešit především Intel a v případě bodu dva je otázkou také ARM. Bod tři je podle dosavadních informací skutečně jen specialitou Intelu a je otázkou, jak jej zvládne Intel zazáplatovat, tedy především s ohledem na to, jaký výkonnostní dopad záplata přinese.
Samotná ARM se vyjádřila velmi stručně: „Tato metoda vyžaduje lokální běh škodlivého kódu a může vyústit v přístup k datům v privilegované paměti. Našich Cortex-M procesorů, které převažují v úsporných IoT zařízeních, se to netýká.“ Nezodpovězena zůstává otázka: „A co ostatních řad?“
Co se týče způsobu distribuce záplat, očekává se, že u všech tří bodů bude řešení zahrnuto do aktualizací operačního systému, přičemž u bodu dva bude nutný i zásah do firmwaru.
Pokud jde o názvosloví, je v případě popsaných slabin obtížné najít takovou terminologii, která by byla krátká a navíc zcela korektní. Výstižnější než „bug procesoru“ je totiž označení „postup, kterým lze zneužít moderní architektonický prvek procesorů“. Nelze totiž naprosto jednoznačně říct ani to, že jde o bug procesoru, ani to, že jde o bug operačního systému. Každý má svůj podíl. Jaká názorné srovnání můžeme brát kapesní krádeže v městské hromadné dopravě. Když MHD neexistovala, neexistovaly ani krádeže v MHD. Můžeme ale jen proto tvrdit, že krádeže MHD jsou „bug MHD“? Opět jde o záležitost, která je částečně o MHD, ale částečně také o systému. Lze ji řešit na úrovni jednoho (řidič každého cestující po nástupu sváže), lze ji vyřešit druhým (vyhlásí se zákaz vstupu do MHD s čímkoli odcizitelným), ale optimální bude řešení, na kterém se budou podílet obě strany takovým způsobem, který nepřinese příliš citelné zásahy do efektivity a komfortu fungování.
Kritičtěji by ovšem bylo možné hodnotit konkrétní slabinu procesorů Intelu (Rogue Data Cache Load), k níž se poměrně ostře vyjádřil Linus Torvalds. Konstatoval, že kompetentní procesorový inženýr by zajistil, aby se spekulativní provádění isntrukcí nemohlo odehrávat napříč ochrannými doménami a tím by byl problém vyřešen. Nelichotivě se také vyjádřil k přístupu Intelu, který jedná ve stylu „není to problém jen našich procesorů“, přestože nejzásadnější a experimentálně prokázaná slabina se týká právě jich.
Z materiálů Intelu
Pokud jde o možné dopady řešení ve vztahu ke stávajícímu hardwaru, objevují se různá čísla i různé názory. Prozatím nemá smysl předjímat, jak situace dopadne. Konkrétně ve vztahu k procesorům Intelu panuje podle zdrojů webu The Verge názor, že procesory Intelu starší než Skylake budou co do výkonu penalizovány výrazněji; Skylake a novější zanedbatelně.
Protože tato bezpečností slabina je podle dosavadních zjištění zneužitelná jen lokálně (nikoli po síti) a riziko spočívá v možném získání šifrovacích klíčů a hesel, je otázkou, zda záplaty pro starší procesory, kde by mohlo dojít k vyššímu výkonnostnímu propadu, budou plošné, nebo se rozhodnutí ponechá na libovůli uživatele. Běžného domácího uživatele s Haswellem či Broadwellem asi hypotetické riziko místního útoku bude trápit méně, než jistý výkonnostní propad ve hrách a aplikacích.
Čeští uživatelé těží kryptoměny, aniž by to tušili
5.1.2018 SecurityWorld Incidenty
Eset v pravidelné měsíční statistice internetových hrozeb za prosinec odhalil skokana roku: javový skript CoinMiner.
Potenciálně nechtěné aplikace, tzv. PUA, jsou programy či kódy, které nepředstavují přímé ohrožení osobního počítače uživatele, přesto je doporučeno se jim vyhnout. Právě do této kategorie spadá JS/CoinMiner, škodlivý kód, který používají zločinci pro těžbu kryptoměn s využítím výpočetního výkonu uživatele. Za uplynulý měsíc představovala tato aplikace nejčastější internetovou hrozbou, kterou v České republice zachytila společnost Eset.
„Nástup škodlivého kódu JS/CoinMiner byl velmi rychlý a zejména v samém závěru posledního měsíce loňského roku jeho aktivity výrazně zesílily,“ říká Miroslav Dvořák, technický ředitel společnosti Eset. Za celý prosinec 2017 představoval JS/CoinMiner třetinu všech detekcí kybernetických hrozeb. Hrozba „těžebního“ trojanu ale nepolevila ani po Novém roce, ba právě naopak. „První lednové dny dosahoval podíl JS/CoinMiner na detekcích téměř 50 procent,“ konstatuje Miroslav Dvořák.
JS/CoinMiner přitom existuje ve dvou variantách. Tou častější je javový skript, který běží na pozadí internetových stránek a využívá výpočetního výkonu uživatele k těžení kryptoměn. Ta druhá, méně častá, se chová jako trojan a zneužívá exploitu EternalBlue SMB vyvinutého americkou Národní bezpečnostní agenturou NSA. Do zařízení proniká prostřednictvím neaktualizovaného operačního systému.
Jakmile jej infikuje, stáhne do něj škodlivý skript pro Windows Management Instrumentation (WMI), který standardně používají správci počítačových systémů ke vzdálené správě velkého počtu počítačů. „JS/CoinMiner ale zneužívá tento systém pro vytvoření trvalých zadních vrátek a zabezpečení automatického spouštění vždy, když dojde ke spuštění operačního systému,“ vysvětluje Dvořák.
Doporučené nástroje ochrany jsou kromě spolehlivého bezpečnostního softwaru i pravidelné aktualizace operačního systému Windows. Špionážní software EternalBlue totiž zneužíval zranitelnosti SMBv1, kterou Microsoft opravil krátce po zveřejnění této hrozby. Využívaly jí i další trojany, které loni v létě pomáhaly šířit nechvalně proslulý ransomware WannaCry. „Určitě není ani od věci zakázat problémový protokol SMBv1, pokud ho nepoužíváte,“ radí Miroslav Dvořák.
Druhou nejčetnější internetovou hrozbou v Česku byl během prosince loňského roku trojan JS/Redirector, který automaticky přesměrovává internetový prohlížeč napadeného zařízení na škodlivé stránky, odkud uživatel může stáhnout do svého počítače další druhy malwaru. Oproti listopadu, kdy představoval nejčastěji detekovaný malware, však jeho podíl na detekcích nepatrně vzrostl z 3,91 na 4,83 procenta. Třetím nejčastěji zachyceným škodlivým kódem byl downloader JS/TrojanDownloader.Nemucod s podílem 2,8 procenta.
První odhady byly příliš opatrné. Počítače kvůli chybě zpomalí až o polovinu
4.1.2018 Novinky/Bezpečnost Hardware
Nově objevená chyba v procesorech Intel bude mít daleko větší dopad na celkový výkon počítačů, než se původně předpokládalo. První testy naznačovaly, že rychlost procesorů poklesne v určitých početních úkonech až o 17 %. Nyní se však ukázalo, že v některých případech může být pokles výkonu až poloviční. Upozornil na to server ZDNet.
Nejrůznější testy procesorů od Intelu – a toho, jak se chovají před a po instalaci bezpečnostní aktualizace – doslova zaplavily internet. Prakticky všechny se shodují v tom, že úbytek výkonu není plošný, ale projevuje se jen při určitých pracích na počítačích.
Například při práci s videem a různými šifrovacími programy zaznamenal server Computerbase pokles výkonu pouze v řádu jednotek procent, což běžný uživatel nemá v praxi příliš šanci postřehnout.
Například při práci s databázemi však je již propad výrazně citelnější – zpravidla testy pojednávají o propadu okolo 20 %. Serveru Grsecurity však v některých testech vyšly propady výkonu pod operačním systémem Linux až o 51 %.
Sluší se připomenout, že chyba objevená v samotném jádře procesorů se týká prakticky všech desktopových platforem, tedy vedle zmiňovaného Linuxu také Windows a macOS.
AMD dává od kauzy ruce pryč
Zpráva serveru Grsecurity je zajímavá také tím, že podle ní se chyba týká i konkurenčních procesorů od AMD. A propady výkonu jsou po úpravách operačního systému stejně výrazné jako v případě Intelu.
Softwarový inženýr AMD Tom Lendecky však opakovaně prohlásil, že čipy tohoto podniku využívají zcela jinou architekturu než Intel, díky čemuž se jich aktuální problémy vůbec netýkají. Procesory totiž pracují jinak s pamětí a jádrem, a nemohou být tedy útočníky zneužity.
Lendecky však připustil, že AMD také vydalo nedávno bezpečnostní aktualizaci pro procesory. Ta se však k problémům Intelu nevztahuje.
Intel mlčí. Zatím
Na problém ve středu upozornil server The Register. V několika posledních generacích procesorů Intelu byla podle něj odhalena hardwarová chyba. Podobný bezpečnostní problém se vyskytl i u čipů platformy ARM, které využívá většina mobilních telefonů.
Kvůli chybě mohou, zjednodušeně řečeno, počítačoví piráti propašovat virus přímo do procesoru, aniž by se před ním mohl uživatel jakkoli chránit. Intel zatím drží všechny informace k chybě pod přísným embargem, v opačném případě by jen napomohla ke zneužití kritické bezpečnostní chyby.
Neukládejte si důležitá hesla do prohlížeče. Nejsou tam v bezpečí!
4.1.2018 Živě.cz Zabezpečení
Neukládejte si důležitá hesla do prohlížeče. Nejsou tam v bezpečí!Neukládejte si důležitá hesla do prohlížeče. Nejsou tam v bezpečí!
Většina webových prohlížečů obsahuje správu hesel, která ukládá vaše přihlašovací údaje. Výzkumníci z Princetonské univerzity však zjistili, že existují skripty, které dokážou uložené údaje z prohlížečů tajně extrahovat, upozornil The Verge.
Výzkumníci zkoumali dva existující rozšířené skripty AdThink a OnAudience, které se využívají k marketingovým účelům. Oba jsou navrženy tak, aby získaly identifikovatelné informace ze správců hesel. Pokud si uložíte přihlašovací údaje do prohlížeče, systém tato data použije při příští návštěvě. Skripty pracují na pozadí webové stránky a vkládají do ní neviditelné přihlašovací formuláře, které pak prohlížeč vyplní automaticky.
Systém tímto způsobem sbírá přihlašovací jména k webovým službám. Získané údaje slouží jako ID uživatele a sledují jaké stránky navštěvuje. Na základě těchto informací mohou firmy lépe cílit svou reklamu. Samotná technika sice není novinkou, ale doposud byla známá z oblasti spíše z oblasti spywaru. Poprvé tuto techniku používají reklamní agentury.
Může sbírat i hesla
Pluginy se zaměřují na e-mailové adresy a přihlašování jména, avšak systém se dá nastavit i tak, aby sbíral i přihlašovací hesla. Ta jsou sice uložena v zašifrované podobě, ale při „předání“ hesla stránce do formulářového pole je pochopitelně dekódováno, aby mohlo dojít k přihlášení. Následně už dojde k jeho zašifrování na úrovni webu a posílá se k ověření na server. Ne každý prohlížeč má přitom dostatečně silnou kontrolu nad tím, jak je zacházeno s heslem v odhalené podobě.
Vydavatelé webových prohlížečů by měli změnit fungování správců hesel, řekl jeden z profesorů, který se projektu účastnil. Navrhl, že jedním z nejbezpečnějších řešení by bylo správce hesel v prohlížečích jednoduše zrušit.
Potěší alespoň to, že vědci nezjistili ani na jedné z 50 tisíc testovaných stránek, že by docházelo k získávání hesel. Nalezeno byly pouze skripty sbírající přihlašovací jména a e-mailové adresy.
Vyzkoušejte si to
Získávání údajů si můžete ověřit sami na stránce, kterou výzkumníci vytvořili. Stačí když zadáte vymyšlený e-mail, heslo a údaje uložíte do vašeho prohlížeče. Poté přejdete na další stránku a tam vám zobrazí údaje, které jste si pro tento web do prohlížeče uložili. Po této zkušenosti si zřejmě uděláte v prohlížeči čistku důležitých přihlašovacích údajů, což lze jenom doporučit.
V prohlížečích existuje správa hesel, kde můžete všechny uložené údaje zkontrolovat a případně promazat. V prohlížeči Chrome je trochu schovaná v nastavení, ale snadno se k ní dostanete přímo přes adresu: chrome://settings/passwords
Kdo napadl v říjnu volební weby? Policie stále pátrá
4.1.2018 Novinky/Bezpečnost Počítačový útok
Policie se stále zabývá hackerským útokem na volební weby Českého statistického úřadu (ČSÚ), který se uskutečnil loni v říjnu. Útok během volebního víkendu dočasně znepřístupnil informační stránky pro veřejnost, volební výsledky ale neovlivnil. Útočníka se však zatím ochráncům zákona dopadnout nepodařilo. Potvrdil to mluvčí Národní centrály proti organizovanému zločinu (NCOZ) Jaroslav Ibehej.
Kvůli hackerskému útoku byly volební weby volby.cz a volbyhned.cz nedostupné zhruba 2,5 hodiny. Šlo o tzv. DDoS útok (Distributed Denial of Service). Ten má vždy stejný scénář, stovky tisíc počítačů začnou přistupovat v jeden okamžik na konkrétní server. Ten zpravidla nezvládne tak vysoké množství požadavků zpracovat a spadne. Pro běžné uživatele se pak takto napadená webová stránka tváří jako nedostupná.
A přesně to bylo příčinou výpadku zmiňovaných volebních webů.
Výsledky voleb útok neovlivnil
„Národní centrála proti organizovanému zločinu, sekce kybernetické kriminality, se stále zabývá DDoS útokem na komunikační infrastrukturu externího dodavatele ČSÚ, v důsledku čehož byly zaznamenány výpadky na webech, které zveřejňovaly výsledky voleb do Poslanecké sněmovny Parlamentu České republiky," uvedl pro ČTK Ibehej.
Hackeři útočili přímo na síť operátora O2, proto byly weby volby.cz a volbyhned.cz nedostupné. „Je třeba zdůraznit, že DDoS útoky díky technickému řešení nijak neovlivnily sčítání hlasů ani systémy statistického úřadu,“ uvedla na dotaz Novinek mluvčí O2 Lucie Pecháčková.
Přiblížila, jak se útoky po uzavření volebních místností uskutečnily. „Poprvé se náznaky útoku objevily kolem 14. hodiny a v průběhu odpoledne několikrát vyřadily z provozu prezentační web volby.cz. Situaci jsme začali okamžitě řešit a v 16:30 se podařilo útoky definitivně odklonit,“ zdůraznila Pecháčková.
Kdy bude vyšetřování celého útoku uzavřeno, zatím není jasné. „O tom, jak dlouho bude trvat prověřování, zatím nebudeme spekulovat,“ uzavřel mluvčí NCOZ.
Případem se zabývá policie
ČSÚ zatím nechtěl útoky komentovat, protože je vyšetřuje policie a NÚKIB.
„Dle dostupných informací jde v případě tohoto DDoS útoku o víceméně dobře zvládnutý bezpečnostní incident. Výsledky voleb dle našeho názoru nemohl ovlivnit," podotkl ředitel bezpečnostní divize DCIT Karel Miko.
Podle technického ředitele antivirové firmy Eset Miroslava Dvořáka se dá podobným útokům čelit dostatečně robustní infrastrukturou v kombinaci s filtračními mechanismy. Lze to zajistit vlastními silami či využitím nabídek externích společností, tzv. scrubingových center. Vždy se zohledňuje nákladová efektivita takové ochrany.
Chyba v procesorech. Většina počítačů na světě se zpomalí
4.1.2018 Novinky/Bezpečnost Hardware
Prakticky celý svět žije v posledních týdnech kauzou týkající se úmyslného zpomalování chytrých telefonů iPhone od společnosti Apple. Jenže nový rok přinesl ještě daleko větší problém, který se dotkne drtivé většiny počítačů na světě – kvůli hardwarové chybě se zpomalí.
Že společnost Apple úmyslně zpomaluje iPhony, vyšlo najevo krátce před Vánocemi. Americký počítačový gigant od té doby tvrdí, že to „dělá v zájmu uživatelů“. Pokud je baterie příliš stará, snižuje se uměle výkon jablečných smartphonů, aby nedocházelo k neočekávaným chybám.
A jak se nyní ukazuje, problémy se zpomalováním svých systémů bude řešit také společnost Intel – největší výrobce procesorů pro stolní počítače, notebooky a tablety na světě. Podle serveru The Register totiž byla v několika posledních generacích procesorů tohoto výrobce odhalena hardwarová chyba, která má dalekosáhlé následky.
Při pohledu na technickou stránku věci je chyba opravdu kritická. Kvůli bezpečnostní trhlině se může dostat škodlivý kód do adresního prostoru, který byl vyhrazen pouze pro jádro systému. Řeč je tedy o prostoru, ke kterému neměl uživatel jinak přístup.
Antiviry by nemusely pomoci
Zjednodušeně řečeno tak kvůli chybě mohou počítačoví piráti propašovat virus přímo do procesoru, aniž by se před ním mohl uživatel jakkoliv chránit. S adresním prostorem totiž nemohou pracovat například ani antivirové programy.
V současnosti jsou uživatelský prostor i ten pro jádro systému v procesoru mapovány společně, oprava chyby však vyžaduje jejich oddělení. A to je podle serveru The Register ten největší problém, protože po implementování záplaty dochází k citelnému zpomalení celého systému.
Vzhledem k tomu, že procesory společnosti Intel využívá více než 80 % počítačových systémů na světě, jde skutečně o problém obrovských rozměrů. Všem uživatelům – domácím i firemním – se kvůli tomu totiž sníží výkon jejich sestav.
Společnost Intel zatím drží všechny informace o chybě pod přísným embargem. Dokud nebudou záplaty nainstalované na všech počítačích, pomohlo by zveřejnění všech detailů hackerům v plánování útoků, aby mohli chybu skutečně zneužít v praxi.
Výkon nižší téměř o pětinu
Podle serveru The Register se nicméně problémy týkají procesorů Intel Core šesté, sedmé a osmé generace. Dále pak trhlina postihuje čipy Xeon v5, v6, Xeon-W a také procesory Pentium a Atom z nižších řad Apollo Lake.
Různé zahraniční servery, které se specializují na testování hardwaru, začaly okamžitě zkoušet výkon svých sestav před a po instalaci záplaty. A výsledky jsou alarmující. V některých případech totiž výkon poklesne klidně až o 17 %, tedy téměř o pětinu, což je již opravdu výrazná ztráta.
Postiženy všechny systémy
Pokles výkonu se týká především situací, kdy jsou procesory nasazeny ve firemním sektoru, například v serverech, na kterých běží nejrůznější databáze. Problém se přitom týká všech nejpoužívanějších operačních systémů, tedy Windows, macOS i linuxových distribucí, které jsou nasazovány v serverové sféře.
Velké podniky již kvůli tomu nahlásily odstávky svých systémů, aby mohly nainstalovat potřebné záplaty. Amazon své virtualizační služby vypne na několik hodin ještě tento týden, Microsoft má stejný proces údržby naplánovaný na příští středu.
Stejně tak budou postupně nuceni provést aktualizace i běžní uživatelé, neboť v opačném případě vystavují své systémy možnému riziku. Zda bude společnost Intel úbytek výkonu svým zákazníkům nějak kompenzovat, není v tuto chvíli jasné.
Týká se problém i dalších výrobců?
Jak upozornil server Grsecurity, bezpečnostní aktualizaci vydala pro své procesory také konkurenční společnost AMD. Ta však v oficiálním prohlášení tvrdí, že možnost zneužitelnosti objevené trhliny je prakticky nulová a že její procesory by neměly po instalaci trápit ztráty výkonu.
Vzhledem k tomu, že procesory AMD jsou nainstalovány jen na minoritní části počítačů, testy se soustředí především na čipy od konkurenčního Intelu. Na podrobnější výsledky si tak budeme muset ještě nějakou dobu počkat.
Podobná chyba nicméně byla objevena i u čipů platformy ARM, které využívá většina mobilních telefonů. Společnost ARM oznámila, že již poskytla nástroje k odstranění bezpečnostních nedostatků.
Intel má velký problém s procesory, oprava kritické chyby povede k jejich zpomalení
3.1.2017 Živě.cz Hardware
Intelu hrozí velký průšvih, obsahují kritickou chybu na hardwarové úrovni
Umožňuje přístup k paměťovému prostoru pro jádro systému
Softwarový oprava bude znamenat snížení výkonu
Na herní výkon nemá zavedení KPTI vliv. Takto vypadá před a po jeho aktivaci v CS:GO.A takto v F1 2012.Při dalších operacích může dojít ke snížení výkonu při práci s archivy.Pokles byl zaznamenán i při práci s SSD. Takto vypadaly rychlosti před aktualizací……a takto po ní. Není ale jasné, zda rozdíl opravdu souvisí s KPTI.
O zpomalování procesorů se v posledních týdnech hovoří především v souvislosti s Applem a jeho iPhony. Jenže nyní to vypadá, že tahle minikauza bude brzy zapomenuta, mnohem větší průšvih totiž může postihnout Intel a většinu z jeho procesorů několika posledních generací. Za vše může chyba při práci s paměťovým systémem.
Nejdřív zkrácená verze pro ty, které nemají zájem o technické pozadí. Web The Register přinesl informace o chybě na hardwarové úrovni, která způsobuje, že se zpracovávaný kód může dostat do adresního prostoru, který je vyhrazen čistě pro jádro systému. Nyní jsou oba prostory, jak uživatelský tak pro kernel mapovány společně a přístup k nim je řízen pomocí privilegií.
Díky tomu je zrychlena práce s pamětí při přepínání mezi operacemi na uživatelské a systémové úrovni. Oprava chyby ale bude vyžadovat jejich oddělení v jádře systému, což sníží celkový výkon. U operací, které se týkají především serverového použití to může být pokles až o třetinu výkonu.
Vzhledem k tomu, že je většina informací pod embargem a zveřejněné opravě v linuxovém jádře chybí jakákoliv dokumentace, nemáme podrobné informace o samotné chybě v procesorech a stejně tak nevíme, zda se nebude týkat i AMD. Podle dosavadních indicií by se však mělo jednat pouze o procesory Intelu. Konkrétně se hovoří o modelech Core 6., 7. a 8. generace, procesorech Xeon v5 a v6, Xeonech-W a nižších řadách Apollo Lake (Atom, Pentium).
Linux, Windows i macOS
The Register vycházel primárně z reportu na LWM.net, který informuje o zavedení KPTI (kernel page-table isolation) do jádra Linuxu na konci října. Jde právě o izolaci obou adresních prostorů pro práci se systémovým a uživatelským kódem.
Aktuálně jsou oba v paměti namapovány společně a asociativní buffer TLB tak může uchovávat informace o přiřazení virtuální paměti k fyzické adrese pro oba prostory. Pokud se tedy vykonává uživatelský kód, CPU má v TLB ihned k dispozici adresování na fyzickou paměť a stejně tak když přijde na řadu kód na úrovni systémového jádra.
Jenže hardwarová chyba v procesorech vyžaduje opravu zavedením již zmíněné izolace. V takovém případě je třeba buffer TLB vyprázdnit při každé změně paměťového prostoru. Pokud CPU pracuje s programem, je v TLB uloženo adresování uživatelské části paměti, jestliže ale začne pracovat třeba s diskem, což si vyžádá volání na systémové úrovni, bude potřeba TLB vyprázdnit.
Izolace adresních prostorů bude zavedena do všech systémů. V Linuxu již je a do jádra Windows se dostane velmi brzy. V případě, že využíváte testovací program Insider Preview, pak je již dostupná v aktualizaci s označením 17063. Stejně tak se oprava zamíří do macOS.
Až o 30 % nižší výkon
Na webu se začaly objevovat první testy, které demonstrují dopad zavedení KPTI při konkrétním využití. Pro běžné koncové uživatele se toho příliš nezmění – testy na webu Phoronix ukazují, že i s opatchovaným systémem je výkon ve hrách totožný.
Na herní výkon nemá zavedení KPTI vliv (zdroj: Phoronix)
Na Computerbase potom otestovali procesor Core i7-7700K při běžných scénářích, které vídáme v obvyklých srovnávacích testech. Výraznější rozdíl byl zaznamenán pouze při práci s archivy. Stále však jde o nízké jednotky procent.
Testy Core i7-7700K před a po aktualizaci na verzi 17063 s aktivní KPTI. Nepatrný rozdíl je pouze při práci s archivy (zdroj: Computerbase)
Zároveň si na Computebase všimli většího rozdílu při práci s SSD, kdy s novou aktualizací klesnuly přenosové rychlosti o několik desítek MB/s. Tady ale není možné určit, zda za propad opravdu může zavedení KPTI nebo jiná změna v systému.
Takto se liší přenosové rychlosti úložiště SSD po instalaci aktualizace (zdroj: Computerbase)
Problém značných rozměrů by ale mohl nastat v případě serverového použití a to především na straně obřích poskytovatelů jako je Microsoft, Google nebo Amazon. Právě při práci s databázemi nebo virtualizaci jsou zaznamenávány nejvyšší propady ve výkonu.
Jeden ze značně znepokojujících reportů vydali vývojáři databázového systému PostgreSQL. Ti otestovali běh databáze na procesoru Intel Core i7-6820HQ. Při aktivní izolaci adresního prostoru byl výkon nižší v nejlepším případě o 17 procent. Při nejhorším scénáři potom došlo k propadu výkonu dokonce o 23 procent. Pokud se takové výsledky potvrdí po nasazení do reálného provozu, pro většinu poskytovatelů cloudových služeb to bude znamenat velké problémy. A to nejen technické, mohou si vyžádat značné investice do hardwaru.
Velké záplatování
Že se nejedná o výstřel do prázdna, je patrné nejen z dosavadního embarga prakticky na jakékoliv informace, ale i z reakce velkých poskytovatelů. Amazon rozeslal zákazníkům využívající virtualizační služby EC2 e-mail o tom, že v noci z pátku na sobotu bude probíhat údržba, na kterou si vyhradil čtyrhodinové okno, během něhož dojde k restartování služeb a virtuální instance nebudou dostupné.
Podobný zásah potom čeká i uživatele služeb Microsoft Azure. V tomto případě bude patchování a restartování strojů probíhat od půlnoci 10. ledna.
Amazon na chvíli vypne svoje virtualizační služby ještě tento týden, u Microsftu bude údržba probíhat příští středu
Tady je potřeba zdůraznit, že údržba tohoto rozsahu je naprosto výjimečná. Jen v ojedinělých případech je potřeba restartování, které způsobí nedostupnost cloudových služeb, tady virtualizačních.
Výhra pro AMD. Snad…
Na zprávy o problémech celkem logicky muselo zareagovat AMD a prvním výstupem se stal publikovaný komentář jednoho z linuxových vývojářů z AMD. Podle něj žádný z procesorů společnosti touto chybou netrpí a KPTI tak není potřeba zavádět.
Je tedy pravděpodobné, že na procesory AMD se nebude opatření v podobě izolace adresních prostorů vztahovat. Pokud by totiž vývojáři systému tuto výjimku v kernelu nezavedli, na AMD by KTPI dopadlo mnohem výrazněji než na samotný Intel. To ukazuje test na webu Grsecurity, kde serverový procesor Epyc po aktivaci KTPI přišel o 51 procent výkonu.
Nahoře výkon procesoru Epyc bez KPTI, dole po jeho aktivaci. Rozdíl až 51 % (zdroj: Grsecurity)
Žádného oficiálního vyjádření od Intelu jsme se zatím nedočkali, jistě však bude muset přijít. A to i kvůli investorům. Cena akcií AMD rychle vyskočila o 5 %, naopak u Intelu můžeme sledovat opačný trend. S úsměvem rovněž můžeme číst zprávu z před dvou týdnů o tom, že se CEO Intelu Brian Krzanich zbavil všech akcií, které mohl prodat. Utržil za ně 11 milionů dolarů a ponechal si pouze minimum, které musí na své pozici držet. Vypadá to na zajímavý start roku 2018.
Obří bezpečnostní chyba v procesorech Intel zpomalí stovky milionů počítačů až o třetinu. Problém se týká všech operačních systémů
3.1.2017 Ihned.cz Zranitelnosti
Chyba je přímo v procesorech vyrobených firmou Intel, takže není důležité, s jakým operačním systémem uživatel pracuje.
Chyba v návrhu procesorů Intel umožňuje útočníkům přečíst obsah paměti a zefektivnit útoky.
Problém se týká procesorů od Intelu vyrobených v posledních deseti letech a tím pádem i stovek milionů PC.
Výrobci operačních systémů musí problém odstranit softwarově s výrazným vlivem na výkon.
Intel udělal při návrhu svých procesorů zásadní chybu, která zpomalí chod stovek milionů počítačů s operačním systémem Windows a Linux. Vývojáři pracující na jádru Linuxu se snaží bezpečnostní díru opravit, od Microsoftu se očekává, že aktualizaci vydá v nejbližších dnech, testují ji už uživatelé v programu Windows Insider.
Chyba se dotkne i systému MacOS od Applu, protože není závislá na operačním systému, ale je přímo v procesorech Intel. Totéž se týká velkých cloudových služeb, které mají servery vybavené čipy od Intelu. Bez starostí mohou být naopak uživatelé procesorů AMD, které touto chybou netrpí. Intel ale ovládá 80 procent trhu s počítačovými procesory, a dokonce 90 procent u notebooků a serverů.
V souvislosti s opravou bezpečnostní chyby, která útočníkům umožňuje přístup k chráněné části paměti počítačů, dojde ke snížení výkonu postižených počítačů. Rozdíl ve výkonu se podle předběžných informací může pohybovat od pěti až do třiceti procent podle typu vykonávané úlohy a konkrétního modelu procesoru. Například u databázového produktu PostgreSQL jde v nejlepších případech o zpomalení o 17 procent, v nejhorším o 23 procent.
Konkrétní informace o chybě v procesorech Intel nejsou zatím k dispozici. K jejich zveřejnění dojde podle informací serveru The Register po vydání aktualizace pro Windows. Opravy pro jádro Linuxu jsou už k dispozici, informace o změnách jsou ale utajené. Problém se však týká možnosti aplikací získat přístup k chráněné oblasti operační paměti používané jádrem operačního systému. Toto bezpečnostní riziko lze odstranit softwarovým oddělením uživatelské a systémové paměti.
Jak reagovat na incidenty ve věku cloudů?
2.1.2017 SecurityWorld Incidenty
Platforma pro reakce na incidenty může pomoci interním i externím týmům spolupracovat, sledovat procesy reakcí na incidenty a automatizovat důležité úlohy zabezpečení.
Většina ředitelů zabezpečení informací zažívá drsné probuzení, když se setkají se svým prvním významným bezpečnostním problémem v cloudu. Pokud zjistí kritickou zranitelnost, která vyžaduje opravu, může jim chybět povolení ke změnám v prostředí připraveném od poskytovatele cloudu. Pokud zákazník síť nevlastní, nemusí existovat způsob, jak získat podrobnosti zásadní pro vyšetření incidentu.
Aby se v cloudu zabránilo významným bezpečnostním problémům, musí mít ředitel zabezpečení informací plán reakcí na incidenty. Zde je návod, jak ho vytvořit:
1. Stanovte společný plán reakce s poskytovatelem cloudu. Pokud jste ještě do cloudu nepřešli, je nejpraktičtějším prvním krokem stanovení společného procesu reakcí. Je potřebné jasně definovat odpovědnosti a role a vzájemně si vyměnit kontaktní informace pro primární a sekundární kontakty. Získejte podrobné vysvětlení toho, co u poskytovatele vyvolává reakci na incidenty a jak bude poskytovatel řešit různé problémy.
2. Vyhodnoťte způsob monitoringu a bezpečnostní opatření používané v daném cloudu. Pro zajištění efektivní reakce na bezpečnostní problémy související s cloudovou infrastrukturou je důležité pochopit, jaký druh monitorovacích a bezpečnostních opatření používá poskytovatel cloudu a jakým způsobem jsou pro vás tyto nástroje dostupné. Pokud zjistíte, že jsou nedostatečné, hledejte způsoby, jak lze nasadit doplňující řešení, které to napraví.
3. Vytvořte plán obnovy. Rozhodněte, zda bude v případě výpadku u poskytovatele nutná obnova. Vytvořte plán obnovy, který určí, jestli se má použít alternativní poskytovatel nebo interní vybavení, a stanoví také postup pro získání a přesun dat.
4. Vyhodnoťte forenzní nástroje pro cloudovou infrastrukturu. Zjistěte, jaké nástroje jsou k dispozici od poskytovatele cloudu a z dalších zdrojů pro forenzní šetření v případě incidentu. Pokud incident zahrnuje citlivé osobní údaje, mohl by přerůst v právní problém, takže je dostupnost vhodných nástrojů pro forenzní práci a sledování důkazů zásadní.
Zvládnutí incidentu v cloudu
Při reakci na incident je mnoho kroků stejných nehledě na to, zda k němu došlo v cloudu či v interní infrastruktuře. V případě cloudového incidentu však existují některé další kroky, které je potřebné udělat:
Ihned kontaktujte tým reakce na incidenty daného poskytovatele a při komunikaci buďte důrazní. Pokud je tým poskytovatele nedostupný, udělejte v souvislosti s incidentem vše, co je ve vašich možnostech pro jeho zastavení – například kontroly připojení ke cloudové službě a v případě pochyb také zrušení uživatelského přístupu ke cloudové službě.
Pokud nelze incident kontrolovat, ani zastavit, připravte si přesun na alternativní službu nebo si nakonfigurujte svůj interní server.
Cloud vám umožní odložit identifikaci a odstranění na dobu po skončení krize. Ve většině případů můžete okamžitě zahájit obnovení produkčních služeb vytvořením nové instance.
Nejlepší postupy pro reakce na incidenty v cloudu
Jedním z kritických problémů, kterým mnoho podniků čelí, je nedostatek talentovaných pracovních sil s potřebnými schopnostmi pro správu zabezpečení. Je těžké najít vhodné kandidáty, a pokud je najdete, můžete čekat, že jim budete muset nabídnout vysoké platy. Statistický úřad ministerstva práce USA očekává, že do roku 2024 vzroste počet pracovních míst v oblasti analýz bezpečnostních informací o 18 % a průměrné platy v dolarech jsou šesticiferné již nyní.
Existují však některé kroky, které můžete udělat, abyste rychle zaškolili nové zaměstnance a zlepšili schopnosti zaměstnanců současných:
Podporujte spolupráci, která pomůže mladším analytikům učit se ze zkušeností vedoucích analytiků. Jako bonus může kooperace odhalit duplicitní činnosti, které lze odstranit.
Vytvářejte příručky, které popíšou standardní postupy pro reakce na incidenty. Samozřejmě nelze vytvořit návod pro každou možnou situaci, ale příručky mohou být cennými průvodci a vynikajícími školicími materiály. Jen nezapomínejte příručky aktualizovat, což je úloha, kterou lze často zautomatizovat.
Když už mluvíme o automatizaci, mnoho úloh je možné automatizovat, zejména pokud se opakují a jsou rutinní. Běžné úlohy zabírají nepřijatelné množství času. Automatizace může uvolnit váš personál pro důležitější úkoly.
Podporujte vznik situační všímavosti z perspektivy historické i z perspektivy reálného času. Efektivní analýza minulých incidentů vám pomůže k lepšímu rozhodování o incidentech současných.
Analyzujte incidenty a vytvořte si databázi, která pomůže určit druhy problémů, potřebné schopnosti k jejich vyřešení, frekvenci různých typů incidentů a další skutečnosti. Analýza vám může pomoci identifikovat zranitelnosti a zjistit, kde lze zabezpečení zlepšit.
Jako většina nejlepších bezpečnostních postupů pro cloudové aplikace je také reakce na incidenty společnou odpovědností. Při plánování reakcí na budoucí incidenty je zásadní zajistit dostupnost správných kontaktů, nástrojů a procesů.
Mít platformu pro reakce na incidenty, která umožňuje spolupráci interních a externích týmů, sleduje procesy reakce na incidenty a automatizuje klíčové bezpečnostní úlohy, je v čase krize nezbytné, aby bylo možné rychle problémy zastavit a efektivně na ně reagovat.
Jak (ne)bezpečná je virtualizace?
2.1.2017 SecurityWorld Zabezpečení
Firmy intenzivně využívají virtualizaci navzdory obavám z narušení bezpečnosti. Je to dobře?
Společnosti jsou s cloudem, virtualizací, a dokonce se softwarově definovanými datovými centry spokojenější, než tomu bylo v minulosti, a to navzdory obavám z narušení bezpečnosti, uvádí studie dvou technologických firem – HyTrust a Intel.
I když si nikdo nemyslí, že bezpečnostní problémy někdy zmizí, jsou firmy ochotné tolerovat rizika ve jménu agility, flexibility a nižších nákladů.
Přibližně 62 procent dotázaných manažerů, správců sítí a inženýrů očekává v letošním roce větší přijetí SDDC, což může měřitelně zvýšit virtualizaci a optimalizaci serverů, a dvě třetiny respondentů předpovídají, že se tyto implementace dokonce ještě dále zrychlí.
O bezpečnosti však nemají žádné iluze. Čtvrtina dotázaných uvedla, že zabezpečení bude i nadále překážkou, a více než polovina předpovídá pro letošní rok větší počet narušení. Ve skutečnosti jsou obavy ze zabezpečení primárním důvodem, proč zhruba polovina respondentů vůbec nevolí virtualizaci, uvádí zpráva.
Mají k obavám dobrý důvod. Jediný bod selhání ve virtualizované platformě, jako je například proniknutí do softwaru hypervizoru, který je bezprostředně nad hardwarem a funguje jako sdílené jádro pro všechno nad ním, má potenciál ke zneužití celé sítě – a nejen jednoho systému, jak tomu bývá obvykle.
„Je zde silný zájem, zejména mezi nejvyšším vedením společností, pokročit s těmito projekty, protože nabízejí jasné výhody,“ popisuje Eric Chiu, prezident a spoluzakladatel společnosti HyTrust. Příležitost ke zvýšení agility, výnosů a zisku přebíjí potřebu zvýšit bezpečnost virtuálního prostředí, dodává.
Personál oddělení IT se soustředí spíše na to, co umí ochránit, a ne nutně na to, co je potřeba chránit, uvádí zpráva společnosti Kaspersky Labs. Jen třetina z dotazovaných organizací má rozsáhlé znalosti virtualizovaných řešení, která používají, a přibližně jedna čtvrtina má tyto znalosti buď slabé, nebo dokonce vůbec žádné.
Dave Shackleford to ví až příliš dobře. Je lektorem týdenního kurzu zabezpečení virtualizace a cloudu pro institut SANS. Na konci prvního dne obvykle zjistí, že 90 procent studentů, mezi které patří mnoho správců systémů, virtualizace i cloudu, síťových inženýrů i architektů, má jen velmi malou představu o tom, co je nutné zajistit při zabezpečení virtuální infrastruktury.
„Máme zde organizace, které jsou z 90 procent virtualizované, což znamená, že celé datové centrum funguje někde mimo jejich úložné prostředí. Nikdo o tom tímto způsobem ale nepřemýšlí,“ uvádí Shackleford, který je zároveň výkonným ředitelem společnosti Voodoo Security.
„Není neobvyklé, když i u skutečně velkých a vyzrálých podniků zjistíte, že netuší o velkém množství potřebných bezpečnostních opatření pro virtuální prostředí nebo je nějakým způsobem přehlížejí,“ dodává Shackleford.
Zmatek se zvyšuje tím, že virtualizace způsobila posun v odpovědnostech IT v mnoha organizacích, podotýká Greg Young, viceprezident výzkumu v Gartneru. Datové centrum obvykle zahrnuje týmy vyškolené pro provoz sítí a serverů, ale virtualizační projekty jsou často vedené týmy specializovanými pro servery.
„Problémy se zabezpečením sítě jsou záležitosti, kterými se dříve ve skutečnosti nemuseli zabývat,“ vysvětluje Young.
Průměrné náklady na nápravu úniku dat ve virtualizovaném prostředí přesahují 800 tisíc dolarů, uvádí Kapersky Labs. Náklady na nápravu průměrně směřující k milionu dolarů jsou téměř dvojnásobkem nákladů ve srovnání s útokem na fyzické infrastruktury.
Společnosti zatím nepovažují technologii za jedinou odpověď na tyto bezpečnostní problémy, uvádí se ve výsledcích průzkumu společnosti HyTrust. Přibližně 44 procent účastníků průzkumu kritizuje nedostatek řešení od současných dodavatelů, nevyzrálost samotných výrobců i nových nabídek nebo problémy s interoperabilitou nezávislou na platformě.
Přestože dodavatelé jako třeba Illumio, Catbird, CloudPassage nebo Bracket Computing přinášejí řešení některých bezpečnostních problémů, firmy si nemohou dovolit čekat na další řešení zabezpečení.
„Máte-li nyní virtualizovaných 50 procent, dostanete se za dva roky na podíl 70 až 90 procent virtualizace a přidávání zabezpečení nebude nijak snadnější,“ vysvětluje Shackleford.
„Když začnete přesouvat provoz do cloudu – na Amazon nebo Azure nebo k libovolnému jinému velkému poskytovateli cloudu – chcete mít své zabezpečení alespoň promyšlené nebo v ideálním případě už zavedené, abyste se nedostali do situace, kdy byste měli menší kontrolu, než máte dnes.“
Bezpečnější prostředí
Výše zmínění bezpečnostní profesionálové souhlasí, že firmy skutečně mohou mít k dispozici zabezpečené virtuální prostředí už dnes, pokud si dokážou vytvořit jasnou představu své virtuální infrastruktury, používat některé technologie a nástroje zabezpečení, které už mají, a lépe harmonizovat technologii a zabezpečení ve firmě. Tady jsou jejich rady, jak to udělat:
1. Získejte kontrolu nad svou virtuální infrastrukturou
„Velmi dobré zabezpečení můžete získat pomocí plánování – vykonávání kroků zároveň s ověřováním nasazení bezpečnostních opatření,“ prohlašuje Young. Začíná to správou inventáře.
„Tým zabezpečení potřebuje získat popis infrastruktury s ohledem na virtualizaci,“ připomíná Shackleford.
Podle něj musíte zjistit, kde jsou hypervizory, kde konzole pro správu, co je v interní infrastruktuře, kde to je a jaké jsou provozní procesy pro údržbu toho všeho. Dále je potřeba definovat standardy pro jejich uzamčení. „Když už nic jiného, je nutné uzamknout alespoň hypervizory,“ dodává Shackleford.
Významní dodavatelé, jako jsou VMware a Microsoft, mají návody, které vám pomohou, stejně jako například organizace Centrum pro zabezpečení internetu (CIS, Center for Internet Security).
2. Přehodnoťte způsob, jakým se díváte na data a úložiště.
Lidé vážně potřebují přemýšlet o svém prostředí jako o sadě souborů, tvrdí Shackleford. „Je to velmi velká změna pro bezpečnostní profesionály, když si mají uvědomit, že se celé datové centrum spouští z vaší sítě SAN. Musejí se tedy alespoň seznámit s druhy používaných kontrol.“
Dodavatelé také přehodnocují své přístupy k zabezpečení a vítají třetí strany, které umějí poskytnout opravy zabezpečení.
„Dříve problém spočíval v tom, že jsme se ptali, zda lze použít detailně nastavené zabezpečení sítě ve virtualizovaném prostředí, a dostávali jsme od provozního personálu odpověď typu ‚absolutně ne, nedokážeme to podporovat‘, uvádí Chris King, viceprezident pro sítě a zabezpečení ve VMwaru.
„Nyní jsou k dispozici technologie, které jim umožní přehodnotit reakci na tento požadavek. Jakmile se útočník dostane dovnitř, zůstává uvězněn v daném místě a musí při útoku prorazit další zeď.“
3. Šifrování dat
To je v současné době nejdůležitější, ale stále mnoho firem šifrování nepoužívá, uvádí Chiu. „Přetrvává zde zastaralá myšlenka, že ‚pokud se něco nachází mezi našimi čtyřmi stěnami, nemusíme se o to obávat‘, ale to rozhodně neplatí. Je nutné šifrovat minimálně všechna data zákazníků a veškeré duševní vlastnictví, ať už se nachází ve vašem prostředí kdekoli,“ prohlašuje Chiu.
„Samozřejmě že cloud situaci ztěžuje, protože nevíte jistě, kde data jsou, ale šifrování veškerých těchto dat by mělo být základním principem.“
4. Koordinujte co nejdříve týmy zabezpečení a infrastruktury.
Je potřeba zajistit spojenectví a koordinaci mezi týmem zabezpečení a týmem infrastruktury již od počátku virtualizačních projektů, prohlašuje Chiu. „Je mnohem jednodušší integrovat bezpečnostní opatření a požadavky od počátku, než něco přidávat dodatečně.“
Zabezpečení také musí plánovat požadavky organizace na několik příštích let. „Plánuje společnost virtualizovat data související s platbami a zdravotními záznamy? Plánuje přechod na sdílené prostředí, kde dojde ke sloučení obchodních a aplikačních vrstev? Na tom všem záleží, protože v závislosti na tom budou vaše požadavky jiné,“ dodává Chiu.
Nový virus dokáže obelstít antiviry, varovali bezpečnostní experti
1.1.2018 Novinky/Bezpečnost Viry
Národní bezpečnostní tým CSIRT.CZ varoval před zákeřným malwarem Loki, který se v posledních týdnech šíří internetem bez nadsázky jako lavina. Tento počítačový virus zneužívá populární kancelářský balík Office od společnosti Microsoft, aby se vyhnul odhalení.
„Malware Loki se šíří pomocí produktů Microsoft Office, a to z důvodů, aby se vyhnul detekci antivirových programů. Ukrývá se v tabulkách Microsoft Excel a dalších aplikacích Office,“ uvedl Pavel Bašta, bezpečnostní analytik CSIRT.CZ, který je provozován sdružením CZ.NIC.
Ten zároveň zdůraznil, že nezvaný návštěvník se snaží od uživatele vylákat přístupové údaje k různým účtům. S jejich pomocí pak mohou počítačoví piráti získat přístup k citlivým údajům uživatelů, případně jejich on-line účty zneužít i bez přímého přístupu k počítači.
Trhlina již byla opravena
„Útok využívá zranitelnost CVE-2017-0199 Microsoft Office/WordPad RCE, která byla opravena v dubnu a updatovaná v září,“ prohlásil bezpečnostní expert.
Kybernetičtí nájezdníci tedy zneužívají toho, že uživatelé instalaci aktualizací velmi často podceňují. Najde se tedy poměrně početná skupina uživatelů, kteří jsou stále v ohrožení, protože aktualizaci pro kancelářský balík Office nestáhli.
„Chyba existuje ve způsobu, jakým Office a WordPad analyzuje speciálně vytvořené soubory. Útok vyžaduje, aby oběť otevřela nebo zobrazila soubor, ve kterém je ukrytý malware,“ uzavřel Bašta.
S ohledem na možná bezpečnostní rizika by uživatelé s instalací aktualizací – aktuálně v případě kancelářského balíku Office – neměli otálet.
Pomáháte pirátům vydělat? Kyberměny se těží na miliardě počítačů bez vědomí uživatelů
1.1.2018 Novinky/Bezpečnost Kriminalita
Počítačové viry bylo ještě před pár lety možné odhalit zpravidla na první pohled. V počítači totiž dělaly tak velkou neplechu, že si jich uživatel všiml hned. Proti tomu moderní škodlivé kódy se snaží zůstat co nejdéle v anonymitě a vydělávají kyberzločincům velké peníze. Podle aktuálně zveřejněné analýzy AdGuard těží viry potají kybernetické mince na více než miliardě počítačů.
Virtuálních měn existuje mnoho. Jednou z nejstarších a aktuálně nejpopulárnějších jsou tzv. bitcoiny. Ty vznikly už v roce 2009, větší popularitě se ale těší v posledních letech. Tato měna byla vytvořena tak, aby se nedala ovlivňovat žádnou vládou ani centrální bankou.
Kybernetické mince „razí“ síť počítačů se specializovaným softwarem naprogramovaným tak, aby uvolňoval nové mince stabilním, ale stále klesajícím tempem. Počet mincí v oběhu má dosáhnout nakonec 21 miliónů, což má být kolem roku 2140.
Bitcoiny a další kryptoměny se těší velké popularitě především coby prostředek pro investici. Kurzy však často kolísají. Evropský bankovní úřad kvůli tomu dokonce varoval spotřebitele, že neregulované virtuální měny představují velké riziko. Jejich vklady totiž nejsou nijak chráněny.
pátek 29. prosince 2017, 10:50
To je dramatický nárůst, ještě podle říjnové statistiky totiž bylo podobnými škodlivými kódy napadeno pouze půl miliardy strojů.
Za pouhé dva měsíce se tak počítačovým pirátům podařilo infikovat další stovky miliónů počítačů. Kyberzločinci využívají toho, že za těžbu virtuálních měn – například velmi populárních bitcoinů – nemusí uživatelé zaplatit teoreticky ani korunu.
Pokud mají dostatečně výkonný počítač, mohou si nainstalovat speciální software a jeho pomocí kryptoměny doslova těžit. Tento program totiž používá předem nastavené výpočty, jejichž výsledkem je zisk virtuálních mincí. Za ty je pak možné klidně nakupovat prakticky cokoliv.
Vydělávají milióny
Jenže právě toho jsou si vědomi také počítačoví piráti. Ti stále častěji instalují podobný software do cizích počítačů místo klasických virů. Podobně zotročené stroje pak kyberzločincům vydělávají peníze, aniž by o tom majitelé počítačů měli ponětí.
I když přesné odhady nejsou k dispozici, počítačoví podvodníci si touto cestou pravděpodobně vydělají několik miliónů korun každý den podle nejstřízlivějších odhadů - soudě podle aktuální hodnoty bitcoinů.
Ta se nyní pohybuje okolo 14 600 dolarů, tedy v přepočtu bezmála 315 000 korun. Na začátku letošního roku přitom jeden bitcoin stál méně než 1000 dolarů.
Antiviry nemusí pomoci
Uživatelé si mohou sami všimnout, že je podobný software na jejich počítači nainstalován podle toho, že je daný stroj nebývale vytížený, tedy reaguje pomaleji, než je běžné. V takovém případě se vyplatí prohledat nainstalované aplikace a doplňky v internetových prohlížečích a ty podezřelé odinstalovat.
Antiviry totiž u podobných programů a doplňků nemusí rozpoznat, že jsou nainstalované bez vědomí uživatele.
Bitcoiny a další kryptoměny se uchovávají ve speciálních virtuálních peněženkách. Více se o této problematice dozvíte v našem dřívějším článku.
Bezpečnost citlivých informací zasílaných elektronicky se posílí
1.1.2018 Novinky/Bezpečnost Zabezpečení
Posílit bezpečnost citlivých informací posílaných elektronicky má za cíl novela zákona o utajovaných informacích, která bude účinná od začátku příštího roku. Změny mají zohlednit elektronizaci státní správy a posílit ochranu utajovaných informací.
Důvodem změn je to, že platný zákon umožňuje použít pasáže o administrativní bezpečnosti u utajovaných informací v papírové podobě. Nová úprava postupy ochrany informací promítá také pro zpracování a přenos utajovaných informací v elektronických spisech nebo v certifikovaném informačním systému.
„Prostřednictvím uvedené změny dojde k dokumentaci celého životního cyklu utajované informace v elektronické podobě při dodržování podmínek administrativní bezpečnosti, jako je tomu v případě utajovaných informací v listinné nebo nelistinné podobě," píše se v důvodové zprávě novely.
Na utajované informace v elektronické podobě se budou až na výjimky používat ustanovení, která obsahují požadavky na vyznačování údajů a evidenci utajované informace. Například se neuplatní ustanovení upravující podmínky přepravy a přenášení utajované informace.
Bojíte se, že někdo zveřejní vaše nahé fotky? Pošlete nám je a my je zablokujeme, vyzývá Facebook
1.1.2018 Novinky/Bezpečnost Sociální sítě
Populární sociální síť zkouší bojovat proti aktům zveřejněným z pomsty. Bezpečnostní experti varují, že její řešení nemusí být bezpečné.
Pilotní projekt boje proti fotografiím obnažených uživatelů zveřejněným z pomsty spustila v Austrálii sociální síť Facebook. Společnost ve spolupráci s tamní vládou připravila systém, který je založen na „hashování“ nahrávaných snímků.
Potenciální oběť musí Facebooku poskytnout snímky, o kterých se domnívá, že se je někdo pokusí zveřejnit na Facebooku, a sociální síť poté při nahrávání veškerých fotek porovnává nahrávané snímky s poskytnutými akty. Pokud najde shodu, nahrání a zveřejnění snímku zablokuje.
Ohrožení uživatelé mají Facebooku zasílat choulostivé snímky prostřednictvím služby Messenger. Podle australské komisařky pro internetovou bezpečnost Julie Inman Grant se lidé nemusí obávat, že jejich akty poskytnuté sociální síti budou uloženy na serverech Facebooku.
„Neukládají se tam snímky, ale digitální stopa a poté se používá umělá inteligence a jiné technologie pro porovnávání fotografií,“ zdůraznila. Podle zpravodajského serveru ABC však není jasné, zda hashování je dostatečně dobrou technologií na to, aby se vypořádalo s pokusy obcházení filtrů založených na umělé inteligenci, jako je pozměnění původního snímku.
Není to bezpečné, varují experti
Existují také vážné obavy z toho, jak Facebook naloží s tak citlivými snímky, které mu poskytnou sami uživatelé, když firma v minulosti čelila obavám ohledně zabezpečení a ochrany osobních dat.
„Z koncepčního hlediska jde o záslužnou myšlenku, ale fungovalo by to lépe, kdyby uživatel dostal možnost využít samoobslužný nástroj pro načtení souborů na Facebook,“ uvedl pro server Infosecurity-magazine.com Andrew Clarke ze společnosti Identity EMEA. Podle bezpečnostního experta společnosti ESET Marka Jamese existují vážné obavy, že by tato služba mohla být zneužita podvodníky.
„Pravděpodobnost, že se Facebook sám stane terčem útoku, je sice malá, ale pokud by se tak stalo a uživatelé by byli podvedeni a poslali takto citlivé snímky třetí osobě, mohli by se vystavit dalšímu riziku vydírání,“ varoval James. „ESET neustále zdůrazňuje, aby lidé pečlivě zvažovali, kam si ukládají intimní fotografie, a aby je pokud možno neměli uloženy on-line v jakékoli podobě,“ dodal.
Pilotní projekt Facebooku probíhá kromě Austrálie ve třech dalších zemích. Má jít jen o jednu ze součástí řady opatření, která tato sociální síť zavádí v souvislosti s bojem proti rostoucímu trendu zveřejňování intimních snímků uživatelů bez jejich souhlasu.
Pozor na soubory v Messengeru, mohou ukrývat malware pro těžbu kryptoměn
1.1.2018 Živě.cz Viry
Odborníci z Trend Micro informovali o novém malwaru, který se šíří prostřednictvím komunikátoru Messenger. V případě, že vám v jeho desktopové verzi, ať už v rámci Facebooku nebo webu Messenger.com, přijde odkaz na video, zpozorněte.
Dorazí-li vám podobná zpráva na Messenger, na soubor či odkaz v žádném případě neklikejte
Za odkazem se totiž nemusí ukrývat pouze vtipný klip s koťátky, ale i doplněk do prohlížeče Chrome se skrytou instalací. Ten pojmenovali v Trend Micro jako Digmine a z názvu se dá vytušit jeho primární účel. Na pozadí totiž umožňuje těžbu kryptoměny Monero. Využívá k tomu open-source nástroj XMRig.
V případě, že oběť využívá Facebook v Chromu, kde se neodhlásí, umí si Digmine spustit na pozadí instanci Chromu a nastartovat jeho těžební komponentu. Zároveň obsahuje i propagační část, která začne odesílat stejné škodlivé zprávy všem kontaktům v Messengeru.
Ruští hackeři útočí na poštovní účty novinářů
1.1.2018 Novinky/Bezpečnost BigBrother
Ruští hackeři od roku 2014 napadli účty elektronické pošty zhruba 200 novinářů, jejichž kritika na adresu Moskvy dráždí Kreml. Napsala to agentura AP s odvoláním na analýzu bezpečnostní internetové firmy Secureworks. Cílem hackerů je prý získat citlivou poštu, kterou by proti žurnalistům mohli v budoucnu použít.
úterý 26. prosince 2017, 12:31 - Washington/Moskva
V seznamu napadených je padesátka zpravodajů zahraničních médií působících v Moskvě, ale i málo známí blogeři z ruských provincií nebo bývalých sovětských republik. Postižená byla i řada prominentních opozičních novinářů, například televizní moderátorka Xenia Sobčaková, která kandiduje v prezidentských volbách.
Na seznamu je také britský novinář Eliot Higgins, zakladatel investigativní skupiny Bellingcat, která mimo jiné vyšetřuje pád malajsijského letadla nad Donbasem v roce 2014. Terčem hackerů byla i Ellen Barryová, bývalá moskevská zpravodajka listu The New York Times.
Za útoky podle společnosti Secureworks stojí hackerská skupina Fancy Bear, kterou podle amerických tajných služeb řídí ruská vláda. Členové Fancy Bear měli podle tvrzení expertů loni zaútočit na server americké Demokratické strany s cílem kompromitovat prezidentskou kandidátku Hillary Clintonovou.
Těžba kryptoměn už potají zneužívá miliardu uživatelů. Patříte mezi ně?
1.1.2017 cdr.cz Bezpečnost
Pomáháte někomu vydělávat pomocí svého počítače bez vašeho vědomí? Pravděpodobně ano. Přehrávání videí se stalo novým terčem na poli vytěžování kryptoměn z neinformovaných návštěvníků. Zneužitých je již okolo jedné miliardy za měsíc.
Celkem alarmující množství videostreamů provozuje tajně na pozadí těžbu kryptoměn s využitím výkonu počítačů jejich návštěvníků.
V nedávné době výzkumníci ze společnosti AdGuard uveřejnili informaci, že některé stránky se snaží využít toho, že jsou vysoce frekventované právě těžbou kryptoměny. Počet zneužitých nic netušících návštěvníků je již kolem jedné miliardy. Skript je přitom umísťován tam, kde uživatelé stráví velké množství času, tedy ideální situace v kombinaci s delšími videi (např. nelegálními streamy filmú).
Bylo dokonce zjištěno, že tři ze čtyřech stránek mají kód vložený na identickém místě. Stále je největším trnem v oku situace, že nikdo neoznámí uživatelům nic o těžbě či využití výkonu jejich zařízení.
Nejznámnější ochranou jsou tzv. Ad-blokátory. Ty částečně dokáží zabránit těžbě kryptoměny, nejsou však neprůstřelné. Mnozí uživatelé dále zůstávají v ohrožení, a to díky oblíbenéCoinHive metodě. Jsou i takové názory, že se dá CoinHive využít jako jakási alternativa k reklamám. Pravdou však zůstává, že bez souhlasu majitele by neměla být využívána.
Ale jak výzkumníci AdGuard sami konstatovali: „Pochybujeme, že všichni majitelé těchto stránek jsou si vědomi, že do těchto přehrávačů je zabudována i skrytá těžba kryptoměny.“
Obliba v této činnosti, kryptojackingu, narůstá s alarmující rychlostí. Podle AdGuard se jedná o epidemii. Od doby, kdy se tento problém poprvé objevil, uplynulo pár měsíců a nyní se již jedná o miliardy poškozených měsíčně. Není však zcela jasné, jak se s tímto problémem vypořádat.
SimilarWeb statistics odhaduje, že tyto stránky navštíví každý měsíc zhruba 992 milionů návštěvníků. Díky těmto něvštěvníkům je vytěžena kryptoměna v celkové hodnotě zhruba 320 000 dolarů měsíčně.
Nedávno jsme informovali o tom, že pirátská zátoka, The Pirate Bay, je podezřelá z těžby kryptoměny. Posléze se tak potvrdilo a zástupce The Pirate Bay přiznal, že se jednalo jen o pokus, zda je tento web schopný na své náklady vydělat skrze těžbu kryptoměn. Touto těžbou si zhruba vydělají přes 12 000 dolarů měsíčně.
Eliminace hesel je běh na dlouhou trať
27.12.2017 SecurityWorld Zabezpečení
Odstranění hesel bude trvat roky, uznává oborová aliance FIDO. Podle jejích slov je však na dobré cestě k rychlejšímu, jednoduššímu a mnohem bezpečnějšímu standardu autentizace.
Aliance FIDO (dříve známá jako Fast Identity Online) má v úmyslu eliminovat hesla. Na první pohled to nevypadá jako těžký úkol. Mezi bezpečnostními experty probíhá diskuze, že hesla jsou dnes už špatným a zastaralým způsobem autentizace.
Důkazy jsou zdrcující. Většina lidí navzdory doporučením používat dlouhá a složitá hesla, měnit je alespoň jednou za měsíc a vyhnout se použití stejného hesla pro více webů tak nečiní.
Masivní úniky
Nedávná zpráva společnosti Verizon o únicích dat (Data Breach Incident Report) konstatuje, že 63 procent všech úniků dat bylo umožněno tím, že se použila ukradená, slabá anebo výchozí hesla.
I když mohou být hesla složitá, problémem je jejich potenciální ukradení. Jen v posledních měsících došlo k řadě oznámení o katastrofických únicích hesel – 33 milionů z Twitteru, 165 milionů z LinkedInu, 65 milionů z Tumbleru, 360 milionů z MySpace, 127 milionů z Badoo, 171 milionů z VK.com a další.
Nick Bilogorskly, šéf hrozeb ve společnosti Cyphort, nedávno uvedl, že nyní existuje více než miliarda účtů, jejichž přihlašovací údaje se prodávají on-line. Přirovnal je ke stovkám milionů klíčů schopných odemknout bankovní úschovné boxy jen tak ležící na zemi.
„Abyste otevřeli libovolný box, stačí ho zvednout a najít shodu,“ popisuje. „Ve skutečnosti je to horší, protože většina lidí používá stejný klíč k otevírání své kanceláře, auta i domu.“
Díky automatizaci je dnes možné vyzkoušet klíče pro miliony zámků řádově za sekundy. Podle studie výzkumníků z vysoké školy Dartmouth College, Pennsylvánské univerzity a USC je situace ve zdravotnictví ještě horší.
Tamější personál se totiž většinou snaží obcházet hesla, aby se zabránilo jakémukoli zpoždění při používání zařízení nebo přístupu k materiálu – hesla se běžně píší na lepicí papírky.
Podle zprávy zní otázka takto: Chceš mé heslo, nebo mrtvého pacienta? – zdravotnický personál se jen snaží dělat svou práci tváří v tvář často omezujícím a nepochopitelným pravidlům pro zabezpečení počítačů.
Eliminace hesel
Řešení pro takový děravý „bezpečnostní“ standard spočívá v tom, zbavit se ho, uvádí FIDO. Avšak aliance, která sama sebe popisuje jako konsorcium nezávislé na oboru, musí udělat více, než jen přesvědčit experty, či dokonce poskytovatele webového obsahu. Musí přesvědčit samotné uživatele – tedy ty, jež znají a používají hesla a kteří mohou projevovat iracionální odpor.
Neexistuje nic takového jako dokonalost. Vždy půjde o závody ve zbrojení. „Webové stránky, které se snaží být oblíbené, nemohou nutit své uživatele k ničemu,“ popisuje Gary McGraw, technologický ředitel společnosti Cigital.
„Twitter má dvoufaktorovou autentizaci (2FA) již nyní, ale nemusíte ji používat. Jen byste měli. Můžete jen pěkně poprosit – jinak je to ekonomický střet zájmů.
Vishal Gupta, výkonný ředitel společnosti Seclore, se domnívá, že masy přijmou jinou formu autentizace, pokud bude rychlejší a jednodušší, ale přesto si uvědomuje, že to není možné vynutit a že to bude dlouhá cesta.
„Je to velmi podobné jako rozdíl mezi platebními kartami s čipem i PIN a staršími verzemi, které měly jen magnetický proužek. Aby se to nahradilo, tak se na tom bude muset podílet hodně podniků,“ vysvětluje.
Samozřejmě dokonce i Brett McDowell, výkonný ředitel aliance souhlasí s tím, že „nutit poskytovatele webových služeb něco dělat je předem ztracené“. Řekl však, že FIDO s téměř 250 členskými organizacemi se nesnaží nic prosadit silou.
Cílem této skupiny je zajistit, aby to bylo neodolatelné – „dodat takové řešení, které budou poskytovatelé sami chtít implementovat, protože to bude v jejich vlastním zájmu,“ popisuje.
Autentizační systém, který zlepšuje uživatelskou zkušenost, „bude sám o sobě pro poskytovatele služeb lákavý“. Útočník by potřeboval mít ve své ruce fyzické zařízení uživatele, aby se mohl pokusit o útok. To se pro útočníky s finanční motivací nehodí a není to ani moc použitelné.
Jaké jsou možnosti
Argument uživatelské zkušenosti prezentuje FIDO na svém webu. Existují podle ní dvě možné metody:
UAF (User Authentication Standard) jednoduše vyžaduje, aby uživatel požádal o transakci a následně se prokázal pomocí biometrie, jako je například otisk prstu.
U2F (Universal Second Factor) vyžaduje použít uživatelské jméno a heslo na lokálním zařízení. Uživatel následně dokončí transakci tak, že k počítači připojí USB klíč a stiskne na něm tlačítko.
McDowell uvádí, že rozdíl přinášející převratnou změnu spočívá v tom, že na rozdíl od hesel jsou autentizační pověřovací údaje vždy uložené v zařízení uživatele a nikdy se nikam nezasílají. Nemluvě o tom, že je to efektivní, protože dochází k eliminaci hrozeb odjinud – z jiných zemí i jiného města.
Problém s hesly není podle něj v samotných heslech, ale v tom, že jsou sdíleným tajemstvím, které znají nejen jednotliví uživatelé, ale také servery on-line poskytovatelů, odkud je ukrást je nejenže možné, ale dochází k tomu v počtech stovek milionů. To hackerům poskytuje „hesla zneužitelná pro další servery“.
McDowell prohlašuje, že UAF a U2F jsou mnohem rychlejší a pro uživatele pohodlnější, protože autentizace probíhá jednoduše „dotykem na snímač, pohledem do kamery nebo nošením náramku atd.“.
„Je to rozhodně rychlejší než hesla a mnohem rychlejší a pohodlnější než tradiční formy dvoufaktorové autentizace, jako jsou třeba jednorázová hesla (OTP).“
Možná rizika
Někteří experti ale uvádějí, že se zvyšuje riziko, že by útočníci mohli najít způsob, jak naklonovat biometrické vstupy, jako jsou skeny otisků prstů, hlasu či oční duhovky. „Já nechci poskytovat verzi své duhovky nikomu,“ uvádí McGraw.
McDowell uznává, že biometrické ověření lze podvést – nazývá to „prezentační útok“. Uvádí však, že standardy FIDO eliminují většinu rizik ze stejného důvodu, jak bylo už výše uvedeno – biometrické informace nikdy neopouštějí zařízení uživatele.
„Biometrický útok s využitím podvrhu proti pověřením FIDO lze uskutečnit jen tehdy, pokud by měl útočník fyzicky k dispozici zařízení uživatele,“ vysvětluje. „Nelze to udělat pomocí sociálního inženýrství, phishingu či malwaru.“
Gupta souhlasí, že to pravděpodobně velmi prodraží útoky a v důsledku toho zlepší zabezpečení. „Pokud nové formy autentizace dokážou zajistit, aby byly náklady na prolomení vyšší než hodnota získaná ze samotného průniku, budeme v bezpečí,“ vysvětluje.
Přesto si nikdo nemyslí, že hesla zmizí v dohledné době. Ačkoliv je McDowell velmi optimistický, co se týče standardu FIDO, je si vědom, že jeho přijetí bude trvat dlouho.
Poznamenává, že na trhu existuje více než 200 implementací s certifikací FIDO, které „překonaly jeho očekávání“.
Tato aliance také oznámila, že „Microsoft zaintegruje FIDO do systému Windows 10 za účelem autentizace bez použití hesla“ a že aliance také „pracuje s konsorciem WWW na standardizaci silné autentizace FIDO pro všechny webové prohlížeče a související webovou infrastrukturu“.
McDowell uznává, že „hesla se budou používat ještě dlouho. I když jsme na dobré cestě, abychom mohli vidět možnost použití autentizace FIDO ve většině aplikací a zařízení běžně používaných každý den, hesla budou v nadcházejících letech stále součástí těchto systémů.“
Přestože je McGraw příznivcem dvoufaktorové autentizace a jeho firma ji od svých zaměstnanců vyžaduje, připouští, že ve skutečnosti „nic jako dokonalost neexistuje. Vždy to budou závody ve zbrojení.“
Ochrání automatické zabezpečení i vás?
27.12.2017 SecurityWorld Zabezpečení
automatizace zabezpečení začíná přesahovat rámec technologií pro prevenci a detekci a dosahuje až k dalším důležitým součástem IT infrastruktury za účelem spolehlivější ochrany.
O automatizaci zabezpečení se sice hodně mluví, ale některé pojmy jsou nejasné.
Například Gartner se ve své zprávě o inteligentní a automatizované kontrole zabezpečení zaměřil na komponentu threat intelligence a další nové prvky automatizace zabezpečení označil souhrnně poněkud obecnějším způsobem.
Zde jsou čtyři z nejnovějších a nejpokročilejších prvků, které byste měli uvážit při diskuzi o automatizaci zabezpečení:
Vykonávání pravidel
Jak významně vzrostla složitost sítí, stala se ruční správa souvisejících zásad zabezpečení téměř nemožnou. Automatizace vykonávání pravidel označuje automatizaci jakékoliv správní činnosti požadované zabezpečením IT.
Řada dodavatelů nabízí nástroje pro automatizaci správy zásad zabezpečení sítě, které dokážou pomoci snáze dodržet interní a regulační požadavky zabezpečení. Někteří také nabízejí automatizované služby pro úkoly správy, jako je přidání a odebrání uživatele a řízení životního cyklu uživatelů.
Automatizace přidání, odebrání a uživatelského přístupu může pomoci týmům IT získat větší kontrolu nad daty, náklady a časem. Společnosti nabízející tyto nástroje někdy o sobě uvádějí, že nabízejí automatizaci zabezpečení.
Monitorování varování a stanovení priorit
Někteří lidé pohlížejí na činnost automatizace optikou monitorování a stanovení priorit varování. Tradičně bylo monitorování a stanovení priorit varování ruční a velmi jednotvárnou úlohou.
Tým analytiků v provozním centru zabezpečení by musel shromažďovat data a doslova celý den zírat na monitory, aby mohl rozhodnout, jaké údaje byly důležité. V současné době existují metody pro automatizaci monitorování a stanovení priorit varování. Liší se ale rozsahem propracovanosti.
Například mohou zahrnovat stanovení pravidel a prahových hodnot, využívání threat intelligence a implementaci pokročilejší behaviorální analytiky a technologie strojového učení.
Nastavení pravidel a prahových hodnot má menší efektivitu, protože závisí na ručním zadání údajů od osoby, která rozhodne, jaká varování jsou důležitá a jaká ne.
Vyžaduje to také pravidelnou údržbu těchto pravidel, protože se počítačové hrozby stále mění a hackeři často přesně vědí, jaká varování budou firmy hledat.
Spoléhání se na threat intelligence je na druhou stranu o něco spolehlivější. Tato forma automatizace odkazuje na soubor threat intelligence z různých zdrojů, a to může pomoci společnostem zjistit, jaká varování hledat a jaká jsou pro ně skutečně důležitá.
Pokud například podnik dokáže využívat více zpravodajských zdrojů, dozví se, když se někde ve světě objeví určitý typ útoku. Automatizované zpracování threat intelligence potom může společnosti pomoci připravit její ochranu před potenciálním útokem dříve, než by bylo příliš pozdě.
Behaviorální analytika a strojové učení patří mezi nejpokročilejší formy automatizace monitoringu a stanovení priorit varování, protože se nespoléhají na pravidla a prahové úrovně tzv. známých hrozeb.
Namísto toho se tento typ technologie dokáže učit, jak vypadá normální chování sítě, a snadno a okamžitě může upozornit na libovolné neobvyklé chování a následně statisticky skórovat prioritu každé potenciální hrozby, kterou by bylo dobré prošetřit.
Plánování reakce na incidenty
Plánování reakce na incidenty se také označuje za automatizaci zabezpečení. Jedním ze způsobů, jak si lze představit tuto technologii, je inteligentní systém tiketů, který pomáhá společnostem sledovat vývoj bezpečnostního incidentu a koordinovat kroky potřebné reakce.
Dodavatelé v tomto segmentu pomáhají společnostem vytvářet manuály pro různé typy hrozeb, takže mohou automatizovat části svých reakcí, kdy se počítá každá vteřina.
Automatizují pracovní postupy a pomáhají firmám zajistit komunikaci s příslušnými interními a externími kontakty, dodržovat regulační předpisy pro záležitosti, jako je oznámení týkající se soukromí, a vytvářet jasné záznamy pro audit.
Vyšetřování, akce a náprava
Automatizace vyšetřování, akce a náprava pro počítačové hrozby se týkají využívání technologie k takovému plnění úkolů, jako by je vykonával kvalifikovaný počítačový analytik.
Ostatní prvky automatizace zabezpečení (od zásad přes stanovení priority až po plánování) pracují určitým způsobem na dosažení tohoto konečného cíle – rychlého zjištění hrozeb a jejich eliminaci dříve, než ovlivní provoz.
Existují různé aspekty, co by mohl dodavatel zautomatizovat v oblasti vyšetřování, akce a nápravy. Někteří například řeší jen jednu z těchto tří komponent, zatímco jiní se zaměřují na specifické úlohy, jako je například automatizace karantény kompromitovaných zařízení.
Existují také firmy, které využívají automatizaci a umělou inteligenci k řízení celého procesu od začátku až do konce, jako by to dělal počítačový analytik.
Všechny tyto technologie automatizace zabezpečení uvolňují přetížený personál zabezpečení a dovolují týmům zabezpečení méně se věnovat všedním (ale nezbytným) činnostem a více se zaměřit na strategické iniciativy, které umožní zvýšit zabezpečení jejich společnosti.
Podle údajů Breach Level Index bylo v roce 2015 kompromitovaných každý den průměrně 1,9 milionu on-line záznamů. To je 80 766 záznamů každou hodinu a 1 346 záznamů každou minutu.
Téměř nepřetržitý výskyt on-line narušení přitom nevykazuje žádné známky zpomalení, takže si společnosti nemohou dovolit, aby je zdržovaly nedořešené otázky o konceptu a schopnostech automatizace zabezpečení.
Je dobré dát automatizaci infrastruktury zabezpečení IT vysokou prioritu a připustit, že lze automatizovat více oblastí, aby společnost zůstala v bezpečí. Automatizace vykonávání zásad, monitorování varování a stanovení priorit a plánování reakce na incidenty může dramaticky zvýšit firemní produktivitu a snížit náklady.
Pomocí plné automatizace vyšetřování, akcí a nápravy pro hrozby mohou firmy ve velkém simulovat zkušenosti a logiku zkušených počítačových analytiků, a zaručovat tak silnější zabezpečení a dodržování předpisů celkově.
Výhody a nevýhody automatizace zabezpečení
Kolem použití automatizace v oblasti počítačové bezpečnosti existuje celá řada obav:
Ztráta kontroly -- V mnoha případech je největší překážkou k automatizaci jednoduše vnímaná ztráta kontroly. Ve skutečnosti může správný nástroj automatizace zajistit vyšší míru viditelnosti a lepší přehled o celém procesu počítačové bezpečnosti.
Nedostatek důvěry -– Pro vysoce kvalifikované pracovníky je snadné mít pocit, že jsou schopnější řídit reakce na incidenty, než by to dokázal počítač. Nedůvěra k technologii tak může být neuvěřitelně velkou překážkou, kterou je potřeba překonat, ale nakonec – s ohledem na změnu druhu, frekvence a složitosti útoků – je to marný argument.
Strach ze změny – Asi největším omylem týkajícím se automatizace je představa, že přijetí automatizace způsobí určitý zánik pracovních míst.
Co se stane, když technologie převezme proces reakcí na incidenty? Bude oddělení IT nahrazeno roboty? Faktem je, že zatímco automatizace určitě mění způsob, jakým lidé pracují, vytváří stejně tolik příležitostí, kolik jich eliminuje.
Pro řešení těchto vnímaných nevýhod lze ale použít řadu významných faktů o pozitivní úloze automatizace v počítačovém zabezpečení.
Sjednocení sil – Žádný vojenský velitel by nešel do boje s armádou významně menší co do velikosti, síly a schopností, než by měl jeho nepřítel. Stejný koncept může být a měl by být aplikovaný na důležité úlohy počítačové bezpečnosti. Automatizace poskytuje schopnost reagovat na příchozí útoky krok za krokem, a poskytuje přitom nejvyšší možnou úroveň ochrany.
Zvýšená efektivita – Přidání automatizace do procesu reakce na incidenty pomáhá zjednodušit pracovní postupy a vytvořit mnohem jednotnější a efektivnější prostředí. Nejenže tedy zvyšuje sílu organizace ve smyslu zabezpečení, ale způsobuje také zlepšení celkové hospodárnosti.
Méně chyb – Mnoho z nejpozoruhodnějších počítačových narušení v posledních letech nastalo v důsledku lidských chyb z přepracovanosti. I ten nejzkušenější odborník v oblasti IT může udělat čas od času nějakou chybu.
Některé chyby se však bohužel mohou ukázat jako neuvěřitelně nákladné. Automatizace tento problém eliminuje tím, že z některých nebo ze všech částí procesu odstraní lidský faktor.
Lepší rozhodování – Jednou z největších výzev, kterým šéfové IT čelí, je kolosální úkol dělat v reálném čase důležitá firemní rozhodnutí. Další výhodou automatizace je schopnost shromažďovat, analyzovat a zvýšit prioritu důležitých dat na kliknutí tlačítka, což dále zlepšuje detekci hrozeb a proces správy incidentů.
Vzhledem k tomu, že jsou průměrné roční náklady na počítačové útoky v rozmezí od desítek tisíc dolarů u malých firem až po řadu miliard u globálních podniků, je téma počítačové bezpečnosti něco, na co by měl každý šéf organizace v současné době pamatovat.
Ještě důležitější je, že v současné době používané strategie je potřebné řádně posoudit a dostatečně opevnit, pokud se firma nechce stát další obětí.
Navzdory mnoha mylným pohledům se automatizace ukazuje jako ideální nástroj pro zefektivnění a posílení procesu reakce na incidenty a vytvoření lepší linie obrany, která obstojí ve zkoušce času.
Hackněte hackery
26.12.2017 SecurityWorld Hacking
Sledování on-line diskuzí na fórech hackerů vám poskytne představu o šťavnatých zranitelnostech, které váš dodavatel zatím neopravil.
V moři zranitelností volajících po vaší pozornosti je téměř nemožné zjistit, jaké problémy zabezpečení IT řešit jako první. Rady dodavatelů poskytují vyzkoušené prostředky pro ochranu před známými vektory útoků. Je zde ale ještě výhodnější možnost: Zjistit, o čem se baví samotní hackeři.
Vzhledem ke stále většímu prostoru, kde lze vést útoky, se většina organizací snaží provázat svůj cyklus správy zranitelností s oznámeními dodavatelů. Prvotní odhalení zranitelností zabezpečení však nemusí vždy pocházet přímo od dodavatelů.
Čekání na oficiální oznámení může způsobit, že budete mít vůči útočníkům zpoždění v řádu dnů či dokonce týdnů. Útočníci diskutují a sdílejí návody během hodin poté, co dojde k objevení zranitelnosti.
„On-line diskuze obvykle začínají za 24 až 48 hodin od úvodního zveřejnění,“ uvádí Levi Gundert, viceprezident threat intelligence ve společnosti Recorded Future, s odvoláním na firemní hloubkovou analýzu diskuzí v cizojazyčných fórech.
Rady dodavatelů, příspěvky na blozích, zprávy distribuované pomocí mailingových seznamů a varování skupin CERT – obránci nejsou jediní, kdo čte tato oznámení. Vědět, co vzbuzuje zájem útočníků a jakým způsobem hodlají díry zneužít dříve, než mohou dodavatelé zareagovat, je skvělý způsob, jak se svézt na další vlně útoků.
Upovídaný hacker
Chyba serializace objektů Java z minulého roku je dokonalým příkladem. Tato chyba byla poprvé popsána na konferenci v lednu 2015 a nepřitahovala pozornost až do 6. listopadu tohoto roku, kdy výzkumníci ze společnosti FoxGlove Security zjistili, že tento problém ovlivní vícejádrové základní podnikové aplikace, jako jsou například WebSphere a JBoss.
Společnosti Oracle trvalo dalších 12 dní a firmě Jenkins 19 dní vydání formálního oznámení, které se týkalo zranitelností v produktech WebLogic Server a Jenkins.
Komunity útočníků však začaly diskutovat o příspěvku na blogu FoxGlove Security za několik hodin a společnost Recorded Future zjistila, že kód umožňující zneužití, který ověřoval koncept, se objevil za pouhých šest dní.
Podrobný návod pro zneužití, popisující, jak vykonat útok, byl k dispozici 13. listopadu, tj. pět dní předtím, než firma Oracle cokoli vydala. V prvním prosincovém týdnu již útočníci prodávali jména zranitelných organizací a specifické odkazy pro vyvolání zranitelností těchto cílů.
„Je zřejmé, že doba mezi rozpoznáním zranitelnosti a okamžikem, kdy dodavatel vydá opravu nebo alternativní řešení, je pro aktéry hrozeb cenná, ale když se podrobné návody pro zneužití objeví ve více jazycích, může být tento rozdílový čas pro firmy doslova katastrofální,“ popisuje Gundert.
Zranitelnost OPcache Binary Webshell v PHP 7 je dalším příkladem toho, jaký mají útočníci náskok. Bezpečnostní firma GoSecure popsala nový exploit dne 27. dubna a společnost Recorded Future vydala návod vysvětlující, jak používat ověření konceptu odkazované v blogovém příspěvku GoSecure ze dne 30. dubna.
Jak firma GoSecure uvedla, vliv zranitelnosti na aplikace PHP nebyl univerzální. S výsledným návodem však bylo pro útočníky snadnější najít servery s potenciálně nebezpečnou konfigurací, která je činila zranitelnými vůči nahrání souboru.
„Oznamovaly to dokonce i obskurní blogy,“ připomíná Gundert. Většina lidí si přitom blogového příspěvku GoSecure nevšimla. Pokud nezíská blogový příspěvek dostatečnou pozornost u komunit obránců, může diskutovaný potenciální vektor útoku zůstat bez povšimnutí v důsledku velkého množství konkurenčních zpráv.
Na druhé straně bitevní linie však útočníci diskutují o chybě a sdílejí informace a nástroje pro její zneužití.
Čekání činí problémy
Jedním z důvodů, proč útočníci získávají tak velký náskok vůči dodavatelům a bezpečnostními profesionálům, je samotný proces oznamování zranitelností.
Oznámení dodavatelů je obvykle vázáno na okamžik, kdy chyba dostane identifikátor CVE (Common Vulnerability and Exposures). Systém CVE spravuje nezisková organizace Mitre.
Funguje jako centrální úložiště pro veřejně známé zranitelnosti zabezpečení informací. Když někdo najde zranitelnost zabezpečení – ať už je to majitel aplikace, výzkumník nebo třetí strana jednající jako zprostředkovatel – společnost Mitre dostane žádost o vydání dalšího identifikátoru CVE.
Jakmile Mitre přiřadí identifikátor, který pro zranitelnosti funguje podobně jako rodná čísla, mají podniky, dodavatelé a obor zabezpečení způsob pro identifikaci, diskuzi a sdílení podrobností o chybě, takže ji lze opravit.
V případech, kdy počáteční odhalení nepochází od dodavatelů, jako to bylo například s chybou serializace objektů Java, mají útočníci náskok vůči obráncům, kteří čekají na přiřazení identifikátoru CVE.
Tento časový rozdíl je kritický. Samozřejmě že když je nutné prozkoumat, vyhodnotit a zmírnit tolik zranitelností, ale pro boj s nimi jsou k dispozici jen limitované bezpečnostní zdroje, je filtrování zpráv o zranitelnostech na základě přiřazenosti identifikátoru CVE „rozumným postojem“, který organizacím umožňuje hrát na jistotu, vysvětluje Nicko van Someren, technologický ředitel Linux Foundation. Závěr je, že jakmile chyba má CVE, je její existence potvrzena a vyžaduje pozornost.
V poslední době se však samotný systém CVE stal překážkou. Několik bezpečnostních profesionálů si stěžovalo, že nemohou od společnosti Mitre získat CVE včas. Zpoždění má důsledky – je těžké koordinovat opravu chyby s dodavateli softwaru, partnery a dalšími výzkumníky, když neexistuje systém, který by zajistil, že se všichni zabývají stejnou záležitostí.
Součástí problému je také měřítko, protože je softwarový průmysl větší, než byl před deseti lety, a zranitelnosti se nalézají ve větším množství. Jak ukázala analýza společnosti Recorded Future, zpoždění v přiřazení CVE dává útočníkům čas k vytvoření a zdokonalení jejich nástrojů a metod.
„Existuje mnoho lidí, kteří věří, že pokud není přiřazen identifikátor CVE, nejde o reálný problém – a to je skutečný průšvih,“ uvádí Jake Kouns, šéf zabezpečení ve společnosti Risk Based Security.
Dalším problémem totiž je, že ne všechny zranitelnosti dostanou svůj identifikátor CVE, jako například webové aplikace, které jsou aktualizované na serveru a nevyžadují interakci se zákazníky.
Bohužel chyby mobilních aplikací, které vyžadují interakci se zákazníky pro instalaci aktualizace, také nedostávají identifikátory CVE. V loňském roce bylo oznámených 14 185 zranitelností, což je o šest tisíc více, než bylo evidováno v národní databázi zranitelností a ve CVE, uvádí zpráva „2015 VulnDB Report“ společnosti Risk Based Security.
„Skutečná hodnota systému CVE pro spotřebitele a pracovníky zabezpečení informací není v měření rizika a dopadu na zabezpečení, ale v katalogizování všech známých rizik pro systém bez ohledu na závažnost,“ popisuje Kymberlee Priceová, šéfka výzkumné činnosti ve společnosti BugCrowd.
Je čas začít naslouchat
Protože CVE nepokrývá každý exploit, musíte hledět za jeho hranice, pokud chcete dostat úplný obraz toho, s čím se můžete setkat. Znamená to, že byste měli přestat vázat své aktivity správy zranitelností výhradně na oznámení dodavatelů a začít zkoumat i další zdroje informací, abyste udrželi krok s nejnovějšími zjištěními.
Vaše týmy správy zranitelností budou efektivnější, pokud budou hledat zmínky o prověření konceptů na internetu a příznaky aktivity exploitů ve vašem prostředí.
Existuje mnoho veřejně dostupných informací o zranitelnostech, které nabízejí více než pouhé oficiální oznámení dodavatele. Těchto informací je ale tolik, že obránci nemohou očekávat, že by mohli udržet krok se všemi příspěvky na blozích, které odhalují různé zranitelnosti, s mailingovými diskuzemi mezi výzkumníky ohledně konkrétních chyb zranitelností a s dalšími veřejnými informacemi.
Namísto pokusu přihlásit se ke každému existujícímu mailingovému seznamu a RSS kanálu by měl váš tým správy zranitelností jít přímo na fóra a naslouchat, co říkají potenciální útočníci. To je ten nejlepší druh včasného varování.
„Pokud jsem ve své organizaci zodpovědný za správu zranitelností, měl bych dávat pozor na diskuze na fórech a hledat podstatné diskuze o konkrétních zranitelnostech,“ radí Gundert. „Neudržíte sice krok s nultým dnem, ale zachytíte chyby, o kterých byste se jinak dozvěděli z pokynů od dodavatelů až za týdny.“
Jako firma nabízející threat intelligence chce Recorded Future, aby podniky používaly její platformu k naslouchání diskuzím o hrozbách na fórech, anglických i cizojazyčných, existují však i další možnosti.
Organizace si mohou vybrat pro sledování diskuzí několik fór, kanálů IRC a dalších on-line zdrojů. Analytici z Record Future si všimli uživatelů důsledně sdílejících příspěvky psané jednotlivci, kteří se zdají být uznávaní jako spolehlivý zdroj informací.
Pouhé sledování toho, co tito „experti“ říkají, by mohlo pomoci odhalit diskuze o nejnovějších chybách. Sledování toho, co se sdílí na GitHubu, může také velmi pomoci při odkrývání plánů útočníků.
Threat intelligence pomáhá zlepšit poměr potřebných informací vůči šumu a odhalit užitečné informace, ale není to jediný způsob, jak najít tyto diskuze.
Obránci by měli sledovat, zda se v jejich sítích nezvýšila skenovací aktivita. Zvýšení indikuje pravděpodobnost, že existují diskuze o tom, jak vyvolat zranitelnosti.
Experti Recorded Future si například všimli, že skenování zaměřené na skriptovací stroj Groovy ve službě Elasticsearch začalo „téměř okamžitě“ po odhalení zranitelnosti pro vzdálené spuštění kódu. „Na fórech se také přetřásaly způsoby, jak zneužít a udržet systémy ve zkompromitovaném stavu,“ uvádí Gundert.
Chyby s možností vzdáleného spuštění kódu téměř okamžitě vyvolají on-line diskuze. Lokální exploity, které vyžadují, aby útočník nejprve v zařízení nějakým způsobem získal oporu, naopak tolik diskuzí nevyvolávají.
Ochrání vás zálohy před ransomwarem?
26.12.2017 SecurityWorld Viry
Zálohy by měly ze své podstaty velice jednoduše posloužit k obnově provozu po ataku ransomwaru. Velmi často se tak ale neděje. Co je důvodem a jaká opatření je vhodné udělat, abyste mohli výhody back-upu využít i při těchto incidentech?
Teoreticky by nikdo neměl vyděračům využívajícím ransomware platit žádné peníze. Nemáme snad všichni v současné době zálohy? I spotřebitel má přístup k široké řadě bezplatných či levných zálohovacích služeb.
Zprávy jsou ale plné informací o institucích, jako jsou nemocnice, které by měly používat plány pro zajištění nepřetržitého provozu a využívat solidní zálohovací strategie.
Přesto však bylo podle FBI jen v USA zaplaceno více než 209 milionů dolarů v platbách za ransomware v průběhu prvních tří měsíců roku 2016, což je oproti pouhým 25 milionům dolarů za celý rok 2015 citelný nárůst.
Co se děje? Proč zálohy nefungují? Z důvodu finančních úspor některé organizace nezahrnují všechny své důležité soubory do svých záloh nebo nezálohují dostatečně často. Jiní zase své zálohy netestují a zjistí, že systémy nefungují, až když je příliš pozdě.
A konečně, některé společnosti ukládají své zálohy na síťové jednotky, kde je dokáže ransomware snadno najít a zašifrovat.
Jaký rozsah zálohování stačí?
Vždy je zde kompromis mezi cenou a bezpečností a většina organizací upřednostní své výdaje.
„Historicky bylo možné na klientském trhu v oblasti zálohování klientských dat vidět, že když oddělení IT viděla náklady na úložiště pro ukládání všech dat, moc se jim do takových investic nechtělo,“ uvádí David Konetski ze společnosti Dell.
To však podle něj platilo před exponenciálním snížením cen úložišť v období před pěti až deseti lety. „Nyní žijeme ve světě skutečně levných úložišť a cloudových úložišť,“ tvrdí Konetski.
Navíc by nemuselo stačit zálohovat jen důležitá data a dokumenty. Může být potřeba zazálohovat celé počítače, pokud jsou důležité pro podnikání.
Například ve zdravotnickém zařízení Hollywood Presbyterian Medical Center, kde nedávno zaplatili kyberzločincům ekvivalent 17 tisíc dolarů, ransomware nejenže zašifroval důležité soubory, ale rovněž vážně poškozoval provoz po dobu deseti dnů a přinutil personál vrátit se zpět k papírovým záznamům a faxům.
Místní zpravodajské organizace oznámily, že někteří pacienti s potřebou naléhavé péče byli převezeni do jiných nemocnic.
„Tento malware uzamkl přístup k některým počítačovým systémům a zabránil nám elektronicky komunikovat,“ uvedl výkonný ředitel Allen Stefanek této instituce v dopise veřejnosti. Pro nemocnici byla podle něj nejrychlejším způsobem obnovení systémů platba výkupného.
Ne vždy to však problém vyřeší. Objevily se i zprávy, že nemocnice například zaplatily výkupné a slíbené klíče nedostaly nebo se vznesl požadavek na ještě vyšší částku.
Pokud by byly okamžitě k dispozici čisté bitové kopie pro infikované počítače, mohla by nemocnice zcela smazat infikovaný hardware a obnovit na něm poslední dobrou verzi.
Organizace nemusejí ukládat několik kompletních kopií každého systému – přírůstkové zálohovací systémy jsou velmi efektivní, protože uloží jen poslední změny.
„Pokud dojde ke kompromitaci celého systému, můžete se vrátit zpět k holému hardwaru,“ vysvětluje Stephen Spellicy, šéf produktového managementu, ochrany podnikových dat a správy mobilních informací ve společnosti HPE.
Otestování záloh
Vytvoření komplexní strategie zálohování je komplikovaný proces, zejména pro velké podniky s více typy dat, souborů a systémů, které je potřeba chránit.
Tato komplexnost je jedním z důvodů, proč zálohy nefungují, upozorňuje Stephen Cobb, výzkumník z Esetu. Dalším důvodem je, že zálohy nemusejí proběhnout nebo může být proces obnovy příliš obtížný.
„Největší problém, se kterým se společnosti setkávají, když dojde k jejich napadení ransomwarem, spočívá v tom, že v nedávné době neudělaly test svého procesu obnovy,“ popisuje. „Zálohovaly, ale netrénovaly obnovení – existuje k tomu vtipný důkaz, když se někteří správci ptají: ‚Kolik trápení způsobí obnova ze zálohy ve srovnání s platbou výkupného?‘“
Mnoho firem nevykonává řádné testování svých záloh, potvrzuje Spellicy z HPE. „Jedním z hlavních důvodů, proč se nám daří najít zákazníky, je, že se neúspěšně snažili využít obnovení od jiného dodavatele a nyní hledají nové řešení. Když to potřebujete, musí to fungovat. Je to velmi kritické – pokud nemůžete zálohu využít, potom je bezcenná.“
Skrytí zálohy před zločinci
Kybernetičtí vyděrači vědí, že zálohy jsou jejich nepřítel číslo jedna, a přizpůsobují svůj ransomware tak, aby je vyhledával.
„Několik rodin ransomwaru ničí všechny stínové kopie (Shadow Copy) a body obnovení v systémech Windows,“ uvádí Noah Dunker, ředitel bezpečnostních laboratoří společnosti RiskAnalytics. „Mnoho typů ransomwaru se zaměřuje na všechny připojené disky a šifruje také zálohy, přestože to možná není promyšlený záměr.“
Každý souborový systém připojený k infikovanému počítači je potenciálně zranitelný stejně jako připojené externí pevné disky a zasunuté USB Flash disky.
Tipy pro spolehlivější zálohy
1. Každodenní zálohy
Používejte on-line službu pro synchronizaci souborů, která nepřetržitě zálohuje soubory, na nichž zaměstnanci pracují. Další možností je zapnout synchronizaci ve vlastní síti, ale pomocí proprietárních protokolů, aby záloha nebyla viditelná pro útočníky.
Nebo pokud není k dispozici nic jiného, by zaměstnanci měli začít používat starou metodu a navyknout si jednou nebo dvakrát denně zazálohovat své důležité soubory na externí disk, který bude jinak odpojený.
Pokud by ransomware vyřadil jejich počítač, mohou zaměstnanci pokračovat v práci z jiného místa, zatímco by docházelo k obnově funkce jejich počítače.
2. Střednědobé zálohy
Ukládejte pravidelné zálohy uživatelských počítačů na snadno dostupných zařízeních pro ukládání dat, která jsou logicky izolována od zbytku sítě. Použijte je k rychlému obnovení uživatelských počítačů do posledního funkčního stavu.
3. Dlouhodobé zálohy
Používejte off-line úložiště, fyzicky izolované od zbytku vaší společnosti, pro méně časté, ale komplexní zálohování všeho, co vaše firma potřebuje obnovit v případě nouze.
„Aby vaše zálohy odolaly ransomwaru, měli byste použít disky nepřipojené ke konkrétní pracovní stanici,“ prohlašuje Sam McLane ze společnosti ArcticWolf Networks. „Například můžete přenášet data přes síť na jinou pracovní stanici nebo úložné zařízení pomocí zálohovací aplikace. Zajistěte, aby toto úložné řešení zůstalo chráněné a nebylo dostupné uživatelským pracovním stanicím, zejména pokud mají přístup k internetu.“
Je potřeba používat bezpečnostní kontroly, které oddělí uživatele od záloh, radí Todd Feinman, výkonný ředitel společnosti Identity Finder, která se zabývá utajením dat. Dobrou praxí je také používat dobře zabezpečené a šifrované zálohování do jiné lokality.
„Není potřebný každodenní přístup – tyto zálohy jsou určené jen pro případ nouze, když vše ostatní selže,“ uvedl.
Pro každodenní použití, například když zaměstnanci nechtěně smažou důležité soubory a potřebují je obnovit, existuje mnoho služeb synchronizace souborů, dodává Feinman.
Tyto systémy budou neustále sledovat změny v souborech. Pokud se však do počítače dostane malware a zašifruje všechny soubory, bude toto zašifrování zrcadlené zálohovacím systémem také.
Naštěstí se obvykle uchovávají předchozí verze souborů. „Jakmile jsou aktuální soubory zašifrované, budou zašifrované i jejich zálohy. Firma tedy bude muset udělat obnovu pomocí předchozí zálohy, která zakódovaná není,“ říká Craig Astrich, ředitel společnosti Deloitte Cyber Risk Services.
Samotný ransomware se však může skrývat i v šifrovaných souborech, když dochází k jejich zálohování.
„Pokud dojde k zazálohování zakódovaného souboru v rámci zálohovacího procesu, může znovu zašifrovat prostředí po jeho obnovení,“ varuje Scott Petry, spoluzakladatel a výkonný ředitel společnosti Authentic8.
To by podle něj mohlo dostat uživatele do smyčky neustálého obnovování zálohy a zašifrování. Každý proces zálohování by se tedy měl dělat společně se skenováním na přítomnost malwaru, aby se odhalily tyto nebezpečné soubory před zálohováním či obnovením.
Netýká se to jen dat
Pokud ztráta souborů a zablokování systémů zásadně důležitých pro provoz nestačí, může ransomware napáchat ještě více škody. Může zakrývat další útoky.
„Pokrokoví hackeři využívají ransomware jako sekundární formu infekce nebo jako obranu proti reakci na incidenty,“ prohlašuje Tom Kellermann, výkonný ředitel společnosti Strategic Cyber Ventures.
Útočníci se mohou dokonce zmocnit firemní komunikace či webu, aby více rozšířili infekci ransomwarem.
Zákeřný červ děsí bezpečnostní experty i po letech
26.12.2017 Novinky/Bezpečnost Viry
První verze zákeřného červa Confickera začala internetem kolovat už v roce 2008. Přestože zabezpečení počítačových systémů od té doby prošlo značným vylepšením, nové verze této hrozby stále nepřestávají strašit. Aktuálně dokonce tento nebezpečný malware patří mezi tři nejrozšířenější virové hrozby na světě. Vyplývá to ze statistik antivirové společnosti Check Point.
Ve zmiňovaném roce 2008 byl Conficker několik dlouhých měsíců nejrozšířenější hrozbou vůbec, platilo to prakticky i celý rok 2009. V uplynulých letech však o sobě tento nezvaný návštěvník nedával vůbec vědět.
Zlom nastal až loni a letos před Vánocemi, kdy jej kyberzločinci začali hojně využívat. V tuzemsku i v zahraničí tak podle analýzy antivirové společnosti Check Point představoval tento červ třetí nejrozšířenější hrozbu vůbec.
První dvě příčky patří škodlivým kódům RoughTed a Rig ek, které jsou však výrazně mladší než zmiňovaný Conficker.
Napadl i počítače v elektrárně
Conficker využívá zranitelnosti operačního systému Windows. Pro tu už dávno existuje bezpečnostní záplata, ale jak je ze statistik zřejmé, s její instalací si velká část uživatelů hlavu neláme. Na konci dubna se dokonce ukázalo, že se tento nebezpečný červ uhnízdil v počítačích v bavorské jaderné elektrárně Gundremmingen.
Autoři Confickera vybudovali po celém světě velkou síť infikovaných PC využitelných na libovolnou úlohu, poněvadž mohou díky viru ovládat počítače na dálku. Na jeho řízení použili autoři červa inovativní způsob. Každý den se vygenerují nové náhodné domény, kam se vir hlásí a žádá instrukce.
Tím prakticky bezpečnostním expertům znemožňují, aby mohli Confickera zcela vyřadit z provozu.
Důležité jsou aktualizace
Většina antivirových programů by si nicméně i s tou nejnovější verzí měla poradit. Pokud ne, mohou pomoci s jeho vystopováním nejrůznější on-line antivirové skenery. Ty jsou zpravidla k dispozici zadarmo.
Jak zajistit, aby se červ do počítače vůbec nedostal? Bezpečnostní experti důrazně doporučují nainstalovat do počítače všechny přístupné bezpečnostní aktualizace, které jsou dostupné přes systém automatických aktualizací nebo přes stránku Windows Update.
Hackeři připravili ruské podniky o 116 miliard rublů
26.12.2017 Novinky/Bezpečnost Hacking
Ruské firmy přišly letos kvůli kybernetickým útokům přibližně o 116 miliard rublů (zhruba 43 miliard korun), ztráty kvůli hackerům hlásí každá pátá společnost. Vyplývá to z první podobné zprávy ruské Národní výzkumné finanční agentury.
Analytické finanční centrum provedlo v listopadu šetření mezi 500 firmami v osmi federálních okruzích země. Podle něj v Rusku letos následkem hackerských útoků přišel jeden podnik v průměru o téměř 300 000 rublů (přes 110 000 korun).
Ze zprávy dále vyplývá, že se s kybernetickými hrozbami setkala až polovina respondentů, a to především ve velkých podnicích, zhruba 60 procent vůči 46 až 47 procentům mezi středními a drobnými podnikateli. Nejvíce se firmy setkávají s počítačovými viry včetně vyděračských, s proniknutím do elektronické pošty a s přímými útoky na webové stránky.
Podniky riziko podceňují
Přestože většina dotázaných podnikatelů o kybernetických hrozbách povědomí má, až 60 procent z nich si myslí, že je risk vůči jejich firmě minimální. Podle Kirilla Smirnova z výzkumné agentury ruské podniky míru nebezpečí často podceňují a nejsou připraveny hrozbám čelit.
Bezmála 90 procent dotázaných uvedlo, že se v rámci bezpečnostních opatření spokojí pouze s antivirovým programem. Bezpečnostní opatření, která musí dodržovat všichni zaměstnanci firmy, má jen 47 procent respondentů. Přístup k internetu omezuje svým zaměstnancům 45 procent společností. Dvaadvacet procent dotázaných podniků uvedlo, že svým pracovníkům dovoluje instalovat do firemních počítačů jakékoliv programy.
Teoreticky by si však novinka mohla odbýt premiéru na veletrhu CES, který se bude konat již tradičně zkraje ledna v americkém Las Vegas. Na něm totiž výrobci pravidelně odhalují zajímavou elektroniku, která se na pultech obchodů objeví v nadcházejících měsících.
Nikdy neplaťte za půjčku předem. Čech zmapoval nový internetový podvod
26.12.2017 Novinky/Bezpečnost Podvod
Téměř každý už dnes zná podvodné e-maily z Nigérie, které lákají uživatele na pohádkové dědictví nebo provizi z velkého miliónového obchodu. Podvodníci ale nespí a vymýšlejí nové triky, jak vás připravit o peníze. Aktuálně jde o podvodné půjčky, jejichž jediným smyslem je z oběti vylákat falešný „poplatek“, který už nikdy neuvidí.
Podvodníci vymýšlejí nové triky, jak z lidí vylákat poslední peníze. Na snímku inzerát na podvodnou půjčku.
IT experta pana Mirka zaujal příběh jedné z obětí. „Narazil jsem na matku samoživitelku se dvěma dětmi. Po poslání ‚poplatku‘ neměla ani na jídlo,“ uvedl. Proto když narazil na podvodný inzerát s nigerijskou IP adresou, rozhodl se kvůli varování dalších potenciálních obětí poptat půjčku a zmapovat, jakým způsobem podvodníci fungují.
V průběhu několika týdnů pan Mirek podnikl několik pokusů, díky nimž se mu podařilo podrobně zmapovat, jak podvody fungují a jak podvodníci reagují v odlišných situacích. Cílem je vždy přimět oběť k zaslání „poplatku“ ve výši kolem sedmi tisíc korun přes služby Moneygram a Western Union, které umožňují při znalosti odpovědi na takzvanou testovací otázku anonymní výběr peněz.
Podvodníci chtějí tímto způsobem dosáhnout toho, že peníze rychle zmizí, aniž by bylo možné zpětně transakci dopátrat. Nelze totiž zjistit, kdo peníze skutečně vybral. Jakmile oběť platbu jednou odešle, peníze už nikdy neuvidí. „Zásadou je neposílat poplatek za zprostředkování úvěru nebo obchodu předem. To je totiž až na zákonem jmenované výjimky zakázáno,“ varuje mluvčí České národní banky (ČNB) Denisa Všetíčková.
Podvodníci trvají na identifikaci, aby mohli vydírat
Aby vůbec panu Mirkovi údajnou půjčku poskytli, všichni podvodníci trvali na zaslání kopie dokladu totožnosti.
Ve chvíli, kdy pan Mirek dal najevo, že poskytovatele „půjčky“ odhalil jako podvodníka a odmítl platbu provést, podvodník sáhl k vydírání. Právě k tomu slouží zmíněné kopie občanského průkazu, na jejichž zaslání podvodníci trvají.
Když jsou podvodníci odhaleni, sahají k výhrůžkám.
Podvodníci mají spolupracovníky v Česku
Když pan Mirek předstíral, že není možné platbu poslat přes Moneygram, pokud se mu podvodník neidentifikuje, kupodivu se mu podařilo svojí neoblomností dosáhnout uvedení českého účtu vedeného u Fio banky. Odhalil tak, že zahraniční podvodníci mají i české spolupracovníky. „Je však možné, že i tito lidé jsou obětmi, které netuší, že se podílejí na trestné činnosti,“ domnívá se. Banku na podezřelý účet okamžitě upozornil.
„Takový účet je podroben bližšímu monitoringu a individuálně vyhodnocujeme všechny transakce,” sdělil Novinkám tiskový mluvčí Fio banky Zdeněk Kovář. „V případech, kdy se jedná o takzvaného bílého koně žijícího trvale v České republice, je však šance na odškodnění v rámci trestního řízení větší než v situaci, kdy jsou peněžní prostředky odeslány mimo Českou republiku,” doplnil mluvčí Komerční banky Pavel Zúbek. Ten zároveň potvrdil, že se banka s tímto typem podvodů setkává. Totéž potvrdili i mluvčí ČSOB a Equa bank.
„Denně jsou evidovány stížnosti zákazníků ohledně podvodů, kdy přišli o peníze. Jedná se jak o menší finanční obnosy, tak i částky v řádech několika set tisíc korun. Zákazníci často zamlčují skutečný stav věci a uvádějí, že příjemce znají osobně, aniž by to tak bylo ve skutečnosti,“ sdělila Novinkám policejní mluvčí Ivana Nguyenová.
„Evidujeme za rok 2017 celkem 215 skutků obsahující řetězec Moneygram a Western Union a za rok 2016 207 skutků,“ doplnila.
Jak probíhá komunikace s podvodníky
Podvodníci komunikují česky, poněkud nezvyklou češtinou vzniklou překladem skrze internetové překladače. Ty se však stále zlepšují, takže v tomto směru nemusí komunikace působit tak podivně jako v minulosti.
Komunikaci zahajují zasláním dotazníku, který připomíná formulář, jaký by mohl obdržet i klient banky nebo nebankovní finanční instituce. Ať už oběť vyplní jakékoliv údaje, třeba takové, podle nichž by u seriózní finanční instituce úvěr získat nemohl, podvodníci zašlou další e-mail s podmínkami údajného úvěru. Oběť je musí odsouhlasit a zaslat kopii dokladu totožnosti.
V dalším kroku již přijde to, o co jediné podvodníkům celou dobu jde: „Z tohoto důvodu se doporučuje zaplatit částku (6870 kč) za registrační poplatek.“ Nejprve si však ještě vyžádají údaje o účtu, na který má být údajný úvěr zaslán:
Podvodníci v rámci „schválení úvěru” poprvé odhalují, o co jim jde.
Odpověď pak obvykle přijde za několik málo minut: „Takže mi řekněte, kdy můžete poslat poplatek za registraci vašeho úvěru, abych mohl informovat banku o tom, že si půjčku připojíte okamžitě k převodu na svůj bankovní účet?“ Na poplatku pak podvodníci trvají i v případě, že oběť opakovaně deklaruje finanční problémy, které znamenají, že si i na „poplatek“ musí půjčit.
Podvodníci se snaží vylákat falešný „poplatek”.
Podvodníci pak chtějí, aby oběť zaslala „poplatek“ přes služby Moneygram nebo Western Union. Ty umožňují při znalosti čísla transakce tyto peníze vybrat během několika minut kdekoli na světě. Obě služby jsou navíc zpoplatněné, takže pokud chce klient Moneygramu odeslat 6870 korun do Nigérie, musí zaplatit ještě poplatek 500 korun.
Pokud se oběti skutečně podaří peníze odeslat a podvodníkům vzápětí poskytne i požadované údaje, tak je celá komunikace u konce. Oběť byla okradena o tisíce korun, podvodníci jsou nadále nedostupní.
Podvodníci používají falešnou identitu.
„Podvodníci takřka v 99 procentech případů používají falešné doklady totožnosti a jména, pod kterými se vydávají. I ta ve většině případů nejsou skutečná. Pro tyto případy mají výše uvedené společnosti zřízeny tzv. zelené linky, kde zákazníci mohou konzultovat veškerá zjištění a pochybnosti vyplývající z povahy věci,“ sdělila Novinkám mluvčí Policie ČR Ivana Nguyenová.
Podvodníci v našem případě používali falešnou identitu Osagie Junior, což je jméno nigerijského fotbalisty Hapoelu Jeruzalém Juniora Osagieho. Jindy šlo o jméno Sam Smith. Tak se jmenuje například britský popový zpěvák. Podezřelé obětem může být, že identita, kterou mají zadat na Moneygram nebo Western Union, se liší od podpisu podvodníka v e-mailu.
Na systém VŠE mířil hackerský útok, škola podala trestní oznámení
26.12.2017 Lupa.cz Hacking
Hackerský útok tuto neděli odstavil systém Vysoké školy ekonomické v Praze, informuje web Aktuálně.cz, který vychází ze studentského serveru iList. Šlo konkrétně o Integrovaný studijní informační systém (InSIS).
„Řada studentů FMV, kteří měli zapsané předměty s indentem 2SM, dostala oznámení o odebrání z termínů zkoušek, státnic nebo o zanesení výsledné známky z kurzu. O hodinu později začali studenti dostávat e-maily o chybě a útoku na systém,“ píše iList.
Škola napadení potvrdila s tím, že prozatím nechce zveřejňovat podrobnosti. VŠE také podala trestní oznámení na neznámého pachatele. Incident prý nemá vliv na probíhající zkouškové období. Útok se dotkl zejména Fakulty mezinárodních vztahů.
VŠE na webu vydala stručné informace, kde se píše, že se škola „stala terčem závažného kybernetického útoku“. Rozhodnuto bylo o mimořádných opatřeních, kdy do 27. prosince bude přístup do InSIS možný pouze ze školní sítě a uživatelé také mají povinnost okamžité změny hesla.
Na InSIS se útočilo už dříve. Útočník se snažil získat uživatelská jména a hesla studentů. Ve dvou textech to opět rozebíral iList.
Ruská cenzura nedokáže blokovat produkci trollů
18.12.2017 Novinky/Bezpečnost BigBrother
Hlavní ruský cenzurní orgán nemá v nejbližší době možnost omezit aktivitu takzvaných internetových trollů, tedy osob šířících za úplatu internetem dezinformace a falešné zprávy. Na moskevském semináři o internetové bezpečnosti to prohlásil šéf komunikační dozorové agentury Roskomnadzor Alexandr Žarov.
"Žádná regulace neexistuje, možná se objeví za půldruhého roku. Jaká bude, mi není známo," řekl Žarov, jehož organizace v posledních pěti letech zablokovala přes 275 000 ruských webových stránek. Šlo zejména o servery zprostředkující údajně šíření narkotik nebo dětské pornografie, ilegální herní a sázkové weby a on-line loterie.
"Upřímně řečeno, způsoby zásahu žádné nevidím," konstatoval šéf Roskomnadzoru, který k zákroku proti webům nemusí mít soudní příkaz. Žarov podle agentury Interfax dodal, že "není stoupencem omezování a totálních zákazů".
V Rusku podle místních médií existuje několik "trollích farem", tou nejznámější je petrohradská instituce zvaná Agentura pro výzkum internetu, která je považována za prodlouženou ruku ruské vlády. V holdingu pracuje kolem 250 lidí, ročně provoz firmy stojí údajně kolem 270 miliónů rublů (přes 100 miliónů korun).
Hackeři to budou mít těžší. Nová služba má zamezit masivním útokům
18.12.2017 Novinky/Bezpečnost Zabezpečení
Sdružení CZ.NIC, které má na starosti českou národní doménu, spustilo tento týden novou službu. Ta má zajistit funkčnost internetových služeb i v případě masivního hackerského útoku. Prvními společnostmi, které se k aktivitě sdružení přidaly, jsou Seznam.cz a Vodafone.
Služba zvaná ISP DNS Stack má zabránit útokům na DNS servery. Ty standardně překládají webové adresy na číselné adresy fyzických počítačů (IP adresy). Ve chvíli, kdy je hackeři vyřadí z provozu – což se už v minulosti stalo několikrát – jeví se uživateli webové stránky jako nedostupné.
Tím, že nefunguje překladač (DNS servery), webové prohlížeče po zadání adresy totiž nevědí, kam se mají připojit. Zákazníků s ISP DNS Stackem se ale případný útok nijak nedotkne a internetové služby v doméně .CZ pro ně zůstanou plně dostupné.
Budování spolehlivých datových služeb
„Pro Seznam.cz jako poskytovatele obsahu, informací a zábavy, je naprosto klíčová dobře fungující internetová infrastruktura. DNS je její nepostradatelnou součástí a z historie víme, jak vysoce nepostradatelnou,” říká Vlastimil Pečínka, technický ředitel společnosti Seznam.cz.
Ten zároveň dodal, že česká internetová jednička nedávno investovala do zrobustnění DNS služeb používaných v obou svých datových centrech. „Nabídka sdružení CZ.NIC na hostování DNS stacku tuto naši investici posouvá o úroveň výše. Navíc velmi oceňuji snahu sdružení CZ.NIC hledat další cesty, jak pomoci službám a uživatelům na internetu. Jsem tak rád, že mohu jejich snahy podpořit konkrétními kroky,” uzavřel Pečínka.
„Spolupráce s CZ.NIC je součástí naší dlouhodobé strategie budování spolehlivých datových služeb. Služba ISP DNS Stack představuje kopii DNS serveru pro doménu .CZ přímo v síti Vodafone. Zákazníkům tak zajistíme správné fungování DNS pro české domény i v případě útoků na servery CZ.NIC,” vysvětlil Milan Zíka, technický ředitel společnosti Vodafone.
Klíčový systém pro fungování internetu
Službu ISP DNS Stack provozuje výhradně sdružení CZ.NIC. Správce české národní domény se podílí na fungování operačního systému a všech na něm běžících služeb. Zapojené organizace zajišťují nákup potřebného hardware, jeho umístění v datacentru a následný provoz ve vlastní síti.
„Systém DNS je klíčový pro fungování internetu a služeb, které jsou na něm závislé. V případě, že by došlo k jeho napadení nebo výpadku, stal by se internet pro většinu lidí prakticky nepoužitelný. Velice si vážím přístupu společností Seznam.cz a Vodafone, které tímto dávají najevo především svým zákazníkům, že je pro ně dostupnost internetu za jakékoliv situace klíčová,“ prohlásil Ondřej Filip, výkonný ředitel sdružení CZ.NIC.
Vyděračské viry napadly více než čtvrtinu firem
18.12.2017 Novinky/Bezpečnost Viry
Počet útoků vyděračských programů na firmy letos vzrostl. Podíl napadených podniků se meziročně zvýšil o čtyři procentní body na 26 procent. Na vině jsou především tři nebývale mohutné útoky na firemní sítě, které zásadním způsobem změnily prostředí firemních počítačových sítí. Uvedla to antivirová firma Kaspersky Lab.
Firmy celosvětově napadly postupně vlny škodlivých programů WannaCry v květnu, ExPetr na konci června a BadRabbit v říjnu. Všechny se zaměřovaly na korporátní sítě. Na podniky útočily i jiné tzv. ransomwary, které dohromady stály za 240 000 útoky.
"Tyto známé útoky z průběhu celého roku jsou extrémním důkazem toho, že se kyberzločinci čím dál více zajímají o firemní cíle. Tento trend jsme ale zaznamenali už v roce 2016. Letos však nabral na obrátkách a zatím se nezdá, že by nějak polevoval," uvedl analytik Kaspersky Lab Fedor Sinitsyn. "Děje se tak především proto, že jsou firmy velmi zranitelné, schopné zaplatit vyšší výkupné než jednotlivci a většinou jsou k tomu i ochotnější, aby udržely v chodu svoji výrobu," dodal.
Letos výrazně klesl počet nově detekovaných vyděračských programů. Jejich počet klesl z loňských 62 na 38 v roce letošním. O to víc se ale zvýšil počet nově detekovaných verzí existujícího ransomwaru, a to na 96 000 proti loňským 54 000. Navýšení je zřejmě výsledkem snahy útočníků skrýt programy před stále lepšími technikami detekce.
Zhruba 65 procent společností, které byly letos ransomwarem napadeny, tvrdí, že přišly o přístup k většině nebo dokonce ke všem datům. Každá šestá firma, která zaplatila výkupné, se ke svým datům už nedostala. Tato čísla se v podstatě shodují s údaji za rok 2016.
Rok 2017 ve znamení ransomwaru
18.12.2017 SecurityWorld Viry
Poměr firem napadených ransomwarem v roce 2017 stoupl na 26,2 %. V předchozím roce bylo na firmy zacíleno o necelá 4 procenta všech ransomwarových útoků méně – 22,6 %. Na vině jsou především tři doposud nebývale mohutné útoky na firemní sítě, které zásadním způsobem změnily prostředí firemních počítačových sítí.
Rok 2017 se do historie kybernetické bezpečnosti zapíše především kvůli ransomwarovým útokům. Ty udeřily na společnosti po celém světě nečekaně prostřednictvím útoků s počítačovými červy. Hlavní motiv zatím zůstává nejasný. Jde o WannaCry z 12. května, ExPetr z 27. června a BadRabbit, který byl aktivní v druhé polovině října.
Všechny využily exploity navržené pro nabourání do korporátních sítí. Na podniky útočily i jiné ransomwary, které dohromady stály za 240 000 útoky. Tolika ransomwarovým infekcím zabránily v napadení korporátních počítačů po celém světě produkty Kaspersky Lab.
„Tyto známé útoky z průběhu celého roku jsou extrémním důkazem toho, že se kyberzločinci čím dál více zajímají o firemní cíle. Tento trend jsme ale zaznamenali už v roce 2016. Letos však nabral na obrátkách a zatím se nezdá, že by nějak polevoval. Děje se tak především proto, že jsou firmy velmi zranitelné, schopné zaplatit vyšší výkupné než jednotlivci a většinou jsou k tomu i ochotnější, aby udržely v chodu svoji výrobu. Není proto překvapením, že se objevují noví útočníci zaměření na firmy, kteří k útokům využívají vzdálené desktopové systémy,“ říká Fedor Sinitsyn, Senior Malware Analyst ze společnosti Kaspersky Lab.
Další trendy spojené s ransomwarem v roce 2017
V roce 2017 bylo celkem napadeno bezmála 950 000 unikátních uživatelů, zatímco v roce 2016 jich bylo 1,5 milionu. Tento markantní rozdíl je způsoben změnou v detekční metodologii. Například downloadery, které jsou běžně spojovány s krypto-malwarem, jsou nyní detekovány heuristickými technologiemi. Telemetrie Kaspersky Lab je už neklasifikuje jako ransomware.
Tři nejznámější útoky, ale i ransomwarové rodiny AES-NI nebo Uiwix, využívaly sofistikované exploity. Ty na veřejnost unikly na jaře 2017, když je zveřejnila skupina známá jako Shadow Brokers.
Došlo k výraznému poklesu nově detekovaných ransomwarových rodin. Jejich počet klesl z 62 v roce 2016 na 38 v roce letošním. O to víc se ale zvýšil počet nově detekovaných verzí existujícího ransomwaru – více než 96 000 v roce 2017 oproti loňským 54 000. Toto navýšení je zřejmě výsledkem snahy útočníků skrýt svůj ransomware před stále lepšími technikami detekce.
Ve druhém čtvrtletí letošního roku řada skupin své ransomwarové aktivity ukončila a klíče potřebné pro dešifrování dat zveřejnila. Pařily mezi ně AES-NI, xdata, Petya/Mischa/GoldenEye a Crysis. Crysis se následně opět objevil, nejspíše v režii jiné skupiny.
Kyberzločinci se stále větší oblibou využívali k infikování firem metodu vzdálených desktopových systémů. Ta se stala hlavním nástrojem mnoha skupin jako jsou Crysis, Purgen/Globelmposter a Cryakl.
65 % společností, které byly letos ransomwarem napadeny, tvrdí, že přišly o přístup k většině nebo dokonce ke všem datům. Každá šestá firma, která zaplatila výkupné, se ke svým datům už nedostala. Tato čísla se v podstatě shodují s údaji za rok 2016.
Velmi úspěšná je iniciativa No More Ransom, která byla spuštěna v červenci 2016. Ta spojuje orgány činné v trestním řízení a soukromé společnosti. Ty společně vyhledávají a následně zneškodňují velké ransomwarové rodiny. Snaží se tak pomoci koncovým uživatelům získat svá data zpět, a zároveň tím narušují lukrativní způsob výdělku kyberzločinců.
Firmy v Česku čelí novému typu podvodu, celá třetina jich naletěla
12.12.2017 Novinky/Bezpečnost Kriminalita
Firmy v Česku čelí novému typu podvodu, kdy účetní dostávají falešné e-maily od ředitelů s požadavkem na proplacení peněz do zahraničí. Takto oslovených bylo podle policie zhruba 200 firem, škoda je zatím vyčíslena na víc než 30 miliónů korun. Policisté to v úterý uvedli na tiskové konferenci.
Policisté řeší obdobné případy od května, první byl evidovaný na jihu Moravy. Pachatelé při nich využívají veřejně dostupných zdrojů, z nichž zjistí strukturu firmy včetně klíčových jmen a poté odešlou podvodný e-mail účetnímu či sekretářce, který se tváří jako e-mail od ředitele firmy.
Prvním e-mailem se dotazují, zda může být proplacena určitá suma do zahraničí, a to od 9000 eur (asi 230 tisíc korun) až do 140 tisíc eur (3,5 miliónu korun). Když účetní „řediteli” možnost převodu potvrdí, dostane druhý e-mail s pokynem o vyplacení peněz. Třetím e-mailem se pachatel následně dotazuje, zda platba byla provedena.
Naletěla asi třetina
„Ze zhruba 200 takto oslovených firem jich asi třetina peníze poslala. Výše škody je víc než 30 miliónů korun, v pokusu je dalších 150 miliónů korun, kdy firmy peníze neodeslaly," uvedl kriminalista Tomáš Němec.
Podvodné e-maily podle kriminalistů chodí ze zahraničí, kde končí i vylákané peníze. E-maily podle policistů vypadají věrohodně, jsou však psané pomocí internetového překladače takzvanou strojovou češtinou.
„Ochranou je především dobře nastavená komunikace uvnitř firmy. Je důležité věnovat pozornost obdobným požadavkům a při sebemenším podezření si ověřit, zda požadavek na proplacení přišel opravdu od vedení firmy,” řekl kriminalista. Podle něj je možné, že obdobným útokům mohou čelit i firmy v zahraničí.
Před vlnou podvodných útoků označovaných jako „falešný prezident“ letos v květnu varovala Komerční banka. Uvedla tehdy, že se šíří ve velké míře v okolních zemích i Česku. Jde zřejmě o totožné schéma - podvodníci se vydávali napodobením firemního e-mailu za vysoce postavené představitele firmy a nechávali si poslat peníze do daňových rájů.
Výdaje na IT bezpečnost porostou
10.12.2017 SecurityWorld Bezpečnost
Mezi respondenty nejnovějšího globálního průzkumu informační bezpečnosti (EY Global Information Security Survey; GISS) vyvolává hrozba kybernetických útoků značné obavy. EY se na nejpalčivější rizika a související protiopatření dotazovala více než dvanácti set odpovědných pracovníků a manažerů předních světových organizací.
Většina oslovených organizací tvrdí, že plánují výdaje na informační a kybernetickou bezpečnost zvýšit. Až 9 z 10 dotázaných očekává růst příslušných rozpočtů ještě v tomto roce. Téměř všichni zúčastnění (87 %) počítají se zvýšením výdajů až o polovinu, což by jim mělo umožnit reagovat na vývoj relevantních hrozeb.
Tři čtvrtiny dotázaných však zároveň pokládají za nejpravděpodobnější impuls k posílení těchto nákladů výskyt incidentu, který napáchá zjevné škody. Naproti tomu 64 % je přesvědčeno, že kvůli narušení kybernetické bezpečnosti bez prokazatelných dopadů by se příslušný rozpočet neměnil, přestože ve skutečnosti nebývají důsledky kybernetického napadení často bezprostředně očividné.
„Studie ukázala, že společnosti jsou stále ještě v reaktivním módu a nepřistupují ke kybernetickým hrozbám aktivně a strategicky,“ říká Petr Plecháček, ředitel oddělení IT poradenství EY v České republice. „S navýšením rozpočtu čekají na kybernetickou událost, která ohrozí celou společnost. Ani dramatický dopad útoků prostřednictvím tzv. ransomware v minulém roce není pro řadu společností motivací pro větší investice či revizi plánů obnovy,“ dodává.
Společnosti si přitom uvědomují, že nedostatek odpovídajících prostředků je vystavuje vyšší míře rizik a v 56 % případů proto hodlají svou strategii kybernetické bezpečnosti revidovat, resp. alokaci prostředků ověřit. Celá pětina však zároveň připouští, že pro podrobné vyhodnocení veškerých dopadů nemá k dispozici dostatek potřebných údajů.
„Dnes je potřeba lépe a rychleji chápat, co se děje a snažit se útoky předvídat. Patrně jedinou správnou cestou jsou investice do bezpečnostních nástrojů pro zrychlení a zkvalitnění datové analytiky a do konvergence bezpečnostních technologií,“ komentuje Plecháček.
Organizace se obávají především malware a nedbalého přístupu zaměstnanců
Malware (64 % oproti 52 % v roce 2016) a phishing (64 %, resp. 51 %) vycházejí z průzkumu jako hrozby, v jejichž důsledku expozice organizací vůči rizikům v uplynulých dvanácti měsících vzrostla nejvíce. Mezi nejpravděpodobnější příčiny, resp. původce kybernetických útoků se pak dle oslovených společností řadí nedbalý přístup pracovníků (77 %), organizovaní kyberzločinci (56 %) a záměrné jednání vlastních zaměstnanců (47 %).
„Zaměstnanci jsou svazováni bezpečnostními pravidly a mohou tím získat pocit falešného bezpečí,“ analyzuje výsledky studie Petr Plecháček, ředitel oddělení IT poradenství EY v České republice. „Kybernetické události jsou dnes častěji zmiňovány v mediích a je možné dojít k závěru, že se jedná o skutečnost, které nelze zabránit. Adaptace jedince, potažmo celé organizace na nové a měnící se vektory a formy útoků je však nikdy nekončící proces,“ dodává.
Vrcholovému managementu pravidelně reportuje zhruba polovina firem. Osoba odpovědná za kybernetickou bezpečnost je členem vedení ani ne ve čtvrtině případů a pouze 17 % řídících pracovníků má dostatečné odborné znalosti k tomu, aby účinnost preventivních bezpečnostních opatření dokázali náležitě posoudit.
Ve spojitosti s potlačováním pokročilých kybernetických útoků – tedy takových, které lze připisovat sofistikovaným útočníkům nebo organizovaným skupinám – si je mnoho organizací vědomo možných limitů vlastních bezpečnostních opatření. Tři čtvrtiny respondentů hodnotí účinnost metod, jejichž prostřednictvím by měl podnik případné slabiny odhalit, jako „velmi nízkou až střední“. Varovným signálem jsou i některé další výsledky: 12 % společností údajně nedisponuje žádným formalizovaným programem detekce bezpečnostních incidentů, 35 % aplikuje nedůsledné nebo vůbec žádné zásady ochrany dat, a 38 % nevyužívá řádné, resp. pouze případné procesy pro správu identity či řízení přístupu uživatelů.
Schopnost čelit kybernetickým útokům mají zajišťovat tzv. centra bezpečnostního provozu (SOC). Ty by zároveň měly fungovat jako centralizovaná, strukturovaná a koordinační střediska veškerých aktivit organizace v oblasti kybernetické bezpečnosti. Zhruba polovina respondentů nicméně přiznává, že žádné takové služby nevyužívají, ať už interně nebo formou outsourcingu. Celkem 57 % nevyužívá takřka žádné analytické nástroje pro odhalování relevantních hrozeb. Pouze desetina dotázaných se domnívá, že by dokázali odhalit důmyslný kybernetický útok na jejich organizaci.
Všudypřítomné volání po konektivitě a rozmach internetu věcí (IoT) poskytují stále sofistikovanějším pachatelům kybernetických útoků nové možnosti, jak tyto moderní technologie zneužít. Ve výrobní sféře je však využití propojení strojů a technologií za využití IoT stále ještě nedoceněno. Polovina respondentů uvádí, že hlavní brzdou pro širší využití IoT je nedostatek kvalifikovaných lidí a financí.
„Jako zásadní brzdu rozvoje IoT řešení ve výrobních firmách považujeme obavu z možného napadení technologií či zneužití dat uložených na cloudu. Firmy tak často volí přístup‚ lepší nedělat nic‘, než aby čelili hypotetické hrozbě,“ říká Jan Burian, senior manažer oddělení podnikového poradenství společnosti EY. „Přitom právě využití cloudových IoT platforem umožňuje efektivní sběr, analýzu a vizualizace komplexních dat v reálném čase napříč technologiemi či jinými datovými vstupy,“ dodává.
Podle respondentů GISS je největší výzvou v oblasti bezpečnosti IoT mít přehled o všech použitých aplikacích a zařízeních, a zajistit jejich pravidelnou aktualizaci.
„IoT hraje významnou roli v rámci vytváření nových obchodních modelů, zejména u firem vyrábějící technologie, které lze na dálku monitorovat, aktualizovat jejich software či dodávat nové služby v celém průběhu životního cyklu. Tento záměr však vede k uzavírání systémů jednotlivých výrobců technologií vůči jiným IoT platformám, což v důsledku zvyšuje nároky na orientaci mezi jednotlivými platformami a významně ztěžuje orientaci potenciálním zákazníkům či uživatelům,“ uzavírá Burian.
Hackerem, který Uberu ukradl data, byl dvacetiletý mladík z Floridy
8.12.2017 Idnes.cz Kriminalita
Za masivní únik dat společnosti Uber v říjnu 2016 byl zodpovědný dvacetiletý mladík z Floridy. Společnost mu zaplatila za to, že ukradené informace následně zničil. Snaha incident utajit stála Uber sto tisíc dolarů (přes dva miliony Kč). Nakonec však firma sama o průšvihu promluvila.
V listopadu oznámila společnost Uber, že jí v říjnu 2016 byla odcizeny data celkem 57 milionů zákazníků, která obsahovala jejich jména, adresy, telefonní čísla a e-mailové adresy.
Součástí přiznání alternativní taxislužby byla i jedna zajímavá skutečnost. Hacker, který informace ukradl, dostal zaplaceno 100 000 dolarů (téměr 2,2 milionu korun), aby svou kořist zničil, a celý incident tak zůstal v tajnosti.
Avšak detaily o hackerovi, ani o způsobu vyplacení těchto peněz firma neposkytla. Až nyní podrobnosti zjistila agentura Reuters. Tři lidé spojeni s touto aférou potvrdili agentuře, že šlo o dvacetiletého muže z Floridy, který dostal zaplaceno prostřednictvím programu „bug bounty“ (odměna za chybu), jenž se normálně využívá pro odhalení menších slabin v kódu.
Tento program je primárně určen pro bezpečnostní analytiky, kteří jsou odměňovaní za odhalené chyby ve firemním softwaru, uvedly pro Reuters tři zmiňované zdroje. Agentuře se ale nepodařilo zjistit identitu dotyčného hackera.
Nový generální ředitel Uberu Dara Khosrowshahi uvedl v prohlášení o úniku dat, že propustil dva vysoce postavené zaměstnance bezpečnostního oddělení, kteří tento incident v říjnu 2016 řešili.
Není jasné, kdo udělal konečné rozhodnutí v otázce výkupného hackerovi, aby únik dat zůstal utajený, ale zdroje citované agenturou Reuters potvrzují, že tehdejší generální ředitel Travis Kalanick o incidentu a následné platbě hackerovi věděl.
Chrome obsahuje kritickou chybu. V ohrožení jsou milióny uživatelů
8.12.2017 Novinky/Bezpečnost Zranitelnosti
Kritická bezpečnostní trhlina byla odhalena v oblíbeném internetovém prohlížeči Chrome od společnosti Google. Vzhledem k tomu, že zranitelnost se týká všech podporovaných operačních systémů, v ohrožení jsou desítky miliónů uživatelů z celého světa.
Chrome je aktuálně nejpopulárnějším webovým prohlížečem, což dokazuje i početná skupina uživatelů, která se podle nejstřízlivějších odhadů počítá na desítky miliónů. Právě proto se ale na něj vcelku pravidelně zaměřují počítačoví piráti.
Kritické zranitelnosti, které mohou zneužít hackeři, tak u tohoto internetového browseru bývají odhaleny zpravidla alespoň jednou měsíčně. Koneckonců v ohrožení byli uživatelé Chromu již v listopadu.
Oprava je již k dispozici
A jak je nyní zřejmé, ani v prosinci tomu nebude jinak. Tvůrci totiž tento týden ohlásili, že prohlížeč obsahuje kritickou bezpečnostní chybu. To jinými slovy znamená, že je počítačoví piráti mohou zneužít k tomu, aby do počítače propašovali prakticky libovolný škodlivý kód. Stejně tak ale mohou přistupovat k nastavení napadeného stroje či uloženým datům na pevném disku.
Ohroženi jsou majitelé prakticky všech aktuálně dostupných operačních systémů. Chyba se totiž týká verzí tohoto browseru pro operační systémy Windows, Mac OS a Linux.
Google naštěstí již trhlinu v nejnovější verzi opravuje, stejně jako řadu dalších chyb. Ty však již nemají nálepku „kritické“, ale pouze „důležité“. Pro uživatele by tak neměly představovat žádné velké bezpečnostní riziko, jsou určeny spíše ke zlepšení funkčnosti jednotlivých součástí internetového prohlížeče.
S instalací neotálet
V každém případě není příliš rozumné s instalací updatu otálet. V případě, že uživatelé nemají nastavenou automatickou instalaci aktualizací, neměli by s jejich stažením otálet. V opačném případě nechávají pro počítačové piráty otevřena zadní vrátka do svých počítačů.
Nainstalovat aktualizaci manuálně je možné prostřednictvím nápovědy, konkrétně v části „O aplikaci Chrome“. Po rozkliknutí této nabídky se uživateli automaticky nabídne instalace nejnovější verze.
Chrome není jediným prohlížečem, který trápí nebezpečné chyby. Tento týden byla kritická zranitelnost opravena například také ve Firefoxu.
Česko patří mezi nejbezpečnější země. Na Slovensku se počítačové viry šíří více
7.12.2017 Novinky/Bezpečnost Bezpečnost
Česko je z pohledu kybernetických hrozeb jednou z nejbezpečnějších zemí na světě. Podstatně horší je situace například v sousedním Slovensku, které podle počtu počítačových útoků naopak patří spíše mezi nebezpečné země. Vyplývá to z analýzy antivirové společnosti Check Point.
„Česká republika patřila i v říjnu mezi nejbezpečnější země, když se v Indexu hrozeb podruhé za sebou umístila na 119. příčce,“ uvedl Peter Kovalčík, SE Manager ve společnosti Check Point.
Podle něj se naopak Slovensko posunulo o kousek mezi nebezpečnější země a z 90. místa poskočilo na 75. pozici. U našich východních sousedů je tedy riziko nákazy nějakým škodlivým kódem citelně vyšší než u nás.
Zcela nejhorší je ale situace v Dominikánské republice, které patří ve sledovaném období naprosté prvenství. Mezi pět nejnebezpečnějších míst s ohledem na počet kybernetických útoků patří také Indie, Čína, USA a Hongkong.
„Největší skok mezi nebezpečné země zaznamenali Nová Kaledonie, Tanzanie a Kuvajt. Naopak Uruguay se posunula z 53. příčky na bezpečnější 118. pozici,“ doplnil Kovalčík.
Viry těží kybernetické mince
Při šíření virů jde přitom počítačovým pirátům stále častěji o zisk. Do cizích počítačů se snaží podstrčit podvodné aplikace, s jejichž pomocí budou moci těžit kybernetické mince, které pak smění za skutečné peníze.
„V říjnu se škodlivý kód CoinHive vyhoupl na 6. místo mezi nejpoužívanějším malwarem, což potvrzuje trend, na který upozornil nedávný výzkum společnosti Check Point, podle kterého mohou útočníci využít pro těžbu kryptoměn až 65 % celkových zdrojů CPU koncového uživatele, aniž by o tom věděl,“ uvedl bezpečnostní expert.
Zmiňovaný CoinHive je navržen pro těžbu kryptoměny Monero a implantuje JavaScript, který využívá procesor koncových uživatelů a negativně ovlivňuje výkon stroje těžbou kryptoměn.
„Vzestup škodlivého kódu CoinHive znovu ukazuje na nutnost pokročilých preventivních bezpečnostních technologií při ochraně sítí před kyberzločinci. Těžba kryptoměn je nová, tichá a sílící hrozba, která je pro útočníky velmi výnosná a způsobuje významný pokles výkonu koncových zařízení a sítí,“ uzavřel Kovalčík.
Těžařský gigant NiceHash přišel o 1,3 miliardy korun. Ukradli je hackeři
7.12.2017 Novinky/Bezpečnost Hacking
Těžařský gigant NiceHash, který sdružuje statisíce novodobých zlatokopů těžících virtuální měny, se stal terčem hackerů. Ti vysáli všechny uložené peníze. A jde o pořádný balík – 60 miliónů dolarů, tedy v přepočtu zhruba o 1,3 miliardy korun. Informovali o tom zástupci uskupení NiceHash.
Virtuální měny se těší tak velké popularitě především pro své vysoké a rychle rostoucí kurzy. Například jedna mince bitcoinu, což je aktuálně nejpopulárnější kryptoměna, má nyní hodnotu 14 300 dolarů (310 500 Kč).
Popularitě nicméně nahrává také fakt, že za pořízení virtuálních mincí nemusí uživatelé zaplatit ani korunu. Pokud mají dostatečně výkonný počítač, mohou si nainstalovat speciální software a s jeho pomocí kryptoměny doslova těžit – tento program totiž používá předem nastavené výpočty, jejich výsledkem je zisk virtuálních mincí. Za ty je pak možné nakupovat prakticky cokoliv.
A právě proto vzniklo uskupení NiceHash. Jde v podstatě o těžební gigant, do kterého se dobrovolně přihlašují lidé a nabízejí výkon svých počítačů pro těžbu bitcoinů. Zisk si pak spravedlivě rozdělují mezi sebe.
Zmizely všechny bitcoiny
Jenže jak teď vedení uskupení NiceHash sdělilo, nyní si nebude co rozdělovat. Počítačoví piráti doslova vybílili úplně celou virtuální peněženku tohoto těžařského gigantu. Jak již bylo uvedeno výše, šlo v přepočtu o rekordních 1,3 miliardy korun.
Zločinci a počítačoví piráti se na virtuální měny, především tedy populární bitociny zaměřují velmi často. Využívají totiž toho, že transakce v této měně nejsou jakkoli vystopovatelné. A proto je velmi nepravděpodobné, že by se podařilo dopadnout kyberzločince, kteří stojí za tímto útokem na NiceHash.
Vedení těžařského gigantu zatím mlčí o tom, jak bude celou situaci řešit. Plány prý budou jednotlivým uživatelům oznámeny později.
Bitcoinového boomu využívají počítačoví piráti
7.12.2017 SecurityWorld Hacking
Rostoucí hodnotu Bitcoinů provází také nárůst malwaru zaměřeného právě na kryptoměnu.
Společnost Malwarebytes vykázala, že během jediného měsíce zastavila téměř 250 milionů pokusů o propašování těžebního malwaru do počítačů bez vědomí jejich uživatelů. Podle jiné firmy – Symantecu – je nárůst malwaru souvisejícího s těžbou kryptoměny za nedávné období desetinásobný.
Hackeři přitom k jeho šíření používají jak specializovaný software, tak nabourané webové stránky, ale i emaily. Jejich zvýšenou aktivitu podnítila právě rostoucí cena Bitcoinu, jehož hodnota se oproti začátku letošního roku zdesetinásobila a před pár dny překonala hranici 10 000 dolarů (214 500 Kč).
„Okolo kryptoměny se vytvořil obrovský hype a spousta lidí se na ní teď snaží vydělat,“ komentuje Candid Wuest ze Symantecu. Bitcoin přitom není primárním cílem kyberzlodějů – ti se, vzhledem k náročnosti jeho těžby, soustředí převážně na ostatní kryptoměny, jako je například Monero, jež si nežádá takový výkon, a k jehož těžbě lze zneužít třeba i chytrého mobilního telefonu. A jejich hodnota také stoupá.
Dle zprávy společnosti Malwarebytes její bezpečnostní software v těchto dnech zablokuje denně v průměru osm milionů pokusů o propašování těžebního malwaru do PC, a to většinou z webových stránek, které hackeři napadli. Škodlivý kód však mohou obsahovat i rozšíření či doplňky webových prohlížečů.
Jakmile se tento kód dostane do počítače, zapojí ho do těžebního procesu tak, že ždíme procesor téměř na 100 %. Na chytrých telefonech se to může projevit nejen snížením výkonu, ale také rychlým vybíjením baterie.
Donedávna těžební malware fungoval jen s využitím zapnutého prohlížeče oběti, nové typy však dokážou těžit i bez toho, aby byl prohlížeč zapnutý.
„Trik je v tom, že i když se prohlížeč jeví jako zavřený, další skrytý zůstává nadále otevřený,“ popisuje Jerome Segura z Malwarebytes, jak malware funguje. Uživatel si miniaturního okna skrytého pod panelem nástrojů prakticky nemá možnost všimnout.
Každá organizace je obětí mobilních útoků
7.12.2017 SecurityWorld Mobilní
Check Point Software Technologies představil výsledky první studie o dopadu mobilních útoků na podnikové prostředí. Studie vychází z dat od více než 850 organizací ze čtyř kontinentů. Výsledky jsou zřejmé: Podniková mobilní prostředí jsou zranitelná a hrozí útoky na obě hlavní mobilní platformy, Android i iOS.
Mobilní hrozby mohou ohrozit jakékoli zařízení a získat libovolný přístup k citlivým datům. V bezpečí před mobilními útoky není nikdo, od finančních společností a výrobních podniků až po vládní organizace.
Z průzkumu například vyplývá, že:
100 % všech organizací zaznamenalo mobilní malwarový útok
54 je průměrný počet mobilních malwarových útoků na jednu organizaci
89 % společností zaznamenalo útok typu man-in-the-middle přes Wi-Fi
75 % organizací mělo v síti v průměru 35 rootovaných nebo jailbroken zařízení
„Útoky na mobilní zařízení překročily v roce 2017 útoky na osobní počítače ve frekvenci i finanční hodnotě a náš report pomáhá tento trend pochopit a vysvětlit,“ říká Petr Kadrmas, Secuity Engineer Eastern Europe ve společnosti Check Point. „Mobilní zařízení jsou pro kyberzločince v podstatě nová zadní vrátka a jsme proto rádi, že můžeme představit vylepšené řešení SandBlast Mobile, které proaktivně chrání organizace i jednotlivé zákazníky.“
Check Point upozorňuje, že útoky na mobilní zařízení se posunuly od známého malwaru a zneužití slabin v sítích a operačních systémech k zero-day malwaru, SMS útokům a zneužití Bluetooth zranitelností.
Bezpečnostní experti varovali před virem Redirector. Uživatele navede na škodlivé weby
7.12.2017 Novinky/Bezpečnost Viry
Antivirová společnost Eset vydala žebříček těch největších hrozeb za měsíc listopad. V nich kraloval trojský kůň Redirector, který dokáže v počítači udělat pěknou neplechu. Uživatele totiž přesměrovává na škodlivé weby. Lidé by si tak na něj měli dát velký pozor.
„Redirector je škodlivý kód, který automaticky přesměrovává internetový prohlížeč napadeného zařízení na škodlivé stránky, odkud uživatel může stáhnout do svého počítače další druhy malwaru. Škodlivý software bývá obvykle vložen přímo do HTLM kódu odkazovaných stránek,“ varoval Miroslav Dvořák, technický ředitel společnosti Eset.
Uživatel se tedy může tímto trojským koněm infikovat i v případě, kdy bude pracovat s nějakou infikovanou webovou stránkou.
„Jde o nepříjemný malware, který se projevuje automatickým otevíráním stránek s různým, často nesmyslným obsahem. K otevírání stránek dochází v nepravidelných intervalech a dané stránky mohou uživatele nabádat, aby si stáhl další software, například kvůli napadení jeho počítače a eliminaci škod,“ doplnil Dvořák.
Otevírá okna s nevyžádanou reklamou
Nevyžádaná okna internetového prohlížeče otevírá i druhý v listopadu nejčetněji zachycený malware v Česku, který nese plný název JS/Adware.AztecMedia. „Nepřesměrovává však na jiné internetové stránky, nýbrž otevírá okna s nevyžádanou reklamou a v některých případech dokáže dokonce i změnit domovskou stránku internetového prohlížeče,“ konstatoval bezpečnostní expert.
Třetím nejčastěji detekovaným škodlivým kódem v listopadu byl exploit SMB/Exploit.DoublePulsar. „Jde o nechvalně proslulý škodlivý kód, který ke svému šíření využíval ransomare WannaCry,“ zdůraznil Dvořák.
Škodlivý software ransomware pojmenovaný jako WannaCry nebo WanaCrypt0r 2.0 letos v květnu napadl 300 000 počítačů ve 150 zemích světa. Podle bezpečnostních expertů jde vůbec o největší útok ransomwaru vůbec.
Přehled deseti nejrozšířenějších virových hrozeb za uplynulý měsíc naleznete v tabulce níže:
Deset nejčastějších internetových hrozeb v České republice za říjen 2017:
1. JS/Redirector (3,91 %)
2. JS/Adware.AztecMedia (3,59 %)
3. SMB/Exploit.DoublePulsar (3,56 %)
4. JS/Danger.ScriptAttachment (3,03 %)
5. PowerShell/Agent.BS (2,75 %)
6. Java/Adwind (2,51 %)
7. Win32/GenKryptik (2,30 %)
8. PowerShell/Adware.Adposhel (2,23 %)
9. VBS/TrojanDownloader.Agent.PJJ (1,65 %)
10. JS/Kryptik.MX (1,44 %)
Zdroj: Eset
Firefox obsahuje kritickou bezpečnostní trhlinu. Útočníci mohou převzít kontrolu nad PC
7.12.2017 Novinky/Bezpečnost Zranitelnosti
Na pozoru by se měli mít uživatelé internetového prohlížeče Firefox od společnosti Mozilla. Obsahuje totiž kritickou bezpečnostní chybu, kterou mohou zneužít počítačoví piráti k infiltraci do cizího počítače. Tvůrci naštěstí již vydali bezpečnostní záplatu.
Před nově objevenou trhlinou varoval český Národní bezpečnostní tým CSIRT.CZ. Ten zároveň upozornil i na to, že opravy pro chybu jsou již k dispozici.
„U Firefoxu vydávaného společností Mozilla doporučujeme aktualizaci na verzi 57.0.1,“ prohlásil bezpečnostní analytik CSIRT.CZ Pavel Bašta s tím, že nejnovější verze prohlížeče s logem ohnivé lišky již trhlinu neobsahuje.
Chyba je kritická. To jinými slovy znamená, že útočníci mohou do počítače propašovat prakticky jakýkoli škodlivý kód. Klidně mohou i na dálku počítač zotročit a využít jej k DDoS útokům, případně mohou samozřejmě i odposlouchávat komunikaci uživatele, která na počítači probíhá.
V případě automatických aktualizací se uživatelé Firefoxu nemusejí o nic starat. Pokud je však tato funkce vypnuta, je nutné navštívit webové stránky tvůrců a nejnovější záplatovanou verzi stáhnout manuálně.
Řada nových funkcí
Firefox se v listopadu dočkal velké aktualizace zvané Quantum, která přidala celou řadu nových funkcí. Má totiž zcela nový vzhled, nové jádro a je výrazně rychlejší než předchůdce.
V první řadě je třeba zmínit nové uživatelské rozhraní zvané Photon. To místo zaoblených panelů sází na ostře řezané linie, působí modernějším dojmem a je přehlednější. Nová domovská stránka nabízí zajímavý obsah pro opětovné navštívení a průvodce, který uživateli ukáže zajímavé funkce Firefoxu.
„Mnoho akcí v prohlížeči probíhá asynchronně, takže jsou rychlejší, plynulejší a neblokují zbytek Firefoxu. Například posouvání stránek (scrollování – pozn. red.), přepínání panelů nebo animace tlačítek použité ve Photonu,“ konstatoval Michal Stanke ze serveru Mozilla.cz.
Celá řada změn se ale dotkla i technické stránky prohlížeče. „Nová CSS knihovna Stylo zrychluje vykreslování stránek. Do Firefoxu se dostala v rámci projektu Quantum – odtud název verze,“ přiblížil Stanke jednu z předností.
Člověk z NSA se přiznal, že vynesl tajná data. Kaspersky je prý smazal
4.12.2017 Idnes.cz BigBrother
Americké ministerstvo spravedlnosti obvinilo bývalého zaměstnance NSA z vynášení tajných materiálů. Ze soukromého počítače se pak tyto materiály údajně dostaly k ruským hackerům
NSA The National Security Agency - Národní bezpečnostní agentura, vznikla v listopadu 1952 | foto: thedailysheeple.com
Ministerstvo zahraničí USA obvinilo Nghia Pho, bývalého zaměstnance NSA, z nelegálního „vědomého přechovávání informací související s národní bezpečností“. Konkrétně mělo jít o materiály v digitální i tištěné podobě, který Pho během let 2006 a 2016 vynesl ze své kanceláře NSA v Marylandu do svého domova v Ellicott City (podrobnosti o žalobě v PDF na Justice.gov).
Tím, že Pho data vynesl z NSA na svůj soukromý počítač, porušil nejen vnitřní bezpečnosti předpisy NSA, ale také zákon o informacích souvisejících s bezpečností USA, konkrétně paragraf o sběru, přenosu a ztrátě bezpečnostních informací (viz 18 U.S. Code paragraf 793)
Kanceláře NSA v Marylandu (červená značka) a Ellicot City (modrá značka)
Pho podle obžaloby vynesl i data klasifikována jako TOP SECRET, SECRET a CONFIDENTIAL, což jsou označení vyhrazená pro dokumenty, jejichž únik by mohl znamenat „závažné ohrožení národní bezpečnosti“.
Sedmašedesátiletý Nghia Hoang Pho se k činu přiznal (PDF) a přijal tak nabídku žalobce výměnou za mírnější trest. Podmínky dohody (“plea deal“) nejsou zveřejněny.
Role společnosti Kaspersky není jasná
O případu jsme na Technet.cz informovali v říjnu, kdy se objevily informace o tom, že vynesená data získali ruští hackeři. Spekulovalo se totiž o tom, že ruští hackeři se k utajovaným dokumentům - jmenovitě těm o pronikání do cizích počítačových sítí - dostali skrze antivirový systém Kaspersky, který měl prý Pho nainstalovaný na svém domácím počítači.
Američtí vyšetřovatelé tehdy podle informací The Wall Street Journal spekulovali o tom, že ruští hackeři se o umístění tajných materiálů na soukromém počítači dozvěděli právě díky antiviru ruské firmy Kaspersky Lab.
Ruská antivirová firma od začátku takové nařčení odmítá. Dále společnost Kaspersky Lab uvedla, že je ochotna setkat se s vládními představiteli USA nebo poskytnout své zdrojové kódy k oficiálnímu auditu.
Firma Kaspersky Lab se dostala do nemilosti federálních úřadů USA, které ji označily za nedůvěryhodnou a software Kaspersky od září 2017 nesmí být instalován na vládní počítače USA. Existuje totiž podezření, že Kaspersky spolupracoval či spolupracuje s ruskou rozvědkou FSB. Také toto obvinění zakladatel firmy, Eugen Kaspersky, rezolutně odmítl: „Společnost Kaspersky Lab nemá žádné vazby na vlády, nikdy nepomáhala a ani nebude pomáhat žádným vládám jakéhokoliv státu v kyberšpionážních aktivitách.“
Eugene Kaspersky (Twitter)
@e_kaspersky
05.října 2017 v 20:05, příspěvek archivován: 03.prosince 2017 v 23:03
OK, here is our official statement re the recent article in WSJ. https://t.co/rdH6YcsZBZ
323 lidí to sdílíodpovědětretweetoblíbit
Podle interního vyšetřování má incident nevinné vysvětlení
Kaspersky Lab zveřejnily předběžné výsledky svého interního vyšetřování. Podle nich došlo k běžné detekci škodlivého software na soukromém počítači: „Náš produkt detekoval známý malware Equation na uživatelově počítači. Později na stejném počítači našel i stopy po pirátské verzi Microsoft Office a komprimovaný soubor 7zip obsahující do té doby neznámý malware.“
Kaspersky Internet Security
V souladu s nastavením poté antivir poslal vzorek tohoto neznámého malware do laboratoří na testování. „Ukázalo se, že komprimovaný soubor obsahoval několik malware spojených se skupinou Equation, a také několik wordovských dokumentů označených jako tajné.“
Kaspersky Lab tak vysvětlují, že necílily úmyslně na konkrétní počítač: „Komprimovaný soubor byl detekován automaticky naší proaktivní technologií.“ Navíc byl údajně archiv, automaticky zaslaný do Kaspersky Lab, vzápětí smazán, a to na příkaz šéfa Kaspersky Lab.
Kromě toho Kaspersky tvrdí, že daný počítač byl možná „napaden více hackery“, neboť na něm antivir našel stopy po velkém množství malware. Výsledky svého interního šetření je firma Kaspersky údajně hotova poskytnout k prověření třetí straně.
Ruský antivirus Kaspersky podezírají v Británii ze špionáže
4.12.2017 Idnes.cz BigBrother
Putinovo Rusko je bezpečnostní hrozba. Britské Národní středisko kybernetické bezpečnosti (NCSC) varovalo vládní úřady před používáním antivirového softwaru od ruské společnosti Kaspersky Lab kvůli obavám ze špionáže.
Eugene Kaspersky osobně zahajuje Security Analyst Summit 2017. | foto: Jan Kužník, Technet.cz
Šéf NCSC Ciaran Martin v dopise stálým sekretářům uvedl, že ruský antivirový software by se neměl používat v systémech obsahujících informace, které by mohly poškodit národní bezpečnost, pokud by k nim získala přístup ruská vláda.
Dodal, že NCSC jedná se společností Kaspersky Lab o vytvoření mechanismu, který by produkty firmy umožnil v Británii kontrolovat. Firma Kaspersky k situaci také vydala prohlášení, ve kterém se mimo jiné uvádí, že se na spolupráci s NCSC těší. Šéf společnosti na Twitteru navíc upřesnil, že výrobky firmy nebyly v žádném případě na britském trhu zakázány.
Eugene Kaspersky (Twitter)
@e_kaspersky
02.prosince 2017 v 14:10, příspěvek archivován: 04.prosince 2017 v 13:44
Let me stress: there is *no* ban for KL products in the UK. We are in touch with @NCSC regarding our Transparency Initiative and I am sure we will find the way to work together
92 lidí to sdílíodpovědětretweetoblíbit
Jak jsme na Technet.cz informovali, administrativa amerického prezidenta Donalda Trumpa již dříve nařídila vládním úřadům v USA odstranit z počítačů produkty společnosti Kaspersky Lab. Zdůvodnila to obavami z úzkých vztahů firmy s ruskými zpravodajskými službami a z možného využívání softwaru k ruské špionáži.
Člověk z NSA se přiznal, že vynesl tajná data. Kaspersky je prý smazal
Americké ministerstvo spravedlnosti obvinilo bývalého zaměstnance NSA z vynášení tajných materiálů. Ze soukromého počítače se pak tyto materiály údajně dostaly k ruským hackerům.
NSA měla v plánu infikovat aplikace v Google Play a skrze ně pak sledovat...
Podezření zesílilo již letos v květnu, kdy se podle agentury Bloomberg objevily e-maily z roku 2009, které spolupráci antivirové firmy s ruskou tajnou službou naznačují. Zakladatel firmy Eugene Kaspersky to samozřejmě kategoricky popřel. Jeho tvrzení a další podrobnosti naleznete v našem článku. Kaspersky Lab tvrdí, že se stala obětním beránkem rostoucího napětí mezi Washingtonem a Moskvou.
Ruská antivirová firma Kaspersky Lab patří celosvětově mezi deset firem s největším podílem na trhu antivirových aplikací. Jejich antivirus patří k nejlépe hodnoceným na trhu. V bezpečnostní komunitě se ovšem neoficiálně mluví i o tom, že Kaspersky „zřejmě nějakým způsobem spolupracuje s ruskými autoritami“.
Podobné problémy řeší už delší dobu také čínská společnost Huawei, která dodává síťovou infrastrukturu operátorům po celém světě. V roce 2014 před firmou varovala i česká BIS. Přitom už v roce 2012 americké úřady obvinily Huawei ze špionáže.
Britské úřady byly varovány před antivirovým programem Kaspersky
4.12.2017 Novinky/Bezpečnost BigBrother
Britské Národní středisko kybernetické bezpečnosti (NCSC) varovalo vládní úřady před používáním antivirového softwaru od ruské společnosti Kaspersky Lab. Spojené státy již dříve používání tohoto softwaru vládním úřadům zakázaly kvůli obavám z ruské špionáže.
Šéf NCSC Ciaran Martin uvedl, že ruský antivirový software by se neměl používat v systémech obsahujících informace, které by mohly poškodit národní bezpečnost, pokud by k nim získala přístup ruská vláda. Dodal, že NCSC jedná se společností Kaspersky Lab o vytvoření mechanismu, který by produkty firmy umožnil v Británii kontrolovat.
Administrativa amerického prezidenta Donalda Trumpa v září nařídila vládním úřadům v USA odstranit z počítačů produkty společnosti Kaspersky Lab. Zdůvodnila to obavami z úzkých vztahů firmy s ruskými zpravodajskými službami a z možného využívání softwaru k ruské špionáži.
Společnost Kaspersky Lab ale popírá, že by Rusku se špionáží pomáhala. Tvrdí, že se stala obětním beránkem rostoucího napětí mezi Washingtonem a Moskvou.
Kyberbezpečnost je nutné brát jako strategickou záležitost, nikoli jako investici do IT
4.12.2017 SecurityWorld Bezpečnost
Podniky se vydávají na cestu digitální transformace, která by jim měla pomoci nalézat nové obchodní příležitosti, zefektivňovat provoz a lépe uspokojovat potřeby jejich zákazníků. Digitální transformace vede podniky k zavádění cloudu, internetu věcí, velkých dat a dalších a dalších digitálních technologií a nutí je měnit zavedené postupy a automatizovat vše, od rozhodování po zákaznickou podporu.
Nové příležitosti s sebou ale nesou i nové hrozby pro kybernetickou bezpečnost. A hrozby jsou to reálné. Podle předpovědi analytické společnosti Gartner se očekává, že téměř 60 % digitálních podniků utrpí závažný výpadek kvůli neschopnosti svého bezpečnostního týmu zvládat digitální rizika. Problém částečně pramení z toho, že vyšší management a představenstvo podniků nepovažují bezpečnost z obchodního hlediska za naléhavý problém.
Na problém upozornil mimo jiné globální průzkum společnosti Fortinet (článek o průzkumu zde) zaměřený na kybernetickou bezpečnost v podnicích, jehož se zúčastnilo přes 1800 pracovníků IT s rozhodovací pravomocí. Zjistili jsme, že podle téměř poloviny respondentů není pro představenstvo podniku bezpečnost mezi hlavními prioritami.
Bylo by možné očekávat, že v důsledku kybernetických útoků z poslední doby – a jejich závažných dopadů na postižené podniky – mezi nejvyššími manažery výrazně vzroste zájem o problematiku bezpečnosti. Ti sice na bezpečnostní incidenty reagují, avšak zabývají se spíše řešením následků než prevencí.
Proti hrozbě průniku do systémů, vyděračského softwaru nebo narušení provozu není imunní nikdo. Cílem se stávají podniky všech oborů, typů a velikostí. Průzkum společnosti Fortinet to potvrzuje. 85 % dotázaných podniků se v uplynulých dvou letech stalo obětí narušení bezpečnosti, přičemž téměř polovina zaznamenala napadení škodlivým nebo vyděračským softwarem.
Proč se kybernetická bezpečnost stává prioritou vedení firem
Nejvyšší vedení podniků a manažery IT povede k zaměření na kybernetickou bezpečnost v roce 2018 řada faktorů. Uveďme si několik nejdůležitějších.
1. Narušení bezpečnosti a globální útoky. Naprostá většina podniků v uplynulých dvou letech zaznamenala nějaký druh narušení bezpečnosti nebo útoku. Po globálním útoku, jako byl např. WannaCry, začaly podniky věnovat bezpečnosti zvýšenou pozornost. Větší publicita a pozornost spolu s potenciálními dopady na pověst a provoz firmy posouvají kyberbezpečnost z problému, který by mělo řešit podnikové IT, mezi záležitosti, jimiž se musí zabývat nejvyšší vedení.
2. Prostor pro potenciální útoky. Širší využití cloudu, zavádění internetu věcí a rozvoj velkých dat vytváří nové příležitosti k útoku a zároveň komplikují obranu. S narůstajícími požadavky na objemy dat a jejich zpracování stoupá pro podniky priorita cloudové bezpečnosti. Neméně důležitým faktorem, který rozšiřuje možnosti pro útok, je internet věcí (IoT). Podle odhadů analytické společnosti Gartner vzroste do konce roku počet připojených zařízení IoT na více než 8,4 miliardy. Z nich bude 3,1 miliardy sloužit podnikovým účelům. Takové množství zařízení IoT je těžké ochránit a odborníci se shodují v předpovědích, že podíl útoků namířených proti zařízením IoT do roku 2020 přesáhne 25 % všech počítačových útoků.
3. Zákonné a regulatorní povinnosti. Nové zákony a oborové předpisy rovněž zvyšují význam zabezpečení. 34 % respondentů uvedlo, že předpisy jsou jedním z faktorů, které přispívají k tomu, že vedení firmy věnuje bezpečnosti zvýšenou pozornost. Příkladem je přijetí obecného nařízení o ochraně osobních údajů (GDPR), které nabyde účinnosti ve všech členských státech EU v roce 2018.
Tyto trendy vedou k tomu, že je kybernetická bezpečnost považována za strategickou otázku v rámci širší strategie řízení podnikových rizik, nikoli za pouhou investici do IT. Mají-li manažeři IT bezpečnosti uspět při digitální transformaci, musí přehodnotit svůj přístup k bezpečnosti, zejména získat lepší přehled o celém prostředí a možných směrech útoku, zkrátit dobu mezi detekcí a neutralizací hrozeb, zajistit dostatečný výkon bezpečnostních řešení a automatizovat sběr bezpečnostních informací a řízení.
Šest nejobávanějších virů počítačového a mobilního světa
4.12.2017 Novinky/Bezpečnost Virus
Každý den kolují internetem tisíce virů, které cílí na klasické počítače, tablety i chytré telefony. Antivirová společnost Check Point zveřejnila žebříček šesti škodlivých kódů, které cílí právě na zmiňovaná zařízení. Právě na ně – a na způsob, jakým je kyberzločinci šíří – by si měli dát uživatelé velký pozor.
Žebříček je rozdělen na dvě části. V jedné je přehled třech nejrozšířenějších virů, které útočí na klasické počítače, v druhé pak trojice malwarů cílících na mobilní zařízení, jako jsou tablety a chytré telefony.
Nejprve se pojďme podívat, jaké škodlivé kódy útočí na klasická PC. První příčku obsadil RoughTed. Rozsáhlá malvertisingová kampaň RoughTed je využívána k šíření odkazů na nebezpečné webové stránky a k šíření škodlivého obsahu, jako jsou scam, adware, exploit kity a ransomware. Může být použita k útoku na jakýkoli typ platformy a operačního systému, vyhne se nástrojům na blokování reklamy a sleduje chování uživatelů, aby byl finální útok co nejrelevantnější.
Vyděračské viry na scéně
Druhá příčka pak patří vyděračskému viru Locky. Tento ransomware, který byl poprvé detekován v únoru 2016, se šíří především prostřednictvím spamu s infikovanou wordovou přílohou nebo přílohou ve formátu Zip, která obsahuje kód pro stažení a instalaci malwaru šifrujícího uživatelské soubory.
Nezvaný návštěvník Locky dokáže uzamknout počítač a za zpřístupnění zašifrovaných dat požaduje výkupné.
Trojici nejrozšířenějších virů pak uzavírá Seamless. Jde o systém distribuce provozu (TDS), který nenápadně přesměruje oběti na škodlivou webovou stránku, což vede k infekci pomocí tzv. exploit kitu. To jinými slovy znamená, že poté, co se tento záškodník uhnízdí v počítači, mohou do něj počítačoví piráti stahovat jakékoliv další škodlivé kódy.
V bezpečí nejsou ani mobily
Ani mobilní zařízení nejsou před škodlivými kódy v bezpečí. Nejvíce by se měli mít uživatelé na pozoru před virem Triada, který je nejrozšířenějším malwarem pro chytré telefony a počítačové tablety. Tento modulární backdoor cílí na zařízení s operačním systémem Android.
Škodlivý kód uděluje superuživatelské oprávnění útočníkům, takže kyberzločinci mohou stahovat do mobilních zařízení další malware. Triada také umí zfalšovat URL odkazy uložené v prohlížeči a nasměruje tak uživatele na podvodné stránky.
Druhá příčka patří vyděračskému viru LeakerLocker, který opět cílí na zařízení se systémem Android. Čte osobní uživatelská data a následně je ukazuje uživateli a hrozí, že pokud nedojde k zaplacení výkupného, tak budou informace zveřejněny na internetu.
Trojici nejrozšířenějších mobilních škodlivých kódů uzavírá Lotoor. Jde o hackerský nástroj, který zneužívá zranitelnosti v operačním systému Android, aby získal root oprávnění na napadeném zařízení. Díky tomu pak mohou útočníci zotročit zařízení na dálku.
Pro Windows 10 verze 1709 vyšla servisní aktualizace KB4051963. Co řeší?
4.12.2017 CNEWS.cz Zranitelnosti
Microsoft v posledních dnech vydával různě aktualizace pro Windows 10. Blíže se podíváme na tu pro nejnovější vydání Desítek.
Probíhá instalace nové verze Windows 10
Probíhá instalace nové verze Windows 10 (Ilustrační foto)
Jsou to skoro tři týdny od listopadového záplatovacího úterý. Někteří ale v posledních dnech mohli obdržet další aktualizace pro Windows nabízející nové opravy. Osobně jsem zaznamenal hlavně KB4051963, jež je určena pro Windows 10 v1709.
Kdo na nejnovější vydání Desítek přešel, může aktualizaci nainstalovat, takže se číslo sestavení zdvihne na 16299.98. Balík byl oficiálně vydán 30. listopadu, byť v Katalogu služby Microsoft Update najdete datum zveřejnění 29. listopadu. Přináší opravy následujících chyb:
Problém se skripty způsoboval selhání Internet Exploreru.
Okno pro zadání textu (od IME) mělo při použití s Internet Explorerem blíže nespecifikované problémy.
V Internet Exploreru mohly nastat problémy s vykreslováním grafických prvků.
V Internet Exploreru mohly nastat problémy s odesíláním formulářů.
Location hash byl ztracen, pakliže jste se vrátili zpět na neplatnou adresu URL.
Aplikace mohly vypovědět funkci, pokud jste použili proxy pomocí skriptu PAC. Mohlo v důsledku docházet k následujícím scénářům:
Outlook se nepřipojil k Office 365,
Internet Explorer a Edge nedokázaly správně vykreslit žádný obsah,
Cisco Jabber přestal odpovídat,
zasažena byla jakákoli aplikace či služba spoléhající na WinHTTP.
Aktualizace KB4051963 řeší mnoho nalezených chyb
Blíže nespecifikovaná chyba způsobovala degradaci výkonu her a jiných aplikací v celoobrazovkovém režimu, které používají DirectX 9. (Že by vyřešení další části potíží objevených koncem léta? Pozn. red.)
Forza Motorsport 7 a Forza Horizon 3 neběžely na některých high-endových laptopech.
Volba frekvence dotazování se na zpětnou vazbu nebyla pokaždé uložena.
Síťová zařízení RNDIS 5 nezískala platnou adresu IP, případně nevykazovala síťovou aktivitu. Pokud vaše problémy budou přetrvávat, budete muset přeinstalovat Vzdálený NDIS síťový adaptér.
Manuální změna časového pásma, aniž byste počítač restartovali či se odhlásili, se neprojevila na zobrazovaném čase na zamykací obrazovce.
Některé tiskárny Epson SIDM a TM netiskly na systémech architektur x86 a x64. Tento problém se týká aktualizace KB4048955 (tj. aktualizace z posledního záplatovacího úterý).
Na seznamu známých chyb přetrvává jen jediná položka, kterou už ale Microsoft řeší několik týdnů. Naštěstí se jedná o nepodstatnou věc, aspoň pro běžné uživatele a uživatelky: ve specifických situacích (tj. když pracujete s SQL Server Reporting Services) v rozbalovacích nabídkách na webech nemusí být možné se při prohlížení v Internet Exploreru posunout až dolů pomocí posuvníku.
Aktualizace pro další verze Desítek
Dne 22. listopadu pak Microsoft vydal aktualizaci KB4055254 pro Windows 10 v1703, jež sestavení systému povyšuje na 15063.729. Obsahuje pouze jeden lék, a sice na výše zmíněnou nemoc postihující tiskárny Epson.
Dále byla uvolněně aktualizace KB4051033 pro Windows 10 v1607, jež číslo sestavení zvedá na 14393.1914. Kromě výše uvedeného napravuje mnoho dalších chyb. Vydána byla pro změnu 27. listopadu. Aktualizace tedy vychází v různé dny. Nejvíce by vás měly zajímat první dvě uvedené, protože většina lidí používá právě tyto verze Desítek. Stále relativně čerstvý Fall Creators Update pohání 20,5 % zařízení s Windows 10.
Microsoft Office obsahuje 17 let starou chybu. Zneužívají ji hackeři
3.12.2017 Novinky/Bezpečnost Zranitelnosti
Populární kancelářský balík Office od společnosti Microsoft má kritickou bezpečnostní chybu. Americký softwarový gigant sice již vydal pro tuto trhlinu opravu, ale je takřka jisté, že ji nezanedbatelná část uživatelů ještě nenainstalovala. A právě na ně se nyní zaměřují počítačoví piráti, uvedl server The Hacker News.
Problém se týká kancelářských balíků Office 2007, 2010, 2013 a 2016.
Trhlina se týká editoru rovnic, který je nedílnou součástí balíku Office. Jde však o velmi starý program, který si odbyl premiéru už v roce 2000.
A po 17 letech v tomto modulu, který využívají velmi často studenti, byla nalezena kritická bezpečnostní chyba. Tu mohou počítačoví piráti zneužít k tomu, aby do PC nainstalovali prakticky jakýkoliv škodlivý kód, klidně mohou i počítač ovládnout na dálku.
Útočníci podstrčí speciálně upravený dokument
Stačí přitom, aby oběť otevřela speciálně upravený dokument, čímž kyberzločincům otevře zadní vrátka do operačního systému.
Bezpečnostní experti ze společnosti Fortinet nyní zachytili již několik škodlivých kódů, které se snaží tuto trhlinu zneužít. Útočníci sází na to, že celá řada uživatelů podceňuje zabezpečení svých PC a nestahuje pravidelně aktualizace. A to ani ty důležité – bezpečnostní.
Tito uživatelé tak dávají svůj počítač všanc počítačovým pirátům.
Nainstalovat aktualizace. Neprodleně
Trhlina se týká kancelářských balíků Office 2007, 2010, 2013 a 2016. Editor rovnic je v nich začleněn jako základní funkce. Teoreticky mohou být postiženi také majitelé balíků Office 2000 a 2003, v těchto verzích se však modul instaloval volitelně.
Uživatelé dotčených kancelářských balíků by měli neprodleně nainstalovat všechny bezpečnostní aktualizace, které jsou aktuálně k dispozici. Stahovat se dají přímo z prostředí Office, případně prostřednictvím služby Windows Update.
Apple sice opravil chybu s přihlášením do systému bez hesla, ale okamžitě vytvořil novou
2.12.2017 Živě.cz Apple
Operační systém macOS, který běží v počítačích od Applu, se potýká s vážnými chybami. Platí to i o nejnovější verzi High Sierra. Na konci listopadu byla u operačního systému macOS High Sierra od Applu zjištěna chyba, která umožňovala administrátorské přihlášení i bez hesla.Chyba se týká sdílení souborů po síti a uživatelé ji mohou zaznamenat právě po rychlé bezpečnostní aktualizaci s označením „Security Update 2017-001 for macOS High Sierra 10.13.1“.V rámci domácí i podnikové sítě se tak uživatelé mohou setkat s tím, že se jim nepodaří dostat do sdílených složek v jiných počítačích na síti.Oprava je sice zcela jednoduchá, ale nikoli zrovna uživatelsky přívětivá.
Na konci listopadu byla u operačního systému macOS High Sierra od Applu zjištěna chyba, která umožňovala administrátorské přihlášení i bez hesla. Apple sice chybu rychle během jediného dne opravil, bohužel ale vytvořil novou.
Chyba se týká sdílení souborů po síti a uživatelé ji mohou zaznamenat právě po rychlé bezpečnostní aktualizaci s označením „Security Update 2017-001 for macOS High Sierra 10.13.1“. V rámci domácí i podnikové sítě se tak uživatelé mohou setkat s tím, že se jim nepodaří dostat do sdílených složek v jiných počítačích na síti.
Oprava je sice zcela jednoduchá, ale nikoli zrovna uživatelsky přívětivá. Jak Apple popisuje v návodu, je nutné otevřít aplikaci Terminál, napsat sudo /usr/libexec/configureLocalKDC poté dát Enter a zadat administrátorské heslo. Jak je vidět, rychlé záplaty znamenají i to, že se může přehlédnout něco dalšího, co má důležitou návaznost.
DDoS útok na Bitfinex, 31 milionů ukradených Tetherů a růst ceny Bitcoinu
2.12.2017 Lupa.cz Počítačový útok
Začátkem týdne se na twitterovém účtu největší světové bitcoinové burzy současnosti objevila zpráva o probíhajícím DDoS útoku.
Zdánlivě nevinný tweet z neděle večer rozproudil novou vlnu otázek kolem již tak kontroverzní tchajwanské bitcoinové burzy Bitfinex. DDoS útok začal během plánované pravidelné technické odstávky a přetrvával během celého pondělí, což pocítila řada uživatelů na vlastní kůži.
Burza k incidentu, jak je v poslední době jejím nedobrým zvykem, neposkytla žádné detailní informace. Útok samotný je sice (pravděpodobně) externí událostí, kterou burza nemohla nijak ovlivnit, představuje ale zároveň další článek v řetězci kontroverzních událostí, které jsou od loňského roku s burzou spojeny.
Bitfinex je pověstný dlouhou historií netransparentních operací a po celou svoji historii se důsledně vyhýbá poskytování informací o osobách, které jsou odpovědné za jeho provoz.
Manipulace s cenou?
Jaký je možný smysl útoku? DDoS útoky nikoho přímo neokrádají o peníze ani nezpůsobují úniky citlivých dat. Útoky na dostupnost služby (Distributed Denial of Service) mívají nejčastěji, podobně jako například blokáda komunikace ve fyzickém světě, nějaký aktivistický účel.
Ve světě kryptoměn, kde vznešené ideály často ustupují finančním zájmům úzké skupiny, plní ale ještě jiný účel: jsou nástrojem manipulace s cenou. Pokud obchodníkům zabráníte v přístupu na trh, objem obchodů výrazně klesne, tento umělý pokles se přímo promítne do umělého poklesu ceny a vy můžete například na jiné burze levně nakoupit či bezpečně uzavřít své shorty.
Svědkem podobného DDoS útoku směrovaného právě na Bitfinex jsme byli letos v červnu. V hlavní fázi aktuálního útoku ze začátku tohoto týdne klesla cena Bitcoinu z přibližně 9800 na 9300 amerických dolarů, brzy se ale opět vyšvihla k hranici 11 400 dolarů (než přišla středeční korekce ceny).
BTC burzy ve středu nestíhaly simultánní nápor uživatelů, kteří při nečekaném pohybu kurzu zadávali prodejní příkazy
Kdo za DDoS útoky stojí, lze vypátrat jen těžko, přesto je zarážející, že společnost, která má profit z transakčních poplatků přes milion dolarů denně, nevěnuje větší péči ochranně před podobným typem události. Obzvláště když připustíme, že má burza za sebou historii dvou bitcoinových krádeží v relativně krátkém časovém odstupu.
Kontroverzní Tether
Společnost nejprve přišla o 1500 bitcoinů (v tehdejší hodnotě asi 400 tisíc dolarů) v roce 2015 a jen o rok později se stala obětí krádeže 120 000 bitcoinů (96 000 000 dolarů při tehdejších cenách). Bitfinex tehdy rozdělil ztráty mezi všechny zákazníky, a to včetně těch, kteří v dané době na burze žádný bitcoin nedrželi. Z každého účtu burza odečetla 36 %, které zůstaly v podobě pohledávky – tzv. BFX tokenu s teoretickou hodnotou 1 BFX = 1 USD.
Bitfinex má ve světě kryptoměnových burz výjimečné postavení, a tak podobný útok rozhodně dává smysl. Za prvé se již dříve po odhalení falešných objemů na čínských bitcoinových burzách ukázalo, že jde pravděpodobně o největší subjekt co do bitcoinových obchodů na světě (viz data CoinMarketCap), za druhé dceřiná společnost Bitfinexu stojí za kontroverzním tokenem Tether a právě machinacím s Tetherem část komunity přisuzuje další významný vliv na manipulaci s cenou bitcoinu.
Cena jednoho Tetheru je víceméně fixní (vázána na americký dolar) a jeho účelem je pomáhat burzám, které Tether používají, obcházet přísný rámec ze strany amerických regulátorů (SEC, IRS, FED), který by na ně jinak dopadal skrze bankovní AML a KYC legislativu.
Skutečný problém, nebo kouřová clona?
Právě Tether byl v hledáčku bitcoinového světa celý uplynulý týden, a to zejména v souvislosti krádeží 30 950 010 tokenů z online peněženky společnosti Tether Limited. Události si všiml dokonce mainstreamový newyorský deník The New York Times.
Co je to Tether
Tether, neboli USDT (ačkoli v plánu je též euro a japonský jen) je digitální token běžící na bitcoinovém blockchainu prostřednictvím vrstvy Omni Layer Protocol (dříve Mastercoin). Každá jednotka USDT by měla být teoreticky podložena americkým dolarem, který je držen v rezervách společnosti Tether Limited a vykoupitelná prostřednictvím platformy Tether. USDT lze převádět, ukládat a utrácet podobně jako jiné kryptoměny, a to prostřednictvím všech peněženek, které podporují Omni Layer (například Ambisafe, Holy Transaction či Omni Wallet). Tether má v plánu postupně rozšířit svůj token také na platformu Ethereum, kde bude figurovat jako ERC20 token. S Tetherem se kromě Bitfinexu, odkud se většina tetherů dostává do oběhu, můžete setkat zejména na burzách Poloniex, Bittrex či Kraken.
Samotná krádež, kterou se podařilo vyřešit tzv. rollbackem transakční historie a zablokováním určitých adres, vyvolala řadu otázek. Jednak k jejímu zdárnému uskutečnění bylo zapotřebí získat přístup ke třem ze čtyř podpisových klíčů, které se měly nacházet na čtyřech různých místech odpojených od internetu, a existuje tak teorie, že šlo o „inside job“.
Druhým aspektem bylo samotné řešení problému. To sice není u centralizovaného projektu tak kontroverzní jako například nejistý komunitní konsensus při loňském hardforku Etherea, přesto však vyvolává různé pochybnosti. Pokud je možné u kryptoměny s kapitalizací 675 milionů dolarů v tichosti provést hardfork a zneplatnit tak libovolnou sérii adres a proběhlých operací, kdo vlastně kontroluje Omni ledger a za jakých okolností má právo takovéto operace provádět?
Podle jakého klíče byly konkrétní adresy trvale zablokovány a koho může potkat podobný osud? Takováto úroveň centralizace je totiž skvělým předpokladem pro manipulaci s celou dnes již celkem zajímavě kapitalizovanou sítí. Záznamy mohou být podobnými zásahy celkem snadno měněny a váš kapitál uložený v Tetheru tak zůstává poněkud nejistým dočasným záznamem v centralizované databázi soukromé společnosti.
To je hodně velký rozdíl oproti veřejnému blockchainu a tradičním decentralizovaným kryptoměnám (viz náš článek Jak porozumět blockchainu v deseti minutách aneb Jak funguje technicky a k čemu je). Pokud nebudeme hned myslet na nejhorší, může například tým Tetheru pod tlakem justičních autorit trvale zablokovat libovolné adresy s libovolnými Tether fondy.
Proč roste Bitcoin
Faktem také zůstává, že komunikace Tether Ltd. s veřejností není zrovna nejlepší a hlavní softwarové změny, záplaty chyb a dokonce i významnější forky protokolu jsou prováděny celkem netransparentně a s minimálním informováním. Zarážející jsou také některé komunikační praktiky, jako používání softwaru pro změnu hlasu při poskytování vyjádření pro veřejnost.
Do třetice je zde ještě jedna záležitost. Letos na jaře začal být na Twitteru velmi populární tajemný uživatel jménem Bitfinex'ed. Ten pravidelně přináší nejrůznější nepřímé důkazy, které nasvědčují tomu, že průběžně do oběhu uvolňovaná likvidita Tetheru ve skutečnosti vůbec nemusí být krytá skutečnými dolary na bankovních účtech společnosti, ale že jde o peníze tisknuté takříkajíc ze vzduchu.
Jedním z těchto důkazů mělo být i extrémně rychlé splacení závazků vůči uživatelům po loňském hacknutí burzy, při kterém zmizelo 120 000 bitcoinů. Závazky měly být podle všeho kryté právě ze vzduchu natištěným Tetherem. Na druhé straně je ale nutno dodat, že při obratu 1–1,5 milionu dolarů denně a prudkém nárůstu nových uživatelů počátkem letošního roku není předčasné splacení závazků až zase tak moc překvapivé.
Kdyby šlo do tuhého, půjde Tether vůbec vybrat a směnit zpátky na dolary? V podmínkách společnosti nalezneme mimo jiné toto:
Tether token nepředstavuje peníze ani jiný finanční instrument. Také není určen jako uchovatel hodnoty. Neexistuje žádné smluvní právo nebo jiný právní nárok proti nám umožnující vynutit si výměnu vašich Tetherů za peníze. Nezaručujeme žádné právo na vykoupení nebo výměnu Tetherů a neexistuje žádná záruka proti ztrátám při nákupu, obchodování, prodeji nebo jejich zpětném odkupu.
Takováto právní formulace může mít sice za účel se pouze vyhnout dosahu regulátorů, uživatelům Tetheru ale na klidu rozhodně nepřidává.
TIP: Tone Vays: 99 % kryptoměn nemá šanci přežít. Za hard forky je snaha o kontrolu peněz
Tak trochu konspirační teorie, kterou Bitfinex'ed razí, tvrdí, že nekrytý kvantitativně uvolňovaný Tether je přímou příčinou současného růstu ceny bitcoinu. Kampaň proti Tetheru se začala v posledních měsících stupňovat a komunita uživatelů kryptoměn se začala oprávněně ptát, jak to tedy s transparentností Tetheru ve skutečnosti je. Tether na toto konto slíbil celou věc znovu vyjasnit. Namísto toho přišel výše zmiňovaný hack a pozornost se přesunula právě k němu. Je tedy možné, že celá událost byla jen kouřová clona, která má odvrátit pozornost od skutečného problému?
Pravdou je, že již v září 2017 Bitfinex a Tether publikovali dokument, který měl rozehnat některé hlavní pochyby o tom, jak je Tether podložen. Podle nezávislého právníka Lewise Cohena je ale dokument formulován tak, že z něj podloženost Tetheru skutečnými dolary nelze ani potvrdit, ani vyvrátit.
Další souvislosti
Z toho mála, co o Bitfinexu víme, můžeme říci, že byl založen na Britských panenských ostrovech a je řízen Janem Ludovikem van der Velde (v roli ředitele) a Philem Potterem v roli CSO. Snaha držet navenek obě společnosti zdánlivě maximálně oddělené, ale přitom zároveň jako seismograf reagující na momentální potíže druhé firmy, budí pochopitelně oprávněná podezření.
Oba pány můžeme nalézt také na seznamu takzvaných Dokumentů z ráje, které představují databázi 13,4 milionu důvěrných finančních dokumentů, jež byly zveřejněny 5. listopadu 2017 a odhalují seznamy více než 120 000 jedinců (včetně Čechů) a společností a jejich masivní daňové úniky.
Nás by však měl zajímat nejvíce právě Potter, protože právě on zároveň představuje ředitele společnosti Tether. Potter má relativně kontroverzní historii. V 90. letech pracoval pro Morgan Stanley, ale byl propuštěn pro používání „agresivních technik“ vydělávání peněz. V Dokumentech z ráje je zmiňován mimo jiné v souvislosti se společností Appleby a projektem Tether, který tato společnost zakládá na Britských panenských ostrovech koncem roku 2014.
Místo, kde je společnost vedena, a její spolumajitel nejsou jedinými indiciemi úzké provázanosti mezi Bitfinexem a Tetherem. Většina Tetherů se totiž dostává do oběhu právě přes Bitfinex. Na druhé straně to samotné, ani pohyb se v šedé zóně americké a evropské legislativy, ještě není důvodem k vážným obavám.
Poněkud zarážející souvislostí, která by nahrávala teorii uživatele Bitfinex'ed, je, s jakou podivuhodnou lehkostí se burza vypořádala s odstřižením od svých účtů s milionovými klientskými deposity po zásahu regulátorů letos na jaře. Zde sehrál Tether, ať již podložený dolary z účtů Tether Ltd., či vytištěný takříkajíc „ze vzduchu“, zcela zásadní roli.
Tajná těžba kryptoměn v prohlížečích: Zavření okna s infikovaným webem už nepomůže
2.12.2017 Živě.cz Viry
Tajná těžba kryptoměn v prohlížečích: Zavření okna s infikovaným webem už nepomůže
Bezpečnostní experti odhalili nový způsob, jak záškodníci mohou zapojit do těžby kryptoměn návštěvníky webů prostřednictvím internetových prohlížečů. Útočníci tentokrát vytvořili sofistikovaný skript, který dokáže generovat kryptoměnu i po zavření záškodnického webu. Bližší informace o hrozbě zveřejnil Bleeping Computer.
Coinhive stále populární
Těžba virtuální měny v internetových prohlížečích se těší velké popularitě mezi různými skupinami útočníků. Díky známému open-source skriptu Coinhive může zisk generovat prakticky jakýkoliv web. Není přitom potřeba žádná interakce s uživatelem.
Výrazným problémem je však délka samotné těžby, která je přímo úměrná délce procházení webu. Pokud totiž uživatel stráví na webu se skrytou těžbou 60 sekund, tak je zřejmé, že jeho počítač bude generovat zisk pouze v průběhu jedné minuty. Není proto překvapením, že útočníci začali hledat způsob, jak délku těžby prodloužit na maximum.
Sekundární okno se schová za hodinami
Výzkumníci ze společnosti Malwarebytes upozornili na nový, v principu triviální trik, díky kterému bude těžba kryptoměny pokračovat i po opuštění záškodnického webu. Ten je založen na speciálním kódu v JavaScriptu, který vytvoří vyskakovací pop-up okno v definované velikosti. Jeho součástí je i vzorec určený pro dynamický výpočet pozice tohoto okna na obrazovkách uživatelů.
Výsledkem skriptu je miniaturní okno, které se na mnoha počítačích zobrazí skryté za panelem úloh systému Windows. Uvnitř ukrytého okna se nakonec spustí samotná těžba.
Je tam! Nenápadně schované dole za hodinami. Okno prohlížeče se skriptem na těžbu kryptoměn. K odhalení stačí trochu zvětšit hlavní panel.
Běžný uživatel si nemusí všimnout nic podezřelého. Okno je skutečně dobře schované a mechanismus navíc dokáže oklamat většinu nástrojů pro blokování reklam. Navíc útočníci nastavili maximální zátěž procesoru na nižší hodnoty, aby plně vytížený počítač nebudil podezření.
Pozor v sedmičkách i Windows 10
Tento trik v současnosti funguje v nejnovější verzi internetového prohlížeče Google Chrome v prostředí operačních systémů Windows 7 a Windows 10. Skript byl odhalen na pochybných internetových stránkách pro dospělé.
Schéma útoku dokáže prozradit ikona aktivního internetového prohlížeče v hlavním panelu. V případě, že nemáte otevřenou žádnou webovou stránku, tak by neměla být v hlavním panelu zobrazena ani zvýrazněna ikona prohlížeče. Pokud tam je, zřejmě je na pozadí skryté okno.
V rámci preventivních opatření by měl být v počítači nainstalován a řádně aktualizovaný antivirový software. Většina z bezpečnostních produktů už totiž dokáže zachytit i skripty pro těžbu virtuálních jmen.
V neposlední řadě existují různá rozšíření internetových prohlížečů, která dokáží zablokovat nežádoucí skripty. Nejznámějším je asi No Script, nebo relativně nový projekt NoCoin zaměřený právě na blokování těžebních skriptů.
Kritická zranitelnost v macOS, miliony počítačů jsou ohroženy: jak se zabezpečit?
30.11.2017 SecurityWorld Apple
Apple šlápl vedle a do nejnovější verze operačního systému macOS, High Sierra, nechal dostat extrémně nebezpečnou zranitelnost. Uživatelé si však před vydáním opravných aktualizací mohou pomoci sami.
Kdokoliv, kdo má fyzický přístup k vašemu Macu, se nyní může jednoduše dostat dovnitř.
Problém poprvé odhalil zákazník Applu Lemi Orhan Ergin ve tweetu. Zda bylo rozumné ihned chybu takto zveřejnit, aby se o ní co nejsnáze dozvěděli i potenciální zločinci, o tom se dá polemizovat, avšak kritičnost zranitelnosti vystihuje dobře: „Vážený @AppleSupport, povšimli jsme si *obrovského* bezpečnostního problému v MacOS (sic) High Sierra. Kdokoli se může přihlásit pomocí jména ‚root‘ a prázdného hesla poté, co několikrát klikne na tlačítko přihlášení. Víte o tom @Apple?“
Ano – kdokoli napíše do políčka pro jméno „root“ a několikrát klikne na přihlásit, dostane se do systému. Po několika pokusech se daná osoba dostane do systému. Úspěšně to již odzkoušelo mnoho lidí.
Jde o chybu majestátních rozměrů: uživatelský účet s přízviskem „root“ je totiž – jak název napovídá – superuser, tedy uživatel schopný přepisovat práva ostatních uživatelů, nastavení systému, instalovat software, přistupovat k souborům všech uživatelů a podobně.
Americká mutace Computerworldu ihned kontaktovala Apple, dostalo se jí takové odpovědi: „Pracujeme na softwarové aktualizaci, která chybu vyřeší. Mezitím lze nastavit heslo pro administrátorský přístup (root), což znemožňuje neoprávněný přístup. Jak nato poradí tato stránka (anglicky). Pokud už máte položku ‚Root User‘ nastavenu, prosím nastavte heslo pro přístup k rootu.“
Uživatelský účet se zvýšenými pravomocemi je v základu deaktivován na většině systémů, tato chyba však u Macu umožní přihlášení jako root i přesto, že by to jít nemělo. Aktivování root účtu a nastavení hesla zabrání možnému zneužití systému pomocí výše popisované zranitelnosti.
Rychlejší je nastavení hesla pomocí Terminálu – pokud víte co děláte, můžete tuto variantu použít namísto návodu od Applu. Terminál zapněte a zadejte příkaz (bez uvozovek) „passwd root“, klepněte na enter při dotazu na staré heslo a pak zadejte heslo nové. Budete nuceni jej vepsat ještě jednou, pak jste však již proti chybě chráněni.
Chyba nijak neohrožuje starší verze macOS, týká se pouze High Sierra.
Existence této chyby je absolutně neospravedlnitelná, obzvláště u Applu, který bezpečnost systému často vychvaluje. Čím dříve přijde aktualizace systému, tím lépe.
Můžeme ještě věřit chytrým telefonům?
29.11.2017 SecurityWorld Mobilní
Fenomén posledních měsíců? Ve smartphonech se objevují bezpečnostní mezery, které vytvářejí sami výrobci.
Víte o tom, že váš chytrý telefon může obsahovat skryté „funkce“, které vás činí zranitelnými? Nejde přitom o nedostatky z nedopatření, ale o vědomé designové prvky, díky nimž telefon funguje tak nějak za vašimi zády.
V telefonech od Googlu, Applu či OnePlus byl v posledních týdnech objeven předinstalovaný software rozbíhající potenciálně škodlivé procesy i navzdory tomu, že uživatelé se snažili přesně takovým zabránit. Je sice férově třeba říct, že motivy výrobců jsou správné, tyto procesy mají zrychlit výkon či usnadnit použití, neinformování zákazníků je však diskutabilní. Pojďme se podívat na pár příkladů těchto prohřešků proti důvěře…
Podle zjištění serveru Quartz zařízení s Androidem uplynulých jedenáct měsíců zasílala Googlu informace o poloze i přesto, že uživatelé měli tuto funkci vypnutou, a to i ve chvílích, kdy byl telefon bez SIM karty a neběžely na něm žádné aplikace. Dle Googlu to bylo kvůli analýze a snaze lepšího využití tzv. ID buněk v síti GSM pro rychlejší doručování SMS. Firma nasbíraná data údajně nijak nevyužila, ani je nemá uložená, a jejich sběr plánuje v prosinci ukončit.
Prohřešek Applu se týká pro změnu zapínání a vypínání Wi-Fi a Bluetooth, které lze od iOS 7 ovládat snadněji prostřednictvím tzv. Ovládacího centra. Funkcionalita má však jeden „háček“. Vypnutí Wi-Fi či Bluetooth z Ovládacího centra sice telefon odpojí od daných sítí a zařízení, ve skutečnosti však nevypne samotné Wi-Fi, respektive Bluetooth. iOS 11 se tak automaticky znovu napojí na nové hotspoty či zařízení, jestliže se objeví v dosahu anebo je-li telefon restartován. Chce-li uživatel opravdu vypnout Wi-Fi/Bluetooth, musí tak učinit skrz Nastavení. Apple o této rozdílné funkcionalitě informuje na své webové stránce podpory. Ale – kdo z vás tam kdy byl?
Vůbec nejvážněji se však jeví problém telefonů OnePlus, které jsou prodávány s aplikací, která může posloužit k jejich rootování. Jmenuje se EngineerMode a jde o diagnostický nástroj obvykle instalovaný na prototypy nebo zkrátka zařízení, která nejdou do prodeje pro veřejnost. Přístup k funkci umožňující rootování je sice chráněn heslem, to se však rychle objevilo veřejně na internetu a příliš polehčující okolnost není ani to, že ke zneužití aplikace je třeba mít k telefonu fyzicky přístup.
Podle OnePlus nejde o vážný bezpečnostní problém, jelikož je nepravděpodobné, aby se sešly všechny faktory umožňující zneužití, v příští softwarové aktualizaci však aplikaci odstraní. Naprostá většina uživatelů však o přítomnosti aplikace nemá tušení a firma zatím ani neuvedla, jak ji případně odinstalovat.
Vědomá přítomnost obsahu představujícího potenciální bezpečnostní riziko a neinformování uživatelů příliš neprospívá vzájemné důvěře mezi výrobcem a kupujícím. Ve všech zmíněných příkladech prakticky výrobce odebral uživateli možnost kontroly tím, že před ním skryl určitou skutečnost.
Jako by říkal „Sami sobě důvěřujeme, uživatelé tedy nepotřebují informace, aby mohli dělat vlastní rozhodnutí.“ A Google a OnePlus reagovali až poté, co byli na problém upozorněni všímavými uživateli. Až jednoho napadne, co všechno chytré telefony dělají bez našeho vědomí…
V macOS je velká díra. Každý může získat správcovský účet bez hesla
29.11.2017 CNEWS.CZ Apple
Vývojář Lemi Orhan Ergin objevil v nejnovější verzi operačního systému od Applu velkou chybu. V macOS 10.13.1 a 10.13.2 beta lze získat správcovský učet i bez znalosti hesla.
Stačí v nastavení uživatelů a skupin kliknout na ikonku zámku, do pole s uživatelským jménem zadat „root“ (heslo nechat prázdné) a potvrdit Enterem. Tím vznikne rootovský účet bez hesla, který pak lze použít při dalším přihlášení.
OS X rootUž z popisu je zřejmé, že díru lze zneužít jen v případech, že se někdo zmocní vašeho odemknutého počítače. Na přihlašovací obrazovce ten trik nefunguje, je třeba jej provést v nastavení. A nechávat přihlášený počítač bez dozoru je riziko samo o sobě.
Apple už o chybě každopádně ví a pracuje na záplatě. Zatím jako prevenci doporučuje vytvořit účet root ručně a zadat mu heslo. Toho lze docílit příkazem v Terminálu „sudo passwd -u root“.
John Paczkowski
✔
@JohnPaczkowski
Here's Apple's comment on that #macOS #HighSierra security hole
23:23 - 28. 11. 2017
Můžeme ještě věřit chytrým telefonům?
29.11.2017 SecurityWorld Mobilní
Fenomén posledních měsíců? Ve smartphonech se objevují bezpečnostní mezery, které vytvářejí sami výrobci.
Víte o tom, že váš chytrý telefon může obsahovat skryté „funkce“, které vás činí zranitelnými? Nejde přitom o nedostatky z nedopatření, ale o vědomé designové prvky, díky nimž telefon funguje tak nějak za vašimi zády.
V telefonech od Googlu, Applu či OnePlus byl v posledních týdnech objeven předinstalovaný software rozbíhající potenciálně škodlivé procesy i navzdory tomu, že uživatelé se snažili přesně takovým zabránit. Je sice férově třeba říct, že motivy výrobců jsou správné, tyto procesy mají zrychlit výkon či usnadnit použití, neinformování zákazníků je však diskutabilní. Pojďme se podívat na pár příkladů těchto prohřešků proti důvěře…
Podle zjištění serveru Quartz zařízení s Androidem uplynulých jedenáct měsíců zasílala Googlu informace o poloze i přesto, že uživatelé měli tuto funkci vypnutou, a to i ve chvílích, kdy byl telefon bez SIM karty a neběžely na něm žádné aplikace. Dle Googlu to bylo kvůli analýze a snaze lepšího využití tzv. ID buněk v síti GSM pro rychlejší doručování SMS. Firma nasbíraná data údajně nijak nevyužila, ani je nemá uložená, a jejich sběr plánuje v prosinci ukončit.
Prohřešek Applu se týká pro změnu zapínání a vypínání Wi-Fi a Bluetooth, které lze od iOS 7 ovládat snadněji prostřednictvím tzv. Ovládacího centra. Funkcionalita má však jeden „háček“. Vypnutí Wi-Fi či Bluetooth z Ovládacího centra sice telefon odpojí od daných sítí a zařízení, ve skutečnosti však nevypne samotné Wi-Fi, respektive Bluetooth. iOS 11 se tak automaticky znovu napojí na nové hotspoty či zařízení, jestliže se objeví v dosahu anebo je-li telefon restartován. Chce-li uživatel opravdu vypnout Wi-Fi/Bluetooth, musí tak učinit skrz Nastavení. Apple o této rozdílné funkcionalitě informuje na své webové stránce podpory. Ale – kdo z vás tam kdy byl?
Vůbec nejvážněji se však jeví problém telefonů OnePlus, které jsou prodávány s aplikací, která může posloužit k jejich rootování. Jmenuje se EngineerMode a jde o diagnostický nástroj obvykle instalovaný na prototypy nebo zkrátka zařízení, která nejdou do prodeje pro veřejnost. Přístup k funkci umožňující rootování je sice chráněn heslem, to se však rychle objevilo veřejně na internetu a příliš polehčující okolnost není ani to, že ke zneužití aplikace je třeba mít k telefonu fyzicky přístup.
Podle OnePlus nejde o vážný bezpečnostní problém, jelikož je nepravděpodobné, aby se sešly všechny faktory umožňující zneužití, v příští softwarové aktualizaci však aplikaci odstraní. Naprostá většina uživatelů však o přítomnosti aplikace nemá tušení a firma zatím ani neuvedla, jak ji případně odinstalovat.
Vědomá přítomnost obsahu představujícího potenciální bezpečnostní riziko a neinformování uživatelů příliš neprospívá vzájemné důvěře mezi výrobcem a kupujícím. Ve všech zmíněných příkladech prakticky výrobce odebral uživateli možnost kontroly tím, že před ním skryl určitou skutečnost.
Jako by říkal „Sami sobě důvěřujeme, uživatelé tedy nepotřebují informace, aby mohli dělat vlastní rozhodnutí.“ A Google a OnePlus reagovali až poté, co byli na problém upozorněni všímavými uživateli. Až jednoho napadne, co všechno chytré telefony dělají bez našeho vědomí…
Apple má vážnou chybu v macOS High Sierra: k Macu se může přihlásit kdokoli
29.11.2017 Lupa.cz Apple
Dokud se tenhle problé nevyřeší, žádný Mac není v bezpečí. Pokud má nainstalovanou nejnovější verzi operačního systému High Sierra 10.13.1 (17B48), může se do počítače dostat kdokoli, aniž by potřeboval znát login a heslo.
Chyba totiž umožňuje, aby si kdokoli na zamčeném Macu zpřístupnil účet s adinistrátorskými právy a přihlásil se k němu, informují zahraniční servery.
Na problém na Twitteru upozornil vývojář Lemi Orhan Ergin. Nejsnadnější způsob, jak ji zneužít, podle něj vede přes System Preferences > Users & Groups. Tam stačí kliknout na ikonu zámku a pak v okně pro jméno a heslo zadat „root“, heslo nechat prázdné a potvrdit (někdy je to nutné zkusit vícekrát).
Ale pozor – už pokud tento postup jenom vyzkoušíte, vytvoříte si v počítači „root“ účet bez hesla, ke kterému se pak z přihlašovací obrazovky bude moci přihlásit kdokoli. Pokud jste to udělali, jediným momentálním řešením problému je nastavit preventivně k účtu „root“ nějaké heslo, aby se k Macu nebylo možné přihlásit bez něj (postup je k dispozici v nápovědě Applu).
Vytvoření root účtu s nějakým heslem je zatím také jediným způsobem, jak se před chybou ochránit, potvrdil také Apple. Firma chybu přiznala a oznámila, že pracuje na updatu, který ji vyřeší.
CZ.NIC testuje veřejný honeypot, který pomůže s detekováním malwaru
27.11.2017 Lupa.cz Zabezpečení
Pomoc se zkoumáním útoků a odhalováním chyb, které útočníci zneužívají. To si sdružení CZ.NIC slibuje od projektu Honeypot as a Service (HaaS), který začalo testovat v říjnu. Projekt má umožnit koncovým uživatelům přesměrovat útoky na jejich zařízení do centrálního honeypotu, ve kterém je pak experti mohou analyzovat a získané údaje použít ke zvýšení zabezpečení.
Jak to funguje? Případný dobrovolný zájemce se zaregistruje na webu projektu a do svého PC (nebo na linuxový server) si stáhne a nainstaluje proxy. Zdrojový kód aplikace (haas-mitmproxy) je dostupný na GitHubu. Po spuštění na počítači začne proxy přeposílat příchozí komunikaci z portu 22 na server HaaS, na kterém honeypot Cowrie simuluje zařízení a zaznamenává provedené příkazy.
„Projekt HaaS zahrnuje vytvoření sítě minimálně pěti set koncových uživatelů a techniky pro přesměrování těchto uživatelů na centrální honeypot. Cílem našeho výzkumu je pak zajistit, aby byl útočník co nejdéle přesvědčen, že útočí na skutečný cíl, tedy na počítač, server nebo router, nikoliv honeypot,“ popisuje Ladislav Lhotka z CZ.NIC.
Projekt momentálně běží v betatestu a jeho ostré spuštění by mělo přijít někdy v květnu příštího roku. Částkou 1,3 milionu na něj přispěla Technologická agentura ČR.
Postřehy z bezpečnosti: ještě pochybujete o nutnosti HTTPS?
27.11.2017 Root.cz Bezpečnost
Dnes se podíváme na jednu kontroverzní oslavu státního svátku, prozkoumáme nový seznam zranitelností webových aplikací a připomeneme si zajímavý výrok ve vývojářské konferenci linuxového jádra.
Kontroverzní oslava 17. listopadu
Pokud jste nedávný státní svátek slavili off-line, možná vám unikl poměrně kontroverzní způsob, jakým se k jeho oslavě připojil operátor O2. Při pokusu o přístup na webovou stránku nekončící českou doménou bylo HTTP spojení uneseno a místo skutečné odpovědi podvrženo přesměrování na captive portál, představující fiktivní železnou oponu. Teprve po kliknutí na odkaz na něm bylo možné pokračovat normálně.
Kromě samotného faktu, že si tak velký telekomunikační operátor něco takového dovolil, je zarážející i zjištění, že vůbec má v síti nasazené zařízení, které takovéto zásahy umožňuje. Všechny doposud hypotetické úvahy o možnosti monitorování a transparentního pozměňování nešifrovaného provozu poskytovatelem přístupu k Internetu tak nyní dostávají naprosto reálné obrysy. Došlo tak k definitivnímu vyvrácení tradičního mýtu, že HTTPS je zbytečné pro čistě informační weby, kam se nikdo nepřihlašuje. Jednoduše HTTPS by mělo být všude.
Jak píše web DSL.sk, protokol HTTPS poněkud podcenili kolegové ze slovenské pobočky O2, kteří zorganizovali obdobnou akci. Na rozdíl od českého operátora webový server toho slovenského na adrese https://o2.sk posílá hlavičku HTTP Strict-Transport-security, která po dobu dvou let vynucuje použití HTTPS na všechny subdomény. No a vzhledem k tomu, že captive portál byl provozován na takové subdoméně, ale přitom HTTPS nepodporoval, zobrazila se některým uživatelům ze Slovenska při přístupu na zahraniční stránky pouze chybová zpráva, že web není dostupný.
Jak bezpečný je Android Pay?
Autor: Dalibor Z. Chvátal
Platební karty J & T Banky v aplikaci Android Pay. (14. 11. 2017)
Služba Android Pay, která umožňuje jednoduché placení v obchodech prostřednictvím NFC, přišla i do Česka. Využívá funkci zvanou Host-based Card Emulation, která je dostupná v Androidu od verze 4.4. Tato funkce umožňuje aplikaci v telefonu přímo komunikovat s čtečkou bezkontaktních karet v poli NFC antény. Na rozdíl od předchozích řešení se tak eliminuje nutnost mít v zařízení tzv. secure element nebo speciální SIM kartu, která by prováděla kryptografické operace a bezpečně držela privátní klíče. Ty jsou nyní doručovány přes internet v podobě tzv. tokenů, kdy každý token je použitelný pouze pro jednu transakci.
Systém NFC plateb pomocí HCE není v Česku nový, představila jej už minulý rok ČSOB, následovaná Komerční bankou. Systém Android Pay se od těchto řešení liší především posunutím hranice bezpečnosti zase o něco níže. Zatímco dříve uvedené aplikace vyžadují pro platbu zadání speciálního PINu aplikace, případně použití otisku prstu a pouze jako doplňkovou službu nabízejí rychlé placení bez odemykání telefonu, Android Pay tento model obrací tak, že k platbám menších částek (zřejmě do 500 Kč) stačí pouze rozsvítit displej telefonu, pro platbu vyšších částek pak stačí pouze odemknout zámek displeje. Vzhledem k tomu, jak triviální bývají odemykací sekvence většiny uživatelů, se takové zabezpečení virtuální karty nezdá jako dostatečné.
Aplikace se také brání odcizení platebních tokenů tak, že se snaží detekovat nejen root oprávnění, ale na některých modelech telefonů i samotné odemčení zavaděče či použití alternativní ROM a v takovém případě se odmítne spustit. Uživatelé starších přístrojů, jejichž podpora ze strany výrobce už skončila, tak mají těžkou volbu, zda používat aktuální operační systém, jakým je například LineageOS a o možnost placení telefonem přijít, nebo zůstat u originálního firmwaru se známými zranitelnostmi, kde Android Pay funguje.
Nové vydání OWASP Top 10 zranitelností webových aplikací
Po čtyřech letech vydal projekt OWASP nový seznam 10 nejčastějších zranitelností webových aplikací. Na prvních dvou místech se pořadí nezměnilo, největšími problémy jsou stále Injection a chyby autentizace. Na třetí místo se ze šestého přesunulo vyzrazení citlivých dat. Obecně zpráva také hodnotí, že v poslední době jsou na vzestupu mikroslužby, které představují proti tradičním monolitickým webovým aplikacím nové bezpečnostní výzvy.
Dále je konstatováno, že dominantním jazykem se stává JavaScript, který se jednak používá na klientovi, kde často nahrazuje tradičnější zpracování požadavků na straně serveru, jednak i na serverech díky projektům jako Node.js.
Porovnání seznamu Top10 2013 a 2017
A zase ty úniky
Minulý týden vyšlo najevo, že v říjnu 2016 došlo k úniku dat společnosti Uber. Útočníci se nějakým způsobem dostali k privátnímu repozitáři na GitHubu, ve kterém objevili přihlašovací jméno a heslo pro Amazon Web Services. V tomto úložišti bylo uloženo na 57 milionů osobních údajů zákazníků a řidičů, včetně 600 tisíc čísel řidičských průkazů. Ačkoli měla společnost povinnost o takovém úniku informovat federální úřady Spojených států, namísto toho zaplatila útočníkům sto tisíc dolarů za odstranění dat a celý incident ututlala. Jakou měla záruku, že k vymazání dat skutečně došlo, můžeme jen spekulovat.
O pár dní později se k podobnému úniku přiznala společnost Czechia.com. Únik se týká 6500 zákaznických účtů a byl zřejmě způsoben jistým zákazníkem, který objevil a zneužil chybu v zabezpečení managed serverů, kterými bylo možné získat interní databázi. Kuriózní je i způsob, jakým byl únik odhalen: Michal Špaček jej objevil náhodou, když hledal na webu SHA-1 hashe často používaných hesel.
Děravý procesor v procesoru
Je známou věcí, že v procesorech firmy Intel se od jisté doby vyskytuje další kompletní počítač zvaný Management Engine, ve kterém běží operační systém MINIX. Tento počítač provádí zejména servisní činnosti pro hlavní procesor, dále pak volitelně umožňuje vzdálenou správu, včetně přístupu ke konzoli hlavního počítače. Jeho možnosti zasahovat do činnosti hlavního procesoru jsou tedy téměř neomezené a jeho napadení by mohlo v nejhorším případě znamenat i zcela nedetekovanou kompromitaci.
Intel na základě nedávného auditu vydal opravu firmware a třese se, jaké další zranitelnosti ještě výzkumníci objeví. Oprava se obvykle distribuuje jako aktualizace BIOSu, je tedy třeba sledovat informace výrobce počítače. Není divu, že s takovým stavem se spousta uživatelů nespokojí a pokouší se nahradit proprietární firmware z co největší části open source softwarem.
Čtyři devítky nabízí soukromí i bezpečnost v DNS
Společnosti IBM, Packet Clearing House a Global Cyber Alliance nedávno představily projekt Quad 9. Ten nabízí veřejný rekurzivní DNS resolver na dobře zapamatovatelné IPv4 adrese 9.9.9.9 (IPv6 varianta 2620:fe::fe už tak jednoduchá k zapamatování není), který kromě ochrany soukromí – tvrdí, že nezaznamenávají žádné informace o uživatelích – nabízí také ochranu před škodlivými doménovými jmény, která slouží například ke komunikaci botnetů.
Služba je provozovaná prostřednictvím globálního anycastu ve více než stovce lokalit, plně podporuje IPv4 i IPv6 a také provádí validaci DNSSEC podpisů. V okamžiku oznámení služba nevalidovala ECDSA podpisy, tento problém však již byl odstraněn. V zájmu ochrany soukromí uživatelů služba dle svých slov neposílá autoritativním serverům rozšíření EDNS Client-Subnet, což velmi pravděpodobně způsobí neoptimální doručování obsahu z CDN sítí; zvlášť vzhledem k tomu, že podle našeho pozorování je vnější adresa nebližšího uzlu této služby až v USA.
Je na čase vypnout SMB verze 1
Minulý týden byla také odhalena zranitelnost balíku Samba ve všech verzích od 4.0.0. Chyba se týká implementace zastaralého protokolu SMB1 a umožňuje potenciálně spustit vlastní kód na serveru. Kromě aktualizace je možné problém vyřešit také vypnutím podpory zastaralého protokolu; to ostatně radí i odborník ze společnosti Microsoft.
Jedinými legitimními důvody, proč je potřeba SMBv1 držet, může být podpora Windows XP nebo Windows Server 2003, závislost softwaru na funkci Okolní počítače, případně podpora starých kopírek s funkcí Scan-to-share. Naopak nejnovější verze Windows už přichází bez podpory SMBv1.
Linus Torvalds: bezpečnostní problémy jsou jen chyby
V e-mailové konferenci vývojářů Linuxu se Linus Torvalds svým stylem ostře ohradil proti způsobu, jakým se někteří vývojáři snaží do zdrojového kódu protlačit bezpečnostní hardening.
NENÍ MOŽNÉ, aby si bezpečáci vymýšleli nějaká nová magická pravidla a nechali jádro zhavarovat, kdykoli dojde k jejich porušení.
Zdůrazňuje, že i bezpečnostní problémy jsou jen obyčejné chyby a primární úlohou hardeningu tedy má být takové chyby najít a upozornit na ně. Teprve po určité době, kdy je zřejmé, že nově zavedená omezení nezpůsobují problémy ve všech běžných podmínkách je možné zvážit zavedení drastičtějších opatření.
Pro pobavení
Half past twelve
And I'm watchin' the late show
In my flat all alone
How I hate to spend the evening on my own
…
Gimme, gimme, gimme a man after midnight
Won't somebody help me chase the shadows away
Kdo by neznal skladbu skupiny ABBA z roku 1979. Ovšem jen málokoho při poslechu textu napadne, že osamělá hrdinka sledující noční televizní vysílání v půl jedné ráno vlastně touží po čtení unixových manuálových stránek. Nevinný žertík, který tuhle skladbu připomíná, bohužel rozbíjí neinteraktivní volání příkazu man s přepínačem -w , a tak byl nakonec odstraněn. Ostatně, ať děláte co děláte, vždycky někomu znemožníte práci.
Autor: Randall Munroe, překlad xkcz.cz, podle licence: CC BY-NC 2.5
Službě Imgur unikly e-maily a hesla uživatelů, tři roky o tom nevěděla
27.11.2017 Lupa.cz Incidenty
Populární stránce Imgur, na které se ukládají obrázky, byly ukradeny přihlašovací e-maily a hesla k 1,7 milionu uživatelských účtů. Stalo se tak už v roce 2014, Imgur o tom nicméně dlouho nevěděl a o věci se dozvěděl až před pár dny. Nyní firma záležitost rozebírá na svém blogu.
Necelé dva miliony uživatelů jsou malá část registrovaných uživatelů Imgur, ten jich celkem má asi 150 milionů. Služba napadeným uživatelům hesla resetuje a o incidentu je postupně informuje.
Imgur prozatím nemá přesné informace, jak k úniku došlo. Provádí se šetření, které pak má vést také ke spolupráci s policií a úřady.
„Vždy jsme vaše hesla v naší databázi šifrovali, mohla ale být cracknuta pomocí brute force kvůli použití staršího algoritmu (SHA-256), který jsme tehdy používali. Algoritmus jsme v loňském roce aktualizovali na bcrypt,“ píše Imgur.
Procesory od Intelu mohou napadnout hackeři
27.11.2017 Novinky/Bezpečnost Hacking
Ovládnout cizí počítače na dálku mohou hackeři kvůli nově objevené chybě v procesorech Intel. Ta je hodnocena bezpečnostními experty jako velmi závažná. Upozornil na to český Národní bezpečnostní tým CSIRT.CZ.
„Společnost Intel vydala bezpečnostní doporučení ke zranitelnostem firmwaru produktů Management Engine (Intel ME) ve verzi 11.0/11.5/11.6/11.7/11.10/11.20, Server Platform Services (SPS) verze 4.0 a Trusted Execution Engine (Intel TXE) verze 3.0,“ sdělil Novinkám Pavel Bašta, bezpečnostní analytik CSIRT.CZ, který je provozován sdružením CZ.NIC.
Ten zároveň zdůraznil, že všechny tyto produkty obsahují bezpečnostní zranitelnosti firmwaru, které mohou být v krajním případě útočníkem zneužity k převzetí kontroly nad systémem. Na dálku si tak počítačoví piráti mohou s napadeným strojem dělat, co se jim zlíbí. Klidně i odcizit uživatelská data, nebo majitele sestav šmírovat při práci na PC.
V ohrožení jsou firmy i jednotlivci, neboť zmiňované nástroje jsou nedílnou součástí drtivé většiny moderních procesorů Intel. Riziko se tedy týká nejen firem, ale také jednotlivých uživatelů.
Záplaty jsou již na světě
Intel začal problém okamžitě řešit. „V reakci na problémy identifikované externími výzkumníky prověřila společnost Intel důkladně všechny své technologie. Bohužel jsme skutečně objevili slabé stránky zabezpečení, které by mohly ohrozit některé platformy,“ uvedli v prohlášení zástupci společnosti Intel.
Dále čipový gigant zveřejnil procesorové řady, kterých se problémy týkají. Jejich přehled naleznete v tabulce na konci článku.
Opravy vydal samotný Intel. Například společnosti Lenovo, Dell a HP nicméně informovaly, že záplaty nabízejí pro své zákazníky také prostřednictvím vlastních webových stránek. Majitelé dotčených platforem by tak neměli v žádném případě otálet a měli by co nejrychleji nainstalovat všechny aktualizace pro své počítače.
„Administrátorům systémů se doporučuje aktualizovat pomocí dostupné záplaty,“ uzavřel Bašta.
Jaké systémy jsou zranitelné
6., 7. a 8. generace rodiny procesorů Intel Core
Produktová řada procesorů Intel Xeon E3-1200 v5 a v6
Procesorová řada Intel Xeon Scalable
Procesor Intel Xeon řady W
Rodina procesorů Intel Atom C3000
Apollo Lake procesor Intel Atom řady E3900
Apollo Lake Intel Pentium
Procesory řady Celeron N a J
Počítačové piráty lákají virtuální měny
24.11.2017 Novinky/Bezpečnost Podvod
Počítačové piráty stále častěji lákají nejrůznější virtuální měny, jako jsou například velmi populární bitcoiny. Na rozdíl od klasických bankovních účtů totiž transakce s virtuálními mincemi na internetu nejsou nijak monitorovány, ukradené peníze je tak prakticky nemožné vystopovat.
V minulých měsících se například kyberzločinci zaměřili na uživatele oblíbené směnárny s kybernetickými měnami Poloniex. Snažili se jim podstrčit falešnou aplikaci, díky které získají přístup k jejich účtům. Jejich virtuální mince, které je možné směnit za skutečné peníze, by pak mohli snadno odcizit. Upozornili na to bezpečnostní experti z antivirové společnosti Eset.
Šířily dvě podvodné aplikace
Právě Eset odhalil dvě podvodné aplikace v internetovém obchodě Google play, které byly určeny pro zařízení s operačním systémem Android. Obě se přitom snažily vypadat jako legitimní programy internetové směnárny Poloniex.
Počítačoví piráti se zaměřili na uživatele oblíbené směnárny s kybernetickými měnami Poloniex.
FOTO: repro poloniex.com
Útočníci se tak snažili vylákat od svých obětí přihlašovací údaje, aby získali přístup nejen k účtům na Poloniexu, ale také k e-mailovým schránkám na Gmailu. „Okolo kryptoměn je v současné době hodně rozruchu a počítačoví zločinci se pokoušejí chopit jakékoli nové příležitosti, která se jim naskytne,“ uvedl Miroslav Dvořák, technický ředitel společnosti Eset.
„Ať již v uvozovkách krádeží výpočetního výkonu zařízení uživatelů za účelem těžení kryptoměn přes prohlížeče internetu nebo tím, že infi kují nedostatečně aktualizované počítače. Také se snaží využívat falešné webové stránky a aplikace zaměřené na získávání osobních dat,“ doplnil Dvořák.
Napálily se tisíce lidí
První škodlivá aplikace byla umístěna do Google Play pod jménem „POLONIEX“ a nabízel ji vývojář „Poloniex“. Vtip byl právě v tom, že název falešné aplikace byl napsán velkými písmeny. Od konce srpna do poloviny září si ji nainstalovalo navzdory varovným hodnocením od dalších uživatelů a negativním recenzím na 5000 lidí.
Druhá aplikace „POLONIEX EXCHANGE“ od vývojáře „POLONIEX COMPANY“ se na Google Play objevila 15. října 2017 a zaznamenala 500 stažení, než ji Google na základě oznámení od společnosti Eset odstranil. Také zde byl název falešné aplikace psán velkými písmeny.
Kolik uživatelů nakonec své přihlašovací údaje dalo všanc kyberzločincům a kolik si počítačoví piráti na úkor podvedených lidí vydělali, není v tuto chvíli jasné. Tak velké množství uživatelů se nicméně napálilo patrně kvůli tomu, že Poloniex je jednou z nejvyužívanějších směnáren kryptoměn na světě. Obchodovat je zde možné s více než 100 různými typy virtuálních mincí.
Těžba láká i piráty
Popularitě kybernetických mincí nahrávají stále rostoucí kurzy, ale také fakt, že za pořízení virtuálních mincí nemusí zaplatit ani korunu. Pokud totiž uživatelé mají dostatečně výkonný počítač, mohou si nainstalovat speciální software a s jeho pomocí kryptoměny doslova těžit – tento program totiž používá předem nastavené výpočty, jejich výsledkem je zisk virtuálních mincí. Za ty je pak možné klidně nakupovat prakticky cokoliv.
Jenže právě toho jsou si vědomi také počítačoví piráti. Ti stále častěji instalují podobný software do cizích počítačů místo klasických virů. Podobně zotročené stroje pak kyberzločincům vydělávají peníze, aniž by o tom majitelé počítačů měli ponětí.
A rozhodně nejde o nějaký zanedbatelný počet počítačů. Podle analýzy společnosti AdGuard totiž podvodníci takovýmto způsobem infikovali více než 500 miliónů PC.
Vydělávají velké peníze
Tyto stroje generují útočníkům nemalé peníze. I když přesné odhady nejsou k dispozici, pravděpodobně si ale touto cestou vydělají počítačoví podvodníci podle nejstřízlivějších odhadů několik stovek tisíc korun každý den.
Jak je z řádků výše patrné, virtuálních měn existuje mnoho. Jednou z nejstarších a aktuálně nejpopulárnějších jsou bitcoiny. Ty vznikly už v roce 2009, větší popularitě se ale těší v posledních letech.
Tato měna byla vytvořena tak, aby se nedala ovlivňovat žádnou vládou ani centrální bankou. Kybernetické mince „razí“ síť počítačů se specializovaným softwarem naprogramovaným tak, aby uvolňoval nové mince stabilním, ale stále klesajícím tempem. Počet mincí v oběhu má dosáhnout nakonec 21 miliónů, což má být kolem roku 2140.
Děravý Intel Management Engine lze nahradit minimalistickým Linuxem a Go
24.11.2017 Root.cz Zranitelnosti
Uvnitř procesorů Intel běží skrytě plnohodnotný operační systém včetně síťového stacku a web serveru. Zbavit se ho zcela není možné, ale můžeme ho nahradit něčím minimalistickým a méně děravým.
Už víme, že uvnitř procesorů Intel běží velmi mocný firmware založený na operačním systému MINIX. Už v něm byly nalezeny první vážné bezpečnostní chyby, které mohou vést až k ovládnutí celého počítače na dálku. Není se čemu divit, MINIX není maličký firmware nutný k běhu procesoru, ale plnohodnotný operační systém, který obsahuje například podporu pro IPv4 a IPv6, ovladače, souborový systém nebo třeba web server.
Běží navíc ve velmi privilegovaném režimu, ke kterému nemá běžný operační systém přístup, takže běží zcela skrytě a může provádět prakticky cokoliv za zády uživatele. Není divu, že se uživatelé takové věci ve svém počítači bojí a velké firmy v čele s Googlem se jí snaží zbavit. Protože není snadné takovou věc vypnout, přichází ke slovu jiné řešení: otevřené, minimalistické a postavené na Linuxu.
Proprietární software ve vašem CPU
Detaily celého projektu popsal Ronald Minnich z Google na pražské Embedded Linux Conference Europe. To je člověk, který stojí za vývojem nástroje Coreboot, který byl dříve znám pod názvem LinuxBIOS. Jeho cílem je nahradit uzavřený BIOS v základních deskách něčím otevřeným. Principiálně jde tedy o podobný problém, ale na zcela jiné softwarové vrstvě.
Hlavní problém podle Minnicha je v tom, že Linux ztratil kontrolu nad hardwarem. V 90. letech byl operační systém pánem celého stroje a mohl provádět cokoliv. Dnes jsou mezi ním a hardwarem minimálně další dvě a půl jádra. Mají vyšší práva než operační systém a mohou manipulovat s ním i s hardware. Navíc jsou uzavřená a samozřejmě také úspěšně exploitovatelná.
Co víc, exploity je možné zapsat přímo do paměti v desce, takže zůstávají persistentní a není možné je odstranit. V takovém stavu zbývá jen desku zahodit. Pokud svému počítači věříte, jste šílenci, řekl na své přednášce Minnich. Na vašem procesoru totiž běží ohromné množství proprietárního software, o kterém nevíte téměř nic a nemůžete ho nahradit. Naštěstí existují lidé, kteří pracují na tom, abychom přestali být šílení a získali trochu příčetnosti.
Co mi to tu běží?
Pokud chceme pochopit rozvrstvení operačních systémů ve svém procesoru, musíme se zabývat takzvanými Ringy (kruhy). Ty tvoří jednotlivé vrstvy a dovolují řídit procesy ve vyšších kruzích. Tradičně nejnižším, a tedy hlavním, kruhem býval ten s číslem nula. V něm běží jádro operačního systému, které řídí činnost uživatelského software ve vyšších kruzích – dnes typicky v tom s číslem tři.
Aby bylo možné provozovat jednoduše hardwarovou virtualizaci, přišel do nových procesorů (společně s Intel VT-x a AMD AMD-V) kruh s číslem –1. V něm běží hypervizor, tedy virtualizační hostitel, který si pak založí kruhy nula a v nich spouští běžné operační systémy. Má tedy vyšší privilegia a je pro ně neviditelný.
Ještě nad touto vrstvou pak existuje Ring –2, který se stará o samotný hardware a ke kterému nemají vyšší kruhy vůbec přístup. V něm běží 16bitové mikrojádro SMM starající se o zdroje v CPU a 64bitové UEFI jádro. Tyhle věci se starají o to, aby fungovaly například různé „hardwarové“ funkce počítačů – když třeba zaklapnete displej u notebooku, probudí se právě tyhle kusy software a zajistí třeba uspání.
Tady jsme si dlouho mysleli, že to končí. Ukázalo se ale, že existuje ještě privilegovanější režim označený analogicky jako Ring –3. To je ta věc, které se lidé bojí, říká Minnich. V něm totiž běží další plnohodnotný operační systém postavený na MINIX 3. Jednoduše to shrnuje následující schéma:
Operační systémy ve vašem procesoru
V kruzích –2 a –3 běží různý software, oba ale mají společné to, že se jedná o plnohodnotné operační systémy se spoustou vlastností: IPv4 a IPv6 stack, souborové systémy, ovladače pro různá zařízení (USB, disky, síťové karty a další) a také třeba web servery. Intel Management Engine (dále jen ME) totiž potřebuje znát souborový systém, protože může být použit k dálkovému přepsání operačního systému na disku. Jak Ronald Minnich připomíná, je možné to udělat i s vypnutým počítačem – pokud je zapojen v zásuvce a v síti.
Všude samá díra
Uvnitř navíc běží spousta komponent, jejichž smyslu nerozumíme. Mají rozličné názvy jako „full network manageability“, „regular network manageability“, „manageability“ a „outbreak containment heuristic“. Už v roce 2010 bylo ukázáno, že většina těchto komponent má bezpečnostní mezery [PDF] a část chyb stále ještě není opravená.
Že je to realita ukázal Intel na začátku roku, kdy opravil sedm let starou díru. Ta umožňovala na dálku do webového serveru v ME poslat heslo o nulové délce a získat plný přístup k dálkové správě počítače. Intel sice tvrdí, že nezaznamenal žádné pokusy o zneužití, ale v praxi je těžké uhlídat miliardu procesorů a není možné sledovat provoz všude. Navíc při takovém množství nikdy nebudou záplatovány všechny systémy.
O úroveň výše běží už zmíněný SMM, který původně sloužil ke správě napájení u starých systému s DOS. Přebírá od operačního systému řízení v případě, že přijde některá ze zajímavých událostí (SMI). Zajímavé je, že jakmile je SMM aktivován, už není možné jej vypnout. Ukousne si 8 MB systémové paměti, do které přestane vidět operační systém. Navíc pro něj existuje celá řada exploitů.
Ve stejném kruhu běží ještě zmíněné UEFI, což je prý extrémně komplexní kernel, pro nějž dopisují funkce jednotliví dodavatelé počítačů. Podle Minnicha ovšem jejich programátoři úplně dobře nerozumí všem pravidlům takového kódu, proto dělají chyby. Výsledkem je, že jsou tam obrovské gigantické díry, kterými je dovnitř možné dostat exploit. Těch existuje velké množství, navíc UEFI aktualizuje sám sebe, takže je možné vytvořit perzistentní malware, který se usídlí uvnitř UEFI a bude se při dalších pokusech o aktualizace tvářit, že všechno funguje správně.
Komponenty UEFI
Jak to celé opravíme?
Co s takovou bezpečnostní noční můrou můžeme dělat? Přejít na AMD není řešením, protože i tam existují uzavřené části, do kterých nevidíme. Vznikl proto projekt, který se snaží minimalizovat privilegovaný software uvnitř procesoru, aby ubylo kódu, snížilo se riziko bezpečnostních děr a omezily se schopnosti těchto potenciálně děravých firmwarů.
Výsledkem je projekt s názvem Non-Extensible Reduced Firmware, neboli nerozšiřitelný zmenšený firmware, zkráceně NERF. Nerozšiřitelný je, protože se vývojáři domnívají, že právě rozšiřitelnost je hlavním problémem originálního software.
Hlavním cílem je udělat minimální firmware, se kterým by počítač správně bootoval a fungoval. Zároveň s tím přichází podstatně větší otevřenost a možnost kdykoliv velmi rychle opravit případné chyby. Prakticky je to realizováno tak, že z původního firmware jsou odstraněny téměř všechny komponenty – zrušit ME úplně není možné, počítač by bez něj nenabootoval a pokud už ano, za 30 minut by se sám vypnul. Dobrou zprávou ale je, že většinu komponent ME je možné odstranit.
Vznikla proto velmi okleštěná náhrada, která nebude obsahovat web server, síťové stacky a ovladače hardware. Standardní ME zabírá 5 MB z integrované 8MB flash paměti, ale tuto velikost se podařilo redukovat na pouhých 300 KB. Kromě toho jsou z ME a UEFI odstraněny také schopnosti vlastní aktualizace, takže o případné flashování se postará sám NERF.
Nad vším sedí Linux
NERF se skládá z několika částí: osekanou ME ROM, minimalizovanou UEFI ROM a vypnutým SMM. Nad tím vším sedí linuxové jádro s uživatelským prostředím napsaným v Go (u-root). Neexistuje příliš mnoho důvodů proč mít SMM zapnuté, pokud by však některá z jeho funkcí byla v budoucnu potřeba, dokáže ji zastat Linux.
Během bootu počítače nejprve proběhnou dvě fáze (security neboli SEC a pre-EFI initialization čili PEI), které jsou kompletně proprietární a jejich funkce nebudou nikdy zveřejněny. Poté ale už nastupuje driver execution environment (DXE), což je naopak dobře dokumentovaná funkce starající se například o výběr operačního systému a jeho zavedení. O tuto část už se může postarat integrované linuxové jádro.
Některé části svázané přímo s hardwarem pravděpodobně nebudeme schopni nikdy nahradit, ale cílem je hlavně vyměnit ty velké komplexní komponenty, které ukrývají nejvíce bezpečnostních děr a jsou proto největším problémem. V tuto chvíli už je možné NERF sestavit a nabootovat, zatím je nejlepších výsledků dosahováno na serverech od firem Dell, MinowMax a OCP nodech.
Použití tohoto alternativního firmware také dovoluje výrazně zjednodušit správu. Zatímco v případě UEFI je nutné mít pro každý hardware jiné sestavení, použití univerzálního linuxového jádra většinu těchto problému ruší. Samozřejmě se předpokládá, že budou prováděny různá jádra pro různé systémy, ale už teď se daří startovat stejný firmware na malých deskách MinnowMax i na velkých OCP systémech.
Uživatelská část celého firmware je napsána v jazyce Go, který je bezpečnější než čisté C, takže lze předpokládat menší množství bezpečnostních děr. Výsledkem je 5,9MB initramfs, který obsahuje kompletní kód, kompilátor i toolchain. Jednotlivé funkce se kompilují až při použití, což zabere asi 200 ms. Podle Minnicha je to dobré proto, že je kód stále k dispozici v otevřené podobě vhodné k auditu.
Pro případy, kdyby ve flash paměti nebylo dost místa nebo by procesor byl na kompilaci příliš pomalý, je možné použít režim u-root, který je podobný BusyBoxu. Jde také o jednu velkou binárku, na kterou jsou nalinkovány jednotlivé názvy příkazů. V tomto formátu má pak celý userspace jen 2 MB a jeho provoz je velmi rychlý i na pomalých strojích. Protože je celý software velmi malý a jednoúčelový, zkracuje také dobu bootu celého počítače.
Ronald Minnich předpokládá, že se první počítače s NERF a u-root objeví už v roce 2018. Firmy chtějí používat firmware, kterému rozumí. Chtějí také bootovat rychle a bezpečně, říká Minnich.
Intel potvrzuje: v Management Engine jsou vážné bezpečnostní díry
23.11.2017 Root.cz Zranitelnosti
Intel potvrdil, že bezpečnostní audit provedený na jeho procesorech odhalil vážné bezpečnostní hrozby. Ty mohou vést až ke spuštění cizího nepodepsaného kódu hluboko v procesoru, kde na něj operační systém nevidí.
Když pánové Maxim Goryachy a Mark Ermolov ze společnosti Positive Technologies oznámili, že na prosincové konferenci Black Hat odhalí bezpečnostní slabiny v procesorech Intel, nechal jejich výrobce udělat velký audit technologií Intel Management Engine (ME), Intel Trusted Execution Engine (TXE) a Intel Server Platform Services (SPS).
Výsledkem je objevení většího množství bezpečnostních chyb uvnitř firmware, který běží na novějších procesorech. V těch je hluboko (ring –3) ukrytý operační systém MINIX, který provádí spoustu činností a dovoluje počítač spravovat na dálku. Goryachy a Ermolov tvrdí, že jimi objevené chyby dokáží ovládnout počítač i ve vypnutém stavu.
Problém přitom postihuje poměrně širokou škálu procesorů, konkrétně těch s firmwarem ME verzí 11.0, 11.5, 11.6, 11.7, 11.10 a 11.20, firmware SPS verze 4.0 a TXE verze 3.0. Verze jednotlivých komponent je obvykle možné najít v BIOS/UEFI, kde pravděpodobně najdete jen jednu z těchto technologií.
ME je možné najít na klientských stanicích a levných serverech bez samostatného řídicího rozhraní (IPMI). SPS je pak přítomno ve velkých serverech s tímto rozhraním a TXE je určeno především pro tablety a zařízení s nízkým příkonem.
Nebezpečné rozhraní je možné najít na následujících procesorech:
6th, 7th & 8th Generation Intel® Core™ Processor Family
Intel® Xeon® Processor E3–1200 v5 & v6 Product Family
Intel® Xeon® Processor Scalable Family
Intel® Xeon® Processor W Family
Intel® Atom® C3000 Processor Family
Apollo Lake Intel® Atom Processor E3900 series
Apollo Lake Intel® Pentium™
Celeron™ N and J series Processors
Podle Intelu je možné chyby zneužít k lokálnímu napadení počítače a spuštění libovolného kódu mimo dosah uživatele a operačního systému. Je také možné zhoršit stabilitu počítače nebo způsobit pád operačního systému.
Intel vydal testovací utilitu pro Linux a Windows, která prozkoumá váš hardware a software a pomůže vám odhalit bezpečnostní problémy v konkrétním počítači.
Výrobci už začali vydávat aktualizace firmware : Dell Client, Dell Server, Intel® NUC, Intel® Compute Stick a Intel® Compute (stránka podpory Intel), Lenovo. Oprava spočívá v aktualizaci BIOS/UEFI, který se při startu postará o nahrání opraveného firmware do procesoru.
Více informací zatím k dispozici není, podle Intelu jde o proaktivní řešení, které má za cíl významně zlepšit bezpečnost. Detaily budeme pravděpodobně znát až po konferenci Black Hat, zatím jen víme, že je ohroženo poměrně velké množství počítačů nejrůznějších typů a určení, protože v nich běží proecsory Intel.
Matthew Garrett
@mjg59
Thoughts on the latest Intel ME vulnerabilities: based on public information, we have no real idea how serious this is yet. It could be fairly harmless, it could be a giant deal.
11:01 PM - Nov 20, 2017
7 7 Replies 158 158 Retweets 201 201 likes
Twitter Ads info and privacy
Dobrou zprávou je, že podle dostupných informací je ke zneužití chyb potřeba mít fyzický přístup k počítači. Intel ale poznamenává, že teoreticky může přijít nový vektor útoku, který dovolí zaútočit s administrátorskými právy v operačním systému. Vzhledem k tomu, že některé zde zmíněné problémy dovolují si práva navýšit, je možné, že bude stačit běžný uživatelský účet, ze kterého pak povede cesta dál.
Hostingu Czechia od firmy ZONER unikly přihlašovací údaje zákazníků
22.11.2017 Lupa.cz Incidenty
Brněnský hosting Czechia.com, který patří pod firmu ZONER, oznámil únik dat svých zákazníků. Šlo o přihlašovací údaje k e-mailovým schránkám a webhostingovým službám. Jak velké části klientů se problém týkal, firma zatím nezveřejnila. Únik se týká i slovenské hostingovky Slovaknet, která také patří pod ZONER. Případ vyšetřuje policie.
Podle vyjádření firmy únik zřejmě souvisí s pokusem zaměstnance jednoho ze zákazníků o průnik na backend hostingu:
Koncem roku 2013 jsme zjistili podezřelou aktivitu na dedikovaném serveru jednoho z našich zákazníků. Na základě provedené analýzy jsme konstatovali pokus o útok na náš backend zaměstnancem daného zákazníka, ale neměli jsme žádné indicie nebo důkazy o tom, že by se udál závažný bezpečnostní incident a došlo k ukradení jakýchkoliv dat. … V letošním roce jsme zjistili, že bezpečnostní incident související s podezřelou aktivitou na zákaznickém serveru znamenal únik dat (v podobě, která neumožňuje jejich přímé zneužití). Okamžitě jsme Policii ČR podali trestní oznámení a bylo zahájeno vyšetřování. Současně Policie ČR učinila opatření vedoucí k ochraně zcizených dat a zamezila dalšímu přístupu k nim.
V uniklých datech podle firmy nebyly žádné osobní údaje a uniklá hesla byla zahashována algoritmem SHA-1. Podle firmy to znamená, že je nejde jednoduše prolomit, což je ale přinejmenším hodně optimistické tvrzení (o relativní snadnosti prolamování zahashovaných hesel podrobněji čtěte v Jak jsem crackoval hesla z úniku Mall.cz bezpečnostního experta Michala Špačka).
„Nezaznamenali jsme masové pokusy o zneužití uniklých dat,“ tvrdí ZONER. Údaje ze seznamu uniklých dat podle firmy momentálně stále používá asi 7 % zákaznických účtů. Firma podle svých slov dotyčné zákazníky kontaktuje a pomáhá jim údaje změnit.
Firmě jsme poslali řadu doplňujících dotazů, do textu je doplníme, jakmile dostaneme odpovědi.
Uber tajil masivní únik 57 milionů záznamů. Hackerům zaplatil za mlčení
22.11.2017 Živě.cz Incidenty
Bývalý šéf Uberu chtěl ututlat závažný únik dat. Bál se poškození pověsti Uberu a zabezpečení jeho služeb. Nyní se případ provalil. Před rokem hackeři ze serverů Uberu odcizili údaje o 57 milionech zákazníků a o 600 tisících řidičů Uberu.Vnik do databáze byl možný kvůli chybě administrátorů, kteří přístupové údaje omylem zveřejnili na GitHubuBývalé vedení dvěma hackerům zaplatilo 100 tisíc dolarů za mlčenlivost a smazání získaných dat. Nový šéf Uberu Dara Khosrowshahi útok oznámil. Omluvil se a ujistil zákazníky i řidiče, že podle analýz nedošlo k žádnému zneužití uniklých dat.
Společnost Uber, která provozuje stejnojmennou platformu pro sdílení jízd, se stala v roce 2016 terčem kybernetických útočníků. Ze serverů odcizili údaje o 57 milionech zákazníků a o 600 tisících řidičů Uberu. Předchozí výkonný ředitel však celý incident utajil a informace vyplavaly na povrch až nyní. Upozornil na to CNet.
Nový šéf Uberu Dara Khosrowshahi včera vydal prohlášení, ve kterém uvedl, že firma zaznamenala neoprávněný vstup do systému v listopadu 2016. Podle výsledků vyšetřování začaly útoky už o měsíc dříve.
Hackeři za tento čas stihli získat databázi obsahující 57 milionů záznamů o zákaznících, mezi nimiž figurují jména, e-mailové adresy a telefonní čísla. Kromě toho uniklo i 600 tisíc čísel řidičských průkazů patřících řidičům ze Spojených států.
Ostatní informace, jakými jsou například historie polohy, čísla platebních karet a bankovních účtů, data narození či čísla sociálního zabezpečení, prý zločinci nezískali.
Přístupové údaje na GitHubu
Khosrowshahi navíc přiblížil i to, jak k útokům došlo. Podle jeho slov nebyla zneužita žádná bezpečnostní slabina v podnikovém systému, ani v infrastruktuře. Problémem bylo pravděpodobně selhání jednotlivce, který neúmyslně uložil administrátorská data do cloudové služby třetí strany.
Bezpečnostní společnost Sophos byla konkrétnější a na svém webu uvedla , že vývojáři Uberu vložili na GitHub spolu se zdrojovými kódy i přístupové pověření k serverům. Hackeři to zřejmě zjistili, a tak využili příležitosti. Server byl spuštěn v cloudové službě Amazon Web Services (AWS), na kterém se nacházely databáze s osobními údaji.
Útočníci si vydělali
Podobný typ úniku uživatelských dat není v současnosti ničím neobvyklým. Tento se však liší v tom, jak se tehdejší vedení Uberu k bezpečnostnímu incidentu postavilo. Útok se snažilo utajit a dvojici hackerů zaplatili 100 tisíc amerických dolarů za to, že odcizenou databázi odstraní. Firma následně sepsala s útočníky dohodu o utajení a celý incident byl zamaskovaný jako součást programu Bug Bounty (vyplácení odměn za nalezení chyb).
V souvislosti s uvedenou kauzou bylo propuštěno i několik zaměstnanců, kteří na ní měli největší podíl. Konkrétně má jít o ředitele počítačové bezpečnosti, jeho zástupce a právníka.
Uber ujišťuje všechny uživatele a řidičů, že aktuálně neexistuje žádný důkaz o zneužití uniklých dat. Přesto byli řidiči zapojeni do programu, který je má ochránit před úvěrovými podvody a před odcizením identity.
Uber má problém: útočníci mu ukradli data uživatelů a firma to zkusila zatajit
22.11.2017 Lupa.cz Kriminalita
První špatná zpráva zní, že se útočníci koncem roku 2016 dostali k datům 57 milionů zákazníků a řidičů dopravní firmy Uber. Je tu ale druhá, ještě mnohem horší novina: Uber se tento incident pokusil před zákazníky i regulačními úřady skrýt a nikoho o to neinformoval. Za mlčení dokonce útočníkům zaplatila 100 tisíc dolarů.
Uber teď únik potvrdil na svém blogu. „Postiženy byly účty cestujících po celém světě. Konkrétně nám unikla jména, e-mailové adresy a čísla na mobil. Naši externí forenzní experti nezjistili, že by došlo taky k úniku záznamů o poloze, čísel platebních karet, čísel bankovních účtů, čísel sociálního zabezpečení nebo dat narozen,“ informuje dnes.
Nedávno jmenovaná nová ředitelka Uberu Dara Khosrowshahi k tomu dodává, že za únikem stojí dva lidé, kteří v roce 2016 získali přístup k databázi uložené v cloudovém úložišti třetí strany, které Uber používá. Útočníci se tak dostali mimo jiné ke jménům a číslům řidičských průkazů asi 600 tisíc řidičů Uberu v USA. A také ke kontaktním údajům zmíněných 57 milionů uživatelů.
Jak to konkrétně proběhlo? Podle agentury Bloomberg se dva lidé dostali na soukromou stránku Uberu na GitHubu, kterou používají vývojáři Uberu (firma neupřesnila, jak k ní získlai přístup, GitHub prý nicméně vylučuje, že by došlo k narušení jeho bezpečnosti).
Na GitHubu dva útočníci získali přihlašovací údaje do cloudové služby Amazonu, kterou firma používala. A v cloudu pak našli zmíněnou databázi s informacemi o uživatelích a řidičích. Podle Uberu pak měli firmě poslat e-mail, ve kterém žádali peníze. Uber se pak s nimi domluvil, že ukradená data smažou, a za to že budou o incidentu mlčet, jim zaplatil 100 tisíc dolarů.
Hackeři ukradli Uberu data 57 miliónů zákazníků a řidičů
22.11.2017 Novinky/Bezpečnost Kriminalita
Hackeři loni v říjnu ukradli alternativní taxislužbě Uber data 50 miliónů zákazníků a sedmi miliónů řidičů. V úterý místního času (v noci na středu SELČ) to oznámil šéf Uberu Dara Khosrowshahi s tím, že se to dozvěděl teprve nedávno. Incident přitom společnost rok tajila a hackerům zaplatila 100 000 dolarů (asi 2,2 miliónu korun), aby data vymazali a o útoku mlčeli, napsala agentura Bloomberg.
„Nic z toho se nemělo stát a já to nebudu omlouvat,” uvedl Khosrowshahi, který se generálním ředitelem Uberu stal letos v září. „Měníme způsob našeho podnikání,” dodal.
Ukradená data zahrnují jména zákazníků, jejich adresy, mobilní telefony a e-mailové adresy. V případě řidičů útočníci získali i jejich řidičské průkazy a další informace. Uber nicméně ujišťuje, že neunikla čísla platebních a kreditních karet, bankovních účtů, data narození, místa jízdy nebo čísla sociálních pojistek.
Khosrowshahi uvedl, že podle zjištění firmy se k datům uloženým na cloudových serverech jiné společnosti využívaných Uberem dostali dva útočníci. Ti podle něj nepronikli do firemního systému a datové infrastruktury Uberu.
Společnost ihned podnikla bezpečnostní opatření, útočníky identifikovala a získala od nich ujištění, že ukradená data byla zničena, uvedl Khosrowshahi.
Jaké triky zkoušejí počítačoví piráti před Vánocemi
22.11.2017 Novinky/Bezpečnost Kriminalita
Nejdůležitějším obdobím v roce jsou pro kybernetické zločince Vánoce. Před samotnými svátky jde totiž často obezřetnost stranou a lidé jsou schopni se nachytat i na nejrůznější phishingové podvody, kterých by si za jiných okolností všimli.
Viry se maskují
Internetem kolují aktuálně desetitisíce nejrůznějších virů. Ty dokážou odposlouchávat uživatele na dálku, monitorovat jeho práci, ale klidně i šikovně obejít ověřovací mechanismy v internetovém bankovnictví.
Takové nezvané návštěvníky bylo možné v počítači ještě před pár lety rozeznat, protože první škodlivé programy byly naprogramovány tak, aby mazaly data, nebo dokonce zablokovaly celý operační systém.
Moderní viry se ale snaží zůstat co nejdéle v anonymitě a potají otevírají zadní vrátka pro kybernetického útočníka.
Odhalit takové smetí pomáhají programy, z nichž každý se specializuje na něco jiného. Některé si dovedou poradit s trojskými koni či spywarem, další zase detekují takzvané keyloggery (programy zaznamenávající stisk kláves).
Cena takovýchto aplikací se zpravidla pohybuje od 500 do několika tisíc korun. Vedle toho ale existují také bezplatné alternativy, které nejčastěji firmy nabízejí pouze k vyzkoušení a zaplatit chtějí až za pokročilejší verzi. Ale i proto, aby v nich mohly zobrazovat reklamu a tím vydělávat peníze.
Výsledky testů bezplatných a placených aplikací se různí, v některých dokonce zdarma dostupné aplikace vyhrávají nad placenými.
Na PC by měl být nainstalován vždy jen jeden bezpečnostní program svého druhu. Dva antiviry na disku dokážou udělat pěknou neplechu. Totéž platí také o firewallech i antispywarech.
Dnes 10:09
Scénáře phishingových útoků jsou si velmi podobné. Podvodníci lákají na předvánoční půjčky či na slevy elektroniky a šperků – od uživatelů se snaží vylákat hotovost, stejně jako jejich citlivé údaje, které pak na černém trhu velkou cenu.
Velké oblibě se mezi kyberzločinci těší také slevové kupóny. Na podvodných stránkách se často objevuje možnost bezplatného získání kupónu, pokud se uživatel zaregistruje. Místo skutečné slevy ale lidé v podobných případech pouze riskují zneužití svých osobních údajů.
E-mailová schránka bude smazána
Počítačoví piráti se snaží zaskočit uživatele novým trikem. Internetem se začala šířit podvodná zpráva, ve které kyberzločinci uživatelům vyhrožují, že jejich e-mailová schránka bude smazána. E-mail je psán anglicky, ale distribuován již byl podle informací Novinek také mezi české uživatele.
Na první pohled se může zdát, že tato zpráva byla automaticky vygenerována kancelářským balíkem Microsoft Office. Právě na to ale počítačoví piráti sázejí – že se uživatelé leknou loga amerického softwarového gigantu a na trik jim skočí.
Ukázka podvodného e-mailu
FOTO: Novinky
Ve zprávě se totiž píše, že heslo k e-mailovému účtu uživatele bylo kompromitováno. A proto bude celá e-mailová schránka smazána. Jedinou možností, jak tomu zabránit, je údajně ověřit poštovní schránku pomocí přiloženého odkazu.
Jde ale samozřejmě o klasickou phishingovou zprávu, počítačoví piráti totiž doslova loví důvěřivé uživatele na udičku jako ryby. Prostřednictvím podvodného odkazu se z nich snaží vylákat skutečné přihlašovací údaje k jejich e-mailové schránce.
Ty mají totiž na černém trhu doslova cenu zlata. Na e-maily jednotlivých uživatelů jsou totiž velmi často napojeny další internetové služby – například nejrůznější sociál ní sítě, ale v některých případech klidně i bankovní účty.
Trojský kůň změní PIN a zašifruje data
Na chytré telefony s operačním systémem Android cílí trojský kůň zvaný DoubleLocker, před kterým varovala antivirová společnost Eset. Ta upozornila, že tento nezvaný návštěvník dokáže změnit na mobilním zařízení přístupový PIN kód a navíc ještě zašifrovat uložená data. Za jejich zpřístupnění pak požaduje výkupné.
DoubleLocker se tedy na napadeném zařízení chová úplně stejně jako vyděračské viry, které jsou označovány souhrnným názvem ransomware.
„DoubleLocker zneužívá služby Android Accessibility, což je oblíbený trik mezi kybernetickými zločinci.
Trojský kůň změní PIN a zašifruje data.
FOTO: Mario Anzuoni, Reuters
Jakmile je podvodná aplikace spuštěna, zažádá si o aktivaci služby zpřístupnění, která se v tomto případě vydává za aplikaci Google Play Service,“ přiblížili bezpečnostní experti útok škodlivého kódu.
Problém nastane ve chvíli, kdy uživatel na svém zařízení potvrdí aktivaci této služby. Útočník tak totiž získá administrátorská práva k zařízení, tedy jinými slovy může s napadeným přístrojem dělat na dálku prakticky cokoliv.
Podle bezpečnostních expertů se tento malware šíří především v Evropě a Turecku. Konkrétně byl jeho výskyt zaznamenán v Polsku a Německu, ojediněle pak v Bělorusku a Estonsku. Uživatele v České republice zatím nenapadl.
Bankovní účty pod palbou počítačových pirátů
Počítačoví piráti neustále hledají cesty, jak se dostat na cizí bankovní účty. Tentokrát to zkoušejí přes zasílání zabezpečené zprávy uživatelům. Samozřejmě jde ale o podvod. Před novým typem útoku varovala Česká spořitelna.
Phishingový útok, při kterém počítačoví piráti doslova loví důvěřivé uživatele na udičku jako ryby, cílí právě na klienty spořitelny. Jeho cílem je vylákat přihlašovací údaje k internetovému bankovnictví, tedy ke službě Servis 24.
Podvodné bankovnictví imitující službu Servis24.
FOTO: Česká spořitelna
„Vy máte nové zprávy on-line. Chcete-li zobrazit svou zabezpečenou zprávu, přihlaste se do služby Internetového bankovnictví,“ tvrdí podvodníci vydávající se za bankéře v e-mailu, který v posledních dnech koluje českým internetem.
Pozornější uživatelé si na první pohled mohou všimnout, že zpráva je psaná s chybami a některá slova jsou dokonce špatně vyskloňovaná. Odkaz v e-mailu navíc nevede na oficiální stránky služby Servis 24, nýbrž na podvodný web, což je patrné z adresního řádku.
Po přihlášení kyberzločinci důvěřivcům tvrdí, že je potřeba aktualizovat kontaktní informace – právě to měla být ona důležitá zpráva. Pokud to důvěřivci skutečně udělají, jsou již jen krůček od vybílení bankovního účtu. Se znalostí telefonního čísla je totiž pro podvodníky hračkou vylákat od lidí potvrzovací SMS zprávu, pomocí které mohou například provádět peněžní transakce. V ohrožení jsou přitom i jedinci, kteří nemají na bankovním účtu příliš mnoho financí. Útočníci mohou touto cestou sjednat bez vědomí majitele klidně i půjčku. A tyto peníze následně vyberou.
Chytré spotřebiče mohou napadnout hackeři
Trouby, lednice, pračky, klimatizace, ale například také inteligentní vysavače – všechna tato zařízení se dnes dají připojit na dálku ke smartphonu. Bezpečnostní společnost Check Point však nyní objevila závažnou zranitelnost v chytrých domácích spotřebičích od LG, které mohou snadno zneužít počítačoví piráti. Spotřebiče jednoduše ovládnou na dálku.
Bezpečnostní chybu obsahovala obslužná mobilní aplikace LG SmartThinQ.
FOTO: archív výrobce
Chyba se týká obslužné aplikace LG SmartThinQ, kterou k ovládání svých chytrých spotřebičů používají milióny lidí z různých koutů světa. „Zranitelnost v této mobilní a cloudové aplikaci umožnila výzkumnému týmu společnosti Check Point přihlásit se vzdáleně do cloudové aplikace SmartThinQ, převzít kontrolu nad uživatelským účtem LG a získat kontrolu nad vysavačem a jeho integrovanou videokamerou,“ uvedl Oded Vanunu, ředitel výzkumu produktových zranitelností ve společnosti Check Point.
„Jakmile dojde k převzetí kontroly nad konkrétním účtem LG, jakékoli LG zařízení propojené s daným účtem může být ovládáno útočníky – včetně robotických vysavačů, ledniček, trub, praček, sušiček a klimatizací,“ zdůraznil Vanunu. Zranitelnost HomeHack umožňuje útočníkům například špehovat domácnost uživatelů prostřednictvím videokamery v robotickém vysavači. Útočníci mohou také ovládat jakékoliv zařízení LG SmartThinQ, například vypínat a zapínat myčky na nádobí, pračky atd.
V současnosti je již k dispozici aktualizace, která bezpečnostní chybu aplikace LG SmartThinQ opravuje. V ohrožení jsou nicméně stále uživatelé, kteří používají starší verzi aplikace od LG. Bezpečná je podle zástupců výrobce verze 1.9.20 a novější.
Google sbírá informace o poloze uživatelů Androidu – i když to zakážete
22.11.2017 SecurityWorld Mobilní
Většina lidí už dnes dobře ví, že mobilní telefony aktivně sledují jejich polohu. Co když však vypnete veškeré služby na určování polohy, nepoužíváte žádné aplikace a nemáte v mobilu ani SIM kartu?
Nesejde na tom. Chytré telefony s Androidem přesto sbírají údaje o vaší poloze a po připojení na internet je odesílají Googlu. Tuto velmi kontroverzní skutečnost odhalil server Quartz.
Od začátku roku 2017 sbírají zařízení s Androidem fyzické adresy nejbližších mobilních stanic – i přes vypnutou možnost sbírání polohových dat v mobilu – a informace odesílají Googlu. Google tak má nepřetržitý přístup k poloze uživatelů i přes faktický zákaz sběru těchto dat.
Quartz ohledně této věci Google kontaktoval, firma sběr dat potvrdila.
Dále však prostřednictvím svého mluvčího uvedla, že informace nebyly ukládány nebo jinak využity – pouze se odesílala v rámci získávání dat týkajících se takzvaných push notifikací a zpráv, které na telefonech uživatelů vyskakují. Po kontaktování Quartzem hodlá firma své metody aktualizovat a změnit tak, aby k odesílání polohových dat přes zákaz uživatele nedocházelo. Eliminace zběru polohových dat má nastat na konci listopadu.
„V lednu jsme v zájmu zrychlení odesílání zpráv začali testovat sběr a využívání identifikačních kódů mobilních stanic,“ popsal v e-mailu Quartzu mluvčí Googlu. „Nikdy jsme však tuto metodu neintegrovali do našeho síťového synchronizačního systému, takže dat jsme se okamžitě zbavovali. Nově už navíc nebudou naše služby identifikační kódy blízkých mobilních stanic zjišťovat.“
Vzhledem k blížící se regulaci GDPR a zvyšujícímu se tlaku na ochranu soukromí uživatelů je podobná praxe Googlu absolutně nepochopitelná. Odesílání informací o poloze uživatele i přes vypnutí této funkce svědčí o velkém sebevědomí amerického giganta a nulovou starost o soukromí zákazníka.
Řešit podobné problémy však budou evropští zákazníci už jen několik měsíců. Chystané GDPR má výrazně změnit způsob, jakým firmy s údaji uživatelů zacházejí i jak je ukládají; je nejasné, jak se k regulaci postaví největší firmy například z oblasti IT nebo finančnictví, neboť nařízení se týkají i mimoevropských subjektů, které však s daty uživatelů z EU jakkoli manipulují.
Kyberzločinci ukradli virtuální mince za více než 675 miliónů korun
21.11.2017 Novinky/Bezpečnost Kriminalita
Na více než 675 miliónů korun si přišli počítačoví piráti, kteří odcizili virtuální mince tether, které jsou konkurencí bitcoinů. Pikantní na tom je, že je kyberzločinci ukradli přímo ze společnosti Tether Treasury, jež má na starosti správu měny tether a vydávání nových mincí.
Ke krádeži stamiliónů ve virtuálních mincích mělo dojít už minulý týden v neděli. Zástupci podniku to ale oficiálně oznámili až v noci na úterý. Detaily o samotném útoku zatím nejsou k dispozici.
Webové stránky společnosti Tether Treasury jsou od samotného útoku nedostupné.
Krádež řeší policie
Případem by se měla již zabývat policie. Vyšetřovatelé ale zatím neprozradili, zda mají nějaké stopy. Známá by však měla být podle serveru TechCrunch adresa virtuální peněženky, kam útočníci všechny odcizené peníze poslali.
Je nicméně velmi nepravděpodobné, že by se je podařilo vypátrat. Samotné peněženky totiž nejsou registrovány na konkrétní uživatele a monitorovány nejsou ani vklady či výběry, všechny transakce probíhají anonymně.
Tether patří mezi dvacet nejpopulárnějších virtuálních měn. Jedna virtuální mince má hodnotu zhruba 21 korun. V oběhu jsou aktuálně mince s hodnotou přesahující 14 miliard korun.
Desetiletý chlapec překonal zabezpečení iPhonu X. A šlo to snadno
21.11.2017 Novinky/Bezpečnost Apple
Apple se chlubí, že u nejnovějšího iPhonu X používá nejsofistikovanější systém zabezpečení v celé historii jablečných smartphonů. Dokonce se zástupci podniku chlubí, že neexistuje sebemenší šance, že přístroj odemkne někdo neoprávněně. Jenže přesně to se teď podařilo teprve desetiletému chlapci. A nemusel se ani moc snažit.
Nový iPhone X nemá na rozdíl od ostatních nabízených iPhonů zabudovanou čtečku otisků prstů. Místo toho využívá funkci zvanou Face ID, kdy uživatel přístroj odemkne pomocí přední kamery. Ta využívá technologii TrueDepth Camera System a dokáže rozeznat přesné rysy obličeje, díky kterým přístroj následně odemkne.
Zástupci Applu při oficiální prezentaci nejnovějšího modelu uvedli, že toto řešení je nejen pohodlnější, ale zároveň také bezpečnější než čtečka otisků prstů.
MJF LIFE & HEALTH
@MJF_Life_Health
One of Staten Islands own hacks new I Phone facial recognition.
Pretty Impressive at 10 years old!
Ammar Malik... http://fb.me/2tsf8jXzm
3:33 PM - Nov 19, 2017
10-year-old Staten Island boy hacks iPhone X facial recognition
STATEN ISLAND — A 10-year-old boy has been able to hack the Face ID on each of his parents’ new iPhone X. Ammar Malik showed he can go toe-to-toe with some of the world’s best hackers. "I was pretty...
pix11.com
Replies Retweets likes
Twitter Ads info and privacy
Desetiletý Ammar Malik se svou matkou
Jenže to v praxi není tak úplně pravda. Na vlastní kůži se o tom přesvědčili rodiče desetiletého Ammara Malika. Ten opakovaně odemkl iPhone X své matky – a to dokonce i poté, co matka znovu zaregistrovala v jablečném zařízení svoji tvář, aby přístroj bezpečně poznal pouze ji.
Úplně stejně vyšel test také v případě, kdy se Ammar snažil odemknout přístroj svého otce. Rysy jeho obličeje se zkrátka velmi podobaly rysům jeho rodičů a přístroj od společnosti Apple si s tím nedokázal poradit. A nutno podotknout, že to by se se čtečkou otisků prstů rozhodně nestalo.
Stejný problém u dvojčat
Podobný problém již mimochodem dříve hlásila také identická dvojčata, která si mohou iPhone X také odemykat navzájem mezi sebou, i když by to – podle dřívějšího vyjádření amerického počítačového gigantu – nemělo být možné.
IPhone X je aktuálně nejdražším chytrým telefonem v nabídce Applu. A dokonce to platí i při pohledu do celé desetileté historie smartphonů s logem nakousnutého jablka.
Základní model nabídne 64GB paměť a bude se v tuzemských obchodech podle oficiálních informací Applu nabízet za 29 990 Kč. Provedení s 256GB pamětí však bude citelně dražší. Případní zájemci za něj zaplatí 34 490 Kč.
Apple iPhone X
FOTO: Thomas Peter, Reuters
Apple iPhone X
Seznam Email bude bezpečnější. Konečně přijde dvoufázové ověření
21.11.2017 CNEWS.cz Bezpečnost
Na facebookové stránce služby Mapy.cz se objevila velmi důležitá informace. Seznam po letech nečinnosti konečně zvýší zabezpečení účtů. V „dohledné době“ by měl nasadit dvoufázové ověření, tedy další stupeň ochrany postavený za heslem.
Již to znáte z bankovních účtů nebo velkých zahraničních služeb. U Googlu, Microsoftu, Applu, Facebooku, Paypalu, Steamu apod. si můžete nastavit, že k přihlášení vám nebude stačit je jméno a heslo, ale i další prvek. Hardwarový klíč nebo častěji kód vygenerovaný v aplikaci na mobilu či doručený pomocí SMS. Pokud někdo získá vaše heslo, bez onoho druhého stupně mu bude k ničemu.
TIP: Velký seznam všech služeb s podporou tzv. 2FA najdete na twofactorauth.org.
Zatím není jasné, jaký typ 2FA bude Seznam podporovat. Aktuálně umožňuje „zabezpečit“ účet telefonním číslem, pomocí něhož ale lze pouze zpřístupnit účet se zapomenutým heslem.
Ověření účtu na Seznamu pomocí telefonního čísla
Na Seznamu je podle posledních známých informací zaregistrováno 21 milionů účtů, z toho 8 milionů je aktivních alespoň jednou za měsíc. Stejný účet se používá k e-mailu i dalším službám jako Mapy.cz, Firmy.cz, TV Program, Lidé.cz apod.
Certifikační autorita StartCom ukončí svou činnost s koncem roku
21.11.2017 Root.cz Zabezpečení
Příběh kontroverzní certifikační autority StartCom se blíží ke konci. Společnost oznámila, že ke konci letošního roku skončí také se svou činností. Nebude už vydávat certifikáty a nechá vypršet platnost kořenů.
Předseda představenstva společnosti StartCom, Xiaosheng Tan, oznámil, že činnost společnosti bude ukončena k 1. lednu 2018. Od tohoto dne už autorita nebude zákazníkům vydávat další certifikáty. Nechá ale běžet servery s revokačními seznamy CRL a OCSP respondery po dobu dalších dvou let. Poté vyprší platnost všech tří párů kořenových certifikátů. Pak bude kapitola autority StartCom uzavřena zcela a nadobro.
Autorita je dnes už ve většině nástrojů nedůvěryhodná, jako první zasáhl Apple, Mozilla přestala novým certifikátům věřit na konci loňského roku, poté se přidal Google v Chrome a jako poslední přišel s úpravou i Microsoft. V některých prohlížečích ještě dobíhá důvěryhodnost ve starší certifikáty, ale například Chrome už od verze 61 autoritu vyřadil úplně.
V praxi se tento zásah příliš mnoha webů nedotkne, protože podle statistik W3Techs používá certifikáty StartCom už méně než 0,1 % webů. Problémy s autoritou se táhly delší dobu, proto měli správci serverů dostatek času autoritu vyměnit.
Autor: W3Techs
Pokles počtu certifikátů StartCom na internetu
Firma ve svém oznámení tvrdí, že se nedokázala vzpamatovat ze ztráty důvěryhodnosti, kterou utrpěla v důsledku celé řady chyb. Ty měly přímý dopad na bezpečnost a firma ztratila v očích internetové veřejnosti statut certifikační autority. Přibližně před rokem se většina tvůrců webových prohlížečů rozhodla přestat StartComu věřit, odstranit jeho kořenové certifikáty z úložišť a nepřijímat nově vydané koncové certifikáty, píše společnost ve veřejném oznámení.
Firma se snažila různými prostředky obnovit svou pozici, ale její pověst už byla natolik pošramocená, že se už nedokázala vzpamatovat. Navzdory snahám se neobjevily žádné náznaky toho, že by mohla být mezi tvůrci prohlížečů pověst obnovena. Proto se vlastníci StartComu rozhodli ukončit činnost certifikační autority.
Historie původně izraelské společnosti StartCom je v posledním roce spojena s kontroverzní čínskou certifikační autoritou WoSign. Ta porušila pravidla tím, že StartCom potichu koupila a přestěhovala do Číny, přičemž tuto změnu neoznámila auditorům. Nebyla to první chyba, WoSign sám vydával neoprávněně certifikáty, antedatoval certifikáty s SHA-1, měl chyby ve validačních procesech a používal nepodporované algoritmy.
Tvůrci prohlížečů chvíli váhali, zda skutečně oběma propojeným společnostem odebrat důvěru, či nechat dožít starší certifikáty. WoSign se během této doby snažil situaci zachránit, vydal prohlášení o restrukturalizaci a rozdělení vedení společnosti, přesto se nakonec odpuštění nedočkal a byl vyškrtnut ze seznamů důvěryhodných autorit.
Jeden ze zakladatelů společnosti StartCom se nedávno veřejně v mailové konferenci vyjádřil v tom smyslu, že je rád, že firma nakonec svou činnost ukončí. Podmínky ve firmě byly podle jeho slov velmi špatné a firma lhala svým zaměstnancům. Byl jsem vyhozen (nebo jsem odešel, záleží na tom, koho se ptáte), protože jsem jim řekl, že jsou to podrazáci.
Hackeři tvrdí, že ukradli dokumenty italské vlády a armády
16.11.2017 Novinky/Bezpečnost BigBrother
Italská policie vyšetřuje hackerský útok na místní úřady. Skupina Anonymous totiž zveřejnila údajnou komunikaci mezi členy administrativy a oznámila, že má v držení stovky dokumentů s osobními údaji italských činitelů. Policie v úterý uvedla, že útok zaregistrovala v sobotu, napsala agentura Reuters. Potvrzené je prý v tuto chvíli vniknutí do e-mailové schránky příslušníka policie a zaměstnance ministerstva obrany.
Specializované oddělení policie uvedlo, že "technické vyšetřování... zatím neodhalilo další narušení úředních informačních systémů". Z osobních schránek dvou státních zaměstnanců byly údajně ukradeny e-mailové kontakty a další dokumenty. Zdroj obeznámený s vyšetřováním Reuters řekl, že pátrání policie pokračuje, dosud však prokázalo pouze narušení dvou účtů.
Hackeři skupiny Anonymous na svém italském blogu zveřejnili kopii e-mailu údajně odeslaného z vládní adresy pracovníkovi kanceláře premiéra Paola Gentiloniho. Obsahuje prý jména členů ochranky, která bude předsedu vlády příští týden doprovázet na cestě do Boloně.
Dále se na stránkách objevil dopis s rádiovými frekvencemi použitými bezpečnostními pracovníky během říjnové návštěvy Gentiloniho v Bruselu a čerstvé instrukce pro římskou policii ohledně konfrontací s demonstranty. Anonymous rovněž zveřejnila několik výplatních pásek, kopie osobních dokladů a informace ohledně platů v armádě.
Mají prý složky státních i evropských institucí
Anonymous ale tvrdí, že získala také složky z několika ministerstev, státních i evropských institucí. Má se jednat o e-maily, telefonní čísla, příkazy policejních stanic, kopie dokladů totožnosti, fotografie agentů či vojáků.
"Občané, s potěšením vám oznamujeme, v zájmu demokracie a důstojnosti národů, že máme v držení seznam osobních údajů týkajících se ministerstva vnitra, ministerstva obrany, vojenského námořnictva, jakož i úřadu vlády a evropského parlamentu," citoval deník Corriere della Sera prohlášení Anonymous. "Zkorumpovaná vládo, revoluce se nezadržitelně děje i zde, a její strůjci nyní znají vaše jména, vaše telefonní čísla, vaše adresy," pokračuje sdělení.
Ministerstvo obrany podle Reuters popřelo, že by jeho informační systémy měly "díry", a dodalo, že zveřejněný materiál byl osobního charakteru a pocházel především z osobních účtů jednotlivých zaměstnanců. "Žádné oficiální informace nebyly ukradeny, a už vůbec ne jakékoli tajné informace," znělo prohlášení rezortu obrany.
Web Účtenkovky napadli hackeři
16.11.2017 Novinky/Bezpečnost Počítačový útok
Výpadek webových stránek loterie Účtenkovka, kde se ve středu měly objevit výsledky prvního slosování, způsobil útok hackerů, řekla Radiožurnálu náměstkyně ministra financí pro daně a cla Alena Schillerová. Stránky byly asi hodinu a půl nefunkční, ministerstvo muselo výsledky zveřejnit na vlastních stránkách.
„Celou dobu jsem ve spojení s dodavatelskou firmou. Ta ten problém zanalyzovala. Došlo k hackerskému útoku, který ona odstraňuje a dává dohromady. Nicméně, my jsme hned v 19:30 zveřejnili všechny údaje na webové stránce ministerstva financí,“ řekla Schillerová Radiožurnálu.
Výpadek postihl web www.uctenkovka.cz od zhruba sedmi hodin večer do půl deváté.
Útokům čelilo Česko už dříve
O jaký typ útoku se jednalo, není v tuto chvíli jasné. S největší pravděpodobností však šlo o hackerskou techniku DDoS (Distributed Denial of Service). Ta má vždy stejný scénář. Stovky tisíc počítačů začnou přistupovat v jeden okamžik na konkrétní server. Ten zpravidla nezvládne tak vysoké množství požadavků zpracovat a spadne. Pro běžné uživatele se pak takto napadená webová stránka tváří jako nedostupná.
Stejnému typu útoku čelily na konci října – během volebního víkendu – prezentační volební weby volby.cz a volbyhned.cz. Ty byly tehdy nefunkční 2,5 hodiny.
Masivním útokům typu DDoS čelily v roce 2013 některé další tuzemské servery. Směrovány byly nejprve na zpravodajské weby, potom na portál Seznam.cz, servery bank a telefonních operátorů.
Podle bezpečnostních expertů šlo tehdy o největší kybernetický útok v celé historii Česka.
O co se hraje v Účtenkovce
Do prvního kola Účtenkovky se zapojilo kolem pěti procent Čechů, dohromady registrovali přes 11 miliónů účtenek. Losovalo se z účtenek ze systému EET zaregistrovaných do hry v době od začátku října do neděle 12. listopadu. Generátor náhodných čísel vybral 21 tisíc výherních kódů.
Od 1. listopadu mohou soutěžící registrovat účtenky ze svých listopadových nákupů do slosování, které bude 15. prosince, a kde se bude znovu hrát o 21 025 výher včetně automobilu. Ceny jsou hrazeny z veřejných peněz.
Americký tajný agent ukradl milióny. V bitcoinech
15.11.2017 Novinky/Bezpečnost Kriminalita
Pořádný balík peněz si chtěl ulít bokem Shaun Bridges ještě v době, kdy pracoval jako agent tajné služby Spojených států. Šlo v přepočtu o bezmála deset miliónů korun, které odcizil v bitcoinech během vyšetřování nelegálního internetového tržiště Silk Road.
Bývalý tajný agent Shaun Bridges na archivním snímku
Bitcoiny a další virtuální měny
Virtuálních měn existuje mnoho. Jednou z nejstarších a aktuálně nejpopulárnějších jsou tzv. bitcoiny. Ty vznikly už v roce 2009, větší popularitě se ale těší v posledních letech. Tato měna byla vytvořena tak, aby se nedala ovlivňovat žádnou vládou ani centrální bankou.
Kybernetické mince „razí“ síť počítačů se specializovaným softwarem naprogramovaným tak, aby uvolňoval nové mince stabilním, ale stále klesajícím tempem. Počet mincí v oběhu má dosáhnout nakonec 21 miliónů, což má být kolem roku 2140.
Bitcoiny a další kryptoměny se těší velké popularitě především coby prostředek pro investici. Kurzy však často kolísají. Evropský bankovní úřad kvůli tomu dokonce varoval spotřebitele, že neregulované virtuální měny představují velké riziko. Jejich vklady totiž nejsou nijak chráněny.
Bitcoiny se používají na nelegálních tržištích velmi často. Zločinci a počítačoví piráti totiž často využívají toho, že transakce v této měně nejsou jakkoliv vystopovatelné. A patrně toho se snažil využít i Bridges.
Ten během vyšetřování nashromáždil na 1600 bitcoinů. Místo toho, aby je předal svým nadřízeným, schoval je a následně je chtěl využít pro vlastní potřebu.
Podle současného kurzu má jeden bitcoin hodnotu okolo 6500 dolarů, tedy v přepočtu více než 142 000 korun. Balík 1600 virtuálních mincí by tak měl hodnotu přesahující čtvrt miliardy korun.
Tajný agent nicméně zpronevěřil bitcoiny v roce 2013, kdy měly ještě výrazně nižší hodnotu – jedna mince se tehdy obchodovala v přepočtu za zhruba šest tisíc korun, celkově tak měl lup hodnotu pouze 9,6 miliónu korun.
Dva roky za mřížemi
Bridges si nicméně své kořisti neužíval dlouho a byl nakonec letos v srpnu dopaden. U soudu nezapíral svou vinu a po příslibu vrácení 1500 bitcoinů byl odsouzen minulý týden ke dvěma rokům za mřížemi. Původně pro něj státní zástupce požadoval šest let vězení.
Sluší se podotknout, že Bridges není jediným tajným agentem, který byl v hledáčku amerického Federálního úřadu pro vyšetřování (FBI). Prozatím stále spravedlnosti uniká například jistý Carl Force.
Podvodníci vydělávají na příznivcích kryptoměn. Jak se bránit?
15.11.2017 Novinky/Bezpečnost Podvod
Minulý týden obletěla svět zpráva o tom, že se kybernetickým zločincům podařilo podstrčit tisícům lidí falešnou aplikaci směnárny s kybernetickými měnami Poloniex. Bezpečnostní experti antivirové společnosti Eset nyní vysvětlili, jak aplikace připraví uživatele o osobní data i finanční prostředky a jak se mohou lidé proti podobným podvodům bránit.
Poloniex je jednou z největších směnáren svého druhu, obchoduje se zde s více než stovkou různých typů virtuálních mincí, samozřejmě včetně nejpopulárnějších bitcoinů.
Právě díky velké popularitě se na ni v minulých měsících zaměřili počítačoví piráti. Těm se podařilo propašovat do oficiálního internetového obchodu Google Play podvodné aplikace, které vypadaly jako oficiální programy od zmiňované směnárny.
A že podvodné aplikace byly skutečně povedené, potvrzuje i fakt, že si je do svých přístrojů nainstalovalo více než pět tisíc lidí z různých koutů světa.
Kolik uživatelů nakonec své přihlašovací údaje dalo všanc kyberzločincům a kolik si počítačoví piráti na úkor podvedených lidí vydělali, není v tuto chvíli jasné. Bezpečnostní experti nicméně odhalili, jak si při útoku piráti počínali.
Útok byl velmi sofistikovaný
„Aby útočníci mohli ovládnout účet Poloniex pomocí některé ze škodlivých aplikací, musí nejprve získat osobní údaje pro přihlášení k účtu. Poté potřebují získat přístup k e-mailovému účtu přidruženému ke zneužitému účtu Poloniex, aby mohli mít kontrolu nad oznámeními o neoprávněných přihlášeních a transakcích. A konečně útočníci chtějí vzbudit zdání, že jejich aplikace funguje správně, aby předešli jakémukoli podezření, které by v uživateli mohli během celého procesu vyvolat,“ uvedl technický ředitel společnosti Eset Miroslav Dvořák.
Počítačoví piráti se zaměřili na uživatele oblíbené směnárny s kybernetickými měnami Poloniex.
Stránky internetové směnárny s kybernetickými měnami Poloniex
Ten zároveň připomněl, že podvodné aplikace byly zaznamenány ve dvou různých provedeních a že obě využívaly stejný způsob útoku. „Ke krádeži osobních dat dojde okamžitě poté, co uživatel spustí některou ze zmíněných aplikací a zadá do ní svoje přihlašovací údaje. Škodlivá aplikace zobrazí falešnou stránku, která požaduje zadání přihlašovacích údajů do směnárny Poloniex. Pokud uživatel citlivé údaje vyplní a klikne na Přihlásit, jsou jeho data odeslána útočníkům,“ přiblížil Dvořák.
„Jakmile mají útočníci přístup do účtu uživatele ve směnárně Poloniex a k němu přidruženému účtu u Gmailu, mohou jménem uživatele provádět transakce a současně mazat veškerá upozornění o neoprávněném přihlášení a prováděných transakcích, která přijdou do e-mailové schránky uživatele,“ zdůraznil bezpečnostní expert.
Celý útok byl tak dobře maskován, že jeho oběti si myslely, že aplikace pracuje korektně. Nic netušící uživatele pak počítačoví piráti obírali postupně dolar po dolaru.
Jak se chránit?
Jak je z řádků výše patrné, vhodné je tak k zabezpečení účtu ve směnárně Poloniex používat dvoufaktorovou autentizaci. Tedy ověřování přihlašování k účtu pomocí dalšího zařízení, například tedy s využitím chytrého telefonu. To platí i v případě dalších internetových účtů – podobným způsobem je možné zabezpečit například i Facebook.
Bezpečnostní experti ze společnosti Eset přidali i několik rad, jak se před podobnými hrozbami bránit v budoucnu:
Ověřte si, zda služba, kterou používáte, skutečně nabízí mobilní aplikaci – pokud ano, aplikace by měla být propojena s oficiálními webovými stránkami dané služby.
Věnujte pozornost hodnocení aplikace od jiných uživatelů a čtěte jejich recenze.
Buďte opatrní, když vám aplikace třetích stran nabízejí upozornění a dialogová okna, která budí dojem, že jsou propojena s účtem u Googlu – zneužívání důvěry uživatelů ve služby Googlu je mezi kyberzločinci oblíbeným trikem.
Zvyšte míru zabezpečení používáním dvouúrovňového ověřování identity (2FA) – jeho význam bývá zásadní.
Používejte spolehlivá bezpečnostní řešení pro vaše mobilní zařízení. Na každém přístroji by měl být samozřejmostí antivirový program.
Cloudflare používá pro generování náhodných čísel stěnu plnou lávových lamp
15.11.2017 Živě.cz Zabezpečení
Cloudflare používá pro generování náhodných čísel stěnu plnou lávových lampCloudflare používá pro generování náhodných čísel stěnu plnou lávových lampCloudflare používá pro generování náhodných čísel stěnu plnou lávových lampCloudflare používá pro generování náhodných čísel stěnu plnou lávových lampCloudflare používá pro generování náhodných čísel stěnu plnou lávových lamp
Šifrování je silně závislé na náhodných číslech. Jejich generování ale není tak jednoduché, jak by se mohlo zdát. V minulosti se objevilo mnoho případů, kdy specializované hardwarové i softwarové generátory náhodných čísel měly slabinu, kvůli které šel proces obejít tak, aby průměrný odhad dalšího bitu byl vyšší než zcela náhodných 50 %.
Cloudfare místo strojů nebo drahého využití fyzikálního snímání různých fyzických procesů využívá zajímavý a velmi účinný systém generování náhodných.
Cloudflare je obří CDN, přes kterou prochází přibližně 10 % internetu. Jednou z primárních služeb je ochrana před útoky různého druhu, důležitá je proto bezpečnost a šifrování.
Aby Cloudflare měl k dispozici co možná nejvíce pseudonáhodná čísla, využívá k tomu nevšední způsob – stěnu plnou lávových lamp (LavaRand). Na tuto stěnu míří kamera, která neustále generuje různorodý obraz, jež se náhodně mění z obrovského počtu proměnných. Jak lze vidět na videu, nezáleží jen pohybu bublin v jednotlivých lampách, ale i na aktuálním podsvícení, šumu a podobně.
Zpracováním streamovaného videa svíticích lamp dochází ke generování náhodných čísel, ze kterých se teprve poté vytváří šifrovací klíče. Jednoduše řečeno stačí změna jediného pixelu v obraze a výsledný šifrovací klíč je zcela jiný, než všechny předchozí. Tento klíč se pak zpracovává přes několik dalších zdrojů entropie a nakonec slouží jako seed pro generování náhodných klíčů.
Simulace procesu s tolika náhodnými procesy je v současných a nejspíše i budoucích podmínkách takřka nemožná. Jak uvádí Tom Scott ve videu, jednodušší je použít prolomení šifrování hrubou silou. A to je vázané na výpočetní výkon.
Pokud si chcete o tomto systému přečíst více, Cloudflare zveřejnil na svém blogu podrobný popis.
Jak ochránit účet na Facebooku a dalších sociálních sítích
13.11.2017 Novinky/Bezpečnost Sociální sítě
Sociální síť Facebook se těší mezi uživateli velké popularitě. Právě proto se ale na ni poměrně často zaměřují počítačoví piráti. Lidé by tak měli klást velký důraz na zabezpečení svých účtů a na nejrůznější podvodné nabídky. A to platí i v případě dalších sociálních sítí.
O případech, kdy lidé ztratí přístup ke svým osobním účtům kvůli podvodu, slýcháme každou chvíli. Často se tak děje v souvislosti s různými phishingovými útoky. Jde o metodu získávání citlivých dat, jako jsou například přihlašovací údaje k Facebooku tím, že útočníci nechají lidi, aby své údaje zadali na podvodné webové stránce.
Poté, co si takto opatří vstup do osobního účtu, mohou podvodníci kontaktovat přátele oběti, aby si na nich například vyprosili rychlou půjčku peněz. Nebo osnovat jiné podvody.
Lidé kyberzločincům nahrávají
Facebook používá různé mechanismy – automatické i manuální, aby byl schopen lépe odhalit a včas zablokovat podobné podezřelé aktivity. Nepozorní uživatelé, kteří se však na podobné podvodné nabídky nechají nachytat, ale stále nahrávají počítačovým pirátům.
Vhodné je tak nespoléhat se pouze na heslo, ale používat i další nástroje, které tato sociální síť nabízí k zabezpečení uživatelských účtů.
Abyste svůj účet lépe zabezpečili, přejděte na stránce Facebooku do sekce Zabezpečení účtu, a to kliknutím na ikonku Rychlé pomoci (ikonka zobrazující otazník), případně kliknutím na trojúhelníkovou ikonku napravo od sekce Hlavní stránka zobrazte menu a zvolte Nastavení a poté Zabezpečení a přihlášení.
Když ve výběru Zabezpečení účtu v Rychlé pomoci kliknete na možnost „Co můžu udělat pro trvalé zabezpečení účtu?“, doporučí vám Facebook několik postupů pro zabezpečení vašeho účtu.
Jednotlivé tipy na zabezpečení účtu naleznete v tabulce níže. Sluší se podotknout, že řada těchto tipů neplatí pouze v případě Facebooku, ale na sociálních sítích obecně:
Jak se bránit proti počítačovým pirátům na Facebooku
Chraňte své heslo
Heslo pro Facebook nepoužívejte nikde jinde na internetu a nikdy ho s nikým nesdílejte. Nemělo by být snadné ho uhodnout. Nepoužívejte svoje jméno ani běžná slova. Přečtěte si další informace o vytvoření silného hesla.
Nikdy s nikým svoje přihlašovací údaje nesdílejte
Podvodníci mohou vytvořit falešné weby, které vypadají jako Facebook, a dokážou vás vyzvat k přihlášení pomocí e-mailu a hesla. Než kamkoli zadáte přihlašovací údaje, zkontrolujte si URL webu. Máte-li pochybnosti, zadejte do prohlížeče adresu www.facebook.com a přejděte tak zpět na Facebook. Přečtěte si další informace o tom, jak se nestát obětí phishingu.
Odhlašování od uživatelského účtu
Pokud používáte počítač sdílený s dalšími lidmi, vždy se od Facebooku odhlašujte. Pokud zapomenete, můžete se odhlásit vzdáleně.
Nepřijímejte žádosti o přátelství od lidí, které neznáte
Podvodníci někdy vytvářejí falešné účty, aby si je lidi přidali mezi přátele. Přidáním podvodníka do přátel mu umožníte publikovat spam na vaši timeline, označovat vás v příspěvcích a posílat vám škodlivé zprávy.
Dávejte si pozor na škodlivý software
Naučte se rozpoznat napadený počítač nebo zařízení a zjistěte, jak škodlivý software odstranit. Vždy používejte nejnovější verzi prohlížeče a odstraňte podezřelé aplikace nebo doplňky prohlížeče.
Pozor na podezřelé odkazy
Nikdy neklikejte na podezřelé odkazy, ani když zdánlivě pocházejí od přítele nebo vám známé společnosti. To platí i pro odkazy na Facebooku (například v příspěvcích) nebo v e-mailech. Facebook po vás nikdy nebude chtít poslat heslo e-mailem. Pokud na Facebooku narazíte na podezřelý odkaz, nahlaste to.
Používejte další funkce zabezpečení
Můžete si třeba nastavit výstrahy při nerozpoznaném přihlášení a vybrat přátele, kteří budou vašimi důvěryhodnými kontakty. Pokud jste k Facebooku přihlášeni na počítači, můžete si nastavení soukromí zkontrolovat pomocí bezpečnostní kontroly.
Chrome má kritickou chybu. Týká se Windows, Macu i Linuxu
13.11.2017 Novinky/Bezpečnost Zranitelnosti
Uživatelé internetového prohlížeče Chrome by se měli mít na pozoru. Byla v něm totiž objevena kritická bezpečnostní chyba, kterou mohou zneužít počítačoví piráti. Záplatu je naštěstí možné již stahovat.
Před nově objevenou trhlinou varoval český Národní bezpečnostní tým CSIRT.CZ.
„Společnost Google vydala verzi Chrome 62.0.3202.89. Verze opravuje zranitelnosti, u kterých útočník mohl získat kontrolu nad systémem,“ prohlásil Pavel Bašta, bezpečnostní analytik CSIRT.CZ, který je provozován sdružením CZ.NIC.
Jak je z řádků výše patrné, chyba je kritická. To jinými slovy znamená, že útočníci mohou do počítače propašovat prakticky jakýkoli škodlivý kód. Klidně mohou i na dálku počítač zotročit a využít jej k DDoS útokům, rovněž mohou i odposlouchávat komunikaci uživatele, která na počítači probíhá.
V ohrožení všechny systémy
Ohroženi jsou přitom majitelé prakticky všech aktuálně dostupných operačních systémů. „Záplaty se vztahují na operační systémy Windows, Mac OS a Linux,“ zdůraznil Bašta.
V případě automatických aktualizací se uživatelé Chromu nemusejí o nic starat. Pokud je však tato funkce vypnuta, je nutné navštívit webové stránky tvůrců a nejnovější záplatovanou verzi stáhnout manuálně.
„Doporučujeme uživatelům a správcům aktualizovat Chrome,“ uzavřel bezpečnostní expert.
DDoS útoků přibývá. Hackeři se činili v desítkách zemí
13.11.2017 Novinky/Bezpečnost Počítačový útok
Kybernetických útoků typu DDoS (Distributed Denial of Service) ve třetím čtvrtletí letošního roku přibylo. Metody útočníků jsou přitom stále sofistikovanější a v ohrožení už dávno nejsou jen obyčejné počítače, ale také chytré telefony či zařízení tzv. internetu věcí. Vyplývá to z bezpečnostního reportu antivirové společnosti Kaspersky Lab.
„Ve třetím čtvrtletí byly DDoS útoky zaměřeny na cíle v 98 zemích, zatímco v předchozím období to bylo 86 zemí,“ uvedli zástupci společnosti Kaspersky Lab.
Změny zaznamenal také žebříček prvních deseti zemí, na které DDoS útoky cílily nejčastěji. „Rusko se ze sedmého místa posunulo na čtvrté, zatímco Francie a Německo v top desítce nahradily Austrálii a Itálii. První desítka zemí, v nichž se nachází řídicí botnetové servery, nově zahrnovala Itálii a Velkou Británii, které nahradily Kanadu a Německo. V obou těchto žebříčcích se na prvních třech místech umístily Čína, Jižní Korea a Spojené státy,“ podotkli bezpečnostní experti.
Vždy stejný scénář
Útok DDoS má vždy stejný scénář. Stovky tisíc počítačů začnou přistupovat v jeden okamžik na konkrétní server. Ten zpravidla nezvládne tak vysoké množství požadavků zpracovat a spadne. Pro běžné uživatele se pak takto napadená webová stránka tváří jako nedostupná.
O přechodu kyberzločinců k sofistikovanějším útokům svědčí také využívané metody. „Například byl zastaven botnet WireX šířící se prostřednictvím legálních aplikací pro Android nebo došlo k odhalení technologie Pulse Wave, která zvyšuje sílu DDoS útoků pomocí zranitelností v hybridních a cloudových technologiích,“ přiblížili technickou stránku věci experti.
„Zajímavá je také různorodost obětí DDoS útoků ve třetím kvartále. Napadeny byly zejména sázkařské služby, jako je Final Fantasy, Blizzard Entertainment, American Cardroom a UK National Lottery,“ uzavřeli bezpečnostní experti.
Zařízení internetu věcí
Podobným útokům počítačových pirátů pomáhají nevědomky také někteří uživatelé, kteří si příliš nelámou hlavu se zabezpečením svých zařízení. Je nutné podotknout, že řeč není pouze o chytrých telefonech a klasických počítačích, ale například také o tzv. zařízeních internetu věcí (IoT) – jde například o nejrůznější kamery, které se mohou připojovat k internetu.
Právě tato zařízení se stala součástí obřího botnetu, který využili kyberzločinci na konci října při útoku na DNS servery společnosti Dyn. Ty standardně překládají webové adresy na číselné adresy fyzických počítačů (IP adresy). Právě proto se podařilo hackerům vyřadit z provozu na východním pobřeží USA hned několik velkých webů – tím, že nefungoval překladač (DNS servery), webové prohlížeče po zadání adresy nevěděly, kam se mají připojit.
Uživatelé se tak nemohli připojit například na sociální sítě Twitter a Facebook, zpravodajské servery Daily News, CNN i New York Times a hudební portály Spotify a Soundcloud.
Uživatelé by měli dbát na zabezpečení
K útokům na koncové uživatele využívají počítačoví piráti velmi často různé viry, prostřednictvím kterých mohou napadenou stanici ovládat na dálku. Tu pak přiřadí do obřího botnetu, s jehož pomocí pak v případě dostatečné velikosti mohou vyřadit z provozu prakticky libovolný cíl na internetu.
Zabránit DDoS útokům tak mohou v první řadě samotní uživatelé, když budou klást dostatečný důraz na zabezpečení svých zařízení.
Slibují výdělek na internetu, nakonec ale důvěřivce připraví o peníze
9.11.2017 Novinky/Bezpečnost Kriminalita
Na uživatele oblíbené směnárny s kybernetickými měnami Poloniex se zaměřili v posledních měsících počítačoví piráti. Snažili se jim podstrčit falešnou aplikaci, díky které získají přístup k jejich účtům. Jejich virtuální mince, které je možné směnit za skutečné peníze, by pak mohli snadno odcizit. Upozornili na to bezpečnostní experti z antivirové společnosti Eset.
FOTO: repro poloniex.com
Bitcoiny a další virtuální měny
Virtuálních měn existuje mnoho. Jednou z nejstarších a aktuálně nejpopulárnějších jsou tzv. bitcoiny. Ty vznikly už v roce 2009, větší popularitě se ale těší v posledních letech. Tato měna byla vytvořena tak, aby se nedala ovlivňovat žádnou vládou ani centrální bankou.
Kybernetické mince „razí“ síť počítačů se specializovaným softwarem naprogramovaným tak, aby uvolňoval nové mince stabilním, ale stále klesajícím tempem. Počet mincí v oběhu má dosáhnout nakonec 21 miliónů, což má být kolem roku 2140.
Bitcoiny a další kryptoměny se těší velké popularitě především coby prostředek pro investici. Kurzy však často kolísají. Evropský bankovní úřad kvůli tomu dokonce varoval spotřebitele, že neregulované virtuální měny představují velké riziko. Jejich vklady totiž nejsou nijak chráněny.
Právě Eset odhalil dvě podvodné aplikace v internetovém obchodě Google play, které byly určeny pro zařízení s operačním systémem Android. Obě se přitom snažily vypadat jako legitimní programy internetové směnárny Poloniex.
Útočníci se tak snažili vylákat od svých obětí přihlašovací údaje, aby získali přístup nejen k účtům na Poloniexu, ale také k e-mailovým schránkám na Gmailu. „Okolo kryptoměn je v současné době hodně rozruchu a počítačoví zločinci se pokoušejí chopit jakékoli nové příležitosti, která se jim naskytne,“ uvedl Miroslav Dvořák, technický ředitel společnosti Eset.
„Ať již v uvozovkách krádeží výpočetního výkonu zařízení uživatelů za účelem těžení kryptoměn přes prohlížeče internetu nebo tím, že infikují nedostatečně aktualizované počítače. Také se snaží využívat falešné webové stránky a aplikace zaměřené na získávání osobních dat,“ doplnil Dvořák.
Napálily se tisíce lidí
První škodlivá aplikace byla umístěna do Google Play pod jménem „POLONIEX“ a nabízel ji vývojář „Poloniex“. Vtip byl právě v tom, že název falešné aplikace byl napsán velkými písmeny. Od konce srpna do poloviny září si ji nainstalovalo navzdory varovným hodnocením od dalších uživatelů a negativním recenzím na 5000 lidí.
Druhá aplikace „POLONIEX EXCHANGE“ od vývojáře „POLONIEX COMPANY“ se na Google Play objevila 15. října 2017 a zaznamenala 500 stažení, než ji Google na základě oznámení od společnosti Eset odstranil. Také zde byl název falešné aplikace psán velkými písmeny.
Kolik uživatelů nakonec své přihlašovací údaje dalo všanc kyberzločincům a kolik si počítačoví piráti na úkor podvedených lidí vydělali, není v tuto chvíli jasné.
Tak velké množství uživatelů se nicméně napálilo patrně kvůli tomu, že Poloniex je jednou z nejvyužívanějších směnáren kryptoměn na světě. Obchodovat je zde možné s více než 100 různými typy virtuálních mincí, samozřejmě včetně nejpopulárnějších bitcoinů.
Hacking Team: co všechno uměl a jak to dokázal?
9.11.2017 Root.cz BigBrother
Úspěšný útok na Hacking Team svlékl do naha jednu z velkých společností, která nabízí počítačové útoky a sledování na objednávku. Co všechno firma zákazníkům nabízela? Proč se jí takové útoky dařily?
Na letošní konferenci OpenAlt zazněla také velmi zajímavá přednáška o případu společnosti Hacking Team, která dlouhá léta prodávala své služby vládám a organizacím po celém světě. Všechny detaily se provalily s bezpečnostním průnikem, při kterém firmě unikla prakticky všechna data. Umožnila nám nahlédnout pod pokličku takové společnosti.
Od hackování ke „vzdálenému monitorování“
Petr Hanáček z FIT VUT v Brně začal svou přednášku jako příběh z Milána, kde žili dva přátelé, kteří se živili počítačovou bezpečností. Občas něco konzultovali, občas něco hackli, až za nimi přišla policie. Ale ne je zatknout, ale aby s nimi spolupracovali. Tak vznikla intenzivní spolupráce, ale už se nehackovalo, ale „vzdáleně monitorovalo“.
Tak vznikla firma Hacking Team, která vytvořila systém nejprve pojmenovaný Galileo, pak Da Vinci a nakonec Remote Control System. Pak začali své služby prodávat dalším firmám, tajným službám a podobně. Ani se tím moc netajili, veřejně své služby inzerovali a zveřejňovali, kolik států si je pronajímá. Informace o jejich činnosti jsme měli jen zprostředkovaně, když se provalil nějaký hack. Mezinárodní novinářská organizace pak zmapovala 21 podezřelých států, které pravděpodobně s Hacking Teamem spolupracovaly. To už jsme věděli, co dělají, pro koho to dělají, ale neznali jsme žádné detaily. Chyběly informace o obchodním modelu, jejich schopnostech a znalostech.
Pak přišel 5. červenec 2015, kdy Hacking Team ochutnal vlastní medicíny a byl hacknut. A to tak, že úplně, uteklo jim v podstatě všechno – celkem 400 GB dat. Útočníci se dostali k mnoha citlivým informacím a všechno to zveřejnili na internetu. Na Twitteru Hacking Teamu zveřejnili zprávu o tom, že firma nemá co skrývat a každý se může podívat. Tím jsme dostali unikátní příležitost se podívat, jak přesně taková společnost funguje. Není samozřejmě jediná, takových společností existuje mnoho.
Velký unik otevřel velký svět
Firmě unikl například kompletní seznam klientů, do té doby jsme znali jen asi čtvrtinu z nich. Mezi klienty z Evropské unie se najdeme taky, takže Hacking Team pracoval i pro nás. Znepokojivé je, že mezi státy byly i některé ne úplně slušné země. Bůh ví, k čemu ten software zneužívaly. Mezi nejlépe platící země patří Mexiko, Itálie, Maroko. Česko se nachází přibližně uprostřed seznamu.
Unikl taky přibližně milion e-mailů, netrvalo dlouho a někdo naprogramoval vyhledávač, ve kterém je možné si jednotlivé zprávy filtrovat. Unikly také kompletní účetní doklady, ze kterých plyne, že si služby nekupovaly jen státy, ale například také banky. Není jasné, k čemu zrovna banka takové služby potřebuje, ale je možné zjistit, že šlo konkrétně o oddělení interního auditu. Zajímavá je například také objednávka od americké DEA, která by měla mít dostatek vlastních amerických odborníků.
Podařilo se získat také přístupová hesla k mnoha různým službám jako jsou anonymizéry nebo i SSH účty na různých serverech. Mnoho z hesel bylo velmi triviálních jako kittens nebo P4ssword. Některá hesla byla zahašovaná, takže bylo potřeba na ně pustit duhové tabulky a podařilo se je odhalit.
Zveřejněny byly také ceníky, které dávají alespoň přibližnou představu o cenách. Většina částek za útok se pohybuje okolo 40 000 eur. Neznamená to, že ke všem nabídkám existuje útočný kód. Nemá smysl ho psát hned, ale čekalo se, až přijde kritické množství objednávek a pak se teprve kód napsal. Ceník tedy trochu lže a nedává přesnou představu o aktuálních schopnostech firmy.
Hacking Team u nás přímo neprodávala, ale měl sjednanou spolupráci s českou společností, která služby lokálně přeprodávala. Podle mailové komunikace se bavili o tom, že by se mohly jejich služby prodávat také českému NBÚ. Nakonec k tomu ale nedošlo, protože NBÚ má za úkol potírat kybernetické bezpečnostní hrozby a Hacking Team je někde na pomezí, proto byl nápad pro jistotu shozen ze stolu.
Co Hacking Team uměl?
O konkrétních možnostech Hacking Teamu dává přehled prezentace, která je součástí úniku. Nabízel například sledování webového prohlížeče, odposlech mikrofonu, sledování klávesnice, natáčení uživatele webovou kamerou a podobně. Na mobilních telefonech to bylo navíc sledování historie volání, lokalizace uživatele a odposlech uživatele. Na mobilu má odposlech úplně jiný rozměr, protože si sebou vlastně nosíte v kapse vlastní štěnici.
Nabízené služby vypadají velmi lákavě, protože nabízejí odpověď na řadu scénářů. Možnosti jsou až tak zajímavé, že se dá pochybovat o tom, že to Hacking Team všechno opravdu dokáže. Výrobci nám totiž tvrdí, že jejich přístroje jsou skvělé a bezpečné a najednou tu je firma, která tvrdí, že dokáže cokoliv.
Klient dostává vlastní aplikaci, která mu dovoluje ovládat celý systém a objednávat si v něm jednotlivé útoky. Celá akce začne tím, že si v aplikaci naklikáme objekt a potom si necháme vygenerovat soubor s exploitem. Původně šlo o samoobsluhu, ale uživatelé zacházeli s drahocennými exploity velmi ledabyle a nechávali je povalovat po internetu a tím zvyšovali riziko prozrazení. Proto se přešlo na klasický ticketovací systém a balíček s exploitem připravovali na požádání přímo lidé v Hacking Teamu.
Výsledkem je například wordovský dokument, který je vyroben přesně tak, aby ho dotyčný čekal, například na základě předchozí komunikace, kterou už chvíli sledujeme. To je nejkomplikovanější varianta proti paranoidním obětem. U ostatních si to můžu zjednodušit a poslat třeba poděkování e-mailovým přátelům.
Je také možné škodlivý kód vložit například do webové stránky, která je kopií nějakého webu. Hacking Team umí i dodat krabičku s názvem Network injector, která konkrétnímu uživateli zamění původní stránku za napadenou. Často si tuto akci ale umí objednatel zajistit sám, takže instalace krabičky není potřeba.
Jakmile je kód u oběti, je možné si sednout ke konzoli a začít programovat útok. Je například možné zvolit, kdy a co chceme provádět. Kdybychom třeba používali mobil jako štěnici a trvale odesílali data, velmi rychle vybijeme baterii. Můžeme proto nahrávat do souboru a buďto odesílat v nějakých intervalech nebo ještě lépe počkat, až se mobil dostane na Wi-Fi.
Takto je možné zařízení sledovat, získávat z něj informace a zařazovat je také do kontextu. Je to krásná aplikace, vypadá to jako z nějakého amerického filmu. Umožňuje například sledovat setkávání jednotlivých obětí, analyzovat obsah, vytvářet profily jednotlivých cílů a podobně. Je vidět, že se Hacking Team staral o svoje zákazníky a vytvářel jim aplikaci, se kterou je radost pracovat.
Kde se vezme exploit?
Je skutečně možné takto snadno zařízení napadnout? Abychom to mohli udělat, musíme mít připravené nějaké exploity. Hacking Team ve skutečnosti nabízel mnoho možností, jak zařízení infikovat. Je možné použít CD nebo flash disk, použít například port Firewire nebo třeba přímou instalaci po vyjmutí disku.
Stejně tak je možné infikovat vzdáleně pomocí knihovny zero-day exploitů. Vytvořili například nový nástroj melting tool, který dokáže kód injektovat přímo do provozu během stahování obsahu z internetu. Prakticky všechno bylo prováděno vzdáleným přístupem, přestože je to složitější, dražší a náročnější než lokální napadení zařízení. Vyžaduje to sice rozsáhlou knihovnu exploitů, ale většina klientů nechtěla s fyzickým útokem nic mít.
Hacking Team využíval několik různých kategorií útoků: nejjednodušší sociální, veřejně dostupné exploity až zero-day exploity. Ty jsou jako čerstvě maso, nevydrží věčně. Potřebuji mít nějaký mechanismus dodávání stále čerstvé zásoby exploitů. Nemůžu si je nasyslit do budoucna, protože po pěti letech už nebudou fungovat. Opravdu citlivé operace si Hacking Team chránil a pracoval s nimi sám, aby nedošlo k úniku a tím znehodnocení exploitu.
Zdroje exploitů jsou různé, firma může buďto vytvářet útočný kód sama nebo je nakupovat. Není příliš reálné, aby firma sama hledala všechny chyby. Hacking Team hledal různé cestičky, včetně některých velmi kreativních. Snažila se například spolupracovat s univerzitami, které by například během nějakého výzkumu objevovaly a posílaly bezpečnostní chyby. Hlavním zdrojem je ale nákup exploitů od lidí, kteří se tím živí.
Příkladem je například Vitalij Toropov, který do roku 2015 aktivně a veřejně hledal a hlásil bezpečnostní chyby v software. Pak ale přestal. Nebo je spíš přestal dávat do otevřených databází. Víme, že začal exploity prodávat Hacking Teamu a udělal si z toho dobrou živnost. Posílal normální faktury, které se našly v Hacking Teamu. Firma poté vypracovala systém, který jí umožnil nakupovat efektivně a automatizovaně pomocí vyplňování dotazníků. Dnes jsme už dále, existuje portál Zerodium, který funguje jako aukční server na exploity. Najdou se tu levné útoky na známé redakční systémy jako WordPress, Drupal a Joomla, ale i požadavek na „svatý grál“ v podobě vzdáleného útoku na zařízení od Apple.
Nejčastěji byly využívány dva konkrétní exploity: útok na jádro Windows – konkrétně knihovnu ATMFD.dll a také Flash player. První chyba se týká programu Adobe Type Manager, který do Windows přidával podporu True Type fontů. Původně šlo o samostatný program, který se později stal součástí systému. Chyba přežila několik desetiletí a mnoho verzí Windows. Ten kód je i v desítkách, ale je už samozřejmě opravený. Hacking Team byl prozrazen těsně před vydáním Windows 10, takže Microsoft stihl vydat záplatu.
Chyba ve Flashi se pak zneužívala tak, že se vložil flashový objekt do powerpointové prezentace. Při jejím otevření došlo k načtení a spuštění Flashe, který byl přes díru zneužit ke stažení útočného kódu, který pak prováděl samotný útok. Zajímavé ale je, že na první pohled jde o dva velmi rozdílné exploity pro různé technologie. Že by se jeden člověk zabýval dvěma tak rozdílnými systémy a hledal v nich slabiny? Mají ovšem jednu společnou věc: oba nástroje programovala společnost Adobe. Vitalij Toropov se tedy při své práci zaměřil na produkty jedné společnosti, která má z hlediska bezpečnosti velmi špatnou pověst.
Stále stejné chyby už 40 let
Nejčastěji jsou stále zneužívány chyby přetečení zásobníku, kdy programátor používá pro kopírování řetězců nebezpečné knihovní funkce. První popis se přitom objevil už v roce 1972, poprvé to bylo v praxi zneužito v roce 1988 a v roce 1996 se objevil první vyčerpávající návod, který dokázal použít kdokoliv: Smashing The Stack For Fun And Profit. Je to tu s námi třicet let a měli bychom být schopni s tím už pracovat. Naštěstí není nebezpečných funkcí tolik a je možné napsat vyhledávací software, který programátora upozorní na nebezpečné chování.
Jsme ale v roce 2017 a problém není stále uspokojivě vyřešen. My vlastně nechceme psát kód bez chyb a snažíme se to nějak obejít. Je to například ASLR, který přesouvá data v paměti náhodně, ale ani ten není samospásný. Před dvaceti lety by to bylo ultimátní řešení, které by zabránilo všem útokům. Dnes už jsou známy postranní kanály, které nám dovolují zjistit, kde se v paměti dané části nacházejí. Těch kanálů navíc stále přibývá.
Můžeme například použít také NX bit, kanárky a další. Všechno se to ale ukazuje být nefunkční. Útočníci totiž umí tato opatření obcházet. Pokud například pomocí NX bitu zakážeme spouštění kódu na zásobníku, může útočník zneužít už existující kód v regulérním programu. Najde si užitečné části původního programu, které končí instrukcí ret a ty využije. Takto si pak může svůj útočný kód poskládat. Je to jen jedna z mnoha možností, ale ukazuje to, že je to pro útočníka řešitelné.
Hlavní problém je, že programování v C skrývá mnoho dalších pastí jako například přetečení integeru. O mnoha pastech navíc programátor často netuší. Například že funkce abs může vrátit i zápornou hodnotu nebo že sečtení dvou kladných integerů může vrátit záporný výsledek. Tuší takové věci náš běžný student informatiky? Já nevím.
Velmi často se objevují nové způsoby zneužití programátorských chyb, o kterých jsme dříve nevěděli nebo jsme si nedokázali zneužití představit. Navíc tyto chyby není možné zachytit při překladu. Jedinou možností je psát kódy bez chyb.
Falešný WhatsApp zaneřádil Google Play Store
8.11.2017 Securityworld Android
Víc než milionkrát byla z Google Play Storu stažena falešná verze populární komunikační aplikace WhatsApp.
Aplikace s názvem Update WhatsApp Messenger se tvářila autenticky, dokonce u ní byl uveden reálný vývojářský tým WhatsApp Inc., obsahovala však reklamy a v některých případech do telefonů stahovala nežádoucí software. V současnosti už na Play Store uvedena není.
Ať už za ní stál kdokoliv, podařilo se mu během pouhých tří dnů dokonale zmást dle všeho víc než milion uživatelů. Jediný nepatrný rozdíl oproti pravému WhatsApp Messengeru byl v názvu aplikace, kdy ta falešná nevyužívala mezeru, ale znak, který se jen jako mezera tvářil.
Běžný uživatel však takovou odchylku mohl jen těžko postřehnout. Ti uživatelé, kteří využívají automatickou aktualizuaci WhatsApp, problémem stiženi nebyli.
Pro Google přitom nejde ani zdaleka o první případ, kdy z Play Store musel mazat falešné nebo škodlivé aplikace. Například před dvěma lety nadělal řadě uživatelů problémy falešný BatteryBot Pro, aplikace monitorující využití baterie, který z telefonů odesílal nevyžádané prémiové SMS.
Nejrozšířenější hrozbou je virus Danger
7.11.2017 Novinky/Bezpečnost Viry
Počítačoví piráti stále nepolevují v šíření počítačového viru Danger. Tento škodlivý kód tak byl v minulém měsíci – stejně jako v těch předchozích – nejrozšířenější počítačovou hrozbou vůbec. Vyplývá to ze statistiky antivirové společnosti Eset.
Danger je nejrozšířenější hrozbou s téměř desetiprocentním podílem. Sluší se nicméně podotknout, že v uplynulých měsících měl tento škodlivý kód ještě větší procentuální zastoupení.
Tento virus, plným názvem JS/Danger.ScriptAttachment, je velmi nebezpečný. Otevírá totiž zadní vrátka do operačního systému. Útočníci pak díky němu mohou propašovat do napadeného počítače další škodlivé kódy, nejčastěji tak šíří vyděračské viry z rodiny ransomware.
Výkupné neplatit
Vyděračské viry začnou šifrovat obsah počítače a uživateli zobrazí oznámení, že za dešifrování počítače musí zaplatit, jinak se ke svým datům údajně již nikdy nedostane.
Ani po zaplacení výkupného navíc nemají uživatelé jistotu, že se ke svým datům skutečně dostanou. Virus je nutné z počítače odinstalovat a data následně pomocí speciálního programu odšifrovat. V některých případech to ale není možné.
Zneužívají Office
Na pozoru by se měli nicméně uživatelé mít i před dalšími hrozbami, jak ukazují říjnové statistiky. České uživatele například v minulém měsíci ohrožovala nová hrozba využívající protokol DDE, v závěru měsíce dosahovala podílu 40 procent.
Do čela žebříčku nejrozšířenějších počítačových hrozeb se nedostala právě jen kvůli tomu, že se začala šířit až před koncem měsíce. „Útočníci v tomto případě oprášili starší technologii, která je však v aplikacích stále dostupná. Nejčastěji se jedná o programy v rámci balíku kancelářských programů Office,“ uvedl Miroslav Dvořák, technický ředitel společnosti Eset.
„Protokol DDE zneužívá důvěřivosti uživatelů, kterým přijde nevyžádaný e-mail s přílohou, nejčastěji v podobě wordovského dokumentu. Po jeho otevření se uživateli objeví upozornění, že dokument obsahuje odkazy, které mohou směřovat na jiné soubory a zda je chce aktualizovat. Pokud uživatel toto potvrdí, dochází ke spuštění procesu infikování,“ konstatoval Dvořák.
Zároveň nastínil, jak jsou počítačoví piráti v šíření podobných hrozeb zběhlí. „Útočníci v tomto případě úspěšně využívají metod sociálního inženýrství, aby adresáta zmátli a vytvořili u něj dojem, že příloha je bezpečná. Nastavení zablokování spouštění maker nemá na zabránění infekce žádný vliv,“ uzavřel Dvořák.
Přehled deseti nejrozšířenějších virových hrozeb za uplynulý měsíc naleznete v tabulce níže:
Top 10 hrozeb v České republice za říjen 2017:
1. JS/Danger.ScriptAttachment (8,70 %)
2. JS/TrojanDownloader.Nemucod (5,13 %)
3. VBA/DDE (4,41 %)
4. JS/ProxyChanger (3,33 %)
5. JS/Adware.AztecMedia (3,18 %)
6. SMB/Exploit.DoublePulsar (2,52 %)
7. Java/Adwind (2,16 %)
8. Win32/GenKryptik (2,05 %)
9. VBS/TrojanDownloader.Agent.PGX (1,75 %)
10. JS/Kryptik.MX (1,68 %)
10. VBS/TrojanDownloader.Agent.PGF (1,86 %)
Zdroj: Eset
Google vydal záplatu na KRACK. Jenže smůla, dostane ji málokdo
7.11.2017 Živě.cz Zabezpečení
Lenovo K6 Note Lenovo P2Lenovo P2Google vydal záplatu na KRACK. Jenže smůla, dostane ji málokdoPodpora se vztahuje samozřejmě na obě verze, tedy Pixel i Pixel XL. Nový systém však vývojáři rozběhnou i na starších telefonech.
zobrazit galerii
Před pár týdny prolétla internetem zpráva o chybě KRACK v samotném nitru Wi-Fi, která by mohla vpustit útočníka do domácí i podnikové sítě. Krátce na to výrobci začali vydávat záplaty, přičemž Microsoft se pochlubil, že jeho Windows byl zabezpečený s dostatečným předstihem.
Čekalo se hlavně na Google. K nejzranitelnějším zařízením, kde bylo možné chybu zneužít, totiž patřil jeho mobilní systém Android. A ten se nyní dočkal opravy v rámci podzimní várky bezpečnostních záplat Android Security Bulletin.
Jakmile vám tedy záplata dorazí na telefon, KRACK už pro vás nebude nebezpečí.
Má to ale jeden háček, bezpečnostní aktualizace přímo do Googlu totiž zdaleka nepřijímají všechny telefony. Ty starší zpravidla vůbec, takže periodické měsíční záplaty chrání menšinu. Na telefonech se starší verzí Androidu a odlišnou politikou se o opravu musí postarat sám výrobce a je více než pravděpodobné, že toho nějaké opravy nebudou vůbec zajímat s tím, že si máte koupit jeho nový model. Ostatně můj rok a půl starý mobil se poslední aktualizace dočkal… Před rokem a půl.
Android tedy i přes vydanou opravu zůstane vzhledem k milionům starších a dnes již nepodporovaných telefonů rizikem i nadále. A Google s tím bohužel nic udělat nemůže, protože na starých verzích Androidu nemá nad telefony takovou moc jako třeba Apple nad iOS a Microsoft nad Windows.
Hluboko uvnitř procesorů Intel jsou zadní vrátka. Pokud je někdo zneužije, způsobí digitální apokalypsu
7.11.2017 Živě.cz BigBrother
Ačkoliv se často praví, že je nejrozšířenějším operačním systémem na světě Linux, jehož jádro najdete v každém telefonu s Androidem, na většině serverů a v síťových krabičkách všeho druhu, ve skutečnosti by to mohl být MINIX.
Procesory od Intelu obsahují mnoho drobných součástí a patří k nim i speciální firmware Management Engine (ME), který přežívá v jednom z čipů procesoru. Moc se o něm neví, bezpečnostní experti jej však už roky reverzně analyzují, a tak přece jen něco vyčmuchali.
Skrytý kód, který má přístup úplně ke všemu, a vy o tom nevíte
ME 10, který je součástí procesorů počínaje architekturou Skylake, podle textových řetězců používá k běhu zmíněný MINIX. Přestože nikdo přesně neví, k čemu slouží, experty zaujala jeho ohromná moc.
ME je totiž příliš hluboko v procesoru, takže nad ním nemá majitel počítače žádnou kontrolu. Management Engine má přitom přístup k operační paměti a síti včetně Wi-Fi čipu. Zároveň neustále běží, i když je velký operační systém o několik pater nad ním vypnutý. Stačí, když je počítač připojený ke zdroji napájení.
Schema několika úrovní softwaru podle Googlu. Zatímco úplně nejvýše jsou uživatelské programy a velký operační systém jako Linux nebo Windows, níže jsou postupně speciální programy přežívající v samotných čipech. Třeba UEFI, firmwary jednotlivých komponent a úplně nejhlouběji na úrovni -3 mocný ME od Intelu.
Ačkoliv ME nejspíše provádí běžné rutinní a bezpečnostní operace (je napojený třeba na systém IntelR Anti-Theft), jeho přítomnost v procesoru se nelíbí třeba Googlu (PDF), který procesory od Intelu používá ver svých datových centrech.
Googlu se ME nelíbí, vždyť jde o zadní vrátka do jeho datových center
Internetové jedničce z Mountain View se není čemu divit, kvůli schopnosti síťové komunikace a přístupu do RAM lze totiž ME bez nadsázky považovat za zadní vrátka do počítače. Ne, za supervrátka, protože vše běží až na samotné úrovni firmwaru hardwaru!
K čemu všemu má Intel ME přístup
Čistě hypoteticky by tedy mohla jakási entita, která by k ME získala přístup, rozeslat na všechny počítače připojené k internetu instrukci, ať z webu stáhnou nějaká data a nahrají je do RAM, kde se zpracují a s nejvyššími právy spustí libovolný kód.
Nová generace Toru má být ještě bezpečnější, adresy budou mít až 55 znaků
7.11.2017 Živě.cz Zabezpečení
Nové adresy budou moci mít až 55 znaků místo současných 16
Protokol přejde na nové úrovně šifrování
Ubude míst, kde může být uživatel identifikován
Takto putují data v Toru.Ke komunikaci je využíván cibulový protokol s několika slupkami, do nichž jsou data rozsekána.Mezi skrytými službami najdeme i mnohá tržiště nelegálním zbožím.Jedním z nich byl AlphaBay Market.A vůbec nejznámější je Silk Road.5
Tor je považován za jeden z nejúčinnějších způsobů, jak se na internetu pohybovat anonymně. Je k tomu využíván speciální cibulový protokol, který komunikaci rozseká na jednotlivé slupky a následně ji takto odešle přes několik serverů provozovaných dobrovolníky. I přesto však Tor trpí několika slabinami, které mohou pomoci k deanonymizaci a případné identifikaci uživatele. I proto nyní skupina Tor Project oznámila novinky v samotném protokolu i prohlížeči Tor Browser, který je postaven na Firefoxu.
Delší adresy
Aktuálně vypadá tradiční adresa skryté služby v Toru nějak takto: 3g2upl4pq6kufc4m.onion. Vždy jde o náhodnou kombinaci číslic a písmen v délce 16 znaků. Nově ale budou adresy mnohem delší – jejich případné odhalení tak bude mnohem složitější. Pokud se neobjeví v některém ze seznamů nebo vyhledávačů skrytých služeb, pak bude získání adresy velmi složitě.
Nově tedy bude adresa skryté služby vypadat třeba takto: 7fa6xlti5joarlmkuhjaifa47ukgcwz6tfndgax45ocyn4rixm632jid.onion. Pokud adresu bude znát pouze provozovatel služby a úzká skupina uživatelů, je velmi nepravděpodobné její odhalení. Tedy do té doby, než ji neprozradí některý z privilegovaných členů.
Naopak veřejné služby, které fungují i v rámci Toru (Facebook, NY Times) mohou i nadále využívat lépe identifikovatelné adresy (nytimes3xbfgragh.onion) v kombinaci s vyhledávači služeb.
S robustnějším zabezpečením je spojeno rovněž několik vylepšení, která se postarají o minimalizaci okamžiků, kdy může dojít k odhalení reálné adresy nebo jiného identifikátoru uživatele. Vývojářský tým prý na mnoha změnách pracoval déle než čtyři roky. Kromě jiného se změní šifrování z SHA1/DH/RSA1024 na SHA3/ed25519/curve25519. Nová verze protokolu je dopodrobna popsána v dokumentaci.
Nová generace Toru, která je označována jako 3.0 postupně začne nahrazovat aktuální protokol, u kterého není jasné, jak dlouho bude fungovat. Podle vývojářů by měly obě verze fungovat paralelně po dobu několik let, než dojde k odstřihnutí současné generace 2.0
TorMoil
Novinky přichází v okamžiku, kdy byla odhalena jedna z největších zranitelností Toru vůbec. Říká se jí TorMoil a způsobovala odhalení reálné IP adresy uživatele při práci s přímou adresou na soubor, tedy při využití URL s file://. Útočník mohl vytvořit speciální stránku, která právě při odkazu na libovolný soubor začala komunikovat přes standardní HTTP protokol s obejitím Toru.
Chyba se týkala uživatelů Tor Browseru na macOS a Linuxu. Ti by měli co nejrychleji přejít na novou opravenou verzi prohlížeče 7.0.9.
Zranitelnost ROCA: co se děje se slovenskými a estonskými e-občankami?
7.11.2017 Lupa.cz Zranitelnosti
Objev česko-slovenského vědeckého týmu z Masarykovy univerzity v Brně má nepříjemné důsledky pro elektronické občanské průkazy na Slovensku, ale i v Estonsku.
Zatímco u nás doma se kolem občanských průkazů s čipem, elektronického podpisu a služeb eGovernmentu aktuálně nic moc neděje, na Slovensku se naopak „dějí věci“: v nedávných dnech zde orgány veřejné moci přestaly přijímat elektronická podání, podepsaná s pomocí tamních elektronických občanských průkazů, a 31. 10. 2017 (k času 18:23) pak byly zrevokovány všechny kvalifikované certifikáty vystavené k soukromým klíčům na těchto e-občankách. Jejich držitelé si nyní musí pořídit certifikáty nové.
Svým způsobem je to docela bomba, která ale nevybuchla jen na Slovensku. Postihla i další země, konkrétně také Estonsko. I zde nakonec museli revokovat všechny certifikáty na tamních e-občankách (k 3. 11. 2017) a vyzvat jejich držitele k získání nových certifikátů.
Ale proč? Co bylo příčinou? A co je ohroženo?
Zranitelnost ROCA
Za vším je výsledek bádání česko-slovenského týmu vědců z centra CRoCS (Centre for Research on Cryptography and Security) při Fakultě informatiky na Masarykově univerzitě v Brně, ve spolupráci se společností Enigma Bridge a italskou Ca' Foscari University.
Presenting now, The Return of Coppersmith's Attack: Practical Factorization of Widely Used RSA Moduli #CCS17 @acm_ccs #RealWorldImpact award winner
15:05 - 2. 11. 2017
1 1 odpověď 8 8 retweetů 13 13lajků
Informace o reklamách na Twitteru a soukromí
Svůj objev prezentovali minulý týden na konferenci ACM CCS 2017, kde za něj dostali jedno ze dvou hlavních ocenění (Real-World Impact Award).
Zdroj: DSL.SK
Podstatou je nalezení chyby v jedné konkrétní softwarové knihovně (RSA Library version v1.02.013 od německé společnosti Infineon), která se využívá v některých krypto-čipech (a to již od roku 2012) pro generování klíčových párů (soukromého a veřejného klíče) pro podpisové schéma RSA. Konkrétně chybuje v generování velkých prvočísel, které jsou u RSA základem pro výpočet obou klíčů. Používá k tomu „urychlovací algoritmus“ Fast Prime, který ale v daném případě negeneruje ona prvočísla tak, jak by správně měl.
Nalezená chyba pak v konkrétních případech (při použití klíčů generovaných touto knihovnou) nabourává základní předpoklad pro praktickou použitelnost elektronického podpisu: že z veřejného klíče není možné odvodit (vypočítat) klíč soukromý. Přesněji: že to nejde rychleji než za dobu tak dlouhou a s takovými náklady, že už by to pro nikoho nemělo cenu. Bohužel z veřejného klíče, který byl vygenerován onou chybující knihovnou, lze soukromý klíč odvodit mnohem rychleji – tak rychle (a s relativně nízkými náklady), že už by se to někomu mohlo vyplatit.
Za jak dlouho by se to podařilo, uvádí autoři v popisu svého objevu: pro dnes nejčastěji používané klíče o velikosti 2048 bitů je to (v nejhorším případě) cca 140 roků běhu jednoho vlákna běžně dostupného CPU. S tím, že výpočet (proces hledání) lze dobře paralelizovat a využít tak více vláken a celých procesorů současně, a tím násobně zkrátit reálný čas výpočtu, klidně i na dny, či dokonce hodiny. Odhad max. nákladů, které autoři uvádí pro prolomení klíče o velikosti 2048 bitů (nalezení soukromého klíče ke konkrétnímu veřejnému klíči), při použití cloudových služeb Amazon AWS c4, je asi 40 000 USD. Pro klíče o velikosti 1024 bitů by to pak bylo jen nějakých (maximálních) 80 USD.
Následně, již po zveřejnění na konferenci ACM, se v odborné komunitě objevily zprávy o možnosti ještě rychlejšího a levnějšího prolomení.
Takovéto prolomení, pro jehož vlastní verzi autoři použili označení ROCA (The Return of Coppersmith's Attack), už by pro někoho (se zlými úmysly) mohlo být reálně využitelné. S nedozírnými následky pro toho, jehož soukromý klíč by byl touto cestou odvozen (vypočítán).
Co je ve hře?
To, že z veřejného klíče není možné odvodit klíč soukromý, resp. že to nejde rychleji, než za nějakou opravdu extrémně dlouhou dobu, je alfou a omegou naší důvěry v elektronické podpisy i základním předpokladem pro možnosti jejich praktického využití. Tedy alespoň u „skutečných“ elektronických podpisů, které jsou založeny na algoritmech a metodách kryptografie a které bychom správně měli označovat spíše jako digitální. Neformálně si je můžeme představovat také jako „počítané“ (ve smyslu: vznikající výpočtem).
Zdůrazňuji to proto, že naše legislativa používá pojem „elektronický podpis“ i pro takové úkony v elektronickém světě, které s kryptografií nemají nic společného, s žádnými klíči vůbec nepracují a u kterých ani není co počítat, co ověřovat, natož pak prolamovat. Ani na co se spoléhat – ale to by bylo na jiné povídání (které už jsem jednou zde na Lupě publikoval).
Pokud tedy zůstaneme u těch elektronických podpisů, které vychází z algoritmů a metod kryptografie a které se soukromými a veřejnými klíči pracují – pak si musíme uvědomit, jak fungují: při podepisování (vytváření elektronického podpisu) podepisující osoba používá svůj soukromý klíč, zatímco platnost již vytvořeného podpisu si protistrana (příjemce, resp. tzv. spoléhající se osoba) ověřuje pomocí veřejného klíče. To znamená, že podepisující osoba si musí pečlivě hlídat svůj soukromý klíč, aby s ním nemohl vládnout nikdo jiný (protože jinak by se mohl podepisovat místo ní). A naopak: veřejný klíč potřebuje mít k dispozici každý, kdo nějaký podepsaný dokument přijímá a má mít možnost si ověřit jeho platnost.
Proto je nutné, aby oprávněný držitel soukromého klíče mohl bez obav dát odpovídající veřejný klíč skutečně komukoli: musí mít jistotu, že ten, kdo jeho veřejný klíč získá, z něj nebude moci odvodit (vypočítat) odpovídající soukromý klíč. Přesněji: že to nedokáže tak rychle, aby ho mohl jakkoli zneužít.
V praxi se veřejné klíče rozdávají nikoli samostatně, ale jako součást certifikátů vystavovaných certifikačními autoritami. Certifikát je vlastně jakési dobrozdání či osvědčení od třetí důvěryhodné strany (certifikační autority), určené širší veřejnosti. Říká, kdo prohlašuje za svůj ten soukromý klíč, kterému odpovídá veřejný klíč obsažený v certifikátu. Podle toho se pak, při ověřování elektronického podpisu (pomocí veřejného klíče), tento podpis přisuzuje konkrétnímu původci. Tj. za podepsanou osobu se považuje ta osoba, jejíž identita je uvedena v certifikátu.
Nicméně samotný soukromý klíč v certifikátu obsažen není a být ani nemůže, a to již z principu (protože certifikáty jsou v zásadě veřejné).
Bývá dobrým zvykem přikládat takovýto certifikát přímo ke konkrétnímu elektronickému podpisu, aby jej příjemce měl k dispozici a nemusel jej sám někde hledat. Třeba na webu té certifikační autority, která certifikát vydala – protože standardním postupem (pokud držitel certifikátu neřekne jinak) je to, že jej autorita zveřejní sama.
V praxi to reálně znamená, že držitel soukromého klíče nemá žádnou kontrolu nad tím, jak se dále šíří jeho veřejný klíč, obsažený v příslušném certifikátu. Kdokoli si ho mohl stáhnout (z webu vydavatele), nebo ho získal z kteréhokoli podepsaného dokumentu, ke kterému se mohl dostat jakkoli. Ostatně, i tomu vděčí veřejný klíč za svůj přívlastek („veřejný“).
Proto je jakékoli narušení základního principu – že z veřejného klíče nejde reálně odvodit klíč soukromý – tak nebezpečné. Protože ten, kdo by si soukromý klíč přeci jen dokázal (v nějakém „ještě únosném“ čase) z veřejného klíče odvodit, by se mohl podepisovat místo oprávněného držitele soukromého klíče. A nikdo by už nedokázal rozlišit, kdo je skutečným autorem konkrétního podpisu.
Se znalostí soukromého klíče by pak mohl ten, kdo zná jeho hodnotu, elektronicky podepsat třeba smlouvu o prodeji domu, který patří oprávněnému držiteli soukromého klíče. A to bez jeho vědomí, ale vlastně jeho jménem. Pokud by se jednalo o soukromý klíč, ke kterému byl vystaven kvalifikovaný certifikát, šlo by (zde v ČR) o tzv. uznávaný elektronický podpis a jím podepsanou smlouvu by Katastr měl akceptovat jako součást žádosti o vklad. Obdobně pro všechny právní úkony (právní jednání), které lze realizovat elektronickou cestou za použití uznávaných elektronických podpisů. Raději nedomýšlet…
Nedivme se proto, že na Slovensku dočasně přestali přijímat takovéto elektronické podpisy (u kterých prolomení hrozí) a že dochází k revokaci již vystavených certifikátů a vydávání nových. Je spíše otázkou, zda jsou tato opatření dostatečná a zda nepřichází pozdě.
Kde nebezpečí hrozí a jak bylo zveřejněno?
Zdůrazněme si, že právě popsaná zranitelnost (ROCA) se netýká samotného principu fungování (digitálních, kryptografických, resp. „počítaných“) elektronických podpisů. Nejde o žádnou chybu či problém celého jejich konceptu, ani podpisového schématu RSA jako takového. Jde o důsledek chyby jednoho konkrétního softwaru (knihovny), kterou je třeba opravit a napravit přímé důsledky této chyby.
Výzkumný tým podle svého vyjádření odhalil popisovanou zranitelnost (chybu) koncem ledna tohoto roku. Zjistil, že německá společnost Infineon Technologies AG svou chybující knihovnu využívá ve svých čipech, které jsou základem různých kryptografických modulů (TPM, Trusted Platform Module), stejně jako čipových karet a USB tokenů.
Proto tým z MU v Brně ihned informoval společnost Infineon o svém zjištění a v duchu principu tzv. zodpovědného odhalení (Responsible disclosure) počkal plných 8 měsíců se zveřejněním svého zjištění. A i toto zveřejnění „rozfázoval“ do dvou hlavních etap: nejprve (v polovině října) zveřejnil obecnější popis celého zjištění (např. zde) a teprve na konci října a přelomu listopadu pak na již zmiňované konferenci ACM (CCS 2017) představil detaily.
Ona prodleva 8 měsíců umožnila, aby výrobce vadných čipů stihl zareagovat a aby se mohlo zjistit, kam všude se chyba rozšířila – koho a co zasáhla. Prohlášení samotné společnosti Infineon je ale jen dosti obecné, když hovoří jen o „informování zákazníků“ a nabídce cest ke „zmírnění dopadů“.
Dlužno dodat, že německá společnost Infineon není zdaleka jediným výrobcem kryptografických čipů a také ne všechny její produkty mají v sobě „zadrátovánu“ onu chybující knihovnu. A navíc, podle jejího prohlášení, se nalezená zranitelnost (chyba) projevuje jen tam, kde je u oné knihovny zapnuta akcelerace při hledání prvočísel pro potřeby generování klíčového páru.
Jinými slovy: nalézt konkrétní produkty či služby, které nalezenou zranitelností trpí, je poněkud složitější.
Dnes již víme, že zranitelnost se týká například čipů řady SLE78CFX3000P v nových elektronických občankách na Slovensku (ale stejně tak e-občanek v Estonsku a zřejmě i v Rakousku). Ale díky kryptomodulům TPM (Trusted Platform Module) je dosah celého problému nejspíše mnohem širší a „mapování“ jeho dosahů stále probíhá.
Různých seznamů toho, na co (a na koho) nově objevená zranitelnost dopadá, je samozřejmě více. Asi nejsystematičtější a nejrozsáhlejší přehled, který jsem zatím našel, publikoval a dále aktualizuje britský National Cyber Security Centre: podle něj se zranitelnost týká například platformy ChromeOS, zařízení Yubikey či autentizační karty Gemalto IDPrime.Net, ale také platformy Windows. Zde, na platformě Windows, jde například o použití služby BitLocker s TPM 1.2. Zmíněný seznam britské NCSC pak obsahuje i odkazy na weby příslušných výrobců, kde oni sami informují o postupech řešení a nápravy.
Jak zjistit, zda jste ohroženi?
Možná nejjednodušší cestou, jak zjistit, zda se nově objevená zranitelnost týká i vás, je využít „detekčních“ prostředků, které zpřístupnili sami autoři objevu. Podařilo se jim totiž najít způsob, jak přímo (a pouze) z veřejného klíče snadno a rychle poznat, zda je, či není ohrožen zranitelností ROCA.
Odkazy na tyto prostředky najdete v popisu celé zranitelnosti a jsou dostupné jak pro off-line použití, tak i pro využití on-line. Existuje i jejich emailová verze: pokud na adresu roca@keychest.net pošlete elektronicky podepsaný email, jako odpověď dostanete zprávu o tom, zda váš veřejný klíč (obsažený v podpisovém certifikátu) je v bezpečí.
Nejjednodušší je asi využít on-line verze nástrojů a nechat si zkontrolovat přímo své certifikáty: sám jsem si takto ověřil všechny své kvalifikované i nekvalifikované certifikáty od tuzemských (i zahraničních) vydavatelů a žádný z nich nebyl zranitelností postižen.
Ověřil jsem si takto i starší a dnes již neplatný certifikát, vystavený k soukromému klíči generovanému na mém (českém) občanském průkazu s čipem, a i zde bylo vše v pořádku.
K čemu jsou elektronické občanky?
Naše stávající občanské průkazy s čipem, vydávané od 1. 1. 2012, tedy zřejmě nejsou zranitelností ROCA ohroženy. Už i proto, že jsou vlastně starší a používají technologie dostupné ještě před rokem 2012 (zatímco ona chybující knihovna od společnosti Infineon pochází právě z roku 2012).
Navíc je dobré si připomenout, že naše stávající občanské průkazy, a to i ve verzi s čipem, vlastně vůbec nejsou elektronické. Jejich základní funkcí je prokazování totožnosti, resp. identifikace a autentizace – a z tohoto pohledu jsou jen prostým kusem plastu, na kterém jsou natištěny potřebné údaje (včetně fotografie držitele). Však také tyto své funkce plní úplně stejně i ve verzi bez čipu.
Varianta s čipem, kterou si za příplatek 500 Kč pořídilo jen úplné minimum lidí, podle původních představ možná měla nějak umožňovat a podporovat elektronickou identifikaci a autentizaci, ale zákonodárci to bohužel „nedomysleli“ – když cestou práva umožnili využít onen čip pouze jako úložiště soukromých klíčů (a certifikátů) pro elektronický podpis. Navíc bez toho, že by tento čip, resp. celý občanský průkaz, prošel certifikací na bezpečný (dnes: kvalifikovaný) prostředek pro vytváření elektronických podpisů (SSCD, resp. QSCD).
Takže ve finále je to vlastně jen taková dvojkombinace: čistě plastová občanka, plus (necertifikovaná) čipová karta, kterou je možné využít pro elektronické podepisování. Ale nikoli formou nejspolehlivějšího kvalifikovaného elektronického podpisu, protože k tomu by byla nutná právě ona certifikace na bezpečný/kvalifikovaný prostředek (SSCD/QSCD).
Zdůrazněme si, že zranitelnost ROCA se týká jen funkce čipové karty. A to ještě jenom tam, kde je klíčový pár (soukromý a veřejný klíč) generován přímo uvnitř čipu.
Je to důležité pro správné pochopení toho, co se nyní děje se slovenskými občanskými průkazy (eID) a také s tamními elektronickými doklady o pobytu (eDoPP): stejně jako v našem případě to jsou „dvojkombinace“, zahrnující jak „průkaz totožnosti“ (eID funkci), tak i čipovou kartu pro potřeby elektronického podpisu.
Na rozdíl od našich průkazů ale jsou ty slovenské skutečně elektronické, a to v obou svých částech, resp. funkcích. Tedy i pokud jde o funkci elektronické identifikace a autentizace, která ale není zranitelností ROCA nijak ohrožena – a svou roli „skutečně elektronického průkazu totožnosti“ tak slovenské průkazy mohou plnit i nadále a beze změny.
Zranitelností ROCA je ohrožena pouze ta část slovenských průkazů, která je fakticky čipovou kartou pro uchovávání soukromých klíčů a k nim vystavených kvalifikovaných certifikátů. Podstatným rozdílem oproti našim občanským průkazům s čipem, resp. jejich funkce čipové karty, je skutečnost, že na Slovensku tato část průkazu prošla potřebnou certifikací a je bezpečným prostředkem pro vytváření elektronických podpisů (SSCD, dnes „kvalifikovaným prostředkem“, zkratkou QSCD).
Na Slovensku totiž od začátku dodržují ducha unijní legislativy k elektronickým podpisům, která počítá s používáním bezpečných (dnes: kvalifikovaných) prostředků pro vytváření elektronických podpisů – zatímco u nás jsme se již v roce 2000 vydali cestou národních výjimek („přeci nebudeme lidi nutit kupovat si nějakou drahou čipovou kartu“) a zavedli si uznávané elektronické podpisy (které nevyžadují ony bezpečné/kvalifikované prostředky). Nicméně skutečné využití občanského průkazu jako bezpečného prostředku pro vytváření el. podpisů je i na Slovensku dobrovolné, a nikoli povinné. Čip sice mají všechny průkazy (kterých bylo vydáno již cca 2,5 milionu), ale klíče a certifikáty si na nich nechávají generovat jen ti, co o tuto možnost mají zájem (těch bylo cca 300 000, zdroj).
Paradoxně jsou ale dnes na Slovensku biti za to, že se vydali předepsanou cestou bezpečných/kvalifikovaných prostředků – a doplatili na to, že ani předepsaná certifikace bezpečných prostředků v akreditovaných laboratořích (zde konkrétně provedená v Německu) nedokázala odhalit dnes popisovanou zranitelnost. Což je docela smutné zjištění.
Jak postupovali na Slovensku a jak v Estonsku
Jak jsme si již řekli v úvodu článku, na Slovensku nakonec – po určitém počátečním váhání, nepochopení a popírání celého problému a jeho zlehčování – nakonec přistoupili k revokaci podpisových certifikátů, umístěných na čipu tamních občanských průkazů a dokladů o pobytu. Přesněji: všech tří certifikátů, které jsou zde umístěny a které byly vydány k soukromým klíčům, vygenerovaným v příslušném páru přímo na kartě a jejím čipu (s využitím chybující knihovny): jde o kvalifikovaný certifikát pro elektronický podpis (certifikát ACA, dle bodu 15 článku 3 nařízení eIDAS), dále o (ne-kvalifikovaný) certifikát pro elektronický podpis (certifikát PCA, dle bodu 14 článku 3 nařízení eIDAS) a dále o šifrovací certifikát (certifikát SCA). Podle tohoto zdroje mělo být revokováno celkem 296 037 kvalifikovaných certifikátů.
Současně na Slovensku vyzvali ty držitele, kteří nadále chtějí využívat své průkazy i pro elektronické podepisování, aby si pořídili certifikáty nové. Původní představa byla taková, že to půjde zařídit na dálku, ale nakonec to přeci jen vyžaduje osobní účast (dostavit se na „kterékoli oddělení dokladů“). Mělo by se jednat o nové certifikáty ke klíčům o velikosti 3072 bitů. U těch je ale, alespoň podle tohoto zdroje, otázkou, zda také nejsou ohroženy zranitelností ROCA.
Nicméně i toto by mělo být jen krátkodobým řešením před přechodem na řešení zásadnější. Tím by měl být (prý již v lednu 2018) přechod na podpisové schéma DSA, resp. jeho variantu s eliptickými křivkami ECDSA. Zde už se totiž s prvočísly vůbec nepracuje, a tak zde nalezená zranitelnost ROCA nehrozí. Také další vlastnosti tohoto podpisového schématu jsou příznivější (např. pro praktické nasazení vyžadují menší výpočetní kapacitu). Nevýhodou je ale to, že u nich již nejde jednoduše „obrátit“ využití soukromého a veřejného klíče a místo k podepisování je využít pro šifrování. To jde dělat jen u schématu RSA, kde se dá šifrovat veřejným klíčem a dešifrovat klíčem soukromým.
Celkově je ale možné konstatovat, že na Slovensku se „začaly dít věci“ až po první fázi zveřejnění celé zranitelnosti, tedy až ve druhé půlce října. I když (podle tohoto zdroje) se slovenská autorita Disig, vydávající certifikáty pro tamní e-občanky, o problému dozvěděla již 20. června 2017. A nedovedu si představit, že by si to nechala jen pro sebe a neinformovala o tom kompetentní orgány státu.
To Estonsko veřejně zareagovalo prakticky okamžitě poté, co bylo (30. srpna) o nalezené zranitelnosti informováno přímo jejími objeviteli – s tím, že nebezpečí nebere na lehkou váhu a dále jej zkoumá. K tomu je vhodné dodat, že v Estonsku bylo před volbami, které tam mohou probíhat i elektronicky, právě s využitím tamních elektronických občanek. O to více si Estonci nemohli dovolit problém jakkoli ignorovat či jen bagatelizovat.
Podle tohoto zdroje estonský předseda vlády, jakmile se o zranitelnosti dozvěděl, odvolal plánovanou státní návštěvu Polska a jal se věci řešit. Asi i včetně hodnocení toho, co a jak hrozí a zda nebude nutné odvolat nadcházející volby. To na Slovensku tamní ministr vnitra Kaliňák zareagoval „trochu jinak“ (výzvou, ať mu hacknou jeho e-občanku).
Jedním z prvních opatření, které v Estonsku přijali (počátkem září, a tedy jen několik málo dnů, co se o problému dozvěděli), bylo znepřístupnění (uzavření) veřejné databáze certifikátů na e-občankách. Museli tedy již znát podstatu zranitelnosti a vědět, že hrozí právě odvození soukromého klíče z klíče veřejného. Současně doporučili svým občanům, aby místo „čipových“ e-občanek raději používali mobilní eID, které nalezenou zranitelností netrpí. Informovali i své e-rezidenty, kterých se celý problém týká také.
Nakonec i v Estonsku, po zveřejnění detailů celé zranitelnosti a s pravděpodobnou brzkou dostupností různých nástrojů na reálné prolamování soukromých klíčů, přistoupili také k revokaci všech certifikátů ze svých e-občanek (viz úvod článku). Současně vyzvali jejich držitele k získání nových.
V souvislosti se zranitelností ROCA se hodně mluvilo i o Rakousku, které by mělo být také „zasaženo“. Tamní e-občanky ale již delší dobu používají podpisové schéma ECDSA (tedy to, na které na Slovensku i v Estonsku teprve chtějí přejít), a tudíž zranitelností ROCA nejsou ohroženi.
Co způsobila revokace?
Za zmínku určitě stojí i dopady hromadné revokace certifikátů, ke které došlo na Slovensku i v Estonsku – k datu 31. 10. 2017, resp. 3. 11. 2017. Jak to tedy je s platností podpisů vytvořených ještě před tímto datem?
Obecně je možné konstatovat, že platnost takovýchto podpisů ovlivněna není, protože se s časem nemění. Co se ale v čase mění a co je revokací zásadně ovlivněno, je naše schopnost ověřit a prokázat stav platnosti nějakého konkrétního podpisu.
U takových dokumentů, které byly řádně podepsány ještě před revokací podpisového certifikátu, a stejně tak byly ještě před revokací opatřeny (kvalifikovaným) časovým razítkem, se na možnosti ověřit jejich platnost nic nemění. Díky časovému razítku je totiž možné prokázat, že podpis existoval již před okamžikem přidání razítka. Zde tedy problém nevzniká, resp. možnost ověření se kvůli revokaci nemění.
Ovšem u dokumentů, které sice byly podepsány před revokací, ale ke kterým nebylo včas (rozuměj: ještě před revokací) přidáno časové razítko, už problém je. Kvůli absenci (kvalifikovaného) časového razítka totiž přicházíme o důkaz toho, že podpis existoval již před okamžikem revokace. Obvyklé metody (strojového) ověřování platnosti pak musí ověřovat platnost podpisu k aktuálnímu časovému okamžiku (tedy: už po revokaci), a už tedy nemohou podpis ověřit jako platný.
Možnost ověřit takovýto podpis bez časového razítka však stále existuje, ale už je to spíše na „ruční“ ověřování, případně až na ověřování před soudem cestou soudního znalce: musí se najít nějaký jiný důkaz (než chybějící časové razítko), který bude dosvědčovat, že daný podpis existoval ještě před revokací. A bude na „lidském“ posouzení (případně až před soudem), zda je takovýto důkaz dostatečně spolehlivý (i vzhledem k tomu, co je ve hře).
Příkladem takového důkazu o existenci podpisu v určitém čase může být třeba záznam elektronické podatelny o okamžiku přijetí podepsaného dokumentu. Nebo nějaká „digitální stopa“, případně svědecká výpověď apod.
Takže: ne, že by to nešlo (prokázat platnost podpisu i bez časového razítka). Ale může to být dosti složité, hodně nákladné a nemusí to vždy vést k očekávanému výsledku.
Berme to proto jako ponaučení a argument pro používání (kvalifikovaných) časových razítek i tam, kde to není explicitně předepsáno jako povinnost. V ČR to mají jako povinnost (z §11 zákona č. 297/2016 Sb.) všechny orgány veřejné moci, u všech elektronických dokumentů, které produkují v rámci výkonu své působnosti: musí podepisovat (nebo pečetit) a současně musí opatřovat časovými razítky. Pro právnické a fyzické osoby ale připojování časových razítek povinností není. Nicméně lze to vřele doporučit, i kvůli právě popsanému příkladu ze Slovenska a Estonska.
K tomu lze ještě dodat, že časová razítka nejsou zdarma. Nicméně i „v malém“ stojí srovnatelně či méně než tisk či kopírování jedné strany A4. A rozhodně mnohem méně, než jaké mohou být náklady na řešení případných sporů, když dojde na příslovečné lámání chleba.
Je to vůbec rozumné?
Na samotný závěr možná ještě jeden osobní postřeh a názor: podle mne není úplně ideální kombinovat v sobě (elektronický) průkaz totožnosti a čipovou kartu (bezpečný/kvalifikovaný prostředek pro vytváření elektronických podpisů).
Samozřejmě to má určité výhody, ale i řadu nevýhod, které spíše převažují. Například to, že „režim používání“ bývá odlišný: průkaz totožnosti u sebe obvykle nosíme pořád, zatímco čipovou kartu pro podepisování už pořád u sebe mít nemusíme. Spíše si ji nějak hlídáme a raději uchováváme na nějakém bezpečném místě. Nehledě již na rozdílnou „životnost“ průkazu totožnosti (klidně i 10 let) a podpisových certifikátů (dnes standardně 1 rok).
Nebo, a to se ukazuje právě nyní: když u jedné složky takovéto „dvojkombinace“ dojde k nějakému problému, veze se s ní i druhá složka. A zdaleka ne každý dokáže rozlišit, čeho se problém týká, a čeho naopak nikoli.
Ransomware? Bad Rabbit spíše pouze maskoval phishingový útok na Ukrajině
7.11.2017 CNEWS.cz Viry
Co když sledujete útok a nevšimnete si, že mezitím za vašimi zády probíhá útok jiný? Na Ukrajině během výskytu Bad Rabbitu probíhal útok phishingový.
Koncem října postihl část světa další velký útok ransomwaru, jenž vzbudil pozornost médií. Vypadá to, že v tomto roce je vůbec nejvíce postižena Ukrajina, nebo aspoň patří k nejvíce postiženým. Zatímco ransomware WannaCry postihl mnoho organizací po celém světě, koncem června dorazila hrozba jménem Petya. Tentokrát byla nejvíce postižena právě Ukrajina.
Zajímavé je, že ačkoli se zdánlivě jednalo o útok ransomwaru, ve skutečnosti to byl spíše zákeřný malware, jehož cílem byl způsobit rozsáhlé škody. Dodávám, že cílem ransomwaru je naproti tomu vydělat peníze – zašifruje data na počítači a pak za ně vyžaduje výkupné. Malware byl tedy založen na ransomwaru Petya, nicméně s ohledem na jeho chování a účel byl tento škodlivý kód bezpečnostními experty a expertkami nazván i jako NotPetya.
Ransomware pro odvedení pozornosti
NotPetya není mrtvý. Jak ukazují nedávná zkoumání, na jeho základech staví nedávno řádící ransomware Bad Rabbit. Malwarebytes Labs uvádí, že za oběma škodlivými kódy stojí pravděpodobně stejní lidé. Se zajímavým tvrzením pak exkluzívně přišla agentura Reuters, jež před pár dny získala vyjádření šéfa kybernetické policie Serhiye Demedyuka.
Zatímco byl svět zaneprázdněn Bad Rabbitem, probíhal na Ukrajině paralelně jiný útok. Jednalo se o phishingový útok s cílem ukrást informace finanční a tajné informace. Ačkoli se v Rusku Bad Rabbit rozšířil více, nová informace říká, že hlavním cílem byla pravděpodobně Ukrajina. Demedyuk řekl, že se hybridní útoky stávají běžnými. Samotná taktika, kdy je vyvolána událost, která odpoutá pozornost od skutečného problému, není vůbec nová.
Ransomware Petya (foto: Avast)
Phishingový útok byl zacílen na uživatelky a uživatele softwaru od ruské firmy 1C, jež produkuje mj. nástroje pro účetnictví. Útok ransomwaru Petya/NotPetya byl přitom zahájen rovněž prostřednictvím softwaru pro účetnictví, jenž se nazývá M.E.Doc. Podvodné e-maily rozeslané během nedávného útoku se tvářily, jako by přicházely od vývojářského studia 1C. Ukrajinská policie získala oznámení od patnácti firem, které phishingovému útoku podlehly.
Celkový rozsah útoku prý zatím odhadnout nelze. Zato je zajímavé, že ukrajinské orgány dokázaly od června zastavit pětici velkých útoků na finanční instituce a strategickou infrastrukturu, jak zjistili v Reuters.
V USA chystají obvinění členů ruské vlády z hackerských útoků
7.11.2017 Novinky/Bezpečnost BigBrother
Americké ministerstvo spravedlnosti má dostatek důkazů, aby obvinilo šest členů ruské vlády z podílu na loňském hackerském útoku proti serverům Demokratické strany. Oznámil to list The Wall Street Journal. Prokuratura by prý mohla přivést kauzu k soudu příští rok, podle amerického listu je ale zadržení obviněných nepravděpodobné.
Z Ruska byl údajně před loňskými prezidentskými volbami v USA veden hackerský útok, při němž bylo ze serverů americké Demokratické strany ukradeno velké množství elektronické pošty, která vrhala nepříznivé světlo na prezidentskou kandidátku Hillary Clintonovou. Později se e-maily objevily na kontroverzním serveru WikiLeaks.
Americká kontrarozvědka už v lednu údajně zjistila, že útok zorganizovaly ruské tajné služby na přímý příkaz prezidenta Vladimira Putina, který chtěl Clintonovou znevýhodnit v souboji s republikánským kandidátem a pozdějším volebním vítězem Donaldem Trumpem. Kreml jakékoli vměšování do amerických voleb popírá.
U soudu příští rok
Na vyšetřování v USA se podle listu The Wall Street Journal podíleli agenti FBI a prokurátoři z Washingtonu, Filadelfie, Pittsburghu a San Franciska. Kauza by se mohla dostat před soud příští rok. Obvinění by ruským činitelům znepříjemnilo cesty do zahraničí, zatýkání či věznění se ale nepředpokládá, píše americký list.
Spojené státy obvinily Rusy z hackerských útoků už letos v březnu. Ministerstvo spravedlnosti vzneslo obvinění proti dvěma ruským zpravodajským důstojníkům a dvěma hackerům, kteří údajně v roce 2014 organizovali útok na půl miliónu účtů internetové společnosti Yahoo.
Ruská oficiální místa na informaci amerického listu zatím nereagovala. Ruská agentura RBK napsala, že jména údajných ruských viníků by mohla být zveřejněna počátkem příštího roku.
Populární stránka ke streamování anime Crunchyroll infikovala návštěvníky malwarem
6.11.2017 Živě.cz Viry
Je celkem obvyklé, že na velké weby čas od času zaútočí podlí útočníci, ale Crunchyroll, největší streamovací služba s japonskými seriály anime, se stala o víkendu terčem mimořádné závažného útoku.Neznámí pachatelé nahradili domovskou stránku Crunchyroll falešnou a návštěvníky zkoušeli infikovat malwarem.K útoku došlo během soboty. Útočníci se snažili docílit toho, aby si návštěvníci s Windows PC stáhli infikovaný program „CrunchyViewer“. Když to člověk udělal a soubor spustil, na pozadí systému se mu aktivoval nechtěný proces. Mobilní uživatelé ohroženi nebyli. Stalo se to, že útočníkům se podařilo napadnou Cloudflare konfiguraci mateřské společnosti služby Ellation, která běžně přesměrovává provoz do Crunchyroll a nasměrovali ji na falešný server obsahující malware. Dobrá správa pro uživatele tak je, že vlastní stránka zasažena nebyla a všechny uživatelské účty jsou v bezpečí.V tuto chvíli je již vše v pořádku a návštěvníci se nemusí ničeho obávat. Bude ale chvíli trvat, než se internet dozví, kdo za útokem stál.
Je celkem obvyklé, že na velké weby čas od času zaútočí podlí útočníci, ale Crunchyroll, největší streamovací služba s japonskými seriály anime, se stala o víkendu terčem mimořádně závažného útoku. Neznámí pachatelé nahradili hlavní stránku falešnou a návštěvníky zkoušeli infikovat malwarem.
K útoku došlo během soboty. Útočníci se snažili docílit toho, aby si návštěvníci s Windows PC stáhli infikovaný program „CrunchyViewer“. Když to člověk udělal a soubor spustil, na pozadí systému se mu aktivoval nechtěný proces. Mobilní uživatelé ohroženi nebyli.
Kdo za útokem stojí a co bylo jeho účelem, je předmětem vyšetřování. Stalo se nicméně to, že útočníkům se podařilo napadnou konfiguraci uložiště Cloudflare mateřské společnosti služby Ellation, která běžně přesměrovává provoz do Crunchyroll, a nasměrovali ji na falešný server obsahující malware. Vlastní stránka zasažena nebyla a všechny uživatelské účty jsou v bezpečí.
Nic tragického se nestalo, ani pokud člověk infikovaný soubor stáhnul a nespustil. Pokud tak však udělal, je možné manuálně odstranit problematické soubory a registry. Jak na to, Ellation popisuje na své stránce.
Patchovat, záplatovat, zadrátovat, zalepit …
2.11.2017 SecurityWorld Zabezpečení
díry a zranitelnosti operačních systémů a aplikací.
Na úvod pár faktů:
Věděli jste, že:
z celkového počtu odhalených kyber útoků na celém světě bylo 30 % zaměřeno na produkty společnosti Adobe a aplikací Java a Microsoft Internet Explorer?
mezi tři nejčastěji napadané technologie v tomto roce patřili Adobe Flash Player, Microsoft Internet Explorer a Microsoft Silverlight?
77 % ze všech odhalených vyděračských útoků (ransomware) bylo orientováno na oblasti obchodu a poskytování profesionálních služeb (28 %), státní správy (19 %), zdravotnictví (15 %) a maloobchodu (15 %)?
účinný proces patch managementu je pro mnoho IT oddělení stále velkou výzvou? Až 21 % IT oddělení provozuje systémy, které nemají ošetřenou vulnerabilitu (zranitelnost), která je známá již více než tři roky a u 12 % z nich dokonce i více jak pět let. Pro zkušené hackery nebo pro automatizované kyber zločince je zneužití těchto děr velmi jednoduché. A přitom se nabízí opravdu jednoduché řešení zavedením účinného programu pro ošetřování zranitelnosti systémů, v rámci pravidelného procesu patch managementu okamžitě dojde ke zvýšení obtížnosti jejich zneužití.
do roku 2020 se počet připojených zařízení zvýší ze současných 7 na více jak 20 miliard. Toto postupné sbližování klasických IT zařízení s jinými zařízeními (např. ze skupiny IoT) bude mít za následek enormní nárůst počtu zranitelností, které bude potřeba zvládnout.
… cílem každé organizace by mělo být vybudování odolného systému, který minimalizuje dopad závažných útoků na provoz podnikové sítě a systémů. Dosažení takto odolného systému je výzvou, výběrem a implementací správných bezpečnostních pravidel je možné toho dosáhnout. Bezpodmínečnou podmínkou je ovšem udržovat všechny IT systémy aktualizované. Mnoho úspěšných útoků vychází ze skutečnosti, že laptopy, desktopy, smartphony a další zařízení nemají nainstalovány poslední aktualizace a patche. Bez pravidelné aktualizace systémů a instalace patchí zůstanou zařízení s oslabeným zabezpečením, které mohou útočníci zneužít. …
Zdroj: NTT Security & NTT Data, 2017 Global Threat Intelligence Report
S odkazem na poslední vyděračské útoky (WannaCry a Petya/Petrwrap) je třeba si uvědomit, že se nejedná o žádný nám vzdálený problém. Bez vlivu nezůstaly řady společností a státních organizací v České republice i na Slovensku. Na druhou stranu je třeba si připustit, že se nikdy nepodaří těmto napadením zcela zabránit, což ovšem nesmí být argumentací pro ignorování těchto rizik. Pokud chcete, aby vaše systémy byly pod maximální možnou ochranou, musíte pravidelně provádět patchování, a to jak operačních systémů, tak aplikací, a nezapomínat na aplikace třetích stran. Jedním z výzkumů bylo zjištěno, že právě aplikace třetích stran se mohou stát až z 86% branou pro nezvané hosty do vaší sítě.
S udržováním systémů v aktuálním stavu vám pomohou specializované nástroje, které jsou schopny celý proces provádět zcela automatizovaně bez zbytečného nadužívání lidských zdrojů a s detailními zprávami z průběhu celého procesu patch managementu, například od společnosti Ivanti.
Právě s ohledem na výše uvedené bych se s vámi rád podělil o svou osobní zkušenost spojenou s touto problematikou. Ještě nedávno jsem stál na straně poskytovatele komplexních ICT služeb v roli manažera týmu, jehož úkolem bylo zajištění provozu všech IT služeb pro jednoho z nejvýznamnějších zákazníků. Jedním z rutinních úkolů mého týmu bylo i provádění pravidelného patchování operačního systému Microsoft Windows u fyzických i virtuálních serverů. Patchování bylo součástí servisní smlouvy se zákazníkem a nebylo možné jakkoliv tuto činnost omezovat, a to ani s ohledem na požadavek snižování výdajů na práci přesčas. Každý měsíc ve čtyřech týdenních cyklech bylo nutné naimplementovat vybraný seznam patchí na více jak 300 serverů, a to pouze o víkendech a přesně v době tomu vymezené. Podle platného procesu byl každý víkend třemi až čtyřmi techniky manuálně navolen seznam schválených patchí pro skupinu až 75 serverů a následně s podporou WSUSu spuštěn proces aktualizace, který byl po celou dobu víceméně aktivně techniky monitorován. Určitě si dokážete představit, že celková doba pravidelně představovala něco mezi 15 a 35 hodinami víkendové práce přesčas, kterou bylo nutné zaměstnancům proplatit. Jednalo se tak o nemalé prostředky v řádech tisíců eur měsíčně. Navíc tento systém neumožňoval technikům plnohodnotné využití volného času, který měli mít na odpočinek a rekonvalescenci po perném pracovním týdnu.
Vzhledem k nutnosti zlepšit pracovní podmínky techniků, právě s ohledem na lepší vyvážení času na práci a odpočinek, ale také z důvodu požadavku snížit enormní náklady spojené s prací přesčas, začala společnost uvažovat o změně procesu. Vizí byla implementace takového softwarového nástroje, který celý proces plně automatizuje, minimalizuje možnost vzniku lidských chyb a poskytne detailní informace o celém jeho průběhu a výsledku. To vše za účasti pouze 1 technika, který ve stanovených časech provede kontrolu stavu a případně zkoriguje postup, kdy předpokládaná práce přesčas neměla přesáhnout 2 hodiny.
Šíří se nový ransomware Bad Rabbit, maskuje se jako update Flashe
29.10.2017 Lupa.cz Viry
Počítačové systémy zatím zejména v Rusku a na Ukrajině začal 24. října napadat nový ransomware, pro který se začal používat název Bad Rabbit. Mezi napadenými jsou například ruská tisková agentura Interfax, platební systém v kyjevském metru či mezinárodní letiště v ukrajinské Oděse, informuje server ZDNet.
Podle antivirové firmy ESET stojí přinejmenším za nákazou v kyjevském metru nová varianta ransomwaru Diskcoder.D, který se před několika měsíci proslavil pod jménem Petya/nonPetya.
TIP: Vyděrači v počítači: jaká je nejlepší obrana proti ransomwaru?
Kaspersky Lab pro změnu informují o tom, že malware se do počítačů dostává z nakažených webových stránek. Maskuje se jako update pro Adobe Flash a pokouší se uživatele přesvědčit, aby soubor s malwarem sám spustil.
Podle firmy Check Point malware po nainstalování v počítači zašifruje soubory a za odemčení požaduje výkupné ve výši 0,05 bitcoinu. Na zaplacení dává lhůtu 40 hodin.
Ruská kyberšpionáž, čeští hackeři, zranitelné úřady. BIS vydala výroční zprávu
29.10.2017 Lupa.cz BigBrother
Bezpečnostní informační služba (BIS) tento týden zveřejnila svoji tradiční veřejnou výroční zprávu, tentokrát za rok 2016. Jedna sekce je věnovaná také kybernetické bezpečnosti.
Zpráva informuje, že členové české hackerské skupiny objevili zranitelnosti na webech několika státních institucí a na serveru hostujícím stránky státního představitele. Zmínky padly také o zranitelnosti na portálu jedné banky, plánech českých Anonymous, systému Visapoint nebo ruské kybernetické špionáži.
Celé znění sekce o kyberbezpečnosti ze zprávy BIS:
Obdobně jako v minulých letech monitorovala BIS problémy spojené s fungováním informačního systému Visapoint provozovaného Ministerstvem zahraničních věcí. V minulosti, především pak v roce 2015, se podařilo mnoho těchto problémů úspěšně odstranit, některé však přetrvávají.
Stálým problémem IS Visapoint zůstávají zápisy do systému prováděné automatizovanými softwarovými nástroji. Ty zaregistrují značné množství volných termínů pro pohovory, které jsou nezbytnou součástí žádostí o vízum, a brání tak běžným žadatelům zaregistrovat se standardním způsobem na pohovor na českém zastupitelském úřadu. Běžní žadatelé pak nemají jinou možnost, než od tzv. zprostředkovatele zaregistrovaný termín na pohovor za značnou finanční částku odkoupit.
V průběhu roku BIS informovala MZV o skutečnosti, že někteří ze zprostředkovatelů zápisů na volné termíny pohovorů nalezli způsob překonání pokročilého ochranného prvku reCAPTCHA, který MZV v té době využívalo v IS Visapoint jako ochranu proti automatizovaným softwarovým nástrojům. Ze snahy zprostředkovatelů zápisů překonat prvek reCAPTCHA je zřejmé, že registrace na volné termíny pohovorů je i nadále oblastí, ve které se pohybují značné finanční prostředky.
České hackerské skupiny
V průběhu roku 2016 BIS zjistila, že členové české hackerské skupiny objevili zranitelnosti na webových portálech několika státních institucí a na serveru hostujícím internetové stránky významného českého státního představitele. Skupina využila těchto zranitelností a umístila na portály skript na ovládání serveru (tzv. shell). S ohledem na dřívější i ostatní aktivity hackerské skupiny bylo možné předpokládat snahy o využití objevené zranitelnosti k finančnímu obohacení. Informace o zranitelnosti se mohla tato skupina pokusit prodat ať již přímo dotčeným státním institucím nebo např. osobám z hackerského prostředí.
Skupina objevila na portálu jedné v ČR působící banky konkrétní zranitelnost. Totožná skupina umístila do informačního systému další banky působící v ČR tzv. shell, který jejím členům pravděpodobně umožňoval přistupovat k dalším bankovním systémům. Tento shell měl zároveň sloužit jako tzv. backdoor, a měl tak členům skupiny umožňovat utajený přístup do informačního systému banky i v případě, že by byla odstraněna (tj. opravena nebo zablokována) zranitelnost, již zneužili k prvotnímu průniku do zmíněného informačního systému.
V závěru roku informovala BIS o plánech českých Anonymous uskutečnit elektronické útoky proti webovým portálům českých státních institucí v rámci akce Million Mask March (celosvětový hromadný pochod organizovaný „hnutím“ Anonymous), která se konala 5. listopadu 2016. Na základě obdobných případů z minulosti bylo možné předpokládat nejspíše jednoduché útoky typu (D)DoS, případně defacement, tedy takové útoky, které již čeští Anonymous v minulosti úspěšně provedli.
Zranitelnosti
BIS při šetření ke kompromitacím síťových zařízení kyberšpionážní kampaní získala také informace o konfiguraci portů na některých IP adresách patřících do rozsahu několika českých ministerstev. Některé porty otevřené do internetu umožňovaly přímý přístup k autentizačním formulářům využívaným pro administraci síťových zařízení umístěných na IP adresách spravovaných ministerstvy, v některých případech byla stále používána zastaralá varianta Key Exchange Algorithm, jejíž zranitelnosti již byly publikovány v otevřených zdrojích. BIS rovněž zjistila, že některá síťová zařízení měla v té době již zastaralý firmware.
V průběhu roku poskytla BIS Národnímu bezpečnostnímu úřadu informace o rozcestníku, který umožňuje přístup k doménám využívaným pro elektronické útoky. Tyto domény pak zpravidla slouží pro phishingové útoky, nebo jsou zdrojem pro stažení škodlivých kódů. Útoky z nich vycházející pravděpodobně souvisejí s kyberšpionáží či obecně s kybernetickým zločinem. Jejich existence představuje bezpečnostní riziko především pro možnost kompromitace kritické informační infrastruktury nebo významných informačních systémů na území ČR a následné špionáže či napadení.
Ruská kybernetická špionáž
BIS v roce 2016 pokračovala v šetření započatém již v roce 2015 zaměřeném na možnou kompromitaci routerů na IP adresách ve správě dvou českých státních úřadů. BIS získala nové informace technického charakteru, které mohly napomoci k odhalení případné kompromitace konkrétních routerů.
Kampaň APT28/Sofacy je v současné době zřejmě nejaktivnější a nejviditelnější ruskou kyberšpionážní kampaní s velice rozmanitými oblastmi působnosti – od primárních oblastí diplomacie a vojenství přes vědu a výzkum až k akademické sféře. Ačkoliv jde o jednu z nejstarších, nejlépe popsaných, a i v otevřených zdrojích identifikovaných kyberšpionážních kampaní, je její efektivita stále značná a lze předpokládat, že bude pokračovat i v budoucnu. Kampaň APT28/Sofacy necílí pouze na data jako taková, ale v poslední době se zaměřuje na krádeže osobních údajů a přihlašovacích údajů do informačních a komunikačních systémů. Zcizená data a informace mohou být využívány k nejrůznějším účelům – ať již k politickým nebo vědecko-průmyslovým, nebo například k dehonestaci určitých osob či přímo států, k dezinformacím, případně k vydírání. Ruská kyberšpionážní kampaň APT28/Sofacy byla v roce 2016, stejně jako v roce předcházejícím, proti českým cílům velice aktivní. Kampaň využívala k útokům proti českým cílům počítačovou infrastrukturu umístěnou v zahraničí. Zmíněná kampaň kompromitovala několik soukromých emailových účtů osob s vazbami na české vojenské prostředí. Útočníci kampaně APT28/Sofacy se z emailových účtů mohli dozvědět mj. mnohé osobní informace o jejich majitelích.
Cílem ruské kyberšpionážní kampaně APT28/Sofacy se stala také česká vojenská výzkumná instituce. V průběhu podzimu 2016 probíhala další vlna ruské kyberšpionážní kampaně APT28/Sofacy, která cílila na ministerstva zahraničních věcí a obrany v evropských státech.
Mimo výše zmíněné informovala BIS v roce 2016 své adresáty o elektronických útocích v rámci dalších konkrétních kyberšpionážních kampaní.
Ruský antivir chrání VZP i vnitro. Podle USA je bezpečnostním rizikem
29.10.2017 Idnes.cz BigBrother
Americké bezpečnostní složky jsou přesvědčené, že antivirový program ruské společnosti Kaspersky nejenom brání před viry, ale naopak slouží i jako zadní vrátka pro ruské hackery. V Česku ale Rusové chrání třeba i ministerstvo vnitra či VZP. Před hrozbou nepřímo ve výroční zprávě varovala i BIS.
Deník Wall Street Journal (WSJ) nedávno popsal, jak ruští útočníci s pomocí programu Kaspersky ukradli přísně tajné materiály národní bezpečnostní agentury NSA, což může vést k oslabení kybernetické obrany USA.
Program dle The New York Times (NYT) dokonce na počítačích, na kterých je nainstalovaný, nepátrá jen po virech, ale také hledá dokumenty, které jsou označené třeba jako „přísně tajné“, aby na jejich přítomnost upozornil ruskou vládu.
Americká vláda už v září všem federálním úřadům s okamžitou platností přikázala antivirus odinstalovat ze všech počítačů tamních úřadů.
MF DNES ovšem zmapovala, že v Česku ten samý antivirový program Kaspersky nerušeně používají klíčové instituce. K obraně svých počítačů si ho dle smlouvy z registru ze začátku roku smluv vybralo například i ministerstvo vnitra.
Na dotazy MF DNES ovšem neodpovědělo.
Kaspersky běží i na všech počítačích Všeobecné zdravotní pojišťovny, která spravuje citlivé zdravotní údaje více než šesti milionů Čechů.
Ani VZP důvod, proč Kaspersky používá, nekomentovala. „Vzhledem k charakteru vašich dotazů a dotazovaným skutečnostem zvolte prosím postup podle zákona o svobodném přístupu k informacím,“ odmítl otázky redakce mluvčí VZP Oldřich Tichý.
To, že pojišťovna antivirový program firmy se sídlem v Moskvě používá, MF DNES zjistila z registru smluv, kam VZP v několika případech vložila detailní popis všech svých počítačových systémů včetně hardwaru, softwaru i jejich obrany.
USA už nevěří firmě Kaspersky
Před používáním ruských či čínských informačních technologií přitom ve své výroční zprávě vydané v úterý důkladně, byť obecně, varovala Bezpečnostní a inforační služba (BIS).
„Ekonomická výhodnost se často dostává do rozporu s bezpečnostními zájmy. Typickým příkladem je bezpečnost státních ICT systémů, kdy pro určité dodavatele není problém naplnit formální bezpečnostní požadavky pro účast v tendru, ačkoliv jsou jasně spojeni s relevantními bezpečnostními riziky,“ uvádí BIS ve veřené části své zprávy.
Útok přes domácí počítač
Celkově Kaspersky hlásí, že mezi jeho zákazníky patří na 270 tisíc firem po cleém světě. Americká NSA má ale s programem hořkou zkušenost. Hackeři se k jejím tajným informacím při incidentu z roku 2015, který vyšel najevo nyní, nedostali přímo přes počítače tajné služby.
Na těch byl už tehdy ruský antivirus zakázaný. Jeden ze zaměstnanců NSA ale přenesl přísně tajné dokumenty do domácího počítače, na kterém antivirový program Kaspersky běžel.
A právě antivirový sken pak na zajímavé soubory podle nejmenovaných zdrojů WSJ upozornil hackery.
Ti dle dostupných informací získali i informace o tom, jak naopak americká NSA napadá systémy v zahraničí.
Firma nařčení považuje za politickou hru
NYT pak doplnily, že izraelské tajné služby sledovaly ještě mnohem širší počínání Kaspersky, který vyhledával citlivé dokumenty na všech počítačích, nanichž byl nainstalován. Ruským tajným službám tak mohl sloužit podobně jako Google, jen pro soukromé a zabezpečené počítače. Izraelci pak před hrozbou varovaly Američany.
Kaspersky se proti nařčení důkladně ohrazuje.
„Jsme soukromá společnost a nemáme nevhodné vazby na jakoukoliv vládu, včetně té ruské. Jediné rozumné vysvětlení je, že jsme se ocitli uprostřed geopolitického boje,“ odmítl nařčení z USA šéf firmy Eugene Kaspersky s tím, že mu připomíná scénář céčkového špionážního filmu.
Kompletní vyjádření Kaspersky Lab
„Společnost Kaspersky Lab nemá žádné vazby na vlády, nikdy nepomáhala a ani nebude pomáhat žádným vládám jakéhokoliv státu v kyberšpionážních aktivitách. Společnost má za sebou dvacetiletou historii v oboru IT bezpečnosti, přičemž vždy splňovala jak nejvyšší etické obchodní postupy, tak i důvěryhodné postupy vývoje nových technologií. Kaspersky Lab považuje za nepřijatelné, že je nespravedlivě obviňována z něčeho, k čemu neexistují jasné důkazy, které by toto nařčení potvrzovaly. Zdá se, že se společnost Kaspersky Lab jakožto soukromá firma stala nástrojem geopolitického boje, kdy se ji každá ze stran snaží využít jako pěšáka ve své politické hře.
Eugene Kaspersky, CEO a zakladatel Kaspersky Lab, opakovaně nabídl, že se setká s vládními představiteli a že bude vypovídat před Kongresem USA. Rovněž je připraven poskytnout zdrojový kód společnosti k oficiálnímu auditu, který pomůže vyřešit veškeré otázky vlády USA vztahující se ke společnosti. Kaspersky Lab zůstává i nadále k dispozici všem vládním organizacím, které budou vyžadovat spolupráci při jakékoli formě vyšetřování. Společnost je přesvědčena, že podrobnější přezkoumání jejích aktivit potvrdí, že jsou veškerá obvinění neopodstatněná.“
Kaspersky vystudoval kryptografii na škole podporované KGB a v minulosti pracoval v ruské vojenské rozvědce. Agentura Bloomberg informovala, že zaměstnanci Kaspersky tvořili doprovod ruských agentů FSB při jejich zásazích.
Firma nedávno oznámila celosvětový start svého antiviru pro domácí použití, který hodlá nabízet zdarma. Američtí bezpečnostní experti ale ruskému antiviru nedůvěřují.
„Antivirus poskytuje spolehlivý vzdálený přístup, který může být použitý k jakémukoliv účelu. Od spuštění zničujícího útoku, až po sledování tisíců nebo dokonce milionů uživatelů,“ řekl NYT bezpečnostní expert a někdejší příslušník NSA Blake Darché.
Kaspersky používá i brněnská městská policie či špičkové výzkumné instituce
To firmy i instituce musejí platit. Jak plyne z dokumentů umístěných v registru smluv, brněnská městská policie od Rusů koupila nejenom antivirový program, ale i zabezpečení e-mailových schránek a serverů za půl milionu.
Podle mluvčího Jakuba Ghanema si strážníci antivirus vybrali kvůli široké databázi virů. „Informace o programu Kaspersky jsme zaznamenali. Obracíme se na zprostředkovatelskou firmu s žádostí o vyjádření k bezpečnosti softwaru,“ konstatoval mluvčí strážníků Jakub Ghanem.
Že by prostřednictvím softwaru, který má počítače chránit, mohli naopak hackeři unikátní výzkumy krást, neobávají ani akademici. Antivirový program Kaspersky brání i počítače Ústavu fyzikální chemie pojmenovaném po Nobelistovi Jaroslavu Heyrovském.
Prestižní instituce nakoupila 250 licencí na tři roky za takřka sto tisíc korun. Stejný antivirový program ale nakoupil i Ústav informatiky akademie věd. A Mendelova univerzita v Brně pořídila rovnou 1500 licencí za 210 tisíc korun.
To, že české úřady antivirový program používají, se přitom příliš nelíbí šéfovi Národního úřadu pro kybernetickou a informační bezpečnost Dušanu Navrátilovi.
„Můj názor je ten, že bychom měli používat hardware či software pouze států, kteří jsou našimi spojenci – ať už v EU, či v NATO. Problém je v zákoně o veřejných zakázkách. Ten to takto rozlišovat neumožňuje,“ řekl před časem v rozhovoru pro MF DNES.
BIS varovala i před Číňany
Podezření západních agentů se ale netýká jen Rusů, ale i čínských firem.
Vyzvědačství má v Číně tradici. Proč by Česko mělo být výjimkou?
„V čínském hardwaru mohly existovat úmyslně vložené chyby. Ty mohou v případě potřeby posloužit k vyřazení komunikační infrastruktury protivníka nebo získání citlivých informací,“ varovala ve své zprávě před čínskými firmami Huawei a ZTE v roce 2014 i česká Bezpečnostní informační služba ČR (BIS).
Registr smluv ale nyní dokládá, že své počítačové sítě z výrobků Huawei skládá například i Státní úřad pro jadernou bezpečnost. Ministerstvo vnitra, policie i Úřad vlády ČR nakupují od Huawei mobily či modemy.
Jak dříve upozornily LN, zákazníkem firmy, kterou založil někdejší vojenský technik Žen Čeng-fej, je od roku 2014 i Hrad. Ten výměnou za stovky telefonů Číňanům poskytuje lístky na hradní akce či občasný pronájem prostor.
„Bez komentáře,“ nevyjádřil se národní šéf přes počítačovou bezpečnost Navrátil k tomu, zda on by si čínský telefon pořídil. Výrobkům Huawei se ale nevyhnou ani majitelé zcela jiných značek mobilů.
Firma je totiž masivním dodavatelem infrastruktury pro české mobilní operátory, přes kterou data z mobilů tečou. Zásadní konkurenty dlouhodobě trumfuje cenou.
I Huawei jakoukoliv nekalou spolupráci s čínskou vládou důrazně popírá.
Bezpečnostní experti varovali před agresivním vyděračským virem
26.10.2017 Novinky/Bezpečnost Viry
Internetem se masivně šířil nový vyděračský virus zvaný Bad Rabbit, tedy v překladu Zlý králík. Maskoval se přitom za aktualizaci oblíbeného programu pro přehrávání videí Flash Player, upozornil bezpečnostní tým Cisco Talos.
Bad Rabbit tedy patří do rodiny vyděračských virů označovaných souhrnným názvem ransomware. Tento nezvaný návštěvník útočí velmi podobně jako škodlivý kód Nyetya, který hrál hlavní roli při jednom z nedávných globálních útoků.
„Do zařízení se škodlivý software dostane tak, že jej uživatelé stáhnou a spustí v domnění, že jde o aktualizaci oblíbeného nástroje Flash Player. Uživatelům, kteří navštíví infikované webové stránky, se zobrazí aktualizační okno s možnostmi ‚Remind later‘ a ‚Install‘. Obě varianty ale vedou k infekci,“ uvedli bezpečnostní experti z Cisco Talos.
Útočil především na východní Evropu a Rusko
Podle nich tento záškodník útočil především ve východní Evropě a Rusku. Není nicméně vyloučeno, že na něj mohli na internetu narazit také tuzemští uživatelé. „Podle dostupných informací byl malware aktivní přibližně šest hodin před tím, než byla zdrojová webová stránka odstraněna,“ konstatovali bezpečnostní experti.
Přestože samotný útok trval jen pár hodin, byl velmi masivní. „Zatím není zcela jasné, jaká ransomwarová varianta byla k útokům použita, ale znovu se ukazuje, jak nebezpečný ransomware může být. A jak rychle může narušit životně důležité služby, pokud není použito správné zabezpečení,“ řekl Petr Kadrmas, bezpečnostní výzkumník ve společnosti Check Point.
Ten zároveň připomněl, jak v poslední době podobných útoků přibývá. „Počet ransomwarových útoků se v první polovině roku 2017 zdvojnásobil ve srovnání se stejným obdobím v roce 2016, ale 99 % organizací stále ještě nemá základní kyberbezpečnostní technologie, které mohou podobným útokům zabránit. Pokud by měly organizace odpovídající bezpečnostní mechanismy, mohly by zabránit i těmto útokům,” uzavřel Kadrmas.
Útočil především na firmy
Jak patrné, útok vyděračského viru Bad Rabbit cílil především na společnosti a organizace. Není samozřejmě vyloučeno, že mohl zablokovat také počítače běžných uživatelů, právě naopak – je to velmi pravděpodobné.
Organizace by měly při ochraně svých počítačových systémů používat víceúrovňový přístup: blokovat přístup ke škodlivým webům, zablokovat možné stahování malwaru a pomocí ochrany koncových bodů zastavit napadení zařízení. To všechno samozřejmě v kombinaci se zásadami správného zálohování a bezpečnostního školení uživatelů.
Ochrana osobních údajů: bezpečnost je základním předpokladem digitalizace
26.10.2017 SecurityWorld Zabezpečení
Tak jako kdysi zlatý prach jsou data v 21. století klíčem k bohatství a jejich objem se každé dva roky zdvojnásobuje (v roce 2020 podle odhadů dosáhne 44 bilionů gigabytů). Data umožňují podnikům všech oborů a velikostí do maximální možné míry poznat své zákazníky a všechny podniky hledají způsoby, jak efektivně údaje o svých stávajících (i potenciálních) zákaznících využít. Například analýza dat v téměř reálném čase a reakce na získané poznatky umožňuje výrazně zlepšit obsluhu zákazníka – od lepších produktů a rychlejších služeb po personalizovanou komunikaci a na míru připravené odměny.
Datový poklad však není volně dosažitelný každému. To, co podniky láká – vlastnictví a užívání dat – je zároveň může vystavit značnému právnímu riziku a nebezpečí ztráty pověsti. Stejně se vzedmula vlna zájmu o využití dat, začínají si zákazníci sále více uvědomovat své právo na ochranu soukromí a možné dopady sdělování svých osobních údajů.
Podniky, které nedokáží dostatečně zabezpečit údaje o svých zákaznících se nejen vystavují právnímu postihu, ale nanejvýš pravděpodobně také utrpí jejich reputace a důvěryhodnost. Z bezpečnostních selhání musí vyvozovat osobní důsledky i nejvýše postavení manažeři. Bývalá generální ředitelka společnosti Yahoo! Marissa Mayer přišla o roční prémie, protože firma nezvládla patřičně reagovat na narušení bezpečnosti, při němž došlo ke krádeži osobních údajů více než 1 miliardy uživatelů.
Na poptávku po právní ochraně soukromí reagují i úřední aparáty a přijímají předpisy, jako je evropské Obecné nařízení o ochraně osobních údajů (GDPR), které nabývá účinnosti 28. května 2018 a zaručuje ochranu osobních údajů všem obyvatelům Evropské unie bez ohledu na to, kde jsou jejich data uložena nebo zpracovávána.
Toto nařízení bude mít dopad na podniky z celého světa, nikoli jen evropské. Zdaleka ne všechny subjekty jsou však na GDPR připravené. V průzkumu uvedlo 8 % z dotázaných britských firem, že dosud nezavedlo žádná z opatření nutných ke splnění povinností vyplývajících z GDPR. Obdobná situace panuje v Německu (8 %) a Francii (12 %).
Podniky se tak pohybují na tenkém ledě. Pro své strategie digitální transformace potřebují nezbytně uchovávat data a využívat je tak, aby dosáhly konkurenční výhody. Zároveň musí data chránit proti stále důmyslnějším hrozbám, přičemž digitalizovat znamená vystavovat podnik útokům z více různých směrů.
Možnost volby a zachování kontroly
Podniky usilují o úplnou digitalizaci, díky níž získají akceschopnost, bezpečnost, přizpůsobivost a nákladovou efektivitu. Na první pohled se může zdát, že akceschopnost a přizpůsobivost jsou v protikladu s bezpečností. Pokud však má podnik maximálně těžit z přínosů digitalizace, musí se věnovat všem jejím aspektům. Gartner to popisuje jako „využití digitálních technologií ke změně obchodního modelu a nalezení nových příležitostí k tvorbě zisku a hodnoty“.
Před nedávnem vyšla studie výzkumné společnosti 451 Research, jejíž zpracování zadaly společnosti VMware a Atos, která zkoumala hlavní trendy a očekávání ohledně zavádění cloudu. Ze studie vyplývá, že zlepšování akceschopnosti a přizpůsobivosti patří mezi tři rozhodující faktory u plánovaných cloudových projektů amerických a evropských podniků a jsou dvěma hlavními faktory, které ovlivňují rozhodování o zavedení správné infrastruktury pro digitalizaci.
V minulosti obecně panovala situace buď-anebo – podnik, který chtěl být mobilní a připojený se otevíral útokům, celková digitalizace se vylučovala s dodržováním zákonných povinností a odpovědné správy a vyšší bezpečnost byla na úkor zákaznické zkušenosti.
Tento názor je stále hluboce zakořeněný – studie společnosti 451 Research, která zkoumala, jak cloudové technologie podporují digitální transformaci, zjistila nejen to, že 48 % evropských podniků (50 % ve Velké Británii, 42 % v Německu a 49 % ve Francii) zvažuje přesun aplikací do privátních cloudů z důvodů bezpečnosti a možnosti kontroly, ale také že bezpečnost zůstává jednou z hlavních překážek zavádění cloudu obecně. Je to pochopitelné, uvážíme-li, že podle společnosti Gartner potřeba předcházet únikům dat z veřejných cloudů do roku 2018 přiměje 20 % podniků k zavedení programů správy zabezpečení dat.
V podnicích také přetrvává zvyk nijak nekoordinovaného nákupu technologií, kdy si různé jednotky pořizují IT produkty a služby dle svého uvážení a bez vědomí IT. Zejména se jedná o snadný nákup veřejných cloudových služeb jako pohotového řešení, které zajistí akceschopnost a rychlost při uvádění produktů a služeb na trh, aniž by bylo nutné procházet korporátním procesem schvalování, zabezpečení a řízení shody.
Infrastruktura, která dokáže ochránit nejcennější komoditu 21. století
Naneštěstí neexistuje jediný univerzální přístup, který by vyhovoval ve všech situacích. Každý podnik musí nalézt infrastrukturu, která bude vyhovovat jeho specifickým potřebám a pokrývat požadavky pomocí kombinace různých prostředí. Privátní cloudy rozhodně nabízí bezpečná prostředí, ale veřejné cloudy je překonávají z hlediska flexibility. Je také důležité vědět, jak vznikají aplikace – od vývoje a testování po produkční nasazení, přičemž každý krok může fungovat nejlépe v jiném prostředí. Snadná migrace mezi různými typy prostředí je tedy základním předpokladem efektivního uvádění produktů a služeb na trh při zachování bezpečnosti a souladu s regulatorními a zákonnými požadavky.
Teoreticky to vypadá jako vynikající nápad, ale je to reálné v praxi? Skutečně platí, že žádný podnik nemůže požívat výhod digitalizace a zároveň se zachovat bezpečnost?
Ne, neplatí. Olympijské hry jsou toho skvělým příkladem – olympiáda v Riu v roce 2016 byla nejen skutečně digitální událostí v ještě větším rozsahu než o čtyři roky dříve Londýn a s efektivnějším využitím výpočetního výkonu, ale její systémy dokázaly chránit data tisíců sportovců, novinářů, dobrovolníků a dalších osob a zároveň zpracovávat akreditace a přístup v pevně stanovených termínech. Každou sekundu se také potýkaly se 400 hackerskými útoky, tedy 510 miliony kyberbezpečnostních událostí za celou dobu trvání her. To je dvojnásobný počet útoků, něž kolika čelil Londýn 2012.
Bez ochrany dat nelze podnikat
Skutečností je, že podniky jsou a budou posuzovány podle ochrany dat. Zavedení GDPR pomůže zvýšit povědomí o opatřeních, která by měly podniky přijmout, a má dalekosáhlé důsledky pro každou firmy, která se dotkne evropského trhu, bez ohledu na to, kde sídlí.
Zároveň je nutné počítat s tím, že zákazníci nebudou ochotni se vzdát funkcionality a komfortu. Zajištění bezpečnosti je jedním z klíčových prvků digitalizace – každý podnik, který chce těžit z jejích výhod, musí na bezpečnosti pracovat stejně jako na akceschopnosti, přizpůsobitelnosti a nákladové efektivitě. A správná infrastruktura zásadním způsobem pomáhá patřičnou rovnováhu nastolit.
Kaspersky Lab poskytne svůj zdrojový kód k přezkoumání třetí stranou
26.10.2017 SecurityWorld BigBrother
Společnost Kaspersky Lab oznámila globální iniciativu pro transparentnost – Global Transparency Initiative. Touto iniciativou chce Kaspersky zapojit do prověřování důvěryhodnosti svých produktů, interních procesů a obchodních praktik širší informačně-bezpečnostní komunitu a další zainteresované strany. Reaguje tak na rostoucí spekulace kolem možné nedůvěryhodnosti jejích produktů.
Kromě iniciativy firma zároveň zavádí další mechanismy pro podporu odpovědnosti, čímž chce společnost prokázat, že jakékoliv bezpečnostní problémy řeší okamžitě a důkladně. V rámci iniciativy chce rovněž pro nezávislé posouzení poskytnout zdrojový kód svého softwaru, včetně jeho aktualizací a pravidel detekce hrozeb.
Počáteční fáze této iniciativy bude zahrnovat:
1) Začátek nezávislého přezkoumání zdrojového kódu společnosti do prvního čtvrtletí roku 2018. Podobná přezkoumání budou následně provedena i u aktualizací softwaru a pravidel pro detekci hrozeb.
2) Zahájení nezávislého posouzení (i) procesů bezpečného rozvoje společnosti a (ii) strategií na zmírňování rizika v oblasti softwaru a dodavatelského řetězce do prvního čtvrtletí 2018.
3) Ve spolupráci s nezávislou stranou navržení dodatečných kontrolních procesů, které budou řídit postupy společnosti v oblasti zpracování dat. Nezávislá strana následně do 1. čtvrtletí 2018 doloží, že Kaspersky Lab tyto kontroly dodržuje.
4) Vytvoření tří Center transparentnosti (Transparency Centers), kdy první vznikne v roce 2018. Jejich cílem bude řešit jakékoliv problémy s bezpečností společně se zákazníky, důvěryhodnými partnery a zástupci vlády. Centra budou sloužit jako zařízení, kde budou mít důvěryhodní partneři přístup k přezkoumáním firemního kódu, aktualizacím softwaru a pravidlům pro detekci hrozeb a dalším záležitostem. Tato centra budou do roku 2020 otevřena v Asii, Evropě a USA.
5) Do konce roku 2017 budou navýšeny odměny za nalezení programových chyb až do výše 100 000 dolarů. Odměny se týkají zjištění nejzávažnějších zranitelností v rámci programu Coordinated Disclousure Vulnerability. Tento fakt má ještě více motivovat nezávislé bezpečnostní výzkumníky k tomu, aby nám pomohli detekovat zranitelnosti a minimalizovat následky zákeřných aktivit.
V návaznosti na tuto počáteční fázi Global Transparency Initiative by Kaspersky Lab chtěla na základě zpětné vazby od informačně-bezpečnostní komunity a dalších zainteresovaných stran stanovit náplň další fáze. Ta odstartuje ve druhé polovině příštího roku.
Společnost bude pravidelně informovat o detailech a vývoji této iniciativy a s ní spojených aktivitách.
Na Ukrajinu zaútočil zlý králík. Schytalo to kijevské metro i letiště v Oděse
25.10.2017 Živě.cz Kyber
Falešná aktualizace Flash PlayeruPřivítání zavirovaného počítačeDialog s odpočtem pro zaplacení výkupného skrze bitcoinZákeřný
Na některé země východní Evropy a Turecko zaútočil nová varianta ransomwaru Win32/Diskcoder.D (Not-Petya) s označením Bad Rabbit (zlý králík). Rozšiřuje se docela svižně, přičemž nejlépe se mu daří na Ukrajině a v Rusku. Ransomware například zašifroval některé počítače kijevského metra tamního ministerstva dopravy nebo třeba letiště v Oděse. Případy nakažení se podle Národního úřadu pro kybernetickou a informační bezpečnost a Esetu objevily i v Bulharsku, Turecku a Japonsku.
Rychlostí, jakou se Bad Rabbit šíří, připomíná podle expertů jarní kampaň ransomwaru WannaCry, který zasáhl i některé počítače v Česku. A s WannaCry má společný i postup útoku. Jakmile jej na počítači spustíte, zašifruje data a za odemknutí požaduje výkupné ve výši 0,05 bitcoinu, což po přepočtu činí okolo 6 000 korun.
Podzimní update Windows 10 přinesl nový Defender, který obsahuje dílčí ochranu před ransomwarem. Do vybraných složek se dostanou pouze povolené programy.
Podle Esetu se zlý králík šiří hlavně skrze falešné aktualizace Flash Playeru a protokol SMB (port 445) na Windows XP a vyšších.
„Účinnou prevencí (vakcinací) před nakažením ransomwarem Bad Rabbit je vytvoření souborů c:\windows\infpub.dat a c:\windows\cscc.dat a odebrání všech oprávnění k těmto souborům,“ píše na svých stránkách NÚKIB,
Roste trend kybernetické špionáže, varovalo Vojenské zpravodajství
25.10.2017 Novinky/Bezpečnost BigBrother
Vojenské zpravodajství v roce 2016 zaznamenalo rostoucí trend kybernetické špionáže. Soustředila se na získání tajných informací o obraně státu. Ve výroční zprávě za rok 2016 to uvedlo Vojenské zpravodajství (VZ). Píše v ní také, že cizí tajné služby získávaly spolupracovníky z řad občanských sdružení, nevládních organizací a zbrojního průmyslu, uvedlo Vojenské zpravodajství.
Podle zpravodajců zahraniční zpravodajské služby působily na českém území s posláním a úkoly, které odpovídaly velikosti Česka, jeho poloze a vojenskému významu jako členské země NATO. "Modus operandi" tajných služeb se podle Vojenského zpravodajství nezměnil. „Zpravodajské služby cizích mocí nadále tipovaly, rozpracovávaly a získávaly své spolupracovníky z řad občanských sdružení a spolků, nevládních a neziskových organizací a zaměstnanců působících ve zbrojním průmyslu," uvedlo VZ.
Cizí agenti se zaměřili na získávání citlivých údajů o záměrech Česka v oblasti obrany a o plánech na modernizaci české armády. „Vzhledem k otevřenosti našeho demokratického systému v přístupu k informacím shromažďovali příslušníci zpravodajských služeb, působící pod diplomatickým krytím, neutajované, avšak zpravodajsky využitelné informace o stavu obranyschopnosti a kritické infrastruktuře ČR," poznamenalo Vojenské zpravodajství.
Phishingové kampaně a vyděračský malware
Zaznamenali opět také rostoucí trend kybernetické špionáže, která se soustředila na získání utajovaných i citlivých informací související s obranou státu a jeho kritickou infrastrukturou. Zpravodajci podotkli, že mnohé kybernetické útoky byly velmi obtížně detekovatelné, často zůstávaly delší dobu neodhalené a bylo nesnadné identifikovat skutečné pachatele.
„Útočníci ke kybernetické špionáži zneužívali zranitelná místa informačních a komunikačních systémů, ale také lidského faktoru," uvedlo VZ. V České republice zaregistrovalo zejména phishingové kampaně nebo použití vyděračského malware. Na začátku letošního roku rozsáhlý kybernetický útok, který měl trvat měsíce, oznámilo české ministerstvo zahraničí.
Účinnost a nebezpečnost kybernetických útoků provedených teroristy a extremisty byly podle zpravodajců v roce 2016 na nízké úrovni. Internet používali hlavně pro získávání nových členů, pro propagandu a pro komunikaci.
Šéf FBI: Mírně řečeno, šifrování je obrovský, obrovský problém
25.10.2017 Živě.cz BigBrother
Šifrování se stává samozřejmou součástí práce s počítačem
Vyšetřovatelé i tajné služby se toho ale děsí
Podle šéfa FBI se schyluje k obrovskému problému
Ředitel FBI Christopher WrayŘeditel FBI Christopher WrayŠéf FBI: Mírně řečeno, šifrování je obrovský, obrovský problémŠéf FBI: Mírně řečeno, šifrování je obrovský, obrovský problémŠéf FBI: Mírně řečeno, šifrování je obrovský, obrovský problém10 FOTOGRAFIÍ
End-to-end šifrování, tedy šifrování, nad kterým nemá poskytovatel prakticky žádnou moc, se v posledních letech stává stále dostupnější funkcí jak na mobilních telefonech, tak zejména ve všemožných instantních komunikátorech.
Důvodů je celá řada počínaje všeobecným zvyšováním standardu zabezpečení napříč technologiemi (třeba zavádění HTTPS) a konče obecnými obavami z odposlechu, které před lety zesílila mimo jiné i aféra okolo Edwarda Snowdena a uniklých materiálů NSA.
Šifrování se stává normou
Z šifrování, na které jsme ještě před pár lety hleděli jako na speciální funkci pro speciální případy, se tak stává standardní součást komunikačních protokolů a naše internetová společnost je tím pádem i lépe zabezpečená proti útokům z všemožných stran.
Klepněte pro větší obrázek Klepněte pro větší obrázek Klepněte pro větší obrázek Klepněte pro větší obrázek Klepněte pro větší obrázek
End-to-end šifrování jako volitelná funkce v komunikátoru Facebook Messenger. Šifrovací klíč mají pouze koncové aplikace, provozovatel tedy obsah komunikace nemůže vidět, ani kdyby k tomu dostal soudní příkaz.
Jenže zároveň platí to B. Šifrování nás sice chrání třeba před nezvanými čtenáři naší pošty, nicméně stejně tak brání policejním orgánům po celém světě sbírat důkazy pro svá vyšetřování. Kdyby šly některé figury českých korupčních kauz jen trošku více s dobou a používaly ke komunikaci end-to-end šifrování, českou veřejnost by se nejspíše nikdy nebavily třeba memy s krabicí od vína.
Šéf FBI: Do poloviny zabavených mobilů se vůbec nedokážeme dostat
Prekérní situaci potvrzuje i americký úřad vyšetřování FBI, který se musí nejen s end-to-end šifrováním potýkat v mnohem větší míře než malé Česko. Nepříjemně to ilustrují čísla, se kterými se o víkendu pochlubil šéf úřadu Christopher Wray. Agenti FBI se během letošního roku nedostali do více než poloviny mobilních zařízení, ke kterým nezískali klíč a staly součástí vyšetřování.
Klepněte pro větší obrázek Klepněte pro větší obrázek
Kompletní šifrování telefonu na Androidu je sice k dispozici už roky, ve výchozím stavu je ale aktivní jen na několika modelech s dostatkem výkonu. Na iPhonech je dnes mnohem rozšířenější.
V absolutních číslech se jednalo o více než 6 900 mobilních telefonů. Pravděpodobně šlo především o iPhony, i když silné šifrování je k dispozici i na novějších verzích Androidu. Většinou je však ve výchozím stavu vypnuté – zvláště na slabších telefonech, protože si řekne o pořádný díl procesorového výkonu.
„Mírně řečeno, je to obrovský, obrovský problém“ – Christopher Wray, ředitel FBI
„To put it mildly, this is a huge, huge problem,“ popsal podle AP situaci Wray a dodal, že vestavěné end-to-end šifrování i podobné techniky zabezpečení v IM komunikátorech si oblíbila celá kriminální scéna počínaje drogovými dealery a konče těžkým organizovaným zločinem.
Bláznivý nápad: Šifrování, které nikdo neprolomí. Tedy až na stát
Nikdo přitom neví, jak takový problém vyřešit, a tak mnozí střílejí naslepo jako třeba americký zástupce nejvyššího žalobce Rod Rosenstein, který navrhuje jakési odpovědné šifrování (responsible encryption, PDF).
Mělo by se jednat o šifrování, které naprosto nikdo nerozlouskne... Tedy až na vyšetřovatele FBI. V případě end-to-end šifrování, kdy nemá klíč provozovatel, ale pouze majitel dat, telefonu aj., by to v praxi znamenalo, že by musel autor techniky zavést do systému zadní vrátka.
Vysoký federální úředník obhajuje princip zadních vrátek do šifrování
A jakmile jsou někde jakákoliv zadní vrátka, představuje to potenciální zranitelnost, kterou dříve či později rozlousknou hackeři – ať už ti hodní, nebo zlí. Suma sumárum, šifrování se zadními vrátky není principiálně bezpečné, nehledě na to, že by bylo hotovou parodií v jakémkoliv režimu, kde by jen náznakem hrozilo i riziko zneužití ze strany státu.
Neprolomitelné šifrování jako právo občana EU? Možná
Jasno v každém případě nemají pouze v USA, ale i na starém kontinentu. Zatímco fanoušci rychlých řešení volají v rámci boje proti terorismu po zákazu neprolomitelného šifrování, jiní chtějí naopak end-to-end šifrování povznést na úroveň práva obyvatel Evropské unie.
Právě s tím na jaře přišel Výbor pro občanské svobody, spravedlnost a vnitřní věci Evropského parlamentu a právo na šifrování chce dostat do evropské politiky elektronického soukromí (ePrivacy). V praxi by mohli Evropané šifrovat vše, co se jim zlíbí a nikdo by jim to neměl komplikovat jakýmikoliv zadními vrátky.
Podobné nápady se nicméně asi nebudou příliš zamlouvat telekomunikačním operátorům, kteří naopak na základě politik data retention ukládají data o uskutečněných hovorech aj. Na sklonku loňského léta proto prolétla médii zpráva, že by se legislativa data retention mohla jednou rozšířit i na webové služby, kterým by tak bylo elegantně znemožněno nasadit end-to-end šifrování, protože by nemohli ukládat metadata o uskutečněné komunikaci.
„Daň“ za svobodnou společnost
Surfaři však mohou zatím zůstat klidní, zůstalo pouze u slov, problém šifrování totiž skutečně už z principu nemá řešení a vyšetřovatelé ve svobodné a technologicky vyspělé společnosti budou nejspíše muset i nadále hledat jiné způsoby, jak získat důkazy. Na tom se ostatně na sklonku září shodli i experti na kybernetickou bezpečnost, kteří se sjeli na brněnskou konferenci CyberCon 2017.
Česká spořitelna varovala před novým útokem na bankovní účty
25.10.2017 Novinky/Bezpečnost Phishing
Počítačoví piráti neustále hledají cesty, jak se dostat na cizí bankovní účty. Tentokrát to zkouší přes zasílání zabezpečené zprávy uživatelům. Samozřejmě jde ale o podvod. Před novým typem útoku varovala Česká spořitelna.
Phishingový útok, při kterém počítačoví piráti doslova loví důvěřivé uživatele na udičku jako ryby, cílí právě na klienty spořitelny. Jeho cílem je vylákat přihlašovací údaje k internetovému bankovnictví, tedy ke službě Servis 24.
„Vy máte nové zprávy on-line. Chcete-li zobrazit svou zabezpečenou zprávu, přihlaste se do služby Internetového bankovnictví,“ tvrdí podvodníci vydávající se za bankéře v e-mailu, který v posledních dnech koluje českým internetem.
FOTO: Česká spořitelna
Pozornější uživatelé si na první pohled mohou všimnout, že zpráva je psaná s chybami a některá slova jsou dokonce špatně vyskloňovaná. Odkaz v e-mailu navíc nevede na oficiální stránky služby Servis 24, nýbrž na podvodný web, což je patrné z adresního řádku.
Po přihlášení kyberzločinci důvěřivcům tvrdí, že je potřeba aktualizovat kontaktní informace – právě to měla být ona důležitá zpráva. Pokud to důvěřivci skutečně udělají, jsou již jen krůček od vybílení bankovního účtu. Se znalostí telefonního čísla je totiž pro podvodníky hračkou vylákat od lidí potvrzovací SMS zprávu, pomocí které mohou například provádět peněžní transakce.
V ohrožení jsou přitom i jedinci, kteří nemají na bankovním účtu příliš mnoho financí. Útočníci mohou touto cestou sjednat bez vědomí majitele klidně i půjčku. A tyto peníze následně vyberou.
E-mail může přijít z jiné banky
Není navíc vyloučeno, že znění podvodné zprávy útočníci upraví a že začne kolovat internetem i bez gramatických chyb. Stejně tak mohou e-mail podvodníci cílit na klienty dalších českých bank.
Opatrnost je tedy na místě. „Buďte k podezřelým e-mailům velmi obezřetní, vždy se do SERVIS 24 přihlašujte ze stránek banky, případně přímo ze stránek www.servis24.cz. Zároveň buďte velmi obezřetní před zadáním jakéhokoliv SMS kódu a vždy pečlivě čtěte autorizační SMS zprávy,“ doporučili zástupci České spořitelny.
Ti zároveň zdůraznili, že lidé by neměli na zprávy reagovat. „Pokud máte podezření, že jste podvodný e-mail obdrželi, v žádném případě nereagujte na jeho obsah, neklikejte na odkaz, který je jeho součástí, a zprávu nám přepošlete na e-mailovou adresu phishing@csas.cz. Jestliže jste již na odkaz klikli a vyplnili požadované údaje, ihned kontaktujte klientskou linku České spořitelny na bezplatném telefonním čísle 800 207 207,“ uzavřeli zástupci spořitelny.
Kaspersky nechá prověřit svůj antivirový software. Kvůli obavám ze šmírování
24.10.2017 Novinky/Bezpečnost BigBrother
Ruská antivirová společnost Kaspersky Lab požádá nezávislý orgán, aby prověřil bezpečnost jejího antivirového softwaru, který Spojené státy označily za hrozbu pro svou národní bezpečnost. Firma v prohlášení uvedla, že bezpečnostním expertům a vládním představitelům poskytne zdrojový kód svého softwaru a následné aktualizace produktů.
Jevgenij Valentinovič Kasperskij, šéf společnosti Kaspersky Lab a vývojař antivirových programů.
Firma také slíbila, že umožní vnějším orgánům přezkoumat další aspekty svého podnikání, včetně vývoje softwaru. Revize softwaru, který je po celém světě nainstalován na zhruba 400 miliónech počítačů, má být zahájena v prvním čtvrtletí příštího roku.
„Nemáme co skrývat," řekl zakladatel a ředitel podniku Jevgenij Kasperskij. „Těmito kroky bychom měli být s to nedůvěru překonat," citovala jej agentura Reuters. Nezávislý revizní orgán, který má kontrolu provést, firma nejmenovala.
Vládní úřady v USA antivirus smazaly
Administrativa amerického prezidenta Donalda Trumpa v září nařídila vládním úřadům v USA odstranit z počítačů produkty společnosti Kaspersky.
Ministerstvo vnitřní bezpečnosti vyjádřilo znepokojení nad "vazbami mezi některými činiteli podniku a ruskými zpravodajskými službami a dalšími vládními agenturami a podmínkami ruského práva, které ruským zpravodajským službám umožňují požadovat nebo vymáhat spolupráci od společnosti Kaspersky a zaznamenávat komunikaci, která prochází ruskými sítěmi". Senát krok administrativy podpořil.
Izraelská zpravodajská služba uvedla, že objevila ruské vládní hackery používající antivirový software Kaspersky k odcizení tajných materiálů americké Národní agentury pro bezpečnost (NSA).
Světové špičky v oblasti kybernetické bezpečnosti nejsou jednotné v názoru, zda se ruské tajné služby zmocnily softwaru Kaspersky, aniž by o tom firma věděla, zda je spoluviníkem samotný podnik, nebo některý z jeho zaměstnanců.
Ruská společnost už dříve několikrát popřela, že má vazby na jakoukoliv vládu. Tvrdila také, že nikdy žádné vládě nepomůže s kybernetickou špionáží. Firma ale podle Reuters v minulosti připustila, že spolupracovala s ruskou tajnou službou FSB. Zakladatel a ředitel podniku Jevgenij Kasperskij navštěvoval školu KGB.
Kaspersky Lab se svleče do naha. Kvůli podezření ze spolupráce s ruskými úřady spouští unikátní transparentní iniciativu
24.10.2017 Živě.cz BigBrother
Ruský antivirový specialista Kaspersky Lab se musel v posledním roce potýkat s podezřením, že až příliš úzce spolupracuje s ruskou bezpečnostní službou FSB, což vedlo mimo jiné k nařízení, aby produkty od Kaspersky Lab zmizely z počítačů amerických federálních úřadů, které se obávaly případné špionáže. Nebylo to nicméně poprvé, podobný osud totiž v minulosti potkal i mnohé přední výrobce z Číny – třeba Huawei.
Aby se Kaspersky Lab vypořádal s pošramocenou pověstí, spouští poměrně unikátní transparentní iniciativu, která se skládá ze čtyř bodů:
Nezávislý audit zdrojových kódů: V 1. čtvrtletí příštího roku hodlá společnost vpustit do svých kódů respektovanou mezinárodní autoritu, která by provedla jeho audit.
Nezávislý audit vnitřních procesů: Stejně tak firma sama projde nezávislým auditem svých interních procesů
Tři transparentní centra v Evropě, Asii a USA: Do třetice hodlá Kaspersky Lab otevřít tři speciální centra, kde umožní klíčovým klientům, organizacím i vládám nahlížet do zdrojových kódů svých produktů a opět i dalších vnitřních procesů
Bug Bounty až 100 000 dolarů: Firma nakonec navýší svůj program hledání chyb. Nezávislí hackeři tak budou moci získat až 100 tisíc dolarů, pokud v produktech Kaspersky Lab objeví kritickou zranitelnost.
Adware a Defender zpomalí váš počítač nejvíce, Eset a F Secure naopak nejméně
24.10.2017 CNEWS Zabezpečení
Který antivirus je nejméně hospodárný a který naopak při používání počítače skoro nepocítíte?
Pokud jste ještě na antiviry nezanevřeli, mohlo by vás zajímat, jak si dnešní bezpečnostní produkty vedou v otázce výkonu. Právě na výkon se zaměřili na AV-Comparatives ve svém posledním testu antivirů.
Dle autorského týmu bylo testování provedeno na počítači Lenovo E560 s aktuálním systémem Windows 10 v 64bitové edici. Počítač obsahoval procesor Core i5-6200U, 8 GB operační paměti a blíže neurčené SSD.
K tématu: Souboj bezpečnostních expertů. Jsou antiviry přínosné, nebo je máme zahodit?
Jen tradičně upozorňuji, že výsledky se mohou lišit v závislosti na softwarové i hardwarové konfiguraci počítače, navíc může být používání každého člověka odlišné od automatizovaného testu, který AV-Comparatives provedlo.
Výsledky testování
Testování bylo rozděleno do dvou částí. Za provozu antivirů byly měřeny některé praktické operace jako kopírování souborů, komprimace apod. Ve druhé části byl spuštěn syntetický benchmark PC Mark 10. Dosažená skóre shrnuje následující tabulka. Shrnujícím a pro většinu lidí nejdůležitějším výsledkem je skóre dopadu, tj. poslední sloupec.
Vlastní testování AV-C PC Mark Celkem Skóre dopadu
Eset Internet Security 11.0 88 99,2 187,2 2,8
F-Secure Safe 17.0 88 99 187 3
Vipre Advanced Security 10.1 88 98,4 186,4 3,6
Bitdefender Internet Security 22.0 88 97,8 185,8 4,2
BullGuard Internet Security 18.0 88 97,1 185,1 4,9
Seqrite Endpoint Security 17.0 85 99,5 184,5 5,4
McAfee Internet Security 20.2, Panda Free Antivirus 18.3 85 97,7 182,7 7,3
Kaspersky Internet Security 18.0 85 96,9 181,9 8,1
Avira Antivirus Pro 15.0 83 98,5 181,5 8,5
Symantec Norton Security 22.11 85 96,3 181,3 8,7
Avast Free Antivirus 17.7, AVG Free Antivirus 17.7, eScan Corporate 360 14.0 85 96,1 181,1 8,9
Tencent PC Manager 12.3 85 93 178 12
Emsisoft Anti-Malware 2017.8 78 97 175 15
CrowdStrike Falcon Prevent 3.4 75 98,5 173,5 16,5
Trend Micro Internet Security 12.0 78 95,4 173,4 16,6
Fortinet FortiClient 5.6 s FortiGate 75 98,3 173,3 16,7
Windows Defender 4.11 63 96,6 159,6 30,4
Adaware Antivirus Pro 12.2 55 95,9 150,9 39,1
Ten obsahuje finální propočet, přičemž nižší číslo znamená nižší dopad na výkon počítače. Jako již mnohokrát dopadl velmi špatně integrovaný antivirus od Microsoftu. Testován byl zřejmě Windows 10 Creators Update, protože ve Fall Creators Updatu je obsažen Defender ve verzi 4.12. Největšího zpomalení byste měli „úspěšně“ dosáhnout instalací antiviru Adaware. Naopak nejlépe si vede Eset. Jen o kousek horší je v otázce zátěže F-Secure.
Na posledních příčkách si můžete všimnout velikých rozdílů. Adware bylo výrazně horší než Defender, který byl pro změnu výrazně horší než Fortinet. Následně se již výsledky zlepšují vcelku lineárně, snad s jednou výjimkou. Avast, AVG a eScan byli znatelně lepší než Tencent a produkty za ním. Mimochodem, minule dopadla Avira výrazně lépe, hůře naopak F-Secure. Produkty se vyvíjí, na výsledky ovšem může mít vliv též rozdílnost v metodice testování.
Změní PIN a zašifruje data. Trojský kůň DoubleLocker cílí na mobily
24.10.2017 Novinky/Bezpečnost Viry
Na chytré telefony s operačním systémem Android cílí trojský kůň zvaný DoubleLocker, před kterým varovala antivirová společnost Eset. Ta upozornila, že tento nezvaný návštěvník dokáže změnit na mobilním zařízení přístupový PIN kód a navíc ještě zašifrovat uložená data. Za jejich zpřístupnění pak požaduje výkupné.
DoubleLocker se tedy na napadeném zařízení chová úplně stejně jako vyděračské viry, které jsou označovány souhrnným názvem ransomware.
„DoubleLocker zneužívá služby Android Accessibility, což je oblíbený trik mezi kybernetickými zločinci. Jakmile je podvodná aplikace spuštěna, zažádá si o aktivaci služby zpřístupnění, která se v tomto případě vydává za aplikaci Google Play Service,“ přiblížili bezpečnostní experti útok škodlivého kódu.
Útočník získá administrátorská práva
Problém nastane ve chvíli, kdy uživatel na svém zařízení potvrdí aktivaci této služby. Útočník tak totiž získá administrátorská práva k zařízení, tedy jinými slovy může s napadeným přístrojem dělat na dálku prakticky cokoliv.
Podle bezpečnostních expertů se tento malware šíří především v Evropě a Turecku. Konkrétně byl jeho výskyt zaznamenán v Polsku a Německu, ojediněle pak v Bělorusku a Estonsku. Uživatele v České republice zatím nenapadl.
Na chytré telefony a počítačové tablety se počítačoví piráti zaměřují pravidelně. Lidé je totiž zpravidla nechávají bez jakékoliv obrany, tedy bez nainstalovaného antivirového programu. A tím nevědomky pomáhají počítačovým pirátům, pro ně je totiž v takovém případě velmi snadné nechráněné zařízení napadnout.
Vypátrat původ útoku na volební weby bude obtížné, zní z úřadu pro kyberbezpečí
24.10.2017 Novinky/Bezpečnost BigBrother
Vypátrat pachatele sobotního útoku na volební weby Českého statistického úřadu (ČSÚ) bude velmi obtížné. Uvedl to mluvčí Národního úřadu pro kybernetickou a informační bezpečnost (NÚKIB) Radek Holý. Útok dočasně znepřístupnil informační stránky pro veřejnost, volební výsledky ale neovlivnil.
Úřad podle Holého obdržel hlášení o incidentu od ČSÚ i operátora O2, který statistikům zajišťoval připojení. „Obě strany potvrdily, že se jednalo o útok DDoS. Podle našich informací se ČSÚ obrátil i na Policii ČR, která věc bude šetřit," uvedl.
Právě internetová síť O2 byla hackerským útokem postižena, a proto zmiňované weby v sobotu nefungovaly.
FOTO: repro volby.cz
Útok trval 2,5 hodiny. „Poprvé se náznaky útoku objevily kolem 14. hodiny a v průběhu odpoledne několikrát vyřadily z provozu prezentační web volby.cz. Situaci jsme začali okamžitě řešit a v 16:30 se podařilo útoky definitivně odklonit,“ uvedla na dotaz Novinek mluvčí O2 Lucie Pecháčková.
Případem se zabývá policie
ČSÚ zatím nechtěl útoky komentovat, protože je vyšetřuje policie a NÚKIB.
„Dle dostupných informací jde v případě tohoto DDoS útoku o víceméně dobře zvládnutý bezpečnostní incident. Výsledky voleb dle našeho názoru nemohl ovlivnit," podotkl ředitel bezpečnostní divize DCIT Karel Miko.
Podle technického ředitele antivirové firmy Eset Miroslava Dvořáka se dá podobným útokům čelit dostatečně robustní infrastrukturou v kombinaci s filtračními mechanismy. Lze to zajistit vlastními silami či využitím nabídek externích společností, tzv. scrubingových center. Vždy se zohledňuje nákladová efektivita takové ochrany.
ČSÚ: Za výpadek volebních webů může DDoS na infrastrukturu O2 [AKTUALIZOVÁNO]
24.10.2017 Živě.cz BigBrother
Přechodnou nedostupnost webů, na kterých Český statistický úřad (ČSÚ) publikoval průběžné výsledky sčítání hlasů ve víkendových parlamentních volbách, nejprve úřad vysvětloval technickými problémy. V neděli ale za příčinu potíží označil DDoS útok.
„Na základě podrobné analýzy, kterou si ČSÚ okamžitě vyžádal, byly uvedené problémy specifikovány. Bylo zjištěno, že v průběhu zpracování došlo k cílenému DDoS útoku na infrastrukturu společnosti O2 používanou pro zajištění voleb. V důsledku byla dočasně omezena dostupnost serverů volby.cz a volbyhned.cz,“ vysvětluje ČSÚ.
O2 přitom podle smluv zveřejněných v Registru smluv pro letošní volby ČSÚ dodalo posílenou ochranu webu volby.cz právě proti DDoS útokům. Služba AntiDDoS Advanced podle smlouvy zahrnuje nasazení systému Arbor APS na tzv. poslední míli přípojky ČSÚ. Operátor také posílil linku pro připojení vybraných médií na dedikovaný server ČSÚ z 10 Mb/s na 20 Mb/s.
Aktualizace 14:15 – doplňujeme vyjádření O2: Operátor ani po dotazech Lupy například na sílu DDoS, jeho cíle a trvání odmítl prozradit jakékoli technické podrobnosti. „Díky našemu technickému řešení se podařilo ochránit zpracování volebních výsledků, které útoky nijak neohrozily. Díky opatřením se pak i další prvky, jako například server volby.cz, podařilo plně obnovit už v 16:30. Nyní spolupracujeme se statistickým úřadem i dalšími subjekty a i vzhledem k probíhajícímu šetření nezveřejňujeme technické detaily,“ odpověděla Lupě na dotazy mluvčí O2 Lucie Pecháčková.
Aktualizace 15:30 – Podle mapy digitálních útoků, na kterou na Twitteru upozornil bezpečnostní expert Michal Špaček, v sobotu do Česka skutečně mířil zvýšený datový tok:
Autor: Digital Attack Map
Zajímavé je, že mapa čerpá údaje o DDoS útocích právě od společnosti Arbor, jejíž antiDDoS zařízení O2 pro ČSÚ nasadilo.
TIP: Jak IP kamery „rozbily internet“. Co víme o obřím DDoS útoku na Dyn?
Weby volby.cz a volbyhned.cz nebyly nějakou dobu dostupné během sobotního sčítání hlasů. ČSÚ na nich jednak zveřejňuje tabulky s průběžnými výsledky voleb, jednak přes ně poskytuje data pro média a další zájemce o zpracování výsledků.
Podle ČSÚ zahlcení serverů žádným způsobem neovlivnilo posílání dat z volebních okrsků ani jejich sčítání: „Útok žádným způsobem neovlivnil infrastrukturu používanou pro přenos výsledků voleb z přebíracích míst do centrály ČSÚ ani nezávislé zpracování dat.“
DDoS útokem se teď má zabývat policie a Národní úřad pro kybernetickou a informační bezpečnost. Provedení DDoS je přitom poměrně jednoduché, útoky se dokonce dají koupit jako služba „na klíč“. Ceny v závislosti na síle útoku začínají už na jednotkách dolarů.
Hackerský útok na volební weby trval 2,5 hodiny. Experti řeší, odkud přišel
24.10.2017 Novinky/Bezpečnost BigBrother
Zhruba 2,5 hodiny trval v sobotu DDoS útok na prezentační volební weby volby.cz a volbyhned.cz, na kterých se zobrazovaly aktuální volební výsledky počítané Českým statistickým úřadem (ČSÚ). Novinkám to v pondělí potvrdila mluvčí O2 Lucie Pecháčková.
Právě internetová síť O2 byla hackerským útokem postižena, a proto zmiňované weby v sobotu nefungovaly.
„Je třeba zdůraznit, že DDoS útoky díky technickému řešení nijak neovlivnily sčítání hlasů ani systémy statistického úřadu,“ uvedla na dotaz Novinek Pecháčková.
Útok začal po uzavření volebních místností
Přiblížila, jak se útoky po uzavření volebních místností uskutečnily. „Poprvé se náznaky útoku objevily kolem 14. hodiny a v průběhu odpoledne několikrát vyřadily z provozu prezentační web volby.cz. Situaci jsme začali okamžitě řešit a v 16:30 se podařilo útoky definitivně odklonit,“ zdůraznila Pecháčková.
Server Volby.cz
FOTO: repro volby.cz
S ohledem na probíhající vyšetřování však zatím nechtěla komentovat žádné další podrobnosti. Experti O2 se nicméně samotným útokem – a například i tím, odkud přišel – již zabývají. „Nyní jsme připraveni úřadům poskytnout maximální součinnost při šetření,“ doplnila mluvčí operátora.
Celým případem se nyní bude zabývat policie a Národní úřad pro kybernetickou a informační bezpečnost.
Útokům čelilo Česko už dříve
Masivním útokům typu DDoS čelily v roce 2013 některé tuzemské servery. Směrovány byly nejprve na zpravodajské weby, potom na portál Seznam.cz, servery bank a telefonních operátorů.
Podle bezpečnostních expertů šlo tehdy o největší kybernetický útok v celé historii Česka.
Výpadek volebních webů byl hackerský útok
24.10.2017 Novinky/Bezpečnost BigBrother
Za sobotní nedostupnost prezentačních volebních webů volby.cz a volbyhned.cz mohli kybernetičtí nájezdníci. V neděli to potvrdili zástupci Českého statistického úřadu (ČSÚ) s tím, že zmiňované servery čelily tzv. DDoS útoku.
FOTO: repro volby.cz
neděle 22. října 2017, 17:16
(Aktualizováno: neděle 22. října 2017, 17:31 )
Útok DDoS (Distributed Denial of Service) má vždy stejný scénář. Stovky tisíc počítačů začnou přistupovat v jeden okamžik na konkrétní server. Ten zpravidla nezvládne tak vysoké množství požadavků zpracovat a spadne. Pro běžné uživatele se pak takto napadená webová stránka tváří jako nedostupná.
A přesně to bylo příčinou výpadku webů volby.cz a volbyhned.cz. „Výpadky prezentačních serverů, které ČSÚ zaznamenal v sobotu 21. října odpoledne, vznikly na straně externího dodavatele komunikačních služeb. Podle původního oficiálního sdělení dodavatele byly příčinou technické problémy v jeho infrastruktuře,“ připomněla mluvčí ČSÚ Petra Báčová s tím, že nakonec byl výpadek způsoben úplně něčím jiným.
Došlo k cílenému DDoS útoku na infrastrukturu společnosti O2 používanou pro zajištění voleb.
mluvčí ČSÚ Petra Báčová
„Na základě podrobné analýzy, kterou si ČSÚ okamžitě vyžádal, byly uvedené problémy specifikovány. Bylo zjištěno, že v průběhu zpracování došlo k cílenému DDoS útoku na infrastrukturu společnosti O2 používanou pro zajištění voleb. V důsledku byla dočasně omezena dostupnost serverů volby.cz a volbyhned.cz,“ prohlásila Báčová.
Ta zároveň přiblížila, jak se provoz dotčených serverů podařilo obnovit. „Díky přijatým opatřením se podařilo útoky zcela eliminovat a zajistit obnovení všech služeb. Útok žádným způsobem neovlivnil infrastrukturu používanou pro přenos výsledků voleb z přebíracích míst do centrály ČSÚ ani nezávislé zpracování dat,“ uzavřela mluvčí ČSÚ.
Celým případem se nyní bude zabývat policie a Národní úřad pro kybernetickou a informační bezpečnost.
Útokům čelilo Česko už dříve
Masivním útokům typu DDoS čelily v roce 2013 některé tuzemské servery. Směrovány byly nejprve na zpravodajské weby, potom na portál Seznam.cz, servery bank a telefonních operátorů.
Podle bezpečnostních expertů šlo tehdy o největší kybernetický útok v celé historii Česka.
Nový botnet se rychle rozrůstá. Může shodit celý internet
24.10.2017 Živě.cz BotNet
Nový botnet se rychle rozrůstá. Může shodit celý internet
Přesně před rokem způsobil botnet Mirai rozsáhlou nedostupnost více předních internetových stránek a služeb. Nyní tým expertů odhalil jeho následovníka, který sdružuje až 20násobně více infikovaných zařízení. Vyvstávají tak opodstatněné obavy, že díky jeho síle by mohli útočníci „shodit celý internet“. Informace o potenciální hrozbě zveřejnil TechSpot.
Každým dnem se výrazně rozrůstá
Nový botnet s názvem IoT_reaper, případně IoT Troop, odhalili už v září výzkumníci z čínské bezpečnostní společnosti Qihoo 360 a izraelští experti z firmy Check Point. Za tento čas se však jeho velikost enormním tempem rozrostla. V době výzkumu totiž ovládal už více než dva miliony infikovaných IoT zařízení, přičemž se každý den rozroste minimálně o dalších 10 tisíc zařízení.
Výzkumníci uvedli, že botnet využívá část kódu z jeho předchůdce Mirai, ale obsahuje i několik nových funkcí. Výrazným rozdílem je zejména způsob infiltrace. Mirai vyhledával zařízení s otevřeným Telnetem a následně testoval nejpoužívanější, respektive výchozí přihlašovací řetězce (jméno a heslo) pro získání přístupu.
Botnetu se zjednodušeně říká Reaper. Ke svému rozšiřování využívá působivou sbírku známých zranitelností v IoT.
Kvůli bezpečnostním chybám dokáží neznámí útočníci jednoduše získat plnou kontrolu nad neaktualizovaným zařízením a připojit jej k botnetu. Drtivá většina z uvedených chyb byla sice už dávno opravená, ale uživatelé často zanedbávají aktualizaci. Kvůli nedbalosti se tak i jejich zařízení stávají jedním z článků budoucích útoků.
Na seznamu konkrétně figurují routery D-Link 850L , D-Link DIR-600/300 , Netgear DGN , Linksys E1500 / E2500 , kamerové systémy Netgear ReadyNAS Surveillance , JAWS , Vacron , AVTech a IP kamery Goahead . Podle expertů ze společnosti Check Point jsou ohroženy i routery Mikrotik, TP-Link, NAS zařízení Synology a neaktualizované linuxové servery. Kompletní přehled zneužívaných modelů najdete na tomto odkazu .
Síla botnetu může být ohromující
Experti se domnívají, že botnet Reaper je zatím ve fázi vývoje. Aktuálně se jeho provozovatelé snaží infikovat co možná nejvíce zranitelných zařízení a získat nad nimi kontrolu. Podle dostupných informací nebyl zatím zahájen žádný DDoS útok.
Problémem však je jeho gigantická velikost spolu s více než 100 DNS resolvery, které zajistí rapidně zesílení případného útoku. Nikdo zatím netuší, jaké jsou úmysly útočníků, zda jim jde o způsobení chaosu, finanční zisk nebo jsou jejich cílem specifické zájmy. Faktem však je, že útok může přijít kdykoliv a s rozsáhlými následky.
Pro ilustraci, botnet Mirai disponoval šířkou pásma asi 1 Tbps, což útočníkům umožnilo odstavit weby Disqus, GitHub, HBO Now, Imgur, IndieGoGo, Netflix, PayPal, Pinterest, PlayStation Network, Reddit, SoundCloud, Spotify, Twitter, Yelp a jiné. Reaper je však mnohem propracovanější, přičemž má potenciál zahájit útoky se silou několika desítek Tbps. To ve finále může odstavit klíčové služby internetu a prvky jeho infrastruktury. Naštěstí jen dočasně.
Nejsme napojení na ruskou vládu, říká Kaspersky a poskytne důkaz
24.10.2017 CNEWS BigBrother
Slavná ruská bezpečnostní společnost pojmenovaná dle svého zakladatele a šéfa tvrdí, že nemá co skrývat. Zakládá proto „globální transparentní iniciativu“ v rámci níž chce prokázat, že její software není napojen na místní vládu ani neobsahuje zadní vrátka. Reaguje tak na sílící tlak, který před měsícem vyvrcholil zákazem využívání produktů Kaspersky Lab u amerických federálních úřadů. Viz Spojené státy úřadům zakázaly používat ruský software.
Že nejde jen o prázdná slova, chce Kaspersky dokázat během příštího roku. Od prvního čtvrtletí 2018 poskytne nezávislým expertům zdrojové kódy k prověření softwaru a vyhledání možných bezpečnostních rizik. K nezávislým auditům bude podávat též veškeré softwarové aktualizace.
Otevřeností chce uklidnit investory i zákazníky. Nástroje Kaspersky Lab chrání přes 400 milionů uživatelů a 270 000 firem. Společnost navíc zvyšuje odměny za nalezení chyb v jejím softwaru. Vyplácet bude až 100 000 dolarů, dvojnásobek oproti minulosti.
Data z protokolů odkrývají neznámé skutečnosti
24.10.2017 SecurityWorld Zabezpečení
I ten nejmenší tým IT může využívat správu protokolů pro hladší provoz a silnější zabezpečení.
Malé týmy IT stejně jako ty velké závisejí při odstraňování problémů, vyšetřování bezpečnostních incidentů a dalších důležitých úlohách na aktuálnosti informací.
Zvýraznění a rychlé a efektivní přednostní vyřešení problémů může znamenat rozdíl mezi krizí a úspěšným provozem firmy, bez ohledu na velikost. Velká část těchto důležitých aktuálních informací přichází v podobě dat protokolů (log).
Je důležité si uvědomit, že „malý tým IT“ neznamená malý objem dat. Mnoho menších IT týmů a jejich systémy generují každý den mnoho gigabajtů protokolů. S omezením rozpočtu a personálu však menší týmy IT čelí specifickým problémům, pokud jde o analýzy protokolů.
Drobné IT týmy jsou, a není divu, zcela běžné ve soustě malých firem (a dokonce i v některých velkých organizacích). Podle nedávné zprávy společnosti Spicework o trendech přijetí technologií mají společnosti s méně než 99 zaměstnanci obvykle mezi svými pracovníky průměrně jen dva až tři IT profesionály.
Data protokolů jsou jakýmsi supermanem IT údajů: slabá a neokázalá zvenku, ale skrývají nesmírnou sílu. Protokoly zachycují životně důležité skutečnosti týkající se vaší firmy. Poskytují rozhodující záznamy veškerého dění od oblíbenosti produktů až po stav zabezpečení a výkonu vaší sítě.
Analýza dat protokolu správně transformuje způsob rozhodování a dokonce i způsob fungování firmy. Tato data až příliš často leží bez užitku na serverech a čekají, až je někdo objeví. Ale tak to nemusí být – malé organizace a týmy IT prostě potřebují způsob, jak je využít.
Pochopení dat protokolů
Jedním z největších problémů, kterým týmy IT čelí v souvislosti s daty protokolů, je prostá agregace dat a nalezení vzájemných souvislostí. Neexistují zde žádné datové standardy.
Každá zakázková aplikace má vlastní protokoly. Dostupné nástroje často mají vážná omezení, jako je například omezení znaků pro soubory protokolu, které se vracejí.
Když máte mezi zaměstnanci jen dva až tři IT profesionály, stávají se agregace a korelace všech dat protokolů vytvářených ve společnosti kolosálním úkolem.
Tato úloha se dále ztěžuje současnými technologiemi, které pracují tak rychle, že se nová data protokolů vytvářejí nepřetržitě 24 hodin denně 7 dní v týdnu, a to v každé aplikaci a systému ve vaší infrastruktuře.
Chce-li váš tým IT úspěšně využívat data protokolů, musíte nejprve najít vhodný způsob jejich správy.
Shromažďování a centralizace
Agregace dat protokolů do jednoho místa – protože jsou generovaná aplikacemi, infrastrukturou a distribuovanými prostředími – je k získání komplexního pohledu na IT nezbytná.
Nutnost prohledávat jednotlivé oddělené sklady dat a ručně hledat souvislosti může být časově náročná, zejména když nefunguje klíčová služba.
Například posílání všech protokolů syslog a událostí Windows do jednoho místa znamená, že se můžete zbavit nutnosti používat při řešení problému několik jednotlivých nástrojů.
Automatizace sběru dat protokolu a centralizace je výchozím bodem k získání větší hodnoty z vašich dat. (Viz tabulku s příklady dat, která oddělení IT potřebují shromažďovat a centralizovat.)
Většina nástrojů a ručních přístupů vyžaduje, aby uživatelé normalizovali či vybírali konkrétní data ze souborů protokolů, což zabírá čas a ztrácí se tím podstatný kontext. Lepším přístupem je shromažďovat a v reálném čase uchovávat data v jejich nezpracované podobě v nativním formátu, aby bylo možné zodpovědět nečekané otázky.
To však může být náročné. Neexistují žádné standardní formáty pro data protokolů. Téměř každý systém, aplikace a zařízení zabezpečení bude mít jiný formát dat protokolu.
Tabulkové kalkulátory a nástroje BI nelze přímo použít k analýze dat protokolů z různorodých systémů. Ve chvíli, kdy se vytvoří schéma nebo se data vloží do řádků a sloupců, čeká uživatele tabulkových kalkulátorů a nástrojů BI hora práce nad rámec pouhého přidání dat protokolu z dalších systémů.
Nejhorším scénářem je pak požadavek kontextu z originálního souboru protokolu, jen aby se zjistilo, že při normalizaci dat či při jejich extrakci, transformaci a načítání (ETL) došlo ke ztrátě kontextu.
Hledání a monitoring
Prohledávání dat protokolů s cílem najít problém se v podstatě rovná hledání jehly v kupce sena. A stejně, jako by někdo mohl použít magnet při hledání té jehly, potřebují malé týmy IT snadný způsob, jak vybrat potřebné soubory protokolů. Měly by to být soubory, které ukazují, že se něco pokazilo, že došlo k chybě systému nebo k narušení zabezpečení.
Řešení tohoto problému je jednoduché a známe ho velmi dobře všichni – hledání. Dostupnost vyhledávací funkce, která dokáže prozkoumat centralizovaná data protokolů, odstraňuje nutnost používat grep nebo tabulkový kalkulátor ke hledání IT problémů.
Představte si, že jednoduše zadáte slovo „error“ nebo „fail*“ a dostanete jako odpověď všechny relevantní soubory protokolů ze všech vašich systémů.
Přestože schopnost hledat problémy významně šetří čas a snižuje náklady, skutečný přínos spočívá v přechodu mezi reaktivním a proaktivním přístupem. Proaktivním vyhledáváním událostí obsahujících klíčová slova „error“ nebo „fail*“ a varováním v případě, když se vyskytnou, mohou týmy IT identifikovat a řešit problémy dříve, než se rozrostou do podoby plnohodnotného požárního poplachu.
Vizualizace a reporty
Vytvoření informačních panelů a reportů pro všechna relevantní data poskytuje rychlý přehled o zdravotním stavu IT a problémech. Například vytvoření vizualizací chyb pomůže týmu IT lépe stanovit priority a řešit nejprve největší závady.
Přirozeným vývojem je přejít od jednotlivých vizualizací k informačním panelům, které zahrnují několik vizualizací na základě zobrazení živých a historických dat. Informační panely jsou základnou pro týmy IT pro monitorování více prahových hodnot a podmínek na bázi trendů.
Je důležité si uvědomit, že identifikace a detailní zkoumání problémů přímo z informačních panelů je základem pro efektivní pracovní postupy při správě a využívání dat protokolů. Možnost proklikat se z tabulky či grafu přímo k surovým datům snižuje čas potřebný k řešení problémů a pomáhá týmům přejít z reaktivního přístupu na proaktivní.
Centrální shromažďování a analýza dat protokolů jsou pouze výchozím bodem. Skutečný přínos začne poté, co se týmům podaří vymanit se z režimu podobnému požárnímu cvičení a proces zautomatizovat.
Eliminace manuálního vyhledávání
Posun za hranice, které představují grep a manuální vyhledávání v protokolech, sníží průměrnou dobu potřebnou na řešení problémů a uvolní personál IT k práci na důležitějších projektech.
Pamatujte, že schopnost přistupovat k datům protokolů a eliminovat separaci, kterou tvoří datová sila, jež se vyskytují ve všech systémech a aplikacích, je rozhodující pro získání přehledu potřebného k řešení problémů a k pochopení plné hodnoty dat protokolů.
Hledání v jedné či dvou aplikacích, nebo dokonce jen v jednom systému může skončit odstraněním symptomů problému, a nikoli hlavní příčiny. Kromě toho zkoumání jednotlivých protokolů a zdrojů snižuje přínos efektivity, která plyne z odstranění manuálního procesu.
Monitoring systémů, aplikací a KPI
Prevence je příslovečně tisíckrát efektivnější než řešení následků. Proaktivní sledování, zda se v datech webu a aplikací nevyskytují problémy, pomůže týmům IT vymanit se z režimu hašení požárů.
Monitorování výskytu problémů a spouštění upozornění, když není splněn klíčový ukazatel výkonu nebo je systém nefunkční, zásadním způsobem transformuje fungování týmů IT z reaktivního na proaktivní.
Tato transformace hraje významnou roli v pomoci týmům IT, aby využívaly své omezené zdroje na identifikaci příležitostí k optimalizaci systémů a aplikací, a ne až k reakcím na problémy.
Přechod na proaktivní režim v konečném důsledku umožní týmu, aby se více věnoval strategické práci, jako je například zvýšení zabezpečení IT.
Zlepšení zabezpečení IT
Protože data protokolů obsahují rozhodující záznamy o aktivitě v celé vaší infrastruktuře a sítích, mají také informace, které by mohly indikovat podvody, narušení a útoky APT. Použití dat protokolů k podpoře zabezpečení IT může urychlit šetření v oblasti zabezpečení a pomoci určit příčinu narušení.
Použití tabulkového kalkulátoru nebo jiného nástroje využívajícího řádky a sloupce pro data protokolů může zpomalit vyšetřování narušení, nebo může dokonce způsobit neúmyslné odstranění dat, která jsou pro případ klíčová, protože důležitá data někdy nezapadají do určitého schématu.
Řešení problémů se zabezpečením může být také časově citlivé. Schopnost rychlého vyhledávání v datech protokolů a obdržení varování při výskytu anomální aktivity představuje stěžejní funkce pro prevenci a zastavení útoku.
Stejně jako Clark Kent, který vyrostl z mírného mladíka ze Středozápadu a stal se z něj plnohodnotný superhrdina – Superman, by měla i data protokolů projít transformací ze skromné zpětné vazby k mocnému nástroji pomáhajícímu pochopit a řešit složité problémy.
Pamatujte si: Jenom to, že jste malou firmou nebo máte malý tým IT, ještě neznamená, že nemůžete přeskočit vysokou budovu nebo letět rychleji než vlak.
***Tabulka 1:
Ukázka typů dat, která oddělení IT potřebují centralizovat
Příklad typu dat
Původ
Protokoly clickstream
Webové servery, směrovače, proxy servery, reklamní servery
Protokoly aplikací
Lokální soubory protokolů, log4j, log4net, WebLogic, WebSphere, JBoss, .Net, PHP
Syslog
Směrovače, přepínače, síťová zařízení
Protokoly Windows
Protokoly aplikací Windows, zabezpečení a systému
Wi-Fi WPA2 má kritickou chybu, všem hrozí krádeže citlivých dat
17.10.2017 SecurityWorld Zranitelnosti
Kritická zranitelnost protokolu WPA2, označovaná jako Krack (Key Reinstallation Attacks), má podle expertů potenciál degradovat zabezpečení Wi-Fi připojení prakticky pro všechna bezdrátová zařízení nebo sítě, což umožňuje útočníkům, aby špehovali internetovou komunikaci nebo dokonce injektovali škodlivý kód.
Dobrou zprávou je, že pokud používáte počítač se systémem Windows, jste již v bezpečí – tedy přinejmenším pokud použijete nové aktualizace, které Microsoft v průběhu minulého týdně potichu na Windows aplikoval.
Microsoft podle svých slov totiž vydal bezpečnostní aktualizaci 10. října a zákazníci, kteří mají povolenou službu Windows Update a používají aktualizace zabezpečení, jsou tak prý automaticky chránění.
Zranitelnost zabezpečovacího mechanizmu WPA2 včera uveřejnil Mathy Vanhoef, výzkumný pracovník Katholieke Universiteit Leuven v Belgii. Podle Vanhoefa slabiny v WPA2 umožnily zločincům číst informace přenášené po síti Wi-Fi, o které se podle protokolu myslí, že jsou zašifrovány.
"Útočníci mohou tuto techniku napadnout a následně číst informace, které byly dříve považované za bezpečně šifrované," tvrdí Vanhoef. To se podle něj může zneužít ke krádežím citlivých informací, jako jsou čísla kreditních karet, hesla, zprávy z chatu, e-maily, fotky a tak dále.
Krack se zaměřil na třetí krok ve čtyřkrokovém procesu "handshake" při ověřování. Ten se vykonává, když se klientské zařízení Wi-Fi pokouší připojit k chráněné síti Wi-Fi.
Šifrovací klíč se může během třetího kroku opakovaně přeposílat a pokud útočníci shromažďují a opakovaně opakují přenosy určitým způsobem, může být šifrování Wi-Fi kompromitované.
Macy, iPhony, telefony s Androidem, počítače se systémem Linux, směrovače a další zařízení potřebují záplaty, které je chrání před zranitelností. Naštěstí existují způsoby, jak se v mezidobí chránit – třeba formou využití VPN sítí.
„Spojení probíhající přes HTTPS jsou dodatečně šifrována a jejich obsah tedy zůstává zabezpečen. Záleží tedy na uživateli, jestli kontroluje přítomnost ´zeleného zámečku´ v adresním řádku (nicméně ne všechny webové stránky podporují HTTPS),“ tvrdí zpráva českého centra CSIRT.
Sám Vanhoef doporučuje dočasný zákaz funkce klientů na směrovačích a přístupových bodech a odpojení služby 802.11r. Pokud chcete více informací, problému se týkají následující CVE: CVE-2017-13077, 13078, 13079, 13080, 13081, 13082, 13084, 13086, 13087 a 13088.
Také podle Esetu jde o vážnou situaci, neboť zde není žádný jiný standard, kterým by bylo možné WPA2 okamžitě nahradit. Někteří výrobci hardwaru již nicméně bezpečnostní záplaty na své produkty vydali, ostatní by tak měli teprve učinit.
„Bude ještě zajímavé sledovat, kolik zařízení zůstane nakonec bez záplat,“ říká Miroslav Dvořák, technický ředitel Esetu. Podle něj uživatel může využít tzv. VPN, která vytvoří bezpečný šifrovaný tunel mezi ním a jeho či cílovou sítí. Tento ‚tunel‘ nemůže útočník napadnout, respektive nemá možnost číst probíhající komunikaci v čitelné formě.
Dalším doporučením je zkontrolovat si, zda je či bude v brzké době k dispozici bezpečnostní záplata pro jejich zařízení, která by tuto zranitelnost řešila.
„Ale pozor, některé z variant zranitelnosti se zdaleka netýkají pouze hardwaru, ale i například operačních systémů Android, Linux, Apple, Windows nebo OpenBSD,“ dodává Dvořák.
Nedejte šanci, aby vás obrali hackeři
17.10.2017 SecurityWorld APT
S útoky typu APT (Advanced Persistent Threat, pokročilá perzistentní hrozba) se firmy mohou setkat stále častěji – a roste také jejich závažnost. Stejně tak ale stoupají i náklady spojené s ochranou před touto hrozbou. Je vaše organizace připravená na boj proti útokům APT? Měla by.
Útoky APT odpovídají svému názvu – je to typ síťového útoku, při kterém útočník vybere konkrétní cíl, používá sociální inženýrství a pokročilé technologie k průniku do sítě a poté se zaměřuje na vybraný cíl po dobu týdnů, měsíců nebo let až do okamžiku, kdy se mu podaří dosáhnout plánovaného výsledku nebo kdy dojde ke zmaření útoku.
Jakmile se dostane do sítě, je cílem útočníka zůstat neodhalený, zatímco přitom používá některé typy malwaru k zachytávání důvěrných informací, jež nakonec odesílá do jiné lokality k analýze a následnému prodeji na černém trhu.
Útoky APT jsou vysoce organizované, někdy se jich účastní celý tým útočníků a mívají dostatek finančních a technologických zdrojů.
Přestože APT mohou používat běžné hackerské nástroje, častěji využívají sofistikovaný, na zakázku vytvořený software, u kterého je nižší pravděpodobnost odhalení systémem ochrany zabezpečení. Typy útoků APT a jejich mechanismy zahrnují útoky nultého dne, phishing, pokročilý malware a rovněž celou řadu forem zneužití webů.
Tento příspěvek se zaměřuje na pět způsobů ochrany majetku organizace před útoky APT. Důležité jsou přitom úplně všechny.
1. Implementace hloubkové obrany
Bezpečnostní experti zdůrazňují potřebu zabezpečení, které využívá vrstvy (neboli hloubkovou obranu) jako součást běžné strategie zabezpečení sítí. Hloubková obrana je také jedním z nejlepších způsobů, jak zastavit útok APT ještě předtím, než infiltruje síť.
Znamená to kontrolovat vstupy a výstupy sítě, používat firewally nové generace, nasadit systémy detekce a prevence vniknutí (IDS/IPS), systémy SIEM (správa informací a událostí zabezpečení), implementovat systém správy zranitelností, využívat silnou autentizaci a správu identit, udržovat aktuálnost oprav zabezpečení a používat ochranu koncových bodů.
Protože je malware často zdrojem útoků APT, potřebujete také vysoce spolehlivé řešení pro omezování rizika malwaru. Vzhledem k tomu, že útoky APT mohou využívat špičkové technologie, musí být vaše bezpečnostní vybavení také na špičce. Znamená to volit pokročilá řešení pro detekci na základě chování, kdykoli je to možné.
Vaším cílem je zvýšení obtížnosti počátečního průniku do sítě, ale i pokud by došlo k překonání této vrstvy, musí každá další vrstva zabezpečení představovat další významnou překážku, která zastaví šíření útoku nebo ho dostatečně zpomalí, aby ho bylo možné zjistit a eliminovat.
Protože útočníci neustále aktualizují své nástroje a hledají nové zranitelnosti (mezery v pancíři), musejí být vaše nástroje také aktuální.
Poznámka: V loňském roce tvořil obrat v segmentu řešení ochrany před útoky APT více než 1,9 miliardy dolarů. Společnost The Radicati Group v roce 2015 uvedla, že očekává do roku 2019 nárůst na více než 6,7 miliardy dolarů ročně.
Ne každé bezpečnostní řešení však musí udělat díru do rozpočtu. Například sada Emet (Enhanced Mitigation Experience Toolkit) od Microsoftu je bezplatným bezpečnostním nástrojem založeným na systému Windows, který doplňuje existující obranu zabezpečení a pomáhá detekovat a blokovat metody zneužívající zranitelnosti.
SecurityIQ je zase služba institutu InfoSec, která vám umožní zasílat personálu fiktivní phishingové e-maily k otestování povědomí o zabezpečení. Silné interní zásady zabezpečení a pravidelné hodnocení rizik a zabezpečení jsou také nezbytné. Umožňují zaměřit bezpečnostní kontrolu tam, kde na tom nejvíce záleží.
2. Využití metod sledování a detekce
Důkladné sledování bezpečnostních kontrol vám pomůže rozpoznat první varovné známky útoku APT, které se často objevují v podobě anomálií v protokolech, přenosech a ve formě dalších aktivit neodpovídajících profilům.
Je kriticky důležité sledovat veškeré příchozí a odchozí síťové přenosy, interní přenosy a všechna zařízení, která přistupují k vaší síti.
Nepřetržitý monitoring vám nejen pomůže odhalit podezřelou aktivitu co nejdříve, ale také omezuje možnosti eskalace oprávnění a dlouhodobé průniky. Výstupy z monitoringu mohou navíc sloužit jako forenzní důkazy, pokud se útok dostane až do takového bodu.
3. Využívání služby threat intelligence
Několik dodavatelů zabezpečení nabízí služby threat intelligence, v rámci kterých se z několika zdrojů sbírají surová data o nově vznikajících hrozbách a poté dochází k jejich analýze a filtrování za účelem vytvoření užitečných a k akci použitelných informací.
Tyto informace jsou často ve formě datových kanálů pro systémy řízení zabezpečení a také reportů pro manažery IT a ředitele, aby jim pomohly pochopit hrozby existující v jejich oboru.
Pro threat intelligence je klíčová souvislost globálních zpráv s hrozbami pro vlastní síť organizace. Bezpečnostní personál tak může v reálném čase rychle identifikovat a vyřešit hrozby s vysokým rizikem.
Útoky APT se mohou šířit různými metodami a mohou se zaměřovat na zranitelnosti, které ještě nejsou bezpečnostním společnostem známé, takže je nezbytné rozpoznávat příznaky útoku APT, co nejdříve to je možné.
Threat intelligence například často poskytne chybějící článek, který propojí anomálie zaznamenané v protokolu (log) sítě se zranitelností nultého dne.
4. Školení pro zvyšování povědomí o zabezpečení
Existuje dobrý důvod, proč se téměř v každé diskuzi o bezpečnosti IT zmiňuje nutnost školení pro zvyšování povědomí o zabezpečení.
Když zaměstnanci skutečně rozumějí tomu, jak je nebezpečné klikat na ošemetné odkazy v e-mailech, a dokážou rozpoznat metody sociálního inženýrství, stanou se z nich partneři v boji proti bezpečnostním hrozbám a nakonec to pomáhá chránit sítě a v nich uložená data.
Školení tohoto druhu musejí zahrnovat rychlý přehled bezpečnostních zásad organizace a také následků pro všechny zaměstnance, pokud by došlo k bezpečnostnímu incidentu v důsledku jejich činnosti.
V závislosti na okolnostech to může znamenat další školení, kritiku na personálním oddělení, nebo dokonce okamžité propuštění. Mějte však na paměti, že zaměstnanec obvykle chce dělat svou práci dobře a nechce být příčinou firemních ztrát plynoucích z útoku.
Nejlepším přístupem tedy je zdůrazňování pozitivních aspektů během školení pro zvyšování povědomí a různé formy motivace pro zvyšování znalostí o zabezpečení.
5. Plán reakce na incidenty
Dokonce i s největším úsilím a s využíváním drahých technologií se může stát, že v určitý okamžik dojde k narušení zabezpečení firmy: většina expertů se shoduje, že otázkou není „jestli“, ale „kdy“.
Použití solidního plánu reakcí na incidenty dokáže eliminovat útok, minimalizovat škody a zastavit další úniky dat – výsledkem je minimalizace následných škod na pověsti a značce.
Kromě popisu odpovědnosti jednotlivých pracovních rolí za konkrétní akce od identifikace po řešení by měl váš plán reakcí na incidenty obsahovat kroky k ochraně forenzních důkazů o narušení. Vaše organizace může tyto důkazy potřebovat k usvědčení útočníků, pokud dojde k jejich dopadení, což bohužel není příliš pravděpodobné.
Forenzní důkazy také pomohou vašemu týmu zabezpečení najít bezpečnostní díry, zesílit kontrolu a zabránit opakování v budoucnu. Jedním z dobrých nápadů také je seznámit se s frameworkem Cyber Kill Chain společnosti Lockheed Martin, který pracuje s modelem útoku a řeší každou posloupnost bezpečnostní události.
Znalost způsobů, jak útočník identifikuje cíl a prochází fázemi útoku, může pomoci personálu zabezpečení rozpoznat útok v rané fázi procesu.
Terčem útoků APT může být každá organizace bez ohledu na její velikost. Pochopení toho, jak útok APT funguje, vybudování nejlepší možné obrany v rámci vašich možností a vzdělávání vašeho personálu, tak aby dokázal rozpoznat vše podezřelé, může omezit škody a v některých případech i v první linii zabránit útoku.
Incident response ve věku cloudů
17.10.2017 SecurityWorld Incidenty
Řešení pro reakce na incidenty může pomoci interním i externím týmům spolupracovat, sledovat procesy reakcí na incidenty a automatizovat důležité úlohy zabezpečení.
Většina šéfů zabezpečení informací zažívá drsné probuzení, když se setkají se svým prvním významným bezpečnostním problémem v cloudu.
Pokud zjistí kritickou zranitelnost, která vyžaduje opravu, může jim chybět povolení ke změnám v prostředí připraveném od poskytovatele cloudu. Jestliže firma síť nevlastní, nemusí existovat způsob, jak získat podrobnosti zásadní pro vyšetření incidentu.
Aby se v cloudu zabránilo významným bezpečnostním problémům, musí mít CISO plán reakcí na incidenty. Zde je návod, jak ho vytvořit:
Stanovte společný plán reakce s poskytovatelem cloudu. Pokud jste ještě do cloudu nepřešli, je nejpraktičtějším prvním krokem stanovení společného procesu reakcí. Je potřeba jasně definovat odpovědnosti a role a vzájemně si vyměnit kontaktní informace pro primární a sekundární kontakty.
Získejte podrobné vysvětlení toho, co u poskytovatele vyvolává reakci na incidenty a jak bude poskytovatel řešit různé problémy.
Vyhodnoťte způsob monitoringu a bezpečnostní opatření používané v daném cloudu. Pro zajištění efektivní reakce na bezpečnostní problémy související s cloudovou infrastrukturou je důležité pochopit, jaký druh monitorovacích a bezpečnostních opatření používá poskytovatel cloudu a jakým způsobem jsou pro vás tyto nástroje dostupné.
Pokud zjistíte, že jsou nedostatečné, hledejte způsoby, jak lze nasadit doplňující řešení, které to napraví.
3. Vytvořte plán obnovy. Rozhodněte, zda bude v případě výpadku u poskytovatele nutná obnova. Vytvořte plán obnovy, který určí, jestli se má použít alternativní poskytovatel, nebo interní vybavení, a určí také postup pro získání a přesun dat.
4. Vyhodnoťte forenzní nástroje pro cloudovou infrastrukturu. Zjistěte, jaké nástroje jsou k dispozici od poskytovatele cloudu a z dalších zdrojů pro forenzní šetření v případě incidentu. Pokud incident zahrnuje citlivé osobní údaje, mohl by přerůst v právní problém, takže je dostupnost vhodných nástrojů pro forenzní práci a sledování důkazů zásadní.
Zvládnutí incidentu v cloudu
Při reakci na incident je mnoho kroků stejných nehledě na to, zda k němu došlo v cloudu či v interní infrastruktuře. V případě cloudového incidentu však existují některé další kroky, které je nutné udělat:
Ihned kontaktujte tým reakce na incidenty daného poskytovatele a při své komunikaci buďte důrazní. Pokud je tým poskytovatele nedostupný, udělejte v souvislosti s incidentem vše, co je ve vašich možnostech pro jeho zastavení – například kontroly připojení ke cloudové službě a v případě pochyb také zrušení uživatelského přístupu ke cloudové službě.
Pokud nelze incident kontrolovat, ani zastavit, připravte si přesun na alternativní službu nebo si nakonfigurujte svůj interní server.
Cloud vám umožní odložit identifikaci a odstranění na dobu po skončení krize. Ve většině případů můžete okamžitě zahájit obnovu produkčních služeb vytvořením nové instance.
Nejlepší postupy
Jedním z kritických problémů, kterým mnoho podniků čelí, je nedostatek talentovaných pracovních sil s potřebnými schopnostmi pro správu zabezpečení. Je těžké najít vhodné kandidáty, a pokud je najdete, můžete čekat, že jim budete muset nabídnout vysoké platy.
Existují však některé kroky, které můžete udělat, abyste rychle zaškolili nové zaměstnance a zlepšili schopnosti pracovníků současných:
Podporujte spolupráci, která pomůže mladším zaměstnancům učit se ze zkušeností vedoucích analytiků. Jako bonus může spolupráce odhalit duplicitní činnosti, které lze odstranit.
Vytvářejte příručky, které popíšou standardní postupy pro reakce na incidenty. Samozřejmě nelze vytvořit návod pro každou možnou situaci, ale příručky mohou být cennými průvodci a vynikajícími školicími materiály. Jen nezapomínejte příručky aktualizovat, což je úloha, kterou lze často zautomatizovat.
Mnoho úloh lze automatizovat, zejména pokud se opakují a jsou rutinní. Běžné úlohy zabírají nepřijatelné množství času. Automatizace může uvolnit váš personál pro důležitější úkoly.
Podporujte vznik situační všímavosti z perspektivy historické i z perspektivy reálného času. Efektivní analýza minulých incidentů vám pomůže k lepšímu rozhodování o incidentech současných.
Analyzujte incidenty a vytvořte si databázi, která pomůže určit druhy problémů, potřebné schopnosti k jejich vyřešení, frekvenci různých typů incidentů a další skutečnosti. Analýza vám může pomoci identifikovat zranitelnosti a zjistit, kde lze zabezpečení zlepšit.
Jako většina nejlepších bezpečnostních postupů pro cloudové aplikace je také reakce na incidenty společnou odpovědností. Při plánování reakcí na budoucí incidenty je zásadní zajistit dostupnost správných kontaktů, nástrojů a procesů.
Mít platformu pro reakce na incidenty, která umožňuje spolupráci interních a externích týmů, sleduje procesy reakce na incidenty a automatizuje klíčové bezpečnostní úlohy, je v čase krize nezbytné, aby bylo možné rychle problémy zastavit a efektivně na ně reagovat.
Jak byl odemčen zabijákův iPhone? FBI nemusí nic prozrazovat, rozhodl soud
10.10.2017 Novinky/Bezpečnost BigBrother
Kauza týkající se iPhonu teroristy Syeda Farooka ze San Bernardina se pomalu chýlí ke konci. Novináři se od loňského roku domáhali u soudu, aby Federální úřad pro vyšetřování (FBI) prozradil, jak se dostal do zabijákova chytrého telefonu. Soudkyně Tanya Chutkanová však nyní rozhodla, že FBI nemusí vůbec nic prozrazovat.
Na soud se obrátili takřka přesně před rokem vydavatelé USA Today, Vice Media a zároveň agentura AP, uvedl server Engadget. Ti se touto cestou snažili zjistit například to, zda se na odblokování podíleli hackeři a zda bylo vhodné utratit za nástroj pro odblokování smartphonu tak velké množství peněz.
Úřad sice oficiálně nepotvrdil, na kolik jej odblokování iPhonu přišlo, ale někdejší šéf FBI James Comey to loni v dubnu naznačil více než jasně: „Opravdu hodně. Je to víc, než si zvládnu u FBI vydělat do konce svého funkčního období. Tedy za sedm let a čtyři měsíce.“
Vzhledem k tomu, že jeho roční plat činil tehdy 183 300 dolarů (4,3 miliónu korun), není těžké spočítat úplatu za odblokování jablečného smartphonu. Celková částka musela dělat minimálně 1,3 miliónu dolarů (přes 31 miliónů korun).
Přesnou cifru ani způsob odblokování zabijákova iPhonu se ale veřejnost pravděpodobně nikdy nedozví. Rozhodnutí soudkyně Chutkanové je totiž definitivní, FBI tak nemusí nic žalující straně prozrazovat.
Spor o „zadní vrátka”
Vyšetřovatelé z FBI se do uzamčeného iPhonu islámského radikála nemohli dostat dlouhé měsíce. Jeho iPhone 5C byl nastaven tak, aby se po zadání deseti nesprávných kódů automaticky vymazal, s čímž si bezpečnostní experti z FBI původně nedokázali poradit.
Soud proto Applu v únoru nařídil, aby tuto funkci vypnula, což však není technicky možné. Proto vyšetřovatelé chtěli po americkém softwarovém gigantu vytvořit v operačním systému iOS „zadní vrátka“, což však vedení Applu odmítalo.
Vyšetřovatelům z FBI se nakonec podařilo do uzamčeného zařízení dostat. Detaily o průniku však nezveřejnili.
Odemčení zabijákova iPhonu nicméně FBI příliš nepomohlo, jak informoval již dříve server CBS News. Nebyla totiž odhalena žádná data, díky nimž by se vyšetřování posunulo nějak dopředu.
I tak ale nebyly vynaložené milióny zbytečné. Získaný nástroj totiž dokáže FBI využít k odemčení i dalších jablečných přístrojů. Konkrétně by mělo jít o iPhone 5C a starší modely, na ty nové jsou vyšetřovatelé krátcí.
Pomohli Izraelci?
Podle dřívějších informací pomohla FBI s uzamčeným iPhonem společnost Cellebrite se sídlem v Izraeli. Firma britské stanici BBC potvrdila, že s americkými vyšetřovateli spolupracuje, ale více nesdělila.
Na svých internetových stránkách nicméně Cellebrite prohlašuje, že jeden z jejích nástrojů umí dekódovat a extrahovat data z iPhonu 5C.
Útok v San Bernardinu byl nejtragičtějším od teroristických útoků v USA v září 2001. Zradikalizovaný muslim Syed Farook a jeho žena Tashfeen Maliková tam na počátku prosince zastřelili 14 lidí. Později byli zabiti při přestřelce s policií.
Česko patří k nejbezpečnějším zemím, tvrdí počítačoví experti
10.10.2017 Novinky/Bezpečnost Bezpečnost
Každý den kolují internetem podle nejstřízlivějších odhadů milióny počítačových virů. Přesto se podle všeho nemusí tuzemští uživatelé příliš obávat. Naše domovina totiž patří podle statistik bezpečnostních expertů k nejbezpečnějším zemím. Vyplývá to z údajů antivirové společnosti Check Point.
Vůbec nejnebezpečnější zemí, alespoň co se týče počtu šířených počítačových virů, se v posledním reportu bezpečnostních expertů stala Dominikánská republika. Do první desítky se dostaly i další země, které se pravidelně umísťují na předních příčkách. Řeč je například o Rusku, Spojených státech, Indii, Thajsku či Turecku.
Největším skokanem je ale pravděpodobně Uruguay, tato země ležící Jižní Americe se ve virovém žebříčku posunula o 75 míst směrem nahoru – aktuálně tak jde o 47. nejnebezpečnější stát. Naopak Bangladéš se posunula z 16. příčky až na bezpečnější 125. pozici.
Vody tuzemského internetu jsou poměrně poklidné, počítačové viry se naší domovině spíše vyhýbají. I díky tomu si Česká republika v žebříčku vysloužila 122. místo. Nepatrně více škodlivých kódů se šíří na Slovensku, i když nejde o žádný dramatický nárůst. V poslední statistice totiž našim východním sousedům patřila 119. pozice.
Jdou po penězích
Útoky ve všech zemích si jsou nicméně velmi podobné, počítačoví piráti jdou totiž velmi často po penězích – často šíří bankovní trojské koně. Ve sledovaném období se do žebříčku deseti nejrozšířenějších škodlivých kódů dostaly hned tři viry cílící na bankovní účty.
„Finanční zisk je hlavním motivem pro drtivou většinu kyberzločinců a bohužel pro to mají k dispozici i celou řadu nástrojů,“ zdůraznil Peter Kovalčík, SE Manager ve společnosti Check Point.
Ten zároveň popsal, jak jednotlivé útoky probíhají. „Identifikují, kdy oběť navštíví webové stránky banky, a pak pomocí techniky webinject nebo sledováním stisknutých kláves kradou přihlašovací údaje a další citlivá data, jako jsou například PIN kódy. Trojské koně mohou také zkusit ukrást přihlašovací údaje přesměrováním obětí na falešné bankovní internetové stránky,“ uzavřel bezpečnostní expert.
Nejobávanější trojský kůň může za každý 13. útok v Česku
6.10.2017 Novinky/Bezpečnost Viry
Jedním z nejobávanějších virů současnosti je trojský kůň Chromex. Několik posledních měsíců se totiž pravidelně umísťoval na předních příčkách žebříčku nejrozšířenějších škodlivých kódů, v září mu dokonce kraloval – může za každý 13. útok v Česku. Vyplývá to z pravidelné statistiky antivirové společnosti Eset.
„Žebříček nejčastějších internetových hrozeb v České republice za měsíc září vedl trojský kůň JS/Chromex.Submelius. Jeho podíl na celkových virových hrozbách byl 7,34 procenta,“ uvedl Miroslav Dvořák, technický ředitel společnosti Eset.
Ten zároveň zdůraznil, že zářiové statistiky pěkně zamíchaly kartami. „Po více než roce z čela žebříčku sestoupil JS/Danger.ScriptAttachment. Ten ještě v loňském měsíci držel bezmála čtvrtinový podíl, nyní je to méně než tři procenta,“ podotkl Dvořák.
Chromex využívá například popularity neoficiálních streamovacích služeb na internetu a uživatelům nabízí instalaci škodlivých pluginů. Útočníci přitom často slibují, že pluginy zrychlí načítání internetových stránek, ve skutečnosti ale způsobují opak. Často je na možnost instalace podobných pluginů možné narazit na různých streamovacích stránkách s českou nebo slovenskou doménou.
Cílí na Chrome
„Jak napovídá jeho název, Chromex se soustředí na doplňky k internetovému prohlížeči Chrome. V České republice se poprvé četněji vyskytl letos v březnu, kdy se ve statistice objevil na pátém místě,“ doplnil bezpečnostní expert.
Druhým nejčetnějším škodlivým kódem byl v minulém měsíci JS/ProxyChanger. „Jde o trojského koně, který brání přístupu na určité webové stránky a přesměrovává provoz na konkrétní IP adresy. Může například oběť přesměrovat na web útočníka,“ vysvětlil Dvořák.
Tento škodlivý kód v září dosáhl podílu 3,18 procenta. Virovou trojkou v minulém měsíci byl Java/Adwind, další trojský kůň, který slouží jako backdoor a umožňuje vzdálené ovládání napadeného zařízení.
Přehled deseti nejrozšířenějších virových hrozeb za uplynulý měsíc naleznete v tabulce níže:
Top 10 hrozeb v České republice za září 2017
1. JS/Chromex.Submelius (7,34 %)
2. JS/ProxyChanger (3,18 %)
3. Java/Adwind (3,17 %)
4. VBS/TrojanDownloader.Agent.PFE (2,98 %)
5. JS/Danger.ScriptAttachment (2,93 %)
6. Win32/RiskWare.PEMalform (2,40 %)
7. SMB/Exploit.DoublePulsar (2,31 %)
8. Win32/GenKryptik (1,95 %)
9. JS/Adware.AztecMedia (1,87 %)
10. VBS/TrojanDownloader.Agent.PGF (1,86 %)
Zdroj: Eset
Ruští hackeři prý ukradli citlivá data americké NSA
6.10.2017 Euro.cz BigBrother
Hackeři najatí ruskou vládou ukradli před dvěma lety citlivá data americké Národní agentury pro bezpečnost (NSA), která obsahují detaily o pronikání do cizích počítačových sítí a o obraně před kybernetickými útoky. Napsal to list The Wall Street Journal s odvoláním na anonymní zdroje. Dat se hackeři zmocnili, když je jistý pracovník NSA přesunul do svého domácího počítače.
Podle amerického listu jde o jeden z nejzávažnějších hackerských útoků vůbec. V roce 2013 Edward Snowden, jiný zaměstnanec NSA, ukradl ze serverů této bezpečnostní agentury údaje o špionážních metodách USA v zahraničí.
The Wall Street Journal napsal, že do soukromého počítače externího zaměstnance NSA se možná hackeři dostali přes antivirový program ruské společnosti Kaspersky Lab. Její produkci minulý měsíc americká vláda zakázala instalovat do úředních počítačů kvůli podezření, že firma pracuje pro ruskou rozvědku.
Firma Kaspersky Lab obvinění energicky popírá a tvrdí, že se nikoli vlastní vinou ocitla uprostřed geopolitického boje.
NSA informaci amerického deníku odmítla komentovat. Senátor Ben Sasse, člen branného výboru horní komory Kongresu, označil informaci za alarmující. „NSA musí vystrčit hlavu z písku a vyřešit problém externích zaměstnanců. Rusko je v kybernetickém prostoru naším jasným nepřítelem, nemůžeme si dovolit taková selhání,“ řekl Sasse agentuře Reuters.
NSA útok na své servery objevila až loni na jaře, píše The Wall Street Journal. Hackeři ukradli údaje o tom, jak agentura proniká do cizích počítačových sítí, jaké programy k tomu používá a jak sama chrání své sítě uvnitř USA. Pokud by Rusové tyto údaje dostali do rukou, mohli by lépe chránit své systémy a snadněji naopak pronikat do těch amerických.
Bezpečnostní experti bijí na poplach. Útoků na bankovní účty přibývá
5.10.2017 Novinky/Bezpečnost Hacking
Motivace počítačových pirátů v posledních týdnech je jasná – peníze. Kyberzločinci se totiž stále častěji zaměřují na bankovní účty svých obětí. Vyplývá to z analýzy bezpečnostní společnosti Check Point o největších kybernetických hrozbách za měsíc srpen.
Podle kybernetických analytiků počítačoví piráti používají stále častěji bankovní trojské koně. Do žebříčku deseti nejrozšířenějších škodlivých kódů se totiž dostaly hned tři viry cílící na bankovní účty.
„Identifikují, kdy oběť navštíví webové stránky banky, a pak pomocí techniky webinject nebo sledováním stisknutých kláves kradou přihlašovací údaje a další citlivá data, jako jsou například PIN kódy. Trojské koně mohou také zkusit ukrást přihlašovací údaje přesměrováním obětí na falešné bankovní internetové stránky,“ zdůraznil Peter Kovalčík, SE Manager ve společnosti Check Point.
Hlavní motivací peníze
Do desítky nejrozšířenějších škodlivých kódů se dostaly bankovní trojské koně Zeus, Ramnit a Trickbot.
Daří se také vyděračským virům z rodiny ransomware. Například Globeimposter byl druhým nejčastějším malwarem na světě. Ačkoli byl objeven v květnu 2017, až do srpna se masivně nešířil. Globeimposter šifruje soubory a od obětí požaduje platbu za dešifrování cenných dat.
Touha po penězích je tak ze strany počítačových pirátů evidentní. „Finanční zisk je hlavním motivem pro drtivou většinu kyberzločinců a bohužel pro to mají k dispozici i celou řadu nástrojů,“ uvedl bezpečnostní expert.
Nejrozšířenější virus oslabil
„V Top 10 malwarových rodinách vidíme vysoce efektivní variantu ransomwaru i celou řadu bankovních trojanů, což znovu ukazuje, jak vynalézaví umí hackeři být ve snaze vydělat peníze. Organizace musí být při ochraně své sítě ostražité a proaktivní,“ dodal Kovalčík.
Celým statistikám nicméně vévodil škodlivý kód Roughted, který je využívaný k útokům na podnikové sítě. Ten kraloval žebříčku nejrozšířenějších virů už o měsíc dříve, aktuálně jeho podíl nicméně klesl z 18 % na méně než 12 %.
Tři nejrozšířenější škodlivé kódy
1. RoughTed
Rozsáhlá malvertisingová kampaň RoughTed je využívána k šíření odkazů na nebezpečné webové stránky a k šíření škodlivého obsahu, jako jsou scam, adware, exploit kity a ransomware. Může být použita k útoku na jakýkoli typ platformy a operačního systému, vyhne se nástrojům na blokování reklamy a sleduje chování uživatelů, aby byl finální útok co nejrelevantnější.
2. Globeimposter
Ransomware maskovaný jako varianta ransomwaru Globe. Byl objeven v květnu roku 2017 a je distribuován spamovými kampaněmi, malvertisingem a exploit kity. Při šifrování připojuje ke každému zašifrovanému souboru koncovku .crypt.
3. HackerDefender
Uživatelský rootkit pro Windows může být využit ke skrytí souborů, procesů a klíčů registru, a také k implementaci backdooru a přesměrování portu, který funguje na základě TCP portů otevřených stávajícími službami. Takže skryté backdoory není možné najít tradičními postupy.
Pět kybernetických hrozeb, které musí mít každý manažer IT bezpečnosti na paměti
4.10.2017 SecurityWorld Kyber
Sítě se vyvíjí nebývalým tempem. Fyzická a virtuální prostředí, privátní a veřejné cloudy a stoupající množství IoT a koncových zařízení zásadním způsobem zvětšují prostor pro potenciální útoky. Ochrana síťových prostředí klade před manažery počítačové bezpečnosti řadu složitých problémů. Částečně je to způsobeno tím, že roste rozsah a závažnost kybernetických hrozeb, které se snaží využít nových možností k útoku.
Manažeři informační bezpečnosti si musí uvědomovat zejména to, že:
Digitální stopa podniků i jednotlivců se rychle zvětšuje, včetně nových multicloudových strategií, a tím se zvětšuje prostor pro možné útoky.
Téměř každé zařízení je potenciálním cílem a téměř cokoli lze užít k provedení kyberútoku.
Hrozby jsou inteligentnější a útoky automatizovanější, což značně ztěžuje jejich odhalení.
Společnost Fortinet nedávno identifikovala pět faktorů, které stojí za změnami kyberbezpečnostního prostředí. Každý z nich komplikuje ochranu sítí, dat a komunikace před útočníky:
1. Internet věcí
Hovoříme-li o zařízeních internetu (IoT) věcí, můžeme je rozdělit do tří základních kategorií. Do první kategorie spadají spotřebitelská IoT zařízení. Jedná se o běžné přístroje jako chytré telefony, hodinky, domácí spotřebiče a domácí zábavní systémy.
Zbývající dvě kategorie zahrnují zařízení, jako je kontrola stavu skladových zásob, sledování polohy zařízení, lékařské přístroje nebo výrobní systémy. Informace, které tato zařízení poskytují v reálné čase, zvyšují produktivitu a efektivitu, což se projevuje v podobě konkurenční výhody. V dalších prostředích dokáží tyto nástroje šetřit energii a přírodní zdroje i chránit životy. U většiny IoT zařízení nelze konfigurovat zabezpečení a není možné instalovat bezpečnostního klienta. Odborníci očekávají, že v roce 2020 čtvrtina všech počítačových útoků bude cílit na IoT.
2. Zavádění cloudu
Cloud mění způsob, jakým podniky fungují. Do několika let bude 92 % všech pracovních zátěží zpracováváno v cloudových datových centrech a pouze zbývajících 8 % zůstane v tradičních lokálních datových centrech. Cloudové služby se však nachází mimo hranice podnikové sítě, a tedy i mimo dosah tradičních bezpečnostních řešení.
Ačkoli většina poskytovatelů cloudových služeb nabízí určitou úroveň zabezpečení a smlouvy o zaručené úrovni služeb (SLA), existuje dlouhá řada dalších faktorů, které je nutné řešit, například viditelnost dat a možnost sledování jejich pohybu mezi jednotlivými cloudovými prostředími, konzistentní uplatňování bezpečnostních pravidel, ukládání dat v cloudu, centralizovaná koordinace a správa pravidel nebo schopnost reagovat na škodlivý datový provoz, jehož původ je v cloudovém prostředí, nebo který jím protéká.
3. Vyděračský software
Neuplyne den, aby se mezi novinovými titulky neobjevila zpráva o vyděračském softwaru. Denně dochází k více než 4000 vyděračských útoků a měsíčně je zasaženo 30 až 50 tisíc zařízení. Největší ztráty při napadení vyděračským softwarem přitom představují náklady na výpadek systémů. 63 % podniků, které se loni staly obětí takového útoku, uvedlo, že u nich došlo k výpadku ohrožujícímu obchodní činnost. V případě napadení zdravotnických zařízení, může výpadek ohrožovat i životy.
4. SSL
Značnou část síťového provozu tvoří důvěrná nebo citlivá data šifrovaná pomocí technologií, jako je SSL. Šifrování SSL sice chrání data protékající podnikovými sítěmi, ale zneužívají ho také kyberzločinci k ukrytí malwaru, sondování sítě a škodlivého provozu. To znamená, že je nutné otevřít a prozkoumat každou zprávu a není-li závadná, opět ji zabalit a odeslat. Tato operace je extrémně náročná na výpočetní zdroje. Při velké zátěži bezpečnostních násrojů může docházet k výraznému snížení výkonu sítě. Podniky a organizace, které pracují s aplikacemi citlivými na rychlost přenosu dat, proto buď důležitý provoz nešifrují, nebo šifrovaný provoz nekontrolují. Obě varianty však výrazně zvyšují již tak velká bezpečnostní rizika.
5. Nedostatek kvalifikovaných bezpečnostních odborníků
Podniky se potýkají nejen se stále důmyslnějšími hrozbami, ale také s nedostatkem kvalifikovaných bezpečnostních odborníků a růstem nabídky bezpečnostního softwaru. Dnes na trhu práce chybí 1 milion odborníků, v roce 2020 to podle odhadů bude o polovinu více.
Podniky se vybavují k obraně proti novým bezpečnostním hrozbám a zavádí do svých distribuovaných sítí desítky bezpečnostních řešení od různých výrobců, jejichž správa a integrace je časově náročná a pracná, přičemž většina subjektů se i bez toho potýká s nedostatkem zdrojů. Řešením je konsolidovaný přístup, kdy tradiční bezpečnostní technologie budou integrované a automatizované v rámci jednotné, úzce provázané bezpečnostní architektury, která dokáže pojmout dnešní vysoce elastické sítě a přizpůsobovat se jejich rozvoji a zároveň sledovat a chránit zařízení a data kdekoli v celém podnikovém ekosystému.
Kyberzločinci cílí na PC i mobily
29.9.2017 Novinky/Bezpečnost Kyber
S novými viry se v posledních týdnech doslova roztrhl pytel. Tyto škodlivé kódy se přitom již nezaměřují pouze na klasické počítače, stále častěji se je kyberzločinci snaží propašovat také do chytrých telefonů.
Důvod je jasný. Zatímco na zabezpečení počítačů si většina uživatelů dává již velký pozor, u mobilů řeší riziko kybernetických útoků málokdo. A to platí i o počítačových tabletech.
Přitom právě na zmiňovaných zařízeních uživatelé velmi často uchovávají citlivé osobní údaje, přístupová hesla a v neposlední řadě je používají také k obsluze svých bankovních účtů.
Právě poslední zmiňovaná činnost je pro počítačové piráty patrně nejatraktivnější. Pokud se počítačoví piráti dostanou k přihlašovacím údajům do internetového bankovnictví, jsou jen krůček od vybílení účtu. Stačí, aby se jim podařilo na telefon propašovat dalšího nezvaného návštěvníka, který dovede odchytávat SMS zprávy pro potvrzení plateb.
Právě proto je důležité chránit antivirovými programy a dalšími bezpečnostními nástroji nejen PC, ale také chytré telefony.
Důležitá je prevence
Před podobnými nezvanými hosty dokážou počítače, tablety i chytré telefony ochránit speciální programy. Kromě klasických antivirů jde například o aplikace, které se soustředí pouze na špionážní software a hledání trojských koňů.
Jiné programy zase dokážou v operačním systému nalézt tzv. keyloggery, které jsou schopné zaznamenávat stisk každé klávesy a nasbíraná data odesílat útočníkovi. Na PC i mobilu by měl být nainstalován vždy jen jeden bezpečnostní program svého druhu. Dva antiviry na disku dokážou udělat pěknou neplechu. Samotný antivirus ale zárukou bezpečí není.
Velmi důležité jsou také aktualizace, protože právě chyby v operačním systému a nejrůznějších programech počítačoví piráti velmi často zneužívají k tomu, aby do něj propašovali nezvané návštěvníky.
Sledují každý krok uživatele
Před novým virem, který je vylepšenou verzí bankovního malwaru zvaného Svpeng, varoval bezpečnostní expert ze společnosti Kaspersky Lab Roman Unuchek. Právě on totiž hrozbu objevil jako první.
Tento vylepšený záškodnický program jasně ukazuje, jak se v poslední době počítačoví piráti vyvíjejí. Kombinují různé škodlivé kódy tak, aby byli schopni nepozorovaně ukrást z cizího zařízení citlivá data a následně je zneužít – v tomto konkrétním případě je řeč o přístupových údajích do internetového bankovnictví.
Podvodníkům jde nejčastěji o peníze.
Většina bankovních trojských koňů je totiž poměrně snadno odhalitelná, alespoň pokud se bavíme o těch určených pro chytré telefony. Uživateli totiž na displeji podstrčí při pokusu o přihlášení do internetového bankovnictví podvodnou stránku, u které jde však velmi často poznat, že jde o padělek. Pozornější uživatelé tak zpravidla na tento trik nenaletí a kyberzločincům své přihlašovací údaje na zlatém podnose nenaservírují.
I když výjimky se pochopitelně také najdou. Upravená verze škodlivého viru Svpeng je však daleko sofistikovanější. Obsahuje totiž zabudovaný keylogger, který zaznamenává doslova veškerou činnost uživatele na napadeném smartphonu. Počítačoví piráti se tak dozvědí přihlašovací údaje i ve chvíli, kdy je uživatel skutečně zadává do legitimního formuláře banky.
Další část trojského koně se pak postará o zbytek – odchytne potvrzovací zprávu a zneužije ji. Počítačoví piráti pak mohou velmi snadno vybílit svým obětem celý účet.
Podvodníci to zkoušejí i přes tiskárny
Na pozoru by se měli mít v poslední době lidé, kteří obdrží e-mail s naskenovaným souborem. I když se může na první pohled zdát, že jej zaslala skutečně nějaká tiskárna, ve skutečnosti jde o podvod. A počítačovým pirátům jde pouze o to, aby mohli důvěřivce oškubat. Na množící se podvody upozornil český Národní bezpečnostní tým CSIRT.CZ.
Podle něho zneužívají podvodníci fakt, že moderní tiskárny skutečně dokážou naskenované dokumenty odeslat přímo do e-mailové schránky. „Aktuálně zaznamenáváme zvýšený výskyt e-mailů přesvědčivě se tvářících jako oskenovaný soubor poslaný tiskárnou,“ uvedl Pavel Bašta, bezpečnostní analytik CSIRT.CZ, který je provozován sdružením CZ.NIC.
Podle něj nebezpečí tkví právě v příloze, která je součástí nevyžádaného e-mailu. „V příloze je přiložený archív s příponou .rar. V archívu je zabalený .vbs skript, který již poté dokáže napáchat škodu,“ podotkl Bašta.
„Dle některých výzkumníků se s největší pravděpodobností jedná o novou variantu ransomwaru Locky, který šifruje soubory oběti a přidává jim následně příponu .lukitus. Námi zachycený vzorek je v současnosti úspěšně detekován pouze některými antiviry,“ varoval bezpečnostní expert.
To jinými slovy znamená, že nový škodlivý kód, který se šíří prostřednictvím příloh v e-mailu, nemusí antivirové programy vůbec rozeznat. Uživatelé tak po otevření přílohy vlastně ani nemusí vědět, že si zavirovali počítač.
Nebezpečný červ pro mobily
Milióny chytrých telefonů s operačním systémem Android z různých koutů světa se podařilo kyberzločincům infikovat nebezpečným červem, který lidem postupně tahal z kapes peníze. Z napadených zařízení totiž odesílal placené prémiové SMS zprávy.
Tímto škodlivým kódem zvaným ExpensiveWall se počítačovým pirátům podařilo infikovat nejméně 50 aplikací, které byly dostupné prostřednictvím oficiálního obchodu Google Play. To jinými slovy znamená, že do svého zařízení si lidé nezvaného návštěvníka stáhli s nějakým dalším programem, aniž to tušili. Všechny infikované programy – například aplikace Lovely Wallpaper – již byly z internetového obchodu staženy. I taky ale podle odhadů bezpečnostních expertů stihli počítačoví piráti škodlivým kódem nakazit až 4,2 miliónu zařízení.
Číslo přitom není v žádném případě konečné, neboť červ ExpensiveWall se vedle oficiálního obchodu Googlu šířil pravděpodobně také skrze aplikace nabízené na různých internetových fórech apod. Podle Check Pointu tak počet infikovaných zařízení dohromady pravděpodobně překročil číslovku 21 miliónů.
Je důležité upozornit na to, že jakákoliv infikovaná aplikace nainstalovaná na zařízení před tím, než byla odstraněna z Google Play, stále zůstává na zařízeních uživatelů aktivní. Uživatelé, kteří tyto aplikace stáhli, jsou proto stále v nebezpečí a musí je ručně odstranit ze svých zařízení.
Legitimní aplikace mohou být zavirované
CCleaner je velmi oblíbený program, který slouží k čištění zbytkových souborů v počítači. Jedna z jeho posledních aktualizací však obsahovala virus, jímž byly infikovány dva milióny počítačů. Výjimkou nejsou ani stroje z České republiky, i když přesný počet tuzemských obětí zatím není známý.
Škodlivým kódem přitom byla nakažena oficiální verze programu dostupná přímo na stránkách výrobce. Virus v aplikaci CCleaner objevil tým bezpečnostních výzkumníků Cisco Talos, který neprodleně informoval zástupce Avastu o tom, že jsou jejich uživatelé v ohrožení.
V počítači přitom virus, který se šířil prostřednictvím CCleaneru, dokáže udělat pěknou neplechu. „Pokud je tento malware v počítači uživatele nainstalovaný, mohou získat hackeři přístup do uživatelova počítače i do ostatních propojených systémů,“ uvedli bezpečnostní experti.
„Následně pak mohou získat přístup k citlivým datům či přístupovým údajům k internetovému bankovnictví nebo jiným účtům,“ zdůraznili výzkumníci z týmu Cisco Talos s tím, že hrozba je tedy pro uživatele velmi vážná. Že byla jedna z aktualizací CCleaneru skutečně zavirovaná, potvrdili už i zástupci antivirové společnosti Avast. Právě tento podnik za vývojem bezplatného nástroje pro čištění počítačů stojí.
Antivirové programy jednoduše obejdou
Bezpečnostní experti ze společnosti Check Point odhalili nový způsob, jak mohou počítačoví piráti relativně snadno obejít zabezpečení počítačů s operačním systémem Windows 10. Tato metoda přitom nezneužívá žádnou bezpečnostní trhlinu, ale jednu z funkcí tohoto operačního systému.
„Technika nazvaná Bashware využívá novou funkci Windows 10 nazvanou Subsystem for Linux (WSL), která ještě nedávno byla jen v betaverzi, ale nyní už je plně podporovanou funkcí Windows,“ uvedl Petr Kadrmas, bezpečnostní odborník ze společnosti Check Point.
Jde o oblíbený linuxový terminál (Bash), jenž je dostupný pro uživatele operačního systému Windows a umožňuje nativně spustit soubory z Linuxu v operačním systému Windows. Tento hybridní koncept tedy umožňuje současně kombinovat systémy Linux a Windows.
Bezpečnostní řešení v desítkách však ale ještě stále nejsou přizpůsobena pro sledování procesů spustitelných linuxových souborů. „Kyberzločincům se tak otevírají nová dvířka, jak nepozorovaně spustit škodlivý kód a využít funkce WSL k maskovaní před bezpečnostními produkty, které ještě neimplementovaly odpovídající detekční mechanismy,“ zdůraznil Kadrmas.
„Check Point testoval tuto techniku na většině předních antivirových a bezpečnostních produktů a malware nebyl detekován. Bashware tak může potenciálně ovlivnit libovolný ze 400 miliónů počítačů, které v současné době pracují se systémem Windows 10,“ podotkl bezpečnostní expert.
Na hrozbu nemůže z logiky věci zareagovat samotný Microsoft, ale tvůrci jednotlivých antivirových řešení. Ta musí být schopna pracovat jak v prostředí Windows, tak Linuxu. V opačném případě jsou uživatelé vystaveni riziku.
Viry se nevyhýbají ani internetu věcí. Rozesílají spam
29.9.2017 Novinky/Bezpečnost Viry
S tím, jak roste počet chytrých zařízeních zapojených do internetu věcí (IoT), roste i zájem hackerů o jejich zneužití. Stále častěji se tak stávají obětí malwaru, jako je například Mirai. Botnety tvořené těmito ovládnutými zařízeními jsou určeny především k DDoS útoků, nový výzkum však ukázal, že je hackeři používají i pro masové rozesílání nevyžádané pošty.
Analýza, kterou provedla ruská bezpečnostní firma Doctor Web, odhalila, že linuxový trojan Linux.ProxyM používaný počítačovými zločinci k zajištění své online anonymity, dostal nedávno aktualizaci. Ta do něj přidala funkci pro rozesílání spamu.
Trojan Linux.ProxyM byl objevený letos v únoru. Provozuje SOCKS proxy server nakaženém IoT Zařízení a má schopnost detekovat tzv. honeypoty (anglicky „hrnce medu“), což jsou informační systémy, jejichž úkolem je přitahovat potenciální útočníky a zaznamenat jejich činnost. Díky tomu je pro antivirové systémy nesnadné ho odhalit.
Virus může fungovat na téměř všech linuxových zařízeních, včetně routerů, set-top boxů a dalších zařízeních, které fungují na architekturách x86, MIPS, PowerPC, MIPSEL, ARM, Motorola 68000, Superh a SPARC.
Problém je však v tom, že uživatelé v současnosti nemohou zařízení pro internet věcí jakkoliv chránit. Zatímco pro běžné počítače jsou k dispozici antivirové programy a další bezpečnostní software, pro chytré žárovky, mobilem ovladatelné termostaty a další podobnou elektroniku zatím nic podobného není.
Obří únik osobních údajů si vybral další daň. Šéf Equifaxu končí
27.9.2017 Novinky/Bezpečnost Incidenty
Jeden z největších úniků citlivých osobních dat za poslední roky, který se v USA stal, má další dohru. S okamžitou platností končí generální ředitel americké úvěrové kanceláře Equifax Richard Smith. Právě z tohoto podniku unikla data o 143 miliónech Američanů.
Šéf Equifaxu Richard Smith
Equifax funguje jako registr dlužníků a tento měsíc přiznal, že se stal terčem kybernetického útoku. Hackeři při něm získali čísla sociálního zabezpečení, data narození, adresy a další údaje o lidech v jeho databázi.
Equifax je v USA jednou ze tří firem svého druhu. Věřitelé spoléhají na informace shromážděné úvěrovými kancelářemi, které jim pomáhají při schvalování půjček na bydlení, nákup auta či poskytnutí kreditních karet. Někdy je využívají i zaměstnavatelé při rozhodování, koho přijmout.
V čele podniku byl 12 let
Sedmapadesátiletý Smith stál v čele firmy od roku 2005, nyní bude v podniku působit pouze jako neplacený poradce. Prozatímním generálním ředitelem byl jmenován jednašedesátiletý Paulino do Rego Barros, který měl dříve na starosti aktivity v Asii a Tichomoří. Při hledání stálého generálního ředitele hodlá firma zvažovat interní i externí kandidáty, uvedla agentura AP.
„Kybernetický incident se dotkl miliónů spotřebitelů," uvedl Smith. „Věřím, že v tomto kritickém momentě je v nejlepším zájmu firmy mít nové vedení, které ji posune kupředu," uvedl.
O samotném úniku osobních dat z Equifaxu se více dozvíte v našem dřívějším článku.
Deloitte se stala obětí hackerského útoku, trval delší dobu
27.9.2017 Novinky/Bezpečnost Hacking
Globální konzultační společnost Deloitte, která je jednou ze čtyř největších svého druhu na světě, se stala obětí sofistikovaného hackerského útoku. Server deníku The Guardian dnes uvedl, že při útoku firmě unikly důvěrné e-maily a také informace o některých z jejich největších klientů. Útok zřejmě trval několik měsíců a odhalen byl letos v březnu.
Společnost, která je registrována v Londýně, ale světovou centrálu má ve Spojených státech, informaci potvrdila. Podle jejího sdělení přišla o data týkající se jen malého počtu klientů. Firma nyní provádí kontrolu, o úniku dat zatím bylo informováno šest subjektů.
Jedna z největších soukromých firem v USA poskytuje audit a daňové poradenství, stejně jako poradenství v oblasti počítačové bezpečnosti. Mezi klienty má největší světové banky, nadnárodní společnosti, mediální podniky, farmaceutické koncerny i vládní agentury.
The Guardian uvedl, že útok byl zjištěn letos v březnu, má se ale za to, že útočníci měli přístup do systému společnosti už od října či listopadu 2016.
Využili účet administrátora
Hackeři se do něho dostali prostřednictvím globálního e-mailového serveru s využitím účtu administrátora, který teoreticky umožňuje privilegovaný a neomezený přístup do všech oblastí. Podle zdrojů listu stačilo hackerům prolomit jen jedno heslo, systém ověření ve dvou krocích nepoužívá. Na pět milionů e-mailů, které si vyměnilo 244.000 zaměstnanců s klienty, bylo uschováno v cloudovém úložišti Azure firmy Microsoft.
The Guardian se domnívá, že vedle e-mailové pošty měli hackeři přístup i k uživatelským jménům a heslům, IP adresám nebo informacím o zdravotním stavu.
Útok byl zřejmě cílen na Spojené státy. O vysoce citlivé záležitosti byla informována jen hrstka nejvýznamnějších partnerů a právníků společnosti. Dosavadní vyšetřování – pod krycím jménem Windham – zatím nedospělo k závěru, za jde o útok osamělého vlka, konkurenční firmy, ani o státem podporovaný útok.
V roce 2012 byla společnost Deloitte zařazena mezi nejlepší poradce v oblasti počítačové bezpečnosti na světě.
Zabezpečte se před drony
25.9.2017 SecurityWorld Zabezpečení
Ve špatných rukou mohou drony ohrožovat život i majetek. Jak se těmto momentálně nesmírně populárním létajícím strojům v případě ohrožení ubránit?
Snad každý už někdy slyšel o vojenském využití dronů. Možná jste už zaslechli o plánech společnosti Amazon doručovat pomocí dronů zákazníkům komerční produkty. A Google údajně vyvíjí drony napájené sluneční energií, které budou poskytovat vysokorychlostní internet.
Pro prospěšné využití technologie dronů neexistuje žádný limit. Rozprašování pesticidů v rámci boje s virem Zika nebo hasičských chemikálií v odlehlých oblastech. Pátrání a záchrana. Doručování zdravotnického materiálu v případech nouze. V uvádění příkladů bychom samozřejmě mohli pokračovat.
Ale co temnější stránka dronů? Nastal čas, kdy by měli bezpečnostní profesionálové začít formulovat obrannou strategii pro drony?
Vezměme v úvahu následující událost: Letecký dopravní prostředek bez posádky (UAV) upustil balíček se 144 gramy tabáku, 65 gramy marihuany a 6 gramy heroinu nad severním dvorem vězeňského nápravného zařízení Mansfield Correctional Institution, což na tomto místě vyvolalo doslova rvačku.
Nebo způsob, jakým britští zloději využívají drony, aby zjistili, jaké domy lze vykrást. Nebo bandité, kteří používali dron jako pozorovatele pro případ, že by se v dohledu objevila policie.
Obavy o podnikovou bezpečnost
Je zřejmě jen otázkou času, než se drony stanou součástí sady nástrojů hackerů, špionů, průmyslových zlodějů, naštvaných zaměstnanců atd.
Joerg Lamprecht, spoluzakladatel a výkonný ředitel německé společnosti Dedrone, která vyrábí systémy včasného varování a detekce na ochranu proti dronům, uvádí: „Je-li váš vzdušný prostor bez ochrany, přestávají být ploty, videokamery a lidská ostraha adekvátní pro ochranu citlivých budov či osob.“
Lamprecht připomíná, že drony schopné nést až pět kilogramů a letět několik kilometrů lze koupit na internetu a v místních obchodech s elektronikou za méně než 40 tisíc korun.
S využitím GPS a autopilota může mnoho dronů letět po naprogramované cestě, což znamená, že útočník může být ve zcela jiné lokalitě, než je místo zločinu, vysvětluje Lamprecht.
Představte si, že se dron vybavený kamerou vznáší za oknem špičkového výzkumníka nebo vývojáře produktů či výkonného ředitele významné společnosti, dělá fotografie dokumentů, prezentační tabule a snímky obrazovky.
Ve skutečnosti ale může dron s výkonným objektivem sedět na střeše budovy naproti přes ulici. Stejně jako zde již máme celou problematickou oblast tzv. wardrivingu, budeme nyní muset počítat s warflyingem.
Gerald Van Hoy, analytik v Gartneru, uvádí, že drony mohou létat nad celými oblastmi a vyhledávat otevřené sítě Wi-Fi za účelem získání přístupu k jednotlivým počítačům, sítím a dokonce využívat jejich IP adresy k ilegálním aktivitám, jako je například krádež identity.
„Totéž platí i pro firmy,“ připomíná Van Hoy. „Nedávno se ve zprávách objevil případ, kdy dron získal přístup do podnikové sítě, protože zařízení ve vyšších patrech budovy nevyužívala šifrování.“
Děsivé scénáře s drony
Kromě průmyslové sabotáže mohou mít drony katastrofální dopad na veřejnou bezpečnost.
„Potenciál hrozeb dronů je různorodý,“ popisuje Lamprecht. „Letecké dopravní prostředky bez posádky (UAV) rovněž představují vážnou hrozbu pro bezpečnost letadel.“
Například agentura FAA dostává každý měsíc více než 100 zpráv o zpozorovaných dronech. Na začátku tohoto roku varovaly nezávislé výzkumné ústavy před nebezpečím, že teroristé mohou zneužít drony dostupné pro spotřebitele k útokům na letadla.
„Ve skutečnosti FAA zakazuje použití dronů až do vzdálenosti 8 km od letišť z bezpečnostních důvodů. Pokud by došlo k náhodnému nasátí dronu do tryskového motoru letadla, mohl by motor vybuchnout a letadlo by se následně mohlo zřítit,“ vysvětluje Jack Reis, projektový manažer společnosti Harbor Research.
Při požárech spalujících minulé léto Severní Karolínu překážely letadlům přepravujícím vodu a látky zhášející oheň právě soukromé osoby, které se chtěly pomocí svých dronů lépe podívat na situaci. Hasiči na zemi a letecké posádky nemají žádný způsob, jak komunikovat s těmito operátory dronů.
Reis uvádí, že dalším děsivým scénářem je možná hrozba výbušného zařízení a nebezpečného biochemického mechanismu připevněného k dronu, jehož cílem může být poškození civilistů.
V dubnu 2015 přistál na střeše japonského premiéra dron přepravující radioaktivní látku. Pokud mohou tyto létající prostředky hodit drogy do věznice, mohou také shodit bomby, chemikálie a smrtící viry na městskou populaci nebo do nádrží dodávajících vodu pro město.
Dalším scénářem je, že může dron zmást zařízení inteligentního domu, manipulovat s elektřinou, zapnout plyn, vypnout vytápění nebo zapnout vodu, aby zaplavila celý dům. A mohl by dron zaútočit na chytré sídliště, či dokonce chytré město?
„Ještě důležitější je,“ dodává Reis, že „hackeři mohou používat drony k ovlivnění zařízení vzdáleného ovládání dostupných on-line v případech, jako jsou elektrárny, trafostanice, potrubní rozvody a další důležitá zařízení distribuční infrastruktury, která nemusejí mít správné bezpečnostní standardy.
Kromě narušení procesu, který se týká takového zařízení, může otevřený vstupní bod vést k síti zařízení napojených na rozvody, například až do výrobního závodu nebo přestupní stanice.“
„Nechápejte mne, prosím, špatně,“ dodává Van Hoy, „drony jsou v současné době populární, ale podobný druh ohrožení může přijít také v podobě automobilů bez řidiče a robotických čističů oken či od řady zařízení internetu věcí (IoT). Neříkám, že u těchto druhů technologií převažují rizika nad výhodami, ale že bezpečnost by měla mít vždy vysokou prioritu.“
Pozitivní aspekty
„Navzdory problémům s bezpečností a zabezpečením věříme, že trh s drony ukazuje obrovskou příležitost,“ dodává Reis. „Jak se vyjasňují potřeby koncových zákazníků, stejně tak to bude s nabídkami od výrobců dronů, kteří budou přicházet s inovativními případy využití. V současné době silně těží z výhod využití dronů letecký průzkum, hornictví, ropný i plynárenský průmysl nebo zemědělství.“
V zemědělství se například využívá postřik velkých ploch proti škůdcům a existují pokusy minimalizovat problém s moskyty přenášejícími virus Zika ve státech s vysokým rizikem.
Drony také pomáhají farmářům lépe řídit úrodu poskytováním leteckých pohledů na vše, počínaje problémy se zavlažováním, kvalitou půdy až po boj proti škůdcům a zamoření plísněmi.
„Drony se dokážou dostat do nepřístupných míst a spotřebují méně produktů v důsledku přesnější aplikace,“ vysvětluje Hammond. „To je obzvláště praktické, když se kombinuje rozprašování s přesnými údaji z čidel zaznamenávajícími například teplo a hmyz.“
Hammond uvádí, že živé videopřenosy z těžko přístupných míst jsou jedním ze skutečných přínosů dronů, protože jsou tato zařízení flexibilnější a mohou se dostat blíže než vrtulník při potřebě prohlédnout malé oblasti, jako jsou například trhliny v nadzemní části mostů.
Některá města už dnes používají drony ke kontrole střech budov za účelem vyhodnotit nadměrné zatížení napadlým sněhem a poté řídí plány úklidu. Drony také mohou přinést přehled o dopravních zácpách, automobilových nehodách, situaci s ledem a sněhem na střechách a mostech a o počtu aut na parkovišti.
Podle analytické společnosti Forrester lze ke dronům připojit všechny typy snímačů pro sběr informací – optické, teplotní, chemické, infračervené atd.
Chemické snímače mohou detekovat metan na plynových polích a teplotní snímače mohou zjistit přítomnost lidí nebo zvířat v nebezpečných oblastech jako např. v blízkosti gejzírů, kališť, výstupů páry, horkých pramenů a sopek.
Drony také mohou dodávat zásoby a léky do odlehlých oblastí, nakažených zón a vzdálených měst a vesnic, které jsou nepřístupné jakýmikoliv prostředky kromě chůze.
Detekce dronů
Podle Reise jsou drony špičková, dálkově ovládaná zařízení, některá s doletem stovek kilometrů, a většinou obsahují videokamery umožňující vidět, co se celou dobu děje.
I když tyto schopnosti poskytují širokou řadu využití s přidanou hodnotou v mnoha průmyslových odvětvích (přesné zemědělství, inspekce elektrického vedení, inspekce potrubí, doručování balíků atd.), představují také významná rizika pro bezpečnost a zabezpečení.
„Nejlepší ochranou proti nepřátelským dronům je komplexní automatizovaný systém, který se skládá ze spolehlivé detekce dronu a integrovaných protiopatření spouštěných na základě individuální rizikové situace a právních předpokladů,“ uvádí Lamprecht.
„Například náš DroneTracker spolehlivě detekuje a identifikuje kriminální drony pomocí různých senzorů, kombinace dat a inteligentní softwarové technologie. Obranná opatření lze aktivovat automaticky a je možné také upozornit bezpečnostní služby,“ dodává Lamprecht.
Jak p2p ohrožuje vaše zabezpečení?
25.9.2017 SecurityWorld Zabezpečení
Sdílení souborů je stále běžnější – znamená to, že je nutné vzít vážně i hrozby, které se v přenosech p2p skrývají.
Bezpečnostní hrozby pocházející z komunikace peer-to-peer (p2p) nejsou nic nového, v poslední době jsou ale mnohem důmyslnější.
Od ransomwaru a CryptoLockeru až po botnety – tyto globální hrozby se i nadále vyvíjejí a využívají stále propracovanější způsoby, jak se dostat k obětem. Pokud je týmy zabezpečení nehledají, mohou zůstat bez povšimnutí, což by mohlo být pro podnik v konečném důsledku velmi nákladné.
Blog, který provozuje firma TrendLabs Security Intelligence, uvádí informace o hrozbách po větší část uplynulých dvaceti let. V nedávném příspěvku věnovaném hrozbám maker a ransomwaru v oblasti e-mailů poznamenává jeho autorka Maydalene Salvadorová, že počet spamových zpráv dosáhl ročně počtu okolo 200 miliard e-mailů.
„Ne všechny spamové zprávy týkající se hrozby maker však měly přílohy. Některé e-maily obsahovaly odkazy, které vedly k legitimním webovým službám pro ukládání souborů, jako je např. Dropbox, odkud byly škodlivé soubory sdílené,“ tvrdí Salvadorová.
Nehledě na to, zda se využívá zašifrování souborů pro vydírání, nebo se užívá infekce malwarem, který následně ukradne přihlašovací údaje, uživatelé stále klikají a sdílejí tyto virulentní přílohy.
Tyto masivní kampaně se zločincům i nadále vyplácejí, protože jim poskytují přístup nebo vydělávají peníze.
Chase Cunningham, šéf výzkumu kybernetických hrozeb, a Jeff Schilling, CSO ve společnosti Armor, uvádějí: „Hackeři posílají phishingové e-maily obětem. Třeba CryptoLocker vidí, jaké protokoly jsou v síti otevřené. Potom se zamknou soubory, zašifrují se a drží se jako rukojmí.“
Zločinci míří na servery
Zločinci už vstoupili do arény serverů, upozorňuje Schilling. „Před pěti lety to bývaly botnety, ale nyní hackeři přešli na webové servery, které jim dávají větší sílu. Mohou zkompromitovat jeden server a potom získat hlubší přístup do firemní sítě,“ dodává Schilling.
Podle Cunninghama, pokud vaše infrastruktura – z technického hlediska – nevidí, co se děje v síti, neuvidíte ani přenosy p2p. Jestliže se vaše firma aktivně nesnaží nasazovat specializované nástroje typu threat intelligence, nevíte, co se může ve vaší síti objevit.
V softwarovém oboru sdílení souborů p2p neexistuje téměř žádná regulace, upozorňuje Schilling, „Kdo vám tedy řekne, jaké porty a protokoly se používají?“
Jedním z řešení je nepřetržitě monitorovat všechny protokoly. „Potřebujete mít nástroje threat intelligence a důsledné monitorování.“
Častým problémem monitoringu je, že většina síťového provozu se sleduje takzvaně od severu k jihu, uvádí Schilling. Pozorování spojení mezi východem a západem mezi servery v našem prostředí a dalšími servery odhalí jiné hrozby.
„Většina firem neumísťuje senzory mezi servery, aby odhalila takové aktivity p2p. Nedávno se prvek botnetu dostal do podnikového prostředí jednoho z našich zákazníků a rozšířil se i na jeden server v našem prostředí, ale zablokovali jsme to, protože jsme monitorovali směr z východu na západ a používáme whitelisty,“ uvedl Schilling.
Přestože existuje několik nástrojů na trhu, které mapují sítě, takže IT profesionálové mohou vědět o všech souvislostech, „mnoho lidí nechce do těchto nástrojů investovat“, uvádí Schilling. „Nemají zájem, protože ve skutečnosti možná ani nechtějí vědět, jak zlé to je.“
Cunningham a Schillling uvedli, že CryptoLocker zůstává dalším problémem p2p. „Je to něco, co v posledních letech skutečně propuklo. Zranitelnosti v noteboocích a dalších osobních zařízeních však nevedou k vypnutí protokolů p2p,“ pokračuje Schilling.
Jakmile zločinci získají přístup k jednomu počítači, mohou vidět všechny porty a protokoly v této síti. „Mělo by jich být otevřeno co nejméně,“ radí Cunningham. „Lidé sdílejí soubory a připojují se k síťovým diskům a malware migruje a šifruje tyto síťové disky.“
Obrana před těmito hrozbami má velkou souvislost s návrhem sítě a používáním systémů řízení přístupu k síti, takže když se počítač připojí do sítě, je mu povolený pouze určitý provoz.
„Všechny porty a protokoly jsou zamknuté. Mnoho uživatelů může dělat veškerou potřebnou práci ze sítí pro hosty, které jsou od podnikové sítě oddělené příslušnou segmentací,“ vysvětluje Schilling.
Navíc „oddělte segmentací od podnikové sítě uživatele, kteří využívají svá vlastní zařízení. Pracujte s touto uživatelskou populací tak, jako by byly dané počítače již infikované,“ radí Schilling.
Distribuovaná hrozba
Michael Taylor, šéf aplikačních vývojářů ve společnosti Rook Security, uvádí, že v závislosti na povaze útoku přicházejícího z p2p může být obrana proti těmto hrozbám velmi složitá. „Namísto šíření z několika serverů či hostitelů dochází k outsourcingu na mnoho hostitelů. Použití firewallů nedokáže zablokovat všechny tyto přenosy.“
Botnety z aplikací p2p jsou populární a používají velmi důmyslné komunikační metody. Jejich vymýcení představuje likvidaci stáda, což se samozřejmě liší od tradiční hrozby botnetu, který má vlastní řídicí centrum.
„Když máte botnet, musíte mít některé servery, které řeknou ostatním, co mají dělat. Pokud dokážete vlastní síť izolovat od řídicích serverů, nedokáže se manažer botnetu dostat k ovládání botů,“ uvádí Taylor.
Jestliže je několik takových řídicích serverů statických, je snadnější takové přenosy izolovat. „Můžete v podstatě odříznout pokyny pocházející od osoby, která botnet provozuje, a to vám umožní získat nějaký čas na nápravu, ale při konfiguraci p2p, kdy je botnet více decentralizovaný, je těžší takovou komunikaci odfiltrovat,“ vysvětluje Taylor.
DDoS nebo phishing
Hrozby od těchto botnetů sahají od útoků DDoS až po spamovací e-maily využívané k infiltraci sítě zkompromitováním pracovní stanice uvnitř prostředí. Jakmile získají přístup, mohou se zaměřit na server, kde jsou uložené důvěrné informace.
„Můžete tyto hostitele také použít pro rozšířené phishingové útoky, identifikovat nejvyšší manažery a další cíle pro útoky cíleného phishingu a whalingu, nebo se zaměřit na zaměstnance disponující přístupem k datům, o která máte zájem,“ popisuje Taylor.
Data jsou nejčastějším primárním cílem zločinců. „Pro zločince je to velmi lukrativní útočný vektor, když jsou manažeři poměrně snadnou kořistí. Lákavá je autorizace on-line převodů a kompromitace jejich hardwaru, protože mají přístup k velkému množství dat,“ uvádí Taylor.
V závislosti na tom, jak je síť segmentovaná, se zločincům nemusí podařit přímý přechod z pracovní stanice ke korunovačním klenotům podniku, ale útočník může získat přihlašovací údaje, které mu dále pomohou v pohybu sítí.
S využitím signatur pro perimetr sítě a pro interní síť „můžete vidět přenosy přicházející zvenčí a také pokusy o přístup k ostatním uvnitř sítě“, uvádí Taylor.
Opravdu speciální ransomware: pošli nahé fotky, my odblokujeme počítač
22.9.2017 Živě.cz Viry
Běžný ransomware spočívá v uzamknutí počítače a požadování výkupného
Nový vzorek však místo platby v Bitcoinech chce nahé fotky
Může jít jen o vtípek bez reálného zašifrování dat
Takto vypadá běžný ransomware.Nejdřív zašifruje uživatelská data, následně vyžaduje platbu výkupného.Může se dostat i do oblíbených programů, tady do známé aplikace pro konverzi videa.Vydírání může mít rovněž podobu sdílení odkazu.Takto se ve webovém rozhraní spravují ransomwarové kampaně, které může vytvořit i méně zkušený "hacker".
Pokud je systém nakažen ransomwarem, útočníci zašifrují uživatelská data a za jejich zpřístupnění vyžadují výkupné. V drtivé většině případů je to platba prostřednictvím Bitcoinů nebo jiné kryptoměny. Malware Hunter Team však informoval o netradičním vzorku ransomwaru, který místo platby žádá nahé fotografie oběti. Informoval o tom web Motherboard.
Malware nese označení nRansomware a při napadení počítače, dojde k jeho uzamknutí a zobrazení zprávy vyžadující netradiční výkupné.
Takto vypadá pracovní plocha počítače po napadení nRansomwarem (foto: Hybrid Analysis)
Útočníci v něm uživatele instruují k založení e-mailového účtu na šifrovaném Protonmailu. Následně má oběť na uvedenou adresu odeslat zprávu, vyčkat na odpověď a následně poslat deset nahých fotografií. Pokud útočníci ověří pravost fotografií, pošlou kód pro odemknutí počítače.
Zpráva je doplněna o pozadí s Mašinkou Tomášem a na pozadí hraje podkresová hudba ze souboru your-mom-gay.mp3 (ve skutečnosti jde o hlavní hudební motiv seriálu Larry, kroť se). Analýza malwaru je k dispozici na univerzálním skeneru VirusTotal a podrobnější zpráva potom na Hybrid Analysis.
Navzdory tomu, že byl vzorek softwaru vyhodnocen jako škodlivý, není jisté, že jde o opravdový ransomware, který by na pozadí reálně data zašifroval. Může jít o vtípek spočívající v pouhém překrytí obrazovky zmíněným obrázkem, který má uživatele vystrašit a ty méně pozorné snad k opravdovému odeslání fotek donutit.
Takto netradiční ransomware jsme si samozřejmě chtěli vyzkoušet ve virtuálním stroji, bohužel se nám však nepodařilo proces uzamknutí/zašifrování dat nastartovat.
Hacknutý CCleaner je mnohem zákeřnější než se zdálo. Update na novou verzi nestačí, proveďte obnovu systému
21.9.2017 Živě.cz Hacking
Program CCleaner umí pořádně pročistit Windows. Nyní se ale ukázal jako poněkud špinavé koště...Až na aktuální chybu je to jinak program velmi schopný. Vyčistí jak systém, tak aplikace a registryOptimalizovat zde můžete například start systémuK dispozici jsou i pokročilé funkce pro analýzu diskuNebo vyhledávání duplicitních souborů
Na začátku týdne vydali tvůrci nástroje CCleaner zprávu o napadení jejich serverů. Ty téměř celý měsíc uživatelům servírovaly infikovaný instalační soubor aplikace obsahující malware. Ten měl za cíl vzdálenou správu napadeného stroje. Jako spolehlivé řešení tohoto problému byla uvedena pouhá aktualizace programu na novou verzi. Nyní však přichází bezpečnostní odborníci Cisca s podrobnější analýzou, která ukazuje, že útok je mnohem sofistikovanější, než se v pondělí zdálo.
Experti Cisca v rámci bezpečnostní skupiny Talos dostali k dispozici zdrojový kód a databázi z řídícího serveru útočníků. Ukazují primární cíl hackerů – napadaní interních sítí velkých technologických společností. Útočníci filtrovali napadené počítače, které komunikovali z některé z vybraných domén, mezi nimiž najdeme Samsung, Sony, Vmware, Microsoft, O2, Google a rovněž i samotné Cisco.
Malware odesílal na servery útočníků informace například o verzi systému či administračních právech. Zároveň ale také kompletní
(zdroj: Cisco)
Autoři analýzy uvedli, že asi v polovině případů bylo infikování počítačů z těchto domén úspěšné. Backdoor může být dále využíván pro další útoky na interní sítě společností.
Domény, na které útočníci primárně cílili (zdroj: Cisco)
Pro uživatele, kteří v posledním měsíci instalovali nebo aktualizovali CCleaner na verzi 5.33, je však důležitější důrazné doporučení na obnovu systému ze zálohy. Původně byla jako dostačující řešení uváděna instalace nové čisté verze aplikace. Ta však nemusí odstranit všechny komponenty malwaru, díky nimž se mohou útočníci pokusit o druhou vlnu infikování systému.
Cílem útočníků může být podle Cisca průmyslová špionáž v napadených společnostech. V analýze se rovněž objevily stopy, které pojí útok s Čínou. Je to především použití kódu, který se v minulosti objevil při útocích skupiny Group 72, jež je spojována právě s čínskou vládou. Jeden z konfiguračních souborů na řídícím serveru, který komunikoval s napadenou aplikací, měl potom jako časové pásmo nastavenou právě Čínu.
Trojský kůň vysaje bankovní konto. Pronajmout si ho může kdokoliv
21.9.2017 Novinky/Bezpečnost Viry
Uživatele smartphonů s Androidem stále častěji ohrožují nebezpečné trojské koně, které ukradnou cenná osobní data včetně přihlašovacích údajů do internetového bankovnictví a doslova vyluxují účet. Bezpečnostní experti společnosti SfyLabs nyní objevili nového záškodníka zvaného Red Alert 2.0, který je nabízen na tzv. darknetu k pronajmutí za pouhých 500 dolarů za měsíc, tedy necelých 11 000 Kč.
Na rozdíl od jiných bankovních trojských koní pro Android, jako jsou BankBot a ExoBot, které byly vytvořeny na základě uniklého zdrojového kódu starších trojských koní, je Red Alert 2.0 napsaný úplně od začátku.
Malware pro internetové bankovnictví Red Alert byl v uplynulých měsících distribuován prostřednictvím mnoha on-line hackerských fór a jeho tvůrci ho neustále aktualizovali a přidávali do něj nové funkce ve snaze vytvořit z něj nebezpečnou hrozbu pro potenciální oběti.
Stejně jako většina ostatních trojských koní pro Android nabízí i Red Alert celou řadu možností, jako je krádež přihlašovacích údajů, zcizení potvrzujících SMS zpráv, zobrazování překryvných oken přes legální bankovní aplikaci a další. Vedle toho jej však jeho tvůrci vybavili i jednou zajímavou funkcionalitou, která má zabránit tomu, aby oběti obdržely varování od banky o kompromitování jejich účtu. Dokáže totiž zablokovat všechny příchozí hovory od bank a dalších finančních institucí.
Lidé zabezpečení podceňují
Další zajímavá věc o Red Alert 2.0, kterou zjistili bezpečnostní experti SfyLabs, spočívá v tom, že používá Twitter k zabránění ztráty robotů, když je jeho příkazový a řídící server vyřazen. To sice bylo již dříve viděno u malwaru pro PC, ale u Red Alert 2.0 je to poprvé, co bylo něco takového nalezeno u bankovního trojana pro Android.
Red Alert 2.0 se aktuálně zaměřuje na klienty více než 60 bank po celém světě a pracuje na Androidu 6.0 Marshmallow a předchozích verzích.
Na chytré telefony a počítačové tablety se počítačoví piráti zaměřují pravidelně. Lidé je totiž zpravidla nechávají bez jakékoliv obrany, tedy bez nainstalovaného antivirového programu. A tím nevědomky pomáhají počítačovým pirátům, pro ně je totiž v takovém případě velmi snadné nechráněné zařízení napadnout.
Populární CCleaner infikoval dva milióny počítačů virem
21.9.2017 Novinky/Bezpečnost Hacking
CCleaner je velmi oblíbený program, který slouží k čištění zbytkových souborů v počítači. Jedna z jeho posledních aktualizací však obsahovala virus, jímž byly infikovány dva milióny počítačů. Škodlivým kódem přitom byla nakažena oficiální verze programu dostupná přímo na stránkách výrobce.
Virus v aplikaci CCleaner objevil tým bezpečnostních výzkumníků Cisco Talos, který neprodleně informoval zástupce Avastu o tom, že jsou jejich uživatelé v ohrožení.
Zavirovaná verze programu tak byla vcelku rychle z oficiálních stránek stažena. I přesto se škodlivým kódem podle odhadů bezpečnostních expertů nakazily dva milióny počítačů z různých koutů světa. Výjimkou nejsou ani stroje z České republiky, i když přesný počet tuzemských obětí zatím není známý.
V počítači přitom virus, který se šířil prostřednictvím CCleaneru, dokáže udělat pěknou neplechu. „Pokud je tento malware v počítači uživatele nainstalovaný, mohou získat hackeři přístup do uživatelova počítače i do ostatních propojených systémů,“ uvedli bezpečnostní experti.
„Následně pak mohou získat přístup k citlivým datům či přístupovým údajům k internetovému bankovnictví nebo jiným účtům,“ zdůraznili výzkumníci z týmu Cisco Talos s tím, že hrozba je tedy pro uživatele velmi vážná.
Přes dvě miliardy stažení
Že byla jedna z aktualizací CCleaneru skutečně zavirovaná potvrdili už i zástupci antivirové společnosti Avast. Právě tento podnik za vývojem bezplatného nástroje pro čištění počítačů stojí. Všem uživatelům se zástupci Avastu omluvili.
Program CCleaner se těší tak velké popularitě především proto, že je poskytován zadarmo a jeho výsledky jsou velmi dobré. Dokáže z operačního systému Windows odstranit dočasné soubory, nepotřebná data i nepoužívané položky v registru.
CCleaner si po celém světě stáhly už více než dvě miliardy lidí.
Nejlepší bezpečností funkce macOS se proměnila ve zbraň hackerů. Z Find My Mac se stal ransomware
21.9.2017 Živě.cz Apple
Uživatelé Maců hlásí v posledních dnech nový typ „hackerského“ útoku, kdy dojde k uzamknutí počítače a útočníci vyžadují výkupné.Jde o stejné chování jako u běžného ransomwaru, jenže v tomto případě je zneužita jinak vynikající bezpečností funkce iCloudu.Přímo ve webové službě icloud.com lze jakékoliv zařízení s macOS vzdáleně uzamknout šestimístným bezpečnostním kódem.Ten je vyžadován pro následné odblokování. Jedná se tedy o skvělou funkci při ztrátě nebo odcizení počítače.Paradoxní je, že před útokem tohoto typu neochrání ani dvouúrovňová autorizace. Apple totiž funkci pro uzamknutí Macu umožňuje použít bez zadání ověřovacího kódu pro případ, že uživatel o jediné autorizované zařízení přišel.
Uživatelé Maců hlásí v posledních dnech nový typ „hackerského“ útoku, kdy dojde k uzamknutí počítače a útočníci vyžadují výkupné. Jde o stejné chování jako u běžného ransomwaru, jenže v tomto případě je zneužita jinak vynikající bezpečností funkce iCloudu. Útočníkům stačí přihlašovací údaje k účtu Apple ID, které si u méně obezřetných uživatelů opatří z mnoha úniků dat v posledních letech.
Přímo ve webové službě icloud.com lze jakékoliv zařízení s macOS vzdáleně uzamknout šestimístným bezpečnostním kódem. Ten je vyžadován pro následné odblokování. Jedná se tedy o skvělou funkci při ztrátě nebo odcizení počítače. Jenže je rovněž snadno zneužitelná pro vydírání mekařů.
Paradoxní je, že před útokem tohoto typu neochrání ani dvouúrovňová autorizace. Apple totiž funkci pro uzamknutí Macu umožňuje použít bez zadání ověřovacího kódu pro případ, že uživatel o jediné autorizované zařízení přišel.
Nejlepší ochranou je tedy unikátní a dostatečně silné heslo pro každou službu. A to zvláště v případě, že se vaše účty nachází v některém z úniků dat z posledních let. Pokud došlo k uzamknutí Macu bez vašeho vědomí, neplaťte výkupné, ale kontaktujte podporu Applu. Tam zažádejte o vypnutí funkce Find My Mac.
Bič na hackery. EK chce vyšší pravomoci pro řešení kybernetických útoků
21.9.2017 Novinky/Bezpečnost BigBrother
Navýšení počtu pracovníků unijní agentury pro kybernetickou bezpečnost a rozšíření jejích pravomocí je součástí oznámeného plánu Evropské komise na posílení počítačové bezpečnosti. Komise navrhuje i vznik celoevropského rámce pro certifikaci, který by uživatelům umožnil snadno určit, jaké produkty a služby jsou po kybernetické stránce bezpečné.
Podle komisaře pro bezpečnostní unii Juliana Kinga není téma jen hospodářskou otázkou. „Je to také politická věc. Kyberútoky mohou mít politické cíle, mohou mířit na naše demokratické instituce," řekl novinářům.
Počítačová kriminalita může být kombinována s propagandou a šířením nepravdivých informací do takzvaných hybridních útoků, připomněl. Je proto podle něj potřeba spolupráce nejen přes hranice, ale také mezi civilním a vojenským sektorem a mezi soukromou a veřejnou sférou.
Evropská komise uvedla, že hospodářský dopad počítačové trestné činnosti se v letech 2013 až 2017 zpětinásobil a do roku 2019 by mohl ještě čtyřnásobně vzrůst. Unijní strategie, která tuto problematiku řeší, pochází právě z roku 2013.
Agentura má pomáhat členským zemím
Agentura EU pro kybernetickou bezpečnost má vzniknout z Evropské agentury pro bezpečnost sítí a informací (ENISA) a pomáhat by měla členským zemím útokům předcházet a reagovat na ně. Komisařka pro digitální ekonomiku Marija Gabrielová uvedla, že bude o 50 procent navýšen její personál.
Agentura má úzce spolupracovat s příslušnými středisky v členských zemí, ale také s tajnými službami a podobně. Organizovat také bude celoevropská cvičení, která se digitální bezpečnosti budou věnovat.
Jedním z úkolů agentury má také být pomoc při zavádění rámce pro certifikaci, na jehož základě bude zjevné, jaké produkty a služby jsou po kybernetické stránce bezpečné. Podle představy komise by se mělo jednat o podobný systém, který nyní zajišťuje v EU důvěryhodnost potravin. Celounijní certifikace by se měla týkat miliardy zařízení kritické infrastruktury, třeba v rámci energetických či dopravních sítí, ale také výrobků pro spotřebitele.
Tvrdší postupy proti hackerům
Komise též navrhuje vznik plánu na rychlou a jednotnou reakci zemí EU v případě rozsáhlého kybernetického útoku. Zmiňuje například vznik fondu, který by mohl poskytnout podporu zemím zasaženým kybernetickým útokem, podobně jako v případě lesních požárů či přírodních katastrof.
Mezi oznámenými plány je i přitvrzení postupu vůči těm, kdo se podobných útoků dopouštějí, navržena jsou například nová opatření pro boj proti podvodům a padělání bezhotovostních platebních prostředků. Trestné činy související s informačními systémy by se měly týkat všech platebních transakcí, včetně takzvaných virtuálních měn.
CyberCon 2017: Český e-gov je katastrofa a závody v kybernetickém zbrojení jsou již v plném proudu
21.9.2017 Živě.cz BigBrother
Do Brna se sjeli experti na kybernetickou bezpečnost
Kritizovali český e-gov a nekompetentní lídry
Studená kyberválka zítřka je realita
CyberCon 2017: Český e-gov je katastrofa a závody v kybernetickém zbrojení jsou již v plném proudu
V brněnském univerzitním kině Scala se v těchto dnech koná možná jedna z nejzajímavějších tuzemských konferencí letošního podzimu, do prostoru hluboko pod zemí, který ostatně tak trochu připomíná protijaderný kryt, nebo hackerské doupě, se totiž sjeli experti na kybernetickou bezpečnost.
Konal se zde v pořadí již třetí ročník CyberCon Brno, přičemž volba města nebyla náhodná, pár kilometrů odtud totiž nejprve sídlilo Národní centrum pro kybernetickou bezpečnost (NCKB) při NBÚ, které se letos v srpnu proměnilo v samostatný Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB), který byl také organizátorem celého setkání.
Autoritu nám podlamuje i prezident
Státní experti na kybernetickou bezpečnost to nemají jednoduché. Ačkoliv podle zákona č. 181/2014 Sb., o kybernetické bezpečnosti a jeho úpravy 205/2017 Sb. má úřad šířit především bezpečnostní osvětu, provádět výzkum a vývoj a skrze Vládní CERT čelit nejrůznějším kybernetickým hrozbám, na CyberConu si poměrně otevřeně povzdechli, že jejich autoritu podlamuje sám vrchní velitel ozbrojených sil České republiky. Krátce poté se na obrovském plátně podzemního kina zobrazil o všem vypovídající snímek článku z únorových Lidovek.
Podobný snímek byl součástí úvodní keynote konference CyberCon (Zdroj: Lidovky.cz)
Řečníci z NÚKIB a dalších složek kybernetické obrany státu nenechali niť suchou ani na českém e-governmentu, který ostatně i podle nedávno publikované statistiky OECD patří k těm naprosto nejhorším mezi členskými zeměmi.
Stupňující se útoky v minulých letech a úniky dat třeba z Ministerstva zahraničních věcí ČR zároveň podle řečníků ukazují na zastaralý a mnohdy naprosto katastrofální pohled na kyberbezpečnost, kdy se mnohé státní instituce i soukromé firmy domnívají, že „stačí nahodit firewall a antivir“ a nejedna stále lpí na Windows XP, jejichž schopnost čelit současným atakům je spíše parodická „a (XP) dělají vše proto, aby svůj vlastní firewall před uživatelem co možná nejlépe skryly,“ podotkl Roman Pačka z NÚKIB a dodal, že trendem letošního roku je obrana s prvky strojového učení a A.I. O to se pokouší třeba brněnský GreyCortex.
Slabým článkem kybernetické bezpečnosti jsou běžní smrtelníci
Všichni řečníci se nicméně shodli, že sebelepší mechanizmy obrany jsou naprosto k ničemu, pokud je nejslabším článkem řetězce samotný uživatel, jeho slabé heslo a předvídatelné vzorce chování. I proto by měl NÚKIB po vzoru americké NSA, kterou si zbytečně spojujeme jen s aférami okolo odposlechů, především vzdělávat. Vzdělávat úřady, firmy, ale koneckonců i občany.
Závody v kybernetickém zbrojení se už rozjely na plné plyn.
Kybernetická bezpečnost státu přitom bude stále důležitější i s ohledem na hybridní vedení boje na elektronické půdě. Jak totiž zmínili další přítomní řečníci během prvního dne konference, k čemu vám bude špičková armádní výzbroj pro konvenční obranu, když vás nepřítel rozloží zevnitř.
Ukrajinské volby jako příklad kyberválky zítřka
Jako příklad posloužila analýza hackerských útoků na ukrajinské volby v roce 2014 od dalšího představitele NÚKIB Petra Novotného. Útočníci nejprve krátce před volbami pronikli do hlasovacího systému, který se podařilo obnovit ze zálohy, posléze byl objeven malware v síti tamní centrální volební komise, přičemž Ukrajina tajila, co způsobil, a nakonec přišel tradiční DDoS a hromada defacementů – fiktivního obsahu na oficiálních stránkách, které krátce sdělovaly, že zvítězí představitel krajní pravice Dmytro Jaroš.
Dodnes není jasné, kdo za útokem stál, viník se totiž zpravidla odhaduje podle toho, kdo byl jeho cílem. Zde se nabízelo především Rusko, jehož televizní stanice využily fiktivní informace na stránkách volební komise k tomu, aby ruská veřejnost nabyla dojmu, že v sousední zemi dojde k vítězství fašistů.
Podobný hackerský útok tedy nejen že zkomplikuje práci úřadů, ale podkope i jejich důvěryhodnost a může měnit veřejné mínění v sousední zemi dle potřeb a zájmů těch, kteří do útoku investovali své prostředky.
Kdo vydá rozkaz ke stisku ENTER?
Na konferenci vystoupil i plk. gšt. Ing. Miroslav Feix z ředitelství speciálních sil, který poukázal na některé přetrvávající mezery v kompetencích jednotlivých úřadů a vše odlehčil slovy, že vlastně není jisté, „kdo bude mít právo k tomu, aby ajťákovi u počítače dál právo zmáčknout ENTER“ ke kybernetickému útoku.
A skutečně, zatímco příkaz třeba k sestřelení letadla je spíše teoretický a nad naším územím k něčemu podobnému bez vypuknutí horkého konvenčního konfliktu dost možná nikdy nedojde, kybernetická válka a tedy i protiútok je zcela reálný. Může porazit protivníka stejně jako ten konvenční, a přitom je mnohem rychlejší a levnější.
Kyberzbraně nemusíte kupovat přes TOR. Seženete je na Alibabě
Ano skutečně, třeba takzvané IMSI catchery, což jsou krabičky pro útoky typu MITM v mobilní síti. IMSI catcher může odposlouchávat hovory a další data, lokalizovat telefony a to vše za pár set až tisíc dolarů.
IMSI catcher může posloužit k MITM odposlechu mobilní sítě. Podobně jako paketový sniffer na routeru v síti LAN.
Plošné odposlechy jsou nesmysl
V panelové diskuzi vystoupili také expert na online propagandu Viktor Paggio a Benedikt Vangeli z nově vytvořeného Centra proti terorismu a hybridním hrozbám MVČR, který si posteskl, že jeho úřad vznikl v pravý čas a od prvního dne čelil dezinformačním atakům včetně twitterového účtu mluvčího prezidenta ČR.
Všichni se při dotazech z publika shodli na tom, že jedinou obranou státu proti hybridním hrozbám je vzdělávání veřejnosti v oblasti kritického myšlení a práce s informacemi, v žádném případě jakékoliv blokace a cenzurní praktiky.
Stejně tak všichni odmítli plošné odposlechy a množící se nápady na faktický zákaz šifrování (zejména end-to-end šifrování), které někteří obhajují efektivnějším bojem proti terorismu. Tyto praktiky by byly podle expertu na kybernetickou bezpečnost naprosto kontraproduktivní a v rozporu s demokratickou společností a tento názor doprovodil na plátně mem o tom, že jestli Čína svým velkým firewallem něco opravdu dokázala, tak je to edukace mnoha jejích občanů využívat proxy a VPN.
Populární nástroj CCleaner obsahuje malware, je potřeba rychlý update
20.9.2017 SecurityWorld Hacking
Aktualizace oblíbeného nástroje pro optimalizaci a čištění počítače CCleaner obsahovala nebezpečný malware. Pokud je tento malware v počítači uživatele nainstalovaný, mohou získat hackeři přístup do uživatelova počítače i do ostatních propojených systémů.
Následně pak mohou získat přístup k citlivým datům či přístupovým údajům k internetovému bankovnictví nebo jiným účtům. Na incident upozornil bezpečnostní tým Cisco Talos.
Windowsovská 32bitová verze 5.33.6162, která byla ke stažení mezi 15. srpnem a 12. zářím 2017, obsahovala nebezpečný malware, který v průběhu aktualizace infikoval uživatelská zařízení.
V tuto chvíli už byla infikovaná verze stažena a není dostupná. Nicméně mnoho uživatelů je stále vystaveno riziku i po updatu nástroje. Infikován byl také CCleaner Cloud, verze 1.07.3191.
Zdroj: Cisco
Podle Avastu, pod který v současnosti CCleaner patří, ke kompromitaci došlo ještě před akvizicí firmy Piriform, což je původní tvůrce CCleaneru. K té došlo v polovině července 2017, ke kompromitaci programu zadními vrátky (backdoorem) ale už začátkem července.
Také počet zasažených uživatelů je prý relativně nízký – Avast hovoří o celkově 2,27 milionu a vzhledem k proaktivnímu přístupu k aktualizaci co největšího počtu uživatelů je to nyní pouze 730 000 uživatelů, kteří stále používají příslušnou verzi (5.33.6162).
Tito uživatelé by měli podle Avastu co nejdříve své programy upgradovat, i když prý nejsou ohroženi, protože malware byl na straně serveru CnC zakázán.
CCleaner je jeden z nejrozšířenějších nástrojů pro čistění a optimalizaci výpočetních zařízení. Jednoduše dokáže odstranit nepotřebné aplikace a tím zrychlit chod počítačů či chytrých telefonů. Na konci roku 2016 dosáhl program více než 2 miliard stažení a každý týden narůstal počet jeho uživatelů o 5 milionů.
Nebezpečné chyby ohrožují uživatele Windows
18.9.2017 Novinky/Bezpečnost Zranitelnosti
Hned několik kritických chyb bylo objeveno v produktech společnosti Microsoft. Týkají se samotného operačního systému Windows, případně jeho nedílných součástí, jako je rozhraní NET Framework. Chyby mohou zneužít počítačoví piráti k napadnutí cizího počítače.
Hned na úvod je nutné zdůraznit, že americký Microsoft již pro objevené chyby vydal mimořádné bezpečnostní záplaty. Uživatelé se tedy mohou relativně snadno bránit.
Celá řada uživatelů instalaci aktualizací podceňuje, a tak se počet nezáplatovaných strojů relativně snadno může vyšplhat až na několik miliónů. Právě takové stroje – tedy ty, které nemají nainstalované aktualizace – dávají jejich majitelé všanc počítačovým pirátům.
Převezmou kontrolu nad systémem
Chyby jsou obsaženy především v operačním sytému Windows Server 2008. Ten, jak už samotný název napovídá, je určen především pro serverové stanice. Na pozoru by se nicméně měli mít také uživatelé klasických počítačů – bezpečnostní trhliny totiž obsahuje i rozhraní NET Framework. A to se běžně používá také v desktopových verzích systému od amerického počítačového gigantu, například i v nejnovějších desítkách.
Všechny chyby mají nálepku kritické. To zjednodušeně znamená, že kvůli chybě mohou počítačoví piráti propašovat do napadeného systému prakticky libovolný škodlivý kód. Snadno tak mohou klidně i převzít kontrolu nad celým počítačem.
S instalací aktualizací by tak uživatelé neměli v žádném případě otálet. K dispozici jsou prostřednictvím služby Windows Update, která je nedílnou součástí operačního systému Windows.
Lidé, kteří využívají automatické aktualizace, se nemusí o nic starat.
Které typy zabezpečení jsou v kurzu a jaké naopak nikoliv?
15.9.2017 SecurityWorld Zabezpečení
S mírou využívání cloudových služeb roste i zájem o zabezpečení dat, aplikací a aktivit v cloudovém prostředí. Gartner proto sestavil hype křivku cloudové bezpečnosti, s jejíž pomocí mohou bezpečnostní experti lépe porozumět, které z technologií jsou již zralé pro běžné nasazení a kterým bude ještě několik let trvat, než budou dostatečně vyspělé pro použití ve většině organizací.
„Bezpečnost je i nadále jedním z nejčastěji uváděných důvodů, proč se organizace vyhýbají využívání veřejného cloudu. Přesto ty společnosti, které veřejný cloud používají, paradoxně považují bezpečnost za jeden z hlavních přínosů,“ říká Jay Heiser, viceprezident výzkumu ve společnosti Gartner.
Zároveň ale upozorňuje, že na bezpečnost cloudových služeb lze pohlížet z několika úhlů pohledu. Dvěma hlavními jsou odolnost služeb samotných (například proti útokům) a schopnost uživatelů používat je bezpečně.
Hype křivka přitom podle Heisera může organizacím pomoci zorientovat se v technologiích určených právě pro řízené a efektivní používání služeb veřejného cloudu v souladu s interními i legislativními předpisy.
Na samotném počátku křivky – tedy ještě před „hype“ fází přehnaných očekávání – se nacházejí technologie zabezpečení kontejnerů nebo zálohování do cloudu a nepřerušitelná infrastruktura pro oblast bezpečnosti (immutable infrastructure), tedy nahrazení aplikací novými běžícími instancemi namísto odstavení a následného spuštění.
Na vrcholu hype křivky se momentálně nacházejí například SDP (softwarově definovaný perimetr), KMaaS (správa klíčů jako služba), nebo mobilní DLP (prevence či ochrana před ztrátou dat na mobilních zařízeních.)
Naopak poblíž nejnižšího bodu „propadu do deziluze“ je například privátní cloud, jenž by ale měl „vyspět“ do fáze produktivity během méně než dvou let, a CSB (brokerství cloudových služeb), kterému cesta k „dospělosti“ potrvá 2–5 let.
Těsně před fází produktivity jsou například zálohování a obnova virtuálních strojů nebo DR jako služba (DRaaS), fáze produktivity pak dosáhly například tokenizace, aplikační bezpečnost jako služba, vysoce dostupné a zabezpečené hypervizory nebo služby pro správu identit a profilů.
Bluetooth má díry. Nový útok BlueBorne ovládne počítač nebo mobil za 10 vteřin
13.9.2017 Root.cz Počítačový útok
Jak kompletně ovládnout zařízení s dostupným Bluetooth a infikovat ho malware nebo se do pozice man-in-the-middle? Jednoduše. Bezpečáci z firmy Armis vymysleli útok, který může ovládnout víc než pět miliard zařízení. Upozorňuje na to server HackerNews.
Podle bezpečnostní analýzy ohrožuje zařízení s OS Android, iOS, Windows a Linux až po IoT zařízení, pokud tato zařízení používají Bluetooth.
Pro některé platformy již byly vydány záplaty, nicméně uživatelé starších verzí Androidu a iOSu jsou stále v ohrožení. Uživatelé Androidu si mohou stáhnout aplikaci „BlueBorne Vulnerability Scanner“, která byla vytvořena společností Armis, a je dostupná přes Google Play Store. Tato aplikace umožňuje zjistit, zda je dané zařízení zranitelné vůči.
Microsoft vydal pravidelný balík oprav. Stále nevyřešil aplikace přepnuté do angličtiny
13.9.2017 cnews.cz Zranitelnosti
Buď jak buď, Windows Update nažhavte.
Probíhá instalace nové verze Windows 10
Probíhá instalace nové verze Windows 10 (Ilustrační foto)
Včera večer nám Microsoft naservíroval pravidelnou dávku oprav. Proběhlo totiž tzv. záplatovací úterý a své opravy chyb a záplaty pro slabá místa zabezpečení dostala řada produktů, především však Windows a Office.
Opravné balíčky formou kumulativních aktualizací míří k Desítkám, Osmičkám a Sedmičkám:
aktualizace KB4038788 pro Windows 10 v1703 zvedá číslo sestavení na 15063.608,
aktualizace KB4038782 pro Windows 10 v1607 zvedá číslo sestavení na 14393.1715,
aktualizace KB4038783 pro Windows 10 v1511 zvedá číslo sestavení na 10586.1106,
aktualizace KB4038781 pro Windows 10 v1507 zvedá číslo sestavení na 10240.17609,
aktualizace KB4038792 pro Windows 8.1 přináší všechny opravy,
aktualizace KB4038793 pro Windows 8.1 přináší jen záplaty,
aktualizace KB4038777 pro Windows 7 přináší všechny opravy,
aktualizace KB4038779 pro Windows 7 přináší jen záplaty.
Windows Update nabízí nové aktualizace
Windows Update nabízí nové aktualizace
Opravy pro Creators Update
Aktualizace pro Creators Update nabízí změny a řešení následujících problémů:
Barevný profil po hraní hry v celoobrazovkovém režimu nemusel být obnoven do původního uživatelského nastavení.
Aktualizovaná funkce HDR je nyní ve výchozím stavu vypnutá.
Po přidání IME od třetí strany se někdy neotvírala nabídka Start.
Byly vyřešeny potíže s některými skenery.
Mobile Device Manager Enterprise mohl způsobit, že mobilní zařízení nefungovalo správně.
Některé stroje po probuzení z režimu spánku nemusely najít bezdrátová zařízení.
Hlášení chyb Windows po sobě nesmazalo dočasné soubory, pokud docházelo k přesměrování složky.
Zrušení platnosti certifikátu asociovaného s neaktivním uživatelským účtem se nemuselo podařit.
V LSASS docházelo k významným paměťovým únikům.
Aktivace šifrování pomocí syskey.exe mohla znefunkčnit spouštění systému.
Skript BitLocker.psm1 pro PowerShell nyní nezaznamenává hesla, pakliže aktivujete ukládání údajů do logu.
Přidání přihlašovacích údajů s prázdným heslem do Správce pověření mohlo způsobit pád systému při použití tohoto přihlašovacího údaje.
Byl aktualizován adresní řádek v Internet Exploreru 11.
V Internet Explorer přestalo fungovat vracení se zpět, pokud byla konverze znaků zrušena pomocí IME.
Po aktivaci EMIE docházelo k neustálému přepínání mezi Edgem a Internet Explorerem.
Zařízení mohlo na několik minut zamrznout, pokud k němu byl připojen síťový adaptér pro USB.
Některé aplikace nemohly být spuštěny, protože služba IPHlpSvc přestala odpovídat v průběhu spouštění Windows.
Služba spoolsv.exe někdy přestala fungovat.
Skript Get-AuthenticodeSignature nezobrazil TimeStamperCertificate.
Po upgradu na Windows 10 bylo možné pozorovat dlouhé prodlevy při používání aplikací hostovaných na počítačích se systémem Windows Server 2008 SP2.
Docházelo k potížím se zobrazením aplikací RemoteApp, pakliže jste aplikaci minimalizovali a obnovili ji zpět do celoobrazovkového režimu.
Průzkumník souborů mohl přestat odpovídat, což mohlo dále vést k zamrznutí celého systému.
Skript Export-StartLayout selhával při exportování rozložení dlaždic při spuštění systému.
Možnost připojit se k Azure AD někdy nebyla dostupná při prvotním nastavení zařízení.
Někdy klepnutí na oznámení nevyvolalo akci, kterou by mělo iniciovat.
Byla znovu vydána bezpečnostní oprava MS16-087 týkající se tisku.
Byla opravena slabá místa zabezpečení napříč systémem.
Edge stále komunikuje anglicky
Mimochodem, Microsoft u aktualizace zaznamenává jeden známý problém. Instalace aktualizace KB4034674 mohla způsobit přepnutí Edge a některých dalších aplikací do angličtiny. K přepnutí mohlo dojít jen u dvou jazykových mutací Windows. Pokud Creators Update požíváte, víte, že jedním z nich je čeština a že problém přetrvává již řádově měsíce. (Druhým je arabština.)
Kupodivu Microsoft řešení problému stále nenabídl, takže dříve změněné jazykové nastavení zůstává ve změněném stavu, tj. v Edgi a spol. vidíte popisky v angličtině. Osobně s angličtinou problém nemám, ale neschopnost vrátit věci do původního stavu je zarážející. K chybám docházet může a bude, stěžejní je proto přístup k jejich řešení. V tomto případě si Microsoft dobrou reklamu nedělá. Doufejme, že se mu brzy podaří napravit, co sám zpackal.
Díky nové funkci ve Windows 10 vznikl neodhalitelný malware. Antiviry jsou na něj krátké
13.9.2017 Živě.cz Viry
Tým počítačových expertů z bezpečnostní společnosti Check Point vytvořil nový druh škodlivého kódu pro Windows 10, který nedokáže zachytit žádné antivirový software. Infiltrační technika spoléhá na unixový shell, který je volitelnou součástí systému Windows 10. Na hrozbu upozornil web iTWire.
Připomeňme, že Microsoft loni překvapil svým rozhodnutím integrovat do operačního systému Windows 10 plnohodnotný příkazový shell interpreter Bash. Následně, 3. srpna 2016, byl uvolněn komplexní balík aktualizací známý pod názvem Anniversary Update a unixový příkazový řádek se tak stal součástí Windows 10.
Funkce Windows Subsystem for Linux (WSL), která je zodpovědná za běh unixového shellu, využívá pro svou činnost sadu speciálních ovladačů a služeb. Za účelem maximální kompatibility byly zavedeny i takzvané Pico procesy umožňující spouštění ELF souborů v prostředí systému Windows.
V praxi jsou všechny vstupy inicializované přes WSL transformovány na ekvivalentní volání, které lze spustit v jádru systému Windows. Následně se s požadavky pracuje tak, jakoby je inicializovala běžná aplikace vytvořená pro Windows. Reálně však nejde o virtualizaci, ale o nativní překlad systémových volání.
Výzkumníci ve své zprávě upozornili, že funkce WSL by mohla být zneužita na dokonalé zamaskování záškodnické aktivity. Během testování vytvořili vzorek škodlivého kódu, kterým průběžně infikovali počítače se špičkovými bezpečnostními produkty. Výsledkem je, že se jim podařilo obejít každý z nich a úspěšně spustili infiltraci.
Dostal jméno Bashware
Experti upozorňují, že tzv. Bashware pro svou činnost nevyužívá žádné logické, ani programátorské chyby ve WSL. Podle jejich slov je útok možný kvůli nedostatečnému zájmu ze strany výrobců a dodavatelů bezpečnostních produktů.
Problémem má být zejména mylné přesvědčení, že funkce WSL musí být manuálně povolena přes režim určený pro vývojáře. Proto v současnosti neexistuje výraznější snaha o její antivirové ošetření.
Funkce WSL je skutečně volitelná a standardně není aktivní. Podle výzkumníků však stačí jednoduchým skriptem upravit několik klíčů v registru systému Windows a celá činnost se provede nenápadně na pozadí. Jediné, co musí potenciální oběť udělat, je spustit podstrčený soubor. Počítač se následně může infikovat malwarem či vyděračským virem nového typu.
První část videa prezentuje reálnou funkčnost nespecifikovaného antivirového softwaru. Ve druhé části se spustí malware zneužívající WSL. Komplexní škodlivý kód průběžně aktivuje WSL, vývojářské prostředí, nainstaluje rozhraní Wine a nakonec spustí samotnou infiltraci. Závěrečná část prezentuje spuštění a činnost vyděračské viru.
Společnost Check Point odmítla specifikovat, které bezpečnostní produkty selhaly. Cílem výzkumu údajně bylo vzbudit zájem tvůrců antivirů o zajištění funkce WSL.
Správu všech platforem koncových zařízení umožní novinka VMwaru
13.9.2017 SecurityWorld Zabezpečení
Workspace One, podle výrobce první řešení jednotného uživatelského prostředí s podporou správy a zabezpečení pro všechny platformy koncových zařízení, představil VMware.
Workspace One s integrovaným řešením AirWatch, který umožňuje poskytování jednotného uživatelského prostředí, jeho správu a zabezpečení na všech platformách koncových zařízení, ukázal VMware.
Řešení je dostupné s ověřováním identity uživatelů a poskytuje uživatelský komfort a jednoduchost na úrovni spotřebitelských řešení a zároveň zabezpečení podnikové třídy. A pomocí technologie Horizon pro virtualizaci aplikací a desktopů rozšíří totožné prostředí a zabezpečení i na tradiční systémy Windows.
Firmy tak podle výrobce budou moci využít Workspace One jako jediné řešení pro komplexní správu koncových bodů (UEM) a sjednotit uživatelské prostředí na všech platformách pro koncová zařízení včetně systémů Windows, macOS, Chrome OS, iOS a Android.
Mimo to Workspace One nově obsahuje i rozhraní pro programování aplikací (API) od významných poskytovatelů platforem pro koncová zařízení.
Workspace One poskytuje koncovým uživatelům plně samoobslužné řešení, od zavádění nových zařízení do systému po produktivní využití. Zaměstnanec může dostat nový notebook a začít jej užívat během několika minut díky připojení do podnikových systémů ihned po prvním spuštění a samoobslužným aplikacím.
Tento nový přístup eliminuje složitý, nákladný a k chybám náchylný model správy desktopů a zvyšuje bezpečnost díky schopnosti prostřednictvím cloudu izolovat a aktualizovat libovolné zařízení v reálném čase. Stejný princip a bezpečnostní model nabízí řešení Workspace ONE i pro operační systémy Windows 10 a macOS.
Workspace ONE nabídne také distribuci softwaru založenou na cloudové technologii typu peer-to-peer (P2P) pro instalaci objemných aplikací na velký počet PC, která se nachází v různých lokalitách. Tím odpadá potřeba nákladných pobočkových serverů, které vyžadují samostatnou správu infrastruktury.
Virtuální desktopová infrastruktura Horizon 7 integrovaná s platformou VMware Cloud Foundation a řešením Dell EMC VDI Complete spolu s Horizon Apps navíc spojují správu výpočetních, úložných a síťových zdrojů a infrastruktury. Tím odpadá potřeba detailního plánování a podrobného přehledu o provozu jednotlivých prvků infrastruktury.
Spolu s cloudovou službou Horizon Cloud tak firmy mají k dispozici infrastrukturu pro lokální i cloudovou implementaci. Správu desktopů a aplikací Windows lze navíc automatizovat pomocí platformy VMware Just in Time Management Platform (JMP) a technologického preview, které technologie platformy JMP (Instant Clone, VMware App Volumes a User Environment Manager) integruje do jedné řídicí konzoly, což správu výrazně usnadňuje.
Novinkou je i Workspace One Intelligence, což je doplňková služba, která poskytuje ucelený přehled a umožňuje provádět automatizované úkony. Jejím smyslem je zrychlit plánování, zvýšit bezpečnost a zlepšit komfort pro uživatele. Integrované funkce pro nastavení a uplatňování pravidel zákazníkům umožní automatizovat činnosti, které zajistí ochranu a optimalizaci výkonu v reálném čase, což starší systémy neumožňují.
Analytika s biometrií: Klíč k budoucí ochraně dat
13.9.2017 SecurityWorld Zabezpečení
Podle zprávy společnosti Accenture biometrie a pokročilé analýzy revolučním způsobem změní to, jak se řeší zabezpečení dat a otázky ochrany osobních údajů.
Zpráva Nově vznikající technologie ve veřejných službách (Emerging Technologies in Public Service) zkoumá zavádění nově vznikajících technologií ve státních úřadech, které mají přímou interakcí s občany nebo které mají největší odpovědnost za služby občanům. Mezi ně patří například zdravotnické a sociální služby, policie a justice, daňové úřady, pohraniční služba, či důchodové a sociální zabezpečení.
Tyto technologie zahrnují pokročilé analýzy, prediktivní modelování, internet věcí, inteligentní automatizaci, analýzu videa, analýzu biometrických a jiných identifikačních znaků, strojové učení a porozumění počítačů přirozenému jazyku.
Na názory se Accenture ptala lidí v Evropě, severní Americe a Tichomoří. Velmi kladně je zapojování nových technologií vnímáno zejména daňovými úřady (84 %) a správou sociálního zabezpečení (76 %). Kladou důraz zejména na snižování rizika a zlepšování prevence podvodů díky zavádění analytických a biometrických technologií. Velké výhody při zapojení nových technologií očekávají také zástupci pohraniční stráže (68 %).
Výsledky průzkumu též ukazují, že 71 % respondentů v současné době nasazuje pokročilé analýzy a řešení prediktivního modelování. Odvětví, která uvádějí nejvyšší úroveň zavádění řešení datových analýz, jsou daňové a sociální služby (81 % a 80 %), dále pohraniční služba (74 %) a úřady zajištující veřejnou bezpečnost (62 %).
Více než dvě třetiny (69 %) všech respondentů řekly, že zavádějí nebo uvažují o zavádění biometrických technologií. Je zajímavé, že i když téměř dvě třetiny (62 %) respondentů uvedly, že jsou obeznámeny s analýzami videa, méně než jedna třetina (28 %) uvedla, že jejich úřady tato řešení zavádějí.
Sektor, který zaznamenal nejvyšší procento přijetí biometrických technologií, je veřejná bezpečnost (51 %). Následují respondenti z penzijních úřadů a úřadů sociálního zabezpečení (48 %) a pohraniční úřady (36 %). Studie ukazuje, že biometrická řešení jsou vysoce poptávaná a široce užívaná; nejčastěji se zavádějí e-pasy a rozpoznávání oční duhovky. To dokazuje i to, že téměř dvě třetiny (65 %) respondentů průzkumu uvedly, že zkoušejí, zavádějí nebo provádějí výzkum biometrických analýz a analýz identity.
„Bezpečnostní řešení na bázi biometrie působící v kombinaci s analytickými technologiemi nabízejí vládním úřadům účinné a dříve nedostupné možnosti identifikace a ověřování v reálném čase a posilují jak bezpečnost, tak pochopení údajů,“ řekl Ger Daly, který v Accenture vede oddělení zaměřené na sektor obrany a veřejné bezpečnosti. „To umožňuje poskytovat novou úroveň služeb a formuje vládní služby zaměřené na občana, ne na instituci.“
Postřehy z jednotlivých zemí
Otázky bezpečnosti dat a ochrany osobních údajů byly vyhodnoceny jako největší výzvy ve všech devíti dotazovaných zemích. U respondentů z Velké Británie a Německa bylo nejméně časté, že by zde byly obavy o ochranu a bezpečnost osobních údajů (14 % a 15 %).
Respondenti v Austrálii a Singapuru nejčastěji zavádějí biometrické technologie (68 % v obou zemích), zatímco země s nejnižší mírou přijetí je Finsko (22 %).
Respondenti z USA nejčastěji uváděli, že zavádění biometrie by mohlo snížit riziko a zlepšit bezpečnost dat a soukromí (51 %), oproti respondentům z Japonska, u kterých je nejméně pravděpodobné, že budou zastávat tento názor (12 %).
Respondenti z Austrálie (48 %) a Francie (45 %) nejvíce uváděli, že zavádění datové analýzy by mohlo snížit riziko a zlepšit bezpečnost dat. V USA zastávali tento názor nejméně, a to pouze ve 2 %.
Respondenti v Japonsku více než v jakékoliv jiné zemi používají videoanalýzy (43 %), zatímco respondenti z Německa byli ti, kteří přijímají tuto technologii nejméně (18 %).
Úřady v Austrálii a Singapuru zavádějí biometrii a technologie analýzy identity nejvíce, a to z 68 %, následuje Japonsko (57 %), Francie (42 %) a Velká Británie (34 %).
Přichází DaaS, dezinformace jako služba
11.9.2017 SecurityWorld BigBrother
Počítačová propaganda se může z politiky brzy přesunout do byznysu.
Facebook zveřejnil závěry vnitřního vyšetřování, které odhalilo 470 falešných účtů a stránek navázaných na ruskou „trollí farmu“, která během posledních amerických prezidentských voleb nakoupila 3 300 facebookových reklam za zhruba 100 tisíc dolarů.
Dále pak Facebook zjistil 2 200 reklam pořízených z amerických účtů, u nichž však byl jazyk nastaven na ruštinu. Všechny byly politického charakteru a oslovily mezi 23 a 70 miliony uživatelů.
Za touto kampaní podle všeho stojí ruská společnost, která se dle dva roky starého článku v The New York Times, specializuje na „umění trollingu“. Své zaměstnance vyplácí dle schopností „trollit“ a dokonce jim zajišťuje i kurzy angličtiny, aby na západě působili věrohodněji.
Společnost v minulosti známá jako Internet Research Agency (dnes zaštiťující své aktivity pod názvy Glavset či Federal News Agency) údajně provozuje šestnáct propagandistických webů a zaměstnává přes dvě stě redaktorů. Mužem, který za ní stojí, je jistý Jevgenij Prigožin, podnikatel a restauratér, který tak krom svých kuchařských schopností začal nabízet doslova i desinformaci-jako-službu - DaaS.
The New York Times ve společnosti s bezpečnostní agenturou FireEye zjistili, že jeho společnosti vytvořily na sociální síti až tisíce „falešných Američanů“ snažících se na internetu ovlivnit volební diskuze. Vítejte ve světě počítačové propagandy!
Do této propagandy můžeme zahrnout využití automatizace, botnetů, algoritmů, big data a umělé inteligence za účelem ovlivnit veřejné mínění prostřednictvím internetu. Často přitom útočí na mainstreamová média, která označuje za lživá a nedůvěryhodná, což ve výsledku oslabuje důvěru veřejnosti v demokratické instituce.
Už dnes je obtížné se proti takové propagandě bránit, podle odborníků to však v brzké budoucnosti bude ještě větší výzva a dá se očekávat, že dezinformace brzy infiltruje i multimediální obsah.
Vývojáři z univerzity ve Washingtonu už například za pomocí AI vytvořili falešné video, na němž bývalý prezident USA Barack Obama říkal věci, které nikdy neřekl. Vědci ze Stanfordu pro změnu vyvinuli nástroj, jemuž říkají Face2Face, vytvářející taková falešná videa v reálném čase...
Snadno si tak lze představit například telefonáty či rovnou videohovory s podvodníky vydávající se za jiné, ať už to bude v novinářské praxi nebo jakémkoliv jiném zaměstnání.
Každá akce však má i svou reakci a je tak pravděpodobné, že oblast IT bezpečnosti se v nedaleké budoucnosti začne namísto ochrany informace jako takové zaměřovat na ochranu její pravdivosti. A nejde jen o politiku, dezinformační kampaně mohou mít tvrdý dopad i na byznys.
Představme si situaci, kdy se v politice zástupci jedné ideologie snaží pošpinit své protějšky, v obchodu. Tehdy by výrobce namísto vychvalování kvalit svého produktu A raději podkopával reputaci konkurence a útočil tak na produkt B.
Pomocí facebookových analýz by mohl vytipovat potenciální kupce produktu B, zpracovat si jejich psychologický profil a následně je atakovat příspěvky falešných uživatelů sdílejících falešné zprávy poškozující právě produkt B.
To vše by přitom zvládla AI, schopná vytvořit například i zmíněný falešný multimediální obsah, a ještě k tomu na zakázku jako DaaS – dezinformaci jako službu. Z dezinformace se stává nový byznys. A ne malý.
Místo bomby počítač. Hrozí kybernetické 11. září, varují experti 16 let po útocích
11.9.2017 ČT24 BigBrother
Od newyorských útoků v roce 2001 se taktika teroristů změnila. Zbraní jsou častěji i počítače, radikální skupiny proto mají své hackerské sekce. Experti z poradního orgánu prezidenta USA varují, že hrozí kybernetický útok v rozsahu toho z 11. září, který může cílit na kritickou infrastrukturu včetně elektráren. A Spojené státy na to prý nejsou připravené. Odborníci proto vyzývají k vytvoření zvláštních komunikačních sítí a sdílení citilivých informací mezi vládou a soukromými provozovateli infrastruktury.
Diplom z kyberbezpečnosti: Školy začínají vychovávat experty na počítačovou bezpečnost
Koordinované útoky v New Yorku, na Pentagon a v Pensylvánii, kde atentátníky přemohli pasažéři letadla, si vyžádaly před šestnácti lety skoro tři tisíce obětí. Za tragédií stáli radikálové z Al-Káidy, kteří od té doby s každým blížícím se výročím nabádají své stoupence k dalším akcím.
V posledních letech těží ze strachu nejen Američanů i takzvaný Islámský stát (IS), který s tím, jak přichází o území na Blízkém východě, stupňuje útoky na Západě.
IS byl vůbec první teroristickou skupinou, která zavedla zvláštní hackerskou divizi. Pirátům sympatizujícím s radikály se už podařilo mimo jiné provést útok na sociální média Centrálního velení USA (CENTCOM). Radikálové se zmocnili jeho účtu na Twitteru i YouTube.
15 let od zkázy Dvojčat. Amerika je pořád zranitelná, invaze v Afghánistánu islamisty nezastavila
Před dvěma lety před výročím 11. září IS zveřejnil video, v němž hrozil USA novými útoky a ukázal členy kybernetické divize včetně lidí přezdívaných „Virus Sýrie“, „Doktor ISIS“ nebo „Hacker Aldmar“. Skupiny spřízněné s IS jako Islámská kybernetická armáda či Hackeři chalífátu tehdy spustily hashtag „America Under Hacks“.
Hackeři z řad radikálů se učí rychle
Kybernetickou složku IS založil v roce 2014 dvacetiletý Junaid Hussain známý jako hacker Trick, jenž vyrůstal v anglickém Birminghamu. Od té doby se hackeři IS nabourali do systému amerických zpravodajských stanic, kuvajtského parlamentu, webů francouzských obcí nebo stránek International Business Times a twitterového účtu Newsweeku.
Články na téma Islámský stát
Podle expertů sice zatím tito hackeři nejsou úplní profesionálové, to se ale může brzy změnit. „Rozhodně se učí s technologiemi. V příštích pěti letech budou zdatnější a budou se snažit uskutečňovat operace, jež by mohly mít katastrofické následky, jako jsou ztráty na životech,“ řekl Tech Insideru bývalý příslušník americké námořní pěchoty a šéf kybernetické konzultační firmy David Kennedy.
Problém představují zejména takzvaní osamělí vlci, kteří se radikální ideologií pouze inspirují, a nemusí být ani s teroristickou skupinou v kontaktu. „Pokud sedíte v internetové kavárně v Mogadišu, můžete způsobit na internetu mnohem větší škody, než byste udělali s AK-47 nebo bombou,“ upozornil odborník.
Masivní kybernetický útok ochromil počítače napříč planetou. V Česku necelé čtyři stovky
Hrozba většího kybernetického zásahu proto roste. V ohrožení jsou nejen vládní servery, ale i banky, elektrárny, rozvody vody či dopravní systémy. Hackeři by teoreticky mohli způsobit výbuch nebo potopu. Problémem jsou i zastaralé systémy, jež řídí konkrétně v USA řadu přehrad, továren, ale i ropovodů nebo elektrických distribučních soustav.
FAKTAKritická infrastruktura
Hackeři by například mohli „sdělit“ systému řízení přesunu ropy, že se tok černého zlata zastavil, což by způsobilo, že by automatické provozní systémy zahájily čerpání, dokud by nedošlo k výbuchu kvůli přetlakování.
Nabourat se do jaderné elektrárny není těžké, ukázal expert
Scott Lunsford z bezpečnostní divize IBM se již v roce 2007 úspěšně naboural do systému jaderné elektrárny. „Ukázalo se, že to bylo jedno z nejsnadnějších proniknutí, které jsem kdy provedl. Hned první den jsme pronikli do systému a během týdne jsme měli kompletní kontrolu nad celou jadernou elektrárnou,“ uvedl pirát.
Nebyl sice schopný přimět reaktor k explozi, čemuž brání fyzická bezpečnostní opatření, mohl ovšem elektrárně zabránit, aby zásobovalo okolí elektřinou. Hackeři by mohli způsobit rovněž hromadnou nehodu. Už roku 2010 prokázali výzkumníci z University of Washington, že piráti mohou převzít kontrolu nad klíčovými systémy automobilu.
Americký prezident Donald Trump podepsal v květnu dekret, kterým vydal pokyn posílit a modernizovat americkou počítačovou síť, podle odborníků to ale není dost.
Hackerské útoky jsou častější a sofistikovanější, experti cvičí obranu
„Je zde krátkodobé okno, příležitost, než přijde rozhodující moment, útok o rozsahu atentátů z 11. září. Přišla doba činu. Jako národ musíme znát výzvy v oblasti kybernetické bezpečnosti a začít přijímat smysluplné kroky k jejímu zlepšení, abychom zabránili rozsáhlému kybernetickému útoku,“ uvádí v nejnovější zprávě Národní rada pro infrastrukturu (NIAC), která představila jedenáct doporučení, jež mají vést ke zlepšení situace.
Zpráva poradní skupiny NIAC o kybernetických hrozbách pro kritickou infrastrukturu 1.65 MB
Problém představuje například fakt, že v USA vlastní a provozuje většinu kritické infrastruktury soukromý sektor, k němuž se nedostanou z vládních míst všechny citlivé informace o případné hrozbě.
Poradní orgán NIAC proto vyzývá průmyslové firmy, aby vytvořily automatizovaný mechanismus sdílení informací. Vláda by pak podle odborníků měla urychlit udělování bezpečnostních prověrek vedoucím pracovníkům a odtajnit informace o kybernetických hrozbách.
Co všechno se dá hacknout? Od kardiostimulátoru až po jadernou elektrárnu
Spojené státy by dle poradců měly vytvořit samostatné komunikační sítě pro podporu kritické infrastruktury, které by byly odděleny od veřejného internetu. Vzniknout by měla bezdrátová záložní síť pro nouzovou komunikaci v případě celoplošného kybernetického útoku.
KLDR zřejmě poprvé pronikla i k tajným vojenským dokumentům Jižní Koreje
Na kybernetickou bezpečnost by měl dohlížet přímo poradce Bílého domu pro národní bezpečnost, míní experti.
Ti jsou rovněž přesvědčeni o tom, že by federální agentury měly poskytnout obzvlášť středním a menším firmám podporu technologického i finančního rázu, pokud jde o ochranu před útoky. Stát by měl odsouhlasit pobídky, jež by umožnily firmám více investovat do ochranných technologií.
FAKTAAmerická Národní rada pro infrastrukturu (NIAC)
Hackerský útok by mohl ochromit letový provoz
Že další 11. září může být způsobené spíše piráty, kteří ovládnou letecké systémy, než sebevražednými atentátníky s bombami, varoval už před dvěma lety ředitel programu pro kybernetickou bezpečnost z izraelského Institutu studií národní bezpečnosti Gabi Siboni.
„Hackeři začali cílit na jaderné elektrárny a další kritické operace po celém světě v trvalém úsilí o převzetí kontroly,“ uvedl odborník.
V nejhorším případě by teroristické skupiny mohly narušit a případně proniknout do kritické infrastruktury kontroly vzdušného prostoru, což by zastavilo letové systémy a způsobilo smrtící nehody.
„Kybernetická agrese je široce využívána a stala se základní zbraní používanou v mezinárodních konfliktech. Za útoky na většinu národní infrastruktury jsou zodpovědné země a vlády západního světa chápou, že musí vyčlenit prostředky nejen na nákup nových tanků a systémů vzdušné obrany, ale také pokud jde o obrannou kybernetickou infrastrukturu.“
Gabi Siboni
izraelský odborník na kybernetickou bezpečnost
Kyberválka už zuří mezi státy
Kybernetických útoků přibývá, přičemž mnohdy je více či méně dokázáno, že se na nich podílely režimy jednotlivých zemí. Vyšlo kupříkladu najevo, že íránští hackeři ovládli v roce 2013 šest metrů vysokou hráz nedaleko New Yorku. K odpovědnosti se o dva roky později přihlásila íránská skupina SOBH Cyber Jihad.
Horizont: Americká infrastruktura čelí neustálým útokům hackerů
Hackeři operující ve prospěch cizího státu také nedávno pronikli do nejméně dvanácti amerických elektráren, včetně kansaské jaderné elektrárny Wolf Creek, uvedla agentura Bloomberg s odvoláním na informované americké činitele.
Útok podle nich vyvolává podezření, že hackeři hledají slabá místa v rozvodu elektrické energie. Hlavním podezřelým je v tomto případě Rusko.
Loni v prosinci měl na svědomí výpadek elektrické energie v ukrajinské metropoli Kyjevě škodlivý program nazvaný Win32/Industroyer. Pozměněné formy tohoto malwaru by podle odborníků dokázaly zaútočit i na jinou infrastrukturu. Ukrajina z útoků na své energetické sítě obvinila právě Rusko, které ale vinu odmítlo.
Počítačový virus umí vyřadit rozsáhlou elektrickou síť, tvrdí analýzy
Počítače využívá jako zbraň i Washington. Třeba zásah proti íránskému jadernému zařízení Natanz ale nikdy oficiálně nepotvrdil. Virus Stuxnet podle některých expertů tamní jaderný program mezi lety 2009 a 2010 zpomalil.
Vzpruha pro popírače zásahů Moskvy? Hackeři CIA se prý umí maskovat za Rusy
Červ dokázal přeprogramovat automatizované systémy a vyřadil tak z provozu tisícovku íránských centrifug na obohacování uranu.
V roce 2014 se pro změnu severokorejští hackeři nabourali do útrob společnosti Sony, a to nejspíš díky ukradeným heslům administrátora. Bílý dům tehdy označil útok za národně bezpečnostní hrozbu. Sony se nakonec rozhodla filmovou parodii pojednávající o atentátu na hlavu komunistické KLDR nepředat do distribuce.
Zranitelnost systému ukázaly i úniky z ústředí Demokratické strany před prezidentskými volbami v USA. Americké tajné služby tvrdí, že kampaň, jež měla pošpinit Hillary Clinotovou a pomoci Trumpovi, nařídil Kreml.
Tajné služby: Kampaň, která měla ovlivnit prezidentské volby v USA, nařídil Putin
Ruská vojenská rozvědka (GRU) prý poskytla serveru WikiLeaks materiály, které získala hackerským útokem na demokratické politiky. Moskva vinu popřela.
Stejně přitom reagovala i v červnu, kdy z uniklé zprávy Národní bezpečnostní agentury (NSA) vyplynulo, že ruští hackeři napadli několik dní před volbami server nejméně jednoho dodavatele amerického hlasovacího softwaru.
Poznali jsme nepřítele: Jsme to my sami
11.9.2017 SecurityWorld Zabezpečení
Práce ředitele bezpečnosti a jeho týmu nikdy nekončí. Proces zajišťování bezpečnosti vyžaduje neustálou pozornost v podobě monitoringu a analýzy, reakcí na hrozby a zdokonalování pravidel a protokolů. Důležité je zůstat o krok napřed před kyberzločinci, kteří neúnavně útočí na vaši infrastrukturu a data. Někdy jsme však sami sobě nejhoršími nepřáteli.
Na základě nedávno zveřejněné studie společnosti Fortinet o globální kyberbezpečnostní situaci za 2. čtvrtletí bylo například detekováno celkem 184 miliard pokusů o zneužití chyb a zranitelností pomocí 6300 unikátních aktivních exploitů, což představuje nárůst o 30 % oproti předchozímu čtvrtletí a vzhledem k rozmachu zneužívání zařízení internetu věcí k vytváření botnetů (tzv. shadownetů) očekáváme, že tato čísla prudce porostou. V průběhu druhého čtvrtletí došlo u 7 z 10 subjektů k závažnému nebo kritickému útoku založenému na zneužití zranitelnosti.
Došlo také k řadě vážných útoků, které upoutaly celosvětovou pozornost. Malware WannaCry a NotPetya úspěšně zneužil zranitelnosti, které byly zveřejněny a opraveny o několik měsíců dříve, a zasáhl miliony subjektů po celém světě. A sofistikované IoT botnety jako Hajime nebo Devil’s Ivy stavěly na ničivém útoku Mirai z léta 2016.
Sítě se rychle rozrůstají a pokrývají řadu vysoce distribuovaných ekosystémů, včetně fyzických, virtuálních a cloudových prostředí. V takových extrémních podmínkách lze snadno ztratit přehled o zařízeních nebo neudržet systematický cyklus aktualizací a obměny.
Červený koberec pro kyberzločince
Bohužel, protože příliš mnoho subjektů neaktualizuje nebo neobměňuje zařízení se známými zranitelnostmi – bez ohledu na důvody –, kyberzločinci jednoduše předpokládají, že budou schopni do sítí a systémů proniknout. V průběhu druhého čtvrtletí celých 90 % subjektů zaznamenalo, že se stalo obětí útoků proti zranitelnostem starým tři a více let. Ještě horší zpráva je, že 60 % podniků zaznamenalo úspěšné útoky proti zranitelnostem, pro něž je oprava k dispozici více než deset let!
Namísto vynakládání zdrojů na přípravu nových útoků nultého dne se kyberzločinci stále častěji zaměřují na prosté zneužívání známých zranitelností. WannaCry využil zranitelnosti v produktech společnosti Microsoft, pro niž byla téměř o dva měsíce dříve vydána oprava. Cílení na relativně nedávno zveřejněné zranitelnosti nazýváme „horké exploity“. Podobně jako u útoků nultého dne je snahou využít příležitost k útoku v období od zveřejnění zranitelnosti do doby, než uživatelé aktualizují své systémy.
V ideálním případě by toto období mělo být co nejkratší. Avšak není. O měsíc později malware NotPetya nejen šel ve šlépějích WannaCry, ale úspěšně cílil na zcela shodnou zranitelnost. Navzdory tomu, že všichni měli zprávy o prvním útoku ještě v živé paměti, mnoho subjektů nijak nereagovalo. To umožňuje kyberzločincům soustředit se na vývoj stále složitějších a dokonalejších exploitů.
Jakmile malware získá přístup, dokáže pomocí inteligentních nástrojů automaticky identifikovat zařízení nebo operační systém, zjistit, jaké zranitelnosti se u takového systému vyskytují, a následně ze své zásoby exploitů zvolit ten nejefektivnější.
Schopnosti podobné umělé inteligenci umožňují malwaru uniknout detekci pomocí řady důmyslných technik. Například odpozorováním a napodobením vzorců datového provozu a přizpůsobením jeho rychlosti dokáže splynout se svým okolím.
Jak zajistit ochranu?
Začít od začátku a identifikovat veškerá kriticky důležitá zařízení a služby v síti pomocí nástrojů jako FortiSIEM spolu se službami prakticky využitelného zpravodajství o hrozbách, jako např. FortiGuard TIS. Následně obnovit nebo zintenzivnit úsilí o nalezení a aktualizaci zranitelných systémů a výměnu starších, již nepodporovaných systémů.
Očekáváme nejen pokračující nárůst objemu pokročilého malwaru úmyslně cílícího na výkonnostní omezení bezpečnostních prvků pomocí zneužití výpočetně náročných úloh, jako je zpracování nestrukturovaných dat. Potřebné proto budou nástroje, které dokážou zvládat velké objemy dat a náhlý nárůst zátěže je neochromí.
Nedílnou součástí digitální podnikové strategie se musí stát také segmentace sítě. Ten, kdo zvažuje povolení rizikových aplikací, zavedení IoT a šifrování dat, by měl zajistit jejich maximální oddělení od zbytku sítě.
Řádná segmentace představuje zabezpečení v samotné struktuře sítě, takže infikovaná zařízení a škodlivý software lze detekovat a izolovat, kdekoli se objeví, a dříve než se nákaza rozšíří. Segmentace spolu s pravidelným zálohováním dat je rovněž účinné způsoby, jak čelit vyděračskému softwaru.
Útoky nejen přichází v rychlejším sledu, ale jsou koncipované tak, aby zkrátily dobu mezi narušením a účinkem. Chytřejší malware se dokonce dokáže naučit vyhýbat odhalení. Bezpečnostní experti se mohou „zapojit do boje“ i svou účastí v odborných fórech, jako jsou ISAC, ISAO a další organizace, např. Cyber Threat Alliance.
Ve válce proti kyberzločinu platí, že v jednotě je síla.
Mobilní aplikace pro alternativní taxi napadá virus
10.9.2017 Novinky/Bezpečnost Android
Nový trojský kůň láká od uživatelů mobilní aplikace alternativní taxislužby Uber a dalších údaje k platebním kartám, virus se dostává do zařízení s operačním systémem Android po stažení falešné aplikace nebo kliknutí na podvržený odkaz. Uber mobilní aplikaci používá i v Česku. Škodlivý program nazvaný Androidos Fake Token se zatím ale šíří hlavně v Rusku a anglicky mluvících zemích. Uvedla to Vzhledem k celosvětové popularitě aplikací na sdílení jízd a alternativních taxi služeb typu Uber, Lyft, Sidecar či Easy a Grab podle firmy představuje Fake Token pro uživatele těchto služeb značné riziko. Například počet instalací aplikace Uber z Google Play se pohybuje od 100 do 500 miliónů.
Nebezpečí představují hlavně informace uložené a používané v těchto aplikacích. Jsou to osobní data i údaje potřebné k identifikaci při internetových platbách. Nejnovější verze Fake Token je ukradne sledováním aplikací nainstalovaných v zařízení v reálném čase. V momentě, kdy uživatel takovou aplikaci spustí, je jeho uživatelské rozhraní překryté designově stejnou stránkou škodlivého softwaru za účelem neoprávněného získávání údajů.
Tato stránka poté požádá oběť o zadání podrobných informací k její platební kartě. Falešná stránka na neoprávněné získání údajů se nedá od té originální odlišit, má identické uživatelské rozhraní včetně loga a barevného schématu.
Kyberzločinci dovedou obejít i takzvanou dvoufaktorovou identifikaci, při které banka, vydavatel platební karty nebo mobilní operátor pošle uživateli ověřovací kód prostřednictvím SMS. Nejnovější verze Fake Token dovede zachytit přicházející SMS zprávy s identifikačním kódem a odevzdat odcizené údaje na server kyber zločinců. Fake Token navíc dokáže monitorovat a zaznamenávat telefonické hovory, které se v podobě digitálních záznamů ukládají na servery kyber zločinců.
Hackeři získali informace o 143 miliónech klientů Equifaxu
8.9.2017 Novinky/Bezpečnost Hacking
Americká úvěrová kancelář Equifax přiznala útok hackerů, při kterém byly ukradeny informace o 143 miliónech lidí. Útočníci získali čísla sociálního zabezpečení, data narození, adresy a další citlivé údaje, uvedla agentura AP.
Equifax je jedna ze tří úvěrových kanceláří v USA, která funguje podobně jako registr dlužníků. Věřitelé spoléhají na informace shromážděné úvěrovými kancelářemi, které jim pomáhají při schvalování půjček na bydlení, auta a poskytnutí kreditních karet. Někdy je využívají i zaměstnavatelé při rozhodování, koho přijmout.
Hackeři měli k údajům přístup zřejmě od poloviny května do července letošního roku. Získané údaje mohou podvodníkům stačit k tomu, aby ukradli identitu osob, což může mít negativní vliv na jejich další životy. „Na stupnici od jedné do deseti je to desítka z hlediska možnosti krádeže identity,” řekl bezpečnostní analytik firmy Gartner Avivah Litan. „Úvěrové kanceláře o nás uchovávají množství údajů, které ovlivňují téměř všechno, co děláme.”
S varováním otáleli
Equifax útok odhalila 29. července, klienty však varovala až nyní. Společnost odmítla komentovat, proč tak učinila.
Útok na Equifax není největší v USA. Při nejméně dvou útocích na firmu Yahoo se hackerům podařilo nabourat do nejméně jedné miliardy uživatelských účtů na celém světě. Při tomto útoku však hackeři nezískali citlivé údaje jako čísla sociálního zabezpečení nebo čísla řidičských průkazů. Útok na Equifax však může být největší krádeží čísel sociálního zabezpečení, která jsou jedním z nejčastěji používaných údajů pro potvrzení totožnosti. Při útoku za zdravotní pojišťovnu Anthem v roce 2015 byla ukradena čísla zhruba 80 miliónů lidí.
Kromě osobních informací hackeři také získali čísla kreditních karet zhruba 209 000 Američanů a určité citlivé dokumenty, které obsahovaly osobní informace o 182 000 Američanech. Equifax rovněž varovala, že útočníci mohou mít omezené osobní informace o obyvatelích Británie a Kanady.
Agentura Bloomberg upozornila, že podle dokumentů pro burzovního regulátora tři vysocí představitelé firmy jen několik dní po odhalení útoku prodali akcie v celkové hodnotě 1,8 miliónu USD (39 miliónů Kč). Equifax v prohlášení uvedla, že ani jeden z nich v době prodeje akcií o útoku nevěděl.
Chrome má kritickou zranitelnost. Útočníci mohou převzít kontrolu nad PC
8.9.2017 Novinky/Bezpečnost Zranitelnosti
Na pozoru by se měli mít všichni uživatelé internetového prohlížeče Chrome od společnosti Google. Byla v něm totiž objevena kritická chyba, kterou mohou kyberzločinci zneužít k převzetí kontroly nad napadeným systémem.
Před nově objevenou trhlinou varoval český Národní bezpečnostní tým CSIRT.CZ. Ten zároveň upozornil i na to, že opravy pro chybu jsou již k dispozici. „Nové aktualizace pro Google Chrome opravují chyby umožňující převzetí kontroly nad systémem,“ uvedl Pavel Bašta, bezpečnostní analytik CSIRT.CZ.
Chyba je kritická. To jinými slovy znamená, že útočníci mohou do počítače propašovat prakticky jakýkoli škodlivý kód. Klidně mohou i na dálku počítač zotročit a využít jej k DDoS útokům, případně mohou samozřejmě i odposlouchávat komunikaci uživatele, která na počítači probíhá.
V ohrožení všechny systémy
Ohroženi jsou přitom majitelé prakticky všech aktuálně dostupných operačních systémů. „Záplaty se vztahují na operační systémy Windows, Mac OS a Linux,“ zdůraznil Bašta.
V případě automatických aktualizací se uživatelé Chromu nemusejí o nic starat. Pokud je však tato funkce vypnuta, je nutné navštívit webové stránky tvůrců a nejnovější záplatovanou verzi stáhnout manuálně.
Kritickou zranitelnost neobsahuje nejnovější verze tohoto internetového prohlížeče nesoucí číslo 61.0.3163.79.
Chyby se nevyhýbají ani dalším prohlížečům. V minulém měsíci byly odhaleny kritické zranitelnosti také v Internet Exploreru a Firefoxu. Přehled oprav naleznete v našem dřívějším článku.
Nová řešení pro firmy představil Avast, využívají i technologie AVG
7.9.2017 SecurityWorld Zabezpečení
Avast Business, nové portfolio produktů pro malé a střední firmy pod značkou. Poprvé v sobě spojují řešení firem Avast a AVG po jejich spojení pro firemní klientelu.
Nové produkty pod značkou Avast Business zahrnují tři skupiny koncové ochrany pro firemní uživatele s počítači Windows i Mac včetně ovládací konzole, která je k dispozici na místě nebo v cloudu, a také kompletní řešení pro správu IT a integrované zabezpečení Managed Workplace a CloudCare.
Firmám nabízejí zjednodušení ve správě zabezpečení. Firmy také získají výhodu v podobě rozsáhlé detekční sítě Avastu, která v reálném čase identifikuje a blokuje malware a online hrozby.
Do detekční sítě Avastu je zapojeno více než 440 milionů uživatelů, jejichž chráněná zařízení fungují jako senzory, a také díky technologiím strojového učení a umělé inteligence.
Podle Avastu je proaktivní a specializované online zabezpečení pro firmy důležitější než dříve, protože stoupá počet hrozeb. Bohužel pro některé malé a střední firmy je zavádění bezpečnostních systémů příliš složité.
Produktové portfolio Avast Business podle výrobce:
• Business Antivirus: Kompletní antivirus, který sestává ze čtyř štítů, jež fungují v reálném čase – ze souborového, webového, e-mailového a behaviorálního štítu. Zahrnuje také nový anti-spam, celkový test (SmartScan), sandbox, funkci WiFi Inspector a detekční technologii CyberCapture.
• Business Antivirus Pro: Zahrnuje stejné funkce jako Business Antivirus a navíc ochranu dat v Microsoft Exchange a Sharepoint serverech, Software Updater pro automatickou aktualizaci programů třetích stran a software k trvalému smazání souborů Data Shredder.
• Business Antivirus Pro Plus: Zahrnuje stejné funkce jako Business Antivirus Pro a navíc obsahuje funkce pro ochranu dat a identity. Chrání identitu uživatelů na cestách při připojování na Wi-Fi sítě a zahrnují bezpečné úložiště a nástroj pro správu hesel k webovým stránkám.
• Business Management Console: Systém řídící konzole, který doplňuje ochranu koncových uživatelů a zajišťuje, že všechna místa v systému jsou aktualizována. Systém je k dispozici i v cloudu.
• Business Managed Workplace: Komplexní antivirusBusiness Antivirus Pro Plus je nyní integrovaný do centrální monitorovací a řídící platformy Managed Workplace, což zaručuje nejvyšší možnou ochranu. Nová verze také umožňuje lépe identifikovat a řešit rizika.
• Business CloudCare: Komplexní antivirus Business Antivirus Pro Plus je také k dispozici jako bezpečnostní řešení CloudCare. Bezpečnostní webový portál CloudCare zjednodušuje vzdálenou správu mnohačetných sítí z centralizované platformy a poskytuje bezpečnostní služby na základě předplatného.
Eset jako první představil antimalware s integrovanou ochranou UEFI
7.9.2017 SecurityWorld Zabezpečení
Nejnovější verzi svých produktů pro SOHO a domácnosti uvedl na trh Eset. Své klíčové řešení, Smart Security, navíc nahrazuje produktem Internet Security.
Mezi nové klíčové bezpečnostní funkce patří UEFI skener. UEFI je náhrada BIOSu u moderních základních desek. Pokud by malware toto rozhraní mezi hardwarem a operačním systémem infikoval, představovalo by to pro uživatele značné a zároveň velmi těžce identifikovatelné riziko. UEFI skener tento typ hrozeb minimalizuje. Tento typ ochrany podle svých slov použil jako první dodavatel bezpečnostních řešení pro domácnosti.
Další funkce, Monitorování domácí sítě, byla uvedena již v předchozí verzi. Ta inovovaná dává uživateli přehled o tom, kdo se do jeho sítě připojuje. Mimo to umožňuje nejen test routeru, ale i připojených zařízení na potenciální zranitelnosti.
Nové verze bezpečnostních produktů rovněž obsahují vylepšenou ochranu proti ransomware. Jde o funkcionalitu, která monitoruje chování aplikací či procesů, jež se pokouší o úpravu dat v počítači. Pokud je chování vyhodnoceno jako podezřelé, je aplikace či proces pozastaven. Uživateli je zobrazena informace o takovém chování a má na výběr, zda je opětovně povolí či potvrdí jejích zablokování.
„Přestože stále rozšiřujeme bezpečnostní technologie, daří se nám zachovávat minimální nároky na počítačový systém, vysokou míru detekce hrozeb a stabilitu,“ tvrdí Miroslav Dvořák, technický ředitel v Esetu.
V rámci sjednocení označení produktů s ostatními zeměmi dochází k přejmenování prostředního produktu v rámci řady. Smart Security bude nově dostupný jako Internet Security. Nejvyššího produktu v řadě, Smart Security Premium, se tato změna netýká a jméno tohoto nástroje bude zachováno.
„Důvodem této změny je snaha pomoci domácím uživatelům se lépe zorientovat v portfoliu produktů pro domácnosti. Zákaznici si tak mohou snadněji vybrat bezpečnostní nástroj dle svých konkrétních preferencí a potřeb. Při nákupu tak bude jednodušší odlišit pokročilou internetovou ochranu od komplexního bezpečnostního řešení, které obsahuje i šifrování a správce hesel,“ dodává Jaroslav Fabián, marketingový šéf Esetu.
Hackeři mohou napadnout kardiostimulátor. A zabít člověka na dálku
5.9.2017 Novinky/Bezpečnost Hacking
Ještě před pár lety jsme se počítačových pirátů báli tak maximálně ve virtuálním světě, mohli napadnout náš e-mail nebo bankovní účet. Americká agentura FDA (Food and Drug Administration) však nyní upozornila, že hackeři dokážou napadnout i kardiostimulátory. Způsobit tak mohou vážné zdravotní komplikace, v krajním případě i smrt.
Problémové kardiostimulátory od společnosti Abbott
Problém se týká pouze kardiostimulátorů od společnosti Abbott, ve kterých není nainstalován nejnovější ovládací software – tzv. firmware.
O problému se vědělo již několik měsíců, zahraniční média na něj začala upozorňovat však až nyní, neboť Abbott konečně vydal očekávanou aktualizaci firmwaru, která riziko útoku eliminuje. V ohrožení je podle údajů FDA přinejmenším půl miliónu uživatelů.
Útočník může být pár metrů od oběti
Problém se zabezpečením se týká moderních kardiostimulátorů, které mají přístup na bezdrátovou síť. To proto, aby lékaři mohli kontrolovat pacienta na dálku.
Útočníkovi stačí, aby byl ve vzdálenosti 15 metrů od oběti a měl notebook s bezdrátovým připojením a škodlivým programem. S jejich pomocí dokáže využít chybu v ovládacím softwaru přístroje, který se používá k léčbě poruch srdečního rytmu.
Ve chvíli, kdy je kardiostimulátor pod jeho kontrolou, může s ním dělat cokoliv. Třeba ho jednoduše vypnout nebo jej přetížit a zcela zničit. Dává to tedy hackerovi bez nadsázky možnost proměnit se ve vraha.
Pacienti nemohou aktualizaci provést sami
Problém představuje i to, že pacienti na rozdíl od chytrých telefonů a počítačových tabletů nemohou nijak jednoduše firmware v kardiostimulátoru aktualizovat. Pro tento úkon musí navštívit svého lékaře, který update provede. Aktualizace navíc probíhá v nouzovém režimu, což s sebou přináší další rizika, například nesprávnou funkčnost zařízení či jeho selhání.
Prozatím nebyl žádný útok prostřednictvím objevené chyby odhalen, riziko je nicméně reálné. Celá kauza navíc ukazuje, jak jsou nejrůznější zařízení připojená na internet v dnešní době zranitelná.
Zaútočil první velký mobilní botnet. Stačí zaneřádit tisíce androidů a spustíte digitální inferno
29.8.2017 Živě.cz BotNet
Desítky tisíc mobilů provádělo DDoS
Viníkem bylyy zákeřné aplikace pro Android
Takhle velký útok tu na mobilech ještě nebyl
Zaútočil první velký mobilní botnet. Stačí zaneřádit tisíce androidů a spustíte digitální infernoZaútočil první velký mobilní botnet. Stačí zaneřádit tisíce androidů a spustíte digitální infernoZaútočil první velký mobilní botnet. Stačí zaneřádit tisíce androidů a spustíte digitální infernoZaútočil první velký mobilní botnet. Stačí zaneřádit tisíce androidů a spustíte digitální infernoZaútočil první velký mobilní botnet. Stačí zaneřádit tisíce androidů a spustíte digitální inferno10 FOTOGRAFIÍ
zobrazit galerii
Na rozsáhlé botnety zavirovaných počítačů, které rozesílají spam nebo třeba zahlcují internetové servery DDoS, jsme si už tak nějak zvykli. Ostatně mnohé útočící oběti často ani netuší, že jsou jejich součástí. V zájmu operátora botnetu je totiž to, abyste se o nákaze samozřejmě pokud možno vůbec nedozvěděli, a on tak mohl třeba i roky zneužívat výkon vašeho počítače.
Domácí mašina má nicméně pro podobné zneužití jednu velkou nevýhodu. Pokud nejste závislí na internetu, anebo celé dny nepaříte GTA, vypínáte ji. A vypnutý počítač nic rozesílat nemůže. Bezpečnostní specialisté tedy poslední roky varují před novým potenciálním zlatým dolem všech botnetových záškodníků: internetem věcí.
K webu připojené set-top-boxy, chabě zabezpečené routery, chytré televizory, přehrávače, chytré ledničky, IP kamery a hromada dalších zařízení mají totiž jednu velkou výhodu. Jsou pořád online, takže mohou i neustále útočit, aniž by si toho někdo všiml. Stačí, aby byla zajištěna jejich dosavadní funkce, a pokud 10-20 % jejich výkonu sežere nějaký vir, vlastně se zdánlivě nic nestane. Jen to možná časem poznáte na účtu za elektřinu.
Jenže co krabička, to jiný firmware, čili univerzální malware, který by plošně zaútočil na každou z nich, jednoduše neexistuje. Útoky se proto omezují spíše na jeden druh zařízení – často od konkrétního výrobce a na konkrétní modelovou řadu.
Mobilní botnet
Jenže vedle osobních počítačů a chytrých krabiček v domácnosti tu je ještě něco. Bylo jen otázkou času, kdy se útočníci zaměří na ten nejatraktivnější cíl ze všech možných. Představte si stovky milionů krabiček, které jsou povětšinou online, jsou poměrně výkonné a používají jeden jediný operační systém. A co více, virus na tu krabičku nainstalují sami její majitelé.
O něčem takovém musí zákonitě snít každý operátor botnetu!
Vlastně nemusí, většina z vás totiž takovou krabičku má právě teď kapse u kalhot, na stole, anebo ji drží v ruce. Samozřejmě mám na mysli telefon s Androidem.
Podivný WireX zamotal hlavu operátorům
Co kdybychom na něj nainstalovali falešnou aplikaci, která by ve skutečnosti na pozadí a na povel operátora zahlcovala společně s desítkami tisíc dalších servery obětí? Přesně k tomu došlo na počátku srpna, když se někteří operátoři sítí CDN začali potýkat s neobvyklou aktivitou, která byla jen složitě vysledovatelná. Začali ji říkat WireX. Botnet WireX.
Nebyl to útok z konkrétní země a z omezeného počtu IP adres. Ty naopak byly rozprostřené po celém světě a bombardovaly cílové weby HTTP požadavky třeba na tamní vyhledávač. Vyhledávání na stránce patří k náročnějším operacím, která zatěžuje i databázový systém, takový web tedy může přestat odpovídat i při menším útoku.
Aktivita WireX v posledním měsíci. Operátoři CDN sítí jej poprvé zaregistrovali na počátku srpna a jeho aktivitu analyzovali zpětně ze svých logů.
Botnet WireX během svého (naštěstí) jepičího života dosáhl velikosti nejméně 120 000 zařízení ve stovce zemí světa a během sekundy dokázal server oběti zahltit 20 000 HTTP požadavky.
Bylo zřejmé, že jedna CDN síť stopy nedokáže odhalit, a tak se do analýzy zapojili ti největší hráči včetně společností jako Akamai, Cloudflare, Google nebo Oracle. Začali pročítat serverové logy, až se dopídili, že jedním z viníků je pravděpodobně běžná aplikace běžící pro Android a její instalační balíček s názvem twdlphqg_v1.3.5_apkpure.com.apk.
Mobilní malware se v HTTP požadavcích podepisoval často nesmyslným jménem prohlížeče/HTTP klienta:
User-Agent: xlw2ibhqg0i
User-Agent: bg5pdrxhka2sjr1g
User-Agent: 5z5z39iit9damit5czrxf655ok060d544ytvx25g19hcg18jpo8vk3q
User-Agent: fge26sd5e1vnyp3bdmc6ie0
User-Agent: m8al87qi9z5cqlwc8mb7ug85g47u
User-Agent: Mozilla/5.0 (Windows; U; Windows NT 5.1; nl; rv:1.9.1b3) Gecko/20090305 Firefox/3.1b3 (.NET CLR 3.5.30729)
User-Agent: Mozilla/5.0 (X11; U; Linux i686; en-US; rv:1.8.1.7) Gecko/20071018 BonEcho/2.0.0.7
User-Agent: Mozilla/5.0 (Macintosh; U; PPC Mac OS X 10_5_7; en-us) AppleWebKit/530.19.2 (KHTML, like Gecko) Version/4.0.2
Nejméně 300 falešných aplikací pro Android
Představa, že se všechny telefony nakazily jednou jedinou aplikací, však byla poněkud nepravděpodobná. Pravdu odhalila další analýza, kdy výzkumníci objevili více než 300 podobných programů pro Android. Všechny byly strojově vytvořené a obsahovali stejný kód, který zapojil oběť do mobilního botnetu.
Autoři falešné aplikace ve velkém nahráli na neoficiální skladiště instalačních balíčků APK
Jak napovídají obrázky i názvy instalačních balíčků, mnohdy se jednalo o APK balíčky stažené z neoficiálních ale poměrně populárních katalogů jako třeba APKpure. Nutno tedy opět připomenout, že byste měli stahovat aplikace jen z oficiálního katalogu Paly Store. A stejně tak autoři aplikací by je neměli omezovat jen na vybrané trhy, čímž by výrazně klesla potřeba používat podobné katalogy jen proto, že „aplikace není dostupná pro váš telefon.“
Díky včasnému odhalení záškodnických aplikací se mohl do protiútoku zapojit v plné síle i Google, který na dokázal na telefonech s novějšími verzemi Androidu aplikace vzdáleně zablokovat, čímž útok začal slábnout.
Sbírka hříšníků. Zatímco některé aplikace vypadají opravdu nevěrohodně, jiné se snažily přelstít uživatele povedenějším uživatelským rozhraním. Krátce se dostaly i přímo do Play Storu.
Botnet WireX všechny překvapil svou velikostí, ale i svým globálním charakterem. Byl tak rozprostřený po celém světě a útočil z tak generických zařízeních, že jej bylo zpočátku velmi složité odlišit od zcela legitimního datového toku.
Klepněte pro větší obrázek
Google začal na telefonech s novější verzí Androidu aktivně blokovat
Zároveň se stal jakýmsi symbolem nové vlny DDoS, protože byl jedním z prvních svého druhu a zároveň zdaleka největší. Bezpečnostní specialisté přitom upozorňují, že jej díky rozsáhlé spolupráci odhalili nakonec docela rychle. Pokud by se tak nestalo, pravděpodobně by narostl do mnohem hrozivějších rozměrů a jeho útoky by silně znepříjemnily život i globálním CDN sítím, které tu jsou mimo jiné právě od tohoto, aby jako určitý štít chránily své klienty před Denial of Service.
Zákeřný virus se zaměřuje na hráče počítačových her
29.8.2017 Novinky/Bezpečnost Viry
Na pozoru by se měli mít v posledních dnech hráči počítačových her. Právě na ně se zaměřuje nový škodlivý kód zvaný Joao, který odhalili bezpečnostní experti z antivirové společnosti Eset. Tento záškodník je velmi nebezpečný, neboť dokáže do počítače následně stáhnout jakoukoliv další hrozbu. Útočníci tak nad napadeným strojem mohou zcela převzít kontrolu.
Joao se šíří prostřednictvím her stahovaných z neoficiálních internetových obchodů.
„K jeho šíření útočníci zneužili několik her typu MMORPG, jež modifikovali přidáním trojan downloaderu pro stahování dalšího malwaru,“ vysvětlil Václav Zubr, bezpečnostní expert společnosti Eset.
Podle něj útočníci zneužili hned několik her, za jejichž vývojem stojí společnost Aeria Games. „Pozměněné verze potom podstrčili návštěvníkům neoficiálních herních webů,“ uvedl bezpečnostní expert.
Infikovány mohou být i další hry
Sluší se nicméně podotknout, že hrozba se nemusí týkat pouze titulů od studia Aeria Games. Stejným způsobem mohli počítačoví piráti zneužít také další hry, které pocházejí od konkurenčních vývojářů.
„Infikované počítače odesílaly na řídící server útočníků informace o nakaženém počítači a stahovaly další škodlivé komponenty jako software pro DDoS útok a kód pro špehování své oběti,“ konstatoval Zubr.
Zároveň zdůraznil, že uživatelé neměli moc šancí poznat, že je jejich stroj infikován. „Modifikované hry fungují tak, jak mají. Když se uživatel rozhodne stáhnout si takto upravenou hru, nic nebude nasvědčovat tomu, že je něco v nepořádku. Hráči bez spolehlivého bezpečnostního softwaru si takto nakazí své zařízení,“ podotkl expert.
Jak poznat zavirovaný počítač?
V současnosti mohou oběti nezvaného návštěvníka Joao v počítači poměrně jednoduše nalézt. Stačí dát vyhledat soubor mskdbe.dll, což je knihovna tohoto škodlivého kódu. Pokud je daný soubor v počítači obsažen, je potřeba jej odvirovat.
„Útočníci však mohou tento soubor kdykoli přejmenovat, proto by měli hráči infekci vyhledat prostřednictvím bezpečnostních programů,“ poradil Zubr.
Mall.cz resetuje hesla, k části databáze se mohli dostat hackeři
27.8.2017 Lupa.cz Kriminalita
„Dobrý den, píšeme Vám, protože Vaše původní heslo k MALL.cz už nefunguje.“ Internetový obchod Mall.cz části uživatelů rozesílá e-mail, ve kterém je informuje o resetu hesla. Důvodem je hackerský útok.
„Mall.cz zaznamenal pokus o narušení bezpečnosti, který se dotkl starší databáze uživatelských účtů, jež neměly dostatečné silné heslo. Bezpečnostní tým se proto rozhodnul plošně resetovat část hesel k zákaznickým účtům, aby zabránil jejich možnému zneužití,“ informoval mluvčí internetové nákupní galerie Jan Řezáč.
V praxi resetování vypadá tak, že se uživatel po zadání svých přihlašovacích údajů prostě nemůže ke svému účtu přihlásit a musí prostřednictvím odkazu Zapomněl(a) jsem heslo požádat o zaslání odkazu pro vygenerování nového hesla. Mall také postiženým uživatelům rozesílá e-maily, ve kterých je na problém upozorňuje (pokud jste jej zatím nedostali, může teprve přijít, firma je rozesílá postupně).
„Pokud jste svůj účet zakládali v roce 2015 a později, tato situace se vás s největší pravděpodobností netýká, narušení bezpečnosti se vztahuje na starší databázi zákaznických účtů,“ doplňuje firma také na stránce s otázkami a odpověďmi, kterou pro uživatele zřídila.
Pokud na Mallu platíte prostřednictvím platební karty, nemusíte se bát, že by unikly i její údaje, ubezpečuje firma. „V klientském centru MALL.cz ani nikde jinde nejsou ukládány údaje, přes které je možné provést platbu.“
Pokud ale používáte stejné heslo, jako na Mall.cz, i na jiných službách (což byste dělat neměli), měli byste si jej pro jistotu změnit i na nich.
Bezpečně až od roku 2016
Firma zatím zjišťuje, jak vážný útok byl a zda došlo skutečně ke kompormitaci některých účtů. Podrobné informace ale v současnosti nechce zveřejňovat s odkazem na to, že bude podávat trestní oznámení. Mall také podle mluvčího kontaktoval Úřad na ochranu osobních údajů.
Podle Mallu byla nejspíš ohrožena starší databáze z roku 2014. „Část z ní obsahovala jednoduchá hesla, která neodpovídají bezpečnostním zásadám. V systému dochází k tzv. ‚hashování hesel‘, kdy jsou hesla uložena v zakódované podobě. Dotčená databáze byla zakódována starším a již nepoužívaným způsobem, který útočníkovi umožnil jednodušší hesla rozkódovat,“ doplňuje mluvčí.
Z vyjádření vyplývá překvapivá informace, že Mall.cz hesla svých uživatelů lépe zabezpečil až od loňského roku. „Od roku 2016 Mall.cz pro ukládání a šifrování zákaznických dat využívá jiný – bezpečnější způsob, který splňuje moderní bezpečnostní standardy a prolomení by u něj nemělo hrozit,“ říká mluvčí.
Podrobnosti firma uvádí na blogu. Mall od listopadu 2012 používal k šifrování hesel metodu SHA1 + unikátní sůl. Až v říjnu 2016 nasadil bcrypt. „Do roku 2012 byly údaje hashovány metodou MD5, která dnes již není považována za bezpečnou. Většina prolomených hesel pochází právě z doby, kdy byla používána tato metoda. U starších účtů jsme proto změnili heslo a automaticky je převedli na zmiňovanou nejnovější šifrovací metodu bcrypt, kterou aktuálně chráníme přístupové údaje všech účtů.“
Základem úspěšného podnikání je i připravenost na kybernetické hrozby
27.8.2017 SecurityWorld Bezpečnost
Někteří odborníci již označují rok 2017 za Rok ransomware, protože se četnost a především úspěšnost ransomware útoků neustále zvyšuje. V květnu napadl WannaCry více než 230 000 počítačů a hned následující měsíc se svět musel potýkat s dalším globálním útokem v podobě ransomware Petya. Mezi obětmi přitom nebyli jen běžní koncoví uživatelé – tyto hrozby byly „úspěšné“ i v případě některých opravdu velkých organizací, a světu tak ukázaly, jak může být ransomware sofistikovaný a vyspělý. Tyto pokročilé útoky navíc potvrdily ještě jednu důležitou skutečnost: i když jsou tradiční metody ochrany dat stále velmi důležité, samy o sobě již v boji s moderními hrozbami nestačí.
Technologie hrozeb i šíře jejich záběru se vyvíjí až děsivou rychlostí. Mnohé organizace však s tímto tempem nezvládají držet krok, a navíc nemají o ochraně dat a boji s kybernetickým zločinem všechny potřebné informace. I když management firem ví o důležitosti bezpečnostních strategií, je otázkou, jak rychle si podniky s případným incidentem ve skutečnosti poradí a jak rychle zvládnou vše vrátit do normálního stavu.
Stále více firemních dat i služeb je k dispozici on-line a podnikatelské modely se tak musí spoléhat na konektivitu a pokročilé IT služby. Kdyby tak firmy nefungovaly, nemohly by reagovat na poptávku zákazníků po vysoké flexibilitě, snadné dostupnosti a pohodlí. Jenže i zde platí, že každá mince má dvě strany. Právě potřeba neustálého připojení přináší bezpečnostní rizika a hrozby, které mohou mít původ mimo infrastrukturu dané organizace.
Tradiční strategie ochrany dat se soustřeďují na tři základní komponenty podnikové informační architektury – na uživatele, na procesy a na technologie.
V případě uživatelů stojí ochrana dat na dostatečné informovanosti a na seznamování zaměstnanců s nejnovějšími hrozbami. Ale i když je neustálé vzdělávání zásadním prvkem bezpečnostní koncepce, jen touto cestou úplnou ochranu celé organizace nikdo nezajistí. Kompromitaci dat může způsobit kliknutí i na jeden jediný špatný odkaz nebo jakákoli dosud neznámá hrozba. Důležité je proto zaměřit se také na procesy, jak uživatelé informační technologie ve skutečnosti využívají. Nedávné útoky potvrdily i nezbytnost pravidelných a včasných aktualizací, případné dopady jsou pak mnohem menší. Zapomenout nelze ani na tradiční metody ochrany sítí a koncových bodů pomocí firewallů a antivirových řešení. Všechny tyto technologie a opatření jsou pro kvalitní bezpečnost zásadní a neměly by být opomíjeny. Jelikož ani tato bezpečnostní strategie není zcela dostačující, roste zájem o pojištění proti kybernetickým rizikům, či chcete-li, proti kybernetickým hrozbám.
Pojištění proti kybernetickým rizikům není novinkou, ale – v souladu se všeobecným očekáváním – roste míra jeho využívání podobným tempem jako četnost výskytu malware nebo ransomware. V roce 2015 odhadla poradenská společnost PricewaterhouseCoopers hodnotu trhu s pojištěním proti kybernetickým rizikům na 2,5 miliardy amerických dolarů s předpokládaným nárůstem na 7,5 miliardy v roce 2020. A podle výzkumné organizace Allied Market Research by mělo do roku 2022 jít dokonce o 14 miliard při impozantním 28procentním ročním růstu. Nicméně samotné tempo růstu není to nejdůležitější – podstatné je, že díky nepříznivému vývoji ve světě kybernetického zločinu (včetně dopadů na veřejnou správu) je tento typ pojištění stále více zajímavý pro management řady firem.
Na první pohled by se mohlo zdát, že náklady spojené s řešením ransomwarového incidentu jsou dané hlavně výší výkupného. Ve skutečnosti tomu tak ale není, protože samotné výkupné obvykle nepřekročí hranici jednoho tisíce dolarů. Závažnější jsou prokazatelné interní náklady, které souvisí s řešením bezpečnostních incidentů, forenzními analýzami, vyšším vytížením zákaznického centra, nutností naplnit zákonné povinnosti a v neposlední řadě i s udržením dobrých vztahů s veřejností. A stranou nemohou zůstat ani externí náklady a pojistné krytí, které jsou spojené s nedodržením závazku zajistit bezpečnou ochranu dat.
Odpovědné firmy mají pro boj s ransomware k dispozici ještě jednu základní zbraň, kterou mnozí bohužel ignorují, a tou je zálohování dat, v rámci nějž jsou vlastní zálohy izolované od provozní síťové infrastruktury. Zálohování nejdůležitějších dat na off-line úložiště doporučuje spolu s pravidelným prověřováním obnovy jako první krok v boji s ransomware dokonce i americká FBI (v příručce s názvem ‘Ransomware Prevention and Response for CEOs’). A k tomuto principu se jednoznačně hlásí i společnost Veeam, na jejíž produkty a služby se spoléhá přes čtvrt miliónů zákazníků. Zálohy a pravidelné prověřování obnovitelnosti jsou vlastně také určitým druhem pojištění proti kybernetickým rizikům a navíc takovým „pojištěním“, které nabízí nejhmatatelnější a prakticky okamžité řešení v případě problémů způsobených nejen ransomwarem.
Díky využití správných technologií a procesů lze v případě nejdůležitějších systémů významně minimalizovat cíl doby obnovy RTO. A nejde o jedinou výhodu – data lze využít i pro případné forenzní analýzy incidentu ve virtuálních laboratořích. Tento „druh“ pojištění tedy není pouze o faktickém zajištění dostupnosti, ale také o potvrzení, že je firma na kybernetické hrozby o něco lépe připravena.
Dalším, a opravdu citelným přínosem je, že využívání kvalitních řešení pro zajištění dostupnosti může vést i ke snížení pojistného, které organizace za pojištění proti kybernetickým rizikům platí. Výše pojistného se v závislosti na odvětví, obratu a velikosti firmy pohybuje od 1000 až po více než 100 000 dolarů a jedním z faktorů určujících konečnou částku jsou právě opatření, které firma v boji s počítačovým zločinem využívá. Je to podobné jako v případě pojištění automobilu nebo domu, jen místo kvalitního zámku jde o komplexní řešení dostupnosti.
S ohledem na rostoucí příležitosti sofistikovanějšího využití dat, technologií pro internet věcí, umělé inteligence, biometrických systémů, výrobních robotů z oblasti Průmyslu 4.0, propojených automobilů nebo třeba chytrých staveb musí mít firmy povědomí o tom, jak se budou kybernetické hrozby včetně ransomware v blízké budoucnosti vyvíjet. A že se budou dopady těchto hrozeb stále více přesouvat z roviny osobních počítačů do všech podnikových procesů.
Cílem posuzování aktuálního stavu ochrany dat by nemělo být ujištění o stoprocentní bezpečnosti. Ostatně, vhledem k rychlosti, jakou se útoky mění, je to takřka nemožné. Mnohem důležitější je zaměřit se na zlepšení ochrany a ověření, že zálohy jsou umístěné i někde jinde než v interní síťové infrastruktuře a jsou tudíž před případným útokem nebo poškozením v relativním bezpečí. Pokud jde o ransomware, je běžnou technikou počítačových zločinců zaměřit se při pokusech o napadení větších podniků nejprve na malé a středně velké firmy. Posouzení stavu by proto mělo zohlednit i partnery a zajistit, aby zrovna vaše organizace byla silným článkem celého řetězce.
Mnoho technologických profesionálů si myslí, že výskyt malware a ransomware klesat nebude. Doporučením a správnou cestou tak je hledat partnera, který by organizaci pomohl se zavedením moderních opatření pro ochranu dat. Tedy takových opatření, která by pro ukládání záloh využívala i off-line úložiště a zajišťovala pravidelné ověřování obnovitelnosti důležité pro řešení případného incidentu. Tento způsob ochrany je důležitý nejen z pohledu uklidnění managementu, ale podílí se i na jistotě partnerů a koncových uživatelů, že jejich digitální životy jsou dostatečně chráněné a budou vždy dostupné.
Kombinovaná ochrana zvyšuje jistotu fungování podnikových procesů a díky pravidelným aktualizacím i zálohování a bezpečnostním politikám pro ochranu dat – včetně pojištění proti kybernetickým rizikům a využívání řešení pro zajištění dostupnosti – snižuje atraktivitu pro počítačové zločince. A na to by firmy neměly zapomínat.
Podvodníci to zkouší přes tiskárny. Pak důvěřivce oškubou
21.8.2017 Novinky/Bezpečnost Hacking
Na pozoru by se měli mít v posledních dnech lidé, kteří obdrží e-mail s naskenovaným souborem. I když se může na první pohled zdát, že jej zaslala skutečně nějaká tiskárna, ve skutečnosti jde o podvod. A počítačovým pirátům jde pouze o to, aby mohli důvěřivce oškubat.
Jak útočí vyděračské viry
Na napadeném stroji dokážou vyděračské viry udělat pěkný nepořádek. Nejprve zašifrují všechna data uložená na pevném disku. Za jejich zpřístupnění pak útočníci požadují výkupné, a to klidně i několik tisíc korun.
Kyberzločinci se zpravidla snaží v majiteli napadeného stroje vzbudit dojem, že se ke svým souborům dostane po zaplacení pokuty. Ta byla údajně vyměřena za používání nelegálního softwaru apod. I proto jim celá řada lidí již výkupné zaplatila.
Zaplatit zpravidla chtějí v bitcoinech, protože pohyby této virtuální měny se prakticky nedají vystopovat. A tím logicky ani nelegální aktivita počítačových pirátů.
Ani po zaplacení výkupného se ale uživatelé ke svým datům nedostanou. Místo placení výkupného je totiž nutné virus z počítače odinstalovat. Zpřístupnit nezálohovaná data je už ale ve většině případů nemožné.
Dnes 15:54
Na množící se podvody upozornil český Národní bezpečnostní tým CSIRT.CZ. Podle něho zneužívají podvodníci fakt, že moderní tiskárny skutečně dokážou naskenované dokumenty odeslat přímo do e-mailové schránky.
„Aktuálně zaznamenáváme zvýšený výskyt e-mailů přesvědčivě se tvářících jako oskenovaný soubor poslaný tiskárnou,“ uvedl Pavel Bašta, bezpečnostní analytik CSIRT.CZ, který je provozován sdružením CZ.NIC.
Přílohu vůbec neotevírat
Podle něj nebezpečí tkví právě v příloze, která je součástí nevyžádaného e-mailu. „V příloze je přiložený archív s příponou .rar. V archívu je zabalený .vbs skript, který již poté dokáže napáchat škodu,“ podotkl Bašta.
„Dle některých výzkumníků se s největší pravděpodobností jedná o novou variantu ransomwaru Locky, který šifruje soubory oběti a přidává jim následně příponu .lukitus. Námi zachycený vzorek je v současnosti úspěšně detekován pouze některými antiviry,“ varoval bezpečnostní expert.
To jinými slovy znamená, že nový škodlivý kód, který se šíří prostřednictvím příloh v e-mailu, nemusí antivirové programy vůbec rozeznat. Uživatelé tak po otevření přílohy vlastně ani nemusí vědět, že si zavirovali počítač.
Chce výkupné
Locky přitom dovede v počítači udělat pěknou neplechu. Po spuštění přílohy v nevyžádaném e-mailu se do PC nahraje vyděračský virus, který dále škodí. Zašifruje data a za jejich zpřístupnění požaduje výkupné.
Útočníkům jde tedy především o peníze. Ani po zaplacení výkupného však uživatelé nemají jistotu, že se ke svým datům dostanou. Místo toho je totiž nutné virus z počítače odinstalovat. Zpřístupnit nezálohovaná data je už ale ve většině případů nemožné.
Ruští hackeři napadli evropské hotelové sítě, špehovali jejich zákazníky
21.8.2017 Novinky/Bezpečnost Hacking
Útok postihl hotely v sedmi evropských zemích a v Izraeli. Bezpečnostní experti se domnívají, že hackeři chtěli prostřednictvím hotelových wi-fi sítí sledovat vládní činitele.
Narušení internetových sítí hotelů v sedmi evropských zemích a v Izraeli má mít na svědomí hackerská skupina ATP28 z Ruska, která je rovněž podezřelá z pokusu o ovlivňování loňských voleb amerického prezidenta. Podle společnosti FireEye se útočníci zaměřili na několik firem z oblasti pohostinství a na konkrétní hotelové sítě.
„Existují určité náznaky, že hackeři ve skutečnosti hledali způsob, jak se dostat do zařízení vládních činitelů a obchodních zástupců, kteří využívají hotelovou síť wi-fi,“ uvedl server Securityweek.com. Napadené země nespecifikoval.
Útok měl ve všech případech stejný scénář. Hackeři zaslali vybranému zaměstnanci hotelu e-mail s přílohou Hotel_Reservation_Form.doc, která obsahovala makra. Jejich prostřednictvím skupina ATP28 šířila malware GameFish. Jde o backdoor, který útočníci použili i při nedávné kybernetické kampani proti Černé Hoře před jejím vstupem do NATO.
Jakmile hackeři získali přístup do hotelové sítě wi-fi, využili exploitu EternalBlue SMB, který byl použit i při šíření ransomwarových kampaní WannaCry a Petya.
Stačilo 12 hodin na ovládnutí notebooku
Skupina rovněž využila nástroj Responder, který jí umožnil zasílat uživatelská jména a hesla z napadených počítačů na vzdálený řídicí server. V jednom konkrétním případu, k němuž došlo již v roce 2016, stačilo, aby se oběť připojila k hotelové síti a za pouhých dvanáct hodin skupina ATP28 ovládala jeho zařízení a využívala jeho obsah.
Běžně tyto útoky probíhají na dálku, ale v tomto případě byl útočník zřejmě připojen na stejné síti jako jeho oběť – byl jí tedy fyzicky nablízku.
Nejde o jedinou škodlivou kampaň zaměřenou na zákazníky velkých hotelových sítí v Evropě. Známý je rovněž případ malwaru DarkHotel, který souvisel s informacemi o vládních záležitostech v Jižní Koreji, a také Duqu 2.0, který se zaměřil na hosty evropských hotelů, kteří vyjednávali se zástupci Západu o íránském jaderném programu. Bezpečnostní experti předpokládají, že v těchto případech byli angažováni vládou najatí hackeři z Ruska a Číny.
Veřejná wi-fi představuje nebezpečí, říká expert
„Veřejné sítě wi-fi představují velké riziko kdekoli, nejen v hotelích. Používáním takové sítě se uživatel vystavuje nebezpečí infiltrace různých typů škodlivého kódu. Útočníci se nemusí zaměřovat pouze na vládní činitele a představitele velkých firem, mohou tímto způsobem šířit třeba i vyděračský ransomware,“ upozorňuje Václav Zubr, bezpečnostní expert společnosti ESET. „Největší nebezpečí hrozí u otevřených wi-fi sítí, na které se lze připojit bez zadání hesla. Nicméně i zaheslované sítě mohou představovat riziko,“ dodává.
Podle Zubra je vhodnější při cestování používat vlastní datový přístup k internetu, případně privátní wi-fi sítě, které nemůže využívat veřejnost. „Riziko nečíhá jen v hotelích. Představují ho i veřejné wi-fi sítě a hotspoty na nádražích, letištích, v obchodních centrech nebo přímo v prostředcích veřejné dopravy. Není výjimkou, že si hackeři sami vytvoří wi-fi síť, kterou otevřou veřejnosti, aby potom její uživatele napadnou,“ varuje Václav Zubr.
Stenografie – nová technika hackerů
15.8.2017 SecurityWorld
Analytici společnosti Kaspersky Lab zaznamenali nový znepokojivý trend. Během analýzy řady kyberšpionážních a kyberkriminálních kampaní zjistili, že hackeři čím dál častěji používají stenografii – digitální formu staré techniky ukrývání informací do obrazu. Tím se snaží skrýt stopy své zákeřné aktivity v infikovaných počítačích. V poslední době se podařilo zachytit několik malwarových aktivit zaměřených na kyberšpionáž a krádeže finančních informací využívajících tuto techniku.
V průběhu běžného cíleného kyberútoku si útočníci po úspěšné infiltraci napadené sítě snaží vybudovat stabilní zázemí. Následně sbírají cenné informace, které posílají na příkazový a řídicí server. Účinná bezpečnostní řešení nebo bezpečnostní odborníci jsou ve většině případů schopni zaznamenat přítomnost kyberzločinné aktivity v síti v její jakékoliv fázi, včetně finální, kdy infekce opouští systém.
Během ní totiž útok v systému zanechá své stopy, jako jsou například protokolovaná připojení k neznámé nebo zakázané IP adrese. Když je ale v průběhu útoku využita stenografie, stává se detekce této finální fáze velmi obtížnou.
Při takovém scénáři útočníci vloží informace, které chtějí ukrást, přímo do kódu jednoduchého vizuálního obrazového nebo video souboru, který následně odešlou do C&C. Kvůli tomu je velmi nepravděpodobné, že podobná událost bude detekována bezpečnostním řešením. Je to způsobeno tím, že po zásahu útočníkem nedojde k vizuální změně obrázku, ani ke změně jeho velikosti a dalších parametrů, čímž tedy nevyvolají žádný poplach. Stenografie je tak velmi lákavou technikou pro hackery především v situaci, kdy chtějí dostat ukradená data z napadené sítě.
Zaujal vás tento článek? Přehled nejzajímavějších zpráv získáte odebíráním našeho newsletteru »
V průběhu několika posledních měsíců pozorovali odborníci Kaspersky Lab minimálně tři kyberšpionážní operace, které tuto techniku využily. Více alarmující však je, že si tuto techniku osvojují i běžní kyberzločinci. Odborníci Kaspersky Lab se s ní setkali u pokročilých verzí trojských koní Zerp, ZeusVM, Kins, Triton a dalších.
Většina z těchto malwarových rodin útočí převážně na finanční instituce a uživatele finančních služeb. Stáváme se tak svědky přicházející masové adopce této techniky ze strany tvůrců malwaru, což bude mít důsledek na složitější detekci malwaru.
„I když to není poprvé, co se setkáváme s využitím pokročilé zákeřné techniky běžnými kyberzločinci, je tento případ se stenografií v něčem odlišný. Bezpečnostní průmysl totiž doposud nenašel způsob jak spolehlivě detekovat data vyváděná z napadeného systému touto cestou. Obrázky využívané kyberzločinci pro vyvedení ukradených informací jsou velmi velké. Ačkoliv existují algoritmy schopné automaticky detekovat tuto techniku, jejich masové využití by bylo velmi nákladné a vyžadovalo by obrovské množství výpočetního výkonu.
Na druhou stranu je poměrně snadné identifikovat obrázek obsahující ukradená cenná data za pomoci manuální analýzy. Tato metoda má nicméně svá omezení vzhledem k tomu, že je bezpečnostní analytik schopný za den zanalyzovat pouze omezené množství obrázků. Řešením je tak kombinace obojího – stoje a lidského faktoru,“ říká Alexey Shulmin, bezpečnostní odborník ve společnosti Kaspersky Lab.
HBO s hackery vyjednávat nebude. Ti mezitím zveřejnili další materiál
15.68.2017 Živě.cz
HBO s hackery vyjednávat nebude. Ti mezitím zveřejnili další materiál | https://www.facebook.com/pg/GameOfThrones/photos/?ref=page_internal
Televizní kanál HBO odmítá, že by vyjednával s hackery, kteří na začátku měsíce ukradli 1,5 TB jeho dat a postupně trousí některá z nich na internet. Teď v reakci na prohlášení HBO zveřejnili nové epizody seriálu Curb Your Enthusiams.
Prohlášení HBO odporuje uniklému screenshotu e-mailu, ve kterém společnost nabízí hackerů 250 tisíc dolarů jako výkupné. Tento screenshot ale zřejmě bude falešný – HBO říká, že nezaplatí ani dolar.
„S hackery nekomunikujeme a nebudeme komentovat každý malý kousek informace, který se na veřejnosti objeví. Nějaký materiál se ještě na internet zřejmě ještě dostane. My s tím nic neuděláme. Samozřejmě žádná firma nechce, aby její majetek byl ukraden a zveřejněn na internetu, my jsme se ale rozhodli věřit naší síle a koukat do předu,“ vysvětlovalo HBO serveru Variety.
Hackeři podle videa, které se objevilo v médiích, požadují „jejich šesti měsíční mzdu v bitcoinech“, přičemž tvrdí, že si ročně vydíráním firem vydělají až 15 milionů dolarů. Jako důkaz toho, že to myslí vážně, zveřejnili vedle Hry o trůny neodvysílané díly Ballers, Insecure nebo komedii Barry, plus e-maily programové viceprezidentky HBO Leslie Cohenové.
Televizní stanice momentálně s forenzními experty, policií a odborníky na kyberbezpečnost celou věc prošetřuje. K identitě útočníků se jí ale zatím přiblížit nepodařilo.
Děravý je Internet Explorer i Firefox. Kritické chyby řešilo i Adobe
15.8.2017 Novinky/Bezpečnost
Hned několik velkých softwarových společností muselo v uplynulém týdnu řešit kritické chyby ve svých produktech. Na pozoru by se tak měli mít lidé, kteří ve svých počítačích používají programy od Microsoftu, Adobe a Mozilly.
Na velké množství zranitelností v jednotlivých programech upozornil český Národní bezpečnostní tým CSIRT.CZ.
Poměrně velké množství trhlin bylo nalezeno v produktech Microsoftu. Programátoři amerického softwarového gigantu je však zvládli opravit v rámci pravidelných měsíčních aktualizací. „Zranitelnosti Microsoft opravil v prohlížečích Internet Explorer, Microsoft Edge, v operačních systémech Microsoft Windows a dále v produktech Microsoft SharePoint a Microsoft SQL Server,“ podotkl Pavel Bašta, bezpečnostní analytik CSIRT.CZ, který je provozován sdružením CZ.NIC.
S instalací neotálet
Objevené trhliny představují pro uživatele velké nebezpečí. „V nejzazším případě by zneužití těchto zranitelnosti mohlo umožnit vzdálenému útočníkovi převzít kontrolu nad stanicí oběti,“ zdůraznil Bašta.
To jinými slovy znamená, že prostřednictvím chyb mohou kyberzločinci propašovat na cizí počítač prakticky jakýkoli škodlivý kód, případně jej zcela ovládnout na dálku. Mohli se tak snadno dostat k uloženým datům, případně odchytávat přihlašovací údaje na různé webové služby.
S instalací aktualizací by tak uživatelé neměli v žádném případě otálet.
Desítky dalších zranitelností
To platí i v případě trhlin, které byly objeveny v programech od Adobe. Konkrétně v aplikacích Flash Player, Reader, Acrobat, Digital Editions a Experience Manager bylo objeveno dohromady přes 80 zranitelností. Pro všechny jsou naštěstí k dispozici již záplaty.
Více se o chybách v programech od Adobe dozvíte v našem dřívějším článku.
„Také společnost Mozilla vydala opravy pro webový prohlížeč Firefox. I v tomto případě byly opraveny kritické zranitelnosti a je doporučena aktualizace,“ uzavřel Bašta.
Stahovat všechny opravy jednotlivých programů je možné prostřednictvím automatických aktualizací, případně přímo z webových stránek daných tvůrců.
V ohrožení bylo přes milión uživatelů. Útočníci se zaměřili na Chrome
9.8.2017 Novinky/Bezpečnost Zranitelnosti
Terčem počítačových pirátů se stal v poslední době internetový prohlížeč Chrome. Podařilo se jim totiž zotročit jedno rozšíření určené právě pro tento browser, kvůli tomu tak bylo ohroženo přes milión uživatelů. Upozornil na to český Národní bezpečnostní tým CSIRT.CZ.
„Bylo uneseno rozšíření Web Developers pro Chrome, které používá více než milión uživatelů,“ konstatoval Pavel Bašta, bezpečnostní analytik CSIRT.CZ, který je provozován sdružením CZ.NIC.
Útok tedy zjednodušeně řečeno probíhal tak, že si toho ani obezřetní uživatelé nemohli všimnout. Samotní počítačoví piráti totiž vydali aktualizaci s pořadovým číslem 0.4.9, která byla automaticky distribuována na počítače uživatelů.
Zisky z reklamy
A právě v tom byl kámen úrazu, neboť kyberzločinci chování tohoto doplňku upravili. „Nová verze obsahovala mechanismus pro vkládání vlastních reklam útočníků do webových stránek navštívených uživatelem,“ podotkl Bašta.
Útočníci tak mohli kasírovat nemalé částky za zobrazování reklamy. Uživatelům se tak logicky v prohlížečích zobrazovaly i nabídky, které by jinak na daných webech neměly co dělat.
„Vývojářům se podařilo během několika hodin získat zpět vládu nad ukradeným účtem a vydat novou verzi 0.5. Na tu by měli uživatelé okamžitě přejít,“ poradil bezpečnostní expert.
Pozor na hesla
Ten zároveň upozornil, že útočníkům mohlo jít i o něco jiného než zisky z reklamy – například o krádež přihlašovacích údajů do různých on-line služeb. „Dále je doporučováno zvážit změnu hesel pro všechny webové účty a anulovat přihlašovací tokeny a cookies pro všechny webové stránky, které byly navštíveny v době používání infikovaného rozšíření,“ uzavřel Bašta.
Tento útok jasně ukazuje, jak jsou moderní počítačové systémy zranitelné. Útočníci totiž mohou škodlivý kód propašovat do počítače i v případě, kdy se uživatel chová příkladně a dbá na bezpečnostní poučky. Jednoduše zneužijí nějaký program, který je již na daném stroji nainstalovaný.
Záplatovací úterý nabídlo opravy pro Windows a další také o prázdninách
9.8.2017 CNEWS.cz Zranitelnosti
Velký servisní den pro Microsoft.
Včera večer proběhlo další záplatovací úterý. Někteří tak obdrží větší servisní aktualizaci po pouhém týdnu. Poznámky k vydání tvrdí, že se aktualizace dotýkají těchto produktů: Internet Explorer, Edge, Windows, SharePoint, Flash Player a SQL Server.
Srpnové opravné balíčky formou kumulativních aktualizací putují k Desítkám, Osmičkám a Sedmičkám:
aktualizace KB4034674 pro Windows 10 v1703 zvedá číslo sestavení na 15063.540,
aktualizace KB4034658 pro Windows 10 v1607 zvedá číslo sestavení na 14393.1593,
aktualizace KB4034660 pro Windows 10 v1511 zvedá číslo sestavení na 10586.1045,
aktualizace KB4034668 pro Windows 10 v1507 zvedá číslo sestavení na 10240.17533,
aktualizace KB4034681 pro Windows 8.1 přináší všechny opravy,
aktualizace KB4034672 pro Windows 8.1 přináší jen záplaty,
aktualizace KB4034664 pro Windows 7 přináší všechny opravy,
aktualizace KB4034679 pro Windows 7 přináší jen záplaty.
Je čas aktualizovat
Je čas aktualizovat
Běžné opravy pro poslední vydání Desítek odhalila aktualizace v minulém týdnu, jak již bylo uvedeno, tato nová navíc přidává jen pár záležitostí. Pokud jste zmíněný balíček nezískali, dostanete tyto opravy tentokrát. Připomínám, že aktualizace jsou kumulativní, tudíž obsahuj všechny dříve vydané opravy. Seznam změn pro KB4034674 vypadá následovně:
Pravidla poskytovaná službou Mobile Device Management jsou nadřazena pravidlům poskytnutým v původní sadě základní konfigurace zařízení od správce či správkyně.
Pravidlo s názvem Site to Zone Assignment List nebylo aktivní, přestože jste ho zapnuli.
Průvodce tvorbou pravidel AppLocker padal při vybírání účtů.
Byl vyřešen problém s přesměrováním do složky a blokováním profilu na neprimárním počítači.
Porušení přístupu v Mobile Device Manager Enterprise způsobovalo výskyt upozornění na chyby.
Byla opravena slabá místa v zabezpečení v Edgi, komponentě Windows Search, skriptovacím jádře, knihovně Windows PDF, Hyper-V, Windows Serveru, ovladačích běžících v jádrovém režimu, subsystému pro Linux, Windows shellu, ovladači Common Log File System, Internet Exploreru, a v jádře Microsoft JET Database.
Nebezpečné chyby mají Flash Player, Acrobat i Reader. Piráti je mohou zneužít
9.8.2017 Novinky/Bezpečnost Zranitelnosti
Hned několik desítek chyb bylo objeveno v populárních programech od společnosti Adobe. Týkají se například oblíbeného programu Flash Player, který slouží k přehrávání videí na internetu a po celém světě jej používají stovky miliónů lidí. Chyby se nevyhnuly ani programům Acrobat a Reader, které slouží k práci s PDF dokumenty. Záplaty od společnosti je však již možné stahovat.
„Společnost Adobe vydala záplaty pro produkty Flash Player, Reader, Acrobat, Digital Editions a Experience Manager, které opravují více než 80 zranitelností objevených externími výzkumníky,“ uvedl Pavel Bašta, bezpečnostní analytik Národního bezpečnostního týmu CSIRT.CZ, který je provozován sdružením CZ.NIC.
Ten zároveň varoval, že objevené zranitelnosti se nemusí vyplácet podceňovat. „Seznam obsahuje zranitelnosti jako critical memory corruption, use-after-free, heap overflow a další, které mohou být zneužity ke vzdálenému spuštění kódu,“ přiblížil technickou stránku věci Bašta.
Propašují virus, zotročí počítač
To jinými slovy znamená, že prostřednictvím chyb mohou kyberzločinci propašovat na cizí počítač prakticky jakýkoli škodlivý kód, případně jej zcela ovládnout na dálku. Mohli se tak snadno dostat k uloženým datům, případně odchytávat přihlašovací údaje na různé webové služby.
Takový stroj se pak klidně i bez vědomí uživatele může stát součástí botnetu (síť zotročených počítačů), který kyberzločinci zpravidla zneužívají k rozesílání spamu nebo k DDoS útokům.
Častý terč útoků
Stahovat záplatu je možné prostřednictvím automatických aktualizací daného programu nebo prostřednictvím stránek společnosti Adobe.
Flash Player používá na celém světě několik stovek miliónů lidí. Právě kvůli velké popularitě se na Flash Player zaměřují kybernetičtí nájezdníci pravidelně. Podle analýzy bezpečnostní společnosti Record Future cílilo osm z deseti nejrozšířenějších hrozeb v roce 2015 právě na tento přehrávač videí.
To je i jeden z hlavních důvodů, proč se společnost Adobe rozhodla Flash Player sprovodit ze světa. Podle dřívějšího oznámení jej bude podporovat už jen tři roky.
Kyberzločin stále roste
9.8.2017 SecurityWorld Kriminalita
V letošním druhém čtvrtletí jsme byli svědky velkého nárůstu aktivity sofistikovaných kyberzločineckých skupin. Zaznamenali jsme tak značné množství pokročilých škodlivých nástrojů včetně tří zero-day exploitů a dvou doposud nevídaných útoků: WannaCry a ExPetr. Expertní analýzou těchto dvou útoků odborníci zjistili, že kyberzločincům kód unikl ještě před tím, než byl zcela připraven – což je neobvyklá situace pro útočníky se špičkovým zázemím. Tyto a další trendy přináší nejaktuálnější report o kybernetických hrozbách společnosti Kaspersky Lab.
V období od dubna do června došlo k výraznému vývoji cílených útoků pocházejících mimo jiné od ruskojazyčných, anglicky mluvících, korejských a čínských kyberzločinců. Tento vývoj má dalekosáhlý vliv na firemní IT zabezpečení.
K zákeřným sofistikovaným aktivitám dochází nepřetržitě téměř všude na světě. Tím se zvyšuje riziko, že dojde k podružnému poškození společností a nekomerčních organizací v rámci kybernetického boje.
Zaujal vás tento článek? Přehled nejzajímavějších zpráv získáte odebíráním našeho newsletteru »
Destruktivní epidemie WannaCry a Expetr, za jejichž rozšíření do firemních systémů po celém světě údajně měly být zodpovědné určité státy, se tak staly prvním, ale pravděpodobně ne posledním příkladem nového nebezpečného trendu.
Mezi nejvýznamnější incidenty druhého čtvrtletí 2017 se řadí:
Tři zero-day Windows exploity zneužité ruskojazyčnými zločinci Sofacy a Turla. Skupina Sofacy, známá také jako APT28 nebo FancyBear, použila exploity proti řadě evropských cílů včetně vládních a politických organizací. Tito aktéři také zkoušeli použít experimentální nástroje například proti představiteli francouzské politické strany před tamními parlamentními volbami.
Gray Lambert – odborníci Kaspersky Lab analyzovali doposud nejpokročilejší sadu nástrojů skupiny Lambert. Jedná se o vysoce sofistikovanou a komplexní kyberšpionážní rodinu pocházející z anglicky mluvícího prostředí. V souvislosti s ní byly identifikovány dvě nové malwarové rodiny.
Útok WannaCry z 12. května a ExPetr z 27. června. Ačkoliv byly oba útoky velmi rozdílné svou povahou a cíli, oba se ukázaly jako překvapivě neúčinné „ransomwary“. Například v případě útoku WannaCry způsobilo jeho rychlé celosvětové šíření a velký počet obětí to, že se bitcoinový účet jeho strůjců stal středem pozornosti, což jim znemožnilo tyto peníze vybrat. To naznačuje, že skutečným cílem útoku WannaCry bylo zničení dat. Odborníci Kaspersky Lab dále odhalili vazby mezi skupinami Lazarus a WannaCry. Podobný vzor destruktivního malwaru, maskovaného jako ransomware, se objevil i v případě útoku ExPetr.
ExPetr, který útočil na organizace na Ukrajině, v Rusku i jinde po Evropě, se zprvu projevoval také jako ransomware, ale nakonec se ukázalo, že je čistě destruktivní. Motiv útoků ExPetr je doposud záhadou. Analytici z Kaspersky Lab dávají tyto útoky do souvislosti se zločinci známými jako Black Energy.
Internetové hrozby v Česku: Chromex v červenci srovnal krok s malwarem Danger
8.8.2017 SecurityWorld Viry
Eset varuje před trojským koněm JS/Chromex.Submelius, který se šíří přes neoficiální streamovací služby.
Sledování neoficiálních streamovacích stránek na internetu se během léta řadě Čechů nevyplatí. Mnoho těchto webů je totiž infikováno trojským koněm JS/Chromex.Submelius a pro spuštění videa vyžadují několikeré kliknutí na náhled videa, které otevírá nová okna prohlížeče a zobrazuje v nich reklamy.
Tyto weby v některých případech fungují na doménách .cz a .sk a obsahují nabídky instalace škodlivých pluginů. Eset zaznamenal během července takřka stejný počet detekcí tohoto trojského koně jako u v poslední době nejčastější tuzemské internetové hrozby, malwaru JS/Danger.ScriptAttachment.
JS/Chromex.Submeliux o prvním prázdninovém měsíci představoval 16,72 procenta zachycených hrozeb, malware JS/Danger.ScriptAttachment dosáhl podílu 17,50 procenta.
„Nárůst detekcí trojského koně JS/Chromex.Submeliux může souviset s obdobím prázdnin. Právě v této době více uživatelů využívá neoficiální streamovací služby a stahuje si nabízené pluginy,“ říká Miroslav Dvořák, technický ředitel společnosti Eset. „Pluginy však mají naprosto opačný efekt. Navíc mohou do napadeného zařízení instalovat downloader,“ vysvětluje Dvořák.
Nejčetnější internetovou hrozbou zůstává JS/Danger.ScriptAttachment. Tento škodlivý kód se šíří především prostřednictvím příloh nevyžádaných e-mailů.
„Neškodí jen sám o sobě, dokáže do napadeného zařízení stáhnout další škodlivé kódy včetně vyděračského ransomware, který zašifruje obsah zařízení a požaduje po oběti výkupné,“ varuje Dvořák.
Třetí nejčastěji zaznamenanou hrozbou v červenci byl škodlivý kód JS/Adware.AztecMedia. Ten v internetovém prohlížeči otevírá nevyžádaná okna s reklamou. V některých případech dokáže dokonce i změnit domovskou stránku internetového prohlížeče. V červenci představoval 4,36 procenta zaznamenaných hrozeb v České republice.
Deset nejčastějších internetových hrozeb v České republice za červenec 2017:
1. JS/Danger.ScriptAttachment (17,50 %)
2. JS/Chromex.Submeliux (16,72 %)
3. JS/Adware.AztecMedia (4,36 %)
4. Win32/GenKryptik (2,29 %)
5. SMB/Exploit.DoublePulsar (2,25 %)
6. PDF/Fraud (1,90 %)
7. JS/Adware.BNXAds (1,88 %)
8. Java/Kryptik.FN (1,77 %)
9. Java/Kryptik.FL (1,76 %)
10. HTML/Frame (1,44 %)
Hackeři ovládli stránky venezuelské vlády, podpořili rebely
8.8.2017 Novinky/Bezpečnost BigBrother
Do boje proti vládě venezuelského prezidenta Nicoláse Madura vytáhli po parlamentní opozici a statisících protestujících lidí rovněž počítačoví piráti. Skupina hackerů v pondělí napadla stránky vlády a několika dalších státních orgánů a dala najevo podporu vzbouřencům z kasáren na severu země, jejichž vzpouru o víkendu potlačily bezpečnostní složky. Uvedl to web stanice BBC.
Venezuelský prezident Nicolás Maduro
"Dny diktatury jsou sečteny," objevilo se ve zprávě hackerů na stránkách vlády, volební komise či venezuelského námořnictva. Opozice stále častěji označuje Madurovy kroky za diktátorské a tento pojem se začal objevovat zejména v souvislosti se široce kritizovanými volbami Ústavodárného shromáždění, které opozice bojkotovala jako Madurovu snahu nedemokraticky si upevnit moc.
Hackeři dali najevo podporu skupině vojáků a civilistů, která vyhlásila v kasárnách ve třetím největším městě země Valencie rebelii. Vláda ji následně potlačila, přičemž zemřel nejméně jeden člověk. Maduro označil rebely za teroristy.
Ve Venezuele už od dubna trvají téměř každodenní protesty proti vládě, kterou opozice viní z ekonomické a politické krize. Při demonstracích, proti nimž tvrdě zasahuje policie, zemřelo už přes 120 lidí. Podle opozice roste počet vojáků, kterým se nelíbí užití síly proti demonstrantům a autoritářská vláda. Od dubna skončily ve vězení nejméně dvě desítky armádních důstojníků kvůli "rebelii a zradě".
Německo musí podle expertů přitvrdit postupy proti kyberzločinu
7.8.2017 Novinky/Bezpečnost BigBrother
Tvrdší postup v boji proti kyberkriminalitě, ilegálním praktikám v anonymní sféře internetu známé jako darknet a dalším organizovaným zločineckým strukturám požaduje šéf německého Spolkového kriminálního úřadu (BKA) Holger Münch. Proti hrozbám na internetu se nedá bojovat zbraněmi z doby kamenné, řekl listu Die Welt a v interview požaduje zpřísnění zákonů a zejména trestního postihu kyberzločinců.
"Profesionální hackeři mohou způsobit ohromné škody. Představují nebezpečí pro bezpečnost i ekonomiku. A to se musí výrazně odrazit ve výměře trestu," prohlásil Münch. Poukázal přitom na 82 000 případů kyberzločinů zaregistrovaných v loňském roce se škodou vyčíslenou na více než 51 miliónů eur (asi 1,3 miliardy korun).
Na darknetu bují obchody s drogami, zbraněmi a dětskou pornografií, napsal Die Welt. Ten, kdo tyto ilegální platformy provozuje, ale musí počítat jen s mírnými tresty, stejně jako prostí hackeři.
Názorně o tom svědčí podle deníku jeden z nedávných případů. Profesionální hacker, 29letý Brit Daniel K. narozený v Izraeli, působící pod přezdívkou Spiderman, byl po mnohaměsíčním pátrání v únoru dopaden na londýnském letišti. Spiderman stál v listopadu 2016 za kyberútokem na servery telekomunikační skupiny Deutsche Telekom - výpadek sítě tehdy postihl kolem 1,25 miliónu jejích zákazníků, kteří se museli několik dnů obejít bez internetu, telefonu a digitální televize. Telekom vyčíslil způsobenou škodu na více než dva milióny eur (asi 52 miliónů korun).
Trestní zákoník musí být reformován
Před soudem ale Spiderman vyvázl v porovnání s výší způsobené škody s nanejvýš mírným trestem. Koncem července ho zemský soud v Kolíně nad Rýnem odsoudil k podmínečnému trestu jednoho roku a osmi měsíců odnětí svobody. Horní hranice trestní sazby přitom činí deset let, obžaloba žádala dva roky. Soud ale poukázal na plné doznání obžalovaného a lítost, kterou projevil.
"Trestní zákoník za kybernetické zločiny musí být reformován a modernizován, jinak nemohou být dostatečně potrestány mnohé ze zločinů, s nimiž se setkáváme," řekl německému listu Georg Ungefuk z generální prokuratury ve Frankfurtu nad Mohanem, dlouholetý uznávaný odborník působící v Ústřední agentuře pro boj s internetovou kriminalitou (ZIT).
Bavorský ministr vnitra Joachim Herrmann, jehož strana by ho ráda viděla na postu spolkového ministra vnitra po zářijových parlamentních volbách, říká, že Německo potřebuje komplexnější přístup ke kyberkriminalitě, navzdory své decentralizované federální struktuře, která převádí velkou odpovědnost na jednotlivé spolkové země.
"Kompetence mezi spolkovou vládou, spolkovými zeměmi a armádou jsou v kybernetické sféře dokonce ještě nejasnější než v boji proti terorismu," řekl Herrmann listu Die Welt. "Potřebujeme nové struktury."
Hacker, který porazil celosvětový vir WannaCry, si před zatčením dopřával pohádkový luxus
4.8.2017 Novinky/Bezpečnost Kriminalita
Třiadvacetiletý americký hacker Marcus Hutchins, který zastavil celosvětové šíření počítačového viru WannaCry, ale hrozí mu 40 let žaláře za jiné „aktivity“, si před dopadením v Las Vegas žil na vysoké noze. Pronajal si dům za v přepočtu téměř 150 miliónů korun, jezdil v Lamborghini a obrážel bujaré večírky. Ve čtvrtek ale jízda skončila.
Hacker Marcus Hutchins
FOTO: Frank Augstein, ČTK/AP
Dnes 19:27 - Las Vegas
Hutchinse zadrželi ve čtvrtek ve VIP salónku letiště Las Vegas. Chystal se odtamtud vrátit do Devonu v rodné Británii, kde žije se svými rodiči. Ve Vegas byl týden.
Účastnil se tam každoročního sjezdu hackerů z celého světa. Kromě toho ale podle listu The Daily Mail flámoval. Když si zrovna Hutchins neužíval na večírku nebo nevyspával kocovinu, relaxoval u bazénu pronajaté vily. Ten je vůbec největším soukromým bazénem v Las Vegas.
3 Aug
William Turton ✔ @WilliamTurton
Before being nabbed by the FBI, famed security researcher was spending big in Las Vegas https://theoutline.com/post/2054/the-wannacry-hacker-hero-was-spending-big-in-vegas-before-his-arrest …
Follow
William Turton ✔@WilliamTurton
Hutchins and friends were staying in a $1,900 a night mansion with "the biggest private pool in Las Vegas." https://theoutline.com/post/2054/the-wannacry-hacker-hero-was-spending-big-in-vegas-before-his-arrest … pic.twitter.com/C0yR0ztLpo
9:21 PM - Aug 3, 2017
12 12 Replies 8 8 Retweets 14 14 likes
Twitter Ads info and privacy
Přebytečnou energii si jezdil vybít pronajatým Lamborghini Huracán v hodnotě v přepočtu 5,8 miliónu korun na střelnici.
Měl mít na kontě šest trojských koňů
Americká FBI mladého počítačového experta viní z vývoje hned šesti trojských koňů, tedy škodlivých programů, které jsou schopny mimo jiné odcizit uživatelská jména a hesla pro přihlašování do informačních systémů.
Jeden z malwarů, nazývaný, Kronos, byl podle FBI zodpovědný za krádeže z bankovních účtů ve Francii. Hutchins měl škodlivý kód napsat a druhý obviněný, jehož identitu úřady nezveřejnily, ho měl prodat. Hackerská komunita stojí za Hutchinsem a tvrdí, že jde o vykonstruované obvinění.
Sledují každý váš krok vaším vlastním mobilem. Pak vám vybílí bankovní účet
1.8.2017 Novinky/Bezpečnost Mobilní
Počítačoví piráti se stávají stále zběhlejšími v nejrůznějších internetových podvodech a hledají nové cesty, které by jim zpřístupnily bankovní účty obětí. Jeden z nově objevených záškodníků dokáže na chytrém telefonu sledovat doslova každý krok uživatele. Pro kyberzločince je pak hračka jim vybílit účet, a to platí i o těch ostražitějších.
Před novým virem, který je vylepšenou verzí bankovního malwaru zvaného Svpeng, varoval bezpečnostní expert ze společnosti Kaspersky Lab Roman Unuchek. Právě on totiž hrozbu objevil jako první.
Tento vylepšený záškodnický program jasně ukazuje, jak se v poslední době počítačoví piráti vyvíjejí. Kombinují různé škodlivé kódy tak, aby byli schopni nepozorovaně ukrást z cizího zařízení citlivá data a následně je zneužít – v tomto konkrétním případě je řeč o přístupových údajích do internetového bankovnictví.
Upravená verze je sofistikovanější
Většina bankovních trojských koňů je totiž poměrně snadno odhalitelná, alespoň pokud se bavíme o těch určených pro chytré telefony. Uživateli totiž na displeji podstrčí při pokusu o přihlášení do internetového bankovnictví podvodnou stránku, u které jde však velmi často poznat, že jde o padělek.
Pozornější uživatelé tak zpravidla na tento trik nenaletí a kyberzločincům své přihlašovací údaje na zlatém podnose nenaservírují. I když výjimky se pochopitelně také najdou.
Upravená verze škodlivého viru Svpeng je však daleko sofistikovanější. Obsahuje totiž zabudovaný keylogger, který zaznamenává doslova veškerou činnost uživatele na napadeném smartphonu. Počítačoví piráti se tak dozví přihlašovací údaje i ve chvíli, kdy je uživatel skutečně zadává do legitimního formuláře banky.
Další část trojského koně se pak postará o zbytek – odchytne potvrzovací zprávu a zneužije ji. Počítačoví piráti pak mohou velmi snadno vybílit svým obětem celý účet. V případě, že to internetové bankovnictví umožňuje, mohou si tímto způsobem zažádat i o půjčku. Uživatele tak připraví dokonce i o peníze, které na účtu ve skutečnosti nemá.
Původní verze nakazila přes 300 000 zařízení
Keyloggery kolovaly internetem už v minulých letech. Vůbec poprvé však podle serveru The Hacker News implementovali počítačoví piráti jejich funkce do trojského koně, tedy do jediného škodlivého kódu. A propašovat k uživateli jeden virus je daleko jednodušší než dva různé.
Obavy jsou tedy na místě. A to i s ohledem na fakt, že původní verze škodlivého kódu Svpeng dokázala infikovat více než 300 000 zařízení během jediného měsíce. S pomocí vylepšené varianty tohoto záškodníka tak počítačoví piráti získávají mocnou zbraň.
Počítačovým pirátům navíc práci velmi usnadňují samotní uživatelé. Nově objevená hrozba se totiž soustředí výhradně na chytré telefony a tablety s operačním systémem Android. A právě na mobilních zařízeních drtivá většina uživatelů nepoužívá vůbec žádný antivirový program. Těžko pak mohou odhalit, že je jejich zařízení skutečně infikované.
DDoS útoky se prodlužují a chtějí výkupné
1.8.2017 SecurityWorld
Firmy v průběhu druhého čtvrtletí tohoto roku zaznamenaly návrat dlouhotrvajících DDoS útoků. Nejdelší z nich trval celých 277 hodin (více než 11 dní), což je v porovnání s předchozím čtvrtrokem nárůst o 131 %. Podle Q2 2017 botnet DDoS reportu společnosti Kaspersky Lab se tak jedná v tomto roce o dosavadního rekordmana.
Nicméně DDoS útoky se v období mezi dubnem a červnem nelišily pouze svojí délkou. Významně se také zvýšil počet států, v nichž došlo k napadení různých organizací – počet stoupl ze 72 států v prvním čtvrtletí na 86 ve druhém. Mezi 10 nejvíce napadených států patřily Čína, Jižní Korea, USA, Hong Kong, Velká Británie, Rusko, Itálie, Nizozemsko, Kanada a Francie. Itálie a Nizozemí v první desítce oproti prvnímu čtvrtletí vystřídaly Vietnam a Dánsko.
Cílem DDoS útoků se stala například velká mediální agentura Al Jazeera, internetové stránky novin Le Monde a Figaro nebo servery populární služby Skype. V průběhu dubna až června se také kyberzločinci pokusili pomocí DDoS útoků manipulovat s cenou kryptoměn, k čemuž je vedl neustále stoupající kurz těchto měn. Největší obchodní burza s měnou Bitcoin, Bitfinex, byla napadena ve chvíli, kdy došlo ke spuštění obchodování nové kryptoměny IOTA token. Ještě předtím zaznamenala výrazné zpomalení svého provozu v důsledku mohutného DDoS útoku také burza BTC-E.
Zájem DDoS útočníků o peníze je nicméně žene dál, než jen k manipulacím s kurzem kryptoměn. Použití těchto útoků může být výhodné pro vymáhání peněz, čehož jsou příkladem Ransom DDoS nebo RDoS trendy. Kyberzločinci obvykle svým obětem zasílají zprávy, v nichž požadují výkupné ve výši 5 až 200 bitcoinů. V případě, že firmy odmítnou požadovanou částku zaplatit, přistoupí útočníci k vyhrožování DDoS útokem na kriticky důležité online zdroje oběti.
Zaujal vás tento článek? Přehled nejzajímavějších zpráv získáte odebíráním našeho newsletteru »
Výhružnou zprávu navíc může doprovázet krátkodobý DDoS útok, který má oběť přesvědčit o tom, že se jedná o reálnou hrozbu. Na konci června například došlo k pokusu o masivní RDoS útok skupinou nazývanou Armada Collective, která požadovala po sedmi jihokorejských bankách sumu okolo 315 000 dolarů.
Existuje nicméně ještě jeden způsob, který se v posledním kvartále stal oblíbeným – Ransom DDoS bez jakéhokoliv DDoS útoku. Podvodníci zasílali velkému množství firem výhružné zprávy a doufali, že se některé rozhodnou zaplatit výkupné v obavě z možných následků. Jestliže se pouze jedna firma rozhodne zaplatit, přinese to kyberzločincům zisk s minimem vynaloženého úsilí.
„V dnešní době útoky typu Ransom DDoS nevyžadují zkušené týmy kyberzločinců se špičkovými technologiemi. V podstatě jakýkoliv podvodník, který ani nemá technické vědomosti a dovednosti k zorganizování plnohodnotného DDoS útoku, si může jednoduše zakoupit demonstrativní útok za účelem vydírání. Tito lidé si vybírají především ty firmy, které své systémy nijak nechrání před DDoS útoky. V jejich případě stačí jednoduchá demonstrace a nechají se snadno přesvědčit k zaplacení výkupného,“ komentuje Kirill Ilganaev, vedoucí oddělení DDoS ochrany ve společnosti Kaspersky Lab.
Odborníci Kaspersky Lab firmy varují před placením výkupného. Mohlo by to totiž způsobit dlouhodobé škody nad rámec okamžitých peněžních ztrát. Informace o firmě, která zaplatila výkupné, se rychle rozšíří komunitou zločinců a mohla by vyprovokovat další útoky od jiných skupin.
Ukrajina byla jen začátek. Ruští hackeři si testují hybridní válku
1.8.2017 Novinky/Bezpečnost BigBrother
V testovací arénu se proměnila v minulých letech Ukrajina. Ruští hackeři, kteří od proevropské revoluce v Kyjevě v roce 2014 napadli už několik klíčových míst ukrajinské infrastruktury, podle kyjevských představitelů v praxi testují prostředky tzv. hybridní války. Napsala to agentura Reuters s odvoláním na informace vicekancléře Dmytra Šymkiva, odpovědného v ukrajinském vedení za kybernetickou bezpečnost.
Ukrajina se stala terčem hackerů hned několikrát. Počítačoví piráti napadli již dříve například servery ukrajinské ústřední volební komise nebo citlivé aparáty registrující úroveň radiace v areálu černobylské jaderné elektrárny, postižené havárií v roce 1986.
Jeden z posledních velkých útoků se udál na konci června. Hackeři napadli prostřednictvím viru ukrajinské rozvodné elektrické sítě, zablokovali pokladní systémy supermarketů a ochromili počítačové sítě velkých bank, uvedl Šymkiv.
Sluší se také připomenout, že zasažena při tomto útoku nebyla pouze Ukrajina, ale prakticky celý svět. Do žebříčku deseti zemí, ve kterých škodlivý kód řádil nejvíce, se dostala například i Česká republika. Ukrajina nicméně tomuto žebříčku vévodila.
Rusko vinu popírá
Podle Kyjeva jsou všechny tyto útoky součástí hybridní války, kterou Rusko vede proti svému sousedovi od svržení proruského prezidenta Viktora Janukovyče před třemi lety. Jako hybridní je tato válka označována s ohledem na to, že v ní jsou používány nevojenské nástroje – kybernetické útoky.
Moskva nicméně jakýkoli podíl na kybernetické diverzi popírá.
Hackeři se snaží získat informace z informačních systémů ukrajinského ministerstva zahraničí a obrany. Ministr financí Oleksandr Danyljuk agentuře Reuters řekl, že jeho úřad musel kompletně obměnit zabezpečení svých serverů, když loni v listopadu hackeři zlikvidovali 90 procent ministerské počítačové sítě. Když ministr v parlamentu prezentoval návrh rozpočtu, nemohli se poslanci seznámit s jeho strukturou, protože servery ministerstva financí byly nedostupné.
V roce 2015 vznikla v Kyjevě s britskou pomocí kybernetická policie. Její šéf Serhij Demedjuk novinářům řekl, že jeho organizace v boji proti ruským hackerům spolupracuje s moldavskou prozápadní vládou, s níž si Ukrajina vyměňuje i špionážní informace. Přestože Ukrajina není členem NATO, Aliance poskytla kyjevské vládě pomoc při vytváření armádní jednotky chránící před hackery vojenskou infrastrukturu.
Nelegální software nahrává
Situace ale zdaleka není uspokojivá. Přes čtyři pětiny softwaru se na Ukrajině využívá nelegálně, což zvyšuje zranitelnost vůči útokům hackerů, uvedla agentura Reuters. Podle údajů Mezinárodního ústavu pro rozvoj řízení (IIMD) je v hodnocení úrovně kybernetického zabezpečení Ukrajina na 60. místě z 63 hodnocených států.
Ukrajina je nicméně pouhým začátkem. S podobnými útoky na principech hybridní války se budeme podle bezpečnostních expertů setkávat v budoucnu daleko častěji. Už jen kvůli tomu, jak je moderní doba závislá na počítačových systémech.
Hackeři hlásí, že ukradli Hru o trůny
1.8.2017 Novinky/Bezpečnost Hacking
Podle serveru Entertainment Weekly ukradla skupina hackerů společnosti HBO několik pořadů a navíc údajně i scénář seriálu Hra o trůny. Vedení HBO ale neuvedlo, o co přesně šlo.
Společnost HBO vydala jen obecné prohlášení, že došlo „ke kyberincidentu“ a byl ukraden nějaký materiál. “Okamžitě jsme zahájili vyšetřování a spolupracujeme s bezpečnostními složkami a externími firmami zaměřenými na kyberbezpečnost. Ochrana dat je pro nás nejvyšší priorita a bereme vážně zodpovědnost za data, která spravujeme.“
Hackeři tvrdí, že mají 1,5 terabytu dat, a podle serveru už nějaké epizody seriálů Ballers a Room 104 visí na internetu. Není však jasné, kdo to udělal.
HBO nechce potvrdit ani množství dat, ani konkrétní názvy pořadů.
Některým americkým reportérům však přišel e-mail, kde se kdosi vytahuje, že se podařil „největší únik dat“ a že jde o HBO a Hru o trůny: „Máte to štěstí, že jste první pionýři, kteří mohou být svědky toho úniku a mohou si to stáhnout. Užijte si to a šiřte dál. Dáme interview tomu, kdo to bude dobře šířit.“
Peníze jako hlavní motiv. Hackerům KLDR už nejde jen o informace
1.8.2017 Novinky/Bezpečnost BigBrother
Za organizovanými hackerskými útoky na finanční instituce Jižní Koreje a dalších států po celém světě stojí Pchjongjang, vyplývá ze zprávy jihokorejského Institutu finanční bezpečnosti (FSI). KLDR se v důsledku sankcí už při útocích nesoustřeďuje na získávání vládních či vojenských informací, ale snaží se získat finance, uvádí dále zpráva. Agentuře Reuters se nepodařilo získat vyjádření severokorejského zastoupení při OSN. Severní Korea jakékoli spojení s kybernetickými útoky pravidelně popírá.
Pchjongjang bývá spojován například s útokem na společnost Sony Pictures v roce 2014, během kterého zmizelo velké množství dat, na internetu se objevily osobní údaje zaměstnanců a pirátské kopie nových filmů.
Některé firmy zabývající se počítačovou bezpečností KLDR připisují i celosvětový útok vyděračského viru WannaCry, který v květnu zasáhl na 300 000 počítačů ve 150 zemích a částečně paralyzoval britské státní zdravotnictví (NHS).
Ruská společnost Kaspersky Lab má za to, že Severní Korea stojí i za kybernetickým útokem na polské banky. Američtí činitelé zase Pchjongjangu přičítají kybernetickou krádež 81 miliónů dolarů (1,8 miliardy Kč), k níž došlo po prolomení systému bangladéšské centrální banky.
Služby spojené s virtuálními měnami
Americká společnost FireEye ve své zprávě uvedla, že Severní Korea kybernetickou špionáž čím dál častěji využívá k finančnímu zisku a zaměřuje se i na služby spojené s virtuálními měnami.
Zpráva institutu FSI identifikovala osm útoků, při nichž severokorejští hackeři cílili na jihokorejské vládní a hospodářské instituce. Dále zmiňuje nově zformovanou hackerskou skupinu Andariel, která je činná přinejmenším od loňského května.
FSI má za to, že tato skupina proniká do bankomatů, a pokouší se tak získat informace o bankovních kartách, které buď prodává na černém trhu, anebo je využívá k výběru hotovosti. Vytvořila údajně i malware, s jehož pomocí pronikla na internetové servery provozující hazardní hry.
Česko si polepšilo, v mezinárodním žebříčku kybernetické bezpečnosti je na 35. místě
1.8.2017 Novinky/Bezpečnost Zabezpečení
Česká republika si loni polepšila v mezinárodním hodnocení připravenosti na kybernetické útoky. Proti roku 2015 se posunula o šest míst dopředu a patří jí celosvětově 35. příčka. Vyplývá to z hodnocení OSN Global Cybersecurity Index, které zveřejnila organizace CZ.NIC na svém blogu. V žebříčku si nejlépe stojí Singapur, USA a Malajsie, následují Omán a Estonsko.
Mezinárodní srovnání připravenosti a vyspělosti jednotlivých zemí v oblasti kybernetické bezpečnosti je založeno především na hodnocení oblastí, jako jsou legislativa, organizační kapacity či mezinárodní spolupráce. V rámci hodnocení ČR získala body například i za projekt bezpečnostního routeru Turris, aktivní podporu zakládání CSIRT týmů nebo kurzů pořádaných Akademií CZ.NIC.
V jiném hodnocení National Cyber Security Index (NCSI), což je projekt Estonska, který ale srovnává pouze 26 zemí, se Česko umístilo na první příčce. Projekt hodnotil například existenci národní strategie pro oblast kybernetické bezpečnosti a její implementaci, právní postižitelnost jednání kybernetické trestné činnosti včetně ratifikace mezinárodní Úmluvy o kybernetické kriminalitě. Do projektu téměř není zapojená Afrika, Asie a až na Kanadu ani Severní a Jižní Amerika.
Mezi další kritéria společná pro obě srovnání patří existence vzdělávacích programů na jednotlivých stupních škol či realizace osvětových aktivit.
Svou roli ve výsledcích představovala i metodologie a podrobnější otázky řešené Mezinárodní telekomunikační unií pro OSN. „Obě srovnání však potvrzují pozitivní trend připravenosti na kybernetické útoky, který potvrdilo i cvičení Locked Shields, v rámci kterého byl nejlepší český tým,“ dodal Jiří Průša z CZ.NIC.
Šifrujte, kde se dá...
31.7.2017 SecurityWorld Kryptografie
Díky technickému pokroku a zvýšenému přijetí je zabezpečení vašich dat a komunikace mnohem jednodušší, než si myslíte. Přinášíme přehled toho, co všechno se dá šifrovat a jaké pro to můžete použít nástroje.
Probíhá útok na šifrování. Bez ohledu na to, zda si myslíte, že máte co skrývat, měli byste mít obavy. Šifrování je klíčovým prostředkem, kterým lze zabezpečit citlivé soukromé informace a komunikaci před zvědavýma očima.
Vlády po celém světě napadají naši schopnost využívat technologie šifrování argumentací, že šifrování ztěžuje orgánům činným v trestním řízení vedení vyšetřování a sledování podezřelých on-line aktivit. Jejich řešení? Zřizování „zadních vrátek,“ jejichž prostřednictvím by mohly odemknout zabezpečená data.
Nejlepší způsob, jak se bránit v prosazování takového požadavku oslabit šifrování – a to je přesně to, k čemu zadní vrátka slouží – je udělat kódování všudypřítomné a zcela běžné.
Pokud šifrování používá každý, počínaje kódovaným chatem přes šifrovaný e-mail po surfování na webu zabezpečené šifrou (a kódované je také všechno mezi tím), potom je mnohem těžší argumentovat, že šifrování chrání jen pár vyvolených, kteří mají co skrývat.
A kde začít? Dnes je primární překážkou bránící využívat šifrování jako rutinní faktor v počítačovém životě většiny lidí skutečnost, že je stále relativně obtížné ho použít.
Kódování tradičně vyžadovalo, aby uživatel překonal hodně překážek, než ho zprovoznil, ale to se už pomalu mění. Přinášíme seznam různých šifrovacích technologií, které lze snadno použít k ochraně vašich dat před zvědavýma očima, a přispět tak k bezpečné a privátní komunikaci.
Čím více lidí je používá, tím těžší bude zbavit je práva na soukromí a bezpečí.
Aplikace pro bezpečný chat a zasílání zpráv
Mobilní zařízení jsou vzhledem k rozsahu a hloubce obsažených citlivých dat významným zdrojem obav o bezpečnost. Naštěstí se možnosti šifrování pro mobilní zařízení rychle stávají všudypřítomné. A nejde jen o samotné aplikace.
Například Apple zapnul šifrování celého disku zařízení iOS ve výchozím nastavení, takže jsou veškerá data v telefonech iPhone a tabletech iPad automaticky chráněná.
Také Google nabízí ve svých posledních verzích systému Android šifrování celého disku, přestože ještě není zapnuté ve výchozím stavu. Šifrování celého disku mobilních zařízení se tak stává standardem. Jakmile to tak bude, bude už návrat mnohem těžší.
Apple rovněž nabízí kompletní šifrování pro svou aplikaci iMessage, aby udržel vaše zprávy mimo dosah provozovatele. Například zástupci bezpečnostních složek nedávno v mediálně známém případu naléhali na Apple, aby jim usnadnil získání dat ze zařízení iOS, jež vlastnil podezřelý z terorismu, ale Apple jim neustoupil.
Pro mnoho běžných uživatelů je použití zařízení s iOS nejjednodušším způsobem, jak využít šifrovací nástroje.
Některé aplikace umožňují bezpečné zasílání zpráv pro platformy Android a iOS – patří mezi ně Wickr, Signal nebo Telegram. Jednou z nevýhod těchto nástrojů pro šifrovaný chat a zasílané zprávy je, že odesílatel a příjemce musejí používat ke komunikaci stejnou aplikaci.
Například uživatelé aplikace Wickr mohou odesílat šifrované textové zprávy ostatním uživatelům této aplikace, ale k poslání standardní nešifrované textové zprávy uživatelům, kteří aplikaci Wickr nemají, už musejí použít běžnou aplikaci pro posílání textových zpráv.
Popularita aplikace Wickr je také vyvolávána další poskytovanou vrstvou zabezpečení: chaty a fotografie se po uplynutí definované doby smažou. Týká se to i souborů audio, video a dokonce i dokumentů stažených z cloudového úložiště.
Vše poslané přes Wickr se přenáší přes šifrované kanály a automaticky se to maže po vypršení platnosti. Když přijdou lidé, kteří se o původní obsah zajímají, není jim co předat, protože data jsou už dávno pryč.
Telegram má v současné době špatnou pověst, protože se objevují zprávy, že tuto aplikaci používají teroristické skupiny a zločinci. Umožňuje uživatelům sdílet šifrovaná média a zprávy najednou až s 200 lidmi. Tajné chaty mohou zcela obejít servery Telegram a mohou být uložené jen po zadanou dobu nebo bezpečně uložené pro pozdější použití.
Šifrované hlasové hovory
Kupování předplaceného telefonu pokaždé, když chcete udělat telefonní hovor, který nelze vystopovat k vám, je už věcí minulosti díky několika novým aplikacím zaměřeným na zabezpečení hlasové komunikace.
Aplikace Signal, vytvořená bezpečnostním výzkumníkem Moxie Marlinspikeem, umožňuje uživatelům snadno navázat šifrované hlasové hovory a odesílat šifrované zprávy na platformách Android a iOS. (Aplikace Signal Desktop Chrome ve verzi beta rozšiřuje bezpečné zasílání zpráv aplikací Signal i na stolní počítače.).
Bonusem k Signalu je, že aplikace umožňuje uživatelům komunikovat s každým v seznamu kontaktů. Pokud příjemce hovoru není uživatelem Signalu, budete upozorněni, že hovor nebude šifrovaný, ale nemusíte přecházet do své standardní telefonní aplikace, abyste mohli volat, takže je proces přijetí ještě snadnější.
Společnost Open Whisper Systems, která aplikaci Signal vyvíjí, spolupracuje s řadou významných providerů služeb, jako jsou třeba WhatsApp, Google nebo FaceBook, ten například technologii Signal využil ve svém Messengeru (funkce Secret Conversations). Popularita aplikací jako WhatsApp nebo Snapchat ukazuje, že si lidé velmi přejí používat bezpečnou komunikaci.
Dlouhou dobu měli lidé s potřebou telefonovat z desktopu k dispozici jako vhodné řešení jen aplikaci Skype. Aplikaci Skype však zasáhla obvinění, že vláda USA přinutila společnost Microsoft vestavět do této služby zadní vrátka.
OStel je zabezpečená služba pro hlasovou a videokomunikaci, která je udržována v rámci projektu The Guardian Project a je k dispozici pro desktop i pro mobilní uživatele. Uživatelé si musejí vytvořit účet ve službě OStel (nejsou požadovány žádné osobní údaje) a stáhnout příslušný software.
Se službou OStel například komunikují aplikace CSipSimple a Linphone na platformách Android a iOS.
Oba konce hovoru, volající i příjemce, musejí využívat službu OStel. OStel neumí volat na pozemní linky ani na mobilní telefonní čísla se SIM kartou v mobilních sítích. Jednou z výhod služby OStel je, že funguje na platformách BlackBerry, iPhone či Android stejně jako na Mac OS X, Windows a Linuxu. Používá stejný šifrovací protokol ZRTP jako výše zmíněný Signal.
Šifrování připojení k internetu
Weby stále častěji využívají protokol HTTPS k ochraně dat posílaných mezi počítačem uživatele a serverem. Informace o kreditní kartě zadané do webového formuláře se přenášejí přes šifrovaný kanál na server prodejce, takže všichni útočníci, kteří by mohli monitorovat přenosy, netuší, co se odeslalo. To je však jen začátek.
Díky všudypřítomnosti veřejných sítí Wi-Fi – na letištích, v kavárnách, parcích a dokonce i v metru New Yorku – je snadné zapomenout, že připojení on-line není vždy nejlepší nápad.
Útočníci mohou snadno zachytit data tekoucí do zařízení a z něho nehledě na on-line služby, k jakým přistupujete. Zde může pomoci šifrování internetového připojení přes síť VPN, jako jsou například služby F-Secure Freedome, NordVPN nebo CyberGhostVPN – data jsou potom pro slídily nepoužitelná.
Většina z nás zná VPN jako software, který se instaluje do pracovních počítačů, aby umožnil přístup k podnikovým aplikacím. VPN služby však také umožňují uživatelům vytvořit šifrovaný tunel se serverem třetí strany a potom přistupovat k internetu prostřednictvím tohoto tunelu.
Když se uživatel v Česku připojí k Facebooku prostřednictvím služby VPN ve Francii, tak je pro Facebook uživatelem z Francie a ne z Česka. Je to skvělý způsob, jak používat on-line bankovnictví z letiště, protože služba VPN šifruje spojení a brání všem odposlouchávat vaše bankovní aktivity.
Potom je zde Tor, který poskytuje úplnou anonymitu na internetu. Používá vícevrstvý bezpečnostní mechanismus podobný cibuli, který odráží komunikaci mezi více uzly, aby skryl její původ.
Nejenže Tor brání dohledu, ale také brání webům sledovat uživatele. Můžete dokonce přistupovat k Facebooku přes Tor. Uživatelé, pro které je Tor nový, mohou použít pro začátek Tor Browser. Orbot je Tor proxy pro Android z projektu The Guardian Project.
Šifrování e-mailu
Ze všech forem moderní komunikace je e-mail možná nejvíce citlivý. Vaše e-mailová schránka může obsahovat bankovní výpisy, účty z různých služeb a obchodů, dokumenty související s daněmi a také osobní zprávy.
Informace o tom, s kým mluvíte, o čem mluvíte a dokonce i jen kdy posíláte e-mail, může být v nesprávných rukách velmi nebezpečná. Zástupci bezpečnostních složek si mohou vyžádat kopie e-mailů uložených na e-mailových serverech, takže zasílání šifrovaných částí textu zajistí, že vaše zprávy uvidí jen ten, koho k tomu skutečně oprávníte.
Zabezpečené e-mailové služby, jako jsou Hushmail a GhostMail, slibují vestavěné šifrování. Když pošlete e-mail jinému členovi, zašifruje služba obsah vaší zprávy před odesláním.
Chcete-li poslat zprávu příjemci, který není na Hushmailu, vaše zpráva může být šifrovaná pomocí tajné kombinace otázky a odpovědi. Příjemce bude muset k dešifrování zprávy znát odpověď na otázku. Tyto služby pracují s klíči na pozadí, aby byl proces pro uživatele bezproblémový.
Také Outlook má vestavěné kryptografické bezpečnostní funkce založené na digitálních certifikátech vytvořených tímto softwarem. Předtím, než si mohou uživatelé zasílat šifrované zprávy, musejí digitálně zprávy podepsat a vyměnit si certifikáty.
Jakmile to mají za sebou, je práce s novou zprávou snadná: stačí z nabídky Možnosti vybrat příkaz pro šifrování obsahu a příloh.
Máte-li několik let historie ve službách Gmail, Yahoo, Hotmail apod., je těžké se přesunout k novému poskytovateli e-mailu jen kvůli nutnosti zabezpečení. Jednou z možností je použít Hushmail či GhostMail pro citlivou komunikaci a využívat dále současnou službu pro běžné zprávy. Působí to však proti cíli všudypřítomného šifrování.
Správa soukromých a veřejných klíčů
Dokud se poskytovatelé e-mailových služeb nerozhodnou nakonfigurovat univerzálně šifrovaný e-mailový systém, leží odpovědnost zabezpečení na odesílateli a příjemci.
Odesílatel musí
vygenerovat pár klíčů (veřejný a soukromý) a zveřejnit veřejný klíč. Příjemce musí vědět, jak k dešifrování zpráv používat ten veřejný. Pro mnoho nástrojů, které využívají kombinace veřejných a soukromých klíčů, je správa páru (veřejný a soukromý) transparentní. Není to však případ e-mailů.
Služby jako Keybase.io a aplikace pro Android, jako jsou K-9 nebo OpenKeychain, se pokoušejí zjednodušit správu klíčů. Keybase.io umožňuje použít ke zveřejnění veřejného klíče služby Twitter, GitHub a Reddit a řadu dalších nástrojů.
Soukromý klíč můžete uložit u Keybase nebo jinam, například do telefonu do aplikace OpenKeychain. Chcete-li podepsat své zprávy klíčem nebo zašifrovat celou textovou zprávu, můžete použít vestavěné nástroje Keybase a poté zkopírovat vytvořený blok textu do své e-mailové zprávy.
Protože Keybase využívá PGP (Pretty Good Privacy), může příjemce dešifrovat či verifikovat podpis pomocí libovolného správce klíčů, který pracuje s klíči PGP.
Mailvelope je zase aplikace Chrome, která dokáže zašifrovat a dešifrovat zprávy pomocí klíčů PGP v populárních webových službách.
Šifrování osobního e-mailu má ale před sebou ještě dlouhou cestu, než začne být tak snadné, aby ho mohli používat všichni, ale naštěstí k tomu směřuje.
Zašifrování pevného disku
Microsoft integroval šifrování souborů a disku do některých verzí systému Windows pomocí nástroje BitLocker, stejně jako to udělala firma Apple pro Mac OS X prostřednictvím řešení FileVault2.
Philadelphia RaaS - ransomware jako byznys za pár dolarů
30.7.2017 SecurityWorld Viry
Vytvářet a šířit ransomware je stále jednodušší a ve své podstatě k tomu nejsou nutné žádné speciální dovednosti. Ve skutečnosti potřebují kybernetičtí zločinci jen odhodlání realizovat své nekalé úmysly a mít přístup k tzv. temnému webu (z anglického dark web, je možné se setkat například i s označením zakázaný nebo tajemný web či internet) – tedy k tržišti, kde jsou sady pro tvorbu malware prodávány stejně jako boty nebo hračky na Amazonu.
Tento trend úzce souvisí s konceptem ransomware jako služba (ransomware as a service) a jedním z jeho konkrétních příkladů je nebezpečný a propracovaný kit Philadelphia.
Na červencové konferenci Black Hat 2017 zveřejnila společnost Sophos podrobnou studii s názvem „Ransomware as a Service (Raas): Deconstructing Philadelphia“. V této zprávě se Dorka Palotay, výzkumnice budapešťské pobočky globální sítě pro zkoumání hrozeb SophosLabs, zaměřila na pochopení vnitřních mechanismů kitu na tvorbu ransomware – sady Philadelphia, kterou si může za 400 amerických dolarů pořídit naprosto kdokoli.
Po zakoupení mohou noví „uživatelé“ unést a držet vaše počítačová data jako rukojmí a vyžadovat za jejich osvobození výkupné. Ano, je to přece o ransomware.
The Rainmakers Labs, autoři tohoto RaaS kitu, přistupují ke svému podnikání podobně jako legitimní softwarové společnosti, které prodávají své produkty a služby. Zatímco samotná Philadelphia je dostupná na šedých trzích v rámci temného webu, marketingové aktivity jsou veřejné – na YoutTube je k dispozici video, které přináší podrobnosti o samotném kitu i o rozsáhlých možnostech přizpůsobení výsledného ransomware. A videem to nekončí, součástí webu provozovaného na generické TLD doméně .com je i podrobný popis, jak kit používat.
Koncept ransomware jako služba sice není zcela nový, nicméně novinkou je právě marketingové úsilí vyzdvihující atraktivitu přístupu „připrav si svůj vlastní ransomware útok“.
„Snahy skupiny The Rainmakers Labs jsou překvapivě sofistikované. Podrobnosti o Philadelphii jsou veřejně dostupné na webu, čímž se tento kit zásadně liší od své konkurence inzerované v podzemních zákoutích temného webu,“ konstatuje Dorka Palotay. „K nalezení Philadelphie není potřeba Tor prohlížeč, a to, jak je tento kit odvážně propagován, bohužel naznačuje další nepříliš příznivý vývoj.“
Philadelphia není zajímavá jen marketingem. Pozornost si zaslouží i řada pokročilých voleb, pomocí kterých mohou „kupující“ výsledný ransomware přizpůsobit svým konkrétním představám a lépe jej zacílit na potenciální oběti. Mezi tyto rozšiřující možnosti patří podpora sledování oběti na mapách Google (‘Track victims on a Google map‘) nebo volba ‘Give Mercy’ pro případné slitování a dešifrování určitých souborů zdarma. Nechybí ani tipy na vytvoření vlastní kampaně nebo popis nastavení řídícího centra a postupů pro výběr peněžních částek.
Jistou ironií je, že ‘Give Mercy’ nemusí být projevem vstřícnosti k obětem, ale také jakousi zvrácenou formou zadních vrátek umožňujících zločincům dostat se z ošemetných situací, například během testování nebo v případě nechtěného útoku na přátele.
Zaujal vás tento článek? Přehled nejzajímavějších zpráv získáte odebíráním našeho newsletteru »
Volba pro sledování obětí na mapách Google zní trochu děsivě a počítačovým zločincům umožňuje podívat se na „cíle“ svých útoků z demografického pohledu. Získané informace jsou vcelku důležité, protože představují kvalifikované vstupy pro rozhodování, zda útok zopakovat, zda ransomware nějak modifikovat nebo třeba zda neuvažovat právě o povolení „soucitu“.
Ani jedno z uvedených rozšíření, stejně jako řada dalších funkcí, není však jedinečnou záležitostí Philadelphie. A stejně tak platí, že jde o možnosti, jejichž výskyt není příliš obvyklý. Ve skutečnosti jsou to příklady funkcionalit nejnovějších kitů a potvrzení toho, že ransomware jako služba je čím dál tím podobnější legálnímu softwarovému trhu. A to v opravdu globálních rozměrech.
„Za pozornost určitě stojí fakt, že Philadelphia stojí 400 amerických dolarů. A další ransomware kity se prodávají v cenách od 39 do 200 dolarů,“ uvádí dále Dorka Palotay. „Nicméně čtyři stovky jsou pro zájemce o Philadelphii stále ještě dobrou cenou, protože za ně získají i budoucí aktualizace, neomezený přístup a možnost vytvořit libovolný počet vlastních variant ransomware. Jinými slovy je to v podstatě stejné, jako u běžného software dostupného v modelu SaaS, kdy mají zákazníci možnost využívat vždy aktuální verzi.“
Philadelphia přináší navíc i tzv. mosty – PHP skript, který umožňuje správu komunikace mezi útočníky a oběťmi včetně ukládání informací o jednotlivých útocích.
Mezi další volby umožňující přizpůsobení výsledného ransomware útoku patří v případě Philadelphie úprava vyděračské zprávy pro oběti, a to včetně její barvy nebo toho, zda se má zobrazit ještě před zašifrováním souborů. Určitě nemilá je i tzv. Ruská ruleta, kdy aktivací této volby mohou autoři zajistit smazání některých souborů po uplynutí předem stanové lhůty, která se obvykle pohybuje v řádu hodin. Mechanismus ruské rulety je nicméně v ransomware kitech poměrně běžný a jeho účelem je vyvolat paniku a donutit uživatele k rychlejšímu zaplacení výkupného.
Možnosti přizpůsobení i zmiňované mosty zvyšují zisk a dávají kybernetickému zločinu zcela nové rozměry. Obojí by přitom mohlo vést k rychlejším inovacím ransomware jako takového. Mimochodem, jak vyplývá z podrobných analýz dalších RaaS platforem, existuje v souvislosti s konceptem ransomware jako služba řada různých zdrojů příjmů, a to od procentuálního dělení výkupného přes prodej předplatného až po zpřístupňování dashboardů umožňující sledování útoků.
Globální síť pro zkoumání hrozeb SophosLabs také uvádí, že někteří kybernetičtí zločinci již využívají „cracknuté“ nebo pirátské verze kitu Philadelphia a na jejich základě pak prodávají svoji vlastní ošizenou variantu, pochopitelně za menší peníze. Samotné krádeže ničím novým nejsou, nicméně nesporně zajímavá je míra tohoto počínání. Předpřipravené hrozby, které od útočníků nevyžadují skoro žádné znalosti a jsou snadno dostupné, se navíc neustále vyvíjí, a společnost Sophos předpokládá, že trend okrádání lumpů lumpy nadále poroste.
Mezi kybernetickými zločinci není krádež cizího kódu nebo vytvoření vlastní varianty ransomware na základě starší existující verze ničím neobvyklým. Tento přístup jsme měli možnost pozorovat i u nedávných Petya hrozeb, kdy v sobě varianta NotPetya kombinovala jednu z předchozích verzí ransomware Petya, Golden Eye, s exploitem Eternal Blue umožňujícím šíření hrozby a infikování počítačů ve skutečně globálním měřítku.
Nebezpečný virus útočil pět let. Nikdo si ho nevšiml
26.7.2017 Novinky/Bezpečnost Viry
Více než pět let se šířil internetem zákeřný virus Stantinko, aniž si toho kdokoliv všiml. Zmapovat chování tohoto nezvaného návštěvníka se podařilo až nyní bezpečnostním expertům antivirové společnosti Eset.
Malware zvaný Stantinko útočil doposud především v Rusku, Bělorusku a na Ukrajině. Podle bezpečnostních expertů je riziko nakažení tímto škodlivým kódem v České republice poměrně nízké, protože cílí především na rusky hovořící uživatele. Zcela vyloučit riziko útoku v tuzemsku samozřejmě ale nelze.
Jakmile je počítač infikován, nainstaluje dvě škodlivé služby v rámci operačního systému Windows, které se spouštějí při každém jeho startu. „Když ho ‚chytíte‘, je obtížné se ho zbavit, protože každá z obou služeb má schopnost znovu nainstalovat tu druhou. Aby uživatel problém plně eliminoval, musí vymazat ze svého počítače obě tyto služby současně,“ vysvětluje Frédéric Vachon, analytik společnosti Eset.
Zásuvné moduly pro Chrome
Konkrétně jsou nainstalovány dva zásuvné moduly – „The Safe Surfing“ a „Teddy Protection“. Oba jsou přitom běžně k dispozici ke stažení pro prohlížeč Google Chrome. „Během naší analýzy byly oba pluginy na internetu stále nabízeny,“ podotkl Marc-Etienne Léveillé, expert na výzkum malwaru ve společnosti Eset.
„Na první pohled vypadají jako legitimní rozšíření webového prohlížeče, a dokonce mají své internetové stránky. Pokud je však nainstaluje Stantinko, obdrží tato rozšíření odlišnou konfiguraci, která obsahuje příkazy na provádění podvodných kliknutí na reklamy a vkládání vlastního kódu do navštěvovaných webových stránek,“ konstatoval Léveillé.
S nakaženým počítačem si pak počítačoví piráti mohou dělat cokoliv, co chtějí. „To znamená například masivní anonymní vyhledávání stránek vytvořených pomocí nástrojů Joomla a WordPress, na něž následně provádějí tzv. brute force útoky s cílem vyhledání a odcizení dat, a mohou též vytvářet falešné účty na Facebooku,“ zdůraznil Vachon.
S napadeným počítačem tak mohou kyberzločinci provádět další útoky, ale stejně tak například vydělávat peníze na zobrazované reklamě, která by se jinak na počítači vůbec nezobrazovala.
Skrýval se dlouho
Zajímavé je především to, jak dlouho se podařilo malware Stantinko počítačovým pirátům skrývat před zraky bezpečnostních expertů a antivirových programů. Dosáhli toho tak, že škodlivá data ukrývali ve zdrojových kódech programů, které na první pohled vypadaly legitimně.
„Škodlivý kód využívá vyspělé techniky a je skryt buď zašifrovaný v souboru, nebo v registru Windows. Následně je dešifrován pomocí klíče, který se vygeneruje během prvotního napadení. Jeho škodlivé chování nelze detekovat, dokud ze svého řídicího serveru neobdrží nové komponenty, což komplikuje jeho odhalení,“ uzavřel Léveillé.
Stantinko se šíří internetem i nadále, majitelé většiny antivirových programů s aktualizovanou databází by však proti němu měli již být chráněni.
Přichází nový typ kyberútoků s cílem masivně poškozovat firmy
25.7.2017 SecurityWorld Kyber
Kybernetické hrozby se vyvíjejí extrémně rychle. V budoucnu se setkáme s novým typem ničivých kybernetických útoků, tzv. DeOS útoky (z anglického Destruction of Service).
Budoucí DeOS útoky budou mít jediný cíl – napáchat maximální škody a zničit veškeré zálohovací mechanismy, které organizace potřebují k obnově systému a dat. S těmito závěry přišla studie Cisco 2017 Midyear Cybersecurity Report, která pravidelně mapuje globální trendy a situaci v kybernetické bezpečnosti.
Studie dále poukazuje na to, že je na vzestupu obchod s vyděračským softwarem, ransomwarem, a jeho spuštění se pro útočníky stává stále snazším. Větší škody ale globálně způsobí útoky využívající sociálního inženýrství. Ty se zaměřují na konkrétní firmy a snaží se donutit oběť, aby útočníkovi převedla své peníze. Za 3 roky si takto hackeři vydělali 5,3 miliardy dolarů.
Studie také přinesla závěry průzkumu mezi 3000 bezpečnostními profesionály, který ukázal, s jakými největšími výzvami se potýkají jednotlivá průmyslová odvětví.
„Nedávné globální útoky ransomwaru WannaCry a Nyetya ukázaly, že tradiční útoky vyděračských softwarů se stávají stále ničivějšími. Odhadujeme, že jsou tyto incidenty předzvěstí nového typu, tzv. DeOS útoku, který dokáže napáchat mnohem větší škody, a ze kterého se napadené organizace budou jen těžko vzpamatovávat,“ říká Milan Habrcetl, bezpečnostní expert společnosti Cisco a doplňuje: „Nové možnosti kybernetickým útočníkům otevírá také rychlý rozvoj internetu věcí. Nedávná aktivita některých internetových robotů provádějících nežádoucí činnost (tzv. botnetů) naznačuje, že útočníci mohou položit základy počítačových hrozeb s obrovským dopadem, které by potenciálně mohly narušit i samotný provoz internetu. Dnes vidíme, že lépe na takové útoky reagují firmy, které průběžně monitorují provoz v síti a bezpečnostní řešení je její součástí.“
Výzkumníci společnosti Cisco monitorovali vývoj kybernetických hrozeb v první polovině roku 2017 a zjistili i nové postupy útočníků. Ti stále častěji využívají technik, které vyžadují uživatelovo kliknutí na infikovaný odkaz či přílohu emailu. Hackeři dnes vyvíjejí malware, který nemá formu klasického souboru, ale ukládá se rovnou do paměti.
Tento typ je mnohem náročnější detekovat a analyzovat, neboť se automaticky vymaže po restartování počítače. Útočníci také stále častěji spoléhají na anonymizovanou a decentralizovanou infrastrukturu, jako je například proxy služba Tor.
Studie společnosti Cisco ukazuje aktuální trendy a techniky, které útočníci využívají. Mezi ně patří:
Ransomware jako služba: Podle odhadů dosáhl zisk kybernetických útočníků z ransomware kampaní v roce 2016 více než 1 miliardu amerických dolarů. I proto se černý trh rozrůstá a společnost Cisco pozoruje nárůst modelu Ransomware jako služba (Ransomware‑as‑a‑service). Ten umožňuje útočníkům provést útok vyděračského softwaru, aniž by oni sami disponovali potřebnými nástroji a dovednostmi.
Sociální inženýrství: Větší finanční ztrátu než ransomware způsobily organizacím útoky s podvodnými emaily, které využívaly také technik sociálního inženýrství. V nich se útočnici snaží, aby organizace v domnění, že jde o legální transakci, převedly peníze na jejich účet. Tento byznys je velmi výnosný. Podle odhadů odborníků z amerického týmu Internet Crime Complaint Center dokázali hackeři mezi říjnem 2013 a prosincem 2016 tímto způsobem vydělat 5,3 miliardy dolarů.
Objem spamu stále narůstá: Kybernetičtí útočníci stále častěji využívají k šíření útoků nevyžádanou poštu. Výzkumníci společnosti Cisco očekávají, že objem spamu poroste i nadále, zatímco obliba exploit kitů (nástroje pro šíření škodlivého softwaru) bude klesat.
Firmy podceňují spyware a adware: Mnoho bezpečnostních odborníků stále považuje soubory typu spyware (špehovací software odesílající data bez vědomí uživatele) a adware (software zobrazující nevyžádané reklamy)za spíše nepříjemné než nebezpečné. Nicméně i tyto soubory mohou znamenat pro firmy vysoké riziko. Výzkumníci společnosti Cisco odhalili, že 20 % firem má ve firemní síti alespoň jeden ze 3 nejrozšířenějších typů spywaru. Ty přitom mohou odesílat útočníkům informace o firmě a tím zvýšit riziko nakažení skutečným malwarem.
Studie Cisco 2017 Midyear Cybersecurity Report dále zkoumala, jakým hlavním hrozbám čelí jednotlivá průmyslová odvětví. I přesto, že hackeři používají sofistikovanější techniky a zvyšují intenzitu, organizace se stále potýkají i se základními požadavky na kyberbezpečnost. Se stále užším propojením IT a operačních technologií, i v souvislosti s rozvojem internetu věcí, se firmám nedaří zajistit viditelnost provozu sítě a komplexní přístup k bezpečnosti.
Průzkum, kterého se zúčastnilo 3000 bezpečnostních profesionálů, zjistil, že bezpečnostní týmy jsou neustále pod tlakem zvyšujícího se množství útoků. Dále průzkum zjistil, že:
Pouze 2/3 organizací skutečně prošetřují bezpečnostní upozornění. V některých odvětvích (například zdravotnictví či doprava) je to dokonce jenom kolem 50 %.
I v nejrizikovějších odvětvích (jako je finančnictví či zdravotnictví) jsou podniky schopny efektivně reagovat na skutečné útoky v méně než 50 % případů.
Úspěšné průniky jsou motivací ke zlepšení. Napříč většinou odvětví znamená úspěšný útok přinejmenším minimální posílení bezpečnosti v alespoň 90 % organizací.
Mezi další zjištění v jednotlivých odvětvích patří:
Veřejný sektor: Ze všech zkoumaných hrozeb bylo 32 % z nich označeno jako skutečně oprávněných (ohrožujících). Ovšem pouze proti 47 % z nich vytvořily organizace dodatečnou obranu.
Maloobchod: 32 % podniků říká, že v posledních několika letech se jim kvůli kybernetickým útokům snížily zisky. Zhruba 25 % pak ztratilo zákazníky nebo obchodní příležitosti.
Výroba: 40 % bezpečnostních profesionálu z oblasti výroby řeklo, že nemají oficiální bezpečnostní strategii, ani neaplikují bezpečnostní normy, jako jsou ISO 27001 či NIST 800‑53.
Sektor utilit: Bezpečnostní profesionálové označili za největší bezpečnostní rizika cílené útoky (42 %) a tzv. přetrvávající pokročilé hrozby (advanced persistent threats). Ty jako největší hrozbu vnímá 40 % dotázaných.
Zdravotnictví: Za vysoké riziko označilo 37 % respondentů cílené útoky.
Šest rad na obranu
Aby se organizace efektivněji bránily současným stále sofistikovanějším útoků, měly by zvolit proaktivní přístup. Bezpečnostní tým Cisco radí:
Pravidelně aktualizujte infrastrukturu i aplikace, aby útočníci nemohli využít již známé zranitelnosti.
Bezpečnostní prvky musí být integrované. Omezte investice do izolovaných řešení.
Zapojte do kyberbezpečnosti nejvyšší členy vedení, aby porozuměli rizikům, výhodám i rozpočtovým omezením.
Vytvořte jasné metriky. Používejte je, abyste lépe pochopili přínosy konkrétních kroků a mohli svoji bezpečnost dále zlepšovat.
Zkontrolujte úroveň znalostí svých zaměstnanců prostřednictvím tréninkových postupů se zaměřením na konkrétní pracovní pozice i na obecné školení.
Snažte se vyvážit obranu s aktivní reakcí. Obrana před útoky spočívá v průběžné činnosti, nikoliv pouze v prvotním nasazení a následné pasivitě.
WannaCry přiměl britskou vládu investovat 21 miliónů liber do zabezpečení zdravotnictví
22.7.2017 Novinky/Bezpečnost Viry
Ničivý útok ransomwaru WannaCry ochromil v květnu značnou část zdravotnických zařízení na britských ostrovech. Britská vláda bude proto investovat 21 miliónů liber (620 miliónů korun) do lepšího zabezpečení počítačových sítí zdravotnických zařízení Národní zdravotní služby (NHS).
Rozhodnutí padlo v přímé souvislosti s květnovým útokem ransomwaru WannaCry, který ochromil zhruba třetinu zařízení NHS a donutil lékaře odložit naplánované chirurgické zákroky. Podle státního tajemníka pro zdravotnictví a konzervativního poslance Jeremyho Hunta by peníze měly být použity k potlačení budoucích malwarových útoků a ochránění citlivých dat pacientů.
Dotaci na lepší zabezpečení si má rozdělit 27 traumacenter po celé Anglii. Nemocnice včetně zařízení King's College, St Mary's, Royal London a Manchester Royal Infirmary dostanou prostředky na aktualizaci informačních systémů a školení zaměstnanců, která mají zvýšit jejich povědomí o kybernetických hrozbách a jak jim čelit.
„Lidé musí získat jistotu, že zdravotní informační systémy jsou bezpečné. Nedávné události včetně útoku ransomwaru z května 2017 ukázaly, že NHS musí umět ochránit své základní služby před podobným kybernetickým útokem,“ prohlásil podle webu Infosecurity-magazine.com britský ministr zdravotnictví lord O'Shaughnessy.
Nemocnice přestanou používat Windows XP
Kabinet premiérky Theresy Mayové rovněž podpoří zdravotnická zařízení v síti NHS při přechodu od nepodporovaných operačních systémů, jako je Windows XP, k bezpečnějším řešením. Podle zatím nepotvrzených informací by vláda měla na tyto změny vyčlenit dalších 50 miliónů liber (asi 1,5 miliardy korun).
„Rozhodnutí britské vlády lze jen podpořit. Kdo jiný než zdravotnická zařízení, která spravují velmi citlivá osobní data pacientů, by měl mít tato data spolehlivě ochráněna?“ ptá se Václav Zubr, bezpečnostní expert společnosti ESET.
Ransomware WannaCry se začal šířit v pátek 12. května a zasáhl především Rusko, které zaznamenalo téměř polovinu všech napadených zařízení na světě. Následovala Ukrajina a Tchaj-wan, shodně s 11 procenty detekcí útoků ransomwaru WannaCry.
Přestože podíl WannaCry na globálních kybernetických hrozbách byl poměrně malý, pozornost veřejnosti si získal velice rychlým šířením. „Na rozdíl od většiny ransomwaru se v interní síti šířil jako červ využívající neopravené chyby systému. V zahraničí byly zasaženy nemocnice či výrobní závody,“ přiblížil Václav Zubr.
V České republice podle statistik společnosti ESET tento ransomware představoval 0,15 procenta ze všech detekovaných kybernetických hrozeb během měsíce května, kdy WannaCry celosvětově útočil. Šlo tedy o zanedbatelné číslo. „Je to dáno tím, že se Češi dobře chránili před vlnami ransomwaru, a také tím, že Česká republika nebyla primárním cílem tohoto útoku,“ uzavírá Václav Zubr ze společnosti ESET.
Americké jaderné elektrárny má před hackery ochránit nový zákon
14.7.2017 Novinky/Bezpečnost BigBrother
Od května eviduje americké ministerstvo pro vnitřní bezpečnost a FBI zvýšený počet pokusů o kybernetický útok na jaderné elektrárny. Jejich zabezpečení je podle některých senátorů zastaralé.
Nový federální zákon, který by řešil strategii pro kybernetickou bezpečnost a chránil kritickou infrastrukturu včetně elektrických sítí a jaderných elektráren před útoky hackerů, prosazují američtí senátoři. Reagují tak na zvyšující se počty případů kybernetických útoků na americké jaderné elektrárny, jež od května eviduje federální ministerstvo pro vnitřní bezpečnost a FBI. Podle jejich zprávy hackeři z cizích zemí pronikli nejméně do tuctu amerických elektráren. Obdobným útokům opakovaně čelila i Ukrajina. V obou případech je z útoků podezříváno Rusko.
„Zprávy o pokusech o kybernetické průniky do jaderných elektráren nastiňují potřebu USA přijmout komplexní strategii pro kybernetickou ochranu. Proto jsem představil návrh zákona, který má ochránit americkou elektrickou síť před kybernetickými útoky,“ oznámil prostřednictvím Twitteru nezávislý senátor Angus King ze státu Maine. Podle jeho kolegy Eda Markeyho, senátora za Massachusetts, by federální úřady měly vyvinout větší úsilí při ochraně počítačových sítí v amerických jaderných elektrárnách.
Markey proto zaslal dopis pěti federálním ministerstvům a dalším úřadům a vyžádal si od nich podrobnější informace o dosavadních útocích i způsobu, jak jsou jaderné elektrárny chráněny. Senátor chce znát přesný počet napadených elektráren a jaká opatření přijaly po těchto incidentech. Odpovědi žádá do 10. srpna. Federální ministerstvo pro vnitřní bezpečnost připustilo, že útoky jsou intenzivnější, zhruba poslední dva měsíce. Senátoři chtějí předejít situaci, kdy by některá z elektráren byla paralyzována vyděračským ransomwarem, jako tomu bylo nedávno v ukrajinském Černobylu, kde personál musel přejít na ruční ovládání monitorovacích zařízení.
Ukrajina jako testovací trenažer pro hackery?
Američtí senátoři se obávají, že podobný útok na americké jaderné elektrárny by mohl mít katastrofické následky. FBI zveřejnila informaci, že jednou z elektráren, kterou se hackeři pokusili napadnout, je kansaská Wolf Creek. I když ministerstvo pro vnitřní bezpečnost dopady hackerských útoků na americké elektrárny snižuje, senátor Markey varuje před dalšími způsoby infiltrace do systémů elektráren. „Neexistuje žádná záruka, že by se škodlivý kód nemohl dostat do systémů prostřednictvím falešné aplikace nebo externích datových zařízení,“ napsal senátor federálním úřadům.
„Jaderné elektrárny i další zařízení, která jsou součástí kritických infrastruktur států, jsou stále častějším cílem útoků hackerů. Poslední dva roky jsme svědky opakovaných útoků na energetickou infrastrukturu Ukrajiny, což by mohlo představovat jakýsi velký test v reálných podmínkách. Nelze vyloučit, že se stejní hackeři, kteří stojí za útoky na Ukrajině, nepřipravují na větší akci v USA,“ říká Václav Zubr, bezpečnostní expert společnosti ESET. Každý stát by podle něj měl řádně zabezpečit svoje rozvodné sítě a další kritické body, jejichž narušení by ohrožovalo celou ekonomiku země.
Podle Michaela Daniela, prezidenta Cyber Threat Alliance a bývalého bezpečnostního poradce prezidenta Baracka Obamy, se elektrárny stávají stále častějším cílem hackerů. Daniel proto doporučuje federálním úřadům, aby zlepšily vzájemnou komunikaci a koordinovaly ochranu před takovými útoky.
Zaplaťte, jinak odhalíme vaše soukromí. Vyděračský virus cílí na mobily a tablety
14.7.2017 Novinky/Bezpečnost Viry
Český Národní bezpečnostní tým CSIRT.CZ varoval před novým vyděračským virem, který podle nejstřízlivějších odhadů ohrožuje tisíce uživatelů operačního systému Android. Pokud oběti tohoto škodlivého kódu nezaplatí výkupné, útočníci zveřejní soukromá data z napadeného zařízení.
Nově objevený škodlivý kód se jmenuje SpyDealer. „Po oběti požaduje 50 dolarů (1200 Kč), jinak prý uvolní její osobní údaje, včetně fotografií, historie webových stránek a textových zpráv,“ uvedl Pavel Bašta, bezpečnostní analytik CSIRT.CZ, který je provozován sdružením CZ.NIC.
„Podle pracovníků McAfee SpyDealer krade data z aplikací Facebook, WhatsApp a Skype. Uživatelé napadených zařízení jsou informováni, že pokud do 72 hodin nezaplatí, budou jejich osobní data poslána všem kontaktům v telefonním a e-mailovém seznamu,“ doplnil Bašta.
Virus se dostal do oficiálního obchodu
Bezpečnostní pracovníci navíc zjistili, že zmiňovaný škodlivý kód se podařilo útočníkům propašovat i do oficiálního obchodu Google Play. Konkrétně jej obsahovaly aplikace „Wallpapers Blur HD“ a „Booster & Cleaner Pro“. Ty však již nyní nejsou v oficiálním obchodu ke stažení.
Vyděračské viry cílí na mobilní zařízení, tedy na chytré telefony i počítačové tablety, stále častěji. V průběhu prvních tří měsíců tohoto roku se objem mobilního ransomwaru více než ztrojnásobil.
V prvním čtvrtletí letošního roku tak množství detekovaných souborů mobilního ransomwaru vystoupalo na číslo 218 625. Přitom ještě na konci loňského roku bylo detekováno pouze 61 832 mobilních vyděračských virů.
Útočí stejně jako na PC
Vyděračské viry se chovají na napadených mobilech stejně agresivně jako na klasických počítačích. Dokážou zašifrovat celou paměť zařízení a smartphone nebo tablet uzamknou tak, aby jej nebylo možné používat.
Za zpřístupnění uložených dat pak požadují výkupné. To se často může pohybovat v řádech několika tisíc korun. Přitom ani po zaplacení zmiňované částky uživatelé nemají jistotu, že se k uloženým datům skutečně dostanou. Podvodníci totiž v některých případech jednoduše vezmou peníze a už se nikdy neozvou.
Výkupné by tedy uživatelé neměli platit nikdy. Jedinou šancí, jak se k zašifrovaným datům dostat, je zařízení odvirovat. To ale není vůbec jednoduchý proces a v některých případech se to nemusí ani podařit.
Avast představil Štít proti ransomwaru, který zabrání cizím aplikacím, aby vám zašifrovaly počítač
14.7.2017 Živě.cz Viry
Avast představil Štít proti ransomwaru, který zabrání cizím aplikacím, aby vám zašifrovaly počítačAvast představil Štít proti ransomwaru, který zabrání cizím aplikacím, aby vám zašifrovaly počítačAvast představil Štít proti ransomwaru, který zabrání cizím aplikacím, aby vám zašifrovaly počítačAvast představil Štít proti ransomwaru, který zabrání cizím aplikacím, aby vám zašifrovaly počítačAvast představil Štít proti ransomwaru, který zabrání cizím aplikacím, aby vám zašifrovaly počítač Microsoft na sklonku června oznámil, že na základě stále častějších ransomwarových kampaní upraví Windows 10 takovým způsobem, aby se samy osobě lépe chránily virům, které se snaží zašifrovat osobní soubory a poté vyžadují výkupné. Desítky proto v podzimní aktualizaci dostanou zámek, který znemožní přepis souborů neznámými soubory.
Pokud se vám však nechce čekat až do podzimu, případně máte na počítači třeba stále nejpopulárnější Windows 7, podobnou ochranu pro vás připravil také Avast. Jeho bezpečnostní software Avast Internet Security, Avast Premier, AVG Internet Security a AVG Ultimate totiž v poslední aktualizaci získal funkci Štít proti ransomwaru.
Štít proti ransomwaru umožní měnit soubory ve zvolených složkách pouze autorizovanými aplikacemi
V konfiguraci budete moci nastavit složky a případně i typy souborů, které budou moci měnit pouze povolené aplikace (třeba ty kancelářské, grafické editory aj.). Pokud se je však pokusí přepsat neautorizovaná aplikace, antivirus ji okamžitě zablokuje.
V principu se vlastně jedná o velmi jednoduché řešení, které však může být v ochraně před zrádným ransomwarem zdaleka nejúčinnější.
Kritické chyby jsou v programech Microsoftu i Adobe. Mohou je zneužít kyberzločinci
14.7.2017 Živě.cz Zranitelnosti
Flash Player, Internet Explorer, ale například i operační systém Windows. Ve všech těchto produktech byly objeveny kritické bezpečnostní chyby. Záplaty jsou naštěstí již k dispozici, a tak by je měli uživatelé co nejdříve nainstalovat. V opačném případě se vystavují riziku útoku kyberzločinců.
Americký softwarový gigant opravil více než pět desítek zranitelností. „Opravy se týkaly například prohlížečů Edge a Internet Explorer, kancelářského balíku MS Office nebo celkově součástí operačního systému Windows,“ uvedl Pavel Bašta, analytik Národního bezpečnostního týmu CSIRT.CZ.
„Jako kritických bylo označeno 19 z nich a je proto doporučeno co nejdříve systémy aktualizovat,“ doplnil Bašta.
Zotročí počítač, nainstalují virus
Všechny chyby mají nálepku kritické, mohou je tedy snadno zneužít počítačoví piráti. Například ke spuštění libovolného kódu, na cizí stroj mohou klidně propašovat nějaký počítačový virus. A klidně jej i zotročit a zneužít k útoku typu DDoS.
Při něm mohou počítačoví piráti vyřadit některé služby, které na počítači uživatel využívá. Daleko větší riziko však představuje možnost vzdáleného spuštění programů – touto cestou totiž mohou kyberzločinci do napadeného stroje propašovat prakticky libovolný škodlivý kód.
Prakticky stejná rizika hrozí uživatelům, kteří mají v počítači nainstalovaný Flash Player. „Společnost Adobe vydala novou verzi Flash Playeru s opravami tří zranitelností, z nichž jedna byla označena jako kritická,“ konstatoval Bašta.
S instalací neotálet
Právě kritickou zranitelnost mohou počítačoví piráti také zneužít k tomu, aby propašovali na cizí stroj prakticky libovolný škodlivý kód – podobně jako u chyb v programech amerického softwarového gigantu.
S instalací všech aktualizací by tak uživatelé neměli v žádném případě otálet. K dispozici jsou prostřednictvím služby Windows Update, která je nedílnou součástí operačního systému Windows. Případně je možné novou verzi Flash Playeru stáhnout přímo ze stránek Adobe.
Lidé, kteří využívají automatické aktualizace, se nemusejí o nic starat.
Policie zavřela AlphaBay, jedno z největších černých tržišť v Toru. Provozovatel spáchal sebevraždu
14.7.2017 Živě.cz BigBrother
Policie zavřela AlphaBay, jedno z největších černých tržišť v Toru. Provozovatel spáchal sebevraždu5 FOTOGRAFIÍ
zobrazit galerii
Tržiště AlphaBay nahradilo populární Silk Road poté, co policie zavřela jeho první generaci. Ještě před týdnem se jednalo pravděpodobně o vůbec největší tržiště zaměřující se na obchod s nelegálním zbožím, primárně drogami. Přibližně týden však není v Toru k dispozici a po prvotních spekulacích o tom, že se jedná o podvod provozovatelů, přinesl Wall Street Journal informaci o tom, že jej rovněž zavřely bezpečnostní složky. Na odstavení tržiště se měla podílet policie ze Spojených států, Kanady a Thajska.
Právě v Thajsku měl být zadržen hlavní provozovatel Alexandre Cazes, který před několika lety unikl ze Spojených států po obvinění z obchodu s drogami. Po zadržení nyní spáchal v cele sebevraždu. Zátahy na další provozovatele se odehrály také v kanadském Québecu.
Cazes žil v Thajsku osm let a mezi jeho majetek patřily čtyři vozy Lamborghini a tři domy v celkové hodnotě asi 11,7 milionů dolarů (267,7 milionů korun).
Ransomware pro Android vyhrožuje, že odhalí historii vašeho internetového brouzdání
13.7.2017 Živě.cz Viry
Ransomware vyhrožuje, že rozešle všem kontaktům v mobilu soukromé informaceUkázka infikované aplikaceTakové pokyny v McAfee objevili v kódu infikovaných aplikacíUkázka infikované aplikaceTakové pokyny v McAfee objevili v kódu infikovaných aplikací6 FOTOGRAFIÍ
zobrazit galerii
McAfee odhalil další útok, který je zaměřený na mobilní zařízení s Androidem. Jmenuje se LockerLeaker a jde o vyděračský malware, který vyhrožuje, že rozešle soukromá data a historii internetového prohlížení všem vašim kontaktům.
Typický ransomware zašifruje pevný disk a po uživateli požaduje za odemčení peníze. LeakerLocker na to jde podobně, ale přesto jinak. Zálohuje si uživatelova soukromá data a vyhrožuje, že pokud uživatel nezaplatí 50 dolarů, rozešle je všem kamarádům a rodině v seznamu kontaktů.
McAfee odhalil, že se LeakerLocker šíří skrze dvě aplikace v obchodě Google Play – Wallpaper Blur HD (staženo 5 – 10 tisíckrát) a Booster Cleaner Pro (staženo 1 až 5 tisíckrát), přičemž není vyloučeno, že se nachází i na dalších místech. Infikováno bylo až 15 tisíc zařízení. Obě dvě aplikace mají pozitivní recenze, které naznačují, že byly napsány útočníky.
Jakmile si člověk aplikace se škodlivým kódem stáhne, vyzvou jej k potvrzení přístupů, včetně přístupu k hovorům, k SMS zprávám a kontaktům. Následně na obrazovce zobrazí výhrůžku.
Hrozba ale není až tak ničivá. McAfee prováděl analýzu, k čemu všemu se LeakerLocker skutečně dokáže dostat a zjistil, že ke zcela všem informacím na zařízení ne. Dokáže ovšem získat historii internetové prohlížení, znění SMS zpráv a fotografie z alba, tedy data, o kterých bezesporu nechcete, aby se potulovala světem.
Ransomware, hrozba na vzestupu. Nebylo lepší, když nám viry nedávaly na výběr?
13.7.2017 Lupa.cz Viry
Jak je možné se nakazit? Jaké typy ransomwaru existují? A vyplatí se útočníkům zaplatit? Odpovědět se pokoušíme v novém seriálu na téma ransomware.
Možná jste před rokem slovo výkupné „ransom“ nepoužívali, možná vám jako mně evokovalo spíš pána z MI6 Arthura Ransomea a jeho Vlaštovky a Amazonky. Zatímco v minulém roce se už už zdálo, že hlavní hledáček malwaru se zaměřuje na mobilní zařízení, letos jsou opět na talíři hlavně počítače.
Když byl před nějakou dobou CSIRT.CZ osloven, aby připravil seriál o ransomwaru, nevěděli jsme, že bude po informacích taková sháňka. Bylo to ještě než Google pro dotaz „ransomware“ vracel 26 milionů odkazů a než se luhy a háji českých mainstreamových medií prohnal WannaCry, následován poté po šesti týdnech NotPetyou.
Opravdu jsme se nenudili: v našem seriálu se budeme snažit shrnout, co ransomware je, jak se s časem vyvíjí, co dělat před a co dělat po (prevence a mírnění škod), jak je ransomware možné zapasovat do ekosystému škodlivých programů a co pro vás, ať už jako oběti, či jako činitele, v současnosti mohou udělat policejní orgány.
R jako ransomware
Mezi okamžikem, kdy jsem se poprvé pousmál nad screenshotem: „Tady Policie ČR, zablokovali jsme vám počítač, protože jste sdílel soubory! Toto je Vaše IP adresa! Jste v Mělníku! Zaplaťte tak a tak!“ a mezi chvíli, když jsem zvedl sluchátko se zoufalým pánem: „Zašifrovalo nám to všechny počítače ve firmě! Zálohovali jsme na síťový disk, ten je také zašifrovaný!“ se změnilo leccos.
Předně nám trochu mrzne úsměv na rtech, když pomyslíme na to, zda nám nečouhá nějaký zapomenutý port. Když první viry, které člověk potkal, ta data alespoň mazaly („Disk is one half“, psal mi virus coby osmiletému nad z poloviny smazaným 12megovým diskem a já si to neuměl přeložit a měsíce myslel, že je to jakási legrace, nová funkcionalita BIOSu), když vám viry nedávaly na výběr, bylo to možná milejší. Aspoň člověk nebyl ve stínu té hrozivé svobody volby, asi jako někdo, kdo právě utopil harddisk v akváriu a sedí nad mobilním připojením ve snaze rozhodnout, jestli pro pár fotek z Mácháče zaplatí osm tisíc za rekonvalescenci disku u specializované společnosti. Zaplatím-li požadovanou sumu, budu jedním z pěti, kterým se data nevrátí, jak je u statistiky ransomwaru obvyklé? Nebo je to dokonce ransomware, kde se data nevrací nikomu?
Že máte na cloudu historii souborů? A jak dlouhou? A co když potkáte kousek, jenž se snaží nahrát soubor mnohokrát za sebou, aby se přemazala i jejich případná historie?
To se nám zasteskne po nějakém tom malwaru pro introverty, který při startu Skype napíše všem kontaktům: „Hi!“, abyste pak dvě hodiny všem na potkání vysvětlovali, že si povídat vlastně nechcete.
Někdy máme štěstí v neštěstí
Zatímco WannaCry řičel ve stovce zemí, povedlo se najít jeho kill switch, vlastnost, která šíření dané verze malwaru zastaví. Stačilo, aby Marcus Hutchins koupil doménu, na jejíž neexistenci program spoléhal – a řádění polevilo. Další vlna sice na sebe nenechala dlouho čekat, ale společnosti už měly čas záplatovat a připravit se proti odhalenému vektoru útoku.
Měli jsme vlastně ještě štěstí, že poslední dva ransomwary, o kterých se hodně psalo, jsou napsány fušersky. A neříkám to jenom proto, že má díru každý program a ta díra se najde, zvlášť když se na vás vrhnou analytici celého širého napadeného světa.
Promiňte, ale postavit celý business model na tom, že všechny finanční záležitosti s oběťmi provedete na německé freemailové službě Posteo, kterou Vám týž den zablokují. Autorům druhého viru NotPetya přišlo jen kolem 30 plateb – pánům se podpálil les, aby si opekli buřt. Respektive nebohou Ukrajinu, je pravděpodobné, že šlo o kyberútok, který se pouze maskoval jako finančně lačný. Data byla likvidována bez meškání. Jaké to teprve bude, až někdo vydá řádně otestovaný ransomware s vadou, na niž se nenarazí hned první den?
Napadá ransomware i mou platformu?
Ano. A pokud ne dnes, poptejte se zítra.
Již jsem zmiňoval, že hlavní cíl ransomwaru jsou desktopy. Jak to tak bývá, hlavní odrazový můstek jsou tradičně Windows – široká základna vhodných uživatelů. Stejně jako se před pár lety říkalo „Viry na Linuxu nefungují“, protože Linux nebyl tak populární, a pak klepl tučňáka přes zoban Mayhem a Mirai a kdoví, co ještě, i ransomware s upířím výrazem šplhá ze své půlnoční rakve, plné poštovních známek, USB zdířek a ethernetové kabeláže.
Máme tu i kousky požírající webové servery (KimcilWare), přes síť dostupné databáze, ale i sociální účty. Už před rokem si 16letý Liverpoolan hodlal přibrigádničit krádežemi účtů na Instagramu. Na své si samozřejmě už nějakou dobu přicházejí uživatelé OS X a v budoucnu se můžeme jistě těšit na lepší podporu IoT zařízení.
Je třeba dodat, že na mobilech je nižší tendence k šifrování dat, protože se to nevyplatí – uživatelé tak chytrých mobilů, na nichž běží malware, příliš snadno zálohují na obtížněji napadnutelný cloud; nemějte však pocit falešného bezpečí.
Kolik typů znáš…
Jak platí u každého malwaru, je výzvou každý daný malware klasifikovat. Představte si, že milion druhů hmyzu, které lidstvo zvládlo katalogizovat, jsou druhy malwaru. Jistá část připadá na ransomware; jeden typ ransomwaru je pak pakobylka. Tipnete si, kolik je v řádu strašilek druhů a poddruhů? Autoři malware stále přepisují, jak se jim hodí, jaký dostávají feedback; přepisují a znovupoužívají jej i lidé, kterým projde pod rukama. Myslíte si, že třeskuté ransomwary zneužily nějaké svobodozednářské zranitelnosti? Že NotPetya přišla zčistajasna? Mě překvapilo/pobavilo, když jsem se dočetl, že sám anonymní autor původního malware Petya zkoušel proti zhoubě pomoci.
Možností, jak ransomware členit, je nepřeberně. Výzkumníci z celého světa se spojují a sdílí IoC, tzv. indikátory kompromitace, podle kterých lze poznat blížící se zhoubu. Možná by vás zajímal například dokument se seznamem IoC, které o WannaCry zveřejnil US-CERT – v přiloženém XLS jsou názvy souborů a jejich hashů, které WannaCry na systému vytváří.
Uvádím například tuto škálu, kam ransomware můžete zařadit:
Strašáci – Nejméně nebezpečnou formou jsou falešné antivirové zprávy (například ve formě reklam na webu), které vypadají jako systémová tlačítka a hlásají: „Našli jsme malware na vašem počítači, zaplaťte a my vám ho odstraníme“. Kdo neklikne, neprohloupí.
Lenoši – Malware sídlí na počítači, omezí se však na zprávu, že se počítač šifruje a ať laskavě zaplatíme. Nic se však v systému neděje, soubory se jenom přejmenovávají. Útočník nemusí nic moc řešit.
Lockery – zamezují přístup k počítači „Tady Policie ČR…,“ ale nic víc nepodnikají. Pokud je uživatel dostatečně zběhlý a zbaví se hlášky, najde soubory neporušené.
Cryptor – pronikne až na kůži a soubory zašifruje; klíč si odešle do světa a vám zbývá naděje, že někdo kladný dobude útočníkovy servery a klíče získá…
Wiper – nejhorší, co se může stát je, že útočník vůbec nepočítá s tím, že by vám soubory vrátil. O peníze žádá, data však ničí.
Kudy ke mně vede cesta?
Vede odevšad. Touž bakterii můžete chytit při jídle s neumytýma rukama nebo dobrou pozicí před pčíkancem ve vestibulu Jiřího z Poděbrad; je to lhostejné.
Přichází e-mailem v příloze, přichází nezáplatovaným portem napřímo přes síť, protože jste neaktualizovali, přichází nezáplatovaným portem napřímo přes síť, protože vydavatel vašeho systému/programu neupdatoval, přichází dokumentem od nicnetušícího kolegy. Ve Wordu není pro nic za nic velké žluté oznámení: „Soubor jste stáhli z internetu, nelze editovat“.
Budeme si střádat na výkupné?
„Pomáhá platit?“, ptají se lidé často. Možná ano i určitě ne – je to jako jednat s teroristy. Já vím, snadno se mi mluví, když mám externí disk hluboko ve skříni, jenže když zaplatíme, příště budou chtít víc.
Navíc se vy osobně můžete stát oblíbeným terčem na nějakém seznamu úspěšně prolomených obětí. Když Ježíš vyhnal zlého ducha, a člověk stejně nezáplatoval, vrátilo se duchů sedm.
Máme důležitou zprávu, tvrdí podvodníci. Pak důvěřivce oberou
12.7.2017 Novinky/Bezpečnost Phishing
Za bankéře se vydávají počítačoví piráti v nevyžádaných e-mailech, které kolují v posledních dnech českým internetem. Snaží se přitom vylákat z důvěřivců přihlašovací údaje k internetovému bankovnictví. Před novým podvodem varovala Česká spořitelna.
Ukázka podvodného e-mailu
FOTO: České spořitelny
„Chcete-li zobrazit svou zabezpečenou zprávu, přihlaste se do služby Internetové bankovnictví a použijte kanál zabezpečené zprávy,“ tvrdí podvodníci v nevyžádaném e-mailu, který primárně cílí na klienty České spořitelny.
Podvodníci se samozřejmě snaží donutit uživatele kliknout na odkaz ve zprávě, který vede na falešné stránky imitující službu Servis24, tedy internetové bankovnictví spořitelny. Pokud na podvodný web zadají důvěřivci svoje přihlašovací údaje, zpřístupní tak svůj účet kyberzločincům.
Aktualizace kontaktních informací
Ti navíc ihned po prvním přihlášení uživatelům tvrdí, že je potřeba aktualizovat kontaktní informace – právě to měla být ona důležitá zpráva. Pokud to důvěřivci skutečně udělají, jsou již jen krůček od vybílení bankovního účtu. Se znalostí telefonního čísla je totiž pro podvodníky hračkou vylákat od lidí potvrzovací SMS zprávu, pomocí které mohou například provádět peněžní transakce.
V ohrožení jsou přitom i jedinci, kteří nemají na bankovním účtu příliš mnoho financí. Útočníci mohou touto cestou sjednat bez vědomí majitele klidně i půjčku. A tyto peníze následně vyberou.
Podvodné bankovnictví imitující službu Servis24.
FOTO: Česká spořitelna
I proto se banka již od podvodných zpráv distancovala. „Buďte k podezřelým e-mailům velmi obezřetní, vždy se do SERVIS 24 přihlašujte ze stránek banky, případně přímo ze stránek www.servis24.cz. Zároveň buďte velmi obezřetní před zadáním jakéhokoliv SMS kódu a vždy pečlivě čtěte autorizační SMS zprávy,“ varovali zástupci banky.
„Pokud máte podezření, že jste podvodný e-mail obdrželi, v žádném případě nereagujte na jeho obsah, neklikejte na odkaz, který je jeho součástí, a zprávu nám přepošlete na e-mailovou adresu phishing@csas.cz. Jestliže jste již na odkaz klikli a vyplnili požadované údaje, ihned kontaktujte klientskou linku České spořitelny na bezplatném telefonním čísle 800 207 207,“ stojí v doporučení spořitelny.
E-mail může přijít z jiné banky
Sluší se podotknout, že stejnou taktiku mohou počítačoví piráti v nadcházejících dnech či týdnech zkusit také pod hlavičkou úplně jiné banky. Obezřetnost je tak na místě. Prakticky žádný finanční institut v tuzemsku totiž nerozesílá e-maily, prostřednictvím kterých by bylo možné se rovnou přihlásit ke svému účtu.
Vhodné je také ověřovat webovou adresu v internetovém prohlížeči, zpravidla podle ní je totiž možné poznat, že se uživatel ve skutečnosti nachází na podvodných stránkách – a ne ve skutečném internetovém bankovnictví.
FBI prohledávala domy zaměstnanců Kaspersky Lab. Ruskou firmu má za hrozbu
11.7.2017 Lupa.cz BigBrother
Debaty o tom, zda je ruská antivirová společnost Kaspersky Lab možnou hrozbou, pokračují. Začátkem loňského roku jsme na Lupě publikovali článek, který v Kaspersky nevyvolal příliš dobré reakce. Podezření na to, že společnost a její zakladatel Eugene Kaspersky udržují úzké vztahy s ruskou vládou a tajnými službami, se probíralo i jinde.
Bloomberg nyní ve svém týdeníku Businessweek přichází s dalšími informacemi. Tajné služby ve Spojených státech nyní Kaspersky Lab považují za potenciální risk pro národní bezpečnost. Kongres jedná o tom, zda zakázat produkty ruského podniku pro využití v armádě. Podle Bloombergu také FBI navštívila domovy zaměstnanců Kaspersky Lab působících v Americe. Nic konkrétního se nenašlo, vztahy s vládními složkami jsou ale pro Američany stále problematické.
Uniklé e-maily rovněž ukazují, že Kaspersky má mnohem užší vazby na ruské tajné služby, než se původně předpokládalo. Eugene Kaspersky například měl dohlížet na vývoj antihacking nástroje pro ruskou službu FSB. Tento projekt se pak stal základem DDoS ochrany v produktech Kaspersky. Jak už jsme také psali, výzkumníci Kaspersky pomáhají v Rusku odhalovat kyberútočníky.
To ale nemusí být zase tak zásadní. Například v Izraeli hodně komerčních technologií spojených s bezpečností vychází z armádních a vládních projektů. Ve světě jsou běžné i různé úrovně spolupráce státních bezpečnostních složek a soukromých firem. Volá se třeba po digitálních Ženevských konvencích (které mimochodem Eugene Kaspersky veřejně podporuje).
Více o podezřeních na propojení Kaspersky Lab a Ruska v našem dřívějším článku. Bloomberg k tématu rovněž zveřejnil podcast. O Rusko a jeho technologické oblasti Skolkovo, kde vzniká třeba router pro operátory, v naší reportáži. I v případě některých projektů Skolkova je FBI poněkud podezřívavá.
Virus infikoval milióny zařízení. Hackerům vydělal velké peníze
11.7.2017 Novinky/Bezpečnost Viry
Na pořádný balík peněz si přišli v uplynulých dvou měsících neznámí počítačoví piráti, kterým se podařilo infikovat více než 14 miliónů mobilů a tabletů s operačním systémem Android. Vydělávali především na zobrazování nevyžádané reklamy. Upozornila na to bezpečnostní společnost Check Point.
Nově objevený nezvaný návštěvník se jmenuje CopyCat a jde o poměrně sofistikovaný škodlivý kód, který dokáže v napadeném zařízení udělat pěknou neplechu.
Může například rootovat operační systém, což jinými slovy znamená, že do něj počítačoví piráti mohou snadno propašovat libovolný další škodlivý kód nebo nad přístrojem převzít kontrolu na dálku. Útočníci nicméně CopyCat využívali jinak.
Vydělávali na reklamě
Na infikovaných tabletech a chytrých telefonech zobrazovali nevyžádanou reklamu. Z ní pak inkasovali veškeré svoje zisky, které rozhodně nebyly malé. Podle bezpečnostních expertů si touto cestou vydělali přibližně 1,5 miliónu dolarů, tedy v přepočtu více než 34 miliónů korun.
Většina uživatelů totiž reklamu nepovažovala za škodlivou, a jednoduše ji zavřela. Oběti útoku tak nevědomky vydělávaly kyberzločincům velké peníze.
Za napadení mobilu nebo tabletu si nicméně většinou mohli uživatelé sami. CopyCat se totiž šířil výhradně přes neoficiální kanály, nikoliv přes originální obchod s aplikacemi Google Play. To jinými slovy znamená, že do přístrojů si záškodníka stáhli lidé sami, pokud instalovali aplikace z neznámých zdrojů, například nejrůznějších podvodných stránek.
Útok se nevyhnul ani Evropě
Nově objevená hrozba útočila nejčastěji v Asii, například v USA ale bylo napadeno více než 280 tisíc mobilních zařízení. CopyCat se objevil také v Evropě, zda se útočníkům podařilo napadnout zařízení některých tuzemských uživatelů, však v tuto chvíli není jasné.
I tento virus opět ukazuje, že mobilní zařízení mohou být stejně zranitelná jako klasické počítače. Při používání smartphonů a tabletů by tak měli být uživatelé stejně obezřetní. Samozřejmostí by měl být například nainstalovaný antivirový program.
Poučení z malwaru NotPetya
10.7.2017 Root.cz Viry
V dnešním díle si přečtete, jak probíhalo napadení sítě hostující software M.E.Doc malwarem NotPetya a jaké poučení z toho plyne. Následují i další užitečné bezpečnostní informace z celého světa.
Vše důležité o infekci internetu malwarem NotPetya
Malware označovaný jako Petya, NotPetya apod. se do světa a zejména na Ukrajinu rozšířil prostřednictvím velmi rozšířeného účetního a daňového softwaru „M.E.Doc“ („Můj elektronický dokument“), který vytvořila ukrajinská firma „Intellect Service“. Tento malware se šířil z infikovaných strojů dále do sítě prostřednictvím zranitelnosti MS17–010 v protokolu SMB 1.0. Útočníkům se podařilo infiltrovat síť zmíněné firmy, získat přístup ke zdrojovému kódu programu M.E.Doc a rozeslat uživatelům programu jeho infikované verze maskované jako regulérní nové verze.
Podle údajů, které zveřejnily firmy Talos a ESET, vypadal časový rozvrh útoku na síť firmy „Intellect Service“ takto:
14. 4. a 15. 5.2017: Update server distribuoval zákazníkům infikovanou verzi softwaru M.E.Doc.
22. 5. 2017: Firma „Intellect Service“ informovala zákazníky, že od 18. 5. se v sítích objevuje ransomware podobný WannaCry. To ale údajně se softwarem M.E.Doc nesouvisí, protože firma posílá svůj software antivirovým společnostem ke kontrole.
22. 6. 2017: Update server distribuoval zákazníkům poslední infikovanou versi softwaru M.E.Doc.
27. 6. 2017, 8.59 UTC: Útočník se přihlásil na update server s ukradeným jménem a heslem administrátora; získal rootovský přístup prostřednictvím su.
27. 6. 2017, 9.15 UTC: Provoz update serveru byl přesměrován na cizí server v síti OVH (Francie).
27. 6. 2017, 12.31 UTC: Přesměrování provozu update serveru na cizí server skončilo.
27. 6. 2017, 14.11 UTC: Cizí uživatel v lotyšské síti Bighostlv-NET ukončil relaci SSH a odhlásil se z update serveru.
27. 6. 2017, 19.46 UTC: Disk na cizím serveru v síti OVH byl smazán.
Firma ESET zjistila, že útočníci měli přístup ke zdrojovému kódu programu M.E.Doc a infikovali modul ZvitPublishedObjects.dll. Tento modul sbírá mj. kódy EDRPOU (obdoba našich daňových identifikačních čísel DIČ), uživatelská jména a hesla uživatelů a poštovních proxy serverů. Takto zjištěná data byla odeslána na (falešný) update server ve formě cookies; žádný C&C kanál nebyl použit.
Každý stroj, na kterém byl spuštěn infikovaný program M.E.Doc, také reagoval na tyto externí příkazy:
vykonání příkazu shell,
zápis souboru na disk, včetně možného spuštění jako program nebo jako DLL; soubor pak byl přepsán náhodnými daty a smazán,
odeslání libovolného souboru z infikovaného stroje,
odeslání informací o systému (verse OS, 32/64 bitů, privilegia, nastavení UAC, uživatelská a proxy jména a hesla).
Z těchto zjištění plyne:
Šlo o útok cílený na Ukrajinu a na cizí firmy, které s Ukrajinou obchodují. Díky tomu, že útočníci znají údaje EDRPOU (DIČ), přesně vědí, která firma zpracovává své účetnictví na M.E.Docu a ve které síti.
Cílem útoku bylo zničit data napadených firem (sabotáž), infikovat další počítače v napadených sítích a zjistit údaje o obchodních transakcích napadených firem.
Finanční zisk nebyl cílem útoku, přestože ten se tvářil jako ransomware a požadoval za dešifrování dat 300 USD v bitcoinech.
Závěry:
Útok byl velmi dobře naplánován a proveden. Pro útočníky musel být velmi drahý.
Nyní je odhalena metoda infekce v softwaru M.E.Doc i manipulace s update serverem; útočník už tedy tímto způsobem nedokáže spouštět vlastní kód na velikém množství infikovaných počítačů (údajně u 80 % ukrajinských firem).
Aby vynaložené prostředky nepřišly nazmar, je pravděpodobné, že na infikovaných počítačích mohou existovat další dosud neznámá zadní vrátka, skrze něž je útočník bude moci znovu ovládnout.
Všechny firmy už napadené i ty, které využívají software MEDoc nebo podobný, které obchodují s Ukrajinou nebo které provozují své systémy na Ukrajině, by měly dávat velký pozor, protože proti nim stojí nebezpečný protivník.
Doporučují se zejména tyto kroky:
změna přístupových hesel uživatelů i poštovních a proxy serverů,
rozdělení sítě na samostatné části,
důkladné monitorování ohrožených systémů,
omezení přístupu do sítě,
včasná instalace bezpečnostních záplat,
přechod ze starších systémů na Windows 10,
instalace IPS na spojích mezi zahraničními firmami a jejich ukrajinskými pobočkami,
instalace vhodné ochrany na všech ukrajinských systémech,
řídit se podle doporučení firem Microsoft a Cisco.
Strojové učení: Nová naděje proti kybernetickým útokům
9.7.2017 SecurityWorld Zabezpečení
Technologie, která má potenciál zásadně změnit styl hry, by mohla přenést ochranu podnikových sítí na zcela novou úroveň.
Zneklidňující počet úspěšných krádeží dat během posledních několika let ukazuje, že organizace jsou zahlcené rostoucím počtem hrozeb. Objevil se však nový druh bezpečnostního řešení, který využívá pro podnikové zabezpečení strojové učení. Tyto nástroje dovolují analyzovat sítě, porozumět jim, detekovat anomálie a chránit podniky před ohrožením.
Je tedy strojové učení odpovědí na dnešní kybernetické výzvy? Oboroví analytici a firmy nabízející tyto produkty prohlašují, že zaznamenávají zvýšenou poptávku a že první reakce od uživatelů je pozitivní.
„Strojové učení je významným bezpečnostním trendem letošního roku,“ tvrdí Eric Ogren, hlavní bezpečnostní analytik ve společnosti 451 Research. „Každý šéf zabezpečení nyní ví, že behaviorální analytické produkty nabízejí nejlepší šanci zachytit útoky, které uniknou statické preventivní obraně.“
Dodává, že strojové učení je srdcem těchto behaviorálních přístupů. „Není to něco jako pozorování a poslouchání,“ dodává Ogren.
„Strojové učení podle něj zaznamenává chování při definování statistického profilu normální aktivity pro uživatele, zařízení nebo web. To je důležité, protože to poskytuje základ pro analýzu chování, aby bylo možné zabránit velkým škodám způsobeným útokem, který by unikl obraně před hrozbami nebo zneužil povolenou činnost.“
Dlouhodobý přínos strojového učení spočívá v tom, že směruje organizaci na cestu k pravděpodobnostnímu a prediktivnímu bezpečnostnímu přístupu, který se snadno integruje s obecně uznávanými postupy IT.
„Je vidět, že se to již vyplácí ve velkých cloudových a mediálních podnicích, kde se bezpečnost posuzuje méně ve smyslu prostého rozlišení dobrého či špatného a více ve smyslu snížení rizika narušení hlavní podnikatelské činnosti s bezprostředním vlivem na celkový zisk,“ vysvětluje Ogren.
Potenciální problémy
Stejně jako u všech novějších technologií přináší i strojové učení případné těžkosti. „Může být náročné rozlišit kvalitu algoritmů strojového učení od různých dodavatelů,“ vysvětluje Ogren.
Kvalita se podle něj projeví ve výsledcích. On sám doporučuje využít projekty ověření konceptu na několika oddělených případech nasazení pro uživatele, zařízení a weby, aby se zjistila efektivita produktu.
Přestože strojové učení může vést k obrovskému zlepšení zabezpečení, „není to alfa a omega“, poznamenává David Monahan, ředitel výzkumu zabezpečení a řízení rizik ve výzkumné společnosti Enterprise Management Associates. „Má svá omezení a nejlepší způsob využití. Je to skvělý nástroj pro významnou oblast zabezpečení k identifikaci toho, co je mimořádné a mělo by se prověřit a přezkoumat.“
Existují dva hlavní typy strojového učení používané v oblasti zabezpečení: s dohledem a bez dohledu. „Fungují lépe pro rozdílné účely, ale oba v podstatě nacházejí anomálie v daných sadách dat,“ popisuje Monahan. „Proto může být výsledek dobrý jen tak, jak jsou kvalitní poskytnutá data. Strojové učení je tedy přídavná technologie, nikoli základní.“
Hlavní výhody
Základní výhodou této technologie je její schopnost rychle rozpoznat trendy, vzory a anomálie v rozsáhlých a různorodých souborech dat, vysvětluje Monahan.
„Je to mnohem rychlejší než u většiny, ne-li u všech nástrojů big dat, protože to funguje v reálném čase nebo téměř v reálném čase měřeném ve vteřinách až minutách a není nutné čekat na dávkové zpracování,“ tvrdí Monahan.
Potřeba strojového učení je vyvolávaná dvěma fakty, vysvětluje Kristine Lovejoyová, prezidentka a výkonná ředitelka společnosti BluVector, která nabízí bezpečnostní technologii využívající strojové učení.
Jedním je, že zjištění kompromitace trvá dlouhou dobu, a druhým, že v mnoha, ne-li ve všech případech se firmy dozvědí o svém napadení od někoho jiného.
„Organizace potřebují funkce, které jim umožní udržet krok s hrozbami, zjistit je a zlikvidovat dříve, než dojde k nějakým škodám,“ připomíná Lovejoyová.
Firmy „si uvědomily, že nedokážou předvídat každý možný vektor útoku a že si nemohou dovolit ručně vytvářet pravidla pro detekci vektorů, které očekávají“, uvádí Mike Paquette, produktový viceprezident společnosti Prelert, která je dalším dodavatelem bezpečnostních nástrojů využívajících strojové učení.
„Hledají takový způsob automatizace analýz svých dat z protokolů souvisejících se zabezpečením, aby nepřetržitě docházelo k detekci elementárního útočného chování,“ prohlašuje Paquette.
Zde je malá ukázka dostupných bezpečnostních nástrojů, které využívají strojové učení:
Společnost Acuity Solutions nabízí BluVector, produkt pro detekci malwaru a kybernetických útoků, který využívá strojové učení jako mechanismus identifikace a stanovení důležitosti potenciálních hrozeb. Po identifikaci hrozeb dochází k vytvoření forenzních balíčků pro specialisty na odchycení a reakci, kteří hrozby prozkoumají a ošetří.
DgSecure Monitor od společnosti Dataguise je produkt pro detekci narušení, který využívá strojové učení a behaviorální analytiku k varování v situacích, kdy se aktivity uživatele odchýlí od typického profilu chování. Produkt usnadňuje vytváření řídicích zásad zabezpečení dat pomocí této funkce v kombinaci se zásadami definovanými pro uživatele, a to nehledě na případnou chráněnost citlivých dat.
Společnost Deep Instinct nabízí produkt Deep Learning, který je inspirován schopností mozku učit se identifikovat objekt a změnit tuto identifikaci v okamžitou přirozenost. Při aplikaci hlubokého učení pro kybernetickou bezpečnost rozděluje produkt Deep Instinct tento proces dvou fází: učení a predikce. Výsledkem je pak instinktivní kybernetická ochrana i před nejméně určitelnými kybernetickými útoky z jakéhokoliv zdroje.
Společnost Distil Networks nabízí technologii, která chrání webové aplikace před škodlivými boty, před zneužitím rozhraní API a před podvody. Každý zákazník společnosti Distil podle jejích slov těží z globální infrastruktury strojového učení, která v reálném čase analyzuje útočné vzory. Distil například aktivně předpovídá boty na základě korelace více než 100 dynamických klasifikací a upozorňuje na anomálie v chování specifickém pro vzory unikátního webového provozu.
Společnost Prelert nabízí tři produkty pokročilé detekce hrozeb, které využívají strojové učení pro oblast bezpečnosti. Všechny tři jsou postavené na stroji behaviorální analytiky firmy Prelert, který využívá nedohlíženou technologii strojového učení k vytváření etalonů normálního chování v datech protokolů a identifikuje anomálie a neobvyklé vzory v datech souvisejících s kybernetickými útoky.
Pět příznaků, že útočník už pronikl do vaší sítě
8.7.2017 SecurityWorld Zabezpečení
Podle některých odhadů útočníci pronikli až do 96 % všech sítí – takže je nutné je odhalit a zastavit, aby neměli čas na eskalaci oprávnění, nalezení cenných aktiv a ukradení dat. Přinášíme popis vhodných protiopatření.
Útok na firemní síť nekončí infekcí nebo převzetím koncového bodu – zde teprve začíná. Z takového místa je útok vysoce aktivní a útočníka lze zjistit a zastavit, pokud víte, jak ho najít. Pomůže vám k tomu následujících pět strategií.
Hledejte příznaky narušení.
Vyhledávejte skenování portů, nadměrně neúspěšné pokusy o přihlášení a další druhy průzkumných aktivit, protože se útočník snaží zmapovat vaši síť.
Útočník bude zpočátku potřebovat porozumět topologii sítě, do které pronikl. Bude hledat zranitelné koncové body a servery a zaměří se na uživatele s oprávněním správce a na sklady cenných dat.
Většina nástrojů detekce narušení dokáže detekovat známé skenery portů. Rozlišení mezi skrytým průzkumem a legitimním skenováním využívaným při vysílání v síti je však složitější.
Přiznejme si to – většina počítačů a aplikací je doslova upovídaná. Přesto však lze najít anomálie svědčící o útoku, pokud jste definovali, kolik portů a cílů mohou různá zařízení ve vaší síti obvykle využívat.
Zdroj dat: Nástroje pro monitoring či správu sítě, agregace NetFlow.
Problémy: Útočníci mohou pracovat nenápadně a pomalu, takže budete potřebovat udělat některé analýzy založené na čase. Můžete také mít mnoho upovídaných nástrojů a protokolů, takže chvíli potrvá, než se podaří odfiltrovat šum.
Hledejte „normální“ uživatele vykonávající administrátorské úlohy.
Útočníci stále častěji používají v počítačích a na serverech spíše nativní nástroje než známé útočné nástroje a malware, aby je nedetekoval antivirový software nebo software EDR (Endpoint Detection and Response). To je však samo o sobě anomálií, kterou lze detekovat.
Pokuste se zjistit, kdo jsou vaši administrátoři. Adresářové služby, jako jsou služby Active Directory, vám pomohou vytvořit v rámci vaší organizace uživatelské role a oprávnění.
Potom zjistěte, jaké nástroje vaši správci používají a jaké aplikace či zařízení obvykle spravují – například databáze ERP a intranetový web. S těmito znalostmi můžete rozpoznat situace, kdy útočník převezme stroj a začne vykonávat administrátorské úlohy neočekávaným způsobem.
Zdroj dat: Kombinace informací o síti (síťové pakety nebo data NetFlow) a informací z adresářových služeb poskytne nejlepší způsob, jak identifikovat administrátorské chování.
Problémy: Bohužel neexistuje jeden zdroj informací, který by vám přesně řekl, kdo jsou vaši správci a jaké vybavení spravují. Monitorování využití SSH a RPC z perspektivy kurzu však dokáže poskytnout dobrý výchozí bod.
Výsledkem pravděpodobně bude velké množství falešně pozitivních nálezů, ale časem už dokážete zrno od plev oddělit. Seznam schválených administrátorů vám poskytne výchozí bod, který pomůže při detekci.
Hledejte zařízení, která používají více účtů a přihlašovacích údajů pro přístup k síťovým prostředkům.
Útočníci rádi využívají přihlašovací údaje k usnadnění svých postupů a ke skrývání. Ukradnou nebo vytvoří účty a využijí je k průzkumu a k získání přístupu. To je projev vnějších i vnitřních útočníků.
Analyzujte využívání přihlašovacích údajů, abyste našli anomálie ukazující na takový typ útočných aktivit.
Zdroj dat: Monitoring síťového provozu a analýza protokolů infrastruktury autentizace a autorizace jsou nejlepší zdroje pro odhalení zneužití přihlašovacích údajů.
Extrahujte tato data a analyzujte je, abyste získali představu o tom, s kolika systémy každý uživatel obvykle komunikuje. Poté monitorujte anomálie.
Problémy: Rozdíly mezi uživateli jsou velké, ale můžete se pokusit definovat tzv. „průměrného“ uživatele. Dokonce i jen výpis uživatelů s velkými objemy může poskytnout dobrou viditelnost – když se v seznamu objeví nové jméno, můžete ho zkontrolovat.
Hledejte útočníka, který se snaží najít cenná data na souborových serverech.
Jedním z kroků, který útočníci obvykle dělají, je zjištění, jaké souborové systémy Windows jsou široce dostupné, aby mohli získat důležitá data, jako například duševní vlastnictví a čísla kreditních karet, nebo mohli vzdáleně zašifrovat data pro získání výkupného.
Nalezení anomálií v přístupech ke sdílení souborů může být cenným signálem a může vás také upozornit na zaměstnance, který zvažuje interní krádež dat.
Zdroj dat: Protokoly z vašich souborových serverů jsou nejlepším způsobem, jak to zvládnout. Bude to však vyžadovat určité analýzy, aby došlo k transformaci do podoby uživatelské perspektivy a k získání schopnosti vidět anomálie v přístupu uživatelů.
Problémy: K některým sdíleným úložištím souborů přistupují skutečně všichni, a pokud se tam nějaký uživatel dostává poprvé, může to vytvořit velký výkyv a falešně pozitivní indikaci.
Kromě toho jsou údaje o přístupu dost chaotické a těžko analyzovatelné. Lze to vidět i pomocí síťových nástrojů, ale extrakce podstatných informací je velmi pracná.
Hledejte aktivity velení a řízení a mechanismy trvalého přístupu.
Útočníci potřebují způsob komunikace mezi internetem a koncovými body, které kontrolují ve vašem prostředí. Přestože se používá při útoku méně malwaru než kdysi, stále se přítomnost škodlivého softwaru a nástrojů vzdáleného přístupu v podobě trojských koní (RAT – Remote Access Trojans) dá očekávat.
Sledujte odchozí komunikaci, zda se v ní nevyskytují příznaky malwaru volajícího domů.
Zdroj dat: Mnoho bezpečnostních nástrojů pro perimetr již vyhledává aktivity velení a řízení. Cílený malware se může pokusit kontaktovat zdroje AWS či Azure nebo nové servery, které nebudou rozpoznány tradičními službami threat intelligence (zpravodajství o hrozbách).
Své současné zabezpečení můžete rozšířit o kontrolu, zda se v protokolech DNS nevyskytují vzory dotazů DNS, které by ukazovaly na malware pokoušející se najít řídicí servery.
Mnoho neúspěšných požadavků DNS nebo požadavků, které vypadají jako strojově generované názvy domén, je příznakem malwaru naprogramovaného tak, aby zabránil zablokování na základě reputace.
Problémy: Útočníci mají mnoho způsobů, jak skrývat přenosy velení a řízení, takže je dobré dávat si pozor, ale nespoléhat při zjišťování malwaru jen na tento typ detekce.
Nikdy nelze říci, jakou kombinaci běžných internetových stránek včetně služeb Twitter, Craigslist, Gmail a mnoha dalších by malware mohl zneužít pro řídicí komunikaci.
Vyplatí se tedy vynaložit určité úsilí na sledování těchto aktivit, ale není to tak důležité jako sledování bočního pohybu a nadměrného používání přihlašovacích údajů, které je pro útočníka mnohem těžší utajit.
Hackeři pronikli do amerických elektráren
7.7.2017 Novinky/Bezpečnost Kyber
Hackeři operující ve prospěch cizího státu nedávno pronikli do nejméně tuctu amerických elektráren včetně kansaské jaderné elektrárny Wolf Creek. Napsala to v pátek agentura Bloomberg s odvoláním na informované americké činitele. Útok podle nich vyvolává podezření, že hackeři hledají slabá místa v rozvodu elektrické energie.
Experti varují, že nepřátelské síly si chtějí vytvořit podmínky pro narušení dodávky elektřiny v USA. Příslušné varování dostaly energetické podniky minulý týden. Hackeři rovněž nedávno pronikli do sítí jisté nejmenované společnosti, která vyrábí kontrolní systémy pro zařízení užívaná v elektrárenských provozech.
Hlavním podezřelým je Rusko, píše Bloomberg. Taková možnost je obzvlášť znepokojivá, protože Rusům se už podařilo vyřadit část elektrické rozvodné sítě na Ukrajině, což mohl být test jejich útočných nástrojů. Americká agentura dodává, že USA mají, jak známo, k dispozici vlastní kybernetické nástroje schopné rozvrátit nepřátelskou elektrickou síť.
Podle amerického ministerstva pro vnitřní bezpečnost Spojeným státům bezprostřední nebezpečí nehrozí. "Není náznak žádného veřejného ohrožení, protože případný dopad (hackerských útoků) se omezuje na administrativní a obchodní sítě," uvedlo ministerstvo. Partnerské ministerstvo energetiky prý s rozvodnými firmami spolupracuje na posílení bezpečnosti.
Lék na vyděračský virus? Piráti chtějí za univerzální klíče milióny
7.7.2017 Novinky/Bezpečnost Viry
Na konci června zasáhla hned několik zemí světa masivní vlna vyděračského viru Win32/Diskcoder.C Trojan. Útočníci však kvůli školácké chybě nevydělali ani korunu. Napravit se to snaží nyní, kdy na černém trhu nabízejí k prodeji univerzální klíče za milióny korun.
Uživatelé napadení virem místo startu operačního systému uvidí tuto zprávu.
Škodlivý kód Win32/Diskcoder.C Trojan se internetem již nijak dramaticky nešíří. Přesto v různých koutech světa zůstávají stále zavirované tisíce počítačů. A odvirovat je kvůli chybě počítačových pirátů nejde ani ve chvíli, kdy jsou uživatelé ochotni zaplatit výkupné.
Většina vyděračských virů jsou poměrně sofistikované škodlivé kódy. Po zablokování počítače požadují výkupné, platba z každého napadeného účtu je přitom směřována do jiné bitcoinové peněženky. Vystopovat útočníky je tedy prakticky nemožné a stejně tak není reálné zablokovat jednotlivé transakce. Útočníkům z vyděračských virů plynou často i milióny korun.
V případě ransomwaru Win32/Diskcoder.C Trojan však útočníci tak chytří nebyli. S majiteli napadených počítačů totiž komunikují prostřednictvím e-mailu na serveru posteo.net. V podstatě každý, kdo chce odblokovat počítač, musí útočníkům napsat.
Právě to se ale provozovatelům serveru posteo.net nelíbilo, a tak e-mailovou schránku počítačových pirátů ještě v úterý večer zablokovali, stalo se tak pouhých pár hodin poté, co se vyděračský virus začal šířit internetem.
Zaplatit chtějí v bitcoinech
Z řádků výše je patrné, že kyberzločinci na tomto škodlivém kódu nevydělali ani korunu. Napravit se to snaží nyní na černém trhu. Nabízí k prodeji univerzální klíče, které slouží k odemknutí uzamčených počítačů.
Útočníci patrně doufají, že je koupí nějací další počítačoví piráti, kteří je následně budou za úplatu distribuovat mezi lidi. Mezi případnými zájemci by se mohla objevit také nějaká antivirová společnost, jež by s pomocí klíčů vytvořila nástroj na obnovu uzamčených počítačů.
Cena za univerzální klíče však není rozhodně nízká. Kyberzločinci chtějí v přepočtu bezmála šest miliónů korun. Zaplatit přitom chtějí v bitcoinech, aby je nebylo možné vystopovat.
Zákeřný vyděračský virus
Ransomware Win32/Diskcoder.C Trojan napadl na konci června bankovní sektor, energetické i poštovní společnosti. Stejně tak ale útočil i v domácnostech. Nejvíce postižena je Ukrajina, do žebříčku deseti zemí, ve kterých virus řádil nejvíce, se nicméně dostala také Česká republika, jež je aktuálně na deváté příčce žebříčku.
Win32/Diskcoder.C Trojan je poměrně zákeřný škodlivý kód. Většina vyděračských virů totiž potřebuje k zašifrování dat na pevném disku poměrně dost času, klidně i několik hodin. Během toho může jejich práci zachytit antivirový program a zablokovat je ještě dříve, než v počítači nadělají nějakou větší neplechu.
Nově objevená hrozba však funguje jiným způsobem. Na disku nezašifruje všechna data, ale pouze tzv. MBR (Master Boot Record). Jde o hlavní spouštěcí záznam, díky kterému se v podstatě spouští celý operační systém. K zašifrovanému záznamu pak počítač nemá přístup a místo Windows spustí jen hlášku o nutnosti zaplatit výkupné.
Na zašifrování MBR nepotřebuje nový vyděračský virus několik hodin, stačí mu pouze pár vteřin. Antiviry tak prakticky nemají šanci škodlivý kód zachytit. Hned po prvním restartu je pak problém na světě.
Hackeři ukradli milióny korun z obří bitcoinové burzy
7.7.2017 Novinky/Bezpečnost Kriminalita
Hackeři napadli jednu z pěti největších burz pro obchody s kybernetickou měnou bitcoin Bithumb, která působí v Jižní Koreji. Podle prohlášení burzy hackeři ukradli data uživatelů a peníze v objemu miliard wonů (desítek miliónů Kč), uvedl server rttnews.com.
Bithumb je největší burzou pro obchody s bitcoiny a další kybernetickou měnou ether v Jižní Koreji. Na obchodech s bitcoiny v zemi má podíl 75,7 procenta. Denně se zde zobchoduje v průměru 13 000 bitcoinů, což je zhruba deset procent celosvětového obchodu s touto měnou.
Podle burzy hackeři ukradli databázi s informacemi o klientech z počítače jednoho ze zaměstnanců. Údajně se ztratila jména, e-maily a čísla mobilních telefonů více než 31 800 klientů. Finanční ztráty z účtů těchto zákazníků by měly dosáhnou miliard wonů, podle jedné neověřené zprávy z místních médií ztráta dosáhla 1,2 miliardy wonů (23,8 miliónu Kč). Burza slíbila klientům odškodnění.
BBC na svých stránkách upozornila, že útok hackerů se zřejmě uskutečnil již v únoru. Bithumb odhalil útok 29. června. Napaden měl být domácí počítač zaměstnance.
Jihokorejská tisková agentura Jonhap uvedla, že jihokorejský úřad pro internet a bezpečnost zahájil vyšetřování této události.
Vklady nejsou pojištěny
Evropský bankovní úřad již dříve varoval spotřebitele, že neregulované virtuální měny představují velké riziko, přestože jde o relativně populární prostředek k investici. Vklady totiž nejsou nijak chráněny a kurz často výrazně kolísá.
Virtuální měna bitcoin vznikla v roce 2009, větší popularitě se ale těší v posledních letech. Vytvořena byla tak, aby se nedala ovlivňovat žádnou vládou ani centrální bankou.
Kybernetické mince „razí“ síť počítačů se specializovaným softwarem naprogramovaným tak, aby uvolňoval nové mince stabilním, ale stále klesajícím tempem. Počet mincí v oběhu má dosáhnout nakonec 21 miliónů, což má být kolem roku 2140.
Jak správně posoudit rizika?
6.7.2017 SecurityWorld Zabezpečení
Bez úplného a důkladného posouzení rizika můžete stejně tak vydat všechna svá datová aktiva napospas neomezeným únikům přes port 80 bez jakýchkoli bezpečnostních kontrol. V konečném důsledku tak útočníci a digitální zločinci získají v obou případech to, co chtějí.
Obrana před riziky, aniž víte, jaká tato rizika jsou, se podobá hraní paintballu se zavřenýma očima – neuvidíte svého protivníka. Posouzení rizik dává podniku konkrétní zúžené pole cílů, na které je potřebné se zaměřit.
Bezpečnostní experti vám poradí, co jsou spolehlivé zdroje a jaké byste měli udělat odborné kroky pro ochranu datových aktiv a úložišť v podniku.
Podrobnosti posuzování rizika
Posouzení IT rizik zahrnuje postupné kroky, které zajistí řádné vyhodnocení vašich IT rizik a jejich závažnosti pro vaši organizaci. Podle M. Scotta Kollera, poradce společnosti BakerHostetler, patří mezi tyto kroky následující úkony: ohodnocení dat a systémů; určení rizik těchto systémů; vyhodnocení těchto rizik z hlediska pravděpodobnosti, závažnosti a dopadu a určení kontrol, ochran a nápravných opatření.
Nástroje pro hodnocení dat a systémů mohou zahrnovat mapy sítě, inventář systémů a audity shromážděných a uložených dat, vysvětluje Koller.
Jde o více než jen o prosté pochopení – jde o přehledy topologií tak, aby zahrnovaly jádra sítí se všemi jejich servery, přepínači, směrovači, hardwarem, softwarem a službami až po hranice sítě, gatewaye a koncové body se všemi jejich uloženými daty, takže se musí zohlednit vše, co je a sídlí uvnitř vaší sítě. Nemůžete vytvořit seznam všech svých rizik, dokud je nevyhodnotíte pro veškeré síťové vybavení, které by mohlo být v ohrožení.
Při vytváření aktuálního a smysluplného seznamu reálných potenciálních rizik pro vaše systémy a datová aktiva zvažte zařazení manuální empirické fáze do celkového přístupu: sečtěte rizika, která nejvíce leží na srdci zainteresovaným osobám a členům týmu, a zajistěte, aby došlo k zohlednění každého systému a všech dat, seznam ověřte, odstraňte všechny duplicity a určete druhy rizik.
Jinými slovy, mluvte s lidmi o všem, co budete dělat při sestavování seznamu rizik. Kdokoli z nich si může všimnout něčeho, co by jinak uniklo pozornosti a nedostalo se na seznam identifikovaných rizik.
Existují také nástroje, které mohou pomoci podnikům zjistit konkrétní rizika. Řešení známá jako datová infrastruktura a pokročilá analytika dat, která nabízejí holistický pohled v reálném čase na situaci a obraz běžného provozu prakticky jakéhokoliv vybavení, systému, provozu či zařízení, a to způsobem, který je nezávislý na dodavatelích a pracuje téměř bez omezení, vysvětluje Steve Sarnecki, viceprezident společnosti OSIsoft.
Společnosti IBM a PwC jsou dalšími dvěma dodavateli, kteří nabízejí produkty této kategorie. Nástroje tohoto typu dokážou za účelem identifikace rizik sbírat informace o riziku z podnikových aktiv.
Metriky a nápravná opatření
Chcete-li vytvořit vizuální metriku pravděpodobnosti a závažnosti rizika, jednoduše ohodnoťte jednotlivá rizika od jedné do deseti nebo do sta pro pravděpodobnost a poté znovu pro závažnost. Použijte tato dvě čísla k vykreslení rizika jako bodu do grafu pomocí os X a Y.
Body, které se koncentrují v pravém horním rohu uvnitř čtverce, který je čtvrtinou celého grafu, tvoří nejdůležitějších 25 procent vašich rizik. Obrazové výsledky vyhledávače Google vám poskytnou představu o tom, co lidé v této oblasti už vytvořili.
Aby bylo možné posoudit možný dopad, je potřebné si uvědomit, že důsledky sahají daleko za finanční sféru. Podívejte se v historii své společnosti na nějaké důsledky, které nastaly.
Soustřeďte se na zprávy a analýzy z oboru IT o dopadech na organizace v podobné situaci, v jaké se nacházíte vy. Zeptejte se zainteresovaných osob na dopady, které je znepokojují.
Při hledání dalších kontrol, ochran a nápravných opatření pro zmírnění rizik se poohlédněte pro oborových osvědčených postupech s úspěšnou historií. NIST nabízí zdroje s bohatou diskuzí o kontrole. Také SANS nabízí seznam a rovněž diskuze o kontrole.
„Ochranným opatřením, které lze implementovat pro snížení potenciálního rizika infekce ransomwarem, je aktualizovat antivirový software. Po implementaci ochrany znovu vyhodnotíte riziko, abyste určili, zda jste dostatečně zmírnili dopady a pravděpodobnost rizika. Pokud ne, měli byste proces opakovat,“ radí Koller.
Očekávání a nastavení úrovně
Posouzení rizik neodstraní riziko, ale spíše ho akceptovatelně zredukuje. Vrátíme-li se k ransomwaru jako příkladu, spočívá zbytkové riziko ve skutečnosti, že antivirový software nemusí zabránit infekci ransomwarem, popisuje Koller.
„Organizace musí zvážit riziko spojené s danou událostí, pravděpodobnost výskytu a potenciální náklady spojené s dalšími ochranami,“ vysvětluje Koller. Pokud antivirový software nestačí, může podnik uvážit přidání dalších ochran.
Firma by se měla nejprve zabývat největšími riziky s nejvyšší pravděpodobností, závažností a náklady. Bez těchto informací, které poskytuje posouzení rizik, nedokáže podnik adekvátně chránit svá data.
Obří kybernetický útok byl na spadnutí. Policie ho zarazila
5.7.2017 Novinky/Bezpečnost Viry
Ukrajinská kybernetická policie spolu s experty tajné policie SBU zabránili v úterý druhé etapě počítačového útoku na Ukrajinu. Na Facebooku to v noci na středu oznámil ukrajinský ministr vnitra Arsen Avakov. Odborníci se stále snaží odhalit, kdo byl za předchozím útokem, který minulý týden začal napadením počítačů ukrajinských firem a institucí, než se rozšířil po celém světě.
Druhý útok byl podle Avakova odstartován v úterý ve 13:40 kyjevského času (12:40 SELČ) a měl vyvrcholit v 16:00.
"Kybernetická policie do 15:00 zablokovala rozesílání a aktivaci viru ze serverů informačního systému M.E.Doc. Útok byl zastaven. Servery byly zajištěny společně se stopami aktivity kybernetických zločinců se zjevnými zdroji z Ruské federace," napsal Avakov.
Dodal, že kybernetická policie uživatelům důrazně doporučuje změnit hesla a digitální podpisy.
Policie zabavila servery
Šéf ukrajinské kybernetické policie Serhij Demyďuk už v úterý večer oznámil, že policie zabavila servery kyjevské softwarové firmě MEDoc, která je podezřelá z šíření škodlivého programu před týdnem v úterý. Neřekl ale, že se tak stalo po zabránění dalšímu útoku, jak o něm v noci na středu informoval ministr vnitra.
Podle policistů hackeři na aktualizační server ukrajinské firmy umístili škodlivý malware, který se pak s novou verzí softwaru dostal do počítačů po celém světě. Šlo o vyděračský virus známý jako Win32/Diskcoder.C Trojan, který dokáže na napadeném stroji udělat pěknou neplechu.
Uživatelé napadení virem místo startu operační systému uvidí tuto zprávu.
Uživatelé napadení virem místo startu operačního systému uvidí tuto zprávu.
A to dokonce větší než drtivá většina dalších vyděračských virů. Ty totiž často potřebují k zašifrování dat na pevném disku poměrně dost času, klidně i několik hodin. Během toho může jejich práci zachytit antivirový program a zablokovat je ještě dříve, než v počítači nadělají nějakou větší škodu.
Nově objevená hrozba však funguje jiným způsobem. Na disku nezašifruje všechna data, ale pouze tzv. MBR (Master Boot Record). Jde o hlavní spouštěcí záznam, díky kterému se v podstatě spouští celý operační systém. K zašifrovanému záznamu počítač nemá přístup a místo Windows spustí jen hlášku o nutnosti zaplatit výkupné.
Na zašifrování MBR nepotřebuje nový vyděračský virus několik hodin, stačí mu pouze pár vteřin. Antiviry prakticky nemají šanci škodlivý kód zachytit. Hned po prvním restartu je problém na světě.
Ukrajinská firma vinu odmítá
Firma MEDoc jakoukoli odpovědnost za šíření škodlivého softwaru odmítla.
Ukrajinští činitelé hned po prvním útoku minulý týden obvinili Rusko, že stojí v pozadí tohoto kybernetického zločinu, což Moskva rázně odmítla.
Nebezpečný Chromex je opět na scéně, varovali počítačoví experti
4.7.2017 SecurityWorld Viry
Počítačoví piráti začali v minulých týdnech opět hojně šířit trojského koně zvaného Chromex. Ten se držel na předních příčkách žebříčku s nejrozšířenějšími kybernetickými hrozbami ještě v dubnu, pak se však stáhl do ústraní. V červnu však přišla další vlna útoků, ve kterých hrál Chromex opět hlavní roli.
Před dramatickým rozšířením tohoto trojského koně mezi zaznamenanými hrozbami varovali bezpečnostní odborníci z antivirové společnosti Eset. Podle nich patří Chromexu aktuálně druhá příčka v žebříčku nejrozšířenějších počítačových hrozeb.
„Svým podílem se blížil k dlouhodobě nejsilnějšímu škodlivému kódu JS/Danger.ScriptAttachment. Eset, který tuto hrozbu detekuje jako JS/Chromex.Submelius, jej v červnové statistice virových hrozeb identifikoval v 13,93 procentech případů,“ uvedl Miroslav Dvořák, technický ředitel společnosti Eset.
Slibují zrychlení internetu
„Chromex využívá například popularity neoficiálních streamovacích služeb na internetu a uživatelům nabízí instalaci škodlivých pluginů,“ doplnil Dvořák.
Útočníci přitom často slibují, že pluginy zrychlí načítání internetových stránek, ve skutečnosti ale způsobují opak. Často je na možnost instalace podobných pluginů možné narazit na různých streamovacích stránkách s českou nebo slovenskou doménou.
„Jak napovídá jeho název, Chromex se soustředí na doplňky k internetovému prohlížeči Chrome. V České republice se poprvé četněji vyskytl letos v březnu, kdy se ve statistice objevil na pátém místě. Dosud však nepředčil největší internetovou hrozbu současnosti, škodlivý kód Danger,“ konstatoval Dvořák.
Pozor na infikované přílohy e-mailů
Tento virus, plným názvem JS/Danger.ScriptAttachment, je velmi nebezpečný. Otevírá totiž zadní vrátka do operačního systému. Útočníci pak díky němu mohou propašovat do napadeného počítače další škodlivé kódy, nejčastěji tak šíří vyděračské viry typu ransomware.
Danger, který se šíří prostřednictvím infikovaných příloh e-mailů, měl v červnu podíl 17,81 procenta, což je meziměsíční pokles o 3,58 procentního bodu.
Stále to však mezi detekovanými hrozbami stačilo na absolutní prvenství. Přehled deseti nejrozšířenějších virových hrozeb za uplynulý měsíc naleznete v tabulce níže:
Top 10 hrozeb v České republice za červen 2017:
1. JS/Danger.ScriptAttachment (17,81 %)
2. JS/Chromex.Submeliux (13,93 %)
3. JS/Adware.AztecMedia (6,65 %)
4. JS/ProxyChanger (4,59 %)
5. Win32/GenKryptik (4,22 %)
6. Java/Adwind (2,88 %)
7. JS/Adware.Imali (2,71 %)
8. JS/TrojanDownloader.Nemucod (2,66 %)
9. PDF/TrojanDropper.Agent.AE (1,70 %)
10. PDF/TrojanDropper.Agent.AJ (1,62 %)
Sonda do hlubin ransomwaru Petya
4.7.2017 SecurityWorld Viry
Evropu v uplynulých dnech postihla nová vlna kybernetických útoků. Jako první byly napadené významné organizace na Ukrajině, posléze se útoky rozšířily především po Evropě. Experti Trend Micro vydali zprávu, ve které podrobně analyzovali situaci okolo tohoto malwaru.
Ačkoliv se stav rychle vyvíjí, zprávy naznačují, že jde o vypuknutí nové varianty ransomwaru Petya, o kterém odborníci poprvé podrobně informovali již v březnu 2016. Není výjimkou, že kyberzločinci svůj škodlivý software leckdy vylepšují.
Nová varianta používá funkci EternalBlue a nástroj PsExec jako infekční vektory. Je známo, že Petya přepisuje systém Master Boot Record (MBR), čímž zablokuje přístup uživatelů k jejich zařízením a zobrazuje tzv. modrou obrazovkou smrti (BSoD).
V případě Petya obrazovka BSoD slouží jako nástroj zobrazení žádosti o výkupné. Ransomware se rychle rozšiřuje, napadá organizace, podniky i konečné uživatele. Jeho propuknutí je podobné jako útok ransomwaru WannaCry.
Modrá obrazovka smrti v případě napadnutí ransomwaru Petya.
Průběh infekce
Prvotní vstup ransomwaru do systému zahrnuje použití nástroje PsExec, který je oficiálním nástrojem společnosti Microsoft a používá se ke spouštění procesů na vzdálených systémech. Využívá také exploit EternalBlue, který byl již dříve aplikován při útoku ransomwaru WannaCry.
Ten se zaměřuje na zranitelnost Serveru Message Block (SMB) v1. V napadeném systému se nová verze programu Petya spustí procesem rundll32.exe. Samotné šifrování se pak provede pomocí souboru s názvem perfc.dat, který se nachází v adresáři Windows.
Ransomware poté přidá plánovanou úlohu, která po hodině systém restartuje. Zároveň se Master Boot Record (MBR) upraví tak, aby bylo provedeno šifrování, a zobrazí se příslušná výhružná zpráva. Na začátku se objeví chybné oznámení CHKDSK, v ten moment probíhá šifrování.
Neobvyklé pro tento ransomware je, že nemění přípony zašifrovaných souborů. Dále také, že oproti jiným ransomwarům se šifrování zaměřuje zejména na typy souborů používaných v podnikovém prostředí, a ne na obrázky a video soubory.
Diagram útoku ransomwaru Petya
Mimo využití technologie EternalBlue vykazuje Petya i další společné znaky s ransomwarem WannaCry.
Podobně jako při útocích WannaCry, je i výkupní proces ransomwaru Petya poměrně jednoduchý: využívá přednastavenou adresu Bitcoin, čímž se proces dešifrování stává pro útočníky mnohem obtížnější, na rozdíl od předchozích útoků Petya, které měly pro tento proces rozvinutější rozhraní.
Od každého uživatele ransomwaru požaduje zaplatit 300 dolarů. Stejně jako při všech útocích ransomwaru, experti nedoporučují výkupné uhradit – v tomto případě to platí dvojnásobně, protože e-mailová adresa uvedená ve vyděračském odkazu již není aktivní.
Aby se předešlo a zabránilo infekci, doporučují experti uživatelům a organizacím okamžitě vykonat následující kroky:
Aktualizovat systémy pomocí nejnovějších záplat nebo zvážit použití virtuální opravy
Aplikovat princip omezení privilegií pro všechny pracovní stanice
Omezit a zajistit používání nástrojů pro správu systému jako jsou PowerShell a PsExec
Zablokovat nástroje a protokoly pro systémy které je nevyžadují (t. J. Port TCP 445)
Pravidelně zálohovat důležité údaje
Aktivně monitorovat sítě v souvislosti s výskytem jakýkoliv podezřelých aktivit nebo anomálií
Využívat mechanismy monitorování chování, které mohou zabránit nezvyklým změnám (např. šifrování) systémů
Nastavit segmentaci sítě a kategorizaci dat pro zmírnění dalších škod, které mohou vzniknout při útoku
Zabezpečit e-mailovou bránu a použít kategorizaci adresy URL (na zablokování škodlivých webových stránek), aby se snížil prostor pro útok.
Wikileaks: CIA má nástroje i na šmírování Linuxu
3.7.2017 Živě.cz BigBrother
Wikileaks: CIA má nástroje i na šmírování LinuxuSídlo CIA v Langley Struktura kybernetických operací CIA
Podle úniků ze CIA, které Wikileaks poslední měsíce uvolňuje s týdenní pravidelností, se americká zpravodajská agentura při svých kybernetických operacích soustředí především na průnik do Windows a MacOS.
Poslední zveřejněná várka dokumentů nicméně popisuje nástroj OutlawCountry, který se orientuje na linuxové distribuce – konkrétně CentOS a RHEL.
OutlawCountry je modul linuxového jádra, který po zavedení umožní změnit konfiguraci firewallu, přesměrovat síťový provoz a tedy připravit počítačovou síť pro útoky typu MITM (muž uprostřed).
Podobné nástroje nejsou ničím překvapujícím a pouze podtrhují skutečnost, že současným Jamesům Bondům už prostě nestačí naleštěné Bentley s kulomety za registrační značkou, ale bez znalosti softwaru se neobejdou.
Problém nastává tehdy, když podobné nástroje uniknou na internet a chopí se jich všemožní skript kiddies i profesionálové z šedé zóny. Přesně k tomu došlo v případě ransomwaru WannaCry, který se pokoušel zneužívat zranitelnosti protokolu SMB a šířit se lokální sítí. Onu zranitelnost přitom využívala software NSA, který v minulosti unikl na internet.
Podle Ukrajiny mají v útoku vyděračského viru prsty ruské tajné služby
3.7.2017 Novinky/Bezpečnost BigBrother
Do počítačového útoku vyděračským virem na Ukrajinu z 27. června byly zapojené ruské tajné služby a jejich cílem bylo zničit důležitá data a vyvolat paniku. V prohlášení to o víkendu uvedla ukrajinská tajná služba SBU.
Podle SBU tento útok, který začal v úterý na Ukrajině a posléze se rozšířil do celého světa, byl dílem stejných pirátských skupin, které loni v prosinci provedly útoky na finanční systém a dopravní a energetické objekty na Ukrajině.
"Hlavním úkolem viru bylo zničit důležitá data a narušit činnost ukrajinských státních i soukromých institucí s cílem vyvolat mezi obyvatelstvem paniku," uvedla tajná služba v prohlášení, které zveřejnila ukrajinská média.
Útok byl podle SBU předem dobře naplánovaný a spuštěný postupně v několika etapách. Začal v předvečer ukrajinského státního svátku.
Rusko obvinění odmítá
Ukrajinské úřady obvinily Moskvu z tohoto počítačového útoku hned v úterý. Mluvčí prezidenta Vladimira Putina Dmitrij Peskov ale toto obvinění rozhodně odmítl jako "nepodložené".
SBU v novém prohlášení zopakovala názor zahraničních expertů, že nový virus se jen tváří jako vyděračský software, takzvaný ransomware. Měl vyvolat dojem, že cílem je obohacení pachatelů. "Ve skutečnosti ale virus skrývá rozsáhlý útok na Ukrajinu. Svědčí o tom nepřítomnost reálného mechanismu k získání vyžadovaných peněz," uvedla tajná služba.
Na tuto skutečnost už ve čtvrtek poukázali počítačoví odborníci. Podle nich o jiném než zištném pozadí útoku svědčí zvláštní způsob platby výkupného za dešifrování zablokovaných souborů a následná komunikace s hackery.
Ti totiž oproti běžnému postupu zavedli jen jediné platební spojení a jako kontakt si zřídili e-mail u německého poskytovatele elektronické pošty Posteo. Společnost ovšem obratem schránku zablokovala, takže postižení nemají žádnou možnost kontaktovat útočníky, ačkoli peníze lze dále převádět.
Windows nabízí ochranu před ransomwarem. Na vybrané složky nesáhne
30.6.2017 CNEWS.cz Zabezpečení
Jaromír se přidal k programu Windows Insider. Jste jako Jaromír?
Další pracovní týden je skoro za námi a Microsoft vydal další nové testovací sestavení Windows 10. Minule i předminule jsme se dočkali dlouhé řady novinek. Co tentokrát?
Zatím byla řeč o tom, že Microsoft odhalil novinky v zabezpečení Windows pro firmy. Z novinek zaměřených na spotřebitelský trh bylo zmíněno jen zapojení cloudových technologií do detekce. Windows 10 Fall Creators Update ale nabídne tak další novinky pro zlepšení zabezpečení na běžných domácích počítačích či tabletech.
Bezpečnostní funkce pro organizace
Windows 10 Insider Preview build 16232, jenž je dostupný ve Fast ringu na počítačích a tabletech, obsahuje také již oznámené novinky. Jednu z nich představuje Windows Defender Application Guard, který prostřednictvím správy zabezpečení nabízí možnost uchovávat uživatelská data mezi relacemi v Edgi.
Tím je zabráněno, aby vám někdo např. podstrčil nebezpečnou cookie, změnit uložená hesla nebo adresy oblíbených položek apod. Toto je docíleno tak, že se tato uživatelská data neobjevují na hostitelském stroji, ale jsou dostupná při používání aplikace. Chráněnou relaci vyvoláte z hlavní nabídky prohlížeče. S tím si nicméně nelamte hlavu, tato funkce je cílená na organizace, nikoli na jednotlivce.
Primárně organizacím a profesionální sféře patří také ochrana proti útokům, kterou najdete ve Windows Defender Security Center v sekci Řízení aplikací a prohlížečů. (V českém vydání je doslova neelegantně uvedeno Ochrana proti útokům typu exploit.) Spravovat ji ovšem může kdokoli.
V rámci podrobného nastavení ovlivníte chování DEP, ALSR, SEHOP apod. Kromě obecného nastavení můžete dopodrobna určovat, jak se bude Windows chovat vůči konkrétním programu. Jedná se o rozpracované prostředí a ne všechny funkce nabízené zatím fungují.
Složky, na které smí sáhnout jen vyvolené programy
Co spíše využijeme v domácnostech? Ochranu proti zásahům do uživatelských dat, což běžně dělá v poslední době populární ransomware. Příslušné nastavení opět najdete ve Windows Defender Security Center, tentokrát v nastavení antiviru.
Pokud novou funkci zapnete, bude Windows Defender u vybraných složek hlídat, jaké programy v nich provádí změny. Pokud se program z černé listiny pokusí změnit vaše soubory, budete na tuto skutečnost upozorněni. Na černé listině se nachází všechny aplikace, které vy ručně nepovolíte (tj. vaše vlastní bílá listina), ale především které na něj dosadí sám Microsoft.
Řízený přístup ke složkám ve Windows 10 FCU
Funkce pro ochranu složek proti pochybným aplikacím je volitelná Funkce pro ochranu složek proti pochybným aplikacím je volitelná
Do ochrany můžete zahrnout další složky, některé na seznam přidal sám Microsoft. Ty zde ale nejsou vidět Do ochrany můžete zahrnout další složky, některé na seznam přidal sám Microsoft. Ty zde ale nejsou vidětDo ochrany můžete zahrnout další složky, některé na seznam přidal sám Microsoft. Ty zde ale nejsou vidět
Kdyby Windows Defender přístup odepřel nesprávné aplikaci, můžete ji přidat na bílou listinu Kdyby Windows Defender přístup odepřel nesprávné aplikaci, můžete ji přidat na bílou listinu
Většina aplikací, které používáme, by přístup mít měla. Pod kontrolou máte seznam osobně schválených aplikací a částečně i seznam chráněných složek. Některé složky (Dokumenty, Hudba, Obrázky, Videa nebo Plocha) se na něm nachází standardně – a tyto složky neodeberete.
Kompletní seznam novinek, opravených chyb a známých problémů ve Windows 10 Insider Preview build 16232 naleznete na blogu Windows Experience. Na závěr musím doplnit dvě skutečnosti. Vyšel také Windows 10 Mobile Insider Preview Build 15228, které ovšem pouze řeší drobnosti. Především však Microsoft pozastavil distribuci nových verzí aplikací v kanálech programu Windows Insider. Stávající verze potřebují otestovat, aby je mohl vydat pro širokou veřejnost.
Útočníci se dostanou do PC přes Skype. Využijí kritickou chybu
30.6.2017 Novinky/Bezpečnost Zranitelnosti
Český Národní bezpečnostní tým CSIRT.CZ varoval před nově objevenou zranitelností, kterou obsahuje populární komunikační program Skype. Oprava je naštěstí již k dispozici, a tak by uživatelé s její instalací neměli otálet.
„Chyba přetečení zásobníku umožňuje útočníkům vzdáleně rozbít aplikaci s neočekávanou výjimkou,“ vysvětlil technickou stránku věci Pavel Bašta, bezpečnostní analytik CSIRT.CZ, který je provozován sdružením CZ.NIC.
Podle něj jsou rizika nově objevené trhliny obrovská. „Následně se dá útok využít ke spuštění škodlivého kódu, a to bez jakékoliv interakce účtu oběti,“ doplnil Bašta.
To jinými slovy znamená, že chybu mohou počítačoví piráti zneužít k tomu, aby propašovali prakticky libovolného záškodníka na cizí počítač. S jeho pomocí pak budou schopni přistupovat k uloženým datům, odposlouchávat internetovou komunikaci či počítač úplně zotročit.
Útočníci mohou chybu snadno zneužít
Trhlinu ve Skypu objevil jako první bezpečnostní analytik Benjamin Kunz Mejri, který na ni upozornil přímo tvůrce softwaru – tedy společnost Microsoft. Právě díky němu bylo možné vydat opravu ještě dříve, než ji začali zneužívat počítačoví piráti.
Tím, že jsou detaily o zranitelnosti nyní veřejně známé, mohou ji snadno zneužít počítačoví piráti. S instalací opravy, respektive novější verze Skypu, by tak uživatelé rozhodně neměli otálet.
Stáhnout nejnovější aktualizaci je možné přímo z tohoto oblíbeného komunikačního programu. Stačí kliknout na nabídku „Nápověda“, kde se následně ukrývá volba „Vyhledat aktualizace“.
Microsoft reaguje na vlnu ransomwaru. Ve Windows 10 půjde chránit důležité soubory před zašifrováním
30.6.2017 Živě.cz Zabezpečení
Microsoft reaguje na vlnu ransomwaru. Ve Windows 10 půjde chránit důležité soubory před zašifrovánímMicrosoft reaguje na vlnu ransomwaru. Ve Windows 10 půjde chránit důležité soubory před zašifrovánímMicrosoft reaguje na vlnu ransomwaru. Ve Windows 10 půjde chránit důležité soubory před zašifrovánímNová možnost bude integrována do aplikace Windows Defender.Na podzim ji najdeme pod položkou Ochrana před viry a hrozbami.
V rámci podzimní aktualizace Fall Creator Update dorazí do Windows 10 funkce, která dostane název Controlled folder access. Ten sám o sobě popisuje její účel – řídit přístup k důležitým složkám a souborům.
Vše bude fungovat na jednoduchém principu, kdy výchozí systémové složky jako jsou Dokumenty, Obrázky, Videa nebo Plocha budou tzv. chráněnými složkami. Pokud se neznámá aplikace pokusí změnit jejich obsah, bude takový pokus zablokován a uživatel na to bude upozorněn.
Až po odsouhlasení budou moci být změny samotnou aplikací provedeny. Mezi takto chráněné složky půjde samozřejmě přidat i svoje vlastní umístění, a to včetně síťových jednotek. To se bude hodit při ochraně záloh, které by mohly být rovněž při útoku ransomwaru zašifrovány.
V nastavení půjde přidat bezpečné aplikace, které budou moci vždy přistupovat k souborům v chráněných složkách bez zobrazení výstrahy.
Funkce je aktuálně dostupná v rámci Insider Preview a sestavení Windows 10 16232. Do běžné verze Windows se dostane v rámci velké aktualizace, která vyjde v září.
Vyděračský virus byl jen zástěrka. Hlavním cílem byla ukrajinská infrastruktura
30.6.2017 Novinky/Bezpečnost Viry
Hlavním cílem rozsáhlého kybernetického útoku, který v úterý zasáhl kromě ukrajinských a ruských podniků i západní Evropu a Spojené státy, byla ukrajinská infrastruktura. Agentuře Reuters to řekl vysoký představitel ukrajinské policie. Hackeři prý pravděpodobně instalovali škodlivý malware, který využijí pro budoucí sabotáže.
Výpadek počítačového systému v důsledku hackerského útoku zaznamenaly soukromé i vládní instituce přibližně v 60 zemích po celém světě. Nejvíce však piráti udeřili na Ukrajině, kde se podle antivirové společnosti Eset nacházelo 75 procent zasažených počítačů. Hackeři za odšifrování počítačové sítě požadovali 300 dolarů (zhruba 7000 Kč).
Útočníci v současnosti nicméně nevydělají na škodlivém kódu Win32/Diskcoder.C Trojan ani korunu. E-mailová schránka, prostřednictvím které komunikovali se svými obětmi, je totiž zablokovaná. Útočníci tak nemají svým obětem jak napsat, že mají zaplatit výkupné.
Je zodpovědné Rusko?
Podle ukrajinských politiků za počítačovými útoky pirátů stojí Rusko, mluvčí Kremlu Dmitrij Peskov však obvinění označil za nepodložená. Kyjev obviňoval Moskvu i z předešlých dvou kybernetických zásahů na Ukrajině.
Uživatelé napadení virem místo startu operačního systému uvidí tuto zprávu.
FOTO: Avast
Podle bezpečnostních expertů cílem útoku bylo instalovat do ukrajinských vládních i komerčních počítačů takzvaný malware, škodlivý program sloužící k poškození nebo vniknutí do počítačového systému. Spíše než pro vydírání pak hackeři využijí program pro budoucí sabotáže, tvrdí odborníci.
Podle zdroje agentury Reuters v ukrajinské policii jsou požadavky na výkupné pouze zástěrkou. „Vzhledem k tomu, že byl virus modifikován tak, aby zasáhl všechna data a zabránil jejich dešifrování, pravděpodobnost instalace nového malwaru je velmi vysoká," řekl agentuře.
Oběti jsou i v Rusku
Předpoklady policie potvrzuje i kyjevská kybernetická výzkumná firma Information Systems Security Partners (ISSP). Podle jejich představitelů peníze nejspíš nebyly hlavním cílem hackerů vzhledem k tomu, že výkupné zaplatilo jen několik lidí.
„Téměř ve všech institucích, jejichž sítě byly zasaženy, ne všechny počítače skončily v režimu offline," řekl šéf ISSP Oleh Derevjanko. „Snažíme se pochopit, co mohli (hackeři) v těchto počítačích zanechat, když je zasáhli," dodal.
V Rusku se terčem kybernetického útoku stalo osm desítek společností včetně ropné jedničky Rosněfť. Ukrajina hlásila výpadky IT v bankovním sektoru, energetických i rozvodních sítích a poštovních společnostech.
Virus stále představuje hrozbu
Ať už pochází virus Win32/Diskcoder.C Trojan odkudkoliv, na napadeném stroji dokáže udělat pěknou neplechu. A to dokonce větší než drtivá většina dalších vyděračských virů. Ty totiž často potřebují k zašifrování dat na pevném disku poměrně dost času, klidně i několik hodin. Během toho může jejich práci zachytit antivirový program a zablokovat je ještě dříve, než v počítači nadělají nějakou větší škodu.
Nově objevená hrozba však funguje jiným způsobem. Na disku nezašifruje všechna data, ale pouze tzv. MBR (Master Boot Record). Jde o hlavní spouštěcí záznam, díky kterému se v podstatě spouští celý operační systém. K zašifrovanému záznamu pak počítač nemá přístup a místo Windows spustí jen hlášku o nutnosti zaplatit výkupné.
Na zašifrování MBR nepotřebuje nový vyděračský virus několik hodin, stačí mu pouze pár vteřin. Antiviry tak prakticky nemají šanci škodlivý kód zachytit. Hned po prvním restartu je pak problém na světě.
Google přestane skenovat Gmailové účty
30.6.2017 SecurityWorld Kyber
Google potvrdil, že přestane skenovat emailové účty svých uživatelům za účelem zobrazování cílené reklamy.
V svém blogovém příspěvku Diane Greenová, viceprezidentka pro Google Cloud, uvádí, že v rámci G Suite se už Gmail pro personalizaci reklamy nepoužívá, přičemž bezplatný Gmail by měl být z tohoto systému vyňat v průběhu roku.
Pro zajímavost dodejme, že počet firemních uživatelů G Suite se za poslední rok víc než zdvojnásobil, za službu v současnosti platí víc než tři miliony společností.
„Tohle rozhodnutí uvádí Gmailové reklamy do souladu s tím, jak personalizujeme reklamy pro ostatní produkty Googlu,“ uvádí Greenová.
„Reklamy jsou zobrazovány na základě uživatelského nastavení, které mohou uživatelé kdykoliv změnit, včetně vypnutí personalizace reklamy. G Suite bude nadále bez reklam.“
Greenová také dodává, že žádná jiná e-mailová služba své uživatelé nechrání před spamem, phishingem a útoky hackerů tak úspěšně jako Gmail, který má v současnosti skoro jednu a čtvrt miliardy uživatelů.
„Zobrazení možných odpovědí činí skrz funkce jako Smart Reply práci v Gmailu jednodušší, rychlejší a efektivnější. Další doplňky umožní například platby či fakturaci přímo v Gmailu, což bude další převrat v tom, co můžete s emailem dělat,“ píše ve svém příspěvku dále Greenová.
„Uživatelé G Suite i běžní uživatelé Gmailu mohou být ujištění, že soukromí a bezpečnost pro nás bude při pokračující inovaci nadále na prvním místě. Informace sdílené s Googlem zůstávají nastavitelné na myaccount.google.com.“
Tento týden ve světě neútočil ransomware, ale nebezpečný wiper. Měl jediný cíl: Nadobro zničit co nejvíce dat
29.6.2017 Živě.cz Viry
Nejpostiženější zemí se stala Ukrajina, kde malware vyřadil například supermarkety. Odnesly to také banky a jejich bankomaty. Útočníci si zatím přišli asi na 9 200 dolarů.Takto se Petya hlásí po restartování systému. Pokud tuto obrazovku spatříte, počítač ihned vypněte.Tento týden ve světě neútočil ransomware, ale nebezpečný wiper. Měl jediný cíl: Nadobro zničit co nejvíce dat
Zprvu to vypadalo jako cílený kybernetický útok na Ukrajinu, po napadení dalších zemí se však začalo psát o další vlně ransomwaru Petya v jeho nové modifikaci. V podstatě se tedy mělo jednat o podobnou smršť, která před týdny zasáhla svět v souvislosti s vlnou WannaCry.
Včerejší vlna ransomwaru zasáhla i Česko. Petya je zákeřnější než WannaCry
Společnost Kaspersky Lab nicméně přišla s poněkud odlišným zjištěním. Před pár dny neútočil vyděračský ransowmare, ale wiper, který se za ransowmare pouze vydával. Stručně řečeno, podle inženýru, kteří se o svém zjištění rozepsali na webu Securelist, byl malware navržený takovým způsobem, že bylo prakticky nemožné dešifrovat data. A to i v případě, že by některá z obětí opravdu poslala výkupné.
V čem byl konkrétně problém? Když ransomware zašifruje počítač, vytvoří pro něj jedinečný identifikátor, který útočníkovi poslouží k tomu, aby na jeho základě mohl oběti vygenerovat dešifrovací klíč, který počítač uvede opět do provozu.
Klepněte pro větší obrázek
Osobní klíč, který měla oběť zaslat e-mailem útočníkovi. obratem by získala dešifrovací klíč. Podle Kaspersky Lab se však jedná pouze o shluk náhodných znaků.
Když se však analytici z Kaspersky Lab podívali do nitra nového ransomwaru, zjistili, že funkce, která má generovat onen jedinečný klíč odpovídající zašifrovaným datům na počítači oběti, ve skutečnosti generuje jen náhodný balast – náhodné znaky.
Funkce pro generování osobního klíče ve skutečnosti generuje jen sled náhodných znaků
Suma sumárum, je to vlastně hoax na druhou. Vypadá to jako ransomware, šifruje to soubory jako ransomware, žádá to výkupné jako ransomware… Ale zašifrovaná data už nikdy nedešifruje, protože chybí klíč.
Aby toho nebylo málo, jak už jsme psali včera, útočníci chtěli komunikovat s obětmi skrze poštovní schránku na službě Posteo, kterou však krátce po útoku provozovatel zablokoval.
Malware, který při šíření sítí zneužíval stejných zranitelností jako WannaCry, měl tedy podle Kaspersky Lab jediný cíl: Nadobro zničit co nejvíce dat a nenávratně poškodit co nejvíce obětí.
Řádění vyděračského viru stále pokračuje. Kvůli nedostatečnému zabezpečení
29.6.2017 Novinky/Bezpečnost Viry
Svět zažil tento týden jeden z největších útoků vyděračských virů v celé historii počítačů. Přestože se podle některých zahraničních zdrojů podařilo řádění záškodníka zvaného Win32/Diskcoder.C Trojan zastavit, bezpečnostní experti společnosti Check Point upozornili na to, že vyhráno rozhodně ještě není.
Vyděračský virus Win32/Diskcoder.C Trojan, který je vylepšenou variantou nechvalně známého škodlivého kódu Petya, se totiž internetem neustále šíří. I když ne tak závratným tempem jako v prvním dnu.
Tento nezvaný návštěvník totiž využívá nedostatečného zabezpečení u jednotlivců i firem. „Alarmující je, že drtivá většina společností nemá nasazené takové technologie, které by je před podobnými typy útoků ochránily. Není potom divu, že se útoky tak rychle a snadno šíří,“ uvedl Peter Kovalčík, SE Manager ve společnosti Check Point Software Technologies.
„Problémem je i určitá roztříštěnost zabezpečení, často je nasazeno příliš mnoho různých řešení namísto sjednocené bezpečnostní architektury, která by byla zaměřená na prevenci a zastavení útoků, než mohou způsobit nějaké škody,“ konstatoval Kovalčík.
Nainstalujte nejnovější aktualizace
Ten zároveň nastínil, jaký byl u tohoto záškodníka vývoj. „Podle všeho se jedná o novou verzi ransomwaru Petya, který se poprvé objevil v březnu 2016. Nová verze se velmi rychle šíří podnikovými sítěmi po celém světě, podobně jako to dělal minulý měsíc ransomware WannaCry,“ podotkl bezpečnostní expert.
Uživatelé napadení virem místo startu operační systému uvidí tuto zprávu.
FOTO: Avast
„Organizace by měly okamžitě použít nejnovější bezpečnostní záplaty společnosti Microsoft a zakázat protokol SMBv1 pro sdílení souborů na systémech Windows. Zásadní je také nasazení preventivních bezpečnostních technologií a velmi důležité je i vzdělávání zaměstnanců. Aby měli povědomí o hrozbách a možných rizicích, která mohu být v příchozích e-mailech od neznámých odesílatelů nebo v podezřelých e-mailech od známých kontaktů,“ uzavřel Kovalčík.
Stejná obezřetnost je na místě i u klasických domácích uživatelů. I ti by pochopitelně měli mít nainstalované všechny nejnovější aktualizace.
Útočníci v současnosti nevydělají prostřednictvím škodlivého kódu Win32/Diskcoder.C Trojan ani korunu. E-mailová schránka, prostřednictvím které komunikovali se svými obětmi, je totiž zablokovaná. Útočníci tak nemají svým obětem jak napsat, že mají zaplatit výkupné.
Hrozbu nepodceňovat
To nicméně nemění nic na tom, že na počítači stále dokáže tento nezvaný návštěvník udělat pěknou neplechu. A to dokonce větší než drtivá většina dalších vyděračských virů. Ty totiž často potřebují k zašifrování dat na pevném disku poměrně dost času, klidně i několik hodin. Během toho může jejich práci zachytit antivirový program a zablokovat je ještě dříve, než v počítači nadělají nějakou větší škodu.
Nově objevená hrozba však funguje jiným způsobem. Na disku nezašifruje všechna data, ale pouze tzv. MBR (Master Boot Record). Jde o hlavní spouštěcí záznam, díky kterému se v podstatě spouští celý operační systém. K zašifrovanému záznamu pak počítač nemá přístup a místo Windows spustí jen hlášku o nutnosti zaplatit výkupné.
Na zašifrování MBR nepotřebuje nový vyděračský virus několik hodin, stačí mu pouze pár vteřin. Antiviry tak prakticky nemají šanci škodlivý kód zachytit. Hned po prvním restartu je pak problém na světě.
Nová Petya nevydírá, prostě jen ničí, data nebylo v plánu obnovit
29.6.2017 Root.cz Viry
Světem otřásá další vlna vyděračského malware, který obětem zašifruje disk a požaduje výkupné. Ukázalo se ale, že ve skutečnosti jde jen o zástěrku a data není možné vůbec obnovit. Není to vyděrač, je to zabiják.
V úterý se světem rozběhla nová forma malware Petya, který využívá známou zranitelnost, přepisuje MBR a při falešné kontrole disku po restartu pak zašifruje veškerá data. Nakonec zobrazí vyděračskou zprávu, podle které stačí zaplatit na bitcoinovou peněženku pouhých 300 dolarů, tedy asi 7000 korun, a vyděrači vám ochotně vaše data obnoví. Dokonce takovou službu výslovně garantují.
Ošklivý kus kódu
Malware zvaný NewPetya nebo také Petwrap už napadl velké firmy, banky, elektrárny zejména v Rusku a na Ukrajině, ale také ve Španělsku, Francii, Británii, Indii a dalších částech světa. Nevyhnul se pochopitelně ani Česku. Využívá stejnou útočnou techniku EternalBlue jako starší WannaCry a navíc přidává EternalRomance, zranitelnost portu 445. Detaily šíření popisuje Kaspersky Lab.
Malware pak v napadeném počítači čeká několik desítek minut, poté je počítač restartován a během startu proběhne zákeřná akce: falešná kontrola disku zašifruje veškeré NTFS oddíly a MBR je přepsán vlastním zavaděčem s vyděračskou hláškou.
Odborníci si velmi rychle všimli toho, že se všem postiženým uživatelům objevuje stejná hláška se stejnými údaji a dokonce stejnou e-mailovou adresou wowsmith123456@posteo.net. Považovali to za nedotaženost této kampaně, protože adresa byla útočníkům velmi rychle odstřižena provozovatelem e-mailového serveru a tím byla znemožněna komunikace s útočníky.
Ukázalo se ale, že to vůbec není neschopností autorů.
Obnova dat nebyla nikdy v plánu
Nová forma malware Petya se totiž jenom tváří jako ransomware. Ve skutečnosti útočníci nikdy neměli v plánu s nikým komunikovat a za výkupné obnovovat data. E-mailová adresa je jen součástí kamufláže, aby uživatelé měli pocit, že to může vyjít. Vše se tváří „důvěryhodně“ včetně nutnosti zaslat identifikační klíč disku, což je technika známá z dřívějších ransomwarových kampaní. Uživatelé jsou při setkání s takovými informacemi ochotnější poslat peníze. Nic za ně ale nedostanou.
Nová Petya totiž není vyděračským malware, ale podle nejnovějších analýz jen ničí data bez možnosti jejich obnovy. Matt Suiche ze společnosti Comae Technologies kód analyzoval a zjistil, že nová varianta malware si nikam neukládá původní šifrovanou podobu MBR, ale prostě ji smaže.
Matt Suiche, Comae Technologies
Vlevo nová varianta ničící data, vpravo původní šifrující
Vlastně tak už není co obnovovat, protože původní obsah disku je zašifrován a MBR je pryč. I kdyby měli tedy autoři chuť vám po zaplacení pomoci, nemají jak. Spekuluje se, zda jde o úmysl či o chybu, ale změna v kódu je tak razantní, že se můžeme spíše přiklonit k úmyslu. Útočníkům je to jednoduše fuk, potřebují peníze, zbytek je nezajímá.
Podívejte se, jak vypadají obrazovky počítačů po napadení ransomware:
Vyšlo jim to, vydělali
Nejsmutnější na celém případu je, že se celá akce podařila a útočníci vydělali. Podle záznamů v bitcoinové peněžence přistálo v době psaní článku 45 plateb v celkové hodnotě 4 bitcoiny. Útočníci si tak přišli v přepočtu na více než 230 000 korun.
e to jen další potvrzení toho, že vyděračům se platit nemá. Jednak to podporuje jejich byznys, ale především nemáte jistotu, že za své peníze něco dostanete. V tomto konkrétní případě máte naopak jistotu, že vám zůstanou jen zašifrovaná data pro pláč.
Je tu ale i druhá varianta, kterou zmiňuje i Matt Suiche. Totiž že jde jen kouřovou clonu, která má zakrýt nějaký další větší útok, třeba v rámci testování kybernetické války nebo jiné závažné zprávy.
Britové se chlubí supermoderní letadlovou lodí… S Windows XP uvnitř
28.6.2017 Živě.cz BigBrother
Britové se chlubí supermoderní letadlovou lodí… S Windows XP
Britové vypluli se svoji největší a supermoderní letadlovou loď HMS Queen Elizabeth (technické detaily najdete třeba na Wikipedii), nicméně tamní novináři z The Times a Guardianu při návštěvě na palubě objevili několik zajímavostí, kterými se nyní baví celý internet.
Britské jaderné ponorky jedou na Windows XP
Na mnoha obrazovkách v kontrolní místnosti totiž svítily stará dobrá XPéčka. Ano, ten děravý systém z počátku století, který už je dávno za zenitem. Toto zjištění potvrzuje i pohled do rozsáhlé galerie britského ministerstva obrany, kde najdete stovky fotografií vlajkové lodě včetně jejích útrob.
Windows XP a jejich pastelkové téma Luna Silver na ošetřovně
Britští námořníci mají na Windows XP zjevně slabost, už před devíti lety jsme se totiž podivovali nad modernizací jejich jaderných ponorek, které se dočkaly téhož operačního systému schovaného pod hlavičkou SMCS NG – Submarine Command System Next Generation.
A proč se Britové rozhodli zrovna pro Windows XP? Vysvětlení je vlastně docela prosté. Návrh a poté vývoj vlajkové lodi velikosti královny Alžběty je běh na velmi, opravdu velmi, dlouhou trať.
Klepněte pro větší obrázek
Schéma největší britské letadlové a vlajkové lodi Jejího Veličenstva
Královské námořnictvo si ji objednalo v roce 2008, ovšem veřejnosti se na první plavbě pochlubila teprve před pár dny a nyní začne další mnohaleté kolo testování a dovybavování technologiemi. Suma sumárum, plného nasazení by se měla dočkat až někdy v roce 2020.
Nástupce Windows XP, Visty, přitom Microsoft vypustil do světa teprve rok před objednávkou lodi a její konstruktér by si samozřejmě nemohl dovolit u tak kritického zařízení spoléhat na software, který ještě neprošel dostatečně dlouhým testováním v ostrém podnikovém provozu. Na letadlové lodi prostě nemůžete jen tak spouštět Windows Update a čekat na servisní balíčky.
Tím se ostatně hájí i samotné námořnictvo, které konstatuje, že je Queen Elizabeth navržena s ohledem na kybernetický boj a elektronické války zítřka, takže britský daňový poplatník se rozhodně nemusí obávat, že snad ty tři miliardy liber námořníci prošustrovali na něčem nevhodném.
Na stranu druhou je však pravda, že systém typu Windows XP musí být v takto kritické instalaci dokonale izolovaný od vnějšího internetového světa, bylo by totiž nemilé, kdyby královnu Alžbětu kdesi uprostřed Atlantiku překvapila třeba modrá obrazovka smrti po infekci rasnomwaru WannaCry.
Microsoft uvolnil dávku oprav pro Windows, které se někteří smí vyhnout
28.6.2017 CNEWS.cz Zranitelnosti
Na druhou stranu oprav není nikdy dost a chyb bylo tentokrát eliminováno požehnaně.
Microsoft mimo záplatovací úterý aktualizace vydával buď když si to žádala situace s ohledem na bezpečnost, běžné opravné balíčky pak dodávaly častěji nové verze Windows 10. Včera, tj. 27. června, však všechny podporované verze Desítek získaly své vlastní opravné balíčky. Vydány byly dva týdny po běžném záplatovacím úterý. Jak to? Microsoft nedávno avizoval, že bude tyto opravné balíčky vydávat v předstihu před záplatovacím úterým.
Opravné balíčky vyšly také pro Windows 8.1 a7, kde jsou ale přímo označeny tak, aby bylo jasné, že jde o předběžné verze. Jejich instalace je ryze nepovinná. Pokud si uvedené aktualizace nenainstalujete (ve Windows 10 vám vůbec nebudou nabídnuty), viz tip na straně, obdržíte tyto opravy spolu se záplatami nejdříve 12. července.
Aktualizujte svůj Windows 10
Ačkoli byly aktualizace uvolněny včera, muselo se jednat o naše pozdní večerní hodiny, neboť pár minut po jednadvacáté hodině mi Windows Update žádné novinky nehlásil. Oproti zmíněnému záplatovacímu úterý ovšem tentokrát nejde o aktualizace, které by přinášely záplaty děr. Následující opravné balíčky pouze zlepšují stabilitu operačního systému, tedy řeší objevené chyby. Situaci nové aktualizace mění následovně:
Tip: Pokud jste službu Windows Update nastavili tak, aby odkládala instalaci nových funkcí, pak vám Windows Update žádnou z těchto nových aktualizací nenabídne. Tato možnost je dostupná jen v edici Pro a vyšších.
aktualizace KB4022716 pro Windows 10 v1703 zvedá číslo sestavení na 15063.447,
aktualizace KB4022723 pro Windows 10 v1607 zvedá číslo sestavení na 14393.1378,
aktualizace KB4032693 pro Windows 10 v1511 zvedá číslo sestavení na 10586.965,
aktualizace KB4032695 pro Windows 10 v1507 zvedá číslo sestavení na 10240.17446.
Seznam oprav pro verzi 1703 je dlouhatánský, mnoho problémů nicméně bylo opraveno také ve verzi 1607. Dvě nejstarší verze Desítek pak dostávají každá po třech opravách.
První ransomware existoval už v roce 1989. Největší neplechu způsobil WannaCry
28.6.2017 Novinky/Bezpečnost Viry
Škodlivý software, který omezuje nebo zabraňuje uživateli přístup k počítači nebo souborům a který v úterý ochromil počítače po celém světě, se obecně označuje jako ransomware (z anglického ransom - výkupné). Za obnovení přístupu totiž požaduje výkupné, zpravidla v digitálních měnách (často bitcoinech), aby se zamezilo možnosti vysledovat platbu.
První známý ransomware byl objeven v roce 1989 pod názvem „AIDS trojan“. Autorem byl Joseph Popp, jehož software prohlašoval, že určitému softwaru v počítači vypršela licence, zašifroval soubory na disku a vyžadoval po uživateli platbu ve výši 189 dolarů firmě PC Cyborg Corporation za odemknutí systému.
Popp byl následně prohlášen za duševně chorého, aby nemusel stanout před soudem. Slíbil příspěvky, které vydělal svým malwarem, na podporu výzkumu AIDS.
Výběr známých kybernetických útoků s použitím ransomwaru z posledních let (řazeno chronologicky):
WinLock – V srpnu 2010 ruské úřady zatkly deset osob napojených na ransomwarového červa známého jako WinLock. Bez použití šifrování zamezil přístupu do systému zobrazením pornografických obrázků a vyzval uživatele k zaslání prémiové textové zprávy za cenu okolo deseti dolarů. Za tuto zprávu uživatel získal kód, který mohl být použit k odemknutí počítače. Podvod zasáhl mnoho uživatelů v Rusku a v sousedních zemích, hackerská skupina údajně takto získala okolo 16 miliónů dolarů.
Reventon – Další ransomware se začal šířit v roce 2012. Zobrazil na obrazovce varování, že uživatel použil počítač pro nějaký druh nelegální činnosti, například pro stahování softwaru bez licence či dětské pornografie. Žádal výkupné za odblokování. Šířil se zejména v západní Evropě a v USA. V únoru 2013 byl v Dubaji zatčen ruský občan, který měl mít napojení na Reventon, později bylo zatčeno dalších deset osob.
CryptoWall nebo CryptoLocker – Poprvé byl zaznamenán v září 2013. Od té doby, nejprve v anglicky mluvících zemích a následně i v dalších státech, bylo nakaženo několik tisíc počítačů. Hackeři za zpřístupnění klíče v anglicky mluvících zemích nejčastěji žádali částku kolem 300 dolarů či eur, v Česku to obvykle bylo kolem 10 000 korun, případně dvojnásobek při nedodržení platby v časovém limitu.
Fusob – Další ransomware s názvem Fusob se šířil od dubna 2015 do března 2016 do mobilních telefonů, požadoval výkupné ve výši od 100 do 200 dolarů. Nejvíce uživatelů (na 40 procent) bylo zasaženo v Německu, méně v Británii a USA.
Škodlivý software pojmenovaný jako WannaCry nebo WanaCrypt0r 2.0 letos v květnu napadl 300 000 počítačů ve 150 zemích světa.
WannaCry – Škodlivý software ransomware pojmenovaný jako WannaCry nebo WanaCrypt0r 2.0 letos v květnu napadl 300 000 počítačů ve 150 zemích světa (asi 600 v ČR). Asi nejmasivnější útok obdobného druhu napadl jednotlivé uživatele, ale také univerzity, nemocnice, dráhy a řadu dalších společností. Za obnovení přístupu požadoval výkupné ve virtuální měně v hodnotě od 300 do 600 dolarů (až 14 000 korun). Útok vedl k nárůstu cen akcií firem zaměřených na kybernetickou bezpečnost. Podle posledních zpráv jsou autoři programu z Číny, původně se spekulovalo o severokorejské stopě.
ExPetr nebo Petya – Nový škodlivý software, který analytici společnosti Kaspersky Lab nazvali ExPetr, zasáhl v úterý řadu podniků a institucí v celém světě včetně ČR. Obzvlášť tvrdě byly zasaženy Ukrajina a Rusko, útoky hlásí rovněž firmy ze západní Evropy a Spojených států. Česká republika je podle antivirové společnosti Eset devátým nejvíce postiženým státem. Hackeři podle Esetu žádají od svých obětí platbu 300 dolarů (zhruba 7000 Kč), jinak napadené a zašifrované zařízení neuvolní.
Včerejší vlna ransomwaru zasáhla i Česko. Petya je zákeřnější než WannaCry
28.6.2017 Živě.cz Viry
Především země východní Evropy zasáhla další masivní vlna ransomwaru
Petya šifruje MBR a může napadnout i záplatovaný systém
Útočníci si vydělali asi 9 tisíc dolarů
Výzva zobrazena po zašifrování souborů.Nejpostiženější zemí se stala Ukrajina, kde malware vyřadil například supermarkety. Odnesly to také banky a jejich bankomaty. Útočníci si zatím přišli asi na 9 200 dolarů.Takto se Petya hlásí po restartování systému. Pokud tuto obrazovku spatříte, počítač ihned vypněte.
Měsíc po tom, co svět vyděsil malware WannaCry, se včera v podobné míře rozšířila další celosvětová infekce. Opět jde o ransomware využívající díru v protokolu SMB a opět jsou nejvíc postiženy země východní Evropy. Tentokrát to ale odneslo i Česko, které se podle Esetu dostalo mezi desítku nejpostiženějších zemí.
Nákaza má označení Win32/Diskcoder.C Trojan a je známá od loňského roku pod názvem Petya. Do jisté míry funguje velmi podobně jako WannaCry – šíří se pomocí nezáplatovaného protokolu pro sdílení v lokální síti, zároveň je ale nezanedbatelné množství počítačů zašifrováno vinou rozkliknutí nebezpečné přílohy v e-mailu. Rovněž může být zneužit systémový program PsExec, jenž standardně slouží pro vzdálenou instalaci aplikací. I proto může být napaden systém, v němž jsou instalovány aktualizace vydané po infekci malwarem WannaCry.
Ukrajina a další země čelí nevídanému kybernetickému útoku. Kdosi útočí na banky, vládu, čerpací stanice i energetiku
Ukrajina a další země čelí nevídanému kybernetickému útoku. Kdosi útočí na banky, vládu, čerpací stanice i energetiku
Petya na rozdíl od WannaCry a větší části tzv. ransomware nešifruje jednotlivé soubory na disku, ale MBR (Master Boot Record). Systém tak ztratí přístup ke spouštěcímu záznamu a místo nastartování systému je uživateli po restartu počítače zobrazen pouze požadavek výkupného. Až v případě, že tento mechanismus selže, začne Petya šifrovat i další soubory na disku.
Tento princip fungování je na jednu stranu zákeřný svou rychlostí – zašifrovat miniaturní MBR záznam je otázkou několika sekund. Na druhou stranu nejsou nijak poškozena samotná data a v případě, že není zahájen proces jejich šifrování, je možné soubory získat po vložení disku do neinfikovaného stroje.
Ačkoliv by se mohlo zdát, že při takto masivním rozšíření musí být ransomware pro útočníky zlatým dolem, většinou je tomu naopak. K opravdovému zaplacení výkupného se odhodlá jen zlomek obětí. V tomto případě si podle výpisu transakcí v bitocinové peněžence přišli útočníci asi na 9 250 dolarů, což je v přepočtu asi 214 tisíc korun. Vzhledem k tomu, že požadují asi 300 dolarů po každé oběti, zaplatilo maximálně 30 postižených.
Eset nejspíše odhalil nebezpečnou ruskou kyberzbraň. Možná nás všechny odpojí od elektřiny
Eset nejspíše odhalil nebezpečnou ruskou kyberzbraň. Možná nás všechny odpojí od elektřiny
Bizarní je však systém, jakým chtěli útočníci od obětí získávat peníze. Vše mělo být postaveno pouze na e-mailové konverzaci, kdy schránku provozovali na německé službě Posteo. Ta jim však byla brzy zablokována a oběti se tak s útočníky ani nemohou spojit. Žádný velký byznys to tedy z pohledu útočníků není.
Pokud se do vašeho systému ransomware postavený na vzorku Win32/Diskcoder.C, nejlepší reakcí je okamžité vypnutí počítače. Zatímco zašifrování spouštěcího záznamu trvá jen několik sekund, znepřístupnění dalších dat může zabrat i několik hodin. Proto je nutné po restartu počítače (který Petya vyžaduje) jej ihned vypnout. Právě v tomto okamžiku totiž zobrazí požadavek výkupného a započne šifrování dalších dat.
Zákeřná Karmen: Tento ransomware by dokázala ovládat i vaše babička
Zákeřná Karmen: Tento ransomware by dokázala ovládat i vaše babička
Opět však musíme připomenout především nutnost automatických aktualizací systému. Ty odstraní většinu bezpečnostních děr dřív, než je mohou útočníci zneužít. V případě malwaru šířeného pomocí nezáplatovaného SMB je provozování neaktualizovaného systému navíc značně nezodpovědné. Snadno může dojít k infekci dalších počítačů v síti.
Ukrajina a další země čelí nevídanému kybernetickému útoku. Kdosi útočí na banky, vládu, čerpací stanice i energetiku
28.6.2017 Živě.cz BigBrother
Aktualizováno: Zdá se, že terčem útoku nebyla pouze Ukrajina, podobnou aktivitu neznámých záškodníků totiž hlásí i některé velké společnosti mimo zemi. Wall Street Journal píše třeba o lodní společnosti A.P. Moeller-Maersk A/S, reklamní korporaci WPP Group PLC a na seznamu cílů je i ruský ropný PAO Rosneft.
Ukrajina se dle tamních médií v posledních hodinách potýká s masivním kybernetickým útokem, který zasáhl jak počítačovou síť vlády, tak některé bankovní systémy. Podle ukrajinského zpravodajského webu RBC, nefungovaly v důsledku útoků některé bankovní zákaznické systémy a zpomalily se běžné převody a další operace.
Na pád počítačů si postěžoval i vicepremiér Pavlo Roženko, který na svém facebookovém účtu vystavil všeříkající fotografii znázorňující kontrolu diskových oddílů Windows.
Další obětí se měly stát ukrajinské energetické společnosti Kyivenergo a Ukenergo, jejíž webové stránky jsou nedostupné. Problémy hlásí i letiště Boryspil, síť čerpacích stanic WOG a několik dalších organizací.
Jedná se o nejmasivnější útok za poslední dobu. Ukrajinské úřady se naposledy potýkaly s výpadkem elektrické sítě loni v zimě, který způsobili také hackeři, a antivirové společnosti po rozsáhlém auditu varovaly, že se mohlo jednat pouze o technologickou zkoušku a zemi čeká mnohem masivnější útok.
Další velký útok ransomwaru zasáhl nezáplatované počítače. Nejvíce je postižena Ukrajina
28.6.2017 CNEWS.cz Viry
Útok je globální a napadá počítače různých institucí.
Včera večer bezpečnostní firmy informovaly o novém masivním útoku ransomwaru, který byl zahájen 27. června v odpoledních hodinách. Ačkoli je jde o globální akci, nejvíce jsou postiženy instituce v Ukrajině. Kromě řady různých soukromých firem byly zasaženy banky, energetické firmy, dopravní služby, ale také vláda.
Podle Esetu k dalším výrazněji postiženým patří Itálie, Izrael či Srbsko. Avast uvádí, že rychle přibývají výskyty v Rusku, Indii, Francii, Španělsku a Nizozemsku. Ransomware řádí též ve střední Evropě. České republika je devátým nejvíce zasaženým státem. Bezpečnostní experti a expertky odhadují, že se jedná o variantu škodlivého kódu s názvem Petya.
„Nový ransomware připomíná známý škodlivý kód Petya. Když se mu podaří infiltrovat do MBR (Master boot record), hlavního spouštěcího záznamu počítače, zašifruje celý disk. V opačném případě šifruje jednotlivé soubory, stejně jako ransomware Mischa,“ říká Robert Lipovský, analytik z Esetu. Podle této firmy je za data požadováno výkupné ve výši 300 dolarů. (Odpovídající částka je požadována v Bitcoinech.) Malware identifikuje jako Win32/Diskcoder.C Trojan.
„V současné době jsme zastavili 12 000 pokusů o útok této modifikace ransomwaru Petya, který zneužívá exploitu EternalBlue. Z našich dat také víme, že 38 milionů počítačů, které jsme zkontrolovali minulý týden, dosud nemají záplatovaný svůj software a jsou tedy potenciálně snadno zranitelné. Skutečný počet snadno napadnutelných počítačů ale bude ještě vyšší,“ uvádí Jakub Křoustek, bezpečnostní expert z Avastu.
Fabian RODES @FabianRODES
«Maman, pourquoi les gens ils quittent l'avion … pourquoi le film il marche plus !» #petya
19:21, 27. Jun. 2017
119 119 retweetů 65 65lajků
Twitter Ads info and privacy
Použité zranitelné místo
Ve hře je tedy opět díra v protokolu SMB, kterou nedávno zneužíval WannaCry. Záplata pro SMB je k dispozici od března, zjevně ale řada počítačů stále záplatována není. Mimochodem, Microsoft z Windows bude postupně odebírat protokol SMB1.
Nástroje využité při útoku
Současně je při útoku používán PsExec, nástroj na vzdálenou instalaci softwaru. Podle Check Pointu se do útoku možná zapojil také Loki Bot, jenž se zaměřuje na odcizování přihlašovacích údajů. Tímto malwarem se můžete nakazit přes upravený dokument RTF, jenž pomocí skriptu stáhne samotný malware. Zapojení Loki Botu je ale zatím nepotvrzené.
Průběh šíření infekce v lokální síti
Když Petya pronikne na počítač, proskenuje lokální síť pomocí žádosti protokolu ARP. Pomocí protokolu SMB pak komunikuje se stroji v této síti (které odpovídají), později zahájí ještě komunikaci pomocí protokolu HTTP. Komunikace končí v momentě, kdy jsou stroje zašifrovány. Takto v kostce průběh útoku popisuje Check Point.
Ransomware Petya žádá o výkupné (foto: Avast)
Závěr
Snímek obrazovky počítače po napadení ransomwarem nám nabídl Avast. Aktuální informace na Twitteru sdílela mj. Kateryna Kruk, známá politická aktivistka a politoložka. V jednom příspěvku popisuje, že její otec nemohl na čerpací stanici natankovat palivo. Potíže mělo např. také kijevské metro, jež nepřijímalo platební karty.
Co dodat? Kybernetické útoky mohou vážně narušit běžný život. Svět se přitom zřejmě od posledního útoku nepoučil dostatečně a instalace záplat je stále podceňována. Podceňovány mohou být také některé zásady bezpečnosti.
Sledovat
Kateryna_Kruk @Kateryna_Kruk
Just called my father. He says he couldn't buy fuel at a petrol station, the system is shut down.
Everyone is disoriented.
15:26, 27. Jun. 2017
76 76 retweetů 35 35lajků
Twitter Ads info and privacy
Sledovat
ArianaGic/Аріянॳць @GicAriana
What #Russia has hit in #cyberattack in #Ukraine SO FAR:
Government Ministry
Power grid
Banks
Media
Postal
Airport
Cell/internet providers
14:54, 27. Jun. 2017
67 67 retweetů 29 29lajků
Twitter Ads info and privacy
Sledovat
Kateryna_Kruk @Kateryna_Kruk
National Police was targeted too, but it withstood all attacks.#Ukraine #CyberAttack
15:30, 27. Jun. 2017
6 6 retweetů 9 9lajků
Twitter Ads info and privacy
Sledovat
Kateryna_Kruk @Kateryna_Kruk
New victims in #Ukraine #CyberAttack: Ministry of Interior Affairs, Kyiv City administration, Pension Fund of Ukraine(!!!)
15:22, 27. Jun. 2017
14 14 retweetů 10 10lajků
Twitter Ads info and privacy
Sledovat
Kateryna_Kruk @Kateryna_Kruk
Even #Kyiv metro is under cyber attack. Payments by banking cards aren't accepted. https://twitter.com/kyivmetroalerts/status/879670749149245440 …
14:53, 27. Jun. 2017
12 12 retweetů 2 2lajky
Twitter Ads info and privacy
Mimochodem, pamatujete na Microsoft, který nedávno uvolnil určité záplaty také pro své nepodporované operační systémy Windows Vista a XP? Tvrdil, že ví o blížícím se útoku. Jednalo se o opatření namířené právě proti včerejšímu globálnímu výskytu modifikovaného ransomwaru Petya? To zatím nevíme.
Masivní kybernetický útok nevyšel. Útočníci kvůli školácké chybě nevydělají ani korunu
28.6.2017 Novinky/Bezpečnost Viry
V úterý se začal internetem jako lavina šířit nový vyděračský virus Win32/Diskcoder.C Trojan. Útočníkům se však tento škodlivý kód nevyplatí, protože udělali školáckou chybu. Z napadených strojů tak nedostanou ani korunu.
Uživatelé napadení virem místo startu operačního systému uvidí tuto zprávu.
Většina vyděračských virů jsou poměrně sofistikované škodlivé kódy. Po zablokování počítače požadují výkupné, platba z každého napadeného účtu je přitom směřována do jiné bitcoinové peněženky. Vystopovat útočníky je tedy prakticky nemožné a stejně tak není reálné zablokovat jednotlivé transakce. Útočníkům z vyděračských virů plynou často i milióny korun.
V případě ransomwaru Win32/Diskcoder.C Trojan však útočníci tak chytří nebyli. S majiteli napadených počítačů totiž komunikují prostřednictvím e-mailu na serveru posteo.net. V podstatě každý, kdo chce odblokovat počítač, musí útočníkům napsat.
E-mail je zablokovaný
Právě to se ale provozovatelům serveru posteo.net nelíbilo, a tak e-mailovou schránku počítačových pirátů ještě v úterý večer zablokovali, stalo se tak pouhých pár hodin poté, co se vyděračský virus začal šířit internetem.
V současnosti proto prakticky není možné zaplatit výkupné, přestože to útočníci požadují. Už nyní je tak jisté, že i s ohledem na množství napadených strojů nevydělají v současnosti kyberzločinci ani jedinou korunu.
Ransomware Win32/Diskcoder.C Trojan napadl v úterý večer bankovní sektor, energetické i poštovní společnosti. Stejně tak ale útočil i v domácnostech. Nejvíce postižena je Ukrajina, do žebříčku deseti zemí, ve kterých virus řádil nejvíce, se nicméně dostala také Česká republika, jež je aktuálně na deváté příčce žebříčku.
Zákeřný vyděračský virus
Win32/Diskcoder.C Trojan je poměrně zákeřný škodlivý kód. Většina vyděračských virů totiž potřebuje k zašifrování dat na pevném disku poměrně dost času, klidně i několik hodin. Během toho může jejich práci zachytit antivirový program a zablokovat je ještě dříve, než v počítači nadělají nějakou větší neplechu.
Nově objevená hrozba však funguje jiným způsobem. Na disku nezašifruje všechna data, ale pouze tzv. MBR (Master Boot Record). Jde o hlavní spouštěcí záznam, díky kterému se v podstatě spouští celý operační systém. K zašifrovanému záznamu pak počítač nemá přístup a místo Windows spustí jen hlášku o nutnosti zaplatit výkupné.
Na zašifrování MBR nepotřebuje nový vyděračský virus několik hodin, stačí mu pouze pár vteřin. Antiviry tak prakticky nemají šanci škodlivý kód zachytit. Hned po prvním restartu je pak problém na světě.
Počítačový virus zasáhl světové firmy, postižen byl i Černobyl
28.6.2017 Novinky/Bezpečnost Viry
Firmy v řadě evropských zemí se v úterý staly terčem kybernetického útoku. Postižena byla dánská přepravní společnost Maersk či ruský ropný gigant Rosněfť. Obzvláště rozsáhlý byl útok na Ukrajině, kde se terčem stala i jaderná elektrárna Černobyl, pošta, největší distribuční energetická společnost UkrEnergo i centrální banka.
Postižen byl americký nadnárodní potravinářský koncern Mondelez, přední přepravce Maersk, francouzský výrobce stavebnin St. Gobain, ruská ropná společnost Rosněfť, britská reklamní firma WPP či výrobce letadel Antonov.
Akce neidentifikovaných útočníků podle prohlášení napadených institucí na Ukrajině narušily jejich operace. Postižena byla i černobylská jaderná elektrárna, kde podle agentury AFP byli technici nuceni přerušit měření radioaktivity. Mezi dalšími postiženými podniky byla státní pošta, největší státem vlastněná banka Oschad bank, největší energetický distributor UkrEnergo a alespoň částečně i vládní počítačová síť.
Centrální banka uvedla, že se stala terčem „neznámého viru“, a v prohlášení dodala, že věří, že je proti kyberútokům dostatečně zabezpečená. Ruský Rosněfť musel kvůli útoku přejít na rezervní řídicí systém.
Podle agentury Interfax-Ukrajina se virus chová podobně jako vyděračský virus WannaCry, jehož původci po napadených požadovali výkupné. To pro stanici BBC potvrdil i počítačový expert z Univerzity v Surrey Alan Woodward.
„Zdá se, že je to verze vyděračského viru (ransomware), který se objevil loni. Zločinci ho počátkem letošního roku zaktualizovali, když došlo k porážce některých jeho aspektů. Ten ransomware se nazýval Petya a jeho aktualizovaná verze Petrwap,“ uvedl Woodward.
Analýza napadení ransomware: stačí otevřený port RDP a slabé heslo
28.6.2017 Root.cz Viry
Počátkem letošního roku byl proveden útok ransomwaru na Windows servery několika desítek firem. Situace byla vždy hodně podobná, ráno se začali ozývat uživatelé, že počítačové systémy jsou nedostupné.
Jak probíhalo napadení
Povolaní administrátoři systémů následně zjistili, že veškeré soubory jako dokumenty, obrázky, pdf, txt, rar, zip, kupodivu i exe, atd. ve všech adresářích (mimo adresáře Windows), včetně všech připojených síťových jednotek, jsou zašifrované. Protože většina administrátorů neodpojovala zálohovací zařízení, došlo i na zašifrování záloh. Koncovka upravených souborů se u každé napadené firmy lišila. Někde byla náhodně vygenerovaná, někde měla podobu .wallet. Na ploše serveru Windows bylo upozornění podobného znění:
ALL YOUR IMPORTANT FILES ARE ENCRYPTED. For more information, open the file „HOW TO DECRYPT FILES.html“ on the desktop or any other folder with encrypted files.
Tento soubor dále obsahoval kontaktní e-mail umístěný na nějaké exotické doméně (india.com, asia.com a další) a číslo bitcoinové peněženky, pro každý útok jedinečné. Při rozhovoru s administrátory těchto napadených systémů většina tvrdila, že jediný způsob, jak jejich systémy mohly být napadeny, byl přes e-mail. Incident se prý odehrál tak, že sekretářka otevřela zavirovaný e-mail a neštěstí bylo na světě. Bohužel, skutečnost byla jiná. Společným jmenovatelem asi 15 napadených serverů, které jsem měl možnost analyzovat, byl operační systém MS Windows ve verzích 2008, 2008R2, 2012 Server a Small Business Server. Dále byla spuštěna vzdálená plocha RDP na portu 3389.
Některé napadené firmy se pokusily kontaktovat útočníka na uvedeném e-mailu. Komunikace probíhala vždy v angličtině a vždy byla krátká, proto z ní nelze určit, zda angličtina je rodným jazykem útočníka. Reakční doba na e-mail byla vždy hodinu až dvě. Částka v bitcoinech byla různá, od 2 do 4 bitcoinů. Jedna z napadených firem dokázala usmlouvat částku za dešifrování souborů na 0,8 bitcoinu. Zaplatit či nezaplatit, je věčné dilema. Obecně je doporučováno neplatit a tím nepodporovat autory malwaru. Bohužel, pro některé firmy byla data natolik významná, že se rozhodly zaplatit.
Po zaplacení domluvené finanční částky v bitcoinech poškozené firmy obdržely e-mailem binární exe soubor, který administrátoři měli na napadeném systému spustit a tím zjistit jedinečné ID, které se mělo zaslat na útočníkům e-mail. Poté jim byl vygenerován unikátní binární exe soubor na dešifrování souborů. Číselné ID byl pravděpodobně veřejný klíč použité asymetrické kryptografie. Jak pachatelé slíbili, tak i splnili a firmy, které zaplatily, získaly zpět své soubory. Tím, že distribuoval soubory pro dešifrování přes email, vyhnul se útočník vytváření řídicích C&C serverů a tím v podstatě ušetřil.
Analýza dat
Od napadených firem byly vyžádány disky ze serverů (případně virtuální disky), netflow, log z hraničního routeru, případně další individuální data. Bohužel většina napadených firem neshromažďovala netflow, hraniční routery byly SOHO zařízení (případně VDSL modemy od operátora), takže síťových logů moc nebylo. Některé firmy byly omezeny kapacitou diskového prostoru, a proto smazaly napadené servery dříve, než se z nich mohla vytvořit záloha pro analýzu. Jak jsem již zmínil výše, ransomware vynechal adresář C:\Windows a díky tomu byly k dispozici Event Log EVTX (prohlížeč událostí).
Analýzou dat (celá probíhala v Linuxu) bylo zjištěno, že slabé místo napadených serverů byl otevřený port 3389, na který útočník provedl slovníkový útok. V několika případech byl před lety nainstalován čistý operační systém se slabým administrátorským heslem a poté byl stroj přidán do domény. Bohužel, slabé heslo administrátora již zůstalo. Dále v několika případech byla na pokyn vedení firmy vypnutá bezpečnostní politika hesel (složitost, uzamykání hesla apod.). V průběhu analýzy všech dat bylo zjištěno, že k těmto útokům kupodivu došlo již v průběhu října až prosince loňského roku, ale samotné šifrování dat proběhlo až z počátku roku 2017. První útok byl zaznamenán již v srpnu, kdy díky všímavosti administrátora systému nebyl dokončen.
Také bylo vidět, jak se útočník postupně zlepšuje. Ze začátku využíval účtu administrator nebo admin a postupně zjišťoval, že by se tím mohl lehce prozradit. Začal si vytvářet různé nové uživatele s různé názvy jako test, ss, system, adm.smallbusiness, diablo, ssystem, sbs1 a podobně.
Po úspěšném překonání hesla útočník využil napadený server ke svým účelům a nesnažil se po sobě ani příliš uklízet. Díky tomu byly nalezeny na ploše Windows různé nástroje jako aplikace na proklik reklam, nástroj pro distribuovaný útok na bitcoinovou směnárnu, IP skenery pro skenování rozsahu adres, nástroje RDPBrute pro slovníkový útok, GeoIP databáze s rozsahy IP adres pro sken, různé slovníky vhodné pro slovníkový útok a dále seznam proxy serverů pro anonymizaci. Některé tyto soubory měly názvy psané azbukou. Při vyhledání názvů v Google byly nalezeny odkazy ke stažení těchto souborů na ruských diskuzních fórech.
Aby nebyl útočník obtěžován hláškami antiviru, byly použity unlockery na odblokování zamčených souborů v systému. Díky tomu pak bylo možné smazat jakýkoliv zamčený soubor a tím mohl útočník jednoduše poškodit antivir tak, aby byl nefunkční. V okamžiku, kdy útočník server již nepotřeboval, vypnul službu shadow copy service (aby nebylo možné jednoduše obnovit soubory) a spustil ručně proces šifrování.
I zde v průběhu času došlo k vývoji. Ruční spouštění aplikací postupně nahrazovaly různé cmd a powershellové skripty. Samotný cryptoransomware potřeboval ke své činnosti nainstalované knihovny MS Visual C++ 2010 nebo novější. V jednom případě byl napaden hypervisor VMWaru, na kterém běžely jak MS Windows, tak i Linux. A jelikož pro linux neměl útočník funkční cryptoransomware, vymazal jednoduše celý virtuální server včetně virtuálního disku.
Všechny IP adresy, ze kterých byl proveden jak úspěšný, tak neúspěšný útok, byly analyzovány mimo jiné i v Shodanu, kdy bylo zjištěno, že většina útočících IP adres má otevřený port 3389 a tudíž se jedná o stejně napadené servery. IP adresy byly z celého světa, převládaly IP adresy z Ruska a Ukrajiny a dále z USA, Kanady, Iránu, Seychel atd. Dále byly využity anonymizéry StrongVPN a CyberGhost. Jedna IP adresa patřila lékařskému zařízení na ozařování onkologicky nemocných kdesi v Indonésii.
Poučení pro příště
Jelikož je provedení podobného útoku velmi jednoduché, mezi touto sérií se objevily dva odlišné případy, kdy byl po úspěšném ovládnutí systému spuštěn open-source software Diskcryptor, který se běžně používá pro legitimní šifrování diskového oddílu. Poté i tento útočník vyžadoval platbu v bitcoinech. Po úspěšném převodu peněz zaslal hesla, která byla ručně zadaná při šifrování oddílu. Složitost takových hesel nebyla nijak vysoká (max. 6 znaků), v jednom případě obsahovalo toto heslo dokonce pouze čísla.
Poučení pro všechny: Dle mého názoru nepatří žádná služba pro administraci celého firemního systému na veřejnou IP adresu. Pokud je nutný přístup z internetu, je potřeba použít VPN se silným ověřováním pomocí certifikátu (OpenVPN, L2TP/IPSec …). Dále je důležité se zamyslet nad zálohováním. Nestačí jen zálohovat, ale zároveň přemýšlet nad bezpečností a také integritou uložených záloh.
V době, kdy se tyto útoky rozeběhly (tj. leden 2017), jsem si udělal přehled v Shodan.io. Vyhledal jsem si IP adresy s otevřeným port 3389 v lokalitě jednoho krajského města. Ve výsledcích lze v Shodanu u některých IP adres vidět i uživatelská jména. Tím má potenciální útočník významně usnadněnou činnost. Stejné vyhledávání v Shodanu jsem zopakoval za tři měsíce a zjistil jsem nárůst otevřených portů 3389 (RDP) o 30 %, což je hodně znepokojivé. Pokud nezačnou administrátoři dbát více na bezpečnost, můžeme se v budoucnu dočkat dalších podobných útoků.
Nová globální epidemie ransomwaru tentokrát ohrožuje i Česko
28.6.2017 SecurityWorld Viry
Nový vyděračský malware útočí hlavně na větší firmy – ohrožený je tak bankovní sektor, energetické či poštovní společnosti.
Podle Esetu například Ukrajina hlásí mimořádné výpadky IT v bankovním sektoru, energetických rozvodných sítích a poštovních společnostech.
Mezi významně postiženými zeměmi je i Itálie, Izrael, Srbsko, ale také země střední a východní Evropy včetně České republiky. Ta byla při vrcholu nákazy na deváté příčce žebříčku nejvíce zasažených států.
Rozsah škod způsobených novým typem ransomware ještě nebyl potvrzen, experti včera nezaznamenali žádné zprávy o výpadcích dodávek elektrické energie, jako tomu bylo dříve u nechvalně proslulého malware Industroyer.
Útok se ale rozhodně nesoustředí jen na několik vybraných zemí, postiženo je i Španělsko, Indie a velké potíže hlásí dánská námořní společnosti Maersk či britská reklamní společnost WPP.
„Nový ransomware připomíná známý škodlivý kód Petya. Když se mu podaří infiltrovat do MBR (Master boot record), hlavního spouštěcího záznamu počítače, zašifruje celý disk. V opačném případě šifruje jednotlivé soubory, stejně jako ransomware Mischa,“ říká Robert Lipovský, analytik Esetu. Tvůrci kódu žádají od obětí platbu 300 dolarů, jinak napadená zařízení neodšifrují.
Také experti firmy Check Point potvrzují pravděpodobnou podobnost s ransomwarem Petya, který namísto šifrování jednotlivých souborů rovnou zašifruje celý pevný disk.
Check Point podle svých slov zjistil zapojení bota Loki, který byl použit ke krádežím přihlašovacích údajů. „Naše analýza potvrdila, že ransomware zneužívá pro své šíření SMB zranitelností,“ říká Daniel Šafář z Check Pointu.
To potvrzuje i Eset - nový ransomware se podle něj šíří prostřednictvím kombinace SMB exploitu, který využíval i nechvalně známý ransomware WannaCry, jehož útok zasáhl před více než měsícem na 200 milionů počítačů, a programu PsExec, což je nástroj pro vzdálenou instalaci a spouštění libovolných aplikací.
„Tato nebezpečná kombinace může být důvodem, proč se tato epidemie velmi rychle šíří po celém světě, a to i poté, co předchozí útok WannaCry široce medializoval problematiku ransomwaru a většina zranitelností již byla záplatována,“ vysvětluje Lipovský.
Škodlivému kódu podle něj stačí, aby infikoval jediný počítač a dostal se tak do firemní sítě, kde pak malware může získat administrátorská práva a šíří se do dalších počítačů.
Počítačový virus zasáhl světové firmy a snaží se je vyřadit z provozu
27.6.2017 Novinky/Bezpečnost Viry
Firmy v řadě evropských zemí se v úterý staly terčem kybernetického útoku. Postižena byla dánská přepravní společnost Maersk či ruský ropný gigant Rosněfť. Obzvláště rozsáhlý byl útok na Ukrajině, kde se terčem staly pošta, největší distribuční energetická společnost UkrEnergo i centrální banka.
Postižen byl americký nadnárodní potravinářský koncern Mondelez, přední přepravce Maersk, francouzský výrobce stavebnin St. Gobain, ruská ropná společnost Rosněfť, britská reklamní firma WPP či výrobce letadel Antonov.
Akce neidentifikovaných útočníků podle prohlášení napadených institucí na Ukrajině narušily jejich operace. Postižena byla státní pošta, největší státem vlastněná banka Oschad bank, největší energetický distributor UkrEnergo a alespoň částečně i vládní počítačová síť.
Centrální banka uvedla, že se stala terčem „neznámého viru“, a v prohlášení dodala, že věří, že je proti kyberútokům dostatečně zabezpečená. Ruský Rosněfť musel kvůli útoku přejít na rezervní řídicí systém.
Podle agentury Interfax-Ukrajina se virus chová podobně jako vyděračský virus WannaCry, jehož původci po napadených požadovali výkupné. To pro stanici BBC potvrdil i počítačový expert z Univerzity v Surrey Alan Woodward.
„Zdá se, že je to verze vyděračského viru (ransomware), který se objevil loni. Zločinci ho počátkem letošního roku zaktualizovali, když došlo k porážce některých jeho aspektů. Ten ransomware se nazýval Petya a jeho aktualizovaná verze Petrwap,“ uvedl Woodward.
Gartner: Zaměřte se na tyto klíčové bezpečnostní technologie
27.6.2017 SecurityWorld Zabezpečení
Analytici společnosti Gartner sestavili výběr klíčových technologií pro oblast bezpečnosti, které byste neměli v tomto roce v žádném případě ignorovat.
První technologií, či spíše technologickou oblastí, jsou platformy pro ochranu cloudových řešení (Cloud Workload Protection Platforms – CWPP), jež nabízejí ucelený způsob, jak ochránit cloudovou infrastrukturu napříč různými hybridními prostředími zahrnujícími privátní i veřejnou IaaS infrastrukturu několika poskytovatelů.
Na druhé pozici seznamu se umístila technologie vzdáleného prohlížeče (remote browser), která omezuje rizika útoků na prohlížeč jeho izolováním od zbytku uživatelského systému.
Jako třetí uvádějí analytici Gartneru techniky pro odlákání či odklonění útoků (deception) – tedy takové, které vytvářejí zástupný cíl či návnadu, odrážejí nebo narušují průběh útoku, případně oddalují jeho možný dopad a umožňují útok jednoznačně detekovat.
Detekce a odpověď na útoky na koncové body (Endpoint Detection and Response – EDR) rozšiřuje tradiční metody ochrany koncových bodů (například antiviry) o funkce založené na monitorování událostí, neobvyklého chování či aktivit s možným zlým úmyslem – analytici odhadují, že EDR bude v roce 2020 využívat 80 % velkých podniků, 25 % středních firem a 10 % malých organizací.
Mezi techniky v podnicích o něco více rozšířené patří analýza provozu na síti (Network Traffic Analysis – NTA) sledující provoz, toky dat, připojení a objekty z hlediska chování naznačujícího možný útok.
Firmy, které chtějí lépe zvládat detekci hrozeb, reakce na incident a průběžné monitorování, ale nemají na to potřebné specialisty, by se měly zajímat o řízenou detekci a odezvu (Managed Detection and Response – MDR) – jde o službu populární zejména u středně velkých podniků, které nechtějí do oblasti detekce a reakce na incidenty příliš investovat.
Mezi užitečné funkce, které přináší rostoucí míra virtualizace datových center – zejména jejich síťových funkcí – patří mikrosegmentace (microsegmentation), tedy vytvoření poměrně malých oddělených segmentů, které v případě útoku omezuje škody pouze na velmi malou oblast.
Také virtuální, ovšem výrazně odlišné jsou softwarově definované perimetry (Software-Defined Perimeters – SDP), logické bezpečné enklávy zahrnující více vzdálených účastníků. Jejich zdroje a komponenty jsou obvykle skryté a lze k nim přistupovat pouze pomocí důvěryhodné služby (trust broker), čímž se snižuje riziko útoku.
Spolu s tím, jak se zvětšuje počet aplikací provozovaných modelem SaaS a jejich uživatelů, pak roste na významu také zprostředkování zabezpečeného přístupu ke cloudu (Cloud Access Security Broker – CASB) nabízející sjednocení dohledu nad několika cloudovými službami.
Agilita už ale dávno nestojí jen na cloudových aplikacích, a tak i do oblasti bezpečnosti pronikají principy DevOps, respektive DevSecOps, tedy řízení rizika a souladu s předpisy v rámci nástrojů a procesů agilního vývoje. Jde především o analýzu skladby softwaru a bezpečnostní skenování open source pro DevSecOps (OSS Security Scanning and Software Composition for DevSecOps).
Konečně poslední technologií z oblasti informační bezpečnosti, které by manažeři IT měli věnovat pozornost, je zabezpečení kontejnerů (container security) – ty totiž používají model sdíleného operačního systému a případná zranitelnost v hostitelském OS tak může znamenat zranitelnost všech kontejnerů.
Podle analytiků není problém v tom, že by kontejnery nebyly z podstaty bezpečné, ale v tom, že jsou často vývojáři nasazovány způsoby, které nejsou dostatečně bezpečné – a děje se tak obvykle mimo dohled týmů pro informační bezpečnost či bezpečnostních architektů.
Tradiční bezpečnostní nástroje jsou navíc vůči kontejnerům „slepé“. Naopak bezpečnostní řešení určená pro kontejnery jsou navržena tak, aby řešila ochranu v rámci celého životního cyklu a funkce typu předprodukčního skenování i monitorování a ochrany za chodu.
Českem se šíří další vlna phishingu. Podvodný e-mail se vydává za zprávu KB
27.6.2017 CNEWS.cz Phishing
Komerční banka varuje, že někdo jejím jménem a zfalšovanou adresou mojebanka@kb.cz zasílá podvodný e-mail upozorňující na příchozí mezinárodní SWIFT platbu. Podrobnosti má uživatel najít v příloze. V ní se však nachází 550kB soubor swift.jar, který obsahuje trojského koně Java/Kryptik.FF.
Kryptik je velmi starý trojan (šířil se ještě před rokem 2010), ale jeho javovskou variantu zařadil Eset na seznam hrozeb až v červnu. Není přesně zdokumentováno, co dělá, ale jako jiné Kryptiky může otevřít porty počítače a usnadnit přístup hackerům, rozesílat spam, zaznamenávat psaní na klávesnici apod. Nebo jen otevře systém pro šíření dalšího malwaru.
Phishing tvářící se jako zpráva Komerční banky
Microsoft reaguje na Kasperského. Většinu obvinění smetl ze stolu
27.6.2017 CNEWS.cz Software
Microsoft tvrdí, že podporuje bohatý ekosystém bezpečnostních řešení a s výrobci antivirů spolupracuje, aby jejich produkty ve Windows fungovaly.
Kaspersky Lab není spokojený s Windows v otázce přístupu k antivirovým řešením a začátkem června podal podnět k prošetření Evropské komisi. Na toto téma si můžete na Cnews přečíst rozsáhlé články, ale také poslechnout pár dní starý podcast. Před pár dny Microsoft na výrobce bezpečnostního řešení zareagoval na blogu Windows Security.
Příspěvek je dlouhý, v kostce ale říká, že se Microsoft snaží vytvořit bezpečný operační systém a za tento přístup se „nestydí“.
Detekční schopnosti Defenderu
Součástí bezpečného vydání Windows je pak antivirus pro ochranu před malwarem. Eugen Kaspersky poukázal na to, že toto řešení v minulosti na relativní rovině získávalo slabší hodnocení než konkurence. Microsoft se však odkazuje na květnový test, který by měl odrážet reálné podmínky ve světě.
Podle AV Comparatives si nejen v něm, ale obecně v posledních měsících Defender vedl dobře a zachytil přes 99 % škodlivých kódů. (Jen v únoru však šlo o 96,6 %.) Připomínám ale, že samotné testy nemusí mít z komplexního hlediska zabezpečení vysokou vypovídající hodnotu. Testy i většinu antivirů zpochybnil před několika měsíci bývalý zaměstnanec Mozilly.
Problematika rychlého vývoje a upgradů
Microsoft reaguje na údajnou nedostupnost testovacích verzí Windows tím, že jednak vydává pravidelně nová sestavení veřejně skrze program Windows Insider, jednak spolupracuje s tvůrci antivirových řešení a identifikuje významné změny v systému. Podle Microsoftu je vývoj transparentnější než dřív a s ohledem na rychlejší vývoj zdvojnásobil snahu o podporu výrobců.
Např. v době, kdy uvolnil Creators Update, zhruba 95 % antivirů používaných na strojích s Desítkami bylo s touto verzí kompatibilní. Microsoft dále tvrdí, že pro ty případy, kdy antivirus kompatibilní není, vytvořil funkci, jež zajistí, že po provedení upgradu jsou uživatelky a uživatelé vyzváni k instalaci nejnovější verze antiviru. Původní ochrana je však vypnuta, aby upgrade mohl proběhnout.
Zatímco Kaspersky tvrdí, že Microsoft antiviry prostě odebere, Microsoft zase říká, že dotyčného uživatele či uživatelku vyzve k instalaci kompatibilní verze. Dokonce má pro tyto účely vytvořený seznam kompatibilních verzí, na němž spolupracuje s výrobci bezpečnostních řešení, aby bylo jednoznačné, které verze bezpečnostních produktů jsou kompatibilní s novými verzemi Windows, a kam mají být uživatelky a uživatelé nasměrováni pro upgradu.
Co když licence vyprší?
Microsoft dále uvádí, že pokud je nainstalovaná ochrana třetí strany funkční, Defender bez schválení neprovádí žádné akce. Zapne se však, pokud ochrana přestane fungovat např. kvůli vypršení licence. Nechráněné počítače Redmondští nechat nechtějí. Kaspersky si stěžoval na to, že nemůže použít vlastní oznámení o vypršení licence. Podle Microsoftu ale bylo opět ve spolupráci s výrobci antivirů standardizovanou sadu oznámení, která dávají na srozuměnou, že licence brzy vyprší.
Jedná se také o větší oznámení, které se objeví v popředí ve středu obrazovky. Ačkoli Kaspersky podle všeho opravdu nemůže použít své blikající a červení vykřičníky zobrazující upozornění, zobrazují se neutrální, ale dostatečné výrazná oznámení o vypršení licenci. Kdo chce, licenci si prodlouží. (Navázat by mohla diskuze o jednání pod nátlakem.)
Většinu nařčení Kasperskyho tak Microsoft smetl ze stolu. Zůstávají pouze výtky k tomu, aby Windows Defender v hlavním okně netvrdil, že je počítač nezabezpečený ve chvíli, kdy je funkční jiná ochrana. V Creators Updatu však bylo starší rozhraní nahrazeno Centrem zabezpečení a budu muset ještě ověřit, zda se i toto prostředí vymezuje vůči funkční ochraně od třetí strany.
Podvodné e-maily se snaží napálit klienty Komerční banky
27.6.2017 Novinky/Bezpečnost Phishing
Na pozoru by se měli mít uživatelé internetového bankovnictví od Komerční banky. Zaměřili se na ně totiž počítačoví piráti, kteří se snaží propašovat do jejich počítačů škodlivý virus. V dalším kroku se je pak snaží připravit o peníze.
Ukázka podvodného e-mailu
„Aktuálně jsme zaznamenali podvodné e‑maily, jejichž cílem je zavirovat váš počítač. Podvodný e‑mail se tváří, že je odeslán z e-mailové adresy mojebanka@kb.cz,“ varovali zástupci Komerční Banky.
V předmětu zprávy je uveden text „Informace o platbě“. Počítačoví piráti se snaží v příjemci podvodné zprávy vzbudit dojem, že uživateli byla z účtu stržena nějaká platba. Podrobnosti mají lidé naleznout v příloze e-mailu.
Právě v tom je ale kámen úrazu. „Namísto slibovaných podrobností, soubor v příloze obsahuje počítačový virus, který se po spuštění nainstaluje do vašeho počítače. Důrazně vás varujeme před otevíráním tohoto e‑mailu a přílohy,“ konstatovali zástupci banky.
Piráti jsou jen krůček od peněz
Prostřednictvím viru jsou počítačoví piráti už jen krůček od peněz, které jsou uloženy na bankovním účtu. Stačí jim již pouze získat potvrzovací SMS zprávu, aby mohli uskutečnit prakticky jakoukoliv platu. A zotročit v dnešní době smartphone není bohužel vůbec žádný problém.
„V případě, že jste výše uvedený e‑mail obdrželi nebo se setkali s jakýmkoli jiným podezřelým e‑mailem a otevřeli jej, případně otevřeli přílohu v něm obsaženou, neprodleně kontaktuje naši klientskou linku internetového bankovnictví 955 551 552,“ podotkli zástupci banky.
V současné době podobné zprávy cílí výhradně na klienty Komerční banky. Není nicméně vyloučeno, že se taktika kyberzločinců v dohledné době změní a budou se snažit prostřednictvím nevyžádaných e-mailů napálit klienty i jiné banky.
Záplatování jádra za běhu: kGraft to zvládne bez výpadku
26.6.2017 Root.cz Zranitelnosti
Linuxový server se musí kvůli software restartovat v jediném případě: když je potřeba vyměnit jádro. S technologií kGraft už ale nutně neplatí ani to. Dokáže za plného provozu vyměnit jednu funkci za druhou.
Živé záplatování jádra umožňuje zjednodušit správu velkých serverů a opravit nejvážnější problémy za běhu, říká Jiří Kosina z pražské pobočky společnosti SUSE. Máme tu velkou skupinu jaderných vývojářů, kteří se zabývají ovladači, plánovačem a podobně, řekl na začátku při představování Jiří Kosina. Nejnovější věc, na které tu teď pracujeme, je patchování linuxového jádra za běhu. Často se prý lidé vývojářů ptají, k čemu je něco takového vůbec potřeba, když reboot nic nestojí. Děláme to hlavně proto, protože to po nás chtěli zákazníci. Reboot celého datacentra taky není zadarmo, stojí to obrovské náklady.
Velká datacentra mají přesně naplánované údržbové cykly, většinou v řádech měsíců. Každý neočekávaný restart systémů přináší další náklady. Když přijde bezpečnostní problém nebo se objeví problém se stabilitou, který by jim to mohl shodit, je pro ně hodně drahé operativně naplánovat restart celého datacentra. Firmy proto chtějí mít možnost zabezpečit jádro okamžitě a pak mají čas v bezpečném stavu počkat do dalšího okna pro plánovanou údržbu.
Tohle je ovšem jen nepřímý důsledek toho, že nabootovat enterprise server může trvat třeba tři čtvrtě hodiny. Když máte šestnáct terabajtů RAM, bude jen její inicializace biosem trvat klidně čtyřicet minut. I z tohoto důvodu se to nedá udělat rychleji, vždycky vás to bude stát čas, během kterého server nepracuje, vysvětlil Kosina.
kGraft nepotřebuje přestávku
Vývojáři SUSE vytvořili pro záplatování za běhu vlastní technologii kGraft, kterou už komerčně nabízejí a zákazníci ji mají reálně nasazenou. Trochu jsme tu porušili naši běžnou filosofii, kdy obvykle nejprve všechno posíláme do upstreamu Linusovi. kGraft je ale hodně nová věc, která je poměrně rozsáhlá. Nejprve jsme chtěli mít nějaká reálná nasazení a uživatele a teď to celé po kouskách posíláme do jádra. V podstatě jsme s tím hotovi. Ve zdrojových souborech jádra je už volba CONFIG_LIVEPATCH, která zapíná patřičné API pro aktualizaci funkcí jádra za běhu.
Příklad serveru, který nechcete restartovat
Patch pro živé záplatování jádra má zvláštní formát a SUSE v této formě neposkytuje zdaleka všechny záplaty. Není to možné, protože to není v našich silách, je to hromada ruční práce. Proto se záplaty omezují na bezpečnostní problémy, chyby způsobující nestabilitu nebo potenciálně poškozující data. Pokud tedy víme, že v jádře je chyba umožňující získat roota nebo je někdo schopen úmyslně poškodit data, vytvoříme live patch. V této formě se tak například nedistribuují nové ovladače pro hardware.
Vývojáře prý na začátku překvapilo, že jádro nebylo nutné nijak zvlášť upravovat. Vytvořili jsme celou novou infrastrukturu, ale do stávajících kódů jsme zasahovali poměrně málo. Později se objevily okrajové případy, kdy bylo potřeba upravovat zdrojové kódy více. Například záplatování plánovače je velmi zajímavé, nebo jsme doplnili možnost opravy samotného kGraft. Taky je to hodně komplikované, ale jde to.
Výhodou kGraft je fakt, že se jádro během záplatování vůbec nezastaví. Možná jste slyšeli o Ksplice, který ale funguje jinak. Pošle všem procesorům přerušení, všechny se sejdou v nekonečné smyčce, pak se vymění jádro a zase se spustí. Nedojde sice k restartování systému, ale je tam potenciál pro výpadek v řádu stovek milisekund, kdy jádro nemůže vůbec nic dělat. My jsme zvolili jiný přístup, kdy se činnost jádra vůbec nezastaví a kód se postupně přesune do nového stavu.
Existuje také ještě varianta zvaná Kexec, která ale dělá ve skutečnosti něco jiného – nechá nabootovat nové jádro místo starého. Ušetříte tím sice čas inicializace hardware, ale popadají vám všechny procesy, soubory i TCP spojení. Měníte prostě celé jádro se vším všudy.
Příprava je nutná
Jak tedy provést živou úpravu kódu tak, aby se nic nerozbilo? Používáme tam několik zajímavých triků. Celé jádro je zkompilované pomocí GCC s parametrem -pg, který vytvoří profilovací kód. Na začátek každé funkce překladač přidá skok do profilovací funkce, od které se očekává, že bude měřit, kolikrát se daná funkce použila, jak dlouho trval její běh a podobně. V jádře se ale tato vlastnost nepoužívá, takže vývojáři využijí přidané volání a „ukradnou si ho“ pro sebe. Na tohle místo jsme schopni v případě potřeby přidat přesměrování na opravenou verzi funkce, popisuje základní princip Kosina.
Při startu jádra se pak všechna přidaná volání upraví tak, že obsahují jen instrukci NOP . Ta nic nedělá (NOP = no operation) a jádro běží normálním způsobem. Všechny jaderné funkce mají na začátku pět bajtů, které se ale při provádění přeskočí a nijak běh neovlivňují. Takto připravené místo je pak možné kdykoliv později použít pro vložení instrukceJUMP následované adresou nové funkce. Tímhle trikem přesměrujeme jádro na jinou funkci a zbytek té původní už se pak nikdy neprovede.
V současné době je záplatování za běhu podporováno na platformě x86, pracuje se také na S/390, PowerPC a ARM64. Přidávat další architektury není problém, většina kódu je společná, musíme jen naučit GCC přidávat správně prology funkcí a to je vlastně všechno.
Upravujeme jádro za plného provozu
Jak pak probíhá samotné přesměrování? Zásadní je, že změna musí být atomická a nikdy nesmí dojít k tomu, že by byla funkce rozbitá. V každou chvíli totiž může být jádrem zavolána a musí proběhnout bez zastavení a podle očekávání. Prolog funkce musí mít pět bajtů (instrukce JUMP plus adresa), ale platforma x86 dovoluje atomicky vyměnit pouze čtyři bajty. My se ale nesmíme dostat do situace, kdy máme už čtyři bajty vyměněné a pátý ještě ne a jádro nám do takto rozpracované funkce skočí.
Proto se použije další zajímavý trik, který umožňuje chytře atomicky vyměnit všechny bajty „najednou“. Když chceme začít záplatovat, naplníme si připravené místo pěti jednobajtovými instrukcemi INT 3, což je softwarový breakpoint. Pokud by v kteroukoliv chvíli procesor chtěl funkci vykonávat, narazí na začátku na instrukce NOP nebo INT 3. Breakpoint v tomto případě zpracovává samo jádro, které ví o probíhajícím záplatování a proto rovnou skočí zpět za pětibajtový prolog. Chováme se k tomu tedy tak, jako by tam žádný breakpoint nebyl, a funkce normálně proběhne.
Postupná výměna adresy v prologu
Pět breakpointů je postupně odzadu vyměněno za adresu nové funkce. V jakoukoliv chvíli je před adresou stále alespoň jeden breakpoint, takže přepis může trvat libovolně dlouho a funkce je stále vykonavatelná v původní podobě. Teprve až v posledním kroku nahradíme první breakpoint instrukcí JUMP a tím dokončíme přesměrování ze staré podoby funkce na novou. Při tomto postupu mají vývojáři vždy jistotu, že procesor nenarazí na nekonzistentní data, na kterých by havaroval.
Upravená funkce tak nakonec začíná skokem do kódu kGraft, který se musí rozhodnout, kam bude skok pokračovat. O zmíněných pět bajtů se dělíme ještě s funkcí ftrace, která dovoluje jádru zapínat různé mechanismy pro sledování chování jednotlivých funkcí. Proto musí být mezi novou a starou podobu funkce vložena logika, která rozhoduje, co bude po skoku následovat. Pokud je to náš skok kvůli upravené funkci, následuje další skok na novou podobu, která opět začíná pěti nepoužívanými bajty. To pro případ, kdy by bylo nutné někdy později funkci znovu opravit. Je možné buď znovu zasáhnout do volání původní funkce nebo jednotlivé skoky řetězit.
Průběh funkce před a po opravě
Jeden modul vládne všem
Jádro je možné záplatovat po jednotlivých funkcích, ale z praktických důvodů se zákazníkům distribuuje vždy jedna velká kumulativní záplata ve formě běžného modulu .ko. Ten poslední vždycky obsahuje všechno, takže s poslední verzí vždycky měníme všechny už záplatované funkce. Vůbec to nevadí, protože doba záplatování podle Kosiny nezávisí na tom, kolik funkcí se upravuje. Jedna velká úprava je pro nás výhodnější, protože vždycky víme, v jakém stavu se systém nachází. V opačném případě by si uživatel náhodně aplikoval různé změny a množiny záplat a my bychom nebyli schopni takový systém podporovat.
Tvorba záplaty je z velké části ruční prací, což má podle Jiřího Kosiny výhodu zejména v tom, že vývojář může skutečně celý kód projít a zkontrolovat. Většinou je to celá skupina funkcí, protože se většinou ukáže, že kvůli jedné chybě je toho potřeba vyměnit víc. Problém je, že tyto funkce jsou na sobě závislé a je potřeba opět udržet konzistenci. Může se stát, že nová verze funkce má jiný počet parametrů, což se musí zohlednit i v ostatních funkcích. Musí se tedy vždy zajistit, že se mezi sebou nemíchají různé generace funkcí. Stará volá starou nebo už nová novou, nikdy ne křížem.
Jádro tedy navíc hlídá, v jakém stavu je rozpracované záplatování a pouští jednotlivé procesy vstupující do jádra buď starou cestou nebo už novou. Říkáme tomu, že hlídáme, v jakém vesmíru ten daný proces je. Jestli je ve starém nebo už v novém. Podle tohohle kontextu ho pak na rozhraní uživatelského a jaderného prostoru pouštíme do správných funkcí. Postupně se tedy jednotlivé procesy označují podle toho, zda už jejich funkce byly záplatovány nebo ne. Až jsou všechny procesy označené, můžeme prohlásit, že záplatování jádra skončilo a vše už běží na novém kódu. Jádro tak vlastně postupně „dopluje“ do migrovaného stavu.
Rozhodování na vstupu do jádra
Tento proces zatím ovšem neumí upravovat datové struktury v jádře. Umíme jen vyměnit kód, ale nedokážeme to ve chvíli, kdy se zároveň mění data. Museli bychom vyhledat všechny instance těchto dat v paměti, což není možné, a zároveň všechen kód, který s nimi pracuje. Naštěstí se to u bezpečnostních záplat nestává příliš často. Za rok a půl jsme dělali několik stovek záplat a stalo se nám jednou, že jsme museli zasahovat do dat. Podle Kosiny má ale i tohle několik způsobů řešení a vývojáři nich pracují. Není to velký problém, ale chtěli bychom ho do budoucna vyřešit.
Oprava za jízdy
Výhodou technologie kGraft je, že skutečně ani na okamžik nezastavuje činnost opravovaného serveru. Nevýhodou je, že záplaty je nutné vytvářet ručně. Podle Kosiny to ale v praxi není problém, protože to v SUSE zvládá jediný vývojář. Nejsložitější je obvykle pochopit, co daná úprava dělá, což nemusí být triviální. Ale daří se nám vydávat opravy ve stejnou chvíli, kdy je distribuujeme ve standardní podobě. Uživatelé si tak mohou vybrat. Vývojáři zároveň podporují až dvacet různých verzí jádra v různých produktech. Uživatelé nechtějí restartovat servery, takže jim nemůžeme říct, že podporujeme jen nejnovější jádro a oni mají restartovat a vyměnit si ho.
S během záplatovaných funkcí je samozřejmě spojena také nějaká režie. Je to několik instrukcí na funkci navíc, což může být hodně, ale také nemusí. Pokud se funkce volá velmi sporadicky, nemá její záplata na výkon systému žádný vliv. Pokud se ale naopak používá velmi často, začne se zdržení projevovat. Dokud ale není funkce nijak záplatovaná, její úprava se nijak neprojevuje. Jen zabírá v paměti o pět bajtů více, takže jádro je mírně nabobtnalé.
Celkem prý vývojáři v SUSE za rok a půl vydali téměř tisíc takových záplat. Jejich množství ale rozhodně není stabilní, někdy se neděje nic a pak někdo objeví chybu a ostatní se na ni vrhnou a objeví hromadu dalších.
Hackeři na amerických vládních webech vyhrožovali Trumpovi
26.6.2017 Novinky/Bezpečnost BigBrother
Internetové stránky vládních úřadů amerického státu Ohio napadla v neděli skupina hackerů, která podporuje teroristickou organizaci Islámský stát (IS). Počítačoví piráti na napadených webech, včetně stánek guvernéra státu Ohio Johna Kasicha, vyvěsili výhrůžný vzkaz adresovaný americkému prezidentovi Donaldu Trumpovi a americkému lidu. Informoval o tom v pondělí server BBC.
"Vy, Trumpe, a všichni vaši lidé ponesete zodpovědnost za každou kapku krve, která proteče muslimskými zeměmi," psalo se ve vzkazu s arabským logem skupiny Team System DZ. Vzkaz byl zakončen slovy: "Miluji Islámský stát."
Tato skupina hackerů podle serveru BBC už v minulosti proslula podobnými akcemi, ale s nenávistnými vzkazy vůči Izraeli.
Hnutí Islámský stát (IS) dobylo v roce 2014 značná území v Iráku a Sýrii, v posledních měsících ale v obou zemích zaznamenalo výrazné ztráty. Spojené státy stojí v čele mezinárodní koalice, která v Iráku a Sýrii pomáhá místním silám bojovat proti IS.
Novelu zákona o kybernetické bezpečnosti podepsal prezident
26.6.2017 SecurityWorld Kyber
Minulý týden prezident Miloš Zeman podepsal novelu zákona o kybernetické bezpečnosti. Nově tak vznikne úřad, který bude předcházet hackerským útokům a navrhovat opatření při řešení probíhajících incidentů. Zákon bude také vztažený na provozovatele informačních systémů v energetice nebo v dopravě, kteří budou muset hlásit bezpečnostní incidenty.
Novela zákona o kybernetické bezpečnosti přináší výrazné rozšíření tzv. povinných subjektů, které budou mít zákonnou povinnost řešit kybernetickou bezpečnost a přijmout odpovídající kroky, aby zabránily bezpečnostním rizikům.
Tuto povinnost vnáší nově do celé řady důležitých sektorů, jako např. zdravotnictví, a dalších, které poskytují kritické „základní služby“ typu utility apod.
Jednou z nejdůležitějších povinností je u všech těchto společností monitorovat dění ve vlastní síti a informačních systémech, umět vyhodnotit bezpečnostní útoky a včas je oznámit bezpečnostnímu úřadu.
Tato povinnost se vnímá jako klíčovou, neboť dnes většina společností bohužel neplní ani základní požadavky tzv. kybernetické hygieny, které spočívají mimo jiné právě ve schopnosti odhalovat útoky, odkrývat, analyzovat a řídit rizika, a sdílet informace o útocích napříč jednotlivými podniky, což jiným institucím pomůže se na případnou hrozbu lépe a včas připravit.
Nově vznikne také úřad, který bude hackerským útokům předcházet a navrhovat opatření při řešení bezpečnostních incidentů. Specializovaný orgán tak převezme část role Národního bezpečnostního úřadu. Za nesplnění nových povinností hrozí pokuta až pět milionů korun.
Riziko počítačových útoků celosvětově stoupá, v Česku to může být ročně až 1, 7 milionu kybernetických útoků s možnými ztrátami až 5, 4 miliardy korun, jak vyplývá z údajů České asociace pojišťoven.
Veřejné zprávy informující o úspěšnosti kybernetických útoků jsou ale v českém prostředí ještě stále méně časté než v zahraničí, což je částečně zapříčiněno dvěma faktory:
Schopnost detekce (neboli schopnost si vůbec všimnout probíhajícího útoku) je v ČR v průměru poměrně slabá. Společnosti by tak měly v rámci prevence rizik využívat moderních detekčních nástrojů, jež jsou k odhalení moderních hrozeb nezbytné, a zajistit si kvalitní odborníky a bezpečnostní analytiky.
V případě, že ve firmě dojde k odhalení útoku, je nyní vcelku častou praxí „zatloukat“ a nedat nic najevo. Podle zákona o kybernetické bezpečnosti nyní mají dotčené společnosti povinnost incident nahlásit úřadu. Velmi podobně k této oblasti přistupuje i nařízení GDPR, které také obsahuje povinnost každý takový incident zaznamenat, a ty významnější pak nahlásit do 72 hodin.
Koho se novela primárně dotkne?
Nově se novela ZKB bude týkat velké skupiny společností, které jsou provozovatelem tzv. základních služeb, např. banky, nemocnice, dopravní podniky atd., nebo poskytovatelem tzv. služeb digitálních – platformy pro elektronické obchodování a vyhledávače (v dosavadní verzi platného zákona zůstaly tyto společnosti mimo jeho platnost).
Základní služba je přitom slovy zákona „služba, jejíž poskytování je závislé na sítích nebo informačních systémech a jejížnarušení by mohlo mít významný dopad na zabezpečení klíčových společenských nebo ekonomickýchčinností v některém z těchto odvětví: energetika, doprava, bankovnictví, infrastruktura finančních trhů, zdravotnictví, dodávky a rozvody pitné vody, digitální infrastruktura, chemický průmysl a veřejná správa.“
Digitální službou se pak rozumí „služba informační společnosti, která spočívá v poskytování služby online tržiště, které spotřebitelům umožňuje online uzavírat s prodávajícím kupní smlouvu nebo smlouvu o poskytnutí služeb, internetového vyhledávače nebo cloud computingu, který umožňuje přístup k rozšiřitelnému a přizpůsobitelnému úložišti výpočetních zdrojů, jež je možno sdílet“.
Novelu zákona o kybernetické bezpečnosti uvítá snad každý, kdo má zdravý selský rozum, a ví, že dnes je opravdu životně důležité zajistit bezpečnost informačních systémů, zejména v uvedených kritických oborech jako jsou energetika, vodárenství, zdravotnictví atd. Právě zdravotnictví totiž dosud trpělo poměrně značnou neschopností zajistit si pro tyto účely potřebné zdroje, ať již finanční nebo lidské. Zákon by jim v tom měl nyní pomoci.
Pro většinu podniků však bude včasné splnění požadavků ZKB vzhledem k vysokému stupni zanedbanosti a finančnímu podhodnocení v minulých letech velmi obtížné.
Jak do budoucna sladit pravidla novely ZKB s další legislativou v této oblasti, např. GDPR?
Vztah novely ZKB, jejíž účinnost lze očekávat ke konci léta, případně začátkem podzimu, s evropským nařízením GDPR, které bude platné od 25. 5. 2018, je dvojsečný. Na jedné straně se shodují především ve dvou oblastech, a to v: 1) nutnosti umět včas detekovat a správně vyhodnotit nejrůznější typy kybernetických útoků, hrozeb a rizik, a umět na tato rizika rychle a účinně reagovat (povinnost incidenty včas hlásit), 2) potřebě věnovat kybernetické a informační bezpečnosti větší pozornost a prostředky.
Velké rozdíly se pak vnímají mezi smyslem a obsahem obou legislativ, za upozornění přitom stojí zvláště cíl ochrany a přístup k výběru bezpečnostních opatření.
ZKB si klade za cíl především ochránit funkčnost a dostupnost základních služeb, například aby byla k dispozici pitná voda, fungovala elektřina, jezdily dopravní prostředky, fungovaly státní orgány, banky apod.
Cílem GDPR je pak zejména ochrana soukromí a práv fyzických osob z pohledu ochrany zpracování jejich osobních údajů – aby nikdo neukradl, nezveřejnil, nezměnil či nevymazal jejich osobní data.
V přístupu k výběru bezpečnostních opatření je pak novela zákona o kybernetické bezpečnosti jasnější, neboť přesně stanovuje konkrétní seznam bezpečnostních opatření, která musí každá společnost, na niž se ZKB vztahuje, přijmout.
Jde například o ochranu přístupu do sítě, zajištění bezpečného přihlašování jejích uživatelů, využití šifrovacích technologií, pravidelný monitoring apod. U evropského nařízení GDPR je přístup založený na individuálním hodnocení rizik.
To znamená, že je na každém správci dat, aby si sám vyhodnotil, kolik osobních údajů zpracovává, jaké mají tyto údaje hodnotu nejen pro něj, ale i pro případné útočníky, jak rozsáhlé jsou systémy, v nichž údaje zpracovává, kolik uživatelů má do těchto systémů přístup a jak jsou jednotlivé systémy zranitelné.
Dle úvodní analýzy si tak každý vyhodnotí konkrétní rizika a přijme adekvátní bezpečnostní opatření (např. šifrování dat, jejich anonymizaci, monitoring atd.).
Důvěřivce připraví o peníze. Virová hrozba se týká i Česka
25.6.2017 Novinky/Bezpečnost Viry
Je to už pěkně starý trik, ale evidentně funguje. A tak se kyberzločinci zkouší s vyděračskými viry napálit uživatele znovu a znovu. Nejprve jim zablokují počítač, údajně kvůli tomu, že používali nějaký nelegální software nebo stahovali autorsky chráněná díla. Za odemčení pak požadují zaplacení pokuty. Podobné triky zkouší počítačoví piráti také v Česku.
Vyděračské viry kolují internetem několik posledních let. I přesto se každý měsíc nechají na výzvu o zaplacení výkupného nachytat další a další lidé. Počítačovým pirátům se tak logicky vyplatí tyto nezvané návštěvníky šířit, a tak je nasazují stále častěji.
Globální síť pro zkoumání hrozeb SophosLabs sledovala chování různých vyděračských virů, které jsou označovány souhrnným názvem ransomware, několik posledních měsíců, konkrétně od října 2016 do dubna 2017. A výsledky ukazují, že nejčastěji se vyděračské viry šíří ve Velké Británii.
Česko na nižších příčkách, ale...
Nelichotivou druhou příčku obsadila Belgie, kterou na dalších pozicích následovaly Nizozemsko a Spojené státy americkými. Nezvaní návštěvníci se nevyhýbají ani tuzemským počítačům. Česku patří s podílem menším než jedno procento 66. příčka.
Přestože riziko nakažení je v tuzemsku výrazně nižší než v případě celé řady dalších evropských států, nevyplácí se rozhodně tuto hrozbu podceňovat. Útočníci totiž v napadených strojích dovedou udělat pěnou neplechu.
Útoky vyděračských virů jsou vždy na chlup stejné. Nejprve tito záškodníci zašifrují všechna data uložená na pevném disku. Za jejich zpřístupnění pak útočníci požadují výkupné, a to klidně i několik tisíc korun.
Výkupné neplatit
Kyberzločinci se zpravidla snaží v majiteli napadeného stroje vzbudit dojem, že se ke svým souborům dostane po zaplacení pokuty.
Sluší se připomenout, že výkupné by ale lidé neměli platit, protože nemají žádné záruky, že data budou skutečně zpřístupněna. Z podobných případů, které se objevovaly v minulosti, dokonce vyplývá, že nedochází k odšifrování dat prakticky nikdy. Jediným řešením je počítač odvirovat, což však nemusí být jednoduché.
Ostražitost před vyděračskými viry připomněl v minulých týdnech škodlivý kód WannaCry. Ten napadl za pouhých pár hodin více než 300 000 počítačů v 150 zemích světa. Jen v České republice bylo přitom napadeno přes 600 stovek strojů, což bezpečnostní experti považují za úspěch – šíření tohoto ransomwaru v zahraničí bylo totiž daleko intenzivnější.
Britský parlament se stal terčem kybernetického útoku
24.6.2017 Novinky/Bezpečnost BigBrother
Britský parlament se stal terčem kybernetického útoku. Někdo se pokusil vniknout do osobních účtů, sdělil v sobotu BBC zdroj z Dolní sněmovny. Kvůli snaze o vyřešení problému zákonodárci přišli o vzdálený přístup do své elektronické pošty, informovala agentura Reuters.
Deník The Telegraph napsal, že zákonodárci byli upozorněni na hackerský útok už v pátek a doposud nemají přístup do svých e-mailových účtů.
Mluvčí Dolní sněmovny podle BBC potvrdila, že parlament odhalil "neoprávněné pokusy o přístup k parlamentním uživatelským účtům" a že přerušení přístupu k e-mailům je důsledkem snahy o vyřešení problému.
"Pokračujeme ve vyšetřování tohoto incidentu a podnikáme další opatření na zabezpečení počítačové sítě ve spolupráci s Národním centrem kybernetické bezpečnosti," uvedla mluvčí. Cílem je podle ní ochránit účty zákonodárců i zaměstnanců parlamentu.
V květnu ochromil kybernetický útok britské nemocnice spadající pod Národní zdravotní službu (NHS).
Dva mladíci útočili na Microsoft. Nedopadlo to dobře
24.6.2017 Novinky/Bezpečnost Kriminalita
Dva mladí hackeři z Anglie se snažili zaútočit na servery amerického Microsoftu s jediným cílem – ukrást citlivá data zákazníků tohoto softwarového gigantu. Jejich snažení však bylo neúspěšné, a co hůř, oba skončili v rukách policie. Upozornil na to server The Hacker News.
Celým případem se zabývali detektivové z britské jednotky pro potírání organizovaného zločinu (SECORU). Ti mladíky zatkli ve čtvrtek, jejich identitu však zatím nezveřejnili.
Stihli je však již obvinit z trestného činu „neoprávněného přístupu“. Podobné hackerské aktivity, kdy se počítačoví piráti snaží nabourat do serverů nějakých organizací, jsou totiž v Anglii trestné. Policie již potvrdila, že mladíci ve věku 22 a 25 let útočili na servery Microsoftu.
„Jsme stále na začátku vyšetřování. Budeme nicméně usilovně spolupracovat s našimi partnery, abychom zajistili že kyberzločinci nebudou mít žádné místo, kam se schovají,“ prohlásil v souvislosti s případem detektiv Rob Bryant, který pracuje právě v jednotce SECORU.
K datům zákazníků se nedostali
Podle něj anglická policie na případu spolupracuje s Europolem, FBI a řadou dalších zahraničních bezpečnostních složek. Nechybí mezi nimi ani tým bezpečnostních expertů přímo z Microsoftu.
Útoky mladíků měly probíhat mezi lednem a březnem letošního roku. „K datům zákazníků společnosti Microsoft však mladíci nakonec přístup nezískali, což můžeme již nyní potvrdit,“ konstatoval detektiv.
Probíhající vyšetřování nicméně nasvědčuje tomu, že mladíci byli součástí nějaké nadnárodní skupiny hackerů. „Kromě dvou mladíků jsme zajistili také celou řadu počítačů a dalších zařízení. Právě to by nás mělo v případu posunout významným směrem kupředu,“ podotkl Bryant.
Soud s oběma mladíky začne nejdříve v horizontu několika týdnů.
Periferie: málo chráněná zařízení v zabezpečení firmy
23.6.2017 SecurityWorld Zabezpečení
V roce 2015 dosahoval dle IDC objem dat přibližně 8,5 ZB. Celkové množství dat v roce 2020 dosáhne 40 ZB. V tuto dobu bude používáno 25 miliard připojených zařízení (v roce 2015 to bylo 4,9 miliardy). V souvislosti s nárůstem objemu dat a počtu klientů také vzniká více příležitostí pro kybernetické zločince, kteří útočí na nechráněné nebo nedostatečně chráněné koncové body. V roce 2014 nahlásily firmy 48% roční nárůst počtu kybernetických útoků na jejich sítě a tento počet dál roste.
Nicméně dle nedávné studie společnosti Spiceworks odpovědělo pouze 18 % dotazovaných odborníků na IT, že tiskárny považují za středně vysoké nebo vysoké bezpečnostní riziko. A pouhých 16 % dotazovaných odborníků na IT chrání tiskárny také pomocí bezpečnostních certifikátů!
„Přes tiskárny kombinované se skenery procházejí všechny důležité firemní dokumenty, včetně strategií, smluv, ceníků a často i osobních dokladů. Během více než 20 let každodenního využívání se staly z hlediska kyberbezpečnosti jedním z nejrizikovějších zařízení. Slouží jako brána do zabezpečené podnikové sítě nebo na dálku ovládaný zdroj kybernetických útoků. Kvůli minimálnímu zabezpečení jsou totiž snadným cílem hackerů,“ říká expert na kybernetickou bezpečnost Martin Půlpán.
Multifunkční zařízení HP se v síti chovají v podstatě jako počítač. Odesílají, přijímají a uchovávají data, potřebná k tisku. Zaslouží si proto stejně důkladnou ochranu jako počítače a servery ve stejné síti.
Nezabezpečená tisková zařízení mohou být zranitelná mnoha způsoby. Přes síť - tiskové a zobrazovací úlohy mohou být zachyceny při síťovém přenosu do zařízení nebo z něj. BIOS a firmware – firmware, který je při startu nebo za běhu pozměněn, může zařízení a síť vystavit útokům. Paměťová média – zobrazovací a tisková zařízení ukládají citlivé údaje na interní pevné disky, na které se bez ochrany dá proniknout.
Data uložená v zařízeních by měla být zašifrovaná. Řada starších zařízení ale nemá nainstalováno šifrované úložiště nebo ho nedokáže používat. Pevné disky a soubory je třeba pravidelně mazat. Dělá to však málokdo.
Nezabezpečená zařízení mohou být ohrožena i dalšími způsoby. Například prostřednictvím ovládacího panelu, zachycováním dat, přes vstupní a výstupní zásobník apod.
Společnost HP proto nabízí ve svých nových multifunkční podnikových tiskárnách komplexní sadu bezpečnostních prvků, které mají za úkol chránit zařízení, data i dokumenty a vytvořit několikavrstvý přístup k zabezpečení, který je nezbytný při boji se současnými pokročilými útoky.
Mezi bezpečnostní funkce patří například HP Sure Start pro ověření integrity kódu systému BIOS, detekce neioprávněného vniknutí, HP JetAdvantage Security Manager, pro správu zabezpečení tisku (automaticky vyhodnocuje a v případě nutnosti opravuje bezpečnostní nastavení zařízení v souladu s předem stanovenými firemními pravidly), ověřování identifikace, šifrování, automatické sledování útoků, integrace systémů SIEM apod.
Mobilní zařízení a různé typy útoků a rizik
23.6.2017 SecurityWorld Mobilní
Smartphony a tablety nám poskytují snadný přístup ke kritickým podnikovým informacím, systémům a funkcím. Umožňují nám tak pracovat rychleji, přesněji a často v režimu 24x7. Poskytnout zaměstnancům přístup z mobilních telefonů má mnoho výhod, přináší ale také nová rizika.
Samotná mobilní zařízení, sítě, k nimž se připojují, a aplikace, které na nich běží – to všechno může být zneužito ke krádeži citlivých dat, jako jsou dokumenty, kontaktní informace, schůzky v kalendáři, emailové zprávy atd. Útočníci mohou na vašem mobilu kvůli odposlechu vašich jednání zneužít mikrofon a kameru. Při přihlášení uživatele do podnikového systému obsahující citlivá data pak mohou zachytit veškerá jména a hesla. Nedostatečně zabezpečené sítě útočníkům umožňují odposlouchávat, podvrhávat, nebo i měnit zasílaná data. Podvodné aplikace jim potom mohou poskytnout neomezený přístup k mobilům, vašim datům i síti.
Přesná detekce všech moderních útoků a jejich rychlé a účinné blokování jsou kriticky důležité pro efektivní ochranu. Klasické antiviry a další signaturní a reputační nástroje sice mohou detekovat tradiční známé hrozby, ale nemohou účinně odhalit nově vytvořený malware nebo zranitelnosti v sítích, operačních systémech a mobilních aplikacích.
Jaké jsou cíle útočníků?
Útoky na mobilní zařízení a komunikace závratně rostou. Mobilní útočníci rychle přejímají fungující typy útoků z „klasického“ (počítačového/síťového) světa, adaptují je na mobilní prostředí, a často tak přicházejí s úplně novými typy hrozeb. Jejich konečnými cílem může být například odposlech a špionáž citlivých informací (pomocí ovládnutí mikrofonu či kamery) nebo odposlech přenášených informací v mobilních sítích. Dále jim jde o přístup do podnikových systémů přes mobilní zařízení uživatele. V neposlední řadě pak o krádež dat, nebo jejich zničení, zašifrování, které bude v budoucnu v souvislosti s růstem útoků pomocí tzv. mobilního ransomware čím dál častější.
Jaké je dnes vnímání mobilních rizik?
Velká část firem si dnes není jistá, že je schopna bránit se mobilním kybernetickým útokům, přitom naprostá většina – cca 94 % z nich – očekává nárůst tohoto typu hrozeb. Množství mobilních hrozeb narostlo za poslední tři roky více než pětkrát. Začátkem roku 2017 např. existovalo již více než 2,5 milionu známých variant mobilního malwaru.
Jaké jsou moderní typy mobilních útoků?
Moderní útoky na mobilní platformy můžeme rozdělit do několika skupin. Za prvé jde o zneužití zranitelností mobilních operačních systémů, dále o útoky pomocí malwaru a podvodných aplikací a útoky na síťovou komunikaci (tzv. Man In the Middle).
Podvodné mobilní aplikace mohou zcela ovládnout naše zařízení. Umí si podmanit mikrofon a kameru, provést odposlech a nahrát veškeré naše rozhovory, odchytávat pohyby na klávesnici, krást přístupová hesla atd. Rozpoznání podvodné aplikace samotným uživatelem přitom není vůbec jednoduché. Uživatelé často nevěnují pozornost tomu, jaká práva o nich aplikace vůbec získává, případně tomu dostatečně nerozumí. Dokonce i známé aplikace mohou být útočníkem upraveny a publikovány na aplikačním tržišti.
Další typy útoků, tzv. MiTM (Man-in-the-Middle), mohou odposlouchávat, přerušovat, nebo měnit komunikaci mezi mobilem a přístupovým bodem. Můžete být přesvědčeni, že komunikujete se známým a důvěryhodným protějškem, i přesto ale útočník může kopírovat vaše hesla, odposlouchávat zprávyi krást citlivé informace. Nejsnadnějším místem pro ně jsou přitom veřejné WiFihotspoty.
A jaké jsou možnosti ochrany?
Obecně vzato lze možnosti řešení bezpečnosti mobilních zařízení rozdělit do tří hlavních skupin:
- Základní vlastnosti platforem – operačních systémů (např. Android nebo iOS)
- řešení typu EMM/MDM
Zaujal vás tento článek? Přehled nejzajímavějších zpráv získáte odebíráním našeho newsletteru »
- řešení typu MTD
Základní vlastnosti platforem operačních systémů Android nebo iOS přinášejí ve svých nejnovějších verzích řadu nových funkcí pro zlepšení bezpečnosti zejména při jejich využití v podnikovém prostředí. Obě platformy např. nabízejí určitý způsob segmentace dat ve firemním a soukromém profilu a umožňují vytvořit zabezpečený kontejner pro instalaci korporátních aplikací. Vylepšení se dočkalo také zabezpečení dat při přenosu. Důležité však je si uvědomit, že ani jedna platforma vás sama o sobě před moderními mobilními hrozbami neochrání. Obě dvě mají celou řadu zranitelností, jsou náchylné pro spuštění mobilního malwaru a podvodných aplikací a pro síťové útoky přes MiTM.
Kromě těch nejzákladnějších bezpečnostních opatření na úrovni operačního systému doporučujeme využít také systémy EMM/MDM a zároveň nástroje typu MTD pro detekci a blokaci moderních mobilních útoků. Pro zajištění bezpečnosti mobilních zařízení ve firemním prostředí můžete využít nástroje centrální správy, nazývané také zkratkou MDM (Mobile Device Management), nebo EMM (Enterprise Mobility Management). EMM nebo MDM řešení většinou nabízí z hlediska bezpečnosti celou řadu funkcí, například omezení přístupu uživatele a aplikací k HW (kamera, GPS, USB rozhraní a další) i ke službám OS. Dálenabízí třeba šifrování přenášených i uložených dat, vymazání zařízení při ztrátěi silnější autentizaci.
Moderní bezpečnostní nástroje kategorie MTD
V reakci na prudký vývoj nových typů útoků vznikla během poslední doby také celá řada nových bezpečnostních nástrojů, které se dnes nazývají jako MTD (Mobile Threat Defense). MTD řešení detekuje aplikace, které jsou staženy do zařízení, provádí jejich emulaci ve virtuálním prostředí a analyzuje jejich chování před tím, než jsou schválené nebo označené jako škodlivé. Díky tomu můžete včas identifikovat podezřelé nebo škodlivé aplikace, které Vaši zaměstnanci používají.
Veřejná místa jsou plná otevřených sítí Wi-Fi, tudíž je obtížné zjistit, které sítě jsou bezpečné a které ne. Počítačoví zločinci mohou těchto sítí využít pro kompromitaci komunikace smartphonů a tabletů, ovládnout tato zařízení a získávat cenná data, jako jsou zprávy, soubory a přístupové údaje. MTD pak dokáže rozpoznat škodlivé síťové chování a automaticky deaktivuje podezřelé sítě pro ochranu vašich zařízení a dat.
V neposlední řadě zločinci často zneužívají zranitelnosti operačních systémů a aplikací. MTD řešení neustále analyzuje zařízení pro odhalení zranitelností a detekuje chování, které počítačoví zločinci mohou použít k útoku na zařízení a krádeži citlivých informací.
Moderní bezpečnostní nástroje kategorie MTD vám tak mohou poskytnout veškeré vlastnosti nutné pro zabezpečení vašich mobilních dat. Analyzují podezřelé aplikace, upozorňují na ty škodlivé a doporučují jejich odstranění. Dále chrání mobilní zařízení před přístupem k nebezpečným sítím Wi-Fi a před MiTM („Man-in-The-Middle“) útoky (např. SSL Interception - Bump, SSL Stripping, „Superfish“ a další), umožňují zablokovat přístup k podnikové síti, pokud je na mobilním zařízení detekována hrozba, a díky technologiím emulace umí rozpoznat známé i neznámé hrozby. Odhalí také útoky na zranitelnosti, změny v konfiguracích a pokročilý rooting a jailbreaking.
Kybernetické útoky na mobilní zařízení raketově rostou, společně s nárůstem jejich využití a kritičností. Větší možnosti připojení prakticky odkudkoliv a jejich nedostatečné zabezpečení z nich dělá snadné terče pro různé typy hrozeb. Toto riziko je nutné si plně uvědomit a začít jej řešit.
Vyděračský virus napadl továrnu Hondy
23.6.2017 Novinky/Bezpečnost Viry
V posledních týdnech nebylo o vyděračském viru WannaCry takřka slyšet. To ale neznamená, že by se i nadále nešířil internetem, právě naopak. Tomuto nezvanému návštěvníkovi se dokonce podařilo zavirovat důležité systémy v jedné japonské továrně automobilky Honda. Ta tak musela být uzavřena.
WannaCry útočil v polovině minulého měsíce. Tehdy zvládnul za pouhých pár hodin infikovat více než 300 000 počítačů ve 150 zemích světa.
Pak se po něm doslova slehla zem, kvůli čemuž patrně někteří uživatelé nabyli falešného pocitu bezpečí. Rozhodně to platí i o bezpečnostních expertech, kteří měli na starosti počítačové systémy v japonské Hondě.
Minulý týden se tak systémy této automobilky staly obětí právě vyděračského viru WannaCry. A to i přesto, že obrana před ním je relativně jednoduchá – stačí nainstalovat aktualizaci, která vstupu tohoto nezvaného návštěvníka do Windows zamezí.
Továrna ve městě Sayama, která jinak produkuje na tisícovku aut denně, tak musela být na několik dní odstavena.
Jak připomněl server Cnet, s vyděračským virem WannaCry má nepříjemné zkušenosti i další automobilka. Útok totiž již dříve postihl společný podnik Renault-Nissan. Tento koncern tak byl na čas nucen zastavit produkci například v Japonsku či Indii.
Jak probíhá útok viru WannaCry
WannaCry – první i vylepšená druhá generace – útočí úplně stejně jako ostatní vyděračské viry, které jsou označovány souhrnným názvem ransomware. Nejprve tedy škodlivý kód pronikne do počítače, pak jej uzamkne a zašifruje všechna data. Za jejich zpřístupnění následně počítačoví piráti požadují výkupné.
Je však nutné zdůraznit, že ani po zaplacení výkupného uživatelé nemají jistotu, že se k datům dostanou.
WannaCry se začal internetem šířit v polovině května. Za pouhých pár hodin stihl nakazit více než 300 000 počítačů ve více než 150 zemích světa. Takřka polovina všech zachycených detekcí (45,07 %) připadá na Rusko. Je to dáno tím, že především v tamních chudých lokalitách ještě uživatelé hojně používají zastaralý operační systém Windows XP, který byl vůči škodlivému kódu WannaCry nejvíce zranitelný.
Druhou a třetí příčku pak zaujaly Ukrajina (11,88 %) a Tchaj-wan (11,55 %). Ostatní státy, které se dostaly v žebříčku nejpostiženějších zemí do první desítky, měly podíl tak v řádech jednotek procent. Šlo například o Egypt, Indii či Filipíny.
Česká republika zasažena jen okrajově
Česká republika skončila v přehledu s podílem 0,15 % až na 52. místě. Sluší se nicméně podotknout, že spodní příčky měly velmi podobný podíl až prakticky do konce žebříčku, který obsahovat 150 států. Například sousední Slovensko ale na tom bylo hůře – virus WannaCry tam měl podíl 0,26 %.
V Česku byly přitom infikovány stovky strojů. „Podle našich údajů počet infekcí překonal číslo 620,“ uvedl již dříve na dotaz Novinek Pavel Bašta, bezpečnostní analytik Národního bezpečnostního týmu CSIRT.CZ.
Italské ministerstvo zahraničí se stalo terčem hackerského hnutí Anonymous
21.6.2017 Novinky/Bezpečnost Hacking
Italské ministerstvo zahraničí v úterý oznámilo, že vyšetřuje pokus o hackerský útok na své počítače. Hackerská skupina, která se označuje jako italská odnož hnutí Anonymous, předtím zveřejnila některá data, která podle ní ukradla z počítačů ministerstva. Není zatím jasné, zda jsou mezi těmito údaji nějaké citlivé informace, uvedla agentura Reuters.
Ministerstvo v prohlášení uvedlo, že s úřadem prokurátora spolupracují při vyšetřování jeho technici, podrobnosti o pokusu proniknout do počítačů ale neuvedlo.
Hackeři o útoku informovali na serveru cyberguerrilla.org. Na server nahráli například tabulky nazvané "ubytování zaměstnanců" a "cestování/výdaje". Umístili tam například i odkazy na soubory obsahující stovky e-mailových adres.
"Jen se dál bavte na svých summitech, ve svých komisích... G7, G8, zpravodajské služby, sledování, terorismus," píše se na stránce. "Už jsme věděli, že my Italové platíme. Mezitím si prosím užijte necenzurované zveřejnění některých dat ukradených z vašeho vzácného informačního systému," napsali hackeři.
Hackeři mohou špehovat lidi přes kamery. Kvůli chybám v ovládacím softwaru
20.6.2017 Novinky/Bezpečnost Hacking
Zneužít chyby v IP kamerách čínské výroby mohou relativně snadno počítačoví piráti. Touto cestou pak mohou špehovat bez vědomí uživatele lidi, kteří se budou nacházet před objektivem. Na chyby upozornila bezpečnostní společnost F-Secure.
Opticam i5 HD
FOTO: archív výrobce
Zranitelnosti umožňují útočníkovi ovládnout kameru, sledovat video a v některých případech i získat přístup k dalším zařízením nacházejícím se ve stejné síti,“ varoval Pavel Bašta, analytik Národního bezpečnostního týmu CSIRT.CZ.
Zranitelnosti byly objeveny prozatím ve dvou kamerách čínské společnosti Foscam. Konkrétně v modelech Foscam C2 a Opticam i5 HD.
Opticam i5 HD
Jak upozornili bezpečnostní výzkumníci společnosti F-Secure, postižených IP kamer bude daleko více, neboť totožný ovládací software používá více výrobců. „Je pravděpodobné, že se zranitelnosti budou nacházet i v dalších značkách, jako jsou Chacon, 7links, Netis, Turbox, Thomson, Novodio, Nexxt, Ambientcam, Technaxx, Qcam, Ivue, Ebode a Sab,“ doplnil Bašta.
Aktualizace zatím chybí
To představuje poměrně velké bezpečnostní riziko, neboť počítačoví piráti mohou kvůli chybám snadno získat nadvládu nad poměrně velkým množstvím kamer. Zda už byla chyba skutečně zneužita, však v tuto chvíli není jasné.
Samotní uživatelé se před objevenými trhlinami příliš chránit nemohou. Musí totiž počkat až do doby, kdy jednotliví výrobci vydají aktualizace ovládacích softwarů jednotlivých kamer. To ale může trvat klidně i několik týdnů.
Jedinou spolehlivou obranou je tak v tomto případě bohužel pouze odpojení kamer od počítačové sítě.
Za útoky na internetu hrozí sankce, varovala EU
19.6.2017 Novinky/Bezpečnost BigBrother
Země Evropské unie varovaly, že by na protiprávní činy v kybernetickém prostoru mohly společně reagovat například uvalením sankcí. Plyne to ze závěrů pondělního jednání ministrů zahraničí osmadvacítky v Lucemburku. Upozornění přichází v době, kdy se v USA i jinde mluví o snaze Ruska prosazovat své cíle právě prostřednictvím různých operací na internetu. V souvislosti s operacemi v kybernetickém prostoru ale bývá zmiňována také Čína nebo Severní Korea.
"EU je znepokojena čím dál větší schopností a odhodláním státních i nestátních aktérů sledovat své cíle prostřednictvím nepřátelských činností v kyberprostoru," uvedli ministři zahraničí osmadvacítky. Pokud by byl takový postup v rozporu s mezinárodním právem, vyhrazuje si podle nich unie možnost společného postupu.
Ministři také zdůraznili, že státy by neměly vědomě umožňovat, aby jejich území bylo využíváno pro páchání mezinárodně protiprávních činů za využití informačních a komunikačních technologií.
Mezinárodní spory v kybernetickém prostoru
Reakce EU na nepřátelské činnosti v kyberprostoru bude podle v pondělí přijatých závěrů schůzky využívat opatření společné zahraniční a bezpečnostní politiky, včetně opatření omezujících, tedy sankcí, pokud by byly nutné.
"Společná reakce EU na nepřátelské činnosti v kyberprostoru bude přiměřená rozsahu, míře, trvání, intenzitě, komplexnosti, propracovanosti a dopadu dané činnosti v kyberprostoru," uvedli ministři zahraničí EU.
Zdůraznili, že unie je odhodlána řešit mezinárodní spory v kybernetickém prostoru mírovými prostředky a snaží se o posilování spolupráce a snižování rizika nesprávného výkladu, eskalace a konfliktů, které mohou z incidentů v oblasti informačních a komunikačních technologií vyvstat.
Internet v roce 2021: 4,6 miliardy uživatelů a 3,1 milionů DDoS útoků
19.6.2017 SecurityWorld Analýzy
Do roku 2021 vzroste počet uživatelů internetu na 4,6 miliardy a připojeno bude přes 27 miliard zařízení – z toho více než 50 % budou tvořit zařízení internetu věcí. Stroje se tak vůbec poprvé stanou většinovým uživatelem internetu, nicméně prvenství v objemu dat i nadále zůstane lidem, kteří budou konzumovat celých 95 % internetového provozu. Množství přenesených dat se do roku 2021 globálně ztrojnásobí a dosáhne 3,3 zettabytů ročně, což je zhruba ekvivalent 825 miliard DVD nosičů. Dominantním obsahem bude video, které bude tvořit 80 % internetového provozu. Tyto závěry přinesla pravidelná studie Cisco Visual Networking Index. Ta dále předpovídá, že s narůstajícím objemem dat také poroste množství kybernetických útoků typu DDoS, které využívají infikovaná zařízení k zahlcení cíle velkým množstvím požadavků.
Studie Cisco Visual Networking Index (VNI) již 12 let pravidelně mapuje globální datový provoz. Aktuální studie se zaměřila na předpokládaný vývoj mezi lety 2016 a 2021 a předpovídá široké dopady, které bude mít na internet postupující digitální transformace. Právě ta bude hlavní příčinou strmě rostoucího počtu připojení pro komunikaci strojů (M2M).
Nejrychleji digitalizovaným odvětvím se podle odhadů Cisco stane zdravotnictví, což bude souviset s rozvojem zdravotních monitorů, dávkovačů léků a s připojením tzv. first responderů (nárůst o 30 % ročně). Druhou nejrychleji rostoucí oblastí se stane odvětví propojených vozidel a aplikací pro chytrá města (nárůst o 29 % ročně).
„Touto studií otevíráme okno do budoucnosti internetu. Skrz ně můžeme nahlédnout do světa, kde je každodenní realitou vzájemná komunikace mezi miliardami strojů a zařízení, ale kde drtivou většinu obsahu budou stále spotřebovávat lidé. Můžeme se těšit na boom zábavních vychytávek jako jsou rozšířená a virtuální realita, většina domácností si bude užívat možností 4K televizí. Více lidí si bude vybírat obsah na míru prostřednictvím internetového vysílání. S tím porostou jejich nároky na rychlost a kvalitu připojení, a technologické firmy i poskytovatelé služeb se na to musí připravit,“ říká Michal Stachník, generální ředitel Cisco ČR.
Již dnes tvoří video většinu internetového provozu, v roce 2016 představovalo 67 %. Trend růstu bude pokračovat a v roce 2021 dosáhne tento poměr 80 %. Na tento nárůst bude mít velký vliv rozvoj nových médií, která využívají přímého přenosu, například streamovací televize, streaming jednotlivých uživatelů či sociální sítě. Přímé přenosy vzrostou mezi lety 2016 a 2021 15krát a budou tvořit 13 % veškerého přenosu videa. Podobný boom zažije i virtuální a rozšířená realita. Provoz těchto technologií vzroste 20krát. Počet 4K televizí se zvýší z 85 milionů v roce 2016 na 663 milionů v roce 2021. Zatímco dnes tvoří 15 % připojených televizorů, v roce 2021 už budou mít 56% většinu.
V roce 2016 se internetem každý měsíc přeneslo 96 exabytů dat. Podle studie Cisco VNI naroste do roku 2021 téměř trojnásobně na 278 exabytů. Ročně tedy bude činit IP provoz zhruba 3,3 zettabytů. Pro představu, jeden exabyte odpovídá zhruba velikosti HD videa v délce 36 000 let či 250 000 000 DVD nosičů. V roce 2021 tedy internetem projde objem dat srovnatelný s HD videem v délce skoro 120 milionů let (to je například dvakrát delší doba než před kterou žil Tyrannosaurus Rex). Celý datový provoz internetu by se tak vešel zhruba na 825 miliard DVD nosičů.
Již v roce 2016 generovala mobilní či jiná bezdrátová zařízení většinu internetového provozu (62 %). Jejich poměr poroste i nadále a v roce 2021 se jejich podíl zvýší na 73 %. S tím souvisí i prudký nárůst Wi-Fi hotspotů. Zatímco v roce 2016 jich bylo na světě v provozu asi 85 milionů, v roce 2021 jejich počet stoupne na 526,2 milionů. Zeměmi s největším počtem hotspotů budou v roce 2021: Čína (170 milionů), USA (86 milionů), Japonsko (33 milionů) a Francie (30 milionů).
Studie přinesla také porovnání mezi jednotlivými světovými regiony. Ze statistik vyplývá, že v roce 2016 bylo k internetu připojeno 44 % světové populace. V roce 2021 se zvýší počet uživatelů internetu ze současných 3,3 miliard na 4.6 miliard, bude tak připojeno 58 % všech lidí na světě. Výrazně se zvýší také počet připojených zařízení na jednoho člověka. Na jednoho člověka připadalo 2,3 zařízení (2016) a tento počet naroste na 3,5 (2021). Průměrná rychlost připojení se v roce 2021 zvýší ze 27,5 Mb/s na 53 Mb/s a na každého člověka připadne měsíčně 35,5 GB přenesených dat.
V regionu střední a východní Evropy (CEE) bude tento vývoj obdobrný. V roce 2016 zde bylo připojeno 60 % populace, což se v roce 2021 zvýší na 72 %. V regionu CEE má dnes každý občan v průměru 2,5 zařízení připojená k internetu, v roce 2021 to bude už 3,8. Průměrné připojení dosáhne rychlosti 45,5 Mb/s a na jednoho člověka připadne 34,7 GB přenesených dat.
Rostoucí internetový provoz bude také velkou výzvou pro kybernetickou bezpečnost. Nejenže útočníci přicházejí se stále sofistikovanějšími typy malware, ale neustále se zvyšuje i síla DDoS útoků, která v průměru dosahuje 1,2 Gb/s. Takový tok dokáže vyřadit většinu organizací. Maximální síla se každoročně zvyšuje zhruba o 60 % a ve chvíli nejsilnějšího útoku může jeho internetový provoz představovat až 18 % provozu celého státu. Průměrná velikost DDoS útoku se každoročně zvyšuje až o 22 %, což koresponduje s nárůstem globálního internetového provozu (29 %). Zvyšuje se ale i jejich počet. V roce 2021 bude světově takových útoků podle předpovědi asi 3,1 milionů.
Na internet se omylem dostala osobní data 200 miliónů Američanů
19.6.2017 Novinky/Bezpečnost BigBrother
Osobní údaje téměř 200 miliónů Američanů byly volně k nahlédnutí na internetu kvůli chybě způsobené při jejich zpracování. Na veřejně přístupný server je omylem umístila analytická firma pracující pro Republikánskou stranu. Data včetně adres či telefonních čísel byla přístupná možná až několik měsíců, informují americká média.
Balík dat o velikosti 1,1 terabytů objevil expert na kybernetickou bezpečnost Chris Vickery v nezakódovaném cloudovém úložišti. Umístila ho tam společnost Deep Root Analytics, která před loňskými volbami pracovala na voličských analýzách pro republikány.
„Bereme na sebe veškerou odpovědnost za tuto situaci. Na základě dosavadních informací se nedomníváme, že by na nás zaútočili hackeři,” řekl zakladatel firmy Alex Lundry webu Gizmodo.com, který o věci informoval. Jak dlouho byla data veřejně přístupná, neuvedl, dodal pouze, že již byla zakódována.
Společnost data podle médií naposledy aktualizovala v lednu. Vedle jmen, adres a telefonů databáze obsahovala mimo jiné data narození či u které politické strany se dotyčný registroval k volbám.
Americké strany běžně využívají obsáhlé databáze voličů, které se před volbami snaží velmi aktivně oslovovat. K podobně rozsáhlému zveřejnění podle dostupných informací ale došlo patrně vůbec poprvé.
„Je to velmi znepokojující. Nejsou to jen citlivé, ale ty nejcitlivější informace, z nichž lze vyčíst, jak se lidé chovají, jaké mají názory a přesvědčení,” řekla stanici BBC Frederike Kaltheunerová z nevládní společnosti Privacy International, podle níž podobně velké objemy dat nesbírají jen politické strany, ale i internetové marketingové firmy.
Výdaje na ochranu cloudů rostou vůbec nejrychleji
19.6.2017 SecurityWorld Zabezpečení
Oblast cloudových bezpečnostních služeb poroste nadále rychlým tempem – v roce 2017 dosáhne podle společnosti Gartner celkového objemu 5,9 miliardy dolarů, což je o 21 % víc než v roce 2016.
Celkově poroste segment cloudových bezpečnostních služeb rychleji než celý trh informační bezpečnosti. Analytici společnosti Gartner odhadují, že globální trh cloudových bezpečnostních služeb naroste do roku 2020 bezmála na 9 miliard dolarů (viz tabulka).
SIEM (Security Information and Event Management), IAM (Identity and Access Management) a nově se rodící technologie jsou nejrychleji rostoucími segmenty cloudových bezpečnostních služeb
„Zabezpečení emailu, webu a oblast IAM zůstávají ve firmách třemi hlavními cloudovými prioritami,“ říká Ruggero Contu, ředitel výzkumu společnosti Gartner.
Služby zabezpečující tyto priority, včetně řešení SIEM, a také další nové typy služeb mají největší předpoklady k růstu. Mezi tyto nově se objevující a rychle rostoucí služby patří využívání zpráv o nových hrozbách (threat intelligence enablement), cloudová pískoviště pro malware (tzv. sandboxing), šifrování dat v cloudu, správa ochrany koncových bodů, informace o hrozbách a webové aplikační firewally (WAF).
Cloudové bezpečnostní služby
Odhad vývoje trhu (miliony dolarů)
Segment
2016
2017
2018
2019
2020
Bezpečné e-mailové brány
654,9
702,7
752,3
811,5
873,2
Bezpečené webové brány
635,9
707,8
786,0
873,2
970,8
IAM, IDaaS, ověřování uživatelů
1 650,0
2 100,0
2 550,0
3 000,0
3 421,8
Vzdálené vyhodnocování zranitelností
220,5
250,0
280,0
310,0
340,0
SIEM
286,8
359,0
430,0
512,1
606,7
Bezpečnostní testování aplikací
341,0
397,3
455,5
514,0
571,1
Další cloudové bezpečnostní služby
1 051,0
1 334,0
1 609,0
1 788,0
2 140,0
Celkem
4 840,1
5 850,8
6 862,9
7 808,8
8 923,6
IDaaS = správa identit a přístupových práv jako služba (identity and access management as a service)
Nebezpečné chyby ohrožují uživatele Windows XP i Vista
19.6.2017 Novinky/Bezpečnost Zranitelnosti
Společnost Microsoft ukončila v letošním roce podporu pro operační systém Windows Vista, podobně jako tomu bylo před lety v případě populárních xpéček. Ani pro jeden systém tak už neměly vycházet aktualizace. Kvůli nově objeveným nebezpečným chybám se však americký softwarový gigant rozhodl udělat výjimku a opravy „Nové aktualizace Windows opravují chybu v zabezpečení umožňující vzdálenému útočníkovi spustit na cílovém počítači libovolný kód,“ varoval Pavel Bašta, analytik Národního bezpečnostního týmu CSIRT.CZ.
To jinými slovy znamená, že na napadený stroj mohou kyberzločinci propašovat prakticky jakýkoli virus. Uživatel o tom nemusí vůbec vědět.
Právě závažnost nově objevených trhlin je patrně jedním z hlavních důvodů, proč se americký softwarový gigant rozhodl vydat aktualizace i pro již nepodporované systémy. Vedle Windows XP je řeč také o Vistách, pro které podpora skončila už letos v dubnu.
Pro Windows XP vydal Microsoft mimochodem aktualizaci už letos v květnu. Tehdy kvůli škodlivému kódu WannaCry, jež se začal internetem šířit doslova jako lavina. Za pouhých pár dní napadl přes 300 000 počítačů ve více než 150 zemích světa.
S ohledem na možná rizika by uživatelé neměli s instalací aktualizací otálet. Stahovat opravy je možné prostřednictvím služby Windows Update, která je součástí operačního systému Windows.
Podpora skončila, systém nikoliv
Ukončení podpory ze strany Microsoftu neznamená, že by operační systém přestal ze dne na den fungovat. S trochou nadsázky se dá říci, že Windows XP i Visty jsou nesmrtelné. Pokud o to uživatelé budou stát, mohou na počítačích fungovat klidně další desítky let.
Microsoft samotnou funkčnost nijak neomezil, vše funguje jako před ukončením podpory. Problém však představuje absence bezpečnostních záplat. Riziko nákazy počítačovým virem je ale například u xpéček až šestkrát vyšší než u osmiček a ještě mnohonásobně vyšší než u aktuálně nabízených desítek.
Vhodným řešením je tak z bezpečnostního hlediska přechod na novější systém. Vybírat uživatelé přitom nemusejí pouze ze stáje Windows – k dispozici mají i řadu bezplatných alternativ.
Vir Industroyer může napadat rozvodny elektřiny a ohrozit veřejnou dopravu
19.6.2017 Novinky/Bezpečnost ICS
Malware, který odhalila společnost ESET, s největší pravděpodobností může za loňský výpadek elektřiny v části ukrajinské metropole Kyjeva. Experti se shodují, že šlo jen o test.
Ukrajinský výpadek elektrické energie, ke kterému došlo loni 17. prosince, navázal na podobnou akci hackerů z roku 2015, kdy zůstalo bez elektřiny na 250 tisíc ukrajinských domácností.
Analytici společnosti ESET nyní odhalili spojitost mezi loňským útokem a vzorky malwaru, který detekovali jako Win32/Industroyer. Výpadek elektřiny v Kyjevě podle nich mohl být jen testem, zda je malware funkční a přípravou na daleko rozsáhlejší útok, který se nemusí soustředit pouze na rozvodny elektrického proudu.
„Nedávný útok na ukrajinskou rozvodnou síť by měl sloužit jako výzva pro všechny, co jsou zodpovědní za bezpečnost kritických systémů na celém světě,“ varuje Anton Cherepanov, Senior Malware Researcher ve společnosti ESET. Industroyer je schopen přímo ovládat spínače a jističe elektrické sítě.
Používá k tomu protokoly průmyslové komunikace, které jsou po celém světě běžné pro infrastruktury napájení, systémy řízení dopravy a jiné kritické infrastruktury. Potenciální dopad této hrozby se může pohybovat v rozmezí od jednoduchého vypnutí rozvodu elektrické energie přes kaskádovité poruchy až po vážnější poškození zařízení.
Malware se chová jako systém, který napadl
„Schopnost škodlivého kódu Industroyer přetrvávat v systému a přímo zasahovat do provozu průmyslového hardwaru z něj činí největší hrozbu od Stuxnetu, který v roce 2010 úspěšně napadl íránský jaderný program. Aktuálně jde o nejnebezpečnější škodlivý software zaměřený na průmyslové řídící systémy,“ konstatuje Cherepanov.
Nebezpečnost Industroyeru spočívá v tom, že používá protokoly napadených systémů tak, jak bylo navrženo, aby byly používány, takže jeho chování nelze odhalit. Problém je v tom, že tyto protokoly byly navrženy před desítkami let a v té době byly průmyslové systémy izolovány od vnějšího světa. Proto jejich tvůrci nemysleli na jejich zabezpečení. Útočníci tedy nemuseli hledat v těchto protokolech žádné bezpečnostní chyby. Vše, co potřebovali, bylo naučit malware komunikovat s těmito protokoly, vysvětluje ESET.
Industroyer je typem vysoce přizpůsobitelného malwaru. Zatímco jeho univerzální část může být použita k útoku na jakýkoli průmyslový systém řízení a využije k tomu některé z jeho komunikačních protokolů, některé části analyzovaných vzorků malwaru byly navrženy tak, aby se zaměřily na konkrétní hardware.
CIA vyvinula „Třešňový květ,“ který obsadí třeba váš router a bude jej odposlouchávat
16.6.2017 Živě.cz BigBrother
Skupina Wikileaks zveřejnila další uniklé materiály z agentury CIA
Tentokrát popisují útoky na Wi-Fi routeru a AP body
Cherry Blossom je dokáže odposlouchávat
Skupina Wikileaks po dvou týdnech zveřejnila další balík úniků ze CIA. Zatímco na sklonku května se pochlubila materiály o kybernetické zbrani Pandemic, která mohla snadno napadnout podnikové sítě skrze protokoly SMB/CIFS, nový úlovek popisuje balík nástrojů Cherry Blossom – Třešňový květ.
Wikileaks zveřejnil detaily další kyberzbraně CIA. Jmenuje se Pandemic a mohla na přání zasáhnout celé podniky
A není to zrovna kvítek, který byste chtěli mít doma, tento Cherry Blassom totiž zaútočí třeba na váš Wi-Fi router. Tedy pokud se dostanete do hledáčku agentury, což asi nebude příliš pravděpodobné. CIA jej podle dokumentů Wikileaks vyvinula ve spolupráci s SRI International (Stanford Research Institute) a jedná se o typický útok MITM – man in the middle.
To v praxi znamená, že se program usadí přímo na routeru, respektive na něj nahraje vlastní upravený firmware. Útočník, v tomto případě agentura CIA, poté může na dálku router ovládat, ale hlavně odposlouchávat, co přes něj teče, a v případě, že se jedná o šifrovanou komunikaci (HTTPS), může se ji pokoušet oblafnout pomocí falešných certifikátů
Další várka úniků ze CIA. Wikileaks popisuje, jak se Američané údajně vydávají za Rusy, Číňany a další
Cherry Blossom se soustředí na ovládnutí těch síťových krabiček, které umožňují aktualizaci firmwaru z webu. Pakliže se to podaří, agentura může ovládnout router sledované osoby klidně ze svého ústředí pro kybernetické operace.
V rozsáhlém uživatelském manuálu (PDF) od SRI se dočtete třeba o tom, že se Cherry Blossom hodí na sběr používaných e-mailových adres, přezdívek z chatů, MAC adres a čísel pro VoIP. Útočník má ale v podstatě přístup k celé komunikaci, která přes router teče, stejně jako ji má i jeho majitel.
Skutečnost, že podobné nástroje CIA vlastní a používá, není s ohledem na její činnost nikterak překvapující, ve světle nedávné aféry WannaCry, však roste riziko potenciálních škod, které mohou nastat, pokud se podobný software dostane ven.
WannaCry totiž sám pro snadné šíření počítačovou sítí využíval kódu, který už dříve unikl na web a za kterým stála NSA. Ze serverů CIA se sice dostaly k veřejnosti jen manuály, útržky dokumentace a nejrůznějších technických zpráv – použitelné kódy naštěstí nikoliv –, už i to je však alarmující.
Pokud by se ven dostaly podobné aplikace jako Cherry Blossom nebo Pandemic, téměř jistě by brzy došlo k jejich implementaci do nejrůznějších malwarů. Přitom se vlastně nejedná o nic exotického a CIA a NSA, na rozdíl od hollywoodských filmů, nepoužívá jiné postupy, než třeba penetrační testovací linuxová distribuce Kali, která je všem zájemcům k dispozici, a ačkoliv je určená k testování zabezpečení počítačových systémů, je zároveň i oblíbenou hernou script kiddies.
První virtuální velvyslanectví bude v Lucembursku
16.6.2017 Novinky/Bezpečnost BigBrother
Estonsko se stane první zemí na světě, která soubor svých strategicky nejdůležitějších státních dokumentů uloží v elektronické podobě na bezpečném serveru v zahraničí. Oznámila to agentura Interfax. Virtuální velvyslanectví, jak Tallinn systém nazývá, bude umístěno v Lucembursku a bude mít všechny výsady skutečné diplomatické mise.
Podle estonské ministryně pro informační technologie Urve Palové budou lucemburské servery zajištěny mezinárodní imunitou a stanou se zárukou bezpečného uložení státních dokumentů pro případ jakýchkoli krizových situací.
Lucembursko bylo vybráno pro vysokou spolehlivost svých počítačových systémů, a také proto, že je dostatečně daleko od úložiště originálních dat. „Virtuální velvyslanectví bude mít naprosto stejné postavení, jako skutečné, reálné velvyslanectví Estonska v zahraničí," řekla novinářům Palová.
Premiéři Estonska a Lucemburska mají dohodu o digitálním úložišti podepsat příští úterý.
Bezpečnost internetového bankovnictví lidé podceňují, i když základní zásady znají
16.6.2017 Novinky/Bezpečnost Bezpečnost
Většina Čechů zná základní zásady, jak bezpečně využívat své internetové bankovnictví. Když ale dojde na uplatňování těchto zásad v praxi, jsou lidé liknaví. Používají jednoduchá hesla, mění je jen zřídka, a ještě větší mezery mají v zabezpečení svého mobilního telefonu. Vyplývá to z průzkumu ČSOB.
Tři čtvrtiny respondentů považují pravidelnou změnu hesla pro vstup do internetového bankovnictví za důležitou. Téměř 70 procent lidí neotevírá přílohy z e-mailů neznámých adresátů a přes 93 procent respondentů by nikomu prostřednictvím e-mailu neposkytlo důvěrné informace, jako je například číslo platební karty či heslo do internetového bankovnictví.
„To vše jsou pro nás velmi potěšující zjištění. Méně potěšující je, jak lidé tyto zásady dodržují v každodenním životě. Ukázalo se, že v mnoha případech upřednostňují pohodlí na úkor svého bezpečného pohybu na internetu,” uvedl člen představenstva ČSOB odpovědný za řízení rizik Tomáš Kořínek. Lidé si nepřipadají jako atraktivní terč pro hackera. To, že nemají na účtu milióny, ale podle něj neznamená, že jsou pro hackery nezajímaví.
Jednoduché heslo dává šanci hackerům
Podle 70 procent respondentů by se mělo heslo pro vstup do internetového bankovnictví měnit jednou nebo dvakrát za rok. Více než polovina dotázaných si svá hesla a PIN poznamenává na papír, který někteří nosí dokonce přímo v peněžence spolu s platební kartou. Ve věkové kategorii 55 až 85 let si hesla zapisují dokonce čtyři pětiny dotázaných. Lidé také často používají u různých služeb stejná nebo podobná hesla.
Jednoduché heslo dává hackerům zbytečně velkou šanci. Přitom se stačí jednou za čas pořádně zamyslet a vytvořit si silné heslo, které hackerovi vůbec nebude stát za to, aby se ho snažil prolomit, upozornil manažer bezpečnosti elektronických kanálů ČSOB Petr Vosála.
Falešné internetové bankovnictví
Jak ukázal nedávný experiment ČSOB s falešnou stránkou elektronického bankovnictví, klienti také často chybují v tom, že internetové bankovnictví navštěvují přes vyhledávače. Zde si pak v mnoha případech spletou falešný web se skutečnou stránkou internetového bankovnictví. V rámci této kampaně kliklo na falešný odkaz za měsíc více než 61 000 lidí, třetina z nich dokonce opakovaně.
Dalšímu riziku se lidé vystavují tím, že se k internetovému bankovnictví hlásí prostřednictvím nezabezpečené sítě. „Můžu mít zabezpečený počítač nejlepším antivirem, ale když se připojím k nezabezpečené Wi-Fi v kavárně nebo fastfoodu, je mi to k ničemu,” doplnil Vosála.
Chytré mobily chrání před viry jen polovina Čechů
15.6.2017 Novinky/Bezpečnost Mobilní
Chytré mobilní telefony chrání před útoky škodlivých programů jen zhruba polovina českých uživatelů, u notebooků a PC přesahuje podíl chráněných zařízení 90 procent. Vyplývá to ze statistik antivirové firmy Eset.
Chytrý mobil je přitom podle posledního průzkumu Esetu nejčastěji používaným zařízením pro přístup k internetu. Využití mobilního připojení k internetu prostřednictvím smartphonu deklaruje 79 procent respondentů, přes notebook k internetu přistupuje 71 procent Čechů a na stolním počítači 59 procent.
„Je to vůbec poprvé, co nám v průzkumu vyšlo, že se nejvíce lidí připojuje k internetu přes mobil. Z hlediska ochrany přitom stále platí, že zatímco desktopová zařízení jsou většinou chráněna antivirem, mobilní zařízení chrání jen zhruba polovina uživatelů," uvedl technický ředitel Esetu Miroslav Dvořák.
Počet kybernetických hrozeb roste
Malý podíl chráněných mobilů ostře kontrastuje s růstem kybernetických hrozeb zacílených na tablety a chytré mobilní telefony. Jde například o vyděračské aplikace zaměřené na operační systém Android.
Tři čtvrtiny uživatelů používají některý ze způsobů uzamčení displeje mobilního telefonu. Nejčastěji jde o PIN (32 procent respondentů) nebo gesto (22 procent). Otisk prstu využívá k autentizaci pětina Čechů, snímek sítnice a jiný druh identifikace dvě procenta.
Plná čtvrtina respondentů přiznala, že svůj telefon nezabezpečuje. Obdobně jsou na tom Češi i se zabezpečením externích záznamových zařízení. Nejoblíbenější USB flash disky používá 81 procent respondentů, ale jen 27 procent chrání jejich obsah šifrováním, heslem nebo klíčem.
Největší hrozby pro chytré telefony
15.6.2017 SecurityWorld Mobilní
IT týmům a bezpečnostním profesionálům mohou mobilní telefony leckdy připadat jako tikající bomba – obzvlášť v rukou neopatrných uživatelů. V době, kdy je stále častější, že si zaměstnanec kupuje své vlastní zařízení (nebo např. s přispěním zaměstnavatele), riziko ještě vzrůstá.
A ve chvíli, kdy má uživatel na svém přístroji vše – od soukromých informací přes internetové bankovnictví po pracovní dokumenty – je jakákoli hrozba, např. ve formě malwaru nebo ransomwaru, ještě znásobena.
Chris Crowley, instruktor institutu SANS, představuje pět největších mobilních bezpečnostních hrozeb současnosti.
1. Nedůvěryhodná zařízení
Ač se to může zdát pro mnohé překvapivé, chyba je často už v samotném přístroji, kdy do něj někdy během procesu prodeje byl vložen malware. Crowley uvádí příklad: CheckPoint našel na začátku letošního roku 36 zařízení s Androidem ve velké telekomunikační společnosti. Ani v jediném případě však za únik dat z mobilů nemohl uživatel: přístroje malware (v podobě závadných aplikací) obsahovaly již ve chvíli, kdy je pracovníci teprve dostávali do rukou.
„Škodlivé aplikace nebyly součástí oficiální verze operačního systému dodavatele, přidány byly až později u následného dodavatelského řetězce,“ dodává.
2. Závadné aplikace
CheckPoint například našel malware v oblíbeném obchodu s aplikacemi Google Play. Autoklikací adware „Judy“ vyvinutý korejskou společností. „Malware využívá nakažená zařízení ke generování velkého množství automatických kliknutí na reklamy, což je zdrojem příjmů pro autory. Tento konkrétní malware ve formě aplikací dosáhl téměř neuvěřitelného počtu mezi 4,5 až 18,5 miliony stažení,“ popisuje CheckPoint.
3. Užitečné aplikace, jež odvádí data.
Stará pohádka, ale zůstává stále u vrcholku žebříčku. Nainstalované aplikace, které tvrdí, že dělají jednu věc a často ji dokonce zvládají, ale k tomu potajmu odvádí data a telefon činí zranitelným, nejsou raritou; i proto, že je lze poměrně těžko odhalit.
4. Bankovní malware
Jeden z nejnebezpečnějších druhů malwaru. Analytik malwaru z laboratoří Kaspersky Roman Uchunek vidí bankovní malwarem jako v současnosti rostoucí mobilní hrozbu. Phishing se momentálně specializuje na překrývání bankovních aplikací vlastními okny a následnou krádež vepsaných informací. Kybernetičtí kriminálníci umí ukrást i data z jiných aplikací, odhalit detaily o kreditní kartě a získat mohou také autorizační číslo příchozí mobilní transakce (mTans) nebo přesměrovávat hovory.
5. Ransomware
Soutěž o „nejpopulárnější IT hrozbu současnosti“ by, s trochou nadsázky, ransomware pravděpodobně vyhrál. Rozhodně není hrozbou jen pro uživatele stolních počítačů a laptopů: napadá i mobilní telefony. Vyskakující tabulka, která zablokuje uživateli přístup k datům v systému a následně požaduje po uživateli zaplatit za dešifrování souboru, v letošním roce nepřestává děsit prosté uživatele ani IT týmy.
Ransomware se samozřejmě dále vyvíjí. Dalším logickým krokem je to, co se prozatím nazývá „ransomworm“. Tedy ransom-červ, ransomware připojený k síťovému červu.
„Po infikování jednoho stroje by se neúnavně kopíroval do všech počítačů na lokální síti,“ popisuje Corey Nachreiner z WatchGuard Technologies. „Ať už si umíte takový scénář představit nebo ne – zločinci o něm již jistě přemýšlí.“
WannaCry už hrozbu nepředstavuje. Kvůli lajdácké práci počítačových pirátů
15.6.2017 Novinky/Bezpečnost Viry
Vyděračský virus WannaCry na začátku května vyděsil takřka celý svět. Tento škodlivý kód totiž za pouhých pár hodin stihl infikovat více než 300 000 počítačů ve 150 zemích světa. Jak však nyní ukázala detailní analýza tohoto nezvaného návštěvníka, počítačoví piráti při programování WannaCry odvedli lajdáckou práci. Udělali několik zásadních chyb, díky kterým je možné napadené soubory vrátit zpět.
Analýzu vyděračského viru WannaCry provedli bezpečnostní experti z antivirové společnosti Kaspersky Lab. Právě ti upozornili na to, že autoři tohoto malwaru při jeho vývoji udělali několik chyb, díky kterým je možné napadené soubory vrátit zpět.
Zmiňované chyby v kódu umožňují podle nich snadné obnovení zašifrovaných dat. To je možné pomocí volně dostupných nástrojů, jako je například WannaKey, o kterém Novinky.cz informovaly již dříve.
Lajdácká práce počítačových pirátů se ale ukázala na napadených strojích ještě daleko více. „Při procesu zpracování ‚read-only‘ souborů chyba vůbec neumožňuje tyto soubory zašifrovat. Místo toho malware vytvoří zašifrované kopie souborů, zatímco jejich originály zůstanou netknuté a jsou pouze skryté, což jde však snadno vrátit zpět. Jednoduše řečeno, malwaru se nepodaří originály smazat,“ popsal jednu z hlavních chyb ve WannaCry Anton Ivanov, bezpečnostní odborník společnosti Kaspersky Lab.
„S podobnými chybami jsme se už v minulosti několikrát setkali – autoři ransomwaru často dělají závažné chyby, které následně umožňují bezpečnostním systémům úspěšně navrátit napadené soubory. A právě to je i případ WannaCry – přinejmenším první a zároveň nejrozšířenější verze této ransomwarské rodiny. Pokud jím byl uživatelův počítač napaden, existuje velká šance na obnovu většiny souborů,” doplnil Ivanov.
Jak probíhá útok viru WannaCry
WannaCry – první i vylepšená druhá generace – útočí úplně stejně jako ostatní vyděračské viry, které jsou označovány souhrnným názvem ransomware. Nejprve tedy škodlivý kód pronikne do počítače, pak jej uzamkne a zašifruje všechna data. Za jejich zpřístupnění následně počítačoví piráti požadují výkupné.
Je však nutné zdůraznit, že ani po zaplacení výkupného uživatelé nemají jistotu, že se k datům dostanou.
WannaCry se začal internetem šířit v polovině května. Za pouhých pár hodin stihl nakazit více než 300 000 počítačů ve více než 150 zemích světa. Takřka polovina všech zachycených detekcí (45,07 %) připadá na Rusko. Je to dáno tím, že především v tamních chudých lokalitách ještě uživatelé hojně používají zastaralý operační systém Windows XP, který byl škodlivým kódem WannaCry nejvíce zranitelný.
Druhou a třetí příčku pak zaujaly Ukrajina (11,88 %) a Tchaj-wan (11,55 %). Ostatní státy, které se dostaly v žebříčku nejpostiženějších zemí do první desítky, měly podíl tak v řádech jednotek procent. Šlo například o Egypt, Indii či Filipíny.
Česká republika zasažena jen okrajově
Česká republika skončila v přehledu s podílem 0,15 % až na 52. místě. Sluší se nicméně podotknout, že spodní příčky měly velmi podobný podíl až prakticky do konce žebříčku, který obsahovat 150 států. Například sousední Slovensko ale na tom bylo hůře – virus WannaCry tam měl podíl 0,26 %.
V Česku byly přitom infikovány stovky strojů. „Podle našich údajů počet infekcí překonal číslo 620,“ uvedl již dříve na dotaz Novinek Pavel Bašta, bezpečnostní analytik Národního bezpečnostního týmu CSIRT.CZ.
Ani kontrolní systém Applu není dokonalý. Podvodníci za falešnou aplikaci vyinkasovali téměř 2 miliony
15.6.2017 Živě.cz Apple
Podvodníci nabízeli falešný antivir, který ale nic nedělal
Za odstranění neexistujícího malwaru si účtovali tisíce
K dvoumilionovému výdělku stačilo 200 podvedených
Ani kontrolní systém Applu není dokonalý. Podvodníci za falešnou aplikaci vyinkasovali téměř 2 miliony5 FOTOGRAFIÍ
zobrazit galerii
Drtivou většinu nebezpečných aplikací pro systém iOS odfiltruje schvalovací systému Applu, kterým si každá aplikace i její aktualizace musí projít před zveřejněním v App Store. Ať už se jedná o podvody nebo malware, k uživatelům proklouzne jen minimální množství škodlivých aplikací. Pokud se tak ale stane, vývojáři si takovým jednáním mohou přijít na velké peníze. Jeden ze způsobů nyní popsal Johny Lin na webu Medium.
Podvodníci v několika zdokumentovaných případech zneužívají nákupeů přímo v aplikacích, které mohou být potvrzeny velmi snadno a rychle a méně pozorný uživatel může nechtěně dokoupit draze placený obsah. V případě legitimních aplikací je takový proces v pořádku, tady si ale uživatelé připlatili 400 dolarů měsíčně za službu, která neexistuje.
Falešný antivir
Johny Lin si všimnul podezřelé aplikace v seznamu těch nejvýdělečnějších za poslední měsíc. Mezi zaběhnutými a notoricky známými aplikacemi se totiž na desáté místo v žebříčku dostala ta s názvem Mobile protection :Clean & Security VPN. A to včetně chyb v názvu. Pokud potom porovnal data s odhadnutým výdělkem, zjistil, že si vývojáři přišli na 80 tisíc dolarů (asi 1,8 milionu korun) za měsíc.
Trik podvodníků samozřejmě zneužíval neznalost a strach méně zkušených uživatelů – nabídnul falešný antivir, který v telefonu objevil škodlivý obsah a za odstranění si uživatel samozřejmě musel zaplatit. Nebyla to však nijak skromná částka – pomocí předplatného totiž vývojáři požadovali 100 dolarů za týden, přičemž uživatel pomocí Touch ID potvrdil jak jednorázovou platbu, tak dlouhodobé předplatné. Při pohledu na tuto částku už není tak nepochopitelné, jak si podvodníci mohli přijít na 80 tisíc dolarů za měsíc. Stačilo totiž takto oklamat pouhých 200 uživatelů.
Otázkou však je nejen to, jak se taková aplikace dostala do App Store, kde zkrátka mohl selhat lidský faktor při schvalování. Vážnějším problémem je spíše fakt, že mohla nepoužitelná aplikace bez legitimního fungování vyrůst napříč App Storem tak, aby ji stáhlo dostatek uživatelů. V tomto případě to bylo přes 50 000 lidí. Odpovědí jsou reklamy, které Apple ve virtuálním obchodě začal používat minulý rok – na hledání v obchodě se uživatelům může ještě před samotným seznamem vyhledaných aplikací objevit jedna inzerovaná. Ta samozřejmě musí odpovídat klíčovým slovům, která očividně volili podvodníci velmi dobře. Z obrovského množství stažených aplikací jim tak stačila konverze pouhých 0,4 % k téměř dvoumilionovému výdělku za měsíc.
Děravý systém reklam
Johny Lin upozorňuje na to, že tahle aplikace není jediná, která takového podvodu zneužívala – našel minimálně tři další, které byly postaveny na stejném principu falešné bezpečnostní aplikace a obřích předplatných.
Apple by měl zapracovat hned na několika vylepšeních, které by takové podvody ztížily nebo zcela znemožnily. Je to například zřetelnější dialog, kterým uživatelé pomocí Touch ID potvrzují platbu. V tomto případě totiž podvodníci nechali své oběti kliknout na tlačítko Free Trial a následně po nich požadovali sto dolarů za týden. Zlepšit by se také měly možnosti pro nahlášení závadných aplikací a jejich promtní odstranění z App Store. Ale tím hlavním zádrhelem v tomto případě je reklamní systém. Aplikace, u nichž vývojáři platí za inzertní kampaň musí projít ještě pečlivější kontrolou a rovněž by reklamní aplikace měly být více zvýrazněny. V aktuální podobě totiž uživatelé často netuší, že klikají na reklamu.
Microsoft opět vydal záplatu pro Windows XP. Je to chyba, XPčka patří do koše
15.6.2017 Živě.cz Zranitelnosti
Rozšířená podpora Windows XP skončila už před třemi lety
A Microsoft od té doby vydal už několik klíčových záplat
Tím zdánlivě prodlužuje životnost XP a to je chyba
Windows XP, prostředí Luna a tapeta BlissBSOD: Jedna z nejméně oblíbených funkcí Windows XPLegendární tapeta Bliss z Windows XPWindows XP a prohlížečAlternativní nabídka Start is back a téma Windows XP na Windows 1021 FOTOGRAFIÍ
8. dubna 2014 dorazila na Windows XP poslední várka záplat a legendární, nicméně už tehdy přes všechny servisní balíčky notně zastaralý, systém se konečně odporoučel alespoň do formálních věčných lovišť.
Ne, tak tomu bohužel nebylo. To už teď víme všichni.
Tak skončila podpora Windows XP, nebo ne?
Na sklonku dubna totiž postrašila komunitu kritická chyba napříč tehdejšími verzemi Internet Exploreru, a Microsoft tak nakonec porušil pravidlo a hned první květnový den vydal záplatu i pro Windows XP. Stalo se tak poprvé v jeho historii, kdy se věnoval operačnímu systému po definitivním konci jeho podpory. Domnívám se, že to byla chyba, která jen zpomalila přechod domácích uživatelů i firem na novější verzi Windows, mnozí totiž nabyli dojmu, že když se objeví nějaký další průšvih, Microsoft jej chtě nechtě stejně zase opraví.
Klepněte pro větší obrázek
Windows XP patří na staré počítače z doby předfacebookové a ne na ty současné a připojené k internetu
Jedna záplata přitom neřeší problém starého operačního systému jako takového, což potvrdila na podzim téhož roku analýza AVG, podle které patřily XPčka k nejnakažlivějším tržně-relevantním systémům té doby. Patrně je tomu dodnes.
Adrienne Hallová z Microsoftu v každém případě hned po vydání záplaty pro Windows XP v blogu upozorňovala uživatele, že se jedná o naprostou výjimku a firma se rozhodla opravit IE pro XPčka pouze z toho důvodu, že jejich podpora skončila teprve před pár týdny.
Bude se to opakovat i u Windows 7?
Již brzy bude Microsoft řešit stejná dilemata i v souvislosti s Windows 7, pomalu se totiž blíží i konec jejich rozšířené podpory. Ta základní skončila dokonce už před dvěma lety. Stárnutí Windows 7 jsme se věnovali v naší diskuzi.
Po třech letech zasáhl svět WannaCry a Microsoft opět porušil vlastní pravidla hry
Následující tři roky uplynuly jako voda, základna uživatelů Windows XP pozvolna klesla na 5,7 % (NetMarketShare, květen 2017) a v Česku dokonce až na 4,1 % (Rankings, květen 2017), načež počítačový svět v plné síle zasáhla aféra ransomwaru WannaCry, jehož autoři zneužili zranitelnost, která unikla z americké Bezpečnostní agentury NSA.
Ačkoliv se mělo za to, že WannaCry největší silou zasáhne právě XPčka, ta byla nakonec natolik technologicky zastaralá, že po spuštění malwaru často havarovala a namísto zašifrování souborů se naštěstí zobrazil BSOD – modrá obrazovka smrti, která mnohé zachránila. Ach ty počítačové paradoxy.
I z tohoto důvodu nakonec vládly žebříčkům nejpostiženějších systémů Windows 7. I to je paradoxní, oprava, která by zamezila masivnímu šíření WannaCry právě na Sedmičkách totiž byla k dispozici už nějaký měsíc.
Microsoft nicméně opět porušil pravidlo a vydal speciální bugfix pro Windows XP, jenž měl zalátat díry, kterými se do systému hodlal dostat právě WannaCry. I tentokrát redmondští manažeři hájili krok jako naprosto výjimečný, který odpovídal závažnosti problému.
Jak však píše Peter Bright z Ars Techniky: „There will always be one more emergency.“ Jinými slovy, XPčka nebudou nikdy dostatečně zabezpečená a stejně tak nehrozí, že bychom se snad měli v dohledné době dočkat okamžiku, kdy útočníci všeho druhu přestanou psát malware. Dělají to přeci posledních třicet let a jejich aktivita je přímo úměrná velikosti globálního počítačového ekosystému počínaje vašim mobilním telefonem a konče třeba superpočítačem NASA Pleiades v Mountain View.
Měsíc poté Microsoft opět opravuje XPčka a paradoxně tak prodlužuje jejich životnost
A skutečně, měsíc po útoku WannaCry Microsoft v rámci svého Patch Tuesday opět udělal výjimku, ze které se už pomalu stává samozřejmost, a opět vydal záplaty pro Windows XP a další již nepodporované verze; třeba Server 2003. Je jich celá hromada, na rozdíl od automatického aktualizačního systému je musí případní majitelé těchto muzejních softwarů nainstalovat ručně a mají opravit další související zranitelnosti, kterých by mohly zneužít v rámci kybernetického boje a špionáže nejrůznější státní agentury (Microsoft zjevně míří na Rusko a Čínu).
Klepněte pro větší obrázek
Aby byly podniky lépe chráněné třeba proti kybernetické špionáži, Microsoft jim vydal záplatu pro tři roky nepodporovaný operační systém. To není zrovna nelichotivější vizitka pro zainteresované firmy a možná i státní úřady.
Ano, obrana před potenciální průmyslovou špionáží a útoky ze strany Ruska a Číny je pro americké podniky klíčová – ostatně mnozí se domnívají, že i stopy v případě WannaCry směřují na východ –, ale možná by bylo mnohem lepší ochranou, než vydávat záplaty na 16 let starý operační systém (!), prostě sakra konečně přejít na nový.
Ačkoliv je totiž globální podíl Windows XP zdánlivě zanedbatelný, faktem zůstává, že i nadále přežívá v nejednom podniku, čímž si ostatně vydání opravdu, ale opravdu výjimečného bugfixu ospravedlňuje i Microsoft.
Začarovaný kruh
A tak tu máme začarovaný kruh. Mnohé firmy se stále nezbavují Windows XP, protože když bude nejhůře, Redmond tu záplatu prostě vydá a basta. A Redmond tu záplatu nakonec opravdu uvolní, protože některé podniky nejsou schopny, nebo ochotny ani tři roky po ukončení rozšířené podpory Windows XP přejít na modernější alternativu – ať už je jakákoliv. Tímto přístupem přitom zvyšují riziko na celém internetu.
Zároveň, jak už bylo řečeno, oprava jednoho problému nikterak nezvyšuje bezpečnost Windows XP jako celku. XPéčka jsou děravá a zastaralá už z principu. Mít nějaká v naší brněnské podnikové síti, útočil bych na ně z dlouhé chvíle s Kali na USB klíčence i já.
Hackerské útoky na volební systémy v USA zaznamenali v 39 státech
14.6.2017 Novinky/Bezpečnost BigBrother
Hackerské útoky proti elektronickým volebním systémům v rámci loňských prezidentských voleb v USA byly mnohem rozsáhlejší, než se dosud uvádělo. S takovou zprávou přišla v úterý agentura Bloomberg odvolávající se na tři zdroje blízké vyšetřování. Bloomberg informoval, že útoky byly vedeny v 39 federálních státech a stojí za nimi Rusové. Situace prý byla natolik vážná, že si administrativa tehdejšího prezidenta Baracka Obamy prostřednictvím horké linky přímo stěžovala Moskvě.
Hackeři se podle zprávy pokoušeli proniknout do voličských seznamů a dalších softwareových systémů. V Illinois se měli pokusit vymazat nebo změnit voličská data. Pronikli také do softwaru pro volební průzkum a v nejméně jednom státu se ve volební den dostali do finanční databáze volebního štábu.
Rozsah útoků a jejich důmyslnost podle Bloombergu Američany vyděsily natolik, že si Obamova vláda prostřednictvím horké linky stěžovala v Moskvě, což je bezprecedentní.
V říjnu, tedy měsíc před volbami, měl pak Bílý dům prostřednictvím diplomatických kanálů Kremlu nabídnout podrobné dokumenty o ruských zásazích do voleb a varovat Moskvu, že takové vměšování by mohlo přerůst ve větší konflikt. Obama následně v prosinci vyhostil ze Spojených států ruské diplomaty a vysvětlil to právě ruským zasahováním do voleb. Jeho nástupce Donald Trump, který během kampaně prosazoval smíření a spolupráci s Ruskem, tento krok odsoudil, ale zatím ho oficiálně nezvrátil.
Možná vlastenci
Rusko hackerské útoky popírá, prezident Vladimir Putin však nedávno nevyloučil, že by za nimi nějací ruští občané stát mohli. V tom případě by se podle něj jednalo jen o „zapálené vlastence“ jednající na vlastní pěst.
Podle Bloombergu je otázka, jak to, že se ruská rozvědka nepokusila volby narušit, když byly prolomeny americké volební systémy na státní i místní úrovni. Odpovědí by podle agentury mohla být buď skutečnost, že Obamovo varování zabralo, anebo pravděpodobněji to, že hackeři neuspěli natolik, aby ovládli tisíce systémů, které jsou v USA rozličné kvůli specifikům volebních pravidel v různých státech.
Bizarní cirkus pokračuje. Microsoft nabízí další záplaty i pro Windows XP a Vista
14.6.017 CNEWS.cz Zranitelnosti
„Žádné další záplaty pro Windows XP nevydáme“. Tak určitě.
Červnové záplatovací úterý není tak výjimečné jako dubnové, které nabídlo oficiálně poslední záplaty pro Windows Vista a současně zahájilo širokou distribuci nové hlavní verze Desítek.
Je ale výjimečné tím, že opět nabízí aktualizace pro nepodporované verze Windows, tj. zejména XP a Vista. K výjimečnému vydání aktualizace pro Ikspéčka došlo podruhé v historii nedávno, a to v souvislosti s ransomwarem WannaCry.
Další mimořádné záplaty pro Windows XP a Vista
Včera uvolněné opravy jsou třetím případem mimořádné aktualizace vydané po skončení podpory Windows XP a druhé v případě Windows Vista. Microsoft tak učinil, protože zaznamenal konkrétní rizika spojená s organizacemi, které by mohly podlehnout kybernetickým útokům. Jako projev dobré vůle příslušné díry opravuje i ve dvou zmíněných nepodporovaných systémech (plus ve Windows 8 a Windows Server 2003), viz MSA 4025685.
Proč? Určitě se jedná o výbornou zákaznickou podporu. Možná si chce firma přihřát polívčičku po útoku obávaného WannaCry, který se stal mediálním trhákem. Stále však platí, co jsem už kdysi zmínil.
Komentář: Vyhýbáte se aktualizacím? Jste nezodpovědní a ohrožujete společnost
Z novinářů a novinářek, kteří seznamují uživatelstvo s tím, že by nepodporovaný systém nemělo používat a že žádné další aktualizace neobdrží, činí lháře a lhářky. Sám pak vystupuje jako pokrytec a shazuje rozhodnutí těch, kdo se kvůli bezpečnosti rozhodli přejít na podporované verze Windows. Navíc tím vytváří pocit falešného bezpečí – někdo si to může vyložit tak, že i nepodporovaný systém je zabezpečený.
Záplaty pro Ikspéčka nebo Vistu tak nejsou automaticky přínosem. Navíc si sám Microsoft stěžoval na organizace, které neaktualizují. Právě neaktualizované počítače byly hlavní příčinou, proč je WannaCry napadl. Navíc některé vládní organizace hledají díry v systémech a Microsoftu o nich neříkají, aby je sami mohly zneužívat. (Exploit využitý ransomwarem WannaCry pochází od NSA.) Vládám pak Microsoft na oplátku ošetří záplatami počítače s nepodporovanými systémy. Je to vlastně bizarní situace.
Souhrnné informace
Jinak můžete skrze Windows Update stáhnout nové aktualizace pro podporované verze Windows, záplat se dočkaly také kancelářské balíky Microsoft Office. Přehledné reporty o záplatách Microsoft zrušil, místo nich nabízí tyto méně přehledné a méně detailní přehledy, další informace pak naleznete v tomto přehledu. (Děkujeme, tohle přehlednosti rozhodně nepomohlo.) Celkem pro své softwarové produkty vydal Microsoft patnáct záplat.
Opravné balíčky formou kumulativních aktualizací neminuly ani Desítky, Osmičky a Sedmičky:
aktualizace KB4022725 pro Windows 10 v1703 zvedá číslo sestavení na 15063.413 či 15063.414,
aktualizace KB4022715 pro Windows 10 v1607 zvedá číslo sestavení na 14393.1358,
aktualizace KB4022714 pro Windows 10 v1511 zvedá číslo sestavení na 10586.962,
aktualizace KB4022727 pro Windows 10 v1507 zvedá číslo sestavení na 10240.17443,
aktualizace KB4022726 pro Windows 8.1 přináší všechny opravy,
aktualizace KB4022717 pro Windows 8.1 přináší jen záplaty,
aktualizace KB4022719 pro Windows 7 přináší všechny opravy,
aktualizace KB4022722 pro Windows 7 přináší jen záplaty.
Všechny aktualizace, které jsou pro vaše zařízení dostupné, získáte prostřednictvím služby Windows Update. Abych byl přesný, v novější verzích Windows může Office využívat vlastní aktualizační mechanismus.
Eset objevil Industroyer, vážnou hrozbu pro průmyslové řídící systémy
14.6.2017 SecurityWorld ICS
Tento malware hrozí narušením kritických průmyslových procesů a představuje největší riziko od Stuxnetu.
Analytici společnosti Eset objevili vzorky malwaru schopného napadat infrastrukturu elektrického napájení. Malware, který Eset detekuje jako Win32/Industroyer, byl s největší pravděpodobností zapojen do útoku na energetickou síť Ukrajiny, během něhož byla v prosinci 2016 část ukrajinského hlavního města Kyjeva na hodinu odstavena od elektrické energie.
„Nedávný útok na ukrajinskou rozvodnou síť by měl sloužit jako výzva pro všechny, co jsou zodpovědní za bezpečnost kritických systémů na celém světě,“ varuje Anton Cherepanov, Senior Malware Researcher ve společnosti Eset.
Analytici společnosti Eset zjistili, že Industroyer je schopen přímo ovládat spínače a jističe elektrické sítě. Používá k tomu protokoly průmyslové komunikace, které jsou po celém světě běžné pro infrastruktury napájení, systémy řízení dopravy a jiné kritické infrastruktury. Potenciální dopad této hrozby se může pohybovat v rozmezí od jednoduchého vypnutí rozvodu elektrické energie přes kaskádovité poruchy až po vážnější poškození zařízení.
„Schopnost škodlivého kódu Industroyer přetrvávat v systému a přímo zasahovat do provozu průmyslového hardwaru z něj činí největší hrozbu od Stuxnetu, který v roce 2010 úspěšně napadl íránský jaderný program. Aktuálně jde o nejnebezpečnější škodlivý software zaměřený na průmyslové řídící systémy,“ uzavírá Anton Cherepanov.
Americká kybernetická válka proti Islámskému státu selhala
13.6.2017 Novinky/Bezpečnost BigBrother
Snahy americké armády a bezpečnostních služeb narušit internetovou komunikaci Islámského státu (IS) přinesly většinou jen velká zklamání, napsal list The New York Times s odvoláním na experty a bývalé velitele. Islámský stát nadále bez problémů šíří svou propagandu a verbuje lidi.
„Obecně tu panuje pocit rozčarování ohledně schopnosti uštědřit velký úder IS pomoci kybernetických operací,“ řekl Joshua Geltzer, bývalý ředitel protiteroristických operací Národní bezpečnostní rady, kde působil do letošního března. „V praxi je to mnohem těžší, než si lidé myslí. Nikdy to není tak snadné jako se dostat do systému a myslet si – teď uvidíte, jak věci nadobro zmizí.“
Efektivita kybernetických zbraní podle něj narazila na své limity, když se pokusil zabránit tomu, aby Islámský stát přestal na internetu masově šířit svou propagandu a verbovat bojovníky i používat šifrované kanály pro komunikaci.
Globální síť IS je většinou navzdory územním ztrátám v Sýrii a Iráku nedotčená, řekl na jaře Nicholas Rasmussen z Národního protiteroristického centra. Skupina pokračuje v publikování tisíců propagandistických děl a používá aplikace na síti, aby organizovala své příznivce a inspirovala je k útokům.
Jsme schopni je oslepit
Generál Jeffrey Harrigian, velitel spojeneckého letectva v Iráku
Islámský stát je tvrdým protivníkem v oblasti kybernetické války. Džihádisté nepoužívají internet a sociální sítě při vývoji a testech nových zbraní, ale k šíření propagandy a rekrutování bojovníků i k získávání prostředků a koordinování útoků. Takové aktivity nejsou spojeny s jedním určitým místem, jako byly íránské centrifugy, které Spojené státy vyřadily z provozu za pomoci Izraelců. Radikálové navíc mohou využít výhody pokročilých levných šifrovacích zařízení, jako je systém pro posílání vzkazů Telegram.
Úspěch je krátkodobý
Zatím nejrozsáhlejší útok vedený proti IS z USA byla loni v listopadu operace Glowing Symphony. Americké velitelství získalo přístupová hesla k několika účtům islamistů a s jejich pomocí vymazalo nebo zablokovalo propagandistický obsah některých serverů. Zpočátku to vypadalo, že je operace úspěšná, protože videa z bojů zmizela, leč úspěch byl jen dočasný. Američtí představitelé záhy zjistili, že se materiál radikálům podařilo obnovit nebo byl přesunut na jiné servery. Důvodem také je, že často mají uložený materiál zašifrovaný v cloudu, takže ho jen znovu stáhnou a nahrají.
Dým stoupající ze čtvrti Mišláb na jihovýchodě Rakky
Kybernetické operace pomáhají i v operaci proti Islámskému státu v Rakce.
Protože jsou bojovníci mobilní a jejich vybavení je celkem běžné, mohou se přesunout a pracovat z jiného místa. Veterány kybernetických operací to nepřekvapuje, podle nich nejsou kybernetické zbraně na internetu dokonalým řešením.
Internet je semeniště radikální ideologie
I britská premiérka Theresa Mayová si stěžovala po útoku na London Bridge, že na internetu vznikl bezpečný přístav pro radikální ideologie a že „velké společnosti, které poskytují internetové služby, by se se měly plně zapojit do boje proti radikalismu”. List The New York Times ale upozorňuje, že v USA je to těžší, protože by to mohlo být v rozporu s prvním dodatkem ústavy, který garantuje svobodu projevu.
Kybernetické velitelství narušuje nepřátelské velení během našich ofenzivních operací
Generál Sean MacFalrand, bývalý velitel v Iráku
Zklamání z nedostatečné účinnosti elektronického boje vedlo už vládu Baracka Obamy k pokusům sesadit ředitele Národní agentury pro bezpečnost (NSA) Michaela Rogerse, píše The New York Times. Byl kritizován, že se soustředil na tradiční špionáž a vysoce sofistikované údery proti jednotlivým místům.
V poli se vede lépe
Situace se podle amerického listu v poslední době zlepšila alespoň při operacích přímo na bojišti. Kybernetické útoky armáda v Iráku synchronizuje s pozemními operacemi, zlepšuje se vybavení i kvalita „kybernetických zbraní”. Mazání účtů nebo blokování islamistické komunikace během útoků bezpilotními aparáty je už dnes v Iráku standardní operační postup, napsal The New York Times.
„Jsme schopni je oslepit,“ řekl generál Jeffrey Harrigian, který velí spojeneckému letectvu v oblasti. „Jsou tu věci, které děláme spolu s kosmickým a kybernetickým velitelstvím a jsme schopni je synchronizovat, abychom dosáhli velkých výsledků dokonce i v Mosulu a Rakce.“
Další generál Sean MacFalrand, který velel v Iráku, naznačil, jak vše funguje: „Kybernetické velitelství narušuje nepřátelské velení během našich ofenzivních operací a tato podpora se zlepšila během doby, co jsem velel.“
Také se využívá údajů o poloze získaných z mobilních telefonů k útokům dronů na propagandisty IS.
Eset nejspíše odhalil nebezpečnou ruskou kyberzbraň. Možná nás všechny odpojí od elektřiny
13.6.2017 Živě.cz BigBrother
Říkají mu Crash Override/Industroyer
Je to možná nejpokročilejší virus, který útočí na elektrickou síť
Loni v prosinci odpojil od elektřiny Kyjev
Schéma uzlu elektrické sítě napojeného na internet a vhodného pro útok, pokud není dostatečně zabezpečenýÚtočníci pronikli do uzlu ukrajinské elektrické sítě z internetuSchéma malwaru, který měl několik různých jištění, aby s ním operátor neztratil kontaktAnalytici ze společnosti Dragos popsali útok v detailní zprávěKyjevské domácnosti se na sklonku loňského roku ponořily do tmy. Pravděpodobně ruští hackeři zde totiž testovali svůj malware.5 FOTOGRAFIÍ
zobrazit galerii
Loni 17. prosince se v hlavním ukrajinském městě krátce před půlnoci odporoučela elektrická síť a tisíce domácností se ponořily do tmy. Nebyl to ojedinělý případ, podivné výpadky totiž trápily energetiky už od 6. prosince a vypořádali se s nimi až krátce před Vánocemi.
Teprve později se přišlo na to, že se s největší pravděpodobností jednalo o útok neznámých hackerů. Kyjev tehdy obvinil Rusko, nebezpečná situace totiž až příliš připomínala podobný kybernetický útok z prosince 2015, během kterého přišlo o elektřinu více než 200 000 Ukrajinců.
Specialisté z Esetu nejspíše zachytili ruskou zbraň pro kybernetickou válku
Specialisté ze slovenského Esetu a společnosti Dragos, která se orientuje na bezpečnost průmyslových systémů, nyní přišli se zjištěním, ze kterého zamrazí. Anebo by mělo – přinejmenším správcům nejedné elektrické sítě po celém světě.
Zatímco během útoků z roku 2015 se nejspíše jednalo pouze o hrubou sílu uplatněnou na ukrajinské počítačové systémy, loňský útok po důkladné analýze všechny překvapil svoji sofistikovaností, až příliš totiž připomíná třeba nechvalně proslulý Stuxnet.
Mnohem nebezpečnější než někdejší Stuxnet
Malware Stuxnet, za kterým pravděpodobně stály USA a Izrael, měl cíleně útočit na íránské průmyslové systémy a zkomplikovat tak tamní jaderné ambice. To bychom sice mohli na jednu stranu považovat za chvályhodné, ovšem už tehdy si mnozí kladli otázku, kdy někdo podobným způsobem zaútočí i na nás.
Bezpečnost
A tak se nakonec i stalo – loni na Ukrajině, která opět viní Rusko, jenž se skutečně nabízí, má k tomu totiž kvůli letitému vzájemnému sporu dostatek motivů. A hlavně kapitál. Nejen finanční, ale i znalostní, malware Crash Override/Industroyer se totiž od mnoha ostatních liší v tom, že na stroje elektrické sítě útočí přímo.
Malware útočí přímo na systémy rozvodné sítě
Analytici, kteří zachytili jeho kód, přišli na to, že jakmile pronikne firewallem do nitra správy elektrické sítě a zneužije třeba nejrůznějších chyb v systémech od Siemensu, použije následně přímo průmyslové ovládací protokoly jednotlivých komponent. Jinými slovy, nezahltí hrubou silou třeba nějaký vedlejší webový systém, kvůli jehož havárii pak nemohou operátoři pracovat, ale vyšle do střediska rozvodné sítě přímý příkaz, aby ovládací mašina odpojila nějaký úsek.
A co je nejhorší, Crash Override/Industroyer se umí i maskovat, takže operátor špatně zabezpečeného systému bude chvíli tápat, než pochopí, která bije. Industroyer nakonec může nestandardními chování stroje i poničit.
Analytici varují, že malware jednoduše zneužívá základních vlastností podobných průmyslových strojů, jejichž ovládací protokoly nepočítaly s přílišnou bezpečností, protože pocházejí z dob, kdy nebyla centra rozvodné elektrické sítě napojená na internet.
Kód malwaru zároveň napověděl, že není určen pouze k útokům na jednu konkrétní – ukrajinskou – elektrickou síť, ale rozumí hned několika počítačovým systémům rozvodných sítí, a tak by mohl způsobit pohromu i v dalších zemích.
Ostatně, analytici se domnívají, že útok z loňského prosince byl jen zkouškou (proof of concept) a cílem může být ve skutečnosti někdo jiný. Zbraně pro případný kybernetický válečný konflikt budoucnosti se tedy rok od roku zlepšují a ve svém zásahu se už vyrovnávají konvenčním zbraním. Pokud totiž dokážeme v roce 2017 odpojit v cíli elektřinu, sic třeba kvůli neadekvátně zabezpečené infrastruktuře, proč bychom rozvodnou síť ničili konvenčním útokem?
Nový způsob distribuce malwaru. Na odkaz v prezentaci není nutné ani klepnout
12.6.2017 CNEWS.cz Viry
Rady typu „neklepejte na odkazy v nedůvěryhodných prezentacích“ už nemusí být dostatečné.
Jak se může počítač nakazit malwarem? K typickým případům patří hypertextový odkaz v nevyžádané či podvodné zprávě, který otevřete. Stáhnete soubor, spustíte jej a dílo je dokonáno. Distribuce může být ovšem také automatická, takže o ní nemusíte vědět. Vraťme se k prvnímu případu – zdá se, že už na vložené odkazy nemusíte nutně klepat myší.
Čerstvý výskyt jednoho trojského koně odhalil novinku. Odkaz se škodlivým kódem je vložený do prezentace pro PowerPoint. Kupodivu stačí, když nad něj najedete ukazatelem myši – infekce se tedy obejde bez klepnutí. Jak je to možné? Tentokrát se útočnictvo nespoléhá na klasické „hity“ jako makra nebo (Java)skripty.
Při tomto útoku je zneužit Windows PowerShell. Podvratné je, že k vykonání příkazu stačí jen posunout ukazatel nad hypertextový odkaz. V šířené prezentaci z pohledu uživatele či uživatelky vidíte informační hlášku s tím, že dochází k načítání. Vy pak nad odkaz zamíříte a k jistému načtená skutečně dojde, jen to pro váš počítač nebude mít dobré důsledky. V tomto ohledu jsou nebezpečné především starší verze Microsoft Office. Novější totiž zobrazují bezpečnostní upozornění a nechají vás příkaz schválit.
Novější verze PowerPointu vás upozorní, že chce prezentace provést příkaz
Novější verze PowerPointu vás upozorní, že chce prezentace provést příkaz (Foto: Dodge This Security)
Nedělám si ovšem iluze, že by tento dialog byl nezkušenému jedinci srozumitelný. Upozornění je dle mého názoru snadné přejít a automatický klepnout na Povolit. Co si ze situace odnést? Nestahujte prezentace z nedůvěryhodných zdrojů, zvlášť ne ty šířené hromadnými e-maily. Jindy bych uvedl, že nemáte klepat na nedůvěryhodné odkazy v prezentacích, ale to je v tomto případě zbytečná rada. Aspoň používejte novější verze Office, které před akcemi v prezentacích varují. Tato upozornění pak pečlivě analyzujte.
Více o upravených prezentacích, které dokáží distribuovat malware bez klepnutí na odkaz, se dočtete na blogu Dodge This Security.
V Linuxu byla objevena díra. V systému je už sedm let a hackeři ji teď aktivně využívají
12.6.2017 Živě.cz Zranitelnosti
Hackeři začali zneužívat zranitelnosti operačního systému Linux, která byla zveřejněna před pár týdny a týká se síťového řešení Samba. Zranitelné systémy přeměňují na těžební stroje generující kryptoměny. Bližší informace o hrozbě zveřejnil web Bleeping Computer.
Kritická zranitelnost v populárním síťovém řešení Samba byla odhalena na konci května, přičemž postihuje všechny verze od 3.5.0, která byla uvolněna už v roce 2010. Uvedená chyba umožňuje získání plné kontroly nad ohroženým počítačem nebo serverem.
Napadené systémy těží kryptoměnu
Vývojáři Samby už chybu opravili. Záplaty byly průběžně zveřejněny také pro různé linuxové distribuce a díru je možné zacelit dokonce jen jediným řádkem v konfiguračním souboru. Přesto jsou útočníci úspěšní a našli dostatek neopravených systémů, které jim teď vytvářejí zisk.
Bezpečnostní experti ze společnosti Kaspersky Lab zachytili krátce po zveřejnění detailů o zranitelnosti první útok, který ji dokázal úspěšně zneužít. V první fázi získali přístup do zranitelného linuxového systému, ve kterém experimentálně vytvořili textový soubor složený z osmi náhodných symbolů. Pokud byl pokus úspěšný, znamenalo to, že hackeři mají potřebné povolení a nic jim nestojí v cestě.
Následně proběhla samotná infekce složená z dvojice modulů. "CblRWuoCc.so" vytvořil komplexní zadní vrátka, které mimo jiné obsahují i software CPUminer určený pro generování kryptoměn.
"INAebsGB.so" je reverzní příkazový řádek poskytující vzdálený přístup k infikovanému systému. Prostřednictvím něj lze do počítače nainstalovat další malware, provádět jiné záškodnické aktivity nebo jen kontrolovat a měnit nastavení těžebního softwaru.
Jak vydělat šest tisíc za den
Jelikož je generování kryptoměn velmi náročné na výpočetní výkon, není překvapením, že různé organizované skupiny využívají množství zranitelných systémů právě pro tento účel. Za vše hovoří úvodní zisk autorů této kampaně. V době analýzy bylo na kontě útočníků celkově 98 XMR (alternativní kryptoměna, po přepočtu cca 125 tisíc korun), přičemž denní zisk činil cca 6 tisíc korun a stále průběžně stoupal.
Stav konta útočníků (zdroj: Kaspersky lab)
Zranitelnost byla opravena ve verzích 4.6.4, 4.5.10, 4.4.14 a v novějších. Pro verze 4.6.3, 4.5.9 a 4.4.13 byla uvolněna odpovídající záplata. Opravené verze zpřístupnili i tvůrci jednotlivých linuxových distribucí.
V případě, že nemůžete přejít na nejnovější verzi, respektive nainstalovat záplatu, stačí do konfiguračního souboru softwaru Samba (smb.conf) vložit následující řádek:
nt pipe support = no
Nakonec službu "smbd" restartujte a váš systém bude před uvedenou chybou chráněný.
Chyba ve FreeRADIUS umožňuje připojení k Wi-Fi bez hesla
12.6.2017 Root.cz Zranitelnosti
V dubnu se nám podařilo objevit zranitelnost v autentizačním serveru FreeRADIUS, která umožňuje připojovat se do sítě bez znalosti hesla. Některá zařízení zranitelnost nejspíše neúmyslně využívají pro své připojení do sítě.
Autentizace uživatelů v podnikových bezdrátových sítích
Nalezená zranitelnost se týká podnikových bezdrátových sítí, které pro ověřování používají metodu Protected Extensible Authentication Protocol (PEAP) či EAP-TTLS. Obě metody rozšiřují autentizační framework EAP, v obou se vytváří zašifrovaný TLS tunel. Údaje potřebné pro autentizaci uživatele se posílají uvnitř tohoto tunelu, většinou se kontroluje znalost hesla s využitím protokolu MS-CHAPv2. Studenti a učitelé z Vysoké školy ekonomické v Praze se takto ověřují v síti eduroam.
Ve frameworku EAP se používají následující pojmy:
supplicant (žadatel) – zařízení či příslušná část softwaru na zařízení, které se chce připojit do sítě,
authenticator (autentizátor) – přístupový bod (Access Point) či přepínač, ke kterému se zařízení připojuje,
authentication server (autentizační server) – aplikace, která povoluje či zamítá přístup do sítě. Při komunikaci mezi autentizátorem a serverem se obvykle používá protokol RADIUS, do kterého se zapouzdřují EAP zprávy.
Při autentizaci se zařízení (např. mobil) nejdříve připojí k nejbližšímu přístupovému bodu. Následuje zahájení EAP autentizace, kdy supplicant odešle vnější jméno a domluví se EAP protokol mezi zařízením a autentizačním serverem. Tato část komunikace není zašifrována a proto se jako vnější jméno někdy nastavuje anonymní identita.
Protokol PEAP definuje dvě fáze autentizace. V první se vytvoří šifrovaný tunel dle standardu TLS. Součástí je autentizace serveru, tj. kontrola jména a certifikátu serveru. Ve druhé fázi se ověřuje supplicant/zařízení. Posílá se reálné uživatelské jméno, pro ověření správného hesla se obvykle používá protokol MS-CHAPv2. Komunikace probíhá uvnitř vytvořeného TLS tunelu.
Po úspěšné autentizaci RADIUS server pošle autentizátoru zprávu Access-Accept, která obsahuje podklady k domluvení klíčů na zašifrování komunikace mezi zařízením a přístupovým bodem. Následuje tzv. 4-way handshake, který je popsán např. v článku „Odposlouchávání a prolamování Wi-Fi sítí zabezpečených pomocí WPA2“.
Ve schématu není vyjádřena EAP fragmentace – certifikáty serveru se nevejdou do jedné EAP zprávy a proto nutně dochází k rozdělení do více EAP zpráv a každá z nich se potvrzuje. Při úspěšné autentizaci si zařízení s našim RADIUS serverem vymění obvykle 11 zpráv.
Již od SSLv3 je součástí TLS podpora obnovení spojení (session resumption, viz RFC5246 sec 7.4.1.2). Nejdříve proběhne úplná TLS výměna a na jejím konci si obě strany uloží vygenerované session ID a bezpečnostní parametry včetně hlavního tajemství (master secret). Při vytváření následného spojení klient pošle session ID a pokud je platné, tak si obě strany obnoví uložený stav. Obnovení spojení výrazně zkracuje úvodní TLS výměnu, neboť není potřeba posílat certifikáty či se domlouvat na bezpečnostních parametrech.
V protokolu PEAP je definováno rychlé obnovení spojení (Fast Reconnect), které zahrnuje obnovení TLS spojení a též přeskočení autentizace a autorizace klienta ve druhé fázi. Při rychlém obnovení spojení obvykle postačuje vyměnit 4 zprávy s RADIUS serverem. Snižuje se i zatížení serveru, neboť nemusí ověřovat heslo vůči databázi či LDAP serveru.
Připojení protokolem EAP-TTLS má velmi podobný průběh. Pro rychlé obnovení spojení používá označení session resumption.
FreeRADIUS rychlé obnovení spojení podporuje od verze 2.1.x. Ve verzi 3.0.x je již povoleno ve výchozí konfiguraci. Údaje o sezení si ukládá do paměti či na disk, údaje jsou platné 24 hodin.
Odhalení zranitelnosti
Přibližně v polovině dubna jsme dokončili aplikaci, která uživatelům zobrazí logy z RADIUS serverů včetně přibližné lokalizace. Správci bezdrátové sítě si mohou zobrazit údaje pro jednotlivé účty či MAC adresy zařízení. Náš vedoucí začal aplikaci testovat a mimo jiné zadal vyhledání údajů za kolegu, který ten den nebyl v Praze. K našemu překvapení se vypsalo, že se ráno přibližně v 8:15 přihlásil do eduroam v budově na Žižkově. A poté znovu v době oběda.
Zavolali jsme mu a shodli se na tom, že někomu pomáhal nastavovat připojení do eduroam na mobilu. A protože dotyčný neznal své heslo, tak kolega použil své přístupové údaje. Po telefonátu si kolega změnil své heslo do eduroam a tím jsme problém považovali za vyřízený.
Druhý den kolega dorazil do práce a v průběhu dne jsme tak mezi řečí odbočili i k této záležitosti. Podívali jsme se do logů – a i tento den se stejné zařízení přihlásilo do eduroam pod účtem kolegy. Donutili jsme kolegu změnit si znovu heslo. Po změně hesla se notebook kolegy do WiFi nepřihlásil, dokud si na něm nenastavil nové heslo.
Po víkendu jsme se vrátili do práce – neznámé zařízení se opět přihlásilo pod účtem kolegy. To již začalo být podezřelé. První nás napadla chyba v konfiguraci RADIUS serveru. Prošel jsem všechny konfigurační soubory, spustil několik testovacích skriptů, ale nic jsem nenašel. V detailních logách požadavků a odpovědí vypadal průběh komunikace takto:
Time |Direction, Type | UserName |Calling-station-id
---------------------------------------------------------------------------
Apr 12 09:57:05 2017| --> Acesss-Request |user@vse.cz|"7C-11-BE-5B-xx-xx"
Apr 12 09:57:05 2017| <-- Acesss-Challenge |user@vse.cz|"7C-11-BE-5B-xx-xx"
Apr 12 09:57:05 2017| --> Acesss-Request |user@vse.cz|"7C-11-BE-5B-xx-xx"
Apr 12 09:57:05 2017| <-- Acesss-Challenge |user@vse.cz|"7C-11-BE-5B-xx-xx"
Apr 12 09:57:05 2017| --> Acesss-Request |user@vse.cz|"7C-11-BE-5B-xx-xx"
Apr 12 09:57:05 2017| <-- Acesss-Challenge |user@vse.cz|"7C-11-BE-5B-xx-xx"
Apr 12 09:57:05 2017| --> Acesss-Request |user@vse.cz|"7C-11-BE-5B-xx-xx"
Apr 12 09:57:05 2017| <-- Acesss-Challenge |user@vse.cz|"7C-11-BE-5B-xx-xx"
Apr 12 09:57:05 2017| --> Acesss-Request |user@vse.cz|"7C-11-BE-5B-xx-xx"
Apr 12 09:57:05 2017| <-- Acesss-Challenge |user@vse.cz|"7C-11-BE-5B-xx-xx"
Apr 12 09:57:05 2017| --> Acesss-Request |user@vse.cz|"7C-11-BE-5B-xx-xx"
Apr 12 09:57:05 2017| <-- Acesss-Challenge |user@vse.cz|"7C-11-BE-5B-xx-xx"
Apr 12 09:57:05 2017| --> Acesss-Request |user@vse.cz|"7C-11-BE-5B-xx-xx"
Apr 12 09:57:05 2017| <-- Acesss-Challenge |user@vse.cz|"7C-11-BE-5B-xx-xx"
Apr 12 09:57:05 2017| --> Acesss-Request |user@vse.cz|"7C-11-BE-5B-xx-xx"
Apr 12 09:57:05 2017| <-- Acesss-Challenge |user@vse.cz|"7C-11-BE-5B-xx-xx"
Apr 12 09:57:25 2017| --> Acesss-Request |user@vse.cz|"7C-11-BE-5B-xx-xx"
Apr 12 09:57:25 2017| <-- Acesss-Challenge |user@vse.cz|"7C-11-BE-5B-xx-xx"
Apr 12 09:57:25 2017| --> Acesss-Request |user@vse.cz|"7C-11-BE-5B-xx-xx"
Apr 12 09:57:25 2017| <-- Acesss-Challenge |user@vse.cz|"7C-11-BE-5B-xx-xx"
Apr 12 09:57:25 2017| --> Acesss-Request |user@vse.cz|"7C-11-BE-5B-xx-xx"
Apr 12 09:57:25 2017| <-- Acesss-Challenge |user@vse.cz|"7C-11-BE-5B-xx-xx"
Apr 12 09:57:25 2017| --> Acesss-Request |user@vse.cz|"7C-11-BE-5B-xx-xx"
Apr 12 09:57:25 2017| <-- Acesss-Accept |user@vse.cz|"7C-11-BE-5B-xx-xx"
Tj. na začátku přišlo 8 Access-Request požadavků, které nejsou ukončeny povolením (Access-Accept) či zamítnutím (Access-Reject) přístupu. Po 20 vteřinách začne nové ověřování, kde k úspěšné autentizaci stačí poslat čtyři požadavky Access-Request.
Při debugování jsme zjistili, že první komunikace skončí na začátku druhé fáze PEAP autentizace, kdy supplicant neodpoví na MS CHAPv2 Challenge. Zařízení následně zruší asociaci s přístupovým bodem, připojí se k jinému přístupovému bodu bezdrátové sítě a poté zkusí rychlé obnovení spojení (Fast Reconnect). To je úspěšné, čímž se úplně obejde autentizaci i autorizaci.
Z analýzy zdrojových kódů vyplynulo, že FreeRADIUSu ukládá údaje o spojení ihned po vytvoření TLS tunelu s předpokladem budoucí úspěšné autentizace. Pokud autentizace a autorizace ve druhé fázi není úspěšná (EAP Failure), tak se údaje spojení z cache vymažou. Autoři FreeRADIUSu neošetřili předčasné ukončení komunikace ve druhé fázi autentizace.
O ověření zranitelnosti jsem požádal Pavla Kaňkovského z MFF UK, kterému velmi děkuji, že se začal problému intenzivně věnovat. Analyzoval zdrojové kódy a následně upravil testovací aplikaci eapol_test na otestování zranitelnosti. Též nahlásil zranitelnost autorovi FreeRADIUSu a spolupracoval s ním na jejím odstranění. 26. května vyšel FreeRADIUS verze 3.0.14, který chybu opravuje. Zranitelnost má přiděleno označení CVE-2017–9148. Zajímavostí je, že zranitelnost byla nahlášena již dříve. První pokus o opravu z února 2017 se příliš nezdařil, verze 3.0.13 je stále děravá.
Na řešení se velkou měrou podílel i správce národní eduroam federace Jan Tomášek z CESNETu, který o zranitelnosti informoval správce z připojených institucí i správce z jiných zemí. Do monitorovacího systému české federace eduroam doplnil pravidelné testování zranitelnosti u jednotlivých členů.
Zneužívá se zranitelnost v praxi?
Zařízení, na kterém jsme si všimli nestandardní autentizace do eduroam, byl iPhone od firmy Apple. Používá ho výše postavený pracovník školy a sledování jeho komunikace by pro některé kruhy mohlo mít větší finanční smysl. Na mobilu nebyl jailbreak, ani nebyly nainstalovány nějaké neobvyklé aplikace. Začali jsme monitorovat jeho síťový provoz, po měsíci vyhodnocování si nemyslíme, že by někdo cizí mobil ovládal.
V logách z FreeRADIUSu jsme našli 22 zařízení, která se do eduroam přihlásila s využitím uvedené zranitelnosti. 16 zařízení je od firmy Apple, v některých případech se takto přihlašují do eduroam již přes 4 měsíce. Některá z nich se takto připojují téměř každý den.
Někteří vlastníci těchto mobilů si stěžovali, že s připojením do eduroam mají problémy – občas se jim mobil nepřipojí. V logách jsem našel případ jednoho zařízení, které se v průběhu dne snažilo připojit v 11:18, 11:53, 12:20, 12:40, 13:27,13:52 a 14:07. Teprve při posledním pokusu použilo fintu se zneužitím popisované zranitelnosti.
Na zapůjčeném iPhone 4S jsme byli schopni nasimulovat autentizaci bez ověření hesla. Obvykle stačí se jednou úspěšně přihlásit. Po změně hesla se zařízení dále „přihlašuje“ bez nutnosti zadat na něm nové heslo. Na iPhone se neobjeví dotaz na nové heslo. Na iPhone 6 s novější verzí IOS se nám zneužití zranitelnosti nasimulovat nepodařilo.
6 zařízení má nainstalováno některou verzi systému Android, nejstarší je 4.1.2, nejnovější 6.0.1. Zařízení jsou od čtyř různých výrobců: Samsung, Lenovo, Motorola, Huawei. Využití zranitelnosti není spojeno se změnou hesla. Zařízení se úspěšné autentizuje pomocí hesla, poté se několik dní nepřipojí, největší nalezená přestávka je 15 dní. A poté se připojí s využitím uvedené zranitelnosti, tj. první pokus se v průběhu druhé fáze PEAP autentizace přeruší a poté následuje autentizace s obnovením spojení. V následující dny se připojují s ověřením hesla. Vzhledem k počtu výskytů jsem schopen uvěřit tomu, že přerušení při prvním pokusu o autentizaci je způsobené výpadky na síti.
Řešení je snadné
Popisovaná zranitelnost FreeRADIUSu je spojena s ověřováním zařízení (supplicant) pomocí protokolu PEAP či EAP-TTLS. Týká se i ověřování v drátových sítích pomocí 802.1X.
Nenarazili jsme na upravený software na zařízeních, který by tuto zranitelnost aktivně využíval. Starší zařízení firmy Apple nejspíše neúmyslně využívají chybu k obcházení bezpečnostní politiky. Pokud nastavím nové heslo, tak očekávám, že se zařízení s uloženým starým heslem již znovu nepřihlásí. Náhodně mohou chybu použít i další zařízení k připojení do sítě.
Řešení je poměrně jednoduché:
vypnout ve FreeRADIUSu cachování TLS session. Ve verzi 3.0.x to znamená nastavit „enabled = no” v sekci cache souboru raddb/mods-enabled-eap.
upgradovat na FreeRADIUS 3.0.14.
Čtyři dobré důvody, proč neplatit při útoku ransomwaru
10.6.2017 SecurityWorld Viry
Útoky ransomwaru jsou, jak se zdá, stále na vzestupu. Zde jsou čtyři dobré důvody, proč byste neměli za získání vašich dat zpět platit, a také jeden důvod, proč to lidé dělají.
Když se v důležitém systému objeví požadavek na zaplacení peněz, máte jen krátký čas na rozhodnutí, zda zareagovat na útok ransomwaru.
On-line vydírání je na vzestupu, protože zločinci používají různé útočné vektory včetně sad exploitů, škodlivých souborů a odkazů ve spamových zprávách, aby infikovali systémy pomocí ransomwaru.
Jakmile jsou všechny soubory zašifrované, může se oběť buď sama pokusit obnovit soubory, nebo zaplatit výkupné. Přestože existují určité výjimky, oběti jen zřídka dokážou prolomit šifrování a obnovit přístup. Mnohem častěji vyvolá úspěšný útok ransomwaru úplné smazání dotčených systémů a rychlé obnovení všeho z čistých záloh.
Ať už organizace zaplatí, nebo ne, výkupné není bezpečnostním rozhodnutím. Je to rozhodnutí obchodní. Placení totiž podporuje zločince v tom, aby příště znovu zaútočili. Nezaplacení znamená ušlý zisk při čekání na obnovení souborů personálem IT.
Není to snadná volba, ale čtěte dál o důvodech, proč je dobré výkupnéne zaplatit.
1. Stanete se větším cílem
Jak se říká: Nekrmte trolly, jinak budou provokovat, aby vyvolaly reakci. Ransomware je trochu podobný. Platba výkupného jen útočníky povzbudí.
Zločinci spolu mluví. Řeknou ostatním, kdo zaplatil výkupné a kdo ne. Jakmile se zjistí, že oběť platí, nic nezabrání dalším, aby se také nepokusili získat nějaké výkupné.
Další nebezpečí: Stejní útočníci se mohou vrátit. Když jste zaplatili jednou, proč byste nezaplatili znovu?
2. Zločincům nelze věřit
Spoléhat na zločince, že dodrží své slovo, je riskantní pokus. Vypadá to jako jednoduchá výměna – peníze za dešifrovací klíč. Neexistuje však žádný způsob, jak zjistit, zda lze vyděračskému gangu věřit, že dodrží svou část dohody. Mnoho obětí zaplatilo výkupné a zpět přístup ke svým souborům nezískalo.
Platí to oběma směry: Proč platit, když nelze očekávat, že získáte svá data zpět? Na pověsti záleží, a to i ve světě zločinu.
Gang CryptoWall je dobře známý pro své vynikající služby zákazníkům, jako jsou poskytnutí prodloužené lhůty pro získání výkupného, poskytování informací, jak získat bitcoiny (preferovaná metoda platby) či rychlé dešifrování souborů po zaplacení.
Ostatní rodiny malwaru, jako TeslaCrypt, Reveton a CTB-Locker, mají horší pověst. Komu lze skutečně věřit? Zjišťovat odpověď zaplacením není nejlepší strategie.
3. Vaše příští výkupné bude vyšší
Vyděrači obvykle nepožadují přehnané částky. Průměrné výkupné je mezi 300 až 1 000 dolary. Jak podléhá více organizací, zločincům roste sebevědomí a požadují vyšší částky. Je těžké stanovit tržní cenu dat, když oběti skutečně potřebují získat své soubory zpět.
Například zdravotnické zařízení Hollywood Presbyterian Medical Center zaplatilo 17 tisíc dolarů za obnovení přístupu ke svým systémům s elektronickými lékařskými záznamy.
To je doslova almužna ve srovnání s potenciální ztrátou obratu cca 534 tisíc dolarů v době, kdy se oddělení IT snažilo obnovit data a pacienti museli cestovat do jiných nemocnic, uvádí hrubý odhad Andrew Hay, ředitel zabezpečení informací ve společnosti DataGravity.
Nyní to bylo 17 tisíc, ale tento gang by snadno mohl příští týden požadovat 50 tisíc dolarů atd.
Je to jednoduchá ekonomika. Prodávající nastaví cenu na základě toho, co je kupující ochoten zaplatit. Pokud oběti odmítají platit, útočníci nemají důvod zvyšovat částky výkupného.
4. Povzbuzujete zločince
Vezměte to z dlouhodobého hlediska. Zaplacení výkupného umožní organizaci obnovit data, ale tyto peníze nepochybně podpoří další kriminální aktivitu. Útočníci mají více peněz na vývoj pokročilejších verzí ransomwaru a důmyslnějších mechanismů dodávek.
Mnoho gangů kyberzločinu funguje jako legitimní společnosti s více zdroji obratu a různými produktovými řadami. Peníze ze schémat ransomwaru lze použít k financování dalších útočných kampaní.
„Vždy je zde kus odpovědnosti za to, na co se peníze použijí,“ uvedl William Noonan, zástupce zvláštního agenta kybernetických operací tajné služby USA na přednášce Verizon RISK Team během nedávné konference RSA v San Francisku.
Placení výkupného problém přiživuje.
Jeden důvod zaplatit
Všechny argumenty uvedené výše jsou naprosto platné. Existuje však pádný důvod, proč mnoho obětí nakonec zaplatí: Potřebují své soubory zpět. A nemají na výběr.
Když ransomware zasáhne všechny spisy na policejním oddělení, není čas čekat na někoho, kdo by se pokusil prolomit šifrování a soubory obnovil. Když probíhá aktivní vyšetřování, může obnovení ze záloh trvat příliš dlouho.
Pomiňme příslovečné coby, kdyby. Když organizace nemá zavedenou dostatečně robustní zálohovací strategii pro obnovení souborů (nebo jsou zálohy poškozené též), je kázání o důležitosti prevence mimořádně neužitečné.
Mnoho obětí se může také rozhodnout zaplatit ze strachu, že pokud tak neučiní, může útočník způsobit v rámci odvety ještě větší škody.
Organizace, které se rozhodnou platit, nejsou samy. V nedávné studii Bitdefenderu polovina obětí ransomwaru uvedla, že zaplatily, a dvě pětiny respondentů uvedly, že by zaplatily, kdyby se do takové situace někdy dostaly.
Oborové odhady naznačují, že gang CryptoWall od června 2014 vymohl od svých obětí více než 325 milionů dolarů.
Pár gramů prevence...
Nelze dostatečně zdůraznit, že nepřetržité zálohy usnadňují organizacím obnovu po infikování ransomwarem bez nutnosti platit zločincům. Dobrá strategie zálohování obsahuje platformy Linux, Mac OS X i Windows.
Není to totiž jen záležitost systému Windows, protože došlo ke zjištění ransomwaru pro všechny tři operační systémy. A ani mobilní zařízení nejsou imunní. Přemýšlejte holisticky a nezávisle na platformách.
Pravidelně zálohujte a udržujte nedávnou záložní kopii mimo lokalitu a off-line. Zálohování na sdílené svazky nefunguje, pokud jsou připojené místně k počítači – ransomware dokáže k těmto souborům přistupovat také.
Po vytvoření zálohy odpojte USB disk, aby ransomware nemohl infikovat dané úložné zařízení. Pravidelně testujte zálohování, abyste zajistili, že jsou soubory archivované správně.
Období následující po infekci ransomwarem není časem pro zjišťování, že kritické soubory nebyly uložené a úlohy nebyly spuštěné včas.
Mnoho útoků ransomwaru spoléhá na škodlivé přílohy e-mailů a na odkazy ve spamových e-mailech. Zajistěte, aby všichni, od řadových zaměstnanců přes IT personál až po nejvyšší manažery, znali základy: Neklikat na odkazy bez ověření, že jde o legitimní e-mail.
Dobré je také ověřit zprávu před otevřením přílohy, a pokud dokument požaduje povolení maker, tak to neumožnit.
Mohl by být dobrý nápad nainstalovat prohlížeče dokumentů Microsoft Office, aby bylo možné zkontrolovat soubory bez jejich otevření v aplikacích Word a Excel – ztíží to tak spouštění škodlivého kódu.
Udržujte veškerý software v aktuálním stavu. Mnoho kitů pro tvorbu exploitů spoléhá na neopravené zranitelnosti v populárních aplikacích, jako jsou Microsoft Office, Internet Explorer a Adobe Flash.
Nainstalujte tyto aktualizace, jakmile to bude možné. Pro útočníky zvyšte obtížnost instalace ransomwaru do počítače prostřednictvím útoku typu drive-by-download.
Microsoft vydal novinkami nejnapěchovanější Windows 10 Insider Preview za dlouhou dobu
9.6.2017 CNEWS.cz Aktualizace
Na co se můžete těšit? Více nového designu, zase zajímavější Edge a pak na milion drobností.
Na pokračování programu Windows Insider jsme si museli počkat celé tři týdny. Čekání za to stálo, protože nové sestavení přináší spoustu novinek. Připomínám, že původně chtěl Microsoft nové vydání Windows 10 Insider Preview nabídnout v minulém týdnu, jenže se něco nepovedlo a k počítačům a mobilům zamířilo interní sestavení 16212. Toto fiasko nám aspoň pomohlo odhalit kousek budoucnosti.
Včera večer na počítače a tablety zamířil Windows 10 Insider Preview build 16215, na smartphony pak Windows 10 Mobile Insider Preview build 15222. Obě sestavení jsou dostupná pouze prostřednictvím Fast ringu.
Nový design a další vylepšení Centra akcí a nabídky Start
Nejviditelnější novinku představuje předělání dalších prvků do designu Fluent. Proto pokud máte aktivní průhlednost, bude nabídka Start průsvitná ve stylu nového designu. Start se plynuleji přepíná do tabletového režimu, především ale v neceloobrazovkovém režimu poskytuje více možností, jak změnit její velikost. Pryč je úprava velikostí ve vybraných stupních, navíc lze měnit velikost úhlopříčně.
Centrum akcí je přehlednější a zapadá do nového designového stylu (Foto: Microsoft)
Co se estetiky týče, výrazně upraveno bylo Centrum akcí. Kromě toho, že je rovněž přepracováno do nového designu, na pohled jiným způsobem prezentuje zmeškaná oznámení. Seskupuje je podle aplikace nebo typu zařízení. První zkušenost napovídá, že je to změna k lepšímu a že bude Centrum přehlednější, ale na velká hodnocení je zatím brzy.
Zaplňování děr v Edgi
Co Microsoft nezmiňuje? Adresní řádek je vždy bílý, nikoli šedivý.
Prohlížeč nastupující Internet Explorer není špatný, ale stále není dostatečně dobrý, abychom jej doporučovali pro náročnější použití. Microsoft do něj v této verzi konečně přidává možnost připnout weby na hlavní panel. To uměl už Internet Explorer a patřil jsem k těm, kteří poslední dva roky volali po tom, aby se připínání naučil také Edge.
Osobně jsem volal také po celoobrazovkovém režimu, který vyvoláte mj. klávesovou zkratkou F11. Trvalo to jen dva roky a tato banální funkce je v Edgi konečně dostupná. (Tedy, pro většinu lidí bude dostupná až během podzimu.) Prohlížeč se dále zlepšil v práci s e-knihami. V těch si teď zvýrazníte důležité pasáže – k dispozici jsou čtyři barvy, dále podtrhování i komentáře. Více zvýrazňovačů je k ruce i při práci s dokumenty v PDF.
Kdo pracuje s poznámkovým aparátem, bude s Edgem o kousek spokojenější (Foto: Microsoft)
Z malých novinek ještě zbývá zmínit možnost zavřít okno prohlížeče i ve chvíli, kdy je zobrazen nějaký javascriptový dialog. Z kontextové nabídky panelů můžete přidat aktuálně otevřené stránky k oblíbeným položkám (do nové složky). Animace otevření a zavření panelu jsou plynulejší, obnova relace je chytřejší. Když se prohlížeč spouští kvůli otevření odkazu, přepne vás rovnou na nový odkaz.
Ruční psaní
Mnoho novinek je spojených s ručním psaním. Ty ovšem využije minorita uživatelů a uživatelek – tablet s Windows není zdaleka tak běžný jako počítač s Windows, natož pak tablet s digitálním perem. Psát můžete do nového panelu, který automaticky uvolňuje místo pro další text a nechá vás psaním opravovat chyby v textu převedeném do digitální podoby. Můžete také hledat ztracené pero podobně ztracený počítač. Novinek je více, dočtete se o nich na blogu Windows Experience.
Klávesnice
Microsoft se věnoval také psaní pomocí klasické hardwarové klávesnice. I s ní se snadno otevřete nabídku emoji, stačí zmáčknout klávesy Win+. nebo Win+;. Pomocí klávesnice lze pohodlně ovládat kompletní proces výběru a vložení emoji. Jen zatím platí, že tato novinka není dostupná na klávesnici v jiných jazycích, jen v americké angličtině.
Jak předeslalo omylem uvolněné sestavení 16212, Microsoft pracoval na nové softwarové klávesnici. Jedná se o klávesnici vycházející ze SwiftKey, takže nabízí možnost psát pohybem prstu. Tento koncept už dříve nabízel v mobilní edici Windows, nově je ale stejná možnost dostupná také na počítačích a tabletech.
Nová klávesnice mj. nabízí chytřejší návrhy (Foto: Microsoft)
Klávesnice dále slibuje chytřejší návrhy slov (zatím ale jen pro americkou angličtinu) a pohodlnější vkládání emoji. Dále vznikla malá verze klávesnice vhodná pro psaní jednou rukou. Dokonce je k dispozici diktování, takže bude text automaticky přepisován. Ani tato funkce není dostupná v českém prostředí.
Další novinky
Seznam novinek je dnes skoro nekonečně dlouhý, takže dál to vezmeme zkratkovitě:
Sdílení se dočkalo dalšího rozšíření. Nyní nabízí ke zkopírování odkaz, pokud tedy hodláte sdílet webovou stránku či aplikaci ze Storu.
Univerzální aplikace jako Groove nebo Fotografie už nebudou ignorovat lokálně uložené soubory. Při prohledání úložiště vám relevantní soubory nabídnou k importu.
Byla zlepšena spolehlivost a pár drobností ve funkci My People.
Po ručním vypnutí či zapnutí Nočního osvětlení dojde k rychlejšímu barevnému přechodu. Totéž platí pro restart zařízení.
Byly přidány nové možnosti nastavení přehrávání videí, včetně určení, zda preferujete kvalitu, nebo raději delší běh na akumulátor.
V Nastavení můžete změnit asociovat podle programu. To dosud šlo jen v Ovládacích panelech. V Nastavení jste mohli měnit asociace s jednotlivými příponami.
Nastavení profilu sítě (veřejná či soukromá) je viditelnější.
Přehled bezdrátových sítí obsahuje kontextovou nabídku, odkud můžete rychle pracovat se sítěmi.
Windows Update vám umožní sledovat stav instalace jednotlivých aktualizací a aplikovaných zásad.
Pár vylepšení se dotklo herního panelu (lze snímat obrazovku v režimu HDR).
Došlo i na vylepšení pro vývojářskou komunitu.
Jako vždy byly zlepšeny funkce pro handicapované. (Přibyly i barevné filtry obrazu, které značně rozšiřují původní režim vysokého kontrastu.)
V tomto sestavení opět funguje stahování jazykových balíčků, zato nefunguje stahování funkcí, které můžete dodatečně zapnout. To se týká např. frameworku .NET nebo aktivace vývojářského režimu. Pokud cokoli podobného požadujete, proveďte instalaci před upgradem na sestavení 16215. Kompletní seznam novinek, oprav a známých chyb naleznete na blogu Windows Experience. (Mobily opět čeká jen pár oprav.)
Kardiostimulátory mají tisíce chyb, kupte ho na eBay a zkuste hacknout
9.6.2017 Root.cz Zranitelnosti
Nová studie firmy WhiteScope musí vyděsit i ty nejotrlejší kardiaky. V kardiostimulátorech se totiž našly tisíce bezpečnostních děr, a to hned na několika úrovních architektury.
WhiteScope je firma zabývající se bezpečností systémů a auditem kritických infrastruktur. Její nejnovější studie upozorňuje, že čtyři hlavní výrobci kardiostimulátorů používají ve svých zařízeních podobný architekturní rámec včetně komunikačních protokolů, vestavěného hardwaru a principů autentizace. A právě ve všech těchto úrovních se nalézají překvapivé zranitelnosti, kterých autoři studie popsali několik tisíc.
Jak kardiostimulátory fungují?
Na počátku bychom měli říci, jak kardiostimulátory fungují. Zjednodušeně se jedná o drobná zařízení velikosti cca klasické krabičky tictaců, která lékaři implantují pod kůži pacienta. Může se jednat třeba o kardiostimulátor, který srdci pacienta s poruchou srdečního rytmu „udává správný rytmus“. Druhým typem je implatabilní kardioverter-defibrilátor (ICD), který naopak hlídá, jestli se srdce pacienta nezačalo chaoticky stahovat zcela nekoordinovaně (čímž přestalo pumpovat krev do těla), a ve správnou chvíli dá výboj, jenž by měl znovu nastolit srdeční akci.
Přístroj je tedy implantovaný na hrudníku pod kůží pacienta, obsahuje řídicí jednotku, baterii a elektrody vedoucí k srdci.
K tomu, aby lékař mohl přístroj zkontrolovat a případně nastavit správné hodnoty stimulace, nemusí do pacienta řezat. Pro běžné kontroly a pohodlnou administraci slouží externí přístroj – tzv. programmer. Ten se ke kardiostimulátoru připojuje bezdrátově, nejčastěji radiofrekvenčním spojením či indukčně, tj. na krátkou vzdálenost přiložením sondy na hrudník pacienta.
V administračním rozhraní kardiostimulátoru lze nastavovat různé parametry stimulace, zjistit životnost baterie, zkontrolovat správné umístění elektrody v srdci či dokonce testovat, zdali přístroj správně vyhodnotí srdeční rytmus pacienta a zareaguje správně. Správcovské rozhraní umožňuje lékaři simulovat na vstupu různé arytmie a virtuálně sledovat, jak se přístroj zachová.
V zahraničí často bývají zařízení připojena bezdrátově i k domácí monitorovací jednotce, která data odesílá na server a umožňuje tím i vzdálené monitorování pacienta lékařem. V ČR je taková jednotka ale zatím spíše výjimkou.
Bezpečnostní díry
Hned na začátku studie autoří poukazují na lákavou možnost velmi levně pořídit kardiostimulátor na aukčním serveru eBay. Na to, že kardiostimulátor často stojí desítky až stovky tisíc, zde můžete použitý kousek koupit (často i s nahranými citlivými daty předešlého pacienta) v řádu jednotek tisíc, což je docela dobrý obchod.
WhiteScope.io
Natvrdo naprogramovaný přístup na server
Samozřejmostí a evergreenem je již zdrojový kód obsahující natvrdo naprogramované přístupové údaje do administračního rozhraní. Stejná potíž sužuje i ostatní zdravotnické přístroje, jak jsme již na Rootu psali.
WhiteScope.io
Ukázka natvrdo naprogramovaného hesla
Pokud si útočník sežene na internetu použitý kardiostimulátor, může se šroubovákem dopídit i jednotlivých komponent přístroje. Jednotlivé mikroprocesory a další součástky bývají podle sériových čísel dohledatelné na internetu, čísla na integrovaných obvodech umožňují zjistit ovládací signály a kódy, což autoři studie dokládají několika odkazy na velmi podrobné informace o architektuře konkrétních mikroprocesorů (např. MC9328MX21). Datové listy pak usnadní nalezení „správné cesty“ pro útočníkovo reverzní inženýrství.
Další nepříjemně zranitelnou částí je přítomnost debugovacího rozhraní, nejčastěji JTAG či UART. Tato rozhraní pomohou sledování firmwaru a jeho instrukcí, čtení paměťových segmentů a změnám hodnot registru.
Firmware bývá napsán průhledně, bezpečné techniky či šifrování bychom v něm hledali marně. Firmware nebývá digitálně podepsaný, aktualizace nevyžadují ověření zdroje kódu, souborový systém bývá jednoduše dostupný a čitelný. Nemluvě o tom, že data pacienta nebývají zabezpečena a zašifrována. Proto třeba v přístrojích z eBay naleznete pacientské údaje.
WhiteScope.io
Kód a systém souborů kardiostimulátoru
Autoři dokonce zjistili, že firmware často obsahuje i knihovny třetích stran – a to ve starých verzích se bezpečnostními dírami známými již v době výroby kardiostimulátoru. Těchto zranitelností pak u čtyř největších výrobců kardiostimulátorů napočítali několik tisíc.
Kardiostimulátor lze rovněž připojit k jakémukoli zařízení. Žádná autentizace neprobíhá, takže se k přístroji může bez problému připojit lékař s oficiálním přístrojem, domácí monitorovací jednotka i hacker.
Tolik teorie: co realita?
Jednotlivé zranitelnosti v kardiostimulátorech tvoří řetězec, který hackera může vést k úspěšnému útoku. Pokud není kardiostimulátor zprostředkovaně připojen k síti (přes domácí monitorovací jednotku, bluetooth, apod.), tak je dostupný jen na kratší vzdálenost zhruba do deseti metrů.
Na tuto vzdálenost se již několika lidem podařilo proniknout do administračního rozhraní kardiostimulátoru a buď vybít baterii nepřiměřenou komunikací s přístrojem, nebo přenastavit hodnoty kardiostimulace (což pacienta může ohrozit na životě při arytmii) či dokonce (u přístrojů ICD) nabít kondezátory a vyslat smrtící výboj přímo na místě.
Někdejší americký viceprezident Dick Chenney si nechal bezdrátové rozhraní svého kardiostimulátoru vypnout kvůli obavám z atentátu.
Kardiostimulátory připojené do sítě třeba díky domácí monitorovací jednotce jsou samozřejmě zranitelné i na mnohem větší, teoreticky neomezené, vzdálenosti. Jak jsem psal na začátku, takových přístrojů je v ČR zatím minimum.
Kardiostimulátorům se do své tragické smrti věnoval Barnaby Jack, novozélandský white-hat hacker. Marie Moe je již dlouhodobě známá bezpečnostní expertka. Ve svém relativně mladém věku musela dostat kardiostimulátor a tehdy se začala zajímat o jejich zabezpečení. Za bezpečnost kardiostimulátorů tvrdě bojuje a opakovaně vystupuje s morálně i emocionálně děsivými přednáškami na různých konferencích (TEDxVicenza, 32C3, Lerchendal Conference).
Zatím jsou známy spíše studie a testy různých odborníků, tvrdý útok na pacienta s kardiostimulátorem snad ještě popsán nebyl. Nicméně musíme přiznat, že dveře jsou útočníkům zatím doširoka otevřené.
Celou studii si můžete přečíst na blogu WhiteScope.
Google odstranil na 30 chyb v prohlížeči Chrome
9.6.2017 Novinky/Bezpečnost Zranitelnosti
Na třicet bezpečnostních děr v internetovém prohlížeči Chrome řeší nová verze tohoto prohlížeče, kterou tento týden uvolnila společnost Google. Chrome 59, jak se tato verze nazývá, zároveň vylepšuje některé funkce.
Při vyhledávání zranitelností Google využil skupinu externích spolupracovníků, jimž podle závažnosti odhalených bezpečnostních děr vyplácí různě vysoké odměny. V tomto případě šlo souhrnně o více než 23 tisíc dolarů (téměř 600 tisíc korun).
Nejzávažnější zjištěná zranitelnost Chrome, již v polovině května odhalili Zhao Qixunem a SørryMybadem z týmu Qihoo 360 Vulcan, se týkala V8 JavaScript jádra. Google za její odhalení vyplatil 7500 dolarů, informoval server SecurityWeek.com.
Po třech tisících dolarů si rozdělili vývojáři Choongwoo Han a Rayyan Bijoora za popsání bezpečnostních děr u hlášení chybových stránek. Nižší odměny vyplatil Google za chyby středního a nízkého stupně závažnosti, jež lze jednoduše napravit a nepředstavují tak velké bezpečnostní riziko.
Google zvyšuje odměny hledačům chyb
Od spuštění programu odhalování bezpečnostních chyb Chrome v roce 2010 vyplatil Google celkem již přes devět miliónů dolarů (téměř čtvrt miliardy korun) za pomoc externím spolupracovníkům při vyhledávání těchto slabých míst. Jenom v loňském roce šlo o více než tři milióny dolarů (75 miliónů korun). Vzhledem k tomu, že vyhledávání zranitelností je stále obtížnější, rozhodla se firma zvýšit odměny za poskytnutí informací o kritických chybách v jejím internetovém prohlížeči.
„Aktivita Google je chvályhodná, protože bezpečnostní chyby v internetových prohlížečích bývají jednou z hlavních cest, kudy se k uživatelům dostávají různé škodlivé kódy,“ říká Václav Zubr, bezpečnostní expert společnosti ESET. „V dnešní době se nové verze známých webových prohlížečů stahují na pozadí automaticky. Ze strany uživatele je nutné pouze restartovat prohlížeč. S tím by lidé neměli otálet, mohou tak předejít různým nepříjemnostem a překvapením.“
Aktualizace prohlížeče i používaného softwaru společně s používáním kvalitního antivirového programu patří podle Zubra k základním pravidlům bezpečného používání internetu.
Nebezpečné chyby ve Windows ohrožují milióny uživatelů
9.6.2017 Novinky/Bezpečnost Zranitelnosti
Český Národní bezpečnostní tým CSIRT.CZ varoval před několika chybami, které se týkají různých verzí operačního systému Windows. Zneužít je mohou počítačoví piráti k tomu, aby propašovali libovolný virus do cizího počítače. Podle nejstřízlivějších odhadů tyto trhliny ohrožují milióny uživatelů z různých koutů světa.
Hned na úvod je nutné zdůraznit, že americký Microsoft již pro objevené chyby vydal mimořádné bezpečnostní záplaty. Uživatelé se tedy mohou relativně snadno bránit.
Podle serveru Bleeping Computer však celá řada uživatelů instalaci aktualizací podceňuje, a tak se počet nezáplatovaných strojů relativně snadno vyšplhal až na několik miliónů. Právě takové stroje – tedy ty, které nemají nainstalované aktualizace – dávají jejich majitelé všanc počítačovým pirátům.
Windows Defender i Exchange Server
„Mimořádná aktualizace opravuje řadu chyb v tzv. Microsoft Protection Engine, který je obsažen například ve Windows Defenderu či Exchange Serveru,“ přiblížil Pavel Bašta, bezpečnostní analytik CSIRT.CZ, který je provozován sdružením CZ.NIC.
Jak je z řádků výše zřejmé, chyba tedy není obsažena přímo v operačním systému Windows. Vzhledem k tomu, že zmiňovaný antivirový program Defender je nedílnou součástí Windows 8 a 10, týká se bezpečnostní riziko uživatelů obou zmiňovaných verzí operačního systému od Microsoftu.
Všechny chyby mají nálepku kritické, mohou je tedy snadno zneužít počítačoví piráti. „Pět z nich umožňovalo útok typu DoS a další z nich pak vzdálené spuštění libovolného kódu,“ doplnil Bašta.
S instalací aktualizace neotálet
Při útoku typu DoS mohou počítačoví piráti vyřadit některé služby, které na počítači uživatel využívá. Daleko větší riziko však představuje možnost vzdáleného spuštění programů – touto cestou totiž mohou kyberzločinci do napadeného stroje propašovat prakticky libovolný škodlivý kód.
S instalací aktualizací by tak uživatelé neměli v žádném případě otálet. K dispozici jsou prostřednictvím služby Windows Update, která je nedílnou součástí operačního systému Windows.
Lidé, kteří využívají automatické aktualizace, se nemusí o nic starat.
Dohoda je uzavřena. Microsoft koupí bezpečnostní společnost Hexadite
9.6.2017 Novinky/Bezpečnost IT
Společnost Microsoft ve čtvrtek oficiálně oznámila, že se dohodla na převzetí americko-izraelské společnosti Hexadite působící v oblasti kybernetické bezpečnosti. Informovala o tom agentura Reuters.
Ani jeden z podniků zatím nekomentoval finanční podmínky celé transakce. Podle dřívějších informací izraelského finančního serveru Calcalist nicméně americký softwarový gigant za Hexadite zaplatí 100 miliónů dolarů (2,34 miliardy Kč).
Společnost Hexadite má ústředí v Bostonu a její výzkumné a vývojové centrum se nachází v Izraeli. Firma poskytuje technologie pro automatickou reakci na kybernetické útoky. K investorům do Hexadite patří Hewlett Packard Ventures či kapitálové společnosti TenEleven a YL Ventures.
Výkonný viceprezident sekce pro zařízení a operační systém Windows Terry Myerson podle agentury prohlásil, že díky této akvizici Microsoft získá nové nástroje a služby do své nabídky bezpečnostních řešení.
Strašák jménem WannaCry
Kybernetická rizika minulý měsíc připomněl rozsáhlý útok nového vyděračského programu WannaCry. Vir, který zašifruje soubory na počítači a bez zaplacení výkupného je neuvolní, infikoval odhadem na 300 000 počítačů ve 150 zemích světa. Útok vedl k nárůstu cen akcií firem zaměřených na kybernetickou bezpečnost.
WannaCry – první i vylepšená druhá generace – útočí úplně stejně jako ostatní vyděračské viry, které jsou označovány souhrnným názvem ransomware. Nejprve tedy škodlivý kód pronikne do počítače, pak jej uzamkne a zašifruje všechna data. Za jejich zpřístupnění následně počítačoví piráti požadují výkupné.
Je však nutné zdůraznit, že ani po zaplacení výkupného uživatelé nemají jistotu, že se k datům dostanou.
Microsoft je největším výrobcem softwaru na světě a jeho operační systém Windows využívá většina osobních počítačů. Společnost v lednu oznámila, že hodlá v příštích letech do výzkumu a vývoje v oblasti kybernetické bezpečnosti nadále investovat více než miliardu dolarů (zhruba 24 miliard Kč) ročně.
iOS 11 znamená konec podpory iPhonu 5 a 5C
9.6.2017 SecurityWorld Apple
Připravovaný operační systém iOS 11 nebude kompatibilní s iPhonem 5, respektive 5C ani s iPadem 4. Majitelé starších zařízení tak už nebudou dostávat softwarové ani bezpečnostní aktualizace.
Ty budou určeny pro modely od iPhonu 5S a novější, ačkoliv některé starší aplikace už na nich pod iOS 11 nebudou fungovat. Jde o důsledek rozhodnutí společnosti ukončit podporu modelů a aplikací využívajících 32 bitové procesory, od kterých Apple přešel na ty 64 bitové v roce 2013, kdy představil iPhone 5S a iPad Air.
Současně aplikace, které běží pouze ve 32 bitovém prostředí, se přestanou zobrazovat mezi výsledky vyhledávání v nové verzi App Storu ani nebudou dostupné mezi pořízenými, jestliže už byly v minulosti staženy.
„Apple na přechod na 64bitový hardware upozorňuje už roky, přesto tato novinka spoustu zákazníků jistě vyvede z míry,“ říká Ernest Doku ze srovnávače uSwitch.com. „Většina aplikací, které nejsou starší než zhruba čtyři roky, by ale měla být použitelná.“
Ostatně, chod 32bitových aplikací byl problematický už v rámci iOS 10.1, uvedeného loni v říjnu, systém v takovém případě uživatele upozornil, že aplikace může jejich zařízení zpomalit. Aktualizovaný iOS 10.3 později obsahoval nástroj na detekci aplikací, které v 64bitovém módu nemohou být spuštěny.
Od června 2015 pak musejí všechny nové aplikace nebo aktualizace existujících aplikací fungovat v 64bitovém prostředí.
Apple rovněž postupně končí podporu 32bitu pro Macy a OS High Sierra bude posledním, který bude pro dané prostředí způsobilý. Od června 2018 tak budou muset všechny nové aplikace pro Mac v App storu podporovat 64bit.
Za celosvětovým vyděračským virem stál teprve 14letý mladík. Skončil v poutech
8.6.2017 Novinky/Bezpečnost Viry
Pod pojmem hacker si většina lidí pravděpodobně představí nějakého počítačového experta, který po studiích na vysoké škole zběhnul na temnou stranu. Jenže ve skutečnosti mohou hackerské dovednosti ovládat bez nadsázky doslova děti. V Japonsku například kvůli šíření obávaných vyděračských virů zadrželi teprve 14letého mladíka.
Informoval o tom server The Hacker News. V souvislosti s vyděračskými viry, které jsou často označovány souhrnným názvem ransomware, zadrželi hackera v Japonsku vůbec poprvé. Na tom by patrně nebylo nic tak překvapivého, pokud by v poutech neskončil teprve náctiletý mladík.
Zatím žádnému hackerovi, na kterého si došlápla policie, totiž nebylo méně než 15 let.
Pikantní na celé kauze je, že mladík zákeřný škodlivý kód nejen šířil v prostředí internetu, ale zároveň jej skutečně i sám naprogramoval. A to není tak snadné, jak by se mohlo na první pohled zdát. Jeho znalost programování tak musela být na poměrně slušné úrovni.
Toužil po penězích a slávě
Motivace k takovému činu byla u japonského hackera jasná. Toužil po penězích, neboť od svých obětí požadoval za odemčení počítače a zpřístupnění dat i zaplacení výkupného.
Nakonec mu ale jeho úspěch stoupl tak do hlavy tak, že se na sociálních sítích začal chlubit, jak je úspěšný – kolik počítačů zaviroval a kolik peněz díky tomu vydělal. Aby všem dokázal, že za vyděračským virem stojí skutečně on, dokonce na internet nahrál i jeho zdrojový kód.
Svým neopatrným chováním nakonec všechny důkazy naservíroval ochráncům zákona jak na zlatém podnosu. Ti jej pak obvinili z šíření počítačových virů a infikování více než stovky počítačů.
Jaký trest mladíkovi hrozí, není v tuto chvíli jasné. Policie se totiž k případu nechce s ohledem na velmi nízký věk hackera vůbec vyjadřovat.
Strašák jménem WannaCry
Jak nebezpečné dokážou vyděračské viry být, ukázal minulý měsíc rozsáhlý útok škodlivého programu WannaCry. Vir, který zašifruje soubory na počítači a bez zaplacení výkupného je neuvolní, infikoval odhadem na 300 000 počítačů ve 150 zemích světa.
WannaCry – první i vylepšená druhá generace – útočí úplně stejně jako ostatní vyděračské viry, které jsou označovány souhrnným názvem ransomware. Nejprve tedy škodlivý kód pronikne do počítače, pak jej uzamkne a zašifruje všechna data. Za jejich zpřístupnění následně počítačoví piráti požadují výkupné.
Je však nutné zdůraznit, že ani po zaplacení výkupného uživatelé nemají jistotu, že se k datům dostanou.
Vyděračské viry AES-NI a XData už neděsí. Bezpečnostní experti mají lék
8.6.2017 Novinky/Bezpečnost Viry
Hned na dva vyděračské viry vyzráli bezpečnostní experti. Hrozbu pro uživatele tak již škodlivé kódy AES-NI a XData nepředstavují, neboť odborníci z antivirové společnosti Eset vytvořili nástroj, pomocí kterého je možné tyto záškodníky ze systému vyhnat a uzamčená data zpřístupnit i bez placení výkupného.
Bezpečnostním expertům pomohli anonymní uživatelé, kteří zveřejnili na jednom diskuzním fóru zabývajícím se pomocí obětem vyděračských virů kódy, pomocí nichž je možné data odšifrovat.
Právě s jejich pomocí byl pak vytvořen dešifrovací nástroj. „Ten funguje na soubory zašifrované klíčem RSA, který používá verze ransomware AES-NI B, jež přidává k napadeným souborům přípony .aes256, .aes_ni a .aes_ni_0day, a také na data zašifrovaná ransomwarem ve verzi XData,“ přiblížil technickou stránku věci Pavel Matějíček, manažer technické podpory společnosti Eset.
Stahovat dešifrovací nástroj je možné zdarma na stránkách tvůrců.
Zašifrují data, chtějí výkupné
Na napadeném stroji dokážou oba vyděračské viry udělat pěkný nepořádek. Nejprve zašifrují všechna data uložená na pevném disku. Za jejich zpřístupnění pak útočníci požadují výkupné, a to klidně i několik tisíc korun.
Kyberzločinci se zpravidla snaží v majiteli napadeného stroje vzbudit dojem, že se ke svým souborům dostane po zaplacení pokuty. Ta byla údajně vyměřena za používání nelegálního softwaru apod. I proto jim celá řada lidí již výkupné zaplatila.
Zaplatit zpravidla chtějí v bitcoinech, protože pohyby této virtuální měny se prakticky nedají vystopovat. A tím logicky ani nelegální aktivita počítačových pirátů.
Ani po zaplacení výkupného se ale uživatelé ke svým datům nedostanou. Místo placení výkupného je totiž nutné virus z počítače odinstalovat. Zpřístupnit nezálohovaná data je už ale ve většině případů nemožné.
WannaCry pro Windows 10? Potenciálně ano, ale jen pro starší verzi 1511
8.6.2017 CNEWS.cz Viry
Bezpečnostní firma naportovala exploit, jenž využívá WannaCry, na Windows 10. Ukazuje se, že nové verze Windows jsou skutečně bezpečnější.
Vzpomenete si ještě na WannaCry? Tento ransomware začal zhruba v polovině válcovat organizace po celém světě a ukázal, že nejsou dodržovány základy bezpečného chování v kybernetickém prostoru. V podstatě napadal jen počítačů s Windows 7. Ikspéček v tomto ohledu byla nezajímavá, v případě Desítek pro změnu Microsoft tvrdil, že je tento systém vůči ransomwaru imunní.
To vedle ke spekulacím, proč tomu tak je. Kolega Lukáš Václavík se v podcastu zamyslel nad tím, jestli to není dané povinností instalovat servisní aktualizace. Nebo se systému díra vůbec nenacházela? Nebo se v něm nacházela, ale jiné ochranné mechanismy neumožnily její zneužití? Protože příslušná záplata vyšla i pro Windows 10, měl minimálně z části pravdu Lukáš. Nedokáži ověřit, zda by WannaCry dokázal proniknout do Desítek bez záplaty.
Komentář: Vyhýbáte se aktualizacím? Jste nezodpovědní a ohrožujete společnost
Ten, kdo WannaCry vypustil, k průnikům do počítačů využil exploit EternalBlue, jenž vytvořila NSA. (V poslední době uniká rovněž řada hackovacích materiálů vytvořených CIA. Známé jsou pod souhrnným označením Vault 7.) Bezpečnostní firma RiskSense zveřejnila analýzu tohoto exploitu a co víc, EternalBlue naportovala na Windows 10. Netřeba se děsit k smrti, protože se nejedná o crackery, kteří by měli zájem exploit co nejrychleji vypustit do veřejného prostoru a začít zneužívat.
RiskSense se zaměřil na Windows 10 v1511 v 64bitové edici. Především ale použil systém bez výše odkázané záplaty, která je od března k dispozici. Report uvádí, že pro Windows XP, Vista a 7 neexistují účinná opatření proti zneužití díře – v tomto případě je jediné účinné řešení instalace záplaty. Pro Desítky pak platí, že díky dodatečným prvkům zabezpečení tento systém nelze zneužít tak snadno.
Poslední verze Windows 10, kterou lze zneužít, je právě 1511. (Najdete ji jen na 4,6 % počítačů s Windows 10; verzi 1507 pak na 1,6 %.) Stroje s Windows 10 v1607 jsou schopné zneužiti díry zabránit díky prvku náhodnosti přidaného do položek tabulky stránek. Bez něj bylo možné překonat funkci DEP. Pro Windows 10 v1703 navíc platí, že přidává prvek náhodnosti v souvislosti s hardwarovou abstraktní vrstvou (příslušná knihovna je jednou z prvních, která se při bootování nahrává do paměti).
Jednoduše řečeno je tak zabráněno dalším možnostem, jak do systému proniknout. Report tak potvrdil, že to nebyly plané řeči, když Microsoft řekl, že Desítky nelze napadnout. Jsou bezpečnější jednak díky tomu, že měl každý nainstalovanou záplatu, jednak je samotný systém skutečně lépe zabezpečený díky novým ochranným prvkům. Pokud vás otázky ze druhého odstavce trápily, můžete teď v klidu spát. Eventuálně si přečtěte celý report, který je ovšem poměrně obsáhlý.
Heslo do Facebooku můžete zadat špatně a přesto se přihlásíte
8.6.2017 Živě.cz Sociální sítě
Heslo do Facebooku můžete zadat špatně a přesto se přihlásíte
K přihlašování na Facebook nemusíte přesně zadat svoje heslo a stejně se přihlásíte. Na zajímavost upozornil jeden z dotazů v naší poradně, a tak jsme věc ověřili. A skutečně, heslo ke svému účtu opravdu nemusíte zadat zcela korektně a Facebook ho bude akceptovat. Nejedná se však o bezpečnostní „díru“, jak by se mohlo zdát.
Nedešifroval svůj disk, a tak skončil ve vězení. Už tam sedí 16 měsíců a pořád nechce sdělit heslo
Abyste se do Facebooku mohli přihlásit, heslo k účtu znát musíte. Facebook však toleruje nejčastější chyby v zápisu. Konkrétně tyto:
velké počáteční písmeno, i když heslo začíná malým písmenem
přehozená velikost písmen napříč celým heslem
znak navíc za heslem
První výjimka vznikla kvůli mobilním telefonům, které jsou většinou vybaveny funkcí zápisu prvního velkého písmena na začátku vět. Druhá je pak odpovědí na omylem zapnutý CapsLock. Ve třetím případě jde zřejmě o eliminaci chyby vloženého znaku navíc. To se stává při kopírování hesla odjinud, zpravidla se do zápisu vloudí mezera. Na některých zařízeních se rovněž může stát, že bude do hesla odeslán i znak zastupující potvrzovací klávesu.
Vyzkoušeli jsme si slovníkový útok na Wi-Fi router. Provařená hesla odhalí za okamžik
Jedná se zjevně o nejčastější chyby při zápisu hesla. Pokud nedojde k jeho akceptaci napoprvé, odešle přihlašovací formulář ještě verzi s prvním malým písmenem, přehozenou velikostí písmen a bez jednoho znaku na konci. Vše je samozřejmě šifrované a porovnává se jen zašifrovaný otisk hesla uložený v databázi.
Zabezpečení tímto tedy nijak zvlášť neutrpí. Jen čistě teoreticky, když by vám někdo hádal heslo hrubou silou, bude mít o pár pokusů méně. V celkovém množství možností by to ale bylo stejně naprosto zanedbatelné.
Hackeři našli netradiční způsob maskování. Adresu svého serveru ukryli na Instagram Britney Spears
8.6.2017 Živě.cz APT
Ruská hackerská skupina se zaměřuje na významné osobnosti
Backdoor byl instalován jako doplněk do prohlížeče Firefox
Adresa serveru byla uložena jako komentář na Instagramu
Bezpečnostní odborníci Esetu objevili trojského koně, jenž se maskuje za doplněk do prohlížeče Firefox a má a za úkol útočníkům odesílat informace o aktivitě oběti. Podle zprávy, kterou vydali a svém blogu, jde o dílo ruské hackerské skupiny Turla, která se často zaměřuje na státní představitele nebo celebrity. Nejzajímavějším na tomto případě je způsob, jakým hackeři maskují adresu řídícího serveru, s nímž malware komunikuje.
Backdoor v doplňku
Útočníci využili napadaný web jedné ze švýcarských bezpečnostních společností, takže pokud ji navštívil uživatel s prohlížečem Firefox, bylo mu nabídnuto stažení doplňku s názvem HTML5 Encoding. Pro méně znalého uživatele se může addon jevit jako součást, která pomůže ke korektnímu zobrazení stránky. Ve skutečnosti však začne po instalaci prohlížeč odesílat uživatelská data na server útočníků. Ostatně vše je postaveno na javascriptovém backdooru, který se objevil před necelým rokem v podobě infikovaného dokumentu pro Word a rovněž instaloval totožný doplněk do Firefoxu.
Wikileaks zveřejnil detaily další kyberzbraně CIA. Jmenuje se Pandemic a mohla na přání zasáhnout celé podniky
Zajímavostí je, že skupina Turla použila tento nástroj v roce 2016 pro napadení rumunských institucí.
V hlavní roli Britney Spears
Backdoor v doplňku pro webový prohlížeč by nebyl nijak zajímavý a takto distribuovaný malware je běžným postupem útočníků. V tomto případě si ale zaslouží pozornost díky způsobu, jakým je zajištěno zamaskování adresy řídícího serveru, z něhož putují pokyny pro instalované instance malwaru a zároveň jsou na něj odesílány získaná uživatelská data.
Šíří se podvodná kampaň lákající na slevy v supermarketech. Neklikejte na ni
Útočníci adresu v prvním kroku ukryli pomocí nejrozšířenějšího zkracovače adres Bit.ly, který vždy vygeneruje adresu ve formátu bit.ly/xxxxxxx. A právě unikátních sedm znaků, které jsou součástí každé URL, ukryli útočníci do komentáře na sociální síti Instagram.
Konkrétně v tomto případě to byla fotka Britney Spears, kterou okomentoval uživatel s nickem asmith2155. Na první pohled není komentář ničím zajímavý a nikoho nemůže napadnout, že má nějaký další účel.
Komentář skrývá vše potřebné pro získání adresy serveru (zdroj: Eset)
Pokud byste ale text komentáře zkopírovali a vložili do textového editoru, zjistíte, že před některými písmeny a číslicemi se nachází Unicode znak \200d. Ten se používá primárně při práci v emoji a při standardním zobrazení není viditelný. V tomhle případě ale označuje právě znaky tvořící onu zkrácenou adresu na bit.ly:
smith2155< 200d >#2hot ma< 200d >ke lovei< 200d >d to < 200d >her, < 200d >uupss < 200d >#Hot < 200d >#X
Pokud tedy poskládáte vše, co je za zástupným \200d, dostanete adresu bit.ly/2kdhuHX. Pod tou se ukrývala standardní adresa serveru a skriptu, který se o komunikaci staral.
Pokud útočníci budou chtít změnit server, mohou komentář na sociální síti smazat a nahradit jej jiným, který povede na aktualizovaný zkrácený odkaz s adresou nového serveru.
Ne, Seznam.cz nerozdává iPhony 7. Nenechte se nachytat falešnou soutěží
7.6.2017 Živě.cz Podvod
Pokud narazíte na soutěž o iPhone 7, na jejíž stránkách najdete logo Seznam.cz, rozhodně se do ní nezapojujte. Jediným výsledkem totiž budou předražené prémiové SMSky, které z vás vysají minimálně pět stovek měsíčně. iPhone za to samozřejmě nedostanete.
Soutěž si můžete prohlédnout na webu appositewinner.faith, rozhodně se do ní ale nezapojujte
Celá „soutěž“ spočívá v opovězeni na čtyři otázky a vložení telefonního čísla. Pokud potom oběť potvrdí souhlas se soutěží odesláním SMS zprávy, budou jí doručovány prémiové zprávy, kdy cena jedné je 99 korun. Může to být jedna SMSka týdně, ale i několik denně. Rozhodně tedy může jít o drahý špás.
Šíří se podvodná kampaň lákající na slevy v supermarketech. Neklikejte na ni
Jak uvádí CSIRT, soutěž provozuje společnost DIMOCO, na kterou před pěti lety podal žalobu ČTÚ a aktuálně se jí pro tyto podvody zabývá také ČOI. Několik vln totožných soutěží jsme zaznamenali i během loňského roku a provozovatelům očividně stále fungují.
Rjabkov: USA za Obamy vyhrožovaly hackerskými útoky na ruskou infrastrukturu
7.6.2017 ČT24 BigBrother
Americké bezpečnostní složky za vlády prezidenta Baracka Obamy podle náměstka ruského ministra zahraničí Sergeje Rjabkova vyhrožovaly hackerskými útoky na infrastrukturu Ruska. Rjabkov to řekl na zasedání Rady federace, horní komory ruského parlamentu, napsala agentura TASS. Kdy přesně Američané Rusku vyhrožovali, Rjabkov ale neupřesnil.
Americký prezident Obama loni obvinil Rusko z hackerských útoků namířených proti Demokratické straně během prezidentské předvolební kampaně. Na zářijovém summitu G20 pak svému ruskému protějšku Vladimiru Putinovi řekl, že akce ruských hackerů nezůstanou bez odpovědi.
„Washington se s pomocí Pentagonu stal významným hráčem na trhu s programy, které umožňují hackerům snazší průnik do počítačových systémů. Přes média nám americké orgány během vlády Baracka Obamy vyhrožovaly, že pomocí těchto programů můžou kdykoliv způsobit masivní útoky na ruskou infrastrukturu,“ prohlásil Rjabkov.
Rjabkov také dodal, že Rusko se od roku 2015 nejednou snažilo navázat dvoustranné konzultace na téma boje s kybernetickými útoky. USA však podle něj neměly o iniciativu zájem.
V USA v současné době čtyři výbory Kongresu a FBI vyšetřují údajné ruské ovlivňování amerických prezidentských voleb, a to i hackerskými útoky. Kreml obvinění popírá s tím, že pro ně nejsou důkazy.
Ke sporům arabských zemí s Katarem přispěli ruští hackeři, uvedla CNN
7.6.2017 Novinky/Bezpečnost BigBrother
Představitelé amerických tajných služeb jsou podle CNN přesvědčeni, že ruští hackeři rozšířili falešné zprávy, které vedly k tomu, že Saúdská Arábie a některé další arabské země přerušily diplomatické vztahy s Katarem. Cílem Ruska podle americké rozvědky zřejmě bylo vyvolat neshody mezi USA a jejich spojenci. Kreml to v reakci odmítl s tím, že o pirátském útoku proti Kataru nejsou žádné důkazy.
Stávající roztržka mezi blízkovýchodními ropnými velmocemi vznikla poté, co se v květnu na stránkách katarské oficiální tiskové agentury objevila kontroverzní prohlášení, která prý pronesl vládnoucí emír šajch Tamim bin Hamad bin Chalífa Sání.
Ten údajně vyjádřil pochopení pro palestinské radikální hnutí Hamás a libanonské radikální hnutí Hizballáh a řekl, že Írán je „islámská velmoc, kterou nelze ignorovat a ke které není rozumné se chovat nepřátelsky”. Katar následně oznámil, že stránky jeho tiskové agentury napadli hackeři.
V pondělí pak Saúdská Arábie, Egypt, Bahrajn, Spojené arabské emiráty a některé další státy přerušily s Katarem diplomatické vztahy. Jako důvod uvedly, že Katar podporuje teroristické a sektářské skupiny, jako je Islámský stát, Al-Káida a Muslimské bratrstvo, a šíří prostřednictvím médií jejich ideologii.
Katar podle nich rovněž financuje radikální skupiny napojené na šíitský Írán, který je regionálním rivalem sunnitské Saúdské Arábie. Zmíněné země rovněž sdělily, že přerušují pozemní, letecké i námořní spojení s Katarem.
Katar má vazby na palestinský Hamás a v jeho hlavním města Dauhá sídlí politická odnož Tálibánu.
Už nás to unavuje, ozvali se Rusové
Experti amerického Federálního úřadu pro vyšetřování (FBI) navštívili Katar koncem května, aby údajný kybernetický útok prošetřili, napsal server CNN. Katarský ministr zahraničí šajch Muhammad bin Abdar Rahmán Sání CNN řekl, že FBI hackerský útok a publikaci falešných zpráv potvrdil.
BEZ KOMENTÁŘE: Saúdská Arábie uzavřela hraniční přechod pro silniční dopravu s Katarem
Kreml tato obvinění ve středu odmítl s tím, že pro ně nejsou žádné důkazy. „Už nás unavuje reagovat na taková obvinění bez důkazů. Tato obvinění ve skutečnosti diskreditují ty, kdo je vznášejí," prohlásil podle agentury AFP poradce ruského prezidenta Vladimira Putina pro kybernetickou bezpečnost.
Kaspersky Lab podal antimonopolní stížnost na Microsoft. Prý zvýhodňuje svůj antivir
7.6.2017 Živě.cz Security
Kaspersky Lab na svém blogu dokazuje, jak Microsoft nabádá uživatele, aby nepoužívali nic jiného než Windows Defender Kaspersky Lab na svém blogu dokazuje, jak Microsoft nabádá uživatele, aby nepoužívali nic jiného než Windows Defender Kaspersky Lab na svém blogu dokazuje, jak Microsoft nabádá uživatele, aby nepoužívali nic jiného než Windows Defender Kaspersky Lab na svém blogu dokazuje, jak Microsoft nabádá uživatele, aby nepoužívali nic jiného než Windows Defender Kaspersky Lab na svém blogu dokazuje, jak Microsoft nabádá uživatele, aby nepoužívali nic jiného než Windows Defender 6 FOTOGRAFIÍ
zobrazit galerii
Ruský výrobce antivirů Kaspersky Lab podal antimonopolní stížnost na Microsoft. Nejprve tak udělal u ruského antimonopolního úřadu FAS, kterému tvrdil, že Microsoft zneužívá u Windows 10 svoji dominantní pozici k upřednostňování svého antivirového softwaru oproti konkurenci. Microsoft na to zareagoval určitými změnami, které ale Kaspersky Lab nestačily, a tak firma podala stížnost Evropské komisi.
Kaspersky Lab vyvinula nový operační systém - KasperskyOS
„Microsoft jasně zneužívá svoji dominantní pozici na poli počítačových operačních systému, aby zpropagoval svůj vlastní bezpečnostní software Windows Defender, a to takovým způsobem, že uživatel je nabádán opustit své předchozí bezpečnostní řešení,“ píše na blogu společnosti Eugene Kaspersky, spoluzakladatel společnosti.
Firma tvrdí, že Microsoft zachází tak daleko, že uživatelům při přechodu na Windows 10 jejich software maže a automaticky zavede jako ochranu Windows Defender. Kaspersky Lab také vadí, že Microsoft neposkytuje u každé nové aktualizace Windows 10 dostatečně dlouhý časový úsek, aby mohla společnost vyzkoušet, jak její produkty fungují.
Microsoft se v posledních letech na Windows Defender skutečně zaměřil a vylepšoval ho. U Windows 10 jej společnost zabudovala do systému jako výchozí antivirové řešení. Americká společnost tvrdí, že tak dělá proto, aby uživatele ochránila, ale podle Kaspersky Lab se jedná o antimonopolní chování. „Chceme, aby Microsoft přestal klamat naše – nejen naše – uživatele,“ stojí dále v příspěvku na blogu. „Všechna bezpečnostní řešení by na Windows 10 měla mít stejné příležitosti.“
Microsoft se domnívá, že Windows 10 žádná pravidla neporušuje. „Věříme, že bezpečnostní funkce Windows 10 se shodují s pravidly hospodářské soutěže. Na všechny otázky odpovíme,“ řekla společnost v prohlášení serveru The Verge. Nabídla také Kaspersky Lab, že se s nimi sejde a společně najdou řešení.
Nejrozšířenějším kybernetickým hrozbám kraluje virus Danger
7.6.2017 Novinky/Bezpečnost Viry
Hned několik měsíců po sobě byl v loňském i letošním roce nejrozšířenějším virem na světě škodlivý kód Danger. A situace se příliš nezměnila ani v květnu, kdy tento nezvaný návštěvník představoval nejčastější bezpečnostní hrozbu na českém internetu. Vyplývá to z pravidelné měsíční statistiky antivirové společnosti Eset.
„Zpětná analýza potvrdila naše dřívější tvrzení ohledně reálného dopadu ransomwaru WannaCry, který se České republice vyhnul. Obava uživatelů tedy nebyla na místě – hrozba byla jednak včas detekována a Česko navíc nebylo primárním cílem této kampaně. Na druhou stranu to však přimělo řadu firemních i domácích uživatelů k tomu, aby si uvědomili, že takové hrozby jsou reálné a je třeba přistupovat k IT bezpečnosti odpovědně,“ konstatoval Miroslav Dvořák, technický ředitel společnosti Eset.
Podle něj byl tak v uplynulém měsíci nejrozšířenější hrozbou právě Danger s téměř čtvrtinovým podílem. Tento virus, plným názvem JS/Danger.ScriptAttachment, je velmi nebezpečný. Otevírá totiž zadní vrátka do operačního systému. Útočníci pak díky němu mohou propašovat do napadeného počítače další škodlivé kódy, nejčastěji tak šíří vyděračské viry z rodiny ransomware.
Téměř desetinu detekovaných hrozeb pak představoval adware AztecMedia. „Jde o aplikaci, která je určena k doručování nevyžádaných reklam. Její kód se vkládá do webových stránek a uživateli otevírá v prohlížeči nevyžádaná pop-up okna nebo bannery s reklamou,“ vysvětluje Dvořák. Tento adware je nepříjemný i v tom, že dokáže bez vědomí uživatele změnit domovskou stránku internetového prohlížeče.
Zpomaluje počítač
„Adware ale není vir, uživatel musí s jeho instalací souhlasit. Obvykle se maskuje za užitečný doplněk internetových prohlížečů, který slibuje výrazné zrychlení práce s internetem. Opak je ale pravdou, adware počítač zpomaluje, protože ho zaměstnává otevíráním nevyžádaných reklam,“ upřesnil Dvořák.
Na třetí příčce nejčastěji detekovaných hrozeb se pak v květnu umístil trojský kůň Chromex, který přitom ještě o měsíc dříve atakoval nejvyšší příčku žebříčku. „Nyní je však již na ústupu, jeho podíl na květnových hrozbách činil 7,62 procenta oproti téměř 20 procentům v dubnu. Chromex se šíří prostřednictvím neoficiálních streamovacích stránek a může přesměrovat prohlížeč na konkrétní adresu URL se škodlivým softwarem,“ uzavřel Dvořák.
Přehled deseti nejrozšířenějších virových hrozeb za uplynulý měsíc naleznete v tabulce níže:
Top 10 hrozeb v České republice za květen 2017:
1. JS/Danger.ScriptAttachment (21,39 %)
2. JS/Adware.AztecMedia (8,81 %)
3. JS/Chromex.Submeliux (7,62 %)
4. Win32/GenKryptik (4,37 %)
5. JS/TrojanDownloader.Nemucod (3,77 %)
6. Java/Adwind (3,62 %)
7. Win32/Adware.ELEX (2,85 %)
8. PDF/TrojanDropper.Agent.AD (2,65 %)
9. Java/Kryptik.BK (2,59 %)
10. PDF/TrojanDropper.Agent.Z (2,04 %
Data zašifrovaná ransomwarem AES-NI a XData lze snadno dekódovat
7.6.2017 SecurityWorld Viry
Nástroj pro dešifrování zařízení napadených ransomwarem AES-NI, jejichž soubory byly zakódované škodlivými kódy Win32 / Filecoder.AESNI.B a Win32 / Filecoder.AESNI.C (známými také jako XData), představil Eset.
Dešifrovací nástroj proti AES-NI je založen na klíčích, jež byly nedávno zveřejněné na sociální síti Twitter a na internetovém fóru, které pomáhá obětem ransomwaru.
„Dešifrovací nástroj funguje na soubory zašifrované klíčem RSA, který používá verze ransomware AES-NI B, jež přidává k napadeným souborům přípony .aes256, .aes_ni a .aes_ni_0day, a také na data zašifrovaná ransomware ve verzi XData,“ vysvětluje Pavel Matějíček, manažer technické podpory v Esetu.
Oběti, jejichž soubory jsou stále zašifrované těmito variantami ransomware, si mohou stáhnout dešifrovací program zde.
Ruská rozvědka napadla server dodavatele softwaru pro americké volby
6.6.2017 Novinky/Bezpečnost BigBrother
Ruští hackeři napadli před prezidentskými volbami v USA server nejméně jednoho dodavatele hlasovacího softwaru, tvrdí uniklá zpráva americké Národní bezpečnostní agentury (NSA), která se objevila na webu The Intercept.
Datové středisko tajné služby NSA
Zpráva podrobně popisuje použité schéma pomocí cíleného phishingu, kdy se podvodná stránka pošle jen zaměstnancům určité firmy. Hackeři se tak dostali do počítačové sítě spojené s americkými volbami hlouběji, než se dříve myslelo.
Zprávu potvrdila vláda, která v pondělí uvedla, že byla o víkendu zadržena 25letá Reality Leigh Winnerová, která je údajně odpovědná za únik tajného materiálu. Pracovala v NSA v Georgii, tajnou zprávu vynesla a předala tisku. Motiv zatím není známý, uvedla televize NBC.
Reality Leigh Winnerová, obviněná kvůli úniku zprávy NSA
Podle zprávy NSA útočila ruská vojenská rozvědka GRU loni v srpnu, kdy napadla účty zaměstnanců ve floridské společnosti VR System, jež dodávala software a vybavení pro volby v osmi státech. Další útok se odehrál koncem října.
„Příslušníci ruské Hlavní rozvědné správy generálního štábu podnikli kybernetické špionážní operace proti výše jmenované americké společnosti v srpnu 2016 s cílem získat informace o softwarových a hardwarových řešeních volebního systému,” stojí v uniklém textu.
Podkopat důvěru a zostudit Clintonovou
Útok koncem října byl rozsáhlejší, cílil na 122 místních úřadů vlády. I když úspěšné byly jen některé pokusy o průnik, a to ještě krátkodobě, otevřely Rusům zadní vrátka do systému, takže hackeři mohli ovládnout jejich počítače, uvedla uniklá zpráva.
Dokument NSA ale neříká, zda měl kybernetický útok nějaký efekt na výsledky voleb, a přiznal, že se toho více neví, než ví. Připustil ale možnost, že ruský hackerský útok možná vedl k prolomení některých prvků volebního systému s nejistým efektem.
Podle NSA bylo ruskou snahou „podkopat důvěru veřejnosti v proces americké demokracie, zostudit (demokratickou kandidátu Hillary) Clintonovou a poškodit její zvolitelnost“.
Uniklá zpráva je z 5. května a je zatím nejdetailnější informací o ruských hackerských útocích.
Ruský prezident Vladimir Putin v rozhovoru v neděli opět popřel, že by Rusko něco takového udělalo. 4.6.2017 Nevyloučil, že může jít o osobní aktivitu ruských vlastenců. 4.6.2017
Wikileaks zveřejnil detaily další kyberzbraně CIA. Jmenuje se Pandemic a mohla na přání zasáhnout celé podniky
5.6.2017 Živě.cz BigBrother
Skupina Wikileaks minulý týden zveřejnila další únik z CIA, Tentokrát se jedná o kybernetickou zbraň, která měla sloužit pro snadné napadení počítačů v lokální síti, které přistupují ke sdíleným souborům.
Zatímco se svět děsil WannaCry, Wikileaks zveřejňoval další a další kyberzbraně CIA
Program se jmenuje Pandemic a fungoval jako speciální vrstva nad protokolem SMB/CIFS. V praxi se mohl chovat třeba tak, že pokud oběť požádala o soubor X z počítače, kde běžel Pandemic, program tento požadavek zachytil a namísto souboru X poslal oběti nejprve jiná data – třeba virus.
Správci takového útoku zároveň měli možnost nastavit, na jaké hosty v síti bude Pandemic útočit a které bude naopak ignorovat. Pandemic přitom bylo složité odhalit, protože všem ostatním při požadavku na soubor X skutečně předával soubor X a nic jiného.
Kdyby tedy Pandemic běžel v podnikové síti na klíčovém serveru/NASu, ke kterému neustále přistupují všechny klientské počítače, operátor Pandemiku mohl snadno ovládnout téměř jakoukoliv mašinu.
Kardiostimulátory obsahují na 8000 bezpečnostních chyb, varovali experti
5.6.2017 Novinky/Bezpečnost Zranitelnosti
Jeden z nejčastěji používaných umělých nástrojů, který dokáže udržet naživu těžce nemocné pacienty, v sobě skrývá neuvěřitelné množství potenciálních hrozeb. Na kybernetická rizika spojená s kardiostimulátory upozornila společnost White Scope, která analyzovala práci sedmi různých programátorů těchto zdravotních pomůcek od čtyř různých výrobců.
Zjistila, že během přípravy kardiostimulátorů došlo k tisícům chyb v knihovnách třetích stran, které mohou zapříčinit problémy při aktualizacích zabezpečení softwaru na těchto citlivých zařízeních.
Všichni sledovaní programátoři navíc používali zastaralý software se známými druhy zranitelností. Mnoho z nich pracovalo ještě v operačním systému Windows XP, který již není podporován a nevydávají se pro něj bezpečnostní záplaty. Firma také odhalila, že programátoři kardiostimulátorů nijak neověřují při přístupu k zařízení svoji totožnost, a stejně tak se chovají i lékaři.
Přístup do programovacího softwaru tak není chráněn žádným přihlašovacím jménem a heslem. Každý programátor kardiostimulátorů tak může kdykoli přeprogramovat výrobek od stejného výrobce.
Použité kardiostimulátory lze koupit na eBay. S daty pacientů
Všechny zkoumané kardiostimulátory také neměly zašifrované souborové systémy u snímatelných médií. Společnost White Scope rovněž zaznamenala nedostatek kryptografických podpisů u firmware kardiostimulátoru.
Zařízení by tak mohl kdokoli aktualizovat pomocí vlastního firmwaru. Výčet chyb tím ale zdaleka nekončí. Výzkumníci s hrůzou zjistili, že kardiostimulátory pro testování mohou volně nakoupit na eBay. Některé z nich byly použité a obsahovaly nezašifrované údaje o pacientech.
Architektura i technická implementace kardiostimulátorových systémů od různých výrobců jsou podle White Scope překvapivě podobné. „Máme podezření, že mezi výrobci kardiostimulátorů dochází k určité vzájemné spolupráci.
Vzhledem k podobnosti systémů doufáme, že výrobci spolupracují i na inovativních návrzích v oblasti kybernetické bezpečnosti a budou se snažit získávat zkušenosti od uživatelů kardiostimulátorů,“ uvedla firma v tiskovém prohlášení.
Na dálku je lze zneužít k vraždě pacienta
Kardiostimulátory nejsou pod drobnohledem kvůli nedostatečné kybernetické ochraně poprvé. V roce 2012 bezpečnostní expert Barnaby Jack ze společnosti IOActive prokázal, že některé kardiostimulátory od několika výrobců mohou být řízeny na dálku a prostřednictvím notebooku u nich může útočník vyvolat 830voltový šok, což by vedlo k úmrtí pacienta.
Jack tehdy poznamenal, že by následkem nemusela být smrt jednoho člověka, ale dokonce „masová vražda“.
„U tak citlivých zařízení, jako je kardiostimulátor, bychom očekávali nejvyšší úroveň zabezpečení před kybernetickými útoky. Tady nejde o zašifrování dat na počítači, ale o přímé ohrožení životů pacientů,“ zdůrazňuje Václav Zubr, bezpečnostní expert společnosti ESET.
WannaCry v Česku nezlobil, Danger byl mnohem efektivnější
5.6.2017 SecurityWorld Viry
Kromě škodlivého kódu Danger byste si měli dát pozor i na nevyžádanou reklamu AztecMedia, která bez souhlasu uživatele mění domovskou stránku prohlížeče.
Zavirované přílohy e-mailů, které obsahují škodlivý kód Danger, byly i v květnu nejčastější bezpečnostní hrozbou na českém internetu. Představovaly víc než každou pátou detekci pokusu o průnik do počítačů. Konkrétně šlo o 21,39 procenta případů.
Ransomware WannaCry, který byl v uplynulých týdnech v popředí zájmu, se na celkovém počtu hrozeb podílel pouze 0,15 procenty. V uplynulém měsíci ale výrazně přibývalo případů nevyžádané internetové reklamy, tzv. adware. Vyplývá to z pravidelné měsíční statistiky společnosti Eset.
„Zpětná analýza potvrdila dřívější tvrzení ohledně reálného dopadu ransomwaru WannaCry, který se České republice vyhnul. Obava uživatelů tedy nebyla na místě – hrozba byla jednak včas detekována a Česko navíc nebylo primárním cílem této kampaně. Na druhou stranu to však přimělo řadu firemních i domácích uživatelů k tomu, aby si uvědomili, že takové hrozby jsou reálné a je třeba přistupovat k IT bezpečnosti odpovědně,“ popisuje Miroslav Dvořák, technický ředitel Esetu.
Téměř desetinu detekovaných hrozeb představoval adware AztecMedia. „Jde o aplikaci, která je určena k doručování nevyžádaných reklam. Její kód se vkládá do webových stránek a uživateli otevírá v prohlížeči nevyžádaná pop-up okna nebo bannery s reklamou,“ vysvětluje Dvořák. Tento malware je nepříjemný i v tom, že dokáže bez vědomí uživatele změnit domovskou stránku internetového prohlížeče.
„Adware ale není vir, uživatel musí s jeho instalací souhlasit. Obvykle se maskuje za užitečný doplněk internetových prohlížečů, který slibuje výrazné zrychlení práce s internetem. Opak je ale pravdou, adware počítač zpomaluje, protože ho zaměstnává otevíráním nevyžádaných reklam,“ upřesňuje Dvořák.
AztecMedia v květnu představoval 8,81 procenta všech detekovaných internetových hrozeb v České republice a v žebříčku škodlivých kódů se umístil na druhém místě hned za malware Danger.
Třetí nejčetnější kybernetickou hrozbou byl v květnu trojský kůň Chromex, který během dubna atakoval nejvyšší příčku žebříčku Esetu. Nyní je však již na ústupu, jeho podíl na květnových hrozbách činil 7,62 procenta oproti téměř 20 procentům v dubnu. Chromex se šíří prostřednictvím neoficiálních streamovacích stránek a může přesměrovat prohlížeč na konkrétní adresu URL se škodlivým softwarem.
Top 10 hrozeb v České republice za květen 2017:
1. JS/Danger.ScriptAttachment (21,39 %)
2. JS/Adware.AztecMedia (8,81 %)
3. JS/Chromex.Submeliux (7,62 %)
4. Win32/GenKryptik (4,37 %)
5. JS/TrojanDownloader.Nemucod (3,77 %)
6. Java/Adwind (3,62 %)
7. Win32/Adware.ELEX (2,85 %)
8. PDF/TrojanDropper.Agent.AD (2,65 %)
9. Java/Kryptik.BK (2,59 %)
10. PDF/TrojanDropper.Agent.Z (2,04 %)
Zdroj: Eset, červen 2017
Gang vydělal na internetových podvodech desítky miliónů. Past ale nakonec sklapla
5.6.2017 Novinky/Bezpečnost Podvod
Polští policisté ve spolupráci s kolegy z dalších evropských zemí a s Evropským střediskem pro boj s počítačovou kriminalitou Europolu pozatýkali zločinecký gang, který při podvodech na internetu připravil tisícovku lidí nejméně o 2,5 miliónu eur (asi 66 miliónů Kč). Peníze od obětí propírali Poláci prostřednictvím bankomatů v sousedních zemích, včetně Česka. O operaci informoval server Helpnetsecurity.com.
Gangsteři využívali tzv. bílé koně, tedy nastrčené osoby, které zastrašováním přiměli k zakládání bankovních účtů a ke kupování existujících firem. Ty pak dodávaly na důvěryhodnosti internetové inzerci na dovoz aut, hospodářských a zemědělských strojů, na které podvodníci vybírali zálohu. Kupci, pocházející vesměs z Německa a Polska, objednané zboží nikdy nedostali.
Policejní zátah na gang se odehrál koncem května, informace o něm však byly zveřejněny až nyní. Mezi devíti zatčenými je i vůdce gangu, který celý podvod vymyslel. "Hrozí jim až deset let vězení," řekl televizi TVN 24 policejní mluvčí Pawel Petrykowski.
Šéf Evropského střediskem pro boj s počítačovou kriminalitou označil úspěšnou operaci proti důmyslně operujícímu gangu za příklad spolupráce i jasný vzkaz zločincům, že strážci zákona dokážou postihnout i přeshraniční zločiny páchané na internetu.