Czech Articles - 0  1  2  3  4  5  6  7  8  9  10  11  12  13  14  15  16



Lákají na slevové kupóny, jde ale o podvod

4.6.2017 Novinky/Bezpečnost Phishing
Doslova jak lavina se prostřednictvím chatovacího programu WhatsApp šíří podvodné nabídky různých obchodníků na slevové kupóny. Odkazy na falešné stránky bohužel šíří i skuteční přátelé, kvůli čemuž se mohou nechat napálit i jinak velmi obezřetní jedinci. Před hrozbou varovali samotní prodejci, jejichž jména jsou v kampani počítačových pirátů zneužívána.
Ukázka podvodné zprávy
„Ahoj, Tesco rozdávají zadarmo kupóny. Právě mě jeden poslali, tak si taky řekni o jeden, než ta nabídka skončí. Stačí když přejdeš na odkaz ---- > http://tesco-cz.site/ <---- poděkovat mi můžeš později,“ stojí v podvodné zprávě, která se nejčastěji šíří přes WhatsApp.

K získání slevových kupónů přitom musí uživatelé nejen kliknout na odkaz ve zprávě, ale také nainstalovat aplikaci, která je na stránkách ke stažení. Pokud to udělají, dají uživatelům přístup k celému zařízení a datům, jež jsou v něm uložena.

Oběť mohou vydírat
Touto cestou mohou útočníci nejen ovládat zařízení na dálku, ale také přistupovat k uloženým datům. „Kdo na to bohužel naletěl, jako já, tak mu vymažou fotky z mobilu,“ podělila se o svou zkušenost Nikola Z.

Útočníci mohou svou oběť následně vydírat, prostřednictvím citlivých fotografií. Případně získané momentky a videa využijí k vytvoření falešných profilů na sociálních sítích, prostřednictvím nich budou následně dále škodit.

Obchodníci dávají od slev ruce pryč
Zástupci společnosti Tesco už se od slevových kupónů distancovali. „Přes aplikaci WhatsApp se šíří spam, který nemá s naší společností nic společného. Nevěnujte takovýmto zprávám pozornost, neklikejte na odkaz a uživatele zablokujte,“ poradili zástupci obchodního řetězce.

Je však nutné podotknout, že stejně tak mohou počítačoví piráti zneužít jména úplně jiných společností. Objevili se například i zprávy, které slibují slevové kupóny v rámci obchodů Albert. Obezřetnost uživatelů je tak na místě.


Oko za oko platí i v kyberbezpečnosti

4.6.2017 Novinky/Bezpečnost Kyber
V devadesátých letech byly v módě aplikace, jež bychom dnes bez uzardění označili za agresivní. Vycházely z filozofie: „Napadl jsi mne? Tak já na oplátku napadnu tebe!“ Na zjištěné hrozby tak reagovaly rozesíláním spamu, virů, prováděním útoků DoS apod.
Agresivní aplikace měly před dvaceti lety podobu například spořičů obrazovky, které v době své aktivace (= v době nečinnosti uživatele počítače) napadly třeba odesílatele spamu. Buď podle svého vlastního algoritmu, na přání uživatele nebo podle nějakého z webu získaného seznamu.

Zjednodušeně by se také dalo říci, že jsme se z obránců díky nim stávali útočníky.

Tyto aplikace rychle dosáhly velké obliby a k vidění byly nejen u domácích uživatelů, ale i v mnoha firmách (a ve vzácných případech dokonce i ve státních organizacích), které je braly jako „levnou bezpečnost“.

Navíc panovalo přesvědčení, že když na útočníky společně zatlačíme, tak je zničíme. Jenže stejně rychle, jako se objevily, tak i tyto aplikace zmizely.

Jejich slabé stránky jsou nabíledni – takže jen stručně. V první řadě byly absurdní: atakovat někoho, kdo využívá např. DoS útok, znamenalo, že jsme mu pomáhali palebnou sílu znásobit. Kdepak bylo psáno, že úder vracíme skutečnému útočníkovi, a ne podstrčené IP adrese?

Dalším problémem je právní rámec takovéhoto konání, protože podobný útok je zcela jistě „nepřiměřenou obranou“. Bezpečnostní firmy pak nerozlišovaly motivaci útočníka: na blacklistech nebo seznamech nedůvěryhodných subjektů končili útočníci i jejich zuřivě se bránící oběti. Jaké to mělo pro mnoho organizací důsledky, jistě netřeba zdůrazňovat.

V oblasti informační bezpečnosti se ale říká, že všechno už tady někdy v nějaké podobě bylo a že je těžké přijít s něčím skutečně novým a originálním. Staré nápady se tak pouze vracejí v různých modernizovaných podobách.

Moderní háv

Není tedy na čase, aby aplikace pracující stylem „oko za oko, zub za zub“ opět dostaly příležitost?

Pokud si teď klepete na čelo, máte naprostou pravdu: výše popsaná řešení z devadesátých let by pochopitelně dnes natropila více škody než užitku (pokud za užitek nepovažujeme velkou pozornost médií).

Ale co kdyby se tento koncept upravil, aby nepřipomínal divokou éru devadesátých let, nýbrž reflektoval skutečnosti 21. století? Reakce takového systému by musela být jiná, ale hlavně by byla aktivní.

Současné kapacity bezpečnostních systémů jsou proti motivovaným a pokročilým útokům příliš pasivní. I když jejich propagátoři často tvrdí něco jiného, čísla hovoří jasně.

Tradiční model obrany znamená, že od útoku po jeho odhalení uplyne (podle výzkumu Gartneru) průměrně 229 dní. A dalších 32 dní trvá, než jsme schopni vytvořit adekvátní odpověď na průnik. Samozřejmě lze zpochybnit metodiku, ale výstupy od jiných subjektů se příliš neliší: Ponemon Institute tvrdí, že na odhalení je třeba 197 dní, FireEye hovoří o 146 dnech.

Dnes se totiž hlavní důraz klade na prevenci, což je sice dobře, ale hříchem je, že často je to jediný způsob zajištění bezpečnosti. Má přitom silně omezené možnosti odhalení pokročilých útoků, u kterých je na pořadu dne nejtěžší otázka ICT bezpečnosti: „Jak zjistím, že se něco děje?“

Nelze zpochybnit, že jsme pod permanentním útokem – a z toho se dá usoudit, že tedy i ve stavu trvalé kompromitace. Reagovat tak jen na izolované incidenty není příliš šťastné řešení. Je třeba se posunout z „reakce na incidenty“ k „trvalé reakci“.

Zatímco jednorázová reakce zpravidla řeší jeden konkrétní problém, čelíme útokům trvalým. Mnoho z nich přitom představuje „dělostřeleckou přípravu“ nebo prachobyčejnou snahu o odvedení pozornosti.

Adaptive Security Architecture

V takové chvíli se otevírá prostor pro technologii, které je označovaná jako adaptivní bezpečnostní architektura – Adaptive Security Architecture. Jejím cílem je trvale upravovat systém a jeho nastavení, tak aby z hlediska útočníka nepředstavoval statický bod s prakticky neomezeným počtem pokusů o zásah, ale živý organismus aktivně se měnící a pohybující se.

Jeho základem je detekce, která nevyužívá signatury (proč taky, když 75 procent malwaru se použije jen jednou) a naopak pracuje s vícestupňovými virtuálními stroji, které se průběžně „učí“.

Následuje prevence, jež nabízí vícevektorový pohled na celý systém. Dalo by se také hovořit o shromažďování co nejširších dat. Analýza dat pak data agreguje a provádí rekonstrukci řetězců událostí.

Zatímco izolovaná akce se v takovém případě může jevit jako neškodná, v širším kontextu představuje přinejmenším varovně zdvižený prst nebo rovnou jeden střípek ze široké mozaiky útoku. A nakonec je to řešení, které automaticky odhalené hrozby eliminuje a zlepšuje řízení rizik.

Celý proces pak končí ve smyčce. Ovšem ne proto, aby ověřil funkčnost navrženého postupu jako většina soudobých systémů, ale proto, aby znovu hledal možné stopy, příznaky, náznaky – prostě cokoliv, co k běžnému provozu nepatří.

Že jste prakticky všechno výše uvedené už někdy někde slyšeli? To je samozřejmě pravda, ale rozhodně přišel čas na přebalení existujících technologií do nových balíčků. Roky neodhalené průšvihy hovoří jasně o tom, že současné technologie mají své slabiny. A že je čas na radikální akci a vykročení vpřed.


Šíří se podvodná kampaň lákající na slevy v supermarketech. Neklikejte na ni
3.6.2017 Živě.cz Phishing
Když na WhatsApp dostanete tuto zprávu, nereagujte na ni. testco1.png
Když na WhatsApp dostanete tuto zprávu, nereagujte na ni. Vede na podvrženou stránku obchodů Tesco nebo Albert (možná i dalších). Už ze špatné češtiny se dá poznat, že něco není v pořádku. Tento skript se stará o hromadné šíření prostřednictvím WhatsAppu. Tohle je také podvod. Program počítač nezrychlí, naopak ho může infikovat a otevřít k dalším útokm. 10 FOTOGRAFIÍ
zobrazit galerii
Aktualizujeme starší článek, protože se objevila nová vlna podvodné kampaně, která láká na slevy v supermarketech. Šíří se mezi českými uživateli komunikátoru WhatsApp, upozorňuje na ni na svém blogu také Avast.

Když na odkaz kliknete, místo na webu obchodního řetězce se ocitnete na podvržené stránce útočníka. Ta vás následně přesměruje na další podvodnou stránku nabízející nástroj pro opravu Windows. Po instalaci přitom ve skutečnosti zjišťuje a předává dál informace o nastavení a zabezpečení počítače a uživatelského účtu.

Na odkaz rozhodně neklikejte.


Cisco nabízí komplexní zabezpečení infrastruktury internetu věcí

2.6.2017 SecurityWorld Zabezpečení
IoT Threat Defense, která nabízí komplexní zabezpečení internetu věcí, oznámilo Cisco. Ochranu lze přitom jednoduše rozšířovat o nová zařízení či ji přizpůsobit aktuálnímu stavu podnikové infrastruktury.
IoT Threat Defense se podle výrobce v současnosti uplatní především v zdravotnických zařízeních, v energetickém průmyslu či ve výrobních podnicích s automatizovanými výrobními linkami.

Organizace využívající internet věcí podle expertů firmy Cisco čelí dvěma hlavním bezpečnostním překážkám. Zaprvé, většina zařízení internetu věcí nemá dostatečnou nativní ochranu. To ve výsledku otevírá útočníkům nové možnosti, jak skrze ně proniknout do sítě. Druhou výzvou je škálovatelnost. V příštích několika letech totiž budou připojeny miliardy zařízení internetu věcí.

Segmentace sítě přitom není žádnou novinkou, VLAN sítě se využívají již po desetiletí. Nicméně v rozsahu nasazení internetu věcí je její použití nepraktické a v mnoha případech dokonce takřka nemožné. Proto Cisco představila řešení řešení TrustSec, které zajišťuje softwarově definovanou segmentaci i pro velká nasazení internetu věcí.

Pouhá segmentace však nedokáže pokrýt všechny bezpečnostní potřeby. IoT Threat Defense proto kombinuje jednotlivá bezpečnostní řešení.

Zahrnují podle výrobce tyto:

síťovou segmentaci (TrustSec)
analytiku chování sítě (Stealthwatch)
viditelnost zařízení (ISE)
vzdálený přístup (AnyConnect)
cloudovou bezpečnost (Umbrella)
ochranu proti malwaru (Advanced Malware Protection)
firewallovou ochranu (Firepower NGFW)
Takto postavená architektura nabízí viditelnost a analýzu provozu „z“ a „do“ zařízení internetu věcí i provozu, který odchází a přichází „z“ a „do“ podnikové sítě. Díky tomu prý podnik může včas detekovat anomálie, blokovat hrozby, identifikovat kompromitovaná zařízení a snížit riziko lidské chyby. Architektura navíc zajišťuje bezpečný vzdálený přístup mezi různými lokalitami a organizacemi.


Hackeři napadli litevské plastické chirurgie. Kradli citlivé fotografie

2.6.2017 Novinky/Bezpečnost Hacking
Litevská policie vyšetřuje hackerský útok proti řetězci klinik plastické chirurgie, jehož pachatelé ze serverů ukradli často citlivé fotografie tisíců klientů a klientek. Hackerská skupina Tsar Team, údajně napojená na Rusko, s pomocí ukořistěných databází vydírala klienty z Norska, Německa, Dánska, Británie a dalších zemí Evropské unie.
Žádosti o výkupné nebyly většinou úspěšné, a tak hackeři podle litevských vyšetřovatelů několik stovek fotografií zveřejnili v březnu a další dnes, napsal litevský zpravodajský server 15min.

Fotografie většinou zachycují stav klientů a klientek před operací, mnohé z nich jsou značně intimní. Některým obětem prý musela být poskytnuta psychologická pomoc.

Útočníci podle litevského serveru žádali od svých obětí částky od 50 do 2000 eur (až 53 000 korun). Podle zástupce náčelníka litevského policejního sboru Andžéjuse Roginskise při pátrání po původcích útoku spolupracuje Litva s některými zahraničními partnery.

Podaří-li se pachatele dopadnout, hrozí jim až deset let vězení.


Kybernetická válka má své zákony i svůj manuál

2.6.2017 Novinky/Bezpečnost Kyber
Informační dálnice není Divoký západ, kde vládne anarchie, ale mohou a měly by se na ní uplatňovat mezinárodní zákony a předpisy, soudí experti na mezinárodní právo, kteří dali dohromady i příslušnou příručku, napsala agentura AFP z konference o počítačovém válčení.
Tallinn Manual 2.0 vytisklo v angličtině nakladatelství Cambridge University Press jako druhé vydání příručky, která poprvé vyšla v roce 2013. Jde o jedinečné dílo svého druhu, ve kterém se devatenáct právníků pokusilo stanovit pravidla, jimiž by se měly či mohly řídit vlády v případě kybernetických konfliktů.

"Estonsko čelilo v roce 2007 masivnímu počítačovému útoku. Následující rok vypukl konflikt mezi Ruskem a Gruzií, ve kterém se odehrála rovněž spousta kybernetických aktivit," řekl americký profesor Michael Schmitt z Exeterské univerzity, který práce na příručce vedl.

Masivní útoky hackerů
Od středy se v Tallinnu účastní již deváté konference o kybernetických konfliktech (CyCon), které od roku 2009 každoročně pořádá středisko NATO pro počítačovou obranu se sídlem v estonské metropoli. Vzniklo v důsledku masivního útoku hackerů na Estonsko, který místní úřady přisoudily Rusku.

"Mezinárodní společenství se kvůli tomu začalo zajímat o kybernetické konflikty. Reakce zněla: 'Panebože, nemohu odpovědět na žádné otázky!' Tak se zrodil nápad na tuto knížku," vysvětluje profesor Schmitt, který také stojí v čele katedry mezinárodního práva na škole amerického námořnictva.

"Zpočátku se ustavičně mluvilo o virtuálním Divokém západě, kde žádný zákon nemůže platit. My právníci jsme věděli, že zákony jsou, ale netušili jsme, jak je uplatnit," říká.

Přesto bylo naléhavě potřebné odpovědět na následující otázky: Stanoví počítačový útok právo na legitimní obranu? Jak útok přiřadit k útočníkovi? Jaké postavení mohou mít oběti? Jak reagovat? Co dělat, když nemůže být předložen žádný důkaz o vině útočníka, je-li tak snadné smazat stopy?

"Když bylo v roce 2007 napadeno Estonsko, chráněné článkem pět alianční smlouvy (podle kterého je útok proti jednomu členskému státu útokem proti celé Alianci), mělo to znamenat, že NATO musí Estonsku přijít na pomoc, anebo ne? Byl to útok proti civilnímu obyvatelstvu, a proto došlo k porušení mezinárodního humanitárního práva? Nikdo neznal odpovědi," připomněl Schmitt. "Bylo to, jako kdybychom začali hrát fotbal, aniž bychom znali, jak se dávají góly, co jsou fauly a kdo může být rozhodčí," dodal.

Nedokázali se shodnout
Devatenáct expertů, většinou profesorů mezinárodního práva, se tak pokusilo na 642 stránkách srovnat právní terén, často technicky velmi obtížný, aniž váhalo přiznat, kdy se nedokázali shodnout.

Má být například počítačová špionáž považována za vyzvědačskou operaci s využitím internetu, tedy v zásadě za přípustnou, anebo za agresi? Smí stát používat hesla svého válečného zajatce na sociálních sítích? Seznam otevřených otázek je dlouhý a odpověď na všechny nelze najít ani v Tallinn Manual.

"Nesnažíme se psát zákony," ujišťuje Schmitt. "To dělají vlády. Tato knížka se snaží vysvětlovat zákony. Je mým cílem, aby ji měli na stole všichni právníci ministerstev obrany, zahraničí, rozvědek. Pak by mohli říci: toto je situace, které čelíme, a toto můžeme udělat."

"Pokud zákon není jasný, musíte přijmout politické rozhodnutí. Ale přinejmenším debata postoupila dále. Už to není 'Panebože, co máme dělat?'," dodává Schmitt


Stránky obce na Klatovsku napadl hacker, smazal a změnil data

2.6.2017 Novinky/Bezpečnost Hacking
Z internetových stránek obce Ježovy na Klatovsku někdo smazal téměř veškeré informace. Starosta Pavel Křivohlavý už podal trestní oznámení a případ začala vyšetřovat policie.
„Zástupce obce nám oznámil, že neznámý pachatel neoprávněně získal přístup do počítačového systému na internetové doméně obce a zde uložená data neoprávněně smazal a změnil,“ sdělila Právu mluvčí policie Dana Ladmanová.

Podle ní kriminalisté v případu zahájili úkony trestního řízení pro podezření ze spáchání přečinu neoprávněný přístup k počítačovému systému a nosiči informací. „Vzhledem k tomu, že prověřování případu je na samém počátku, nelze podat další informace,“ dodala Ladmanová.

Pro starostu je celá věc záhadou. „V tuto chvíli proto nemám vysvětlení. Nemyslím si, že jde o cílený útok na obec. Webové stránky nám spravuje firma přes svůj server, takže mohl to být útok na ni a my to odnesli poškozením stránek,“ uvedl Křivohlavý.

Podle něj kvůli útoku nejsou některé informace na stránkách obce momentálně přístupné. Některé údaje jsou také pozměněné, například jméno místostarosty. „Snažíme se ze záloh obnovit původní stav,“ dodal starosta.


Nový virus z Číny napadl celosvětově 250 miliónů PC, i v ČR

1.6.2017 Novinky/Bezpečnost Viry
Na internetu se rychle rozšířil škodlivý program Fireball původem z Číny, který nakazil na celém světě 250 miliónů počítačů. V České republice hrozba infikovala přes 18 procent organizací a firem. Uvedla to ve čtvrtek antivirová firma Check Point, která hrozbu odhalila.
Fireball v počítači oběti přebírá kontrolu nad webovými prohlížeči a ovládá je. Má schopnost spouštět jakýkoli kód na infikovaných počítačích a stahovat jakýkoli soubor nebo škodlivý program. Zároveň dokáže převzít kontrolu a manipulovat s webovým provozem pro generování zisků z reklamy.

Za celou operací stojí digitální marketingová agentura Rafotech se sídlem v Pekingu, uvedl Check Point. Rafotech používá Fireball k manipulaci webových prohlížečů a změnám výchozích vyhledávačů a domovských stránek na falešné vyhledávače, které jednoduše přesměrují dotazy na yahoo.com nebo google.com.

Falešné vyhledávače také sbírají osobní informace o uživatelích. Fireball může mimo jiné špehovat oběti, instalovat nové škodlivé programy nebo spouštět škodlivé kódy na infikovaných počítačích, což vytváří masivní bezpečnostní chybu v postižených strojích a sítích.

Nejvíce počítačů hrozba infikovala v Indii, kde bylo nakaženo deset procent všech PC, a v Brazílii, kde nákaza dosáhla 9,6 procenta.


Britský jaderný arzenál může být podle institutu terčem hackerů

1.6.2017 Novinky/Bezpečnost Kyber
Britské jaderné ponorky třídy Vanguard, které nesou nukleární výzbroj, se mohou stát terčem hackerského útoku s katastrofálními následky. Ve své zprávě to uvádí vlivný názorový institut BASIC. Institut odmítá jako falešný pocit jistoty tvrzení ministerstva obrany, že podmořská plavidla jsou během pobytu na moři imunní před kybernetickým nebezpečím, neboť v té době nejsou připojena k internetu.
BASIC v 38stránkové analýze tvrdí, že úspěšný kybernetický úder by mohl ochromit operační nasazení ponorek a raket, které jsou na jejich palubách, vést ke ztrátě lidských životů, a dokonce i ke zničujícímu jadernému střetu.

Ministerstvo obrany v minulosti opakovaně ujišťovalo, že do operačních systémů ponorek není možné v době plavby na otevřeném moři proniknout, neboť jsou od internetu odpojené.

„Ponorky na hlídkujících plavbách jsou zcela zřejmě izolované, nejsou připojeny k internetu a ani k jiným sítím s výjimkou příjmu velmi jednoduchých dat z vnějšku. Důsledkem toho představitelé prohlašují, že (britský program jaderného odstrašení) Trident je před hackery bezpečný,“ uvedl BASIC s tím, že takovéto hodnocení je evidentně špatné.

Doky představují hrozbu
Pokud opravdu podle institutu není možné do palubních systémů během plavby proniknout, stále zde existuje hrozba během doby, kdy ponorky pobývají v docích například kvůli údržbě.

„Citlivé kybernetické systémy Tridentu nejsou připojené k internetu a ani k jiným civilním sítím. I tak jsou ale plavidla, střely, bojové hlavice a všechny ostatní podpůrné systémy závislé na počítačích, zařízeních a softwaru s přístupem k (datové) síti,“ poznamenal institut s tím, že je nezbytné všechny systémy pravidelně přenastavovat, záplatovat softwarové chyby a aktualizovat.

Britský program jaderného odstrašení se opírá o čtveřici ponorek třídy Vanguard, které jsou vybaveny 16 sily na odpalování balistických střel. Na moři je vždy nejméně jedna ponorka, která v rámci standardní výzbroje nese osm balistických střel.


Gmail zlepší bezpečnost. Zastaví 99 % spamu a bude bojovat s phishingem
1.6.2017 CNEWS.cz Zabezpečení

Google tvrdí, že 50 až 70 % zpráv, které dorazí na poštovní servery Gmailu, tvoří spam. Díky umělé inteligenci dokáže v 99,9 % případů nevyžádaný e-mail správně detekovat. K tomu ale nasadí několik dalších bezpečnostních prvků.

Nově blokuje o přílohy s javascriptem. Tento formát se připojil na černou listinu k desítkám dalších. Přes Gmail neprojdou tyto: .ADE, .ADP, .BAT, .CHM, .CMD, .COM, .CPL, .EXE, .HTA, .INS, .ISP, .JAR, .JS (novinka), .JSE, .LIB, .LNK, .MDE, .MSC, .MSI, .MSP, .MST, .NSH, .PIF, .SCR, .SCT, .SHB, .SYS, .VB, .VBE, .VBS, .VXD, .WSC, .WSF, .WSH. Gmail skenuje i archivy, takže nepomůže nevhodné soubory zabalit. A ty, co zabalíte s heslem, zablokuje také.

Gmail skenuje soubory již při vkládání do přílohy. Pokud obsahují virus, nenechá vás jej odeslat. Pokud naopak obdržíte zprávu s virem, Gmail ji odmítne a odesílatele o tom uvědomí. A pokud objeví nějakou závadnou přílohu zpětně, nenechá vás ji stáhnout.

Google dále zlepšil detekci phishingových stránek a odkazů vedoucích na stránky s malwarem. Opět díky umělé inteligenci dokáže rozpoznat některé hrozby, které ještě nejsou známé. Podezřelé zprávy (který je méně než 0,05 %) navíc zdrží až o 4 minuty, než je zobrazí v inboxu. Ty čtyři minuty by měly stačit na otestování odkazů. Sám ale říká, že žádná ochrana není dokonalá a uživatelé by jednak měli být sami obezřetní a jednak by měli používat bezpečnostní software.


Stařičký Windows XP odolal WannaCry i bez aktualizace. Zachránila ho modrá obrazovka smrti
1.6.2017 Živě.cz Viry
Stařičký Windows XP odolal WannaCry i bez aktualizace. Zachránila ho modrá obrazovka smrti
Stařičký Windows XP odolal WannaCry i bez aktualizace. Zachránila ho modrá obrazovka smrti
Vlna zákeřného vyděračského malwaru WannaCry už pominula a v bezpečnostní firmě Kryptos se rozhodli zpětně prověřit zranitelnost jednotlivých verzí operačního systému v simulovaném běžném provozu počítače. A došli k překvapivému závěru - starý systém Windows XP kupodivu odolával. Sice obsahoval zneužitou bezpečnosntí díru, ale systém při pokusu malwaru o spuštění škodlivého kódu zkolaboval a proceduru tak přerušil.

WannaCry se neměl vůbec rozšířit. Stačilo, abychom používali Windows Update
Průvodcem viru WannaCry na systému Windows XP tak byl pád systému zakončený tzv. „modrou obrazovkou smrti“. Pro uživatele tohoto systému nic neobvyklého. Po restartu byl pak systém opět čistý. Virus sice bylo možné zavést manuálně, ale jeho automatizovanou rutinou ne.

Testy probíhaly na Windows XP Service Pack 2 a Windows XP Service Pack 3. Dále se sledovala odolnost novějších systémů včetně serverových verzí. Ty už jsou stabilnější a instalaci WannaCry přečkaly bez úhony. Což jim ale bylo v tomto případě na škodu.

Ačkoli z aktuální bezpečnostní aféry vyšel Windows XP jako odolný hrdina, je potřeba si uvědomit, že za imunitu vůči WannaCry nevděčí abnormální odolnosti, ale paradoxně naopak slabosti. Starý nestabilní a nepodporovaný systém je v součtu pochopitelně daleko nebezpečnější než aktuální aktualizované verze.

Zatímco se svět děsil WannaCry, Microsoft v tichosti opravil „největší chybu historie“
WannaCry už v tuto dobu nepředstavuje žádné větší riziko. Všechny dotčené verze systému byly opraveny aktualizací. A mimořádnou bezpečnostní aktualizaci dostaly dokonce i Windows XP.


Nekopírujte kód z diskusních fór, jsou v něm bezpečnostní chyby
1.6.2017 Root.cz Bezpečnost
Stack Overflow je nejen pro programátory velmi důležitým zdrojem informací. Součástí odpovědí jsou často i hotové kusy kódu, které stačí zkopírovat a použít. Není to ale dobrý nápad, protože často obsahují zásadní chyby.
Facebook Twitter Google+ Líbí se vám článek?
Podpořte redakci
14 NÁZORŮ
Stack Overflow je dnes asi nejdůležitějším zdrojem informací pro vývojáře. Dozví se tam novinky, tipy i odpovědi na mnoho otázek od těch nejtriviálnějších až po velmi složité. Součástí mnoha odpovědí jsou také připravené kusy kódu, které vypadají velmi lákavě a proto je stačí prostě použít. Stiskneme „ctrl-Cizí“ a pak „ctrl-Vlastní“ a máme hotovo.

Zrada ovšem spočívá v tom, že kód sice funguje, ale velmi často má zásadní bezpečnostní nedostatky. To je dáno jednak tím, že autor odpovědi je prostě „někdo z lidu“, ale zároveň často nezná celý kontext a reaguje jen na dotaz pokrývající malou část celého problému. Pokud je kód dobře napsaný a funguje, mají pak další stovky a tisíce programátorů tendenci jej kopírovat do svých děl.

Vzniká tím velmi nebezpečná situace, kdy se chybně napsaný kód velmi rychle rozšíří do stovek projektů. Stačí taková fóra sledovat a když se na nich objeví děravý kód jako odpověď na populární problém, hned je jasné, kudy brzy povede cesta do mnohých aplikací. Někteří testeři (a nejen ti) to tak skutečně dělají.

Follow
Michal Špaček ✔ @spazef0rze
At a pentest talk, the pentester says: I read @StackOverflow to understand devs. Vulns from the verified answers will be in the apps soon.
1:20 PM - 10 Nov 2016
129 129 Retweets 148 148 likes
Twitter Ads info and privacy
Použít takto připravený kód v produkčním prostředí chce zkušenosti a odborné znalosti, jinak je to velmi riskantní procedura. Vědci ze známého Fraunhofer Institute se zaměřili na platformu Android a objevili celou řadu takto napsaných děravých aplikací, které používají miliony uživatelů. Problém se ale netýká zdaleka jen Stack Overflow a Androidu.

Patnáct procent aplikací
Ve své zprávě Stack Overflow Considered Harmful? [PDF] vědci uvádějí, že proskenovali Stack Overflow a hledali v něm ukázky kódu týkajících se bezpečnosti. Těch bylo celkem nalezeno 4019. Ty poté ohodnotili z hlediska dopadu na bezpečnost aplikace. Následně analyzovali aplikace pro Android a tyto kód v nich hledali. Výsledek je překvapivý: z 1,3 milionu zkoumaných aplikací jich 15,4 % obsahuje kód převzatý ze Stack Overflow. Drtivá většina (97,9 %) pak obsahuje alespoň jeden děravý příklad (data ke stažení).

Do výzkumu byly zařazeny jen „kódy týkající se bezpečnosti“, tedy ty, které se dotýkají jednoho z následujících témat:

Cryptography: Java Cryptography Architecture (JCA), Java Cryptography Extension (JCE)
Secure network communications: Java Secure Socket Extension (JSSE), Java Generic Security Service (JGSS), Simple Authentication and Security Layer (SASL)
Public key infrastructure: X.509 and Certificate Revocation Lists (CRL) in java.security.cert, Java certification path API, PKCS#11, OCSP
Authentication and access control: Java Authentication and Authorization Service (JAAS)
Navíc byly zahrnuty i takové ukázky, které se týkají oblíbených bezpečnostních knihoven, populární balík Apache TLS/SSL a také knihovny keyczar a jasypt, které usnadňují vývojářům přístup k bezpečnostním funkcím.

Kód byl poté roztříděn na bezpečný a nebezpečný. Bezpečné jsou ty varianty, které využívají aktuální šifrovací algoritmy a rozumnou délku klíče, případně některé parametry závisí na vývojářově dalším vstupu, ale nedovolují snadnou kompromitaci aplikace. Nebezpečné jsou pak ty, které obsahují zjevnou slabinu, typicky týkající se klíčů nebo zastaralých algoritmů.

Nebezpečné chování
Nejvíce děr bylo nalezeno v souvislosti se zpracováním TLS. Už výrazně menší skupinu pak tvoří kód týkající se symetrické kryptografie (typicky AES v nebezpečném ECB režimu) často také přímo obsahující vestavěné klíče. Dešifrovat pak data z takto vytvořené aplikace je velmi snadné:

byte[] rawSecretKey = {0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00};
String iv = "00000000";
byte[] iv = new byte[] { 0x0, 0x1, 0x2, 0x3, 0x4, 0x5, 0x6, 0x7, 0x8, 0x9, 0xA, 0xB, 0xC, 0xD, 0xE, 0xF };
Poměrně málo chyb se pak týkalo asymetrické kryptografie, hašů a podpisu nebo třeba bezpečného generování náhodných čísel. Následující kód nahrazuje seed pro generátor vlastním řetězcem:

byte[] keyStart = "this is a key".getBytes();
SecureRandom sr = SecureRandom.getInstance("SHA1PRNG");
sr.setSeed(keyStart);
Velká část aplikací je tak zranitelná man-in-the-middle útokem, používá špatně pinning veřejného klíče nebo špatně zachází s kryptografickými primitivy. Dále bylo objeveno špatné zacházení s úložištěm a obcházení systému oprávnění kvůli komunikaci mezi jednotlivými komponentami aplikace. To může ve výsledku vést k úniku uživatelských dat, sledování uživatele nebo třeba zneužití geolokace.

Byl objeven například kód vypínající ověřování hostname při sestavování TLS spojení. Akceptováno je pak cokoliv:

@Override
public boolean verify(String hostname, SSLSession
session) {
return true;
}
Zpráva uvádí, že mnoho chyb lze přičítat nedostatečným znalostem vývojářů. Byly objeveny například aplikace, při jejichž vývoji autor vypnul TLS a v ostré verzi jej zapomněl zpět zapnout. Řada vývojářů je také zmatená z množství TLS parametrů, které pak zvolí náhodně nebo špatně. V mnoha tématech je také jako řešení problémů s šifrování doporučováno jeho úplné vypnutí.

Řešením je hodnocení bezpečnosti
Součástí Stack Overflow je ale obrovské množství dobře napsaných příkladů, které vývojářům opravdu pomáhají. Není ovšem vyřešeno, jak oddělit ty dobré od těch špatných. Tradiční hodnotící systém tu zjevně selhává, jak bylo naznačeno výše. Autoři studie doporučují přidat ještě jeden druh hodnocení, které se zaměří přímo na otázku bezpečnosti.

Přidání dalšího bodování by ale jen zkomplikovalo práci s fórem a další vrstva by znepřehlednila hodnocení jako celek. Autoři dokumentu proto navrhují automatické testování bezpečnosti, které by mohlo zajistit například rozšíření do prohlížeče. To by mohlo hlídat ukázky kódů na stránce a zároveň kusy kopírované přes schránku. Takové rozšíření je už v tuto chvíli ve vývoji a mělo by být dostupné pro Firefox a Chrome.

Nekopírujte bezhlavě z webu
Viditelnost jednotlivých témat na Stack Overflow je ovlivňována hlasováním uživatelů. Vědci předpokládali, že nebezpečné kusy kódu budou mít vyšší skóre, protože vyžadují více zkoumání. Taková varianta se ale nepotvrdila a správně implementované příklady dosáhly vyššího hodnocení. Zajímavý je ale jiný postřeh: pokud je kód v otázce viditelně označen jako nebezpečný, má tendenci sbírat vyšší počet bodů. Na hodnocení ale může mít dopad celá řada dalších faktorů.

Byla ovšem nalezena přímá souvislost mezi bodovým hodnocením a zařazením problematických ukázek kódu do aplikací. Čím vyšší skóre nebo počet zobrazení, tím větší zastoupení kódu v aplikacích. Výslovné varování má ale překvapivě opět opačný efekt: jasně označené ukázky jsou kopírovány mnohem častěji.

Zajímavé také je, že drtivá většina zkopírovaných děravých ukázek pochází ze samotného dotazu. Jen zlomek je jich pak z odpovědi. To dokládá skutečně neuvěřitelně riskantní práci některých vývojářů, kteří jsou ochotni bez rozmyslu použít kód jiného člověka řešícího problém na fóru. Stack Overflow je dobrým místem pro efektivní řešení koncepčních témat, ale hůř dopadá, když dojde na konkrétní implementace.

Neplatí to jen pro Android a Stack Overflow: nekopírujte bez rozmyslu kód, který jste našli v náhodném fóru někde na internetu. On dost možná funguje, protože má třeba vysoké hodnocení dalších uživatelů. Nic to ale nevypovídá o jeho kvalitě a dopadu na bezpečnost vaší aplikace.


První stopy nebyly správné. Za vyděračským virem WannaCry podle expertů stojí Číňané

30.5.2017 SecurityWorld Viry
Za vyděračským virem WannaCry, který v polovině května napadl přes 300 000 počítačů ve více než 150 zemích světa, stojí údajně Číňané. Původně přitom dvě na sobě nezávislé antivirové společnosti uvedly, že stopy vedou do Severní Koreje. Nové vyšetřování bezpečnostních expertů z firmy Flashpoint však nasvědčuje tomu, že první indicie byly chybné, uvedl server BBC.
K takovému závěru došli bezpečnostní experti možná až překvapivě snadno. Ukázalo se totiž, že pouze čínská verze viru WannaCry obsahuje správnou interpunkci a gramatiku napříč celou výzvou o zaplacení výkupného.

Počítačoví piráti tak s největší pravděpodobností pocházeli podle expertů právě z Číny, neboť v ostatních jazykových mutacích byly chyby. Skoro to prý vypadalo, jako kdyby texty kyberzločinců byly z čínštiny pouze přeloženy pomocí nějakého automatického překladače.

Část kódu si jen vypůjčili
Původně se přitom bezpečnostní experti domnívali, že za vyděračským virem stojí hackeři ze Severní Koreje. Dvě antivirové společnosti – Kaspersky Lab a Symantec – totiž nezávisle na sobě zjistily, že část zdrojového kódu tohoto vyděračského viru se velmi podobá některým programům, které jsou používány hackerskou skupinou Lazarus.

O té se již delší dobu spekuluje, že jde o krycí jméno pro skupinu kybernetických expertů, kteří pracují pro Severní Koreu. Tamní režim to však nikdy oficiálně nepotvrdil.

Nyní se však spíše zdá, že kyberzločinci si pro WannaCry pouze vypůjčili část zdrojového kódu od kolegů ze Severní Koreje a že skuteční útočníci pocházejí z Číny. Oficiálně se nicméně k útoku stále ještě nikdo nepřihlásil.

Nejvíce virus zasáhl Rusko
WannaCry – první i vylepšená druhá generace – útočí úplně stejně jako ostatní vyděračské viry, které jsou označovány souhrnným názvem ransomware. Nejprve škodlivý kód pronikne do počítače, pak jej uzamkne a zašifruje všechna data. Za jejich zpřístupnění následně počítačoví piráti požadují výkupné.

Nejvíce útočil tento nezvaný návštěvník v Rusku, odkud pochází takřka polovina všech zachycených detekcí (45,07). Je to dáno tím, že především v tamních chudých lokalitách ještě uživatelé hojně používají zastaralý operační systém Windows XP, který byl proti škodlivému kódu WannaCry nejvíce zranitelný.

Druhou a třetí příčku pak zaujaly Ukrajina (11,88 %) a Tchaj-wan (11,55 %). Ostatní státy, které se dostaly v žebříčku nejpostiženějších zemí do první desítky, měly podíl v řádech jednotek procent.

Česká republika skončila v přehledu s podílem 0,15 % až na 52. místě. Sluší se nicméně podotknout, že spodní příčky měly velmi podobný podíl až prakticky do konce žebříčku, který obsahoval 150 států. Například sousední Slovensko však na tom bylo hůře – virus WannaCry tam měl podíl 0,26 %.


Mobilního ransomwaru dramaticky přibylo, varovali bezpečnostní experti

30.5.2017 Novinky/Bezpečnost Viry
Vyděračské viry, které jsou označovány souhrnným názvem ransomware, dokážou pěkně potrápit majitele klasických počítačů. Stejnou neplechu ale dokážou udělat tito nezvaní návštěvníci také ve smartphonech a tabletech. A právě na mobilní zařízení se zaměřují kyberzločinci stále častěji, jak upozornili bezpečnostní experti antivirové společnosti Kaspersky Lab.
„V průběhu prvních tří měsíců tohoto roku se objem mobilního ransomwaru více než ztrojnásobil,“ uvedli bezpečnostní experti.

V prvním čtvrtletí letošního roku tak množství detekovaných souborů mobilního ransomwaru vystoupalo na číslo 218 625. Přitom ještě na konci loňského roku bylo detekováno pouze 61 832 mobilních vyděračských virů.

Útočí stejně jako na PC
Vyděračské viry se chovají na napadených mobilech stejně agresivně jako na klasických počítačích. Dokážou zašifrovat celou paměť zařízení a smartphone nebo tablet uzamknou tak, aby jej nebylo možné používat.

Za zpřístupnění uložených dat pak požadují výkupné. To se často může pohybovat v řádech několika tisíc korun. Přitom ani po zaplacení zmiňované částky uživatelé nemají jistotu, že se k uloženým datům skutečně dostanou. Podvodníci totiž v některých případech jednoduše vezmou peníze a už se nikdy neozvou.

Výkupné by tedy uživatelé neměli naopak platit nikdy. Jedinou šancí, jak se k zašifrovaným datům dostat, je zařízení odvirovat. To ale není vůbec jednoduchý proces a v některých případech se to nemusí ani podařit.

Spojené státy zasaženy nejvíce
V prvním čtvrtletí letošního roku se velmi často šířily různé modifikace škodlivých kódů z rodiny Congur. „Primárním cílem ransomwarové rodiny Congur je zabránit uživateli v přístupu do zařízení. Přenastavením nebo obnovením jeho PIN (hesla) k němu získává administrátorská práva. Některé varianty malwaru navíc tato práva zneužívají k nainstalování svých modulů do systémové složky, odkud je téměř nemožné je odstranit,“ podotkli bezpečnostní experti.

„Navzdory oblibě rodiny Congur zůstal Trojan-Ransom.AndroidOS.Fusob.h nejrozšířenějším mobilním ransomwarem. Byl odpovědný za 45 % útoků tohoto typu v prvním čtvrtletí 2017. Hned po svém spuštění vyžaduje tento trojan administrátorská oprávnění a zároveň sbírá informace o zařízení včetně GPS lokace a historie hovorů. Tato data poté nahraje na podvodný server. Ten na základě obdržených informací může vydat příkaz k zablokování zařízení,“ konstatovali bezpečnostní experti.

Podle nich byly zemí s největším počtem infikovaných mobilních zařízení během prvního letošního čtvrtletí Spojené státy.

Mapa zemí, kde se mobilní ransomware šířil nejčastěji.
Mapa zemí, kde se mobilní ransomware šířil nejčastěji.
FOTO: Kaspersky Lab


Windows Vista až 8.1 obsahují hloupou chybu. Po kliknutí na odkaz systém zamrzne
26.5.2017 CNEWS.CZ Zranitelnosti

Na webu habrahabr.ru autor upozorňuje na nepříjemnou chybu ve Windows Vista a novějších (mimo Windows 10), respektive jejich ovladačích souborového systému NTFS. V NTFS je v kořenovém adresáři skrytý soubor s názvem $MFT, který ukládá informace o všech souborech, složkách a jejich metadatech. Windows se stará o to, aby k němu nikdo neměl přístup.

Pokud se ale pokusíte otevřít neexistující soubor ve smyšleném adresáři $MFT (například C:\$MFT\ahoj), soubor $MFT se zamkne, což zablokuje všechny souborové operace. Aplikace a operační systém nakonec zamrznou. Pomůže jen restart.

Windows spadl při pokusu o čtení souboru c:\$MFT\ahoj
Windows spadl při pokusu o čtení souboru c:\$MFT\ahoj
Smyšlený soubor nemusíte otevírat ručně. Někdo na něj může odkázat v formou HTML kódu, typicky na webu. Chybu jsem vyzkoušel ve Windows 8.1. IE se neubránil. Stačilo otevřít lokální HTML soubor, ve kterém byla značka s obrázkem <img src=“file:///C:/$MFT/ahoj“>. Místo obrázku je možné použít i odkaz, na který je třeba kliknout <a href=“file:///C:/$MFT/ahoj“>neklikej</a>.

Chrome a Firefox odolaly zavolání souboru přes značku obrázku, ale po kliknutí na odkaz již také zamrzly a následně i Windows. Takto to ovšem fungovalo jen s lokálně uloženým HTML souborem. Pokud jsem otevřel vzdálený přes WWW, tak už Chrome i Firefox byly imunní. Internet Explorer ale opět zešílel.

Systému při útoku nehrozí nebezpečí a cílová skupina je také poměrně úzká, takže se většina lidí nemusí ničeho obávat.

Podobnou chybou mimochodem trpěly i Windows 95 a 98. U nich systém skončil na modré obrazovce smrti, pokud se snažil přistoupit na c:/con/con nebo c:/aux/aux. Chybu bylo možné zneužít i v chatovacích službách či e-mailu s podporou HTML zpráv. Stačilo zavolat obrázek, který se měl nacházet na uvedených adresách.

 


Netrvalo to dlouho a Microsoft počítačům s Windows 10 v1703 dodává další balík oprav

26.5.2017 CNEWS.CZ Zranitelnosti

Čerstvé vydání Windows je potřeba opravit.

Microsoft vydal další kumulativní aktualizaci pro Windows 10 v1703. Záplatovací úterý sice není, ale Creators Update je stále dost čerstvý a prochází fází intenzívního ladění. Microsoft za pochodu díky zpětné vazbě řeší problémy a systém postupně nasazuje na dalších strojcích. Zatím se nachází jen na 18 % počítačů s Windows 10.

Proto aktualizace vyšla jen pro verzi 1703, zatímco starší a již odladěná vydání Desítek Microsoft nechává spát (až do dalšího záplatovacího úterý). Aktualizace nese označení KB4020102 a číslo sestavení zdvihá na 15063.332. Oprav přináší požehnaně:


Malware EternalRocks je ještě vážnější hrozbou než WannaCry

26.5.2017 SecurityWorld Viry
Trend Micro varuje před zákeřným síťovým červem EternalRocks hackerské skupiny Shadowbroker, který využívá více škodlivých kódů než WannaCry.

SpolečnostTrend Micro varuje před novým malwarem EternalRocks. O hrozbě informovalo i Národní centrum kybernetické bezpečnosti. EternalRocks nepoužívá, na rozdíl od ransomwaru WannaCry, pouze dva uniklé nástroje Národní bezpečnostní agentury (NSA) EternalBlue a DoublePulsar. Využívá dalších pět: EternalChampion, EternalRomance, EternalSynergy, ArchiTouch a SMBTouch. Šíří se zneužíváním chyb v protokolu SMB pro sdílení souborů v OS Windows.

Nový kmen malwaru poprvé identifikoval Miroslav Stampar, bezpečnostní výzkumník a člen chorvatského vládního bezpečnostního týmu. Zjistil, že EternalRocks funguje ve dvou fázích. Nejprve stáhne TOR klienta, kterého použije jako komunikační kanál a odešle na Command & Control server. Z něj překvapivě nepřijde odpověď hned, ale až za 24 hodin, což je zřejmě kvůli tomu, aby malware oklamal sandbox a bezpečnostní analýzu.

Odpověď přijde ve formě hlavního komponentu taskhost.exe, která vygeneruje zazipovaný soubor shadowbroker.zip s nástroji NSA. Po rozbalení souboru začne EternalRocks skenovat internet a hledat systémy s otevřeným portem 445, který slouží jako brána pro síťového červa. Některé zranitelnosti zneužité EternalRocks byly vyřešeny březnovou aktualizací Microsoftu MS17-010.

Na rozdíl od WannaCry nevypadá na první pohled EternalRocks tak nebezpečně, protože nemá žádný škodlivý dopad – nepožaduje výkupné ani nezamyká soubory. Skrývá ovšem nebezpečný potenciál, jakmile by někdo malwaru využil a udělal z něj zbraň. EternalRocks navíc nemá zabudovaný „kill switch“, díky kterému by jej bylo možné jednoduše vypnout.

Koho tedy nedonutil ani útok WannaCry aktualizovat svůj systém, toho snad přesvědčí potenciálně ještě nebezpečnější malware EternalRocks. Vzhledem k tomu, že využívá stejných exploitů jako WannaCry, měli by uživatelé a síťoví administrátoři své systémy bezprostředně aktualizovat a zabezpečit. U obou hrozeb se vyplatí myslet na to, že prevence je snazší než odstranění následků prohraného boje s malwarem.


Zamezte ztrátám dat – co jsou nejčastější příčiny problémů?

26.5.2017 SecurityWorld Bezpečnost
Přinášíme přehled chyb, kterými jednotliví zaměstnanci a IT oddělení nejčastěji napomáhají odcizení či ztrátě citlivých podnikových dat a zároveň k nim dodáváme rady, jak se těmto přehmatům co nejlépe vyhnout.

Podle studie firmy IBM z roku 2016 týkající se nákladů vzniklých krádeží či ztrátou dat se průměrná částka vyšplhala z 3,8 milionů dolarů na 4 miliony.

Na detailnější úrovni studie odhaluje, že průměrná hodnota každého ztraceného nebo ukradeného záznamu obsahujícího citlivé a tajné informace se zvedla ze 154 na 158 dolarů. Přicházet o firemní data zkrátka není z finančního hlediska legrace, úniky navíc mohou společnost poškodit i jinak, např. zhoršením reputace u klientů a partnerů.

David Zimmerman, generální ředitel a zakladatel firmy LC Technology, přibližuje pět nejčastějších chyb.

Pokročilá nastavení

Pokročilá nastavení nejsou na počítačích jen tak pro nic za nic. Jde o varování uživateli, který by měl dobře vědět, co vlastně dělá nebo k čemu se chystá. Typickým příkladem podobných nastavení je BIOS: změna setupu v BIOSu je sice obvykle zamýšlená dobře, ale cesta do pekel je v tomto případě skutečně dlážděna dobrými úmysly.

Pokročilá nastavení, která mohou významně změnit způsob, jakým počítač pracuje i pozměnit jeho zabezpečení, by vždy měli přenastavovat zkušení IT technici v zabezpečeném prostředí. Tím se šance na ztrátu dat výrazně sníží.

Ignorování možnosti selhání hardwaru

Jak cloudová řešení postupně zaplňují trh, snižuje se riziko ztráty dat vlivem selhání počítače. HDD a SSD lze poškodit a často se zkrátka časem opotřebují; z těch je však ještě obvykle možno část dat získat zpět.

Problémy často také dělá PC zdroj. Ačkoli ten přímo data neohrožuje, přesto způsobuje dodatečné náklady – laptop nebo spíše server, na kterém se nacházejí data potřebná k činnosti firmy, nemůže jít jen tak do opravy, aniž by se to projevilo na chodu podniku.

Zabezpečená přenosná datová zařízení, například flash disky, nebo cloudová úložiště, znamenají větší míru ochrany dat před ztrátou (nikoli však krádeží).

Ignorování bezpečnostních protokolů

Mnoho „hackerských útoků“, o kterých čteme ve zpravodajství, je způsobeno chybou zaměstnance – vlastně většina. Nastavit jako heslo administrátora „12345“ nebo otevření e-mailové přílohy od neznámé adresy patří mezi podobné chyby.

Podobně špatné je klikání na reklamy na nebezpečných a neseriózních webových stránkách. Důrazná správa hesel a vynucování bezpečnostních standardů při práci s internetem vede k výraznému snížení šance úniku dat – dobře zabezpečená firma je méně lákavý cíl pro hackery.

Ačkoli odhodlaný tým kvalitních kriminálníků dokáže prolomit i velmi, velmi dobré zabezpečení, nejlákavější cíl jsou pro ně ty podniky, ze kterých získají peníze snadno; tedy ty s nejhorším zabezpečením. Dbejte i na dostatečně složitá hesla, která kombinují malá a velká písmena s čísly.

Špatné zálohování

Velmi běžným důvodem ztráty dat je jejich ukládání na lokální úložiště bez další zálohy. Jsme v roce 2017, externí datová úložiště jsou nejen velmi levná, ale také nabízí mnoho různých řešení, cloud i fyzický server. V porovnání s náklady na ztracená data je záloha v úložištích opravdu levná.

Možností je i záloha na hned několika různých cloudech nebo na cloudu a fyzickém médiu zároveň; pak jsou v případě selhání hardwaru nebo lidského faktoru cenné informace snadno nahraditelné.

Ransomware

V poslední době jsou v hackerských kruzích a kyberkriminalitě obecně velmi populární vyděračské praktiky. Nejsnazším způsobem, jak uživatele počítače vydírat, je ransomware. Ransomware převezme soubory na uživatelově počítači a zašifruje je, načež požaduje po oběti zaslání finančních prostředků, po kterých obdrží dešifrovací klíč.

Nejčastěji se ransomware do počítače dostat skrze e-mailovou přílohu nebo prolomením či uhádnutím hesla. Krádež dat přijde ve chvíli, kdy mají hackeři čas mezi infikováním počítače a zasláním platby na jejich účet. Častěji ovšem i v případě příchozí platby hackeři data neodemknou a buď je ponechají zašifrované, nebo je zničí.


České nemocnice jsou na útoky ransomware zoufale nepřipraveny, varuje expert

25.5.2017 Novinky/Bezpečnost Viry
Česká republika má štěstí, že nebyla v hledáčku tvůrců škodlivého kódu WannaCry. Tuzemská zdravotnická zařízení by dopadla hůře než v Británii.
Úroveň zabezpečení českých nemocnic a dalších zdravotnických zařízení proti kybernetickým útokům je naprosto zoufalá a trvale nedostatečná. Na konferenci Kyberkriminalita a ochrana soukromí, kterou v úterý pořádal Ústavně-právní výbor Senátu ve spolupráci s Národním centrem bezpečnějšího internetu, to řekl Aleš Špidla z Českého institutu manažerů informační bezpečnosti. Útok škodlivého kódu WannaCry, který potrápil britská zdravotní střediska a zasáhl celý svět, by podle Špidly způsobil českým nemocnicím mnohem větší škody.

„Navštívil jsem mnoho nemocnic a vůbec se nedivím, že mají tak velký problém s ransomware WannaCry. Jejich systém zabezpečení, úroveň aplikací, které používají, jsou naprosto nedostatečné,“ prohlásil Špidla. Problém je podle něj i v nedostatečném tlaku státu na provozovatele těchto zařízení, aby lépe ochránili citlivá osobní data pacientů. „V minulosti jsme se zabývali otázkou, zda pod zákon o kybernetické bezpečnosti spadnou zdravotnická zařízení o kapacitě nad 2 500 lůžek. Takové ale v České republice žádné není,“ konstatoval Špidla.

Pomůže evropské nařízení o ochraně dat?
V současné době se podle Špidly vedou odborné diskuse o tom, zda by se zákon o kybernetické bezpečnosti měl vztahovat na zařízení o kapacitě od 500 nebo až od 800 lůžek. „Jenže například IKEM se nevejde ani do toho nižšího parametru. Přitom to je vysoce specializované zařízení se spádovostí pro celou republiku,“ upozornil Špidla. Nepřipravenosti nemocnic na útoky podobné poslední vlně ransomware WannaCry, která se České republice vyhnula (napadeno bylo jen několik set počítačů), podle něj učiní přítrž evropské nařízení o ochraně osobních dat, takzvané GDPR. „Je to šance, jak provést zásadní revizi bezpečnostních opatření,“ míní Špidla.

GDPR určuje firmám, ale i veřejným institucím, které spravují osobní data občanů, zajistit jejich ochranu před zneužitím. Nařízení začne platit v květnu příštího roku a jeho porušení může stát firmu i několik procent z ročního obratu. U nadnárodních společností se navíc sankce bude vypočítávat z obratu mateřského koncernu, nikoli tuzemské pobočky. Mediálně známý případ bývalého zaměstnance mobilního operátora T-Mobile, který vynesl z firmy databáze zákazníků, by tak firmu mohl stát až několik miliard korun.

Nemocnice nejsou jediné, špatně chráněné jsou i chemičky
Aleš Špidla na konferenci Kyberkriminalita a ochrana soukromí zmínil vedle zranitelnosti nemocnic také další rizikové podniky, například chemické závody. „Byl jsem u jednoho klienta, který zastupuje chemičku, která když bouchne, vyhubí polovinu okresu. Když jsem viděl jejich zabezpečení, bál jsem se tam vůbec sedět v zasedačce,“ prohlásil.

Podle Václava Zubra, bezpečnostního experta společnosti ESET, si zatím značná část českých firem i veřejných institucí riziko úniku citlivých dat nebo jejich zašifrování neuvědomuje. „Přestože útok ransomwarem WannaCry Českou republiku v podstatě minul, měl by tento známý incident i u nás pomoci zvýšit povědomí o kybernetických hrozbách a v důsledku vést k lepšímu zabezpečení proti nim,“ řekl Zubr.

Podle statistiky, kterou zveřejnila společnost ESET, vyděračský vir WannaCry postihl zejména internetové uživatele v Rusku, kde byla zaznamenána téměř polovina celosvětových detekcí tohoto škodlivého kódu. Výrazněji se kampaň projevila také na Ukrajině a Tchaj-Wanu. V České republice tento ransomware nenapadl žádnou veřejnou instituci, na Slovensku se s ním potýkala fakultní nemocnice v Nitře.


Díra, na kterou nikdo nemyslel. Počítač můžete ohrozit stažením titulků k filmu
25.5.2017 CNEWS.CZ Zranitelnosti
Výzkumníci bezpečností společnosti Check Point upozornili na závažnou díru, která se nachází v softwarových přehrávačích filmů. Pomocí nakažených titulků můžou hackeři napadnout váš počítač a vzdáleně jej kompletně ovládnout. Zranitelnost obsahují například VLC, Kodi (XBMC) nebo streamovací platformy Popcorn Time či Stremio. Ohroženo je podle odhadů až 200 milionů zařízení.

Tyto přehrávače mají funkci pro automatické stažení titulků dle vybraného jazyka. Stahuje se z některých veřejných repozitářů, jako je například OpenSubtitles.org. Vždy by se automaticky měly vybrat ty s nejlepším hodnocením. Check Pointu se ovšem podařilo do repozitáře nahrát falešné titulky a ještě zmanipulovat hodnocení tak, aby se právě ony vybraly pro autostažení.

Hackování skrz titulky k filmu
Hackování skrz titulky k filmu
Takový soubor ani neuvidíte. Jako hrozbu jej nevidí ani antivirový software. Kód se zkrátka spustí a otevře počítač pro vnější útok. Check Point ukázal i na videu, že po načtení titulků se otevřelo spojení a pak se mohl k počítači oběti připojit přes VNC.

Check Point nezveřejnil detaily hack a exploit ještě také nepublikoval. Upozornil ale tvůrce softwaru a ti už vydali první opravy. Jen u Kodi jsou zatím k dispozici pouze zdrojové kódy, nikoliv připravený binární instalátor.


Statisíce počítačů jsou stále zavirované. Napravit to má WannaKey

23.5.2017 Novinky/Bezpečnost Viry
Šíření škodlivého kódu WannaCry se sice podařilo zastavit, tento nezvaný návštěvník však přesto zvládnul za pouhých pár hodin nakazit na 300 000 počítačů v různých koutech světa. A drtivá z nich bohužel zůstává stále uzamčena. Bezpečnostní experti se to nyní budou snažit napravit pomocí nástroje zvaného WannaKey.
WannaCry – první i vylepšená druhá generace – útočí úplně stejně jako ostatní vyděračské viry, které jsou označovány souhrnným názvem ransomware. Nejprve tedy škodlivý kód pronikne do počítače, pak jej uzamkne a zašifruje všechna data. Za jejich zpřístupnění následně počítačoví piráti požadují výkupné.

Je však nutné zdůraznit, že ani po zaplacení výkupného uživatelé nemají jistotu, že se k datům dostanou.

A právě to teď dělá vrásky na čele statisícům uživatelů, které kybernetická infekce zvaná WannaCry postihla. Operační systém sice mohou přeinstalovat, aby bylo možné počítač zase používat, ke svým datům se ale jednoduše nedostanou.

Na dešifrovacím nástroji se již pracuje
Všem postiženým však nyní svitla naděje díky bezpečnostní společnosti QuarksLab. Ta údajně již testuje nástroj, který dokáže šifrování škodlivého kódu WannaCry obejít a data opět zpřístupnit.

Kybernetický expert Adrien Guinet, který pracuje právě pro QuarksLab, totiž objevil klíč, který je k dešifrování potřebný. A s jeho pomocí nyní finalizuje nástroj zvaný WannaKey, který uzamčené počítače odemkne. A to i bez placení výkupného.

Prací na dešifrovacím nástroji se pochlubili i další bezpečnostní výzkumníci, kteří působí ve Francii. Je tedy velmi pravděpodobné, že by se uživatelé skutečně mohli v brzké době dočkat aplikace, díky které již WannaCry nebude představovat noční můru.

Nejvíce postiženo Rusko
WannaCry se začal internetem šířit v polovině května. Za pouhých pár hodin stihl nakazit více než 300 000 počítačů ve více než 150 zemích světa. Takřka polovina všech zachycených detekcí (45,07 %) připadá na Rusko. Je to dáno tím, že především v tamních chudých lokalitách ještě uživatelé hojně používají zastaralý operační systém Windows XP, který byl proti škodlivému kódu WannaCry nejvíce zranitelný.

Druhou a třetí příčku pak zaujaly Ukrajina (11,88 %) a Tchaj-wan (11,55 %). Ostatní státy, které se dostaly v žebříčku nejpostiženějších zemí do první desítky, měly podíl tak v řádech jednotek procent. Šlo například o Egypt, Indii či Filipíny.

Česká republika skončila v přehledu s podílem 0,15 % až na 52. místě. Sluší se nicméně podotknout, že spodní příčky měly velmi podobný podíl až prakticky do konce žebříčku, který obsahovat 150 států. Například sousední Slovensko však na tom bylo hůře – virus WannaCry tam měl podíl 0,26 %.

V Česku byly přitom infikovány stovky strojů. „Podle našich údajů počet infekcí překonal číslovku 620,“ uvedl již dříve na dotaz Novinek Pavel Bašta, bezpečnostní analytik Národního bezpečnostního týmu CSIRT.CZ.


Pozor na mobily - ransomware totiž nachází nový a snadný cíl

23.5.2017 SecurityWorld Viry
Objem mobilního ransomwaru se v prvním čtvrtletí letošního roku více než ztrojnásobil. Malware tohoto typu přitom chytře využívá získání administrátorských práv v zařízení.

Podle dat reportu „Malware v prvním čtvrtletí 2017“ společnosti Kaspersky Lab vyděračský malware nepolevuje ve svých aktivitách. Množství detekovaných souborů mobilního ransomwaru vystoupalo za první čtvrtletí 2017 na číslo 218 625, přičemž 86 % z nich má na svědomí ransomwarová rodina Congur.

V posledním čtvrtletí loňského roku byl pro porovnání mobilní ransomware detekován pouze v 61 832 případech. Během prvních tří měsíců tohoto roku se také objevilo 55 679 nových modifikací ransomwaru cílících na všechna zařízení, systémy a sítě, za nimiž stálo 11 nových šifrovacích rodin.

Primárním cílem ransomwarové rodiny Congur je zabránit uživateli v přístupu do zařízení. Přenastavením nebo obnovením jeho PIN (hesla) k němu získává administrátorská práva. Některé varianty malwaru navíc tato práva zneužívají k nainstalování svých modulů do systémové složky, odkud je téměř nemožné je odstranit.

Navzdory oblibě rodiny Congur zůstal Trojan-Ransom.AndroidOS.Fusob.h nejrozšířenějším mobilním ransomwarem. Byl odpovědný za 45 % útoků tohoto typu v prvním čtvrtletí 2017.

Hned po svém spuštění vyžaduje tento trojan administrátorská oprávnění a zároveň sbírá informace o zařízení včetně GPS lokace a historie hovorů. Tato data poté nahraje na podvodný server. Ten na základě obdržených informací může vydat příkaz k zablokování zařízení.

Zemí s nejvyšším počtem napadených zařízení mobilním ransomwarem se v prvním čtvrtletí tohoto roku staly Spojené státy. Nejrozšířenější hrozbou zde byl ransomware Svpeng.

Za uplynulé čtvrtletí se téměř dvojnásobně zvýšil počet nově detekovaných ransomwarových modifikací zaměřených na Windows. Od ledna do března 2017 jich bylo detekováno 55 679, přičemž za období říjen až prosinec loňského roku 29 450. Za většinu těchto nových modifikací je zodpovědná rodina Cerber.

Další data reportu firmy Kaspersky Lab:

Webové antivirové nástroje odhalily 79 209 775 unikátních škodlivých adres URL.
Snahy kyberzločinců ukrást peníze prostřednictvím malwarové infekce online bankovnictví byly zaregistrovány na 288 000 uživatelských počítačích.
Útoky šifrujícím ransomwarem byly zablokovány na 240 799 počítačích.
Antivirus Kaspersky Lab celkově detekoval 174 989 956 unikátních škodlivých a potenciálně nevyžádaných objektů.


Jak předejít globálním malwarovým atakům jako WannaCry?

23.5.2017 SecurityWorld Viry
K nedávnému útoku malwaru WannaCry, který paralyzoval nemocnice, vládní organizace, ale i jednotlivé uživatele na celém světě, vůbec nemuselo dojít. Nešlo totiž o žádný technologický zázrak zkonstruovaný a rozšířený geniálním hackerem.

Jeho autoři využili pouze laxnosti bezpečnostních opatření napříč uživateli i organizacemi, a také plíživě rozkladného vlivu, jaký Národní bezpečnostní agentury (NSA) a mnozí technologičtí giganti na globální internetovou bezpečnost mají.

Ve skutečnosti je to ale vlastně dobrá zpráva, jelikož znamená, že zamezit příštímu podobnému útoku nemusí být nemožné. Tady je pět kroků, které tomu mohou napomoci:

1) Zatrhnout NSA skladování bezpečnostních chyb

Útok byl postaven na hackerském nástroji vymyšleném NSA a následně ukradeném a veřejně zveřejněném skupinou říkající si Shadow Brokers. Jak poznamenal New York Times, šlo zřejmě o první útok „kyberzbraní vyvinutou v NSA, placenou penězi daňových poplatníků“, proti kterým byla následně zneužita.

Běžnou praxí NSA je nalézání chyb v operačních systémech a programování nástrojů pro jejich zneužití, dost často bez toho, aniž by tento postup koordinovala s výrobcem.

K částečné spolupráci s výrobci přiměla NSA administrativa bývalého prezidenta Barracka Obamy a agentura se tak o část odhalených děr podělila, útok WannaCry však cílil přes kritické body, které si NSA nechala pro sebe.

Od Microsoftu za to proto schytala kritiku, softwarový gigant navíc apeloval na vlády, ať ve věci kyberzločinu přijmou zcela nová opatření, jejichž součástí by byla i součinnost vládních agentur s výrobci softwaru.

2) Žádat po výrobcích, ať bezpečnostní patche distribuují mezi všechny, nejen platící zákazníky

Microsoft v březnu zveřejnil patch záplatující chybu, kterou WannaCry zneužil. S největší pravděpodobností se tak stalo poté, co byl NSA upozorněn, že se hackeři zmocnili jejích nástrojů a mohou je zneužít.

Další patch – a to i pro už nepodporované Win XP – Microsoft zveřejnil poté, co hackeři zaútočili. Podle odborníků by podobná opatření měla být standardem – v současnosti totiž už nepodporované operační systémy se záplatují pouze platící klientele.

3) IT oddělení by měla čelit následkům útoků, kterým mohla předcházet

Útok WannaCry poukázal na překvapující neschopnost IT oddělení napříč odvětvími. Útoku totiž mohlo být zabráněné, pokud by tato oddělení včasně a důsledně záplatovala patchy, které už byly k dispozici.

4) Uživatelé by si měli zvyknout na automatické aktualizace

Automatické aktualizace Windows 10 vzbudily mezi řadou uživatelů rozhořčení. Podle názorů některých odborníků by se ale přes ně měli být schopni přenést a přijmout je jako povinné očkování – celkové proočkování zamezí šíření nákazy. Volitelné by měly být jen aktualizace nesouvisející se zabezpečením.

5) Vlády by měly omezit pirátství

Obzvlášť tvrdě byla malwarem WannaCry zasažena Čína, jelikož většina tamních kopií Windows je pirátská, což znamená i to, že takové systémy nedostávají bezpečnostní aktualizace. A nejde jen o to, že vláda pirátství dostatečně nepotlačuje, nelegální software v Číně pohání i počítače vládních úředníků.

Podobný stav panuje i v Rusku. Podle předloňské studie sdružení BSA Software je 70 % veškerého softwaru v Číně a 64 % v Rusku nedostatečně licencováno. A čím větší tento podíl je, tím větší je riziko, že se malwarová nákaza dál rozšíří.


Hackeři napadli vydavatele amerického deníku USA Today, ohrozili data 18 tisíc zaměstnanců

23.5.2017 Novinky/Bezpečnost Hacking
Jedno z největších amerických novinových vydavatelství Gannet Co, do jehož portfolia patří i deník USA Today, napadli hackeři a získali citlivá data o 18 tisíc současných i dřívějších zaměstnancích. K průniku do vnitřní sítě vydavatelství došlo prostřednictvím phishingové zprávy, kterou pachatel zaslal na oddělené lidských zdrojů společnosti, uvedl server WeLiveSecurity.com.
E-mail vytvářel dojem, že pochází od manažera vydavatelství, který si vyžádal potvrzení přihlašovacích údajů do sítě. Útočníci se poté dostali do databáze zaměstnanců firmy.

Druhý velký útok po Gmailu
Vydavatelství v oficiálním prohlášení popřelo, že by existoval byť jen náznak úniku citlivých osobních údajů. E-mailové účty zaměstnanců, jejichž data mohli útočníci získat, ale podrobí důsledné kontrole. K útoku mělo dojít již 30. března, kdy se pachatel pokusil prostřednictvím jednoho z napadených uživatelských účtů provést bankovní převod peněz, který se mu nezdařil.

Podezřelou transakci zachytilo finanční oddělení vydavatelství, které iniciovalo rozsáhlé vyšetřování. Incident byl prozrazen ve stejnou dobu, kdy rezonovala kauza s podobným útokem na uživatele služby Gmail.

Podle nevládní organizace Internet Society by firmy jako Gannet Co měly lépe předcházet případnému průniku nežádoucích osob k citlivým datům. „Pokud chtějí minimalizovat riziko narušení dat a průniků do zařízení, musí používat nejnovější systémy zabezpečení a mít povědomí o tom, jak řešit hrozby spojené se sociálním inženýrstvím,“ prohlásil Olaf Kolkman, ředitel divize internetových technologií v organizaci Internet Society.

„Naše zpráva za rok 2016 došla k závěru, že pokud by americké firmy zavedly patřičná opatření, mohly by se vyhnout až 93 procentům všech průniků do svých systémů,“ dodal.

Ohroženy mohou být i české firmy
Úniky citlivých osobních a obchodních dat patří podle bezpečnostního experta společnosti ESET Václava Zubra mezi největší kybernetické hrozby firem, ale i různých veřejných institucí. „Mnohé organizace zcela zásadně podceňují bezpečnostní opatření. Velmi často pomíjí bezpečnostní školení pro své zaměstnance. Přitom to je právě lidský faktor, který hraje při phishingových útocích a sociálním inženýrství hlavní roli,“ uvedl Zubr.

„Každá společnost by měla provádět minimálně jednou ročně povinná školení bezpečnosti práce na internetu pro své zaměstnance,“ dodává.


Experti dohlížející na sankce proti KLDR jsou terčem hackerů

23.5.2017 Novinky/Bezpečnost Viry
Experti OSN vyšetřující porušování sankčních podmínek uvalených na Severní Koreu jsou terčem kybernetických útoků, za kterými stojí hackeři s velmi dobrým přehledem o jejich práci. OSN to uvádí v interním varovném e-mailu, napsala v pondělí agentura Reuters.
Hackerům se 8. května podařilo proniknout do počítače jednoho z expertů. "Spolu se souborem zip (formát pro kompresi dat) byla poslána velmi osobní zpráva, která ukazuje, že hackeři mají velice podrobný přehled o současné vyšetřovací struktuře výboru a jeho pracovních metodách," citovala agentura Reuters z varovného e-mailu. Ten také uvedl, že výbor, který sankční podmínky sleduje, byl podobně napaden v roce 2016.

Fakt, že jeden z počítačů člena výboru byl prolomen, potvrdilo italské zastoupení při OSN. Zmíněný varovný e-mail hovoří o tom, že výbor je pod neustálým kybernetickým tlakem hackerů.

Severokorejské zastoupení při OSN odpovědnost za hackerský útok na experty výboru odmítlo s tím, že taková obvinění jsou směšná. KLDR rovněž popřela, že by se podílela na nedávném útoku vyděračským virem WannaCry, který se rozšířil na více než 230 000 počítačů po celém světě. Bezpečnostní odborníci přitom v útoku WannaCry nalezli určité technické souvislosti, které vedou ke KLDR.

WannaCry – první i vylepšená druhá generace – útočí úplně stejně jako ostatní vyděračské viry, které jsou označovány souhrnným názvem ransomware. Nejprve škodlivý kód pronikne do počítače, pak jej uzamkne a zašifruje všechna data. Za jejich zpřístupnění následně počítačoví piráti požadují výkupné.


Jednotka 180: Severokorejská úderka kybernetické války, která straší Západ

23.5.2017 Novinky/Bezpečnost BigBrother
Hlavní severokorejská špionážní agentura má svou speciální buňku zvanou Jednotka 180, která stojí za několika nejtroufalejšími a úspěšnými kyberútoky Severní Koreje (KLDR). S odkazem na přeběhlé Severokorejce, úřady i experty na internetovou bezpečnost to uvedla agentura Reuters.
Severní Koreji byla v posledních letech dávána za vinu série online útoků, většinou na finanční sítě v USA, Jižní Koreji a více než tuctu dalších zemí.

Vyšetřovatelé také uvedli, že našli technické důkazy, které mohou spojovat Severní Koreu s nedávným útokem virem WannaCry, který postihl více než tři sta tisíc počítačů ve 150 zemích. Pchjongjang obvinění označil za „směšné“.

Podstata těchto obvinění je napojení Severní Koreje na hackerskou skupinu Lazarus, která je spojována s loňskou kyberkrádeží 81 miliónů dolarů (téměř dvě miliardy korun) z bangladéšské centrální banky a s útokem na hollywoodské studio společnosti Sony.

Vláda Spojených států z útoku na Sony obvinila Severní Koreu, podle některých vládních činitelů vyšetřovatelé připravují proces proti Pchjongjangu v případu bangladéšské banky. V obou případech zatím nebyly předloženy žádné přesvědčivé důkazy ani nebyla vznesena oficiální obvinění. KLDR odmítla, že by za oběma útoky stála.

Do ciziny za lepším internetem
KLDR je jednou z nejvíce uzavřených zemí světa a jakékoliv podrobnosti o jejích utajovaných operacích je velmi obtížné získat. Nicméně nějaká vodítka poskytují jednak experti, kteří samotářskou zemi studují, a jednak Severokorejci, kterým se podařilo dostat za hranice do Jižní Koreje nebo na Západ.

Jedním z nich je bývalý profesor informatiky Kim Hjong-kuang, který přeběhl do Jižní Koreje v roce 2004 a stále má své zdroje v KLDR. Podle Kima byly kyberútoky Pchjongjangu vedené za účelem získání peněz a s největší pravděpodobností organizované Jednotkou 180, která je součástí Generálního průzkumného úřadu, severokorejskou zpravodajskou špionážní agenturou.

„Jednotka 180 byla zapojena do hackování finančních institucí, kde prolomí zabezpečení a z bankovních účtů vybírá peníze,“ řekl Reuters Kim, který už v minulosti uvedl, že jeden z jeho bývalých studentů je ve Strategickém kybervelitelství, tedy jakési kyberarmády KLDR.

„Hackeři jezdí do ciziny, aby někde našli lepší internetové připojení, než má KLDR, aby za sebou nenechávali stopy,“ dodal Kim. Podle něj pracují v utajení, coby zaměstnanci obchodních společností.

Podle experta na Severní Koreu z amerického Centra pro strategické a mezinárodní studia Jamese Lewise Pchjongjang nejprve hackování používal jako nástroj pro špionáž a poté k politickým provokacím Jižní Koreje a Spojených států.

Útok na jaderný reaktor
Jihokorejské úřady tvrdí, že mají důležité důkazy o severokorejských válečných kyberoperacích. „Severní Korea podniká kyberútoky ze zemí třetího světa, aby zakryla původ těchto operací,“ řekl Reuters An Čong-hi, náměstek jihokorejského ministra zahraničí. Kromě útoku na bangladéšskou banku je podle něj Pchjongjang podezřelý z útoků na banky na Filipínách, ve Vietnamu nebo v Polsku.

Podle jihokorejské policie se Severní Korea nabourala do více než 140 tisíc počítačů 160 jihokorejských společností a vládních úřadů, do kterých nainstalovala škodlivý kód, který má připravit půdu pro budoucí masívní kyberútok.

Severní Korea je také podezřelá z útoků na operátora jihokorejského jaderného reaktoru v roce 2014. KLDR jakoukoliv účast na útocích odmítla.

Podle Michaela Maddena, amerického experta na severokorejské vedení, je Jednotka 180 jednou z mnoha kyberválečných skupin v severokorejské zpravodajské komunitě.

„Personál je rekrutován ze středních škol a je trénován v elitních institucích,“ řekl Madden. „Mají určitou autonomii ve svých misích a úkolování,“ dodal s tím, že mohou pracovat například z hotelů v Číně nebo Východní Evropě.


Symantec: WannaCry útočil od února. Pravděpodobně za ním stojí skupina Lazarus
23.5.2017 CNEWS.CZ Viry

Bezpečnostní firmy se snaží vypátrat původ ransomwaru WannaCry a nové informace nabídl Symantec. Ten na svém blogu shrnuje dosavadní zkušenosti s tímto škodlivým kódem. První útok firma zaznamenala 10. února tohoto roku, kdy byla napadena jediná organizace.

Během dvou minut od nakažení prvního stroje se škodlivý kód rozšířil na stovku počítačů v organizaci. Útočnictvo za sebou zanechalo nástroje, jež se tak mohly stát předmětem zkoumání.

WannaCry útočil od února

Kromě nich bylo nalezeno pět druhů malwaru, tři z nich jsou přímo spojeny s hackerskou skupinou Lazarus. Dva ze trojice platí za varianty backdooru Destover, jenž byl použit v útoku na Sony. Třetím kouskem byl trojský kůň Volgmer, jenž byl Lazarem nasazován proti jihokorejským cílům. Novým vzorkem WannaCry bylo do 27. března napadeno nejméně pět organizací. Podle Symantecu zde nelze vysledovat vzorec, podle něhož byly cíle vybrány.

V tomto případě při nasazení vyděračského softwaru byly použity dva různé backdoory, a sice Alphanc a Bravonc. Krátká verze zní, že se jedná o škodlivé softwary, jež vykazují spojitost s Lazarem. Útoky v menší míře pokračovaly i v dubnu. Nakonec přišel nám již dobře známý rozsáhlý útok, který začal 12. května. V tento den se začala šířit další nová verze WannaCry, jež k šíření zneužila známé díry ve Windows (CVE-2017-0144 a CVE-2017-0145). Připomínám, že byly opraveny Microsoftem během března.

Ilustrační foto (zdroj: qimono / Pixabay)

Ransomware se šířil na počítače v lokální síti, ale i na vzdálené stroje připojené k internetu. Všechny nalezené varianty ransomwaru jsou si velmi podobné, archivy používané v rámci distribuce škodlivého kódu jsou šifrovány podobnými hesly (wcry@123, wcry@2016 a WNcry@2ol7). Peněženky používané pro příjem Bitcoinů v prvních útocích podle Symantecu nebyly využívány dalšímu skupinami.

I to jsou významné indikátory, které Symantec vedou k závěru, že za těmito hrozbami stojí stejná skupina. Již jsem zmínil skupinu Lazarus. WannaCry podle bezpečnostní firmy sdílí část kódu s backdoorem Contopee, jenž je spojen právě s Lazarem. Jedna z variant používá shodné šifry. WannaCry se dále podobá malwaru Fakepude a trojskému koni Alphanc, přičemž oba jsou spojeny se stejnou hackerskou skupinou.

Činnost skupiny Lazarus

V tomto bodě je vhodné odpovědět, kdo je tedy Lazarus. Tato skupina se zabývá kybernetickou zločineckou činností a její první doložené útoky byly zaznamenány v roce 2009. K jejím nejúspěšnějším zločinům patří již zmíněný útok na filmovou divizi Sony v roce 2014. V roce 2016 pak skupina zaútočila na Bangladesh Central Bank. Z této akce si odnesla kořist ve výši závratných 81 milionů dolarů.

Kaspersky Lab v březnu vydal report o skupině, kde dochází k zajímavým tvrzením. Detaily naleznete ve zmíněné zprávě, zde jen zmíním, že podle Kasperky Lab operoval Lazarus od začátku s velkým rozpočtem a jeho snahou je zřejmě být dále finančně soběstačný. Do hry vstoupila skupina Bluenoroff, která pod Lazarus spadá a která se podle všeho specializuje právě na získávání finančních zdrojů. Ta v podstatě vydělává peníze, aby udržela operace Lazara v činnosti. Ke své činnosti pak využívá pak škodlivé kódy vytvořené touto skupinou.

Takhle vypadá vyděračská obrazovka
Takhle vypadá vyděračská obrazovka ransomwaru WannaCry
Již jsem uvedl, že odborná veřejnost WannaCry začala spojovat se Severní Koreou. Kasperky Lab před dvěma měsíci odhalil spojení mezi Bluenoroffem a Severní Koreou v podobě adresy IP. Protože je tedy Bluenoroff považována za součást skupiny Lazarus, může být WannaCry jakožto dítko Lazara skutečně prací lidí ze Severní Korei. Toto pojítko samo o sobě jako usvědčující důkaz není dostatečné, takže zatím můžeme leda spekulovat.

Ruský bezpečnostní podnik Kaspersky Lab ve své zprávě uvádí, že měřítko operací skupiny Lazarus, která výrazně roste od roku 2011, je šokující. Výroba malwaru, s nímž je zacházeno jako s jednorázovým materiálem, který je při dalším úroku nahrazen lepší zbraní, podle firmy nemůže být dílem amatérů. Zdá se, že Lazarus funguje jako továrna na malware, který následně distribuuje skrze více nezávislých subjektů. O skupině Lazarus patrně ještě uslyšíme.


WannaCry se neměl vůbec rozšířit. Stačilo, abychom používali Windows Update

23.5.2017 Živě.cz Viry
WannaCry se masivně rozšířil kvůli zranitelnosti ve Windows
Ta mu umožnila, aby se pokusil sám napadnout další počítače
Jenže ta chyba už je dva měsíce opravená!
Kdo se v týdnu setkal na svém PC s podobnou obrazovkou, musel buď zaplatit, nebo se smířit se ztrátou datKdo se v týdnu setkal na svém PC s podobnou obrazovkou, musel buď zaplatit, nebo se smířit se ztrátou datKdo se v týdnu setkal na svém PC s podobnou obrazovkou, musel buď zaplatit, nebo se smířit se ztrátou datJedna z modifikací WannaCry ve virtuálních WindowsŠíření ransomwaru WannaCry v prvních hodinách podle Avastu12 FOTOGRAFIÍ
Kdo se v týdnu setkal na svém PC s podobnou obrazovkou, musel buď zaplatit, nebo se smířit se ztrátou dat
O ransomwarovém útoku WannaCry z minulého víkendu už toho byly popsány stohy a to i u nás na Živě.cz, nicméně je třeba vyvrátit ještě jednu fámu, která se hned zkraje diskutovala zejména v zaoceánských médiích.

Takto se šířil WannaCry hodinu po hodině. Zaútočil v pátek během snídaně
Virus WannaCry vyděsil svět. Co hrozí a jak se bránit?
Může za to Microsoft?

Mnohá z nich totiž zpočátku za hlavní viníky označila NSA a Microsoft. Národní bezpečnostní agentura měla údajně přispět tím, že ve svých laboratořích napsala programy pro zneužití zranitelnosti Windows, kvůli které se pak mohl hotový virus lépe šířit lokálními sítěmi a internetem. A právě tyto nástroje, původně určené ke kybernetickým operacím NSA, unikly v minulosti na veřejnost a dostaly se nakonec až do rukou autorů WannaCry.

Podrobná analýza WannaCry na webu Microsoftu

Microsoft byl naopak viněn mnoha komentátory na protějším břehu Atlantiku za odmítavý přístup k tvorbě záplat pro staré verze Windows včele s XPčkami. Mnozí totiž měli během první vlny za to, že WannaCry napáchá nejvíce škody právě na dnes již nepodporovaném operačním systému Microsoftu, který stále používá nezanedbatelné procento počítačů.

WannaCry se nejvíce šířil na Windows 7. Záplata je přitom k dispozici už od března

Tweet Costina Raia, šéfanalytika z Kaspersky Lab, však tuto hypotézu jednoznačně vyvrátil a nepřímo označil za hlavního viníka celého průšvihu nás samotné. Tedy nás ne, v Česku měl totiž ransomware prozatím jen minimální zásah.

Photo published for Over 98% of All WannaCry Victims Were Using Windows 7
Costin Raiu ✔ @craiu
#WannaCry infection distribution by the Windows version. Worst hit - Windows 7 x64. The Windows XP count is insignificant.
15:40, 19. May. 2017
644 644 retweetů 406 406lajků
Informace o reklamách na Twitteru a soukromí
Z grafu výše je zřejmé, že počet napadených Windows XP, tedy alespoň podle Kaspersky Lab, byl naprosto… Zanedbatelný. Tato verze Windows tam vlastně vůbec nefiguruje. Drtivou většinu analyzovaných mašin naopak poháněly Windows 7.

WannaCry se mohl skrze Windows 7 opravdu velmi dobře šířit dál, protože vedle typické ruční nákazy (manuální spuštění viru třeba z poštovní přílohy a zašifrování PC) mohl zneužít ještě oné zranitelnosti ve Windows, zkopírovat se na další mašiny v lokální síti a dokonce i na internetu, no a opět se spustit. Právě tímto způsobem se nejspíše nakazily velké podniky jako ony citované britské nemocnice, některé drážní systémy v zahraničí aj.

Microsoft by si za takový průšvih zasloužil pohlavek a obvyklý odsudek typu: „No jo, zase ta děravá Windows. Ještě že mám na svém počítači Linux,“ jenže rozhodně ne v tomto případě. Jak to? Jednoduše z toho důvodu, že záplata oné zranitelnosti CVE-2017-0145 je oficiálně venku už dva měsíce. Microsoft ji zveřejnil jako hromadnou opravu MS17-010 a to 14. března letošního roku!

Aktualizovaná Windows by se mohla lépe bránit masivnímu šíření

Jelikož firma označila tento balík záplat jako kritický, brzy se dostal na všechny stanice připojené k internetu a to skrze obvyklý subsystém Windows Update. Tedy vlastně nedostal, ale měl se dostat. Proč k tomu zjevně v nejednom případě nedošlo, zůstává otázkou, rozhodně se však nejednalo o počítače mimo internet. To by se totiž tak rychle nenakazily. Doslova během několika hodin.

Co vlastně WannaCry šifruje?

Po aktivaci ransomware prochází úložiště a pokouší se zašifrovat soubory s příponami vypsanými níže. Oběť poškozené soubory snadno rozezná, mají totiž změněnou příponou na .WNCRY. Soubor obrazek.jpg se tedy promění v obrazek.jpg.WNCRY.

.123, .jpeg, .rb, .602, .jpg, .rtf, .doc, .js, .sch, .3dm, .jsp, .sh, .3ds, .key, .sldm, .3g2, .lay, .sldm, .3gp, .lay6, .sldx, .7z, .ldf, .slk, .accdb, .m3u, .sln, .aes, .m4u, .snt, .ai, .max, .sql, .ARC, .mdb, .sqlite3, .asc, .mdf, .sqlitedb, .asf, .mid, .stc, .asm, .mkv, .std, .asp, .mml, .sti, .avi, .mov, .stw, .backup, .mp3, .suo, .bak, .mp4, .svg, .bat, .mpeg, .swf, .bmp, .mpg, .sxc, .brd, .msg, .sxd, .bz2, .myd, .sxi, .c, .myi, .sxm, .cgm, .nef, .sxw, .class, .odb, .tar, .cmd, .odg, .tbk, .cpp, .odp, .tgz, .crt, .ods, .tif, .cs, .odt, .tiff, .csr, .onetoc2, .txt, .csv, .ost, .uop, .db, .otg, .uot, .dbf, .otp, .vb, .dch, .ots, .vbs, .der”, .ott, .vcd, .dif, .p12, .vdi, .dip, .PAQ, .vmdk, .djvu, .pas, .vmx, .docb, .pdf, .vob, .docm, .pem, .vsd, .docx, .pfx, .vsdx, .dot, .php, .wav, .dotm, .pl, .wb2, .dotx, .png, .wk1, .dwg, .pot, .wks, .edb, .potm, .wma, .eml, .potx, .wmv, .fla, .ppam, .xlc, .flv, .pps, .xlm, .frm, .ppsm, .xls, .gif, .ppsx, .xlsb, .gpg, .ppt, .xlsm, .gz, .pptm, .xlsx, .h, .pptx, .xlt, .hwp, .ps1, .xltm, .ibd, .psd, .xltx, .iso, .pst, .xlw, .jar, .rar, .zip, .java, .raw.
Jediným možným vysvětlením je tedy to, že se jednalo o počítače bez adekvátních záplat, a mnozí pozorovatelé se tak domnívají, že WannaCry byl speciálně navržen právě pro tento případ. Ostatně i jeho autoři museli dobře vědět, že oprava, která by spolehlivě zamezila jeho masivnímu šíření, je už dávno k dispozici. Zároveň však věděli, že mnozí na svých počítačích nejspíše vypínají či jinak omezují automatickou instalaci aktualizací a že se to děje spíše na východě. A právě na východě, především v Rusku, řádil WannaCry zdaleka nejvíce.

Je to přitom právě operační systém se všemi čerstvými záplatami a prostý selský rozum při surfování po webu, který nás před malwarem všeho druhu ochrání zdaleka nejlépe.


Phishingových webů s HTTPS přibývá, reagují na vývoj prohlížečů
23.5.2017 Root.cz Phishing

Roste poměr phishingových webů, které používají zabezpečení pomocí HTTPS. Snaží se tak vypadat důvěryhodněji a tím zvýšit svou šanci na úspěch. Je to přirozená reakce na vývoj prohlížečů, které HTTPS upřednostňují.
Už mnohokrát bylo řečeno, že HTTPS neznamená bezpečný web. Zajišťuje jen bezpečnou komunikaci s ním, ale nedokáže garantovat dobré úmysly provozovatele. Čím dál častěji tak narážíme na phishingové weby, které mají důvěryhodný certifikát a správně nasazené HTTPS.

Je to samozřejmě dáno především tím, že se prohlížeče čím dál víc přiklánějí k HTTPS a naopak varují například před vkládáním přihlašovacích údajů do stránek používajících nešifrované HTTP. Společně se seriózními weby jsou tak do šifrování tlačeny i phishingové stránky snažící se uživatele manipulovat.

To společně s bezproblémovou dostupností levných certifikátů, automatizací jejich nasazení a podporou v mnoha službách a utilitách přináší velmi rychlý rozvoj šifrování také u útočných stránek. Odborníci z britské společnosti Netcraft analyzovali phishingové weby a jejich zabezpečení.

Zvlášť se zaměřili na začátek letošního roku, kdy vyšel Firefox 51 a Chrome 56. To jsou verze, od kterých prohlížeče upozorňují na vkládání hesla do nezabezpečeného webu.

Pokud se takto bude chovat phishingový web, jehož jediným cílem je právě získat heslo, bude uživatel poměrně intenzivně varován. Proto se také tvůrci těchto podvodných stránek přizpůsobili a od začátku letošního roku je možné pozorovat dramatický nárůst HTTPS také na jejich webech.

Netcraft
Poměr phishingových webů používajících HTTPS
Před změnou v prohlížečích se poměr phishingových webů používajících HTTPS pohyboval dlouhodobě okolo 5 %. Těsně poté začal rychle stoupat a během necelých dvou měsíců se dostal na trojnásobek původních hodnot. Může to být způsobeno zlepšením na straně tvůrců phishingových stránek nebo také jednoduše tím, že se HTTPS šíří na běžných webech, které mohou být kompromitovány a zneužity k phishingu.

Útočníci se zjevně přizpůsobili novému trendu a jejich činnost je tak vlastně nechtěným vedlejším efektem původní snahy vedené zvýšenou bezpečnostní na webu. Uživatelé by tak měli být výrazně varováni před tím, aby se slepě spolehli na přítomnost zeleného zámečku. Přestože právě to jim bylo dlouhá léta zdůrazňováno, nyní je třeba je ještě naučit kontrolovat doménové jméno. I když ani to nemusí vždycky stačit.

Phishingový web Apple využívající HTTPS
Zajímavá jsou také zjištění o používanosti jednotlivých certifikačních autorit. Netcraft zaznamenal v prvním čtvrtletí přes 47 tisíc phishingových webů a těch s HTTPS zaznamenal v 96 % případů DV certifikát od Let's Encrypt nebo Comodo. Dvě třetiny z nich pocházely od stále rostoucí autority Let's Encrypt, která vydává certifikáty automatizovaně a zdarma.

Dvě autority nejčastěji zneužívané pro phising
Autority tvrdí, že jejich rolí není rozhodovat o závadnosti jednotlivých webů a dobrých úmyslech jejich provozovatelů. Snadný přístup k důvěryhodným certifikátům ale očividně nahrává také útočníkům, kteří je zneužívají ve velkém. Na místě je tedy otázka, zda tento přístup nepřehodnotit. Kdo a jak ale bude v době založení nové stránky posuzovat její účel a jak pozná, že se v budoucnu nezmění?

Netcraft má vlastní řešení, které hodnotí nebezpečnost dané domény podle jejího názvu. Domény typu www.ll-airbnb.com, payqal.limited nebo dropbox.com.login.verify.danaharperandfriends.com jsou tak automaticky ohodnoceny a zablokovány. Takové řešení by teoreticky mohlo zabránit alespoň nemalé části phishingových útoků. Můžeme ale počítat s tím, že pokud se něco podobného v budoucnu nasadí, útočníci se zase přizpůsobí a budou si registrovat domény v takové podobě, aby certifikát dostali. Pokrok nezastavíte, HTTPS bude za chvíli všude.


Online přehrávání filmů a seriálů: hrozba, kterou ignorujeme
23.5.2017 cdr.cz Bezpečnost
Sledování filmů online se může jevit jako neškodná zábava, při které vyskakuje pouze „pár“ reklam. Nebudeme rozebírat legálnost takového počínání, ale zaměříme se na bezpečnostní aspekty, které mohou mít velice nepříjemné následky.
Online Filmy 12
Nelegální kopírování filmů s námi bylo, je a nejspíše ještě nějakou tu dobu bude. Nicméně forma se postupem času mění. Z počátku jsme kopírovali z jedné VHSky na druhou, poté z DVD na DVD, stahovalo se z internetu… Forem je celá řada. Poslední dobou je však nejpopulárnější sledování filmů online. Existuje řada různých pochybných portálů, které poskytují možnost shlédnutí zdarma. Zda je obsah legální či nikoliv, necháme na někom jiném.

V hlavní roli peníze

Tyto portály musí nějak přežívat, profitují tedy z reklam. Bohužel se však jedná o ty nejhorší druhy reklam až ze sedmého kruhu internetového pekla. Neuvěřitelně otravné pop-up reklamy navíc s mládeži nepřístupným obsahem, blikající bannery s falešným varováním, že máte zavirovaný počítač, nebo phishingová tlačítka, kde je napsáno stáhnout, ale přitom vás zavedou tam, kam rozhodně nechcete.

Online Filmy 2
Jedná se o malvertising, složenina ze slov malware (škodlivý software) a advertising (reklamy). Tyto „reklamy“ se vás nesnaží nalákat na nějaký nový produkt či službu. Chtějí jen, abyste na blikající banner klikli a je jedno, zda oznamuje, že jste vyhráli nový iPhone či cokoliv jiného. Všechno je to jen balast, který dokáže udělat s počítačem slušnou neplechu.

Největší problém vidíme v tom, že při kliknutí na nějakou takovou reklamu se může stát, že nevědomky či omylem odsouhlasíte některé okno a stáhnete si do počítače ransomware (či jiný druh malwaru). Ten vám zašifruje data a můžete jít obnovovat systém ze zálohy. Každopádně problematika ransomware by vydala na vlastní článek, proto se jí zde nebudeme zabývat.

Viewimage
Dalším způsobem, jak z vás dostat citlivé údaje, je sociální inženýrství. To se používá především u phishingu. Možná si pamatujete na kauzu, kdy se lidem zobrazilo okno s tím, že jim Policie ČR zablokovala počítači a nutila zaplatit pokutu (jinými slovy výkupné). Nejpopulárnější je stále informace o tom, že jste 1 000 000 návštěvník stránky a něco vyhráváte. Ani byste nevěřili, kolik lidí se nachytá.

Zkušení uživatelé jsou schopni se v těchto okénkách orientovat, ale dejte takový počítač do rukou dětem nebo naopak někomu staršímu, kdo ve virtuálním prostředí nevyrostl, a problém je na světě. Nezkušené oko zkrátka nepozná, zda výzva Policie ČR nebo varování o zavirovaném počítači s nabídkou odstranění hrozeb (případně cokoliv jiného), je legitimní či jen blaf ze strany útočníka.

A jak se chránit?

Pokud v prohlížeči používáte Adobe Flash, měli byste přestat. Tento plugin je v dnešní době již překonán technologiemi jako je HTML5. Navíc je děravý jak cedník, takže využít nějaké bezpečnostní chyby nemusí být zase tak těžké. Pokud jej nepotřebujete, je mnohem bezpečnější prohlížet internet bez aktivního Flashe. Naštěstí je ve většině prohlížečů již zablokován a musí být manuálně povolen.

Online Filmy 13
V mnoha případech nepomůže ani AdBlock, jelikož jej většina takových stránek vycítí a uživateli brání v přehrání filmu. Případně nejsou reklamy pochybných zdrojů zaneseny v blacklistu, a proto se beztak zobrazí. Ve výsledku si tak od škodlivého obsahu nepomůžete a slušné weby připravíte o kus žvance. Abychom mu ovšem nekřivdili, od některých pop-up oken vás zachrání.

Pokud si na stránky pochybného charakteru potrpíte, nezapomeňte, že byste měli mít aktualizovaný antivirus. Dokáže relativně úspěšněji hrozby detekovat a odstranit. Problém nastává tehdy, když se jedná o „zero-day“ hrozbu, využívajíc čerstvou chybu v systému, a kterou nemají antiviry zavedeny v databázi.

Když už se vám nějaký bordel do počítače dostane, snažte se jej co nejrychleji odstranit. V tom horším případě se může škodlivý kód pokusit o povolení ve firewallu a udělení výjimky v bezpečnostním softwaru. Vzniká tak díra v rezidentním štítu systému a hacker vám může ukrást citlivá data.

Závěrem

Na závěr jedna rada nad zlato. Jestli nechcete mít problémy s počítačem a jeho bezpečností, vůbec neotevírejte takové portály, ušetříte si starosti. V dnešní době existuje již mnoho způsobů, jak sledovat filmy online, například za menší poplatek, ať už se jedná o Netflix nebo nějakou jeho českou variantu.

Ano, můžete namítnout, že když se chcete jen podívat na film, nechce se vám platit žádný poplatek. Nicméně to nebylo tématem článku, takže zda je takové jednání správné, necháme na vás.


Hrdinou být nechtěl. Tento mladík zachraňoval svět před vyděračským virem

22.5.2017 Novinky/Bezpečnost Viry
Řádění vyděračského viru WannaCry, který napadl za pouhých pár hodin na 300 tisíc zařízení ve více než 150 zemích světa, zastavil teprve 22letý bezpečnostní expert Marcus Hutchins. Zpráva o jeho boji proti počítačovým pirátům obletěla svět a z něho se stala během pár dní celebrita. On sám britskému deníku The Daily Mail řekl, že o žádné ovace nestál a jsou mu spíše na obtíž.
Bezpečnostní expert Marcus Hutchins
Bezpečnostní expert Marcus Hutchins
FOTO: Frank Augstein, ČTK/AP
Marcus pracuje pro server MalwareTech.com již několik let. Právě zmiňované stránky pravidelně sledují dění na internetu a u nových hrozeb se snaží zjistit jejich funkčnost, aby je mohl s kolegy následně vyřadit zcela z provozu.

A to dělal tento mladík i předminulý týden, kdy se mu podařilo zastavit řádění viru WannaCry. Tehdy však jeho jméno nikdo neznal – mladík se snažil pracovat v anonymitě. Jak sám říká, o žádnou slávu nestál.

Pět minut slávy
S ohledem na jeho hrdinský čin – tak alespoň jeho práci označují zahraniční média – se však před světem schovat nemohl. „Nesnažil jsem se stát slavným, naopak jsem chtěl pracovat anonymně,“ prohlásil pro server Guardian bezpečnostní expert.

„Jsem jen náhodný hrdina. Vím, že jde jen o pět minut slávy, ale je to pro mě i tak hrozně,“ neskrýval Marcus nechuť ze zájmu médií a slávy. „Stát v záři reflektorů mě nebaví,“ doplnil.

Stěžoval si i na to, že je na sociálních sítích doslova pod palbou nejrůznějších fanoušků. „V podstatě jsem ze dne na den přišel o veškeré soukromí, prohlásil 22letý bezpečnostní expert.

Jakkoliv své zásluhy za zastavení škodlivého kódu WannaCry bagatelizuje, byl to právě on, kdo skutečně pomohl před infikováním ochránit přinejmenším desetitisíce dalších strojů a šíření viru zastavil.

Šlo vlastně o náhodu
Britský bezpečnostní expert se k informacím o nezvaném návštěvníku dostal předminulý pátek jako jeden z prvních. Dokonce se mu podařilo získat funkční vzorek vyděračského viru. „Když jsem jej začal zkoumat v uzavřeném prostředí, všiml jsem si, že se snaží při komunikaci kontaktovat internetovou doménu, která není zaregistrovaná,“ přiblížil mladík na svém blogu.

Konkrétně šlo o web iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com. Díky tomu mohl získat více informací o této nebezpečné hrozbě.

Po několikahodinovém zkoumání mladík přišel na to, že to skutečně souvisí se zaregistrováním volné domény. Kyberzločinci pravděpodobně nechali ve WannaCry takovouto bezpečnostní pojistku, aby mohli na dálku v případě potřeby šíření viru jednoduše vypnout. Například i kvůli tomu, aby je bezpečnostní experti nemohli vystopovat zpět.

Teprve 22letý bezpečnostní expert však tuto pojistku odhalil dříve, než ji mohli použít. A to byl poměrně heroický výkon – obzvláště s ohledem na to, že si bral týden dovolenou a k počítači se připojil spíše jen ze zvědavosti.

WannaCry – první i vylepšená druhá generace – útočí úplně stejně jako ostatní vyděračské viry, které jsou označovány souhrnným názvem ransomware. Nejprve škodlivý kód pronikne do počítače, pak jej uzamkne a zašifruje všechna data. Za jejich zpřístupnění následně počítačoví piráti požadují výkupné.


Windows 7 poháněl 98 % počítačů napadených WannaCryem. Nástroje na dešifrování dat vydány

22.5.2017 CNEWS.cz Viry
První zjištění ukazuje, že děravá Ikspéčka již dnes útočnictvo nezajímají. Vznikly již nástroje na dešifrování dat, jsou však významně limitovány.

Nedávný globální útok ransomwaru WannaCry zdůraznil nutnost diskutovat o určitých otázkách. Kdo za něj nese zodpovědnost? Někteří vinu svalují na Microsoft, který pro změnu vidí problém v neaktualizovaných počítačích. Sám dokonce vydal záplatu pro Windows XP, ačkoli nejspíš nikdo neočekával, že by k tomu ještě někdy mělo dojít. První „bonusová“ záplata přišla krátce po skončení životnosti operačního systému v roce 2014.

Opravení díry, kterou využíval WannaCry, představuje druhou záplatu, kterou Microsoft neměl povinnost vyprodukovat. Zatímco se někteří oprávněně obávají především počítačů s Ikspéčky, které tedy již nejsou podporovány a jejichž podíl používanosti podle Net Applications.com činí stále zhruba 7 %, ruský antivirový specialista Kaspersky Lab odhalil zajímavou věc.

Ve skutečnosti podle výzkumu firmy WannaCry napadl v drtivé většině případů počítače s Windows 7. Konkrétně se na tyto stroje ransomware dostal v 98,35 % ze všech případů. Počet napadených počítačů s Windows XP je naproti tomu zanedbatelný. Nelze se divit, protože Sedmičky pohání většinu klasických počítačů (48,5 % v dubnu podle Net Applications.com). Ikspéčka se navíc na západě již skoro nevyskytují, relativně vysoký podíl si drží zejména kvůli Číně.

Fakt, že ransomware WannaCry na počítače s Ikspéčky necílil, potvrzuje, že se dnes jedná o relativně bezvýznamnou platformou z pohledu útočnictva. Strojů s Desítkami se již nachází dost, ale tento systém pro změnu nelze stejným útokem napadnout.

Nástroje na dešifrování dat zašifrovaných ransomwarem WannaCry

Dnes již (možná) můžete své soubory zašifrované ransomwarem WannaCry zachránit díky nástroji, jehož funkčnost byla otestována v systémech Windows XP, 7 (32bitová verze), 2003, Vista a Windows Server 2008. Stále platí, že zálohování a obnova dat ze zálohy je vaší největší nadějí na úspěch a nejlepší obranou. Uvedený nástroj WannaKey totiž operuje se signifikantními omezeními.

Především počítač nesmí být po nakažení restartován a část paměti, kde se nachází prvočísla využívaná při šifrování, nesmí být přepsána. Na základě práce výzkumníka, který vyprodukoval uvedený nástroj pro dešifrování souborů, vznikl ještě druhý nástroj. WanaKiwi funguje stejně a je omezen stejnými limity, práce s ním je však podle The Hacker News snazší.


WikiLeaks pokračuje v odhalování nástrojů od CIA. Spyware Athena napadá Windows XP až 10

22.5.2017 CNEWS.cz BigBrother
Hackování počítačů ve prospěch státu. Nebo ne?

Ilustrační foto


Tématem posledních dní byl masivní útok ransomwaru, který svět zná pod označením WannaCry. Zpráv o napadených počítačích ale nejspíš nebylo dost, protože organizace WikiLeaks před několika dny zveřejnila informace o projektu Athena. Jedná se o malware vyvinutý americkou CIA ve spolupráci s firmou Siege Technologies.

Z jeho povahy můžeme říct, že se tento škodlivý kód chová jako spyware. Hlásí se z infikovaného počítače a umožňuje svému tvůrci na daném stroji spouštět další škodlivé kódy podle potřeby. V neposlední řadě Athena umožňuje přijímat a hlavně odesílat soubory z nakaženého počítače. Tento spyware je designován pro použití ve Windows od Ikspéček až po Desítky.

Jedná se již o několikáté odhalení škodlivého softwaru od CIA za sebou. Na začátku bylo rozsáhlé odhalení projektu s kódovým označením Vault 7, jenž lze charakterizovat jako sbírku hackovacích nástrojů pro různé platformy. K odhalení došlo 7. března 2017. Od té doby organizace WikiLeaks zveřejnila informace o těchto souvisejících projektech:

Dark Matter (23. března 2017)
Marble Framework (31. března 2017)
Grasshopper (7. dubna 2017)
Hive (14. dubna 2017)
Weeping Angel (21. dubna 2017)
Scribbles (28. dubna 2017)
Archimedes (5. května 2017)
AfterMidnight (12. května 2017)
Athena (19. května 2017)


Honíme botnet: od honeypotu k analýze routeru
22.5.2017 Root.cz BotNet

Vše začalo ve chvíli, kdy nám přišla odpověď na jeden z e-mailů, které jsou automaticky generovány našimi honeypoty v případě detekovaného pokusu o útok. Tato upozornění jsou posílána abuse kontaktům sítě.

Takováto reakce na zprávu z našeho honeypotu pochopitelně zaujala moji pozornost. Požádal jsem tedy dotčeného ISP o pomoc a netrvalo dlouho a na stole jsem měl zapůjčené dva vzorky routeru Billion BiPAC 9800VNXL. Jeden přímo odhalený našimi honepoty a druhý čistý pro porovnání v případě, že by se jednalo o trvalou nákazu.

Po prvním „osahání“ přišlo trochu zklamání. Zařízení nemělo klasický shell, ale jenom jakousi příkazovou řádku na telnetu, která byla pro další analýzu naprosto neužitečná.

Když už jsem pomalu začal vzdávat svoji snahu a smiřoval se s tím, že nebudu schopen porovnat vzorky firmwaru z obou zařízení, zkusil jsem poslední možnost. Připojil jsem zařízení do internetu na veřejnou IP adresu. A vyplatilo se. Přibližně během do dvou hodin byl router plně kompromitovaný a stal se součásti botnetu. Hned jsem ho tedy odpojil od sítě a jal se analyzovat zachycená data.

Ukázalo se že router trpí zranitelností umožňující vzdálenému neautorizovanému útočníkovi spustit libovolný kód. Útok se skládá ze dvou HTTP/SOAP dotazů, přičemž ve druhém byl uschován řetězec:

Došlo tedy ke stažení a spuštění binárky a připojení infikovaného routeru k botnetu. Ze zvědavosti jsem binárku nahrál na Virustotal, ale jak se dalo očekávat, architektury jako například MIPS nejsou úplně zajímavé pro antivirové společnosti, jako podezřelý označil vzorek pouze jeden antivir z 55. Na základě posbíraných dat jsem si napsal krátký skript, který mi umožňoval do routeru posílat příkazy. Ty se nakonec zdrcly jen na vypnutí telnetového démona a jeho opětovné spuštění, ale tentokrát s parametrem -l /bin/sh, což mi udělalo velkou radost, protože jsem měl konečně přístup ke klasickému shellu.

Následně jsem již snadno z obou routerů vytáhl firmware a ověřil kryptografické otisky jednotlivých oddílů. Oddíl s kořenovým adresářem a linuxovým jádrem byly na chlup stejné. Lišily se pouze oddíly bootloaderu a oddíl s uloženou konfigurací. Rozdíl v konfiguracích byl nezajímavý a v bootloaderu se dle očekávání lišila pouze uložená MAC adresa. Porovnání oddílů tedy dopadlo dle očekávání, nebývá totiž časté, aby malware přepsal firmware. Částečně také proto, že oddíl s kořenovým adresářem používá jako systém souborů squashfs a při úpravě je zapotřebí, aby byl přepsán celý oddíl.

Po porovnání firmwarů jsem se vrátil k zpět k prošlému útoku a nalezené zranitelnosti. Samotný malware se choval celkem slušně. Upravil si iptables, tak aby sám sebe ochránil před případnou následnou nákazou zablokováním portů zranitelné služby. A hned na to se jal scanovat náhodné IP adresy za účelem dalšího šíření. Už jen chyběla hláška v telnetu o „zabezpečování zařízení“ a dalo se hádat, že se nejspíš jednalo o botnet Hajime. Ze zvědavosti jsem udělal ještě pár pokusů a nejkratší čas napadení čistého zařízení nepřekročil 10 minut.

Samotná zranitelnost tedy umožňuje vzdálené spuštění libovolného kódu (remote code execution) s maximální délkou řetězce 62 bajtů. Konkrétně se jedná o „vlastnost“ „NewNTPServer“ protokolu TR-064, který je určen pro konfiguraci po lokální síti, ale zřejmě následkem chybné implementace je dostupná i z Internetu v rámci protokolu TR-069. Zranitelnost byla objevena na portu 7547, ale v našem případě se týká i portu 5555, který obsluhuje stejný program ( /userfs/bin/tr69). První informace o této zranitelnosti u jiného routeru se objevila 7. listopadu loňského roku a jednalo se o Eir’s D1000. Zneužití této zranitelnosti je velice snadné a odkazovaná stránka obsahuje i modul do Metasploitu.

Na stránkách výrobce routeru nebyla o dostupnosti jiných verzí firmware ani zmínka, proto jsem jej kontaktoval s popisem nalezené zranitelnosti a dotazem, zda bude připravovat nějakou opravu. Při kontaktování výrobce routeru ohledně zranitelnosti však vyšlo najevo, že nová verze firmwaru již existuje a je přímo přeposílána cílovým zákazníkům (zřejmě ISP). Sami uživatelé pak bohužel nemají možnost zjistit ani existenci nové verze firmware či existenci a závažnost zranitelnosti, kterou jimi používaný produkt obsahuje.

Proto v tuto chvíli zvažujeme možnost vytvoření webových stránek, kde by si lidé mohli nechat automaticky otestovat svoje zařízení na tuto zranitelnost. Jednou z drobných překážek však bude nutnost požadovat od uživatele vypnutí a zapnutí zařízení, protože pokud by již router byl napadený podobným způsobem, zranitelnost by se díky blokovanému portu v iptables neprojevila.

Při hledání souvisejících CVE ID nebylo žádné nalezeno. Po komunikaci s Mitre došlo k přidělení nového CVE-2016–10372 pro zranitelnost dříve objevenou na modemu Eir a po dalším zkoumání pak bude pro BiPAC 9800VNXL přiděleno nové CVE ID a nebo pokud se prokáže, že se jedná o stejný software se stejnou chybou, tak se přidá na seznam zranitelných zařízení pod CVE-2016–10372.

I když se nejedná o zcela novou chybu a ani příliš rozšířená zařízení, jsem rád, že se nám podařilo projít celým řetězcem událostí, od detekování bezpečnostního incidentu vlastními prostředky, přes analýzu celé události až po komunikaci se zainteresovanými stranami.

Závěrem bych chtěl poděkovat za spolupráci jak Radku Jiroutovi z Dial Telecom, za nahlášení zařízení a také Tomáši Hruškovi a Marku Buchtovi z Joyce za zapůjčení zařízení.


Výkupné je u WannaCry na nic – zašifrované soubory se neodemknou

19.5.2017 SecurityWorld Viry
Novou živou mapu ransomwarové infekce WannaCry, která ukazuje aktuální rozsah mezinárodní ransomwarové epidemie, uveřejnil Check Point Software Technologies. Podle něj navíc nefunguje odemčení zašifrovaných souborů. Také Eset uveřejnil statistiky ohledně zásahu jednotlivých zemí.
Výkupné je u WannaCry na nic – zašifrované soubory se neodemknou

Mapa ukazuje klíčové statistiky a údaje o jednotlivých zemích v reálném čase. K dispozici je na adrese https://attacks.mgmt.cloud/.

Naznačuje, že WannaCry i nadále útočí na organizace po celém světě. Aktuálně infikuje jeden stroj každé tři sekundy. Tvůrci ale podle všeho žádné soubory neodemykají – od obětí pouze inkasují peníze.

Výzkumníci byli schopni sledovat 34 300 pokusů o útok v 97 zemích. Dnes dochází k pokusu o útok v průměru každé 3 sekundy, což je mírný pokles od původního tempa před 2 dny, kdy docházelo k nějakému pokusu o útok každou sekundu. Nejčastěji byly zaznamenány pokusy o útok v Indii, USA a Rusku.

Check Point zjistil, že organizace postižené ransomwarem WannaCry pravděpodobně nedostanou zpět své soubory, dokonce i když zaplatí výkupné.

Problémový platební a dešifrovací systém a falešná ukázka dešifrovacího procesu vyvolávají otázku, jestli jsou vývojáři ransomwaru WannaCry schopni splnit slib a po zaplacení výkupného soubory dešifrovat.

Zatím 3 bitcoinové účty spojené s kampaní WannaCry obdržely od obětí zhruba 77 000 dolarů. Navzdory tomu, a na rozdíl od mnoha jiných ransomwarových variant, nebyl doposud zaznamenán žádný případ, že by někdo obdržel soubory zpět.

Také Eset zveřejnil statistiku detekcí ransomware Win32/ Filecoder.WannaCryptor.D neboli WannaCry. Vyplývá z ní, že v největší míře byli tímto druhem malware zasaženi uživatelé v Rusku, které zaznamenalo bezmála polovinu všech detekcí a dále na Ukrajině a Tchaj-Wanu.

Česká republika je až na 52. pozici v seznamu zasažených zemí – podle Esetu i díky tomu, že nastala velmi brzká detekce této hrozby, která zamezila větším škodám či díky tomu, že Česká republika pravděpodobně nebyla primárním cílem tohoto útoku

Samotná detekce této hrozby ale neznamená, že došlo i k infikování počítače.

Eset podle svých slov zachytil i řadu falešných verzí WannaCry, větší riziko však nepředstavují, mají uživatele spíše jen vystrašit.

Podíl na infekci WannCry podle států

1. Rusko (45,07 %)

2. Ukrajina (11,88 %)

3. Tchaj-Wan (11,55 %)

4. Filipíny (2,95 %)

5. Egypt (2,38 %)

6. Irán (2,16 %)

7. Indie (1,69 %)

8. Thajsko (1,55 %)

9. Itálie (1,19 %)

10. Turecko (1,06 %)

...

37. Slovensko (0,26 %)

52. Česká republika (0,15 %)

Zdroj: Eset, 16. 5. 2017


Exploity či tajné informace NSA – za předplatné mohou být i vaše

19.5.2017 SecurityWorld BigBrother
Skupina hackerů známá jako Shadow Brokers, která na sebe upozornila již před časem zveřejněním údajných exploitů NSA, oznámila vlastnictví řady dalších nástrojů určených ke kyberútokům. Ty plánuje šířit na základě předplatného.
Tvrdí rovněž, že má údaje sesbírané NSA týkající se cizích bank a balistických raketových programů.

Shadow Brokers jsou například zodpovědní také za EternalBlue, SMB exploit pro Windows, který již útočníci využili k infikování stovek tisíc počítačů po celém světě skrze masivně se šířící ransomware WannaCry.

Skupina je na hackerské scéně relativně nová, poprvé o sobě dala vědět v srpnu tvrzením, že se jí podařilo dostat k arzenálu kyberšpionážní skupiny v bezpečnostních kruzích známé jako The Equation; o té se běžně hovoří jako o hackerské divizi NSA.

V úterý po rychlém rozšíření WannaCry ransomwaru publikovali Shadow Brokers nový příspěvek, ve kterém tvrdí, že spoustu z exploitů skupiny Equation ještě nevyužili a nepublikovali. Skupina je chce zpřístupnit pomocí předplatného, spustit službu chtějí Shadow Brokers už v červnu.

Jako první skupina poskytla skupiny nástrojů na prolomení zabezpečení routerů a firewallu, tvrdila však, že má mnohem více podobných produktů a chce je prodat za 10 000 nebo více bitcoinů (kolem 12 milionů amerických dolarů). Protože však žádného kupce nepřilákali, poskytla skupina více informací včetně IP adres systémů, na které mířila Equation.

Zdálo se, že Shadow Brokers ze scény zmizeli v lednu po zrušení svých online účtů. V dubnu se však překvapivě navrátili a publikovali hesla k zašifrovanému archivu, který obsahuje mnoho exploitů pro Linux a Windows, stejně jako malware údajně využívaný hackery Equation.

Většina zranitelností, které uniklé exploity využívají, je však již opravena – včetně EternalBlue, který Microsoft rychle záplatoval v březnu.

Podle hackerů budou data postupně uvolňována každý měsíc skrze předplatné; služba má zahrnovat exploity pro webové prohlížeče, routery, mobilní zařízení a Windows 10, rovněž má zahrnovat data extrahovaná skupinou Equation během její kyberšpionáže. Informace má zahrnovat například data ukraděná ze SWIFT providerů a centrálních bank a také data z „Ruských, Čínských, Íránských a Severokorejských jaderných a raketových programů“.

Co předplatitelé s těmito exploity a informacemi udělají, bude na nich, říkají Shadow Brokers.

Nezdá se však, že by pro přístup do arzenálu Equation už někdo v minulosti zaplatil, nebo to alespoň není veřejně známo. Skupina dokonce ve svých nabídkách vyjádřila svou frustraci nad očividným nezájmem – ten však není neobvyklý.

Velká část podobně šokujících oznámení a nečekaných úniků bývá zcela nebo z části nerealistických, a částky jsou obvykle zcela přemrštěné – velká ochota hackerů o částce debatovat, měnit způsob prodeje nebo rapidně snižovat cenu také zrovna nebudí důvěru.

Mimo zjevné ilegality je problematické také uplatnění exploitů a jiných hacků, které jsou obvykle velmi rychle opraveny.

Není jisté, zda systém předplatného vzbudí větší zájem, částku ještě skupina nezveřejnila. Shadow Brokers nicméně v minulosti zveřejnili opravdu legitimní informace a skutečně exploty, o kterých mnoho věří, že mohou z NSA pocházet.

Je tak pravděpodobné, že se tato data dříve nebo později dostanou do veřejných končin internetu – jakoukoli cestou.


Za spam dostala firma rekordní čtyřmiliónovou pokutu

19.5.2017 Novinky/Bezpečnost  Spam
Úřad pro ochranu osobních údajů uložil společnosti Eurydikapol rekordní pokutu ve výši 4,25 miliónu korun za šíření nevyžádaných obchodních sdělení, takzvaného spamu. Úřad pokutu uložil v úterý, v pátek o ní informoval mluvčí instituce Tomáš Paták.
„K této prozatím nejvyšší částce dospěl úřad na základě zhodnocení podaných stížností, jichž obdržel okolo 700. Tato nevyžádaná obchodní sdělení byla zasílána opakovaně po dobu téměř jednoho roku,“ uvedla předsedkyně úřadu Ivana Janů.

Firma Eurydikapol (dříve JH Holding) zasílala nevyžádaná obchodní sdělení bez — podle zákona potřebného — souhlasu, čímž se dopustila správního deliktu. Adresáti navíc nebyli ani jejími zákazníky.

„Při stanovení výše sankce úřad zohlednil jak celkový počet přijatých stížností, tak počet unikátních adres, na které byla obchodní sdělení zaslána, tedy počty lidí, kteří byli zasaženi takovým protiprávním jednáním,“ upřesnila Janů.

Rekordní výši přispěl také fakt, že firma i přes zahájenou kontrolu nadále nevyžádaná obchodní sdělení zasílala a nedbala tak na upozornění strážců osobních údajů.

„Přitěžující okolností byla rovněž skutečnost, že šíření obchodních sdělení bylo vysoce obtěžující, neboť na některé adresy byla obchodní sdělení doručena v řádech několika desítek obtěžujících e-mailů a v jednom případě bylo dokonce doručeno téměř dvě stě nevyžádaných obchodních sdělení,” uzavřela šéfka úřadu.

Předchozí nejvyšší pokutu 1,9 miliónu korun úřad uložil v roce 2015 společnosti Traffic7, upřesnil pro Novinky Paták.


Virus WannaCry útočil nejvíce v Rusku. Česko je až na spodních příčkách

19.5.2017 Novinky/Bezpečnost  Viry
Přesně před týdnem se takřka celým světem začal jako lavina šířit vyděračský virus WannaCry. Ten za pouhých pár hodin stihl nakazit více než 300 000 počítačů ve více než 150 zemích světa. Nejvíce se přitom tento nezvaný návštěvník šířil v Rusku, jak ukázala analýza antivirové společnosti Eset.
Takřka polovina všech zachycených detekcí (45,07 %) připadá právě na Rusko. Je to dáno tím, že především v tamních chudých lokalitách ještě uživatelé hojně používají zastaralý operační systém Windows XP, který byl proti škodlivému kódu WannaCry nejvíce zranitelný.

Druhou a třetí příčku pak zaujaly Ukrajina (11,88 %) a Tchaj-wan (11,55 %). Ostatní státy, které se dostaly v žebříčku nejpostiženějších zemí do první desítky, měly podíl tak v řádech jednotek procent. Šlo například o Egypt, Indii či Filipíny, jak ukazuje tabulka níže:

Deset států, kde se virus WannaCry šířil nejvíce
1. Rusko (45,07 %)
2. Ukrajina (11,88 %)
3. Tchaj-wan (11,55 %)
4. Filipíny (2,95 %)
5. Egypt (2,38 %)
6. Irán (2,16 %)
7. Indie (1,69 %)
8. Thajsko (1,55 %)
9. Itálie (1,19 %)
10. Turecko (1,06 %)
Zdroj: Eset
Na Slovensku více než v Česku
Česká republika skončila v přehledu s podílem 0,15 % až na 52. místě. Sluší se nicméně podotknout, že spodní příčky měly velmi podobný podíl až prakticky do konce žebříčku, který obsahovat 150 států. Například sousední Slovenko však na tom bylo hůře – virus WannaCry tam měl podíl 0,26 %.

V Česku byly přitom infikovány stovky strojů. „Podle našich údajů počet infekcí překonal číslovku 620,“ uvedl na dotaz Novinek Pavel Bašta, bezpečnostní analytik Národního bezpečnostního týmu CSIRT.CZ.

S ohledem na množství infekcí v zahraničí to však bezpečnostní experti považují za úspěch. „České republice se tato aktuální kampaň prakticky vyhnula. Zaznamenali jsme velice nízký počet detekcí. Rovněž jsme do této chvíle nezaznamenali zasažení ani žádné významné instituce, které by byly alespoň částečně tímto druhem malware ochromeny,“ řekl Robert Šuman, vedoucí pražského detekčního a analytického týmu společnosti Eset.

„Důvody, proč se WannaCry v tuzemsku nešířil více, jsou v tuto chvíli známé dva. Tím prvním je velmi brzká detekce této hrozby, která zamezila větším škodám. Tím druhým je, že Česká republika pravděpodobně nebyla primárním cílem tohoto útoku,“ dodal Šuman.

Piráti si moc nevydělali
WannaCry – první i vylepšená druhá generace – útočí úplně stejně jako ostatní vyděračské viry, které jsou označovány souhrnným názvem ransomware. Nejprve tedy škodlivý kód pronikne do počítače, pak jej uzamkne a zašifruje všechna data. Za jejich zpřístupnění následně počítačoví piráti požadují výkupné.

Tom Bossert, bezpečnostní poradce amerického prezidenta Donalda Trumpa, již dříve uvedl, že tento vyděračský virus vydělal kyberzločincům méně než 70 000 dolarů. Tedy v přepočtu bezmála 1,7 miliónu korun.

S ohledem na množství nakažených počítačů je nízká částka. Vzhledem k tomu, že kyberzločinci požadovali výkupné zhruba 7300 Kč, je velmi pravděpodobné, že drtivá většina postižených uživatelů se rozhodla nedat počítačovým pirátům ani pětník.


Výkupné u WannaCry je na nic – zašifrované soubory se neodemknou

18.5.2017 SecurityWorld Viry
Novou živou mapu ransomwarové infekce WannaCry, která ukazuje aktuální rozsah mezinárodní ransomwarové epidemie, uveřejnil Check Point Software Technologies. Eset zase uveřejnil statistiky ohledně zásahu jednotlivých zemí.

Mapa ukazuje klíčové statistiky a údaje o jednotlivých zemích v reálném čase. K dispozici je na adrese https://attacks.mgmt.cloud/.

Naznačuje, že WannaCry i nadále útočí na organizace po celém světě. Aktuálně infikuje jeden stroj každé tři sekundy. Tvůrci ale podle všeho žádné soubory neodemykají – od obětí pouze inkasují peníze.

Výzkumníci byli schopni sledovat 34 300 pokusů o útok v 97 zemích. Dnes dochází k pokusu o útok v průměru každé 3 sekundy, což je mírný pokles od původního tempa před 2 dny, kdy docházelo k nějakému pokusu o útok každou sekundu. Nejčastěji byly zaznamenány pokusy o útok v Indii, USA a Rusku.

Check Point zjistil, že organizace postižené ransomwarem WannaCry pravděpodobně nedostanou zpět své soubory, dokonce i když zaplatí výkupné.

Problémový platební a dešifrovací systém a falešná ukázka dešifrovacího procesu vyvolávají otázku, jestli jsou vývojáři ransomwaru WannaCry schopni splnit slib a po zaplacení výkupného soubory dešifrovat.

Zatím 3 bitcoinové účty spojené s kampaní WannaCry obdržely od obětí zhruba 77 000 dolarů. Navzdory tomu, a na rozdíl od mnoha jiných ransomwarových variant, nebyl doposud zaznamenán žádný případ, že by někdo obdržel soubory zpět.

Také Eset zveřejnil statistiku detekcí ransomware Win32/ Filecoder.WannaCryptor.D neboli WannaCry. Vyplývá z ní, že v největší míře byli tímto druhem malware zasaženi uživatelé v Rusku, které zaznamenalo bezmála polovinu všech detekcí a dále na Ukrajině a Tchaj-Wanu.

Česká republika je až na 52. pozici v seznamu zasažených zemí – podle Esetu i díky tomu, že nastala velmi brzká detekce této hrozby, která zamezila větším škodám či díky tomu, že Česká republika pravděpodobně nebyla primárním cílem tohoto útoku

Samotná detekce této hrozby ale neznamená, že došlo i k infikování počítače.

Eset podle svých slov zachytil i řadu falešných verzí WannaCry, větší riziko však nepředstavují, mají uživatele spíše jen vystrašit.

Podíl na infekci WannCry podle států

1. Rusko (45,07 %)

2. Ukrajina (11,88 %)

3. Tchaj-Wan (11,55 %)

4. Filipíny (2,95 %)

5. Egypt (2,38 %)

6. Irán (2,16 %)

7. Indie (1,69 %)

8. Thajsko (1,55 %)

9. Itálie (1,19 %)

10. Turecko (1,06 %)

...

37. Slovensko (0,26 %)

52. Česká republika (0,15 %)

Zdroj: Eset, 16. 5. 2017


Exploity či tajné informace NSA – za předplatné mohou být i vaše

18.5.2017 SecurityWorld BigBrother
Skupina hackerů známá jako Shadow Brokers, která na sebe upozornila již před časem zveřejněním údajných exploitů NSA, oznámila vlastnictví řady dalších nástrojů určených ke kyberútokům. Ty plánuje šířit na základě předplatného.

Tvrdí rovněž, že má údaje sesbírané NSA týkající se cizích bank a balistických raketových programů.

Shadow Brokers jsou například zodpovědní také za EternalBlue, SMB exploit pro Windows, který již útočníci využili k infikování stovek tisíc počítačů po celém světě skrze masivně se šířící ransomware WannaCry.

Skupina je na hackerské scéně relativně nová, poprvé o sobě dala vědět v srpnu tvrzením, že se jí podařilo dostat k arzenálu kyberšpionážní skupiny v bezpečnostních kruzích známé jako The Equation; o té se běžně hovoří jako o hackerské divizi NSA.

V úterý po rychlém rozšíření WannaCry ransomwaru publikovali Shadow Brokers nový příspěvek, ve kterém tvrdí, že spoustu z exploitů skupiny Equation ještě nevyužili a nepublikovali. Skupina je chce zpřístupnit pomocí předplatného, spustit službu chtějí Shadow Brokers už v červnu.

Jako první skupina poskytla skupiny nástrojů na prolomení zabezpečení routerů a firewallu, tvrdila však, že má mnohem více podobných produktů a chce je prodat za 10 000 nebo více bitcoinů (kolem 12 milionů amerických dolarů). Protože však žádného kupce nepřilákali, poskytla skupina více informací včetně IP adres systémů, na které mířila Equation.

Zdálo se, že Shadow Brokers ze scény zmizeli v lednu po zrušení svých online účtů. V dubnu se však překvapivě navrátili a publikovali hesla k zašifrovanému archivu, který obsahuje mnoho exploitů pro Linux a Windows, stejně jako malware údajně využívaný hackery Equation.

Většina zranitelností, které uniklé exploity využívají, je však již opravena – včetně EternalBlue, který Microsoft rychle záplatoval v březnu.

Podle hackerů budou data postupně uvolňována každý měsíc skrze předplatné; služba má zahrnovat exploity pro webové prohlížeče, routery, mobilní zařízení a Windows 10, rovněž má zahrnovat data extrahovaná skupinou Equation během její kyberšpionáže. Informace má zahrnovat například data ukraděná ze SWIFT providerů a centrálních bank a také data z „Ruských, Čínských, Íránských a Severokorejských jaderných a raketových programů“.

Co předplatitelé s těmito exploity a informacemi udělají, bude na nich, říkají Shadow Brokers.

Nezdá se však, že by pro přístup do arzenálu Equation už někdo v minulosti zaplatil, nebo to alespoň není veřejně známo. Skupina dokonce ve svých nabídkách vyjádřila svou frustraci nad očividným nezájmem – ten však není neobvyklý.

Velká část podobně šokujících oznámení a nečekaných úniků bývá zcela nebo z části nerealistických, a částky jsou obvykle zcela přemrštěné – velká ochota hackerů o částce debatovat, měnit způsob prodeje nebo rapidně snižovat cenu také zrovna nebudí důvěru.

Mimo zjevné ilegality je problematické také uplatnění exploitů a jiných hacků, které jsou obvykle velmi rychle opraveny.

Není jisté, zda systém předplatného vzbudí větší zájem, částku ještě skupina nezveřejnila. Shadow Brokers nicméně v minulosti zveřejnili opravdu legitimní informace a skutečně exploty, o kterých mnoho věří, že mohou z NSA pocházet.

Je tak pravděpodobné, že se tato data dříve nebo později dostanou do veřejných končin internetu – jakoukoli cestou.


Útok viru WannaCry byl amatérský a plný chyb

17.5.2017 Novinky/Bezpečnost Viry
Zatímco velké společnosti zabývající se kybernetickou bezpečností poukazují na severokorejské stopy nedávného útoku nového vyděračského programu WannaCry, americký magazín Wired si všímá amatérismu, kterého se podle něj strůjci škodlivého softwaru dopustili.
Vir, který zašifruje soubory na počítači a bez zaplacení výkupného je neuvolní, infikoval odhadem na 300 000 počítačů ve 150 zemích světa. V tuzemsku měl tento nezvaný návštěvník infikovat více než 600 strojů.

Rozsah nákazy, kvůli které se zhroutily například systémy britského zdravotnictví či síťová infrastruktura německých drah DB, se sice může zdát mimořádný, ale zpeněžení útoku je podle Wired spíše bídné a srovnatelné dokonce jen s malými údery virů žádajících výkupné.

Podle Bílého domu zatím zasažení uživatelé na výkupném celkem zaplatili necelých 70 000 dolarů (1,7 miliónu korun).

Katastrofální selhání
„Z hlediska vyděračského plánu je to katastrofální selhání," citoval Wired Craiga Williamse z divize pro kybernetickou bezpečnost Talos společnosti Cisco. "Velké škody, obrovská publicita a obrovská pozornost bezpečnostních orgánů, a přitom (útok) přinesl velmi nízký zisk, jako mají střední či úplně malé vyděračské kampaně," dodal Williams.

Hackeři navíc zvolili velmi nerozumný postup převodu kryptoměny bitcoin, ve které žádali výkupné, což expertům umožní snadné vystopování zisku útočníků. Odborník Matthew Hickey z londýnské bezpečnostní firmy Hacker House zjistil již o víkendu, tedy bezprostředně po pátečním šíření nákazy, že škodlivý program nemá automatickou platební identifikaci každé oběti zvlášť.

Místo vytvoření jedinečné bitcoinové adresy pro každý napadený počítač nabízí vir jen jednu ze čtyř předem daných platebních adres.

Výše zmíněný postup usnadňuje napadeným automatizovanou záchranu dat a naopak kriminálníkům komplikuje identifikaci počítače, jehož uživatel výkupné zaplatil. "Je to skutečně ruční práce, někdo to musí potvrdit a poslat klíč," vysvětlil Hickey.

Generální vypínač
Za další prvek fušerství označil Wired existenci jakéhosi generálního vypínače, kterým bylo možné šíření viru zastavit. Na jeho přítomnost přišel teprve 22letý bezpečnostní expert z anglického serveru MalwareTech.com.

Výzkumník nyní opakovaně prohlašuje, že program zablokoval "jen náhodou", a varuje, že nová generace programu by proti takto snadnému zastavení mohla být imunní. Ta už se objevila na internetu.

Naštěstí vylepšená druhá generace tohoto nezvaného návštěvníka se internetem nešíří tak rychle, jako tomu bylo ještě na konci minulého týdne. Nic tedy zatím nenasvědčuje tomu, že by počítačoví piráti spustili tak masivní útok jako v pátek.

WannaCry – první i vylepšená druhá generace – útočí úplně stejně jako ostatní vyděračské viry, které jsou označovány souhrnným názvem ransomware. Nejprve tedy škodlivý kód pronikne do počítače, pak jej uzamkne a zašifruje všechna data. Za jejich zpřístupnění následně počítačoví piráti požadují výkupné.


Pozor, internetem se šíří „superdatabáze“ půl miliardy ukradených hesel
17.5.2017 Živě.cz Incidenty

Sítí se šíří další velká databáze ukradených webových účtů. Podle bezpečnostních analytiků čítá více než 560 milionů přihlašovacích údajů. Nicméně mnohé se opakují, takže unikátních je asi polovina; okolo 243,6 milionů.

Yahoo oznámilo rekordní únik dat - hackeři mají údaje více než miliardy uživatelů
Naštěstí se nejedná o nový průnik hackerů, ale o kompilát těch starých ze služeb jako Linkedin, Dropbox, Adobe, Last.fm nebo třeba MySpace. Přesto, pokud jste na podobných webech již několik let nezměnili heslo a případně jej používáte i na jiných službách, hodí se jej změnit.

Klepněte pro větší obrázek
Potulují se moje (sic třeba staré) přihlašovací údaje po internetu? Web haveibeenpwned.com na to odpoví. Stačí zadat e-mail.

Jestli se vaše přihlašovací údaje potulují po internetu v některé z podobně uniklých databází, si můžete otestovat třeba na webu haveibeenpwned.com.


Exploity či tajné informace NSA – za předplatné mohou být i vaše

17.5.2017 SecurityWorld BigBrother
Skupina hackerů známá jako Shadow Brokers, která na sebe upozornila již před časem zveřejněním údajných exploitů NSA, oznámila vlastnictví řady dalších nástrojů určených ke kyberútokům. Ty plánuje šířit na základě předplatného.

Tvrdí rovněž, že má údaje sesbírané NSA týkající se cizích bank a balistických raketových programů.

Shadow Brokers jsou například zodpovědní také za EternalBlue, SMB exploit pro Windows, který již útočníci využili k infikování stovek tisíc počítačů po celém světě skrze masivně se šířící ransomware WannaCry.

Skupina je na hackerské scéně relativně nová, poprvé o sobě dala vědět v srpnu tvrzením, že se jí podařilo dostat k arzenálu kyberšpionážní skupiny v bezpečnostních kruzích známé jako The Equation; o té se běžně hovoří jako o hackerské divizi NSA.

V úterý po rychlém rozšíření WannaCry ransomwaru publikovali Shadow Brokers nový příspěvek, ve kterém tvrdí, že spoustu z exploitů skupiny Equation ještě nevyužili a nepublikovali. Skupina je chce zpřístupnit pomocí předplatného, spustit službu chtějí Shadow Brokers už v červnu.

Jako první skupina poskytla skupiny nástrojů na prolomení zabezpečení routerů a firewallu, tvrdila však, že má mnohem více podobných produktů a chce je prodat za 10 000 nebo více bitcoinů (kolem 12 milionů amerických dolarů). Protože však žádného kupce nepřilákali, poskytla skupina více informací včetně IP adres systémů, na které mířila Equation.

Zdálo se, že Shadow Brokers ze scény zmizeli v lednu po zrušení svých online účtů. V dubnu se však překvapivě navrátili a publikovali hesla k zašifrovanému archivu, který obsahuje mnoho exploitů pro Linux a Windows, stejně jako malware údajně využívaný hackery Equation.

Většina zranitelností, které uniklé exploity využívají, je však již opravena – včetně EternalBlue, který Microsoft rychle záplatoval v březnu.

Podle hackerů budou data postupně uvolňována každý měsíc skrze předplatné; služba má zahrnovat exploity pro webové prohlížeče, routery, mobilní zařízení a Windows 10, rovněž má zahrnovat data extrahovaná skupinou Equation během její kyberšpionáže. Informace má zahrnovat například data ukraděná ze SWIFT providerů a centrálních bank a také data z „Ruských, Čínských, Íránských a Severokorejských jaderných a raketových programů“.

Co předplatitelé s těmito exploity a informacemi udělají, bude na nich, říkají Shadow Brokers.

Nezdá se však, že by pro přístup do arzenálu Equation už někdo v minulosti zaplatil, nebo to alespoň není veřejně známo. Skupina dokonce ve svých nabídkách vyjádřila svou frustraci nad očividným nezájmem – ten však není neobvyklý.

Velká část podobně šokujících oznámení a nečekaných úniků bývá zcela nebo z části nerealistických, a částky jsou obvykle zcela přemrštěné – velká ochota hackerů o částce debatovat, měnit způsob prodeje nebo rapidně snižovat cenu také zrovna nebudí důvěru.

Mimo zjevné ilegality je problematické také uplatnění exploitů a jiných hacků, které jsou obvykle velmi rychle opraveny.

Není jisté, zda systém předplatného vzbudí větší zájem, částku ještě skupina nezveřejnila. Shadow Brokers nicméně v minulosti zveřejnili opravdu legitimní informace a skutečně exploty, o kterých mnoho věří, že mohou z NSA pocházet.

Je tak pravděpodobné, že se tato data dříve nebo později dostanou do veřejných končin internetu – jakoukoli cestou.


V Česku je více než 600 počítačů napadených virem WannaCry

16.5.2017 Novinky/Bezpečnost Viry
Vyděračský virus WannaCry má po celém světě více než 300 000 obětí, v Česku je však počet infikovaných strojů výrazně nižší. Nezvaný návštěvník se zabydlel ve zhruba 600 strojích. V úterý to potvrdil český Národní bezpečnostní tým CSIRT.CZ.
Jak útočí vyděračské viry

Na napadeném stroji dokážou vyděračské viry udělat pěkný nepořádek. Nejprve zašifrují všechna data uložená na pevném disku. Za jejich zpřístupnění pak útočníci požadují výkupné, a to klidně i několik tisíc korun.
Kyberzločinci se zpravidla snaží v majiteli napadeného stroje vzbudit dojem, že se ke svým souborům dostane po zaplacení pokuty. Ta byla údajně vyměřena za používání nelegálního softwaru apod. I proto jim celá řada lidí již výkupné zaplatila.
Zaplatit zpravidla chtějí v bitcoinech, protože pohyby této virtuální měny se prakticky nedají vystopovat. A tím logicky ani nelegální aktivita počítačových pirátů.
Ani po zaplacení výkupného se ale uživatelé ke svým datům nedostanou. Místo placení výkupného je totiž nutné virus z počítače odinstalovat. Zpřístupnit nezálohovaná data je už ale ve většině případů nemožné.
„Podle našich údajů počet infekcí překonal číslovku 620,“ uvedl na dotaz Novinek Pavel Bašta, bezpečnostní analytik CSIRT.CZ, který je provozován sdružením CZ.NIC.

Ještě v pondělí to přitom vypadalo, že počet napadených strojů bude výrazně nižší. První odhady totiž hovořily o tom, že počet zavirovaných počítačů se bude pohybovat mezi 300 a 400.

Počty neustále rostou
Počet infekcí nicméně stoupá postupně i ve světě. Původně se totiž předpokládalo, že WannaCry úspěšně pronikl do 200 000 počítačů ve více než 150 zemích světa. Už v pondělí však američtí bezpečnostní experti, kteří pracují pro Bílý dům, uvedli, že infikovaných strojů je různě po světě přinejmenším 300 000.

Bezpečnostní experti už navíc škodlivý kód WannaCry zaznamenali ve vylepšené verzi, kterou není možné tak snadno vypnout, jako tomu bylo u té první.

Druhá verze vyděračského viru WannaCry
Druhá verze vyděračského viru WannaCry
FOTO: Mark Schiefelbein, ČTK/AP

Naštěstí vylepšená druhá generace tohoto nezvaného návštěvníka se internetem nešíří tak rychle, jako tomu bylo ještě na konci minulého týdne. Nic tedy zatím nenasvědčuje tomu, že by počítačoví piráti spustili tak masivní útok jako v pátek.

Tak velkou silou, a navíc v tak velkém měřítku zatím žádný ransowmare neútočil. A to přitom různých variant vyděračských virů existují bez nadsázky tisíce.

WannaCry – první i vylepšená druhá generace – útočí úplně stejně jako ostatní vyděračské viry, které jsou označovány souhrnným názvem ransomware. Nejprve tedy škodlivý kód pronikne do počítače, pak jej uzamkne a zašifruje všechna data. Za jejich zpřístupnění následně počítačoví piráti požadují výkupné.


Windows XP dostala po letech důležitou aktualizaci

16.5.2017 Novinky/Bezpečnost Zranitelnosti
Operační systém Windows XP šel do důchodu už před třemi roky, společnost Microsoft pro něj tehdy oficiálně ukončila podporu. Nyní se však zástupci amerického softwarového gigantu odhodlali k nečekanému kroku – vydali velmi důležitou aktualizaci. S její instalací by uživatelé neměli v žádném případě otálet.
Poslední hřebík do rakve svého času velmi populárních xpéček zasadil americký softwarový gigant v dubnu roku 2014. Tehdy pro něj naposledy vyšly aktualizace.

Případné bezpečnostní chyby od té doby nejsou tedy jakkoli řešeny a hackeři je mohou dle libosti zneužít. Stejně tak už nevycházejí nové aktualizace ovladačů, což může mít vliv na funkčnost s novými periferiemi.

Takový byl tedy alespoň původní plán. Americký softwarový gigant byl však nucen nyní svůj postoj přehodnotit, neboť se ukázalo, že systém Windows XP obsahuje vážnou zranitelnost, která dopomohla k šíření vyděračského viru WannaCry.

Statisíce infikovaných strojů
Tento nezvaný návštěvník se začal internetem šířit už v pátek. Za pouhých pár hodin stačil infikovat na 200 tisíc počítačů ve více než 150 zemích světa. Mezi postiženými se objevili nejen jednotliví uživatelé, ale také univerzity, benzínky, nemocnice, dráhy a řada dalších společností.

Antivirová společnost Avast uvedla, že škodlivý kód WannaCry útočil také v Česku. Napadl zde podle prvních odhadů na 400 počítačů. Tak velkou silou, a navíc v tak velkém měřítku zatím žádný ransowmare neútočil. A to přitom různých variant vyděračských virů existují bez nadsázky tisíce.

Microsoft se proto rozhodl vydat mimořádnou záplatu pro Windows XP i přesto, že již tento systém není léta podporovaný. A to se zatím nikdy v historii amerického softwarového gigantu nestalo.

Nezvyklý krok ze strany Microsoftu je vcelku pochopitelný. Xpéčka totiž stále ještě používá každý dvacátý uživatel, což není rozhodně zanedbatelné číslo. I podle nejstřízlivějších odhadů tak tento nepodporovaný systém stále používají stovky tisíc lidí.

Podpora skončila, systém nikoliv
Ukončení podpory ze strany Microsoftu neznamená, že by tento populární operační systém přestal ze dne na den fungovat. S trochou nadsázky se dá říci, že Windows XP jsou nesmrtelná. Pokud o to uživatelé budou stát, mohou na počítačích fungovat klidně další desítky let.

Microsoft samotnou funkčnost nijak neomezil, vše funguje jako před ukončením podpory. Problém však představuje absence bezpečnostních záplat. Riziko nákazy počítačovým virem je u xpéček až šestkrát vyšší než u osmiček, což dokládá zpráva Security Intelligence Report 15, která analyzuje informace o počítačových hrozbách z více než miliardy počítačů po celém světě.

Vhodným řešením je tak z bezpečnostního hlediska přechod na novější systém. Vybírat uživatelé přitom nemusejí pouze ze stáje Windows – k dispozici mají i řadu bezplatných alternativ.


Státní správu v Česku zatím kybernetický útok nezasáhl

16.5.2017 Novinky/Bezpečnost Viry
Státní správu ani jiné systémy důležité pro chod státu zatím současný masivní kybernetický útok nezasáhl. Bezpečnostní radu státu o tom v pondělí odpoledne informoval vládní zmocněnec pro kyberbezpečnost Dušan Navrátil.
Jak útočí vyděračské viry

Na napadeném stroji dokážou vyděračské viry udělat pěkný nepořádek. Nejprve zašifrují všechna data uložená na pevném disku. Za jejich zpřístupnění pak útočníci požadují výkupné, a to klidně i několik tisíc korun.
Kyberzločinci se zpravidla snaží v majiteli napadeného stroje vzbudit dojem, že se ke svým souborům dostane po zaplacení pokuty. Ta byla údajně vyměřena za používání nelegálního softwaru apod. I proto jim celá řada lidí již výkupné zaplatila.
Zaplatit zpravidla chtějí v bitcoinech, protože pohyby této virtuální měny se prakticky nedají vystopovat. A tím logicky ani nelegální aktivita počítačových pirátů.
Ani po zaplacení výkupného se ale uživatelé ke svým datům nedostanou. Místo placení výkupného je totiž nutné virus z počítače odinstalovat. Zpřístupnit nezálohovaná data je už ale ve většině případů nemožné.
"Naštěstí se týká České republiky tato záležitost pouze okrajově. Útoky nebyly provedeny na velké nebo státní organizace," řekl po zasedání novinářům. Ve Strakově akademii mimo jiné jednal o platech pracovníků IT ve státní správě, které podle něj nemohou konkurovat soukromým firmám.

Vyděračský virus WannaCry se začal internetem šířit už v pátek. Za pouhých pár hodin stačil infikovat na 200 tisíc počítačů ve více než 150 zemích světa. Mezi postiženými se objevili nejen jednotliví uživatelé, ale také univerzity, benzínky, nemocnice, dráhy a řada dalších společností.

Antivirová společnost Avast uvedla, že škodlivý kód WannaCry útočil také v Česku. Napadl zde podle prvních odhadů na 400 počítačů. Tak velkou silou, a navíc v tak velkém měřítku zatím žádný ransowmare neútočil. A to přitom různých variant vyděračských virů existují bez nadsázky tisíce.

Takto vypadala obrazovka uzamčená vyděračským virem.
Takto vypadala obrazovka uzamčená vyděračským virem.
FOTO: repro thehackernews.com

"Nikdo ze subjektů státní správy ani z komerční sféry spadající pod NBÚ, což jsou systémy důležité pro chod státu, tedy kritická informační infrastruktura, se nám zatím neozval, že by měl tento problém," řekl už dříve mluvčí Národního bezpečnostního úřadu Radek Holý. Tyto subjekty mají podle něj v případě napadení povinnost se hlásit NBÚ. "Takže si myslíme, že u nás ještě nic takového nenastalo," podotkl Holý.

Na NBÚ se zatím obrátil jediný subjekt, který pod něj ale nespadá. "Tomu se věnujeme a zjišťujeme, jestli je to opravdu tento útok, který řeší. Jde o profesní organizaci, není to státní správa ani žádný podstatný komerční subjekt," dodal mluvčí. Název organizace neuvedl.


Vyděračský virus WannaCry má vylepšeného následovníka. Už se šíří internetem

16.5.2017 Novinky/Bezpečnost Viry
Obavy bezpečnostních expertů se potvrdily. Vyděračský virus WannaCry, který infikoval na konci minulého týdne během pouhých pár hodin na 200 tisíc zařízení ve více než 150 zemích světa, se objevil na internetu ve vylepšené verzi. Zastavit ho bude složitější, než tomu bylo v prvním případě.
Řádění vyděračského viru WannaCry se minulý týden postavil teprve 22letý bezpečnostní expert z anglického serveru MalwareTech.com. Tomu se podařil husarský kousek, kdy díky analýze škodlivého kódu vyfoukl počítačovým pirátům internetovou doménu, s jejíž pomocí šíření škodlivého kódu zastavil.

On sám však varoval, že oslavy rozhodně nejsou namístě. Podle jeho odhadů z neděle totiž měli počítačoví piráti už v průběhu pondělí nasadit vylepšenou verzi vyděračského viru, kterou už nepůjde tak snadno vypnout. 

Zatím jen pár vzorků
Kyberzločinci byli nakonec ještě rychlejší. Podle serveru The Hacker News se podařilo škodlivý kód viru WannaCry 2.0 zachytit již během neděle.

Vylepšená druhá verze se podle prvotní analýzy velmi podobá té první. Rozdíl je však v tom, že WannaCry 2.0 již neobsahuje žádnou pojistku, pomocí které by ho bylo možné snadno vypnout. Jinými slovy zastavit jeho šíření nebude tak snadné, jako tomu bylo u první generace WannaCry.

Vylepšený vyděračský virus již koluje internetem. Zatím se však podařilo zachytit pouze několik málo vzorků. Vše tedy nasvědčuje tomu, že žádný masivní útok zatím kyberzločinci nespustili. Kdy a zda vůbec se tak stane, není v tuto chvíli jasné.

Nejsilnější útok ransomwaru
WannaCry 2.0 útočí úplně stejně jako ostatní vyděračské viry, které jsou označovány souhrnným názvem ransomware. Nejprve tedy škodlivý kód pronikne do počítače, pak jej uzamkne a zašifruje všechna data. Za jejich zpřístupnění následně počítačoví piráti požadují výkupné.

Mapa zemí, kde WannaCry během pátku útočil.
Mapa zemí, kde WannaCry během pátku útočil.
FOTO: repro malwaretech.com

Vyděračský virus WannaCry se začal internetem šířit už v pátek. Za pouhých pár hodin stačil infikovat na 200 tisíc počítačů ve více než 150 zemích světa. Mezi postiženými se objevili nejen jednotliví uživatelé, ale také univerzity, benzínky, nemocnice, dráhy a řada dalších společností.

Antivirová společnost Avast uvedla, že škodlivý kód WannaCry útočil také v Česku. Napadl zde podle prvních odhadů na 400 počítačů.

Tak velkou silou, a navíc v tak velkém měřítku zatím žádný ransowmare neútočil. A to přitom různých variant vyděračských virů existují bez nadsázky tisíce.


Hackeři vzali jako rukojmí Piráty z Karibiku. Chtějí peníze, jinak je ukážou zdarma

16.5.2017 Novinky/Bezpečnost Kriminalita
Filmovou společnost Disney údajně vydírají hackeři, kteří se zmocnili nejnovějšího dosud nepublikovaného dílu filmové ságy Piráti z Karibiku: Salazarova pomsta. Vyhrožují, že pokud nedostanou výkupné, začnou snímek po kouskách zveřejňovat na internetu dřív, než půjde do kin. Informoval o tom Hollywood Reporter.
Snímek z filmu Piráti z Karibiku
Výkonný ředitel společnosti Disney Bob Iger podle Hollywood Reporteru vydírání potvrdil, nechal se ale slyšet, že spolupracuje s federálními úřady a hackeři se výkupného, které žádají ve virtuální měně Bitcoin, nedočkají.

Jaký film je předmětem vydírání, Iger neupřesnil. Server Deadline.com nicméně s odkazem na své zdroje napsal, že se jedná o poslední díl Pirátů z Karibiku s podtitulem Salazarova pomsta, který by měl jít do kin 25. května. Nejprve hackeři chtějí umístit na internet prvních pět minut. Pokud nedostanou, co chtějí, budou následovat dvacetiminutové části filmu.

Kolik hackeři za nezveřejnění pátého dílu série žádají, není známo. Vzhledem k tomu, že Disney patří k největším svého druhu na světě, lze předpokládat, že to bude hodně. Ředitel prozradil jen to, že se jedná o velkou sumu.

K podobným případům už v minulosti došlo. Například v roce 2014 paralyzoval společnost Sony útok hackerů, kteří nechtěli výkupné, žádali stažení filmu Interview, který vyobrazoval v nelichotivé podobě severokorejského vůdce Kim Čong-una.


Za obřím kybernetickým útokem stojí Severní Korea, míní experti

16.5.2017 Novinky/Bezpečnost Počítačový útok
O víkendu postihl svět jeden z největších kybernetických útoků v historii internetu, celosvětovou počítačovou sítí se začal šířit vyděračský virus WannaCry. Bezpečnostní experti se nyní usilovně snaží zjistit, odkud útok přišel. Stopy údajně vedou do Severní Koreje.
„Našli jsme doposud nejvýraznější stopu vedoucí k původu WannaCry,“ uvedl pro agenturu Reuters kybernetický specialista Kurt Baumgartner z antivirové společnosti Kaspersky Lab.

Podle něj se část zdrojového kódu tohoto vyděračského viru velmi podobá některým programům, které jsou používány hackerskou skupinou Lazarus. O té se již delší dobu spekuluje, že jde o krycí jméno pro skupinu kybernetických expertů, kteří pracují pro Severní Koreu. Tamní režim to však nikdy oficiálně nepotvrdil.

Původ potvrdili i další experti
Zdrojový kód podrobila analýze také antivirová společnost Symantec a ta nezávisle na výsledcích zkoumání expertů z Kaspersky Lab došla ke stejnému závěru. Stopy kybernetického útoku vedou do Severní Koreje.

Zjištěním kybernetických výzkumníků se nyní budou zabývat policisté ve více než 150 zemích světa, kde škodlivý kód WannaCry útočil. Podle informací amerických bezpečnostních expertů, kteří pracují pro Bílý dům, se za pouhých pár dní počet infikovaných strojů přehoupl přes číslovku 300 000. 

Antivirová společnost Avast uvedla, že škodlivý kód WannaCry útočil také v Česku. Napadl zde podle prvních odhadů na 400 počítačů.

Piráti si příliš nevydělali
Tom Bossert, bezpečnostní poradce amerického prezidenta Donalda Trumpa, v pondělí uvedl, že tento vyděračský virus vydělal kyberzločincům méně než 70 000 dolarů. Tedy v přepočtu bezmála 1,7 miliónu korun.

I když se tato částka může zdát příliš vysoká, s ohledem na množství nakažených počítačů je naopak spíše nízká. Vzhledem k tomu, že kyberzločinci požadovali výkupné zhruba 7300 Kč, je velmi pravděpodobné, že drtivá většina postižených uživatelů se rozhodla nedat počítačovým pirátům ani pětník.

WannaCry – první i vylepšená druhá generace – útočí úplně stejně jako ostatní vyděračské viry, které jsou označovány souhrnným názvem ransomware. Nejprve tedy škodlivý kód pronikne do počítače, pak jej uzamkne a zašifruje všechna data. Za jejich zpřístupnění následně počítačoví piráti požadují výkupné.


Třetina všech virtuálních serverů jsou draze vydržované „zombie“

16.5.2017 SecurityWorld IT
Až třetina spuštěných virtuálních serverů je neaktivních. Jejich udržba přitom může vyjít dráž než udržování neaktivních fyzických serverů.

Nejnovější průzkum ukázal, že čtvrtina veškerých fyzických serverů a téměř třetina těch virtuálních je neaktivních, tedy během uplynulého půl roku byly mimo provoz.

V případě fyzických serverů je problém se „zombie jednotkami“ známý dlouhodobě, také dřívější studie udávaly jejich množství mezi 20 % a 30 %.

Aktuální data však poukazují i na virtuální servery, jejichž údržba navzdory nevyužívání může pro IT oddělení znamenat nemalé náklady. Nehledě na to, že mohou představovat rovněž bezpečnostní riziko, jelikož nejsou pravidelně aktualizovány.

Za průzkum je zodpovědná dvojice Jonathan Koomey a Jon Taylor ze Stanfordské Univerzity, respektive partnerské konzultantské společnosti Anthesis Group, kteří prověřili na šestnáct tisíc serverů ve zhruba desítce datových center.

Jejich dřívější průzkum vykázal dokonce 30 % komatózních fyzických serverů, současný pětiprocentní pokles je patrně dán rozšířením zkoumaného vzorku.

Náklady na provoz neaktivních systémů se přitom mohou lišit v závislosti na stáří či na tom, zda už byly z vlastnictví firem zcela odepsány.

„Naprosto jednoznačnou položkou je však energie, kterou jejich provoz spotřebovává,“ podotýká Taylor. Jeho samotného však prý doslova šokovalo především množství neaktivních virtuálních serverů, které spotřebovávají náklady za licenční poplatky za software, který na nich běží. „Ty náklady podle mě musí být vysoké.“

Taylor za udržováním neaktivních virtuálních serverů vidí motivaci, respektive jistou nerozvážnost firemních IT techniků, kteří často nemají povědomí anebo zkrátka nehledí na finance společnosti.

Leon Kappelman, odborník na informační systémy z University of North Texas, však dodává, že někteří uživatelé mohou nečinné servery udržovat jako zálohu, určenou například k nejrůznějším druhům sezónních činností.

„Nicméně je pravda, že v IT branži dochází – a vždy docházelo – k plýtvání,“ uzavírá Kappelman.


Agresivní ransomware napadl statisíce počítačů - jak si vede v Česku?

16.5.2017 SecurityWorld Viry
V pátek minulého týdne ransomware WannaCryptor (WannaCry) napadl obrovské množství počítačů po celém světě. Za pouhých 24 hodin se počet infekcí zvýšil na 185 000 strojů ve více než 100 zemích. Lze se mu ubránit?

WannaCry se v první fázi šíří tradiční cestou a to jako infikovaná příloha poměrně běžného spamového e-mailu. Pokud tuto přílohu uživatel otevře a nemá spolehlivou antivirovou ochranu, nakazí se tímto ransomwarem. Ten se ale začne posléze sám šířit v lokální síti a to i bez aktivní účasti uživatele. Až do doby, kdy se spustí a zašifruje data, jej tak běžný uživatel nemusí vůbec zaznamenat, tvrdí Eset.

Útok je ale podle Bitdefenderu obzvláště nebezpečný pro firmy. Stačí, aby bylo napadeno jedno zařízení ve firemní síti a virus se šíří dál bez jakékoliv interakce.

Na rozdíl od většiny ransomware se šíří jako virus využívající neaktualizované zranitelnosti v systému. WannaCry se automatizoval a využívá zranitelnosti, která se vyskytuje ve většině verzí systému Windows a dovoluje vzdálenému útočníkovi spustit kód na napadeném počítači. Tento kód dokáže spustit ransomware bez jakékoliv lidské asistence nebo zásahu v místní síti.

V zahraničí podle Esetu zasáhl nemocnice či výrobní závody. Nejsilněji prý byli zasaženi uživatelé v Rusku, Ukrajině a Tchaj-wanu, Check Point dodává, že mezi oběti patří například britská zdravotnická zařízení NHS a mnoho dalších důležitých organizací po celém světě, například v Rusku, Turecku, Indonésii, Vietnamu, Japonsku, Španělsku a Německu. Útokem prý byla zasažená i Telefonica ve Španělsku nebo společnost Santander.

Podle expertů Check Pointu se pro útoky použila verze 2.0 ransomwaru WannaCry. Verze 1.0 se poprvé objevila 10. února 2017 a v omezené míře byla použitá v březnu. Verze 2.0 byla poprvé detekována minulý týden a ta se šířila velmi rychle a globálně.

„Během pondělí se objevila inovovaná verze ransomwaru WannaCry, která neobsahuje deaktivační mechanismus, ale jinak jde o stejný a tedy detekovatelný ransomware,“ říká Robert Šuman z Esetu.

Nikdy předtím přitom nebyl podle Bitdefenderu použitý speciální „tool“ k napadení specifických prostředí a infrastruktur se servery se zranitelnou verzí protokolu Server Message Block (protokol SMB).

Podle Šumana se Česka tato aktuální kampaň dotkla poměrně okrajově. Za celý víkend v Esetu evidují méně než dvě stovky zasažených zařízení. Nezaznamenali prý zatím ani žádnou významnou instituci, kterou by tento malware alespoň částečně ochromil.

Důvody, proč se WannaCry podle Esetu v tuzemsku nešířil více, jsou v tuto chvíli známé dva. Tím prvním je velmi brzká detekce této hrozby, která zamezila větším škodám. Tím druhým je, že Česká republika pravděpodobně nebyla primárním cílem tohoto útoku.

V reakci na tento případ šíření ransomwaru vydala společnost Microsoft celou řadu aktualizací a to i pro systémy, které jinak už nejsou podporovány – například Windows XP či Windows Server 2003.

Řada poskytovatelů bezpečnostního softwaru tvrdí, že jejich zákazníci nejsou zmíněnými ataky ohrožení. Například Bitdefender GravityZone ransomware WannaCry včetně mutací detekuje, zachytí a zablokuje. Využívá k tomu technologie strojového učení a samoučící algoritmy, které odhalují nové a neznámé hrozby v reálném čase.

Také Eset potvrzuje, že jejich bezpečnostní software uživatele před hrozbou tohoto malwaru ochraní. Navíc doporučuje mít rovněž aktivovaný jejich systém včasné ochrany LiveGrid.

Obecně podle Esetu platí, že by uživatel měl vždy věnovat pozornost e-mailům, které otevírá. Zejména pokud působí neobvykle a obsahují libovolnou přílohu. Stejně tak je vhodné pravidelně zálohovat data, o která uživatel nechce přijít, a to mimo svůj počítač.

„Organizace by měly také nasadit pokročilé preventivní technologie, aby hrozbu zastavily ještě před branami podnikové sítě. Zároveň je důležité vzdělávat zaměstnance a informovat je o potenciálních rizicích v e-mailech od neznámých odesílatelů nebo v podezřelých e-mailech, které přichází od známých kontaktů,” dodává Daniel Šafář z lokálního zastoupení společnosti Check Point Software Technologies.


Microsoft udělal nečekaný krok. Kvůli WannaCry vydal záplatu pro Windows XP
15.5.2017 Živě.cz Zabezpečení

Aktuální a hojně medializovaná vlna ransomwaru WannaCry nakonec přiměla Microsoft, aby porušil svá vlastní pravidla, stalo se totiž něco zcela neočekávaného: Firma vydala tři roky po ukončení podpory Windows XP bezpečnostní záplatu právě pro tento operační systém.

Svět v pátek postihl masivní útok ransomwaru WannaCry
WannaCry v posledních několika dnech způsobil menší poprask na síti a zprávy o něm se dostaly i do masmédií, faktem však zůstává, že se jedná jen o další vlnu ransomwaru, tedy malwaru, který se snaží na cílovém počítači zašifrovat soubory a poté požaduje výkupné.

WannaCry se od těch ostatních, které se právě teď také šíří sítí, liší jak velkým zásahem (až 150 zemí a 230 tis. nakažených počítačů), tak údajnou inspirací v NSA, protože prý používá zranitelnost EternalBlue, kterou v dubnu zveřejnili hackeři a za kterou má stát právě americká Národní bezpečnostní agentura (která ji nicméně používala zjevně k něčemu úplně jinému).

Co je však nejdůležitější, WannaCry infikuje počítač dnes velmi rozšířeným způsobem a sází na přetrvávající nízkou ostražitost mnoha surfařů, kteří otevřou přílohu v záškodnickém e-mailu.

Klepněte pro větší obrázek
Internet se baví vtípky o WannaCry

Nejlepší obranou proti WannaCry a jeho případným klonům v první úrovni je tedy zcela normální selský rozum. Problém ale spočívá v tom, že se může virus šířit i skrze špatně zabezpečenou lokální síť na starších verzích Windows. Aby se to nedělo, Microsoft z tohoto důvodu nyní vydal urychleně záplaty i pro prehistorické systémy, které podniky neustále používají, a napomáhají tak v šíření malwaru internetem.

Opravy se tedy týkají Windows XP, Windows Server 2003 a Windows 8. Majitelé novějších verzí Windows jsou již ochránění – tedy pokud virus sami nespustí tím, že klepnou na to, na co nemají.


Přehnané požadavky na hesla? Zbytečné a kontraproduktivní, říkají experti
15.5.2017 Živě.cz Zabezpečení

Všichni to známe – zakládáme si někde účet a musíme vymyslet heslo, které obsahuje minimálně jedno velké písmeno, číslo, minimálně osm znaků… požadavků je hodně. Výsledkem je těžko zapamatovatelné, ale snad bezpečné heslo. Experti z amerického Národního institutu standardů a technologií (NIST) si ale myslí, že takové heslo vlastně bezpečnější není.

Mark Zuckerberg používal stejné heslo na více službách. Krátce přišel o Twitter a Pinterest
Co je horší, takové heslo může být podle nich kontraproduktivní. Experti to popisují v dokumentu určeném pro bezpečnostní pracovníky, který se věnuje právě heslům. Komplikované heslo se širokou škálou znaků je zbytečné, domnívají se.

„Online služby v posledních letech představily pravidla za účelem zvýšení komplexity hesel,“ píše se v dokumentu. „Nejvýraznější jsou požadavky, aby hesla obsahovala velké písmeno, číslo a minimální počet znaků. Naše analýza ukradených databází ale ukazuje, že přidaná hodnota takových hesel je minimální. Výsledkem je akorát to, že si lidé heslo hůře pamatují,“ uvádí experti.

Institut tím chce říct, že hesla typu „12CervEnAJah00da2029“ jsou těžko pamatovatelná a statisticky lépe nechrání, takže vlastně k ničemu. Souhlasí nicméně, že délka hesla je důležitá – mělo by obsahovat minimálně osm znaků – co největší variabilita velkých a malých písmen a čísel je ovšem k ničemu.

Nařizuje vám zaměstnavatel neustále měnit hesla? Může to být cesta do pekel!
Uživatel by se také při tvorbě hesla měl primárně podívat do seznamu nejpoužívanějších hesel a těm se za každou cenu vyvarovat. Heslo „heslo1234“ totiž vždycky bylo, je a bude to nejhorší, co můžete zvolit.

Další věcí, kterou experti „pomluvili“, jsou bezpečností otázky pro obnovu hesla. Většina jich totiž lze jednoduše vyhledat na Googlu. Málokterý člověk je v současné době sociálních sítí tak poctivý a obezřetný, že nesdílí nic, co by nemohlo být použito proti němu, takže otázky jako „Do jaké střední školy jste chodili“ nebo „Jméno domácího mazlíčka“ jsou k ničemu. Pokud bezpečnostní otázky, tak je formulovat zcela jinak.


Ostražitost je namístě. Jak se bránit před ransomwarem

15.5.2017 Novinky/Bezpečnost Viry
Před vyděračskými viry, které jsou označovány souhrnným názvem ransomware, varují bezpečnostní experti již několik posledních let. Teprve škodlivý kód WannaCry na konci minulého týdne ukázal, jak skutečně nebezpeční mohou tito nezvaní návštěvníci být. Podceňovat obranu se tak nemusí vůbec vyplatit.
Jak útočí vyděračské viry

Na napadeném stroji dokážou vyděračské viry udělat pěkný nepořádek. Nejprve zašifrují všechna data uložená na pevném disku. Za jejich zpřístupnění pak útočníci požadují výkupné, a to klidně i několik tisíc korun.
Kyberzločinci se zpravidla snaží v majiteli napadeného stroje vzbudit dojem, že se ke svým souborům dostane po zaplacení pokuty. Ta byla údajně vyměřena za používání nelegálního softwaru apod. I proto jim celá řada lidí již výkupné zaplatila.
Zaplatit zpravidla chtějí v bitcoinech, protože pohyby této virtuální měny se prakticky nedají vystopovat. A tím logicky ani nelegální aktivita počítačových pirátů.
Ani po zaplacení výkupného se ale uživatelé ke svým datům nedostanou. Místo placení výkupného je totiž nutné virus z počítače odinstalovat. Zpřístupnit nezálohovaná data je už ale ve většině případů nemožné.
Vyděračský virus WannaCry se začal internetem šířit už v pátek. Za pouhých pár hodin stačil infikovat na 200 000 počítačů ve více než 150 zemích světa. Mezi postiženými se objevili nejen jednotliví uživatelé, ale také univerzity, benzínky, nemocnice, dráhy a řada dalších společností.

Tak velkou silou, a navíc v tak velkém měřítku zatím žádný ransowmare neútočil. A to přitom různých variant vyděračských virů existují bez nadsázky tisíce. „V roce 2016 byly detekovány tisíce nových ransomwarových variant,“ uvedl již dříve Petr Kadrmas, bezpečnostní odborník ze společnosti Check Point.

Důvod, proč kyberzločinci ransomware tak často šíří, je prostý. „Ransomware prostě funguje a generuje útočníkům zisky. Organizace se snaží efektivně chránit, ale mnoho z nich nepoužívá správné zabezpečení a podceňuje vzdělávání zaměstnanců, kteří by rozpoznáním příznaků útoku mohli zabránit nákladným škodám,“ podotkl Kadrmas.

A finanční motivace byla patrně hlavní hnací silou i v případě nového škodlivého kódu WannaCry. U něj totiž chtěli vyděrači za odemčení zašifrovaného počítače v přepočtu 7300 Kč.

Takto vypadala obrazovka uzamčená vyděračským virem.
Takto vypadala obrazovka uzamčená vyděračským virem.
FOTO: repro thehackernews.com

Z řádků výše je patrné, že ransomware budou nasazovat kyberzločinci s vidinou snadných zisků i nadále – a je úplně jedno, zda půjde o WannaCry či úplně jinou verzi tohoto škodlivého kódu. Uživatelé by tak měli být na jejich příchod připraveni.

Aktualizovat a zálohovat
Bránit se je možné poměrně snadno, stačí dodržovat základní bezpečnostní poučky. Nejčastěji totiž nezvaného návštěvníka, který následně uzamkne počítač a požaduje výkupné, pustí samotní uživatelé. Prvním pravidlem by tak mělo být, že uživatelé nebudou otvírat přílohy e-mailových zpráv od neznámých a podezřelých adresátů. Právě touto cestou se totiž vyděračské viry dostanou do PC nejčastěji.

Vyděračský virus mohou kyberzločinci propašovat do počítače i prostřednictvím nějaké bezpečnostní trhliny v operačním systému či jiném programu. Samozřejmostí by tak měly být pravidelné aktualizace, jež počítačovým pirátům velmi znesnadní jejich práci.

Nutné je samozřejmě také pravidelně aktualizovat antivirový program, případně jiné bezpečnostní aplikace. Zvýšenému riziku se pak vystavují uživatelé, kteří používají nepodporované programy a operační systémy. Hrozba nákazy například na Windows XP je mnohonásobně vyšší než u novějších verzí tohoto operačního systému.

Vhodné je také pravidelně zálohovat svoje data. V případě nákazy se počítač jednoduše přeinstaluje a zašifrovaná data se mohou obnovit i bez placení výkupného nebo nutnosti je odšifrovat. Média či externí disky, na nichž budou záložní data uložena, by neměly být neustále připojeny k PC. Minimalizuje se tím riziko, že se vyděračský virus zabydlí i u zálohovaných dat.


Vyděračský virus WannaCry má vylepšeného následovníka. Už se šíří internetem

15.5.2017 Novinky/Bezpečnost Viry
Obavy bezpečnostních expertů se potvrdily. Vyděračský virus WannaCry, který infikoval na konci minulého týdne během pouhých pár hodin na 200 tisíc zařízení ve více než 150 zemích světa, se objevil na internetu ve vylepšené verzi. Zastavit ho bude složitější, než tomu bylo v prvním případě.
Druhá verze vyděračského viru WannaCry
Jak se bránit proti vyděračským virům?

Řádění vyděračského viru WannaCry se minulý týden postavil teprve 22letý bezpečnostní expert z anglického serveru MalwareTech.com. Tomu se podařil husarský kousek, kdy díky analýze škodlivého kódu vyfoukl počítačovým pirátům internetovou doménu, s jejíž pomocí šíření škodlivého kódu zastavil.

On sám však varoval, že oslavy rozhodně nejsou namístě. Podle jeho odhadů z neděle totiž měli počítačoví piráti už v průběhu pondělí nasadit vylepšenou verzi vyděračského viru, kterou už nepůjde tak snadno vypnout. 

Zatím jen pár vzorků
Kyberzločinci byli nakonec ještě rychlejší. Podle serveru The Hacker News se podařilo škodlivý kód viru WannaCry 2.0 zachytit již během neděle.

Vylepšená druhá verze se podle prvotní analýzy velmi podobá té první. Rozdíl je však v tom, že WannaCry 2.0 již neobsahuje žádnou pojistku, pomocí které by ho bylo možné snadno vypnout. Jinými slovy zastavit jeho šíření nebude tak snadné, jako tomu bylo u první generace WannaCry.

Vylepšený vyděračský virus již koluje internetem. Zatím se však podařilo zachytit pouze několik málo vzorků. Vše tedy nasvědčuje tomu, že žádný masivní útok zatím kyberzločinci nespustili. Kdy a zda vůbec se tak stane, není v tuto chvíli jasné.

Nejsilnější útok ransomwaru
WannaCry 2.0 útočí úplně stejně jako ostatní vyděračské viry, které jsou označovány souhrnným názvem ransomware. Nejprve tedy škodlivý kód pronikne do počítače, pak jej uzamkne a zašifruje všechna data. Za jejich zpřístupnění následně počítačoví piráti požadují výkupné.

Mapa zemí, kde WannaCry během pátku útočil.
Mapa zemí, kde WannaCry během pátku útočil.
FOTO: repro malwaretech.com

Vyděračský virus WannaCry se začal internetem šířit už v pátek. Za pouhých pár hodin stačil infikovat na 200 tisíc počítačů ve více než 150 zemích světa. Mezi postiženými se objevili nejen jednotliví uživatelé, ale také univerzity, benzínky, nemocnice, dráhy a řada dalších společností.

Antivirová společnost Avast uvedla, že škodlivý kód WannaCry útočil také v Česku. Napadl zde podle prvních odhadů na 400 počítačů.

Tak velkou silou, a navíc v tak velkém měřítku zatím žádný ransowmare neútočil. A to přitom různých variant vyděračských virů existují bez nadsázky tisíce.


Svět zachránil před vyděračským virem teprve 22letý mladík

14.5.2017 Novinky/Bezpečnost Viry
Řádění vyděračského viru WannaCry, který napadl za pouhých pár hodin na 200 000 zařízení ve více než 150 zemích světa, má svého hrdinu. Šíření nezvaného návštěvníka napříč různými kouty světa totiž zastavil teprve 22letý bezpečnostní expert z anglického serveru MalwareTech.com.
Mladík zkoumal chování viru a registrací jedné konkrétní domény zastavil jeho šíření. (Ilustrační foto)
Hned na úvod se sluší zmínit, že i přes svůj nízký věk je mladík poměrně ostřílený bezpečnostní expert, který se snaží hatit plány kybernetických zločinců několik posledních let. Pravidelně sleduje dění na internetu a u nových hrozeb se snaží zjistit jejich funkčnost, aby je mohl s kolegy následně vyřadit zcela z provozu.

I proto svou pravou identitu úzkostlivě skrývá. Jednoduše z obav o svou vlastní bezpečnost.

Přestože je jeho totožnost neznámá, stal se prakticky přes noc světovou celebritou – jeho příběh, jak zastavil šíření vyděračského viru WannaCry, doslova obletěl celou planetu.

Server MalwareTech.com se snaží monitorovat aktuální virové hrozby v reálném čase. I díky tomu se mladík prakticky okamžitě dozvěděl o tom, že nějaký útok probíhá. A mohl jej začít analyzovat.

První na ráně byly nemocnice
Sluší se také připomenout, že právě Anglie informovala o masivním kybernetickém útoku jako jedna z prvních zemí, tamní nemocnice totiž byly kvůli řádění vyděračského viru vyřazeny z provozu. 

Britský bezpečnostní expert se k informacím o nezvaném návštěvníku dostal jako jeden z prvních. Dokonce se mu podařilo získat funkční vzorek vyděračského viru.

„Když jsem jej začal zkoumat v uzavřeném prostředí, všiml jsem si, že se snaží při komunikaci kontaktovat internetovou doménu, která není zaregistrovaná,“ přiblížil mladík na svém blogu.

Konkrétně šlo o web iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com. Díky tomu mohl získat více informací o této nebezpečné hrozbě.

Mapa zemí, kde WannaCry během pátku útočil.
Mapa zemí, kde WannaCry během pátku útočil.
FOTO: repro malwaretech.com

Okamžitě si uvědomil, jak velkou silou tentokráte kyberzločinci útočí. „Za jedinou sekundu bylo vidět na šest tisíc požadavků,“ konstatoval bezpečnostní expert s tím, že už krátce po zaregistrování a přesměrování domény se šíření škodlivého kódu prakticky zastavilo.

Po několikahodinovém zkoumání mladík přišel na to, že to skutečně souvisí se zaregistrováním volné domény. Kyberzločinci pravděpodobně nechali ve WannaCry takovouto bezpečnostní pojistku, aby mohli na dálku v případě potřeby šíření viru jednoduše vypnout. Například i kvůli tomu, aby je bezpečnostní experti nemohli vystopovat zpět.

Teprve 22letý bezpečnostní expert však tuto pojistku odhalil dříve, než ji mohli použít. A to byl poměrně heroický výkon – obzvláště s ohledem na to, že si bral týden dovolenou a k počítači se připojil spíše jen ze zvědavosti.

Další útok v pondělí?
Mladík sám nicméně v neděli varoval, že vyhráno bezpečnostní experti rozhodně nemají. Podle něj je velmi pravděpodobné, že počítačoví piráti nasadí vylepšený virus WannaCry, který již tak snadno vypnout nepůjde.

Stát by se tak mělo v nejbližší době, podle odhadů bezpečnostního experta ze serveru MalwareTech pravděpodobně již v pondělí. 

Masivní kybernetický útok vyděračského viru WannaCry zasáhl podle Europolu 200 tisíc zařízení ve 150 zemích světa. Tento škodlivý kód útočí úplně stejně jako drtivá většina ostatních vyděračských virů, které jsou označovány souhrnným názvem ransomware.

Nejprve tedy škodlivý kód pronikne do počítače, pak jej uzamkne a zašifruje všechna data. Za jejich zpřístupnění následně počítačoví piráti požadují již zmiňované výkupné. 

Takto vypadala obrazovka uzamčená vyděračským virem.
Takto vypadala obrazovka uzamčená vyděračským virem.
FOTO: repro thehackernews.com


V pondělí udeří hackeři znovu, varovali bezpečnostní experti

14.5.2017 Novinky/Bezpečnost Viry
Masivní kybernetický útok vyděračského viru WannaCry zasáhl podle Europolu 200 000 zařízení ve 150 zemích světa. Počítačový expert, jehož oslovila britská BBC varoval, že další vlna může přijít v nejbližší době.
V pátek zasáhl prakticky celý svět jeden z nejmasivnějších útoků v celé historii internetu. Řádění vyděračského viru WannaCry, který pronikl do více než 200 000 zařízení ve 150 zemích světa, se podařilo po několika hodinách zastavit. Bezpečnostní experti ze serveru MalwareTech však varovali, že další vlna útoku by mohla přijít již v pondělí.

Byl to právě server MalwareTech, který pravidelně přináší informace o nejrůznějších kybernetických hrozbách, kterému se podařilo zmapovat chování vyděračského viru WannaCry a informovat o tom, kde všude útočil.

Mapa zemí, kde WannaCry během pátku útočil.
Mapa zemí, kde WannaCry během pátku útočil.
FOTO: repro malwaretech.com

Šlo pouze o první vlnu
Bezpečnostní experti z tohoto serveru nicméně v neděli upozornili na to, že útok byl pouze první vlnou. Podle nich je velmi pravděpodobné, že druhá přijde již v průběhu pondělí. A bude daleko intenzivnější než ta první.

První verze škodlivého viru WannaCry totiž obsahovala chyby, díky kterým se podařilo šíření tohoto nezvaného návštěvníka už během pár hodin zastavit. Ta druhá však bude mít podle serveru MalwareTech všechny slabiny ošetřené, a tak nebude obrana před ní vůbec snadná.

Útočníci se navíc podle odhadů MalwareTechu budou snažit šířit škodlivý kód co nejdříve, pravděpodobně již v pondělí, aby minimalizovali šanci, že stihnou antivirové společnosti – a i samotní uživatelé – zareagovat.

Kdo za šířením škodlivého kódu WannaCry stojí, zatím není jasné.

Šli po penězích
Jisté je nicméně to, že jde o jeden z nejmasivnějších útoků vyděračských virů v celé historii internetu. „200 000 obětí, a to přinejmenším ve 150 zemích. Ročně řešíme na dvě stovky kybernetických útoků, ale něco takového jsme dosud neviděli,“ uvedl ředitel Europolu Rob Wainwright.

On sám připustil, že všichni postižení kybernetickým útokem se ještě nepřihlásili, a tak konečná bilance bude pravděpodobně ještě daleko vyšší. První páteční odhady totiž hovořili pouze o polovičním počtu obětí.

„Naše bezpečnostní řešení zaregistrovala v průběhu pátečního dne více než 45 000 útoků ransomwaru WannaCry v 74 zemích světa. Mezi nejpostiženější země patří Rusko, Ukrajina a Indie. Obětí se stalo také 16 britských nemocnic či společnosti ve Španělsku,“ konstatoval v pátek David Emm, hlavní bezpečnostní analytik týmu GReAT společnosti Kaspersky Lab.

Antivirová společnost Avast již dříve uvedla, že škodlivý kód WannaCry útočil také v Česku. Napadl zde podle prvních odhadů na 400 počítačů.

Takto vypadala obrazovka uzamčená vyděračským virem.
Takto vypadala obrazovka uzamčená vyděračským virem.
FOTO: repro thehackernews.com

WannaCry útočí úplně stejně jako drtivá většina ostatních vyděračských virů, které jsou označovány souhrnným názvem ransomware. Nejprve tedy škodlivý kód pronikne do počítače, pak jej uzamkne a zašifruje všechny data. Za jejich zpřístupnění následně počítačoví piráti požadují již zmiňované výkupné.

„Vzhledem k tomu, že útočníci vyžadují relativně nízké výkupné 300 USD (7300 Kč), je velmi pravděpodobné, že se nejedná o cílené útoky. Kdyby totiž útočník věděl, že je schopen napadnout tak vysoký počet systémů najednou, požadoval by za opětovné zpřístupnění dat daleko vyšší částku,“ podotkl Emm.

„Ransomware použitý při tomto útoku je relativně nový. Poprvé se objevil v únoru 2017 a nejnovější varianta se objevila v pátek ráno. Přesto se šíří velmi rychle a útočí na organizace napříč Evropou a Asií,“ uvedl Daniel Šafář, Country Manager pro Českou republiku a region CZR ve společnosti Check Point Software Technologies.


Páteční masivní útok ransomwaru Wcry: co všechno o něm víme?
13.5.2017 Lupa.cz  Viry
Průběžně přidáváme informace týkající se útoku ransomwaru založeného na pomůckách uniklých z NSA. Bude zajímavé sledovat co se stane v Česku v pondělí, až se zapnou počítače ve firmách a státní správě.

Text průběžně upravujeme a doplňujeme s tím, jak se objevují nové informace.
Masivní vlna ransomwaru napadla počítače v desítkách zemí po celém světě. Mezi napadenými je například řada nemocnic ve Velké Británii, které kvůli tomu přestaly fungovat. Předpokládá se, že útok umožnila chyba ve Windows, kterou využívala i NSA, a útočné pomůcky se objevily v nedávném úniku (viz ShadowBrokers a Equation Group a MS17–010). WanaCrypt0r 2.0 se podle Avastu objevila už na minimálně 75 tisících počítačů ve stovce zemí.

Nutné dodat je, že tahle chyba zneužívá chyb v SMB, tedy síťovém protokolu, takže z toho plyne, že napadené počítače byly napadeny z nějakého jiného počítače v téže sítí (kam se útočný program mohl dostat e-emailem či z webu) nebo, ještě hůře, byly volně dostupné přes internet. Tahle chyba byla Microsoftem opraveno někdy v březnu, takže to opět nejspíš znamená, že napadené počítače nejsou aktualizovány, jak by měly.

Šíření výše uvedeného ransomwaru se podařilo zastavit registraci domény. Pokud vám to připadá zvláštní, tak uvnitř kódu byl „kill switch“, tedy poslání požadavku na určitou doménu, který pokud by uspěl, zastaví další šíření ransomwaru. Jak uvádí ‚Accidental hero‘ finds kill switch to stop spread of ransomware cyber-attack, zjištění z analýzy vedlo k registraci domény a tím zastavení šíření. Byť tedy prvotní registrace domény proběhla prostě ze zvědavosti poté, co se jméno objevilo v kódu.

Microsoft opravuje XP, to vypadá dost vážně
Microsoft vypustil opravu pro Windows XP, Windows 8 i Windows Server 2003 aby zabránil zneužívání chyby pro další útoky. To, že se objevila i záplata pro Windows XP ukazuje, že dost dobře možná hodně napadených počítačů používalo tento již dlouho nepodporovaný operační systém. Viz Customer Guidance for WannaCrypt attacks.

Windows Defender už by měl tenhle druh malwaru/ransomwaru poznat. Nutné dodat, že ještě v sobotu se stále nevědělo, kde to celé začalo. Podle Fox-it a CrowdStrike byl na počátku nejspíš spam obsahující falešné faktury. Další šíření je už věcí prohledávání všech dostupných sítí na napadnutelné stroje.

Miliony děravých strojů, co ten váš?
Shodan ukazuje 1,3 milionu strojů s otevřeným portem 445 (necelých pět tisíc v Česku), ale to nejde jenom o stroje s Windows. Podle Dana Tentlera je na Internetu minimálně 1,34 milionů napadnutelných strojů (které nemají potřebné opravy).

Pokud máte napadnutelný stroj, tak je nutné okamžitě záplatovat, pokud nemůžete, tak zajistit blokování přístupu (TCP/UDP) k portům 138/139/445 a zakázat SMBv1, plus ideálně ještě zakázat RDP (TCP/UDP port 338) přístup z Internetu (který byste mít neměli).

Problém s WanaCry je ten, že se šíří automaticky (červ/worm) tak, že napadené stroje napadají další, které najdou – pokud se tedy ve vaší síti kdekoliv objeví napadený stroj, tak se nákaza začne šířit. Do sítě se může dostat třeba v e-mailu, klasicky třeba jako příloha, ale někdo si ho může i stáhnout a spustit. Antivirové programy tradičně na počátku útoků nepomohou.

Vlastně docela povedený kousek software

Jak přesně funguje WanaCrypt0r ukazují Malwarebytes Labs v The worm that spreads WanaCrypt0r a je to docela dobrá věc ke studiu. Najdete tam i www.iuqerfsodp9ifjaposdfjhgo­surijfaewrwergwea.com aneb doménu, která sloužila jako „stop“ při spuštění viru. Tedy alespoň tohle dělala původní verze viru, novější už to dělat nemusí.

Na konci je dost podstatná zmínka o tom, že vedle WCry se přidává ještě DoublePulsar backdoor (taky z dílny NSA). A také to, že vedle snahy šířit se hledáním napadnutelných počítačů využívá i případných aktivních RDP spojení na další počítače.


Masivní kyberútok zasáhl ve desítkách zemí. Ochromil nemocnice i Telefóniku
13.5.2017 Cnews.cz Viry

Po celém světě útočí nový ransomware WanaCrypt0r 2.0 (někdy označovaný jako WCry nebo WannaCry). Obětem s Windows XP / Server 2003 a novějšími napadne počítač, zašifruje soubory a zobrazí okno, ve kterém požaduje zaplacení výkupného (po omezený čas), jinak uživatel ztratí k datům přístup. Zaplatit musí 300 dolarů v bitcoinech na peněženku https://blockchain.info/address/13AM4VW2dhxYgXeQepoHkHSQuy6NgaEb94.

Zaplať 300 dolarů, jinak přijdeš o data

„WanaCrypt0r 1.0 se poprvé objevil 10. února 2017 a v omezené míře byl použit v březnu. Verze 2.0 byla poprvé detekována včera ráno a bohužel se šíří velmi rychle a globálně. Mezi oběti patří například britská zdravotnická zařízení NHS a mnoho dalších důležitých organizací po celém světě, například v Rusku, Turecku, Indonésii, Vietnamu, Japonsku, Španělsku a Německu. Útokem byla zasažena i Telefonica ve Španělsku nebo společnost Santander,“ říká Daniel Šafář, Country Manager pro Českou republiku a region CZR ve společnosti Check Point Software Technologies.

Avast odhaduje, že WCry zasáhl již v 99 zemích, nejvíce se projevuje v Rusku, Ukrajině a na Tchaj-wanu. Firma již zaznamenala přes 75 000 detekcí ransomwaru. Kaspersky Lab rovněž potvrzuje nejvíce ohrožené země a říká, že v některých případech chce vyděračský software i 600 dolarů. Kaspersky v prvních hodinách detekoval 45 000 útoků v 74 zemích.

Jak útok probíhá?

Ransomware využívá zranitelnosti v protokolu SMB, který počítače s Windows používají k síťovému sdílení disků nebo tiskáren. Exploit EternalBlue (nebo MS17-010) zneužívající díru v systému má údajně na svědomí americká rozvědka NSA nebo společnost Equation Group, která s ní spolupracuje. Hackerská skupina ShadowBrokers od Equationu exploit získala a zveřejnila jej na internetu. Jiná (neznámá) skupina s ním vytvořila WCry.

Takhle vypadá vyděračská obrazovka

Takhle vypadá vyděračská obrazovka
Nejvíce napadené země

Nejvíce napadené země
WCry může vydírat i v češtině

WCry může vydírat i v češtině
Vlastnosti WCry

Vlastnosti WCry
Jak vypnout SMB

Jak vypnout SMB
Microsoft vydal opravu pro SMB již v březnu (zde), ale evidentně ne všechny počítače ji už mají. Alternativním řešením k ochraně je dočasně vypnout funkci SMB. Položku najdete v Ovládací panely | Programy a funkce | Zapnout nebo vypnout funkce systému Windows | Podpora pro protokol sdílení souborů SMB 1.0/CIFS. Automaticky by měly být chráněny počítače schované za NATem.

Oživeno: Microsoft tvrdí, že počítače s Windows 10 nebyly útokem postiženy. Ohroženy jsou systémy Windows XP SP3 x86, Windows XP SP2 x64, Windows Server 2003 SP2 a Windows 8. Opravu tak překvapivě vydal i pro zastaralé XP a Server 2003, stahujte odsud.

WCry na vás může zaútočit, aniž byste cokoliv vědomě stahovali. Pokud nejste schovaní na firewallem/NATem a máte otevřené porty pro vnější komunikaci přes SMB, ransomwarem vás může nakazit kdokoliv z internetu. Útok je prakticky nevysledovatelný, přes internet komunikuje pomocí Toru. WCry se navíc může dostat na jeden počítač v domácí/firemní síti a pak napadnout ostatní.

Bezpečnostní společnosti nedoporučují platit výkupné, přestože zatím dešifrovací software nemají v rukou. Oběti by měly data obnovit ze zálohy. A pokud zálohu nemají, je to dobré poučení do budoucna.

WanaCrypt0r 2.0 popisují:

Avast/AVG
Eset
Check Point
Kaspersky
McAfee
Symantec


Svět v pátek postihl masivní útok ransomwaru WannaCry
13.5.2017 Živě.cz Viry

Zatímco si mnozí z vás dávali svůj páteční zasloužený drink, na hromadu institucí po celém světě útočil zákeřný ransomware WannaCry. Jednalo se o jednu z největších malwarových kampaní v poslední době, která podle Check Pointu a Kaspersky Lab během pátku zasáhla nejméně 74 zemí světa.

Antivirová společnost omylem označila jako malware systémové soubory. Zákazníkům se zhroutily Windows
„Mezi nejpostiženější země patří Rusko, Ukrajina a Indie. Obětí se stalo také 16 britských nemocnic či společnosti ve Španělsku,“ říká David Emm, hlavní bezpečnostní analytik týmu GReAT společnosti Kaspersky Lab.

První verze tohoto viru se dostala na veřejnost už počátkem roku a menší kampaň proběhla v březnu, aktuální vlna se však vymyká svojí velikostí a rychlostí šíření.

„Ransomware použitý při tomto útoku je relativně nový. Poprvé se objevil v únoru 2017 a nejnovější varianta se objevila dnes ráno, v pátek 12. května 2017. Přesto se šíří velmi rychle a útočí na organizace napříč Evropou a Asií,“ doplňuje Daniel Šafář z Check Point Software Technologies.

Kaspersky Lab jen v pátek zaznamenal 45 000 útoků WannaCry, který na infikovaném počítači zašifruje data a poté požaduje výkupné, které je v tomto případě relativně nízké okolo 300 amerických dolarů. I proto by mohl v krajním případě leckdo zaplatit.

U podobných ransomwarových útoků se samozřejmě nepoužívají běžně bankovní převody, ale platba skrze kryptoměny v čele s bitcoinem.


Bezpečno není na Facebooku ani Twitteru. Podvody šíří i skuteční přátelé

12.5.2017 Novinky/Bezpečnost Sociální sítě
Počítačoví piráti neustále hledají nové způsoby, jak na internetu napálit důvěřivce. Často přitom útočí i v prostředí sociálních sítí, například na Facebooku a Twitteru. Právě na zmiňovaných serverech zachytili bezpečnostní experti falešné reklamy, s jejichž pomocí se kyberzločinci snaží vylákat od uživatele důvěrné informace.
„Mezi českými uživateli sociálních sítí Facebook a Twitter se začala znovu po roce šířit podvodná kampaň snažící se odkázat na internetové stránky fiktivního elektronického obchodu, pomocí kterého útočníci sbírají údaje o platebních kartách uživatelů,“ varoval Miroslav Dvořák, technický ředitel společnosti Eset.

Podle něj kyberzločinci v rámci této kampaně používají značku slunečních brýlí Ray-Ban. „Útočníci ale pouze zneužívají jméno známého výrobce. Společnost Ray-Ban ani její distributoři nemají s touto akcí nic společného. Na stejnou kampaň upozornil Eset již loni v dubnu, kdy se poprvé objevila,“ připomněl Dvořák.

Využívají účty skutečných uživatelů
Není bez zajímavosti, že k šíření podvodných reklam využívají počítačoví piráti kompromitované účty skutečných tuzemských uživatelů. Tip na „výhodnou“ slevu, tak klidně může přijít od skutečného kamaráda.

V některých případech nicméně reklamní bannery šíří i samotní uživatelé, kteří pouze chtějí upozornit své přátelé na zajímavou akci. A ve skutečnosti si ani neuvědomují, že tím kyberzločincům vlastně usnadňují práci.

O zacílení na tuzemské uživatele není pochyb. „Domníváme se, že některé weby byly dokonce vytvořeny speciálně pro Čechy, i když většina obsahu je v angličtině. Naznačuje to doména .CZ v samotných URL adresách,“ konstatoval Dvořák.

Pozor i na další sociální sítě
Nejvíce se podvodné reklamní nabídky šíří prostřednictvím Facebooku a Twitteru. Stejně tak jsou ale využívány i další sociální sítě, například Instagram a Pinterest.

Samotné prohlížení falešných webů není škodlivé. „Problém nastává při platbě za fiktivní zboží, kdy útočník získá všechny informace potřebné k tomu, aby mohl provést finanční převod z dané karty. Informace o platební kartě totiž odcházejí k provozovateli podvodných webových stránek, jejichž servery se většinou nacházejí mimo Evropskou unii, často například v Číně,“ podotkl Dvořák.

I tato pirátská kampaň ukazuje, že uživatelé musí být při pohybu na internetu velmi ostražití. Velmi důležité je například sledovat, na jakých stránkách se ve skutečnosti pohybujeme a zda jde o legitimního prodejce či nějaký falešný web.


Podvodníci líčí pasti na Facebooku a Twitteru, varovali bezpečnostní experti

12.5.2017 Novinky/Bezpečnost Phishing
Počítačoví piráti neustále hledají nové způsoby, jak na internetu napálit důvěřivce. Často přitom útočí i v prostředí sociálních sítí, například na Facebooku a Twitteru. Právě na zmiňovaných serverech zachytili bezpečnostní experti falešné reklamy, s jejichž pomocí se kyberzločinci snaží vylákat od uživatele důvěrné informace.
„Mezi českými uživateli sociálních sítí Facebook a Twitter se začala znovu po roce šířit podvodná kampaň snažící se odkázat na internetové stránky fiktivního elektronického obchodu, pomocí kterého útočníci sbírají údaje o platebních kartách uživatelů,“ varoval Miroslav Dvořák, technický ředitel společnosti Eset.

Podle něj kyberzločinci v rámci této kampaně používají značku slunečních brýlí Ray-Ban. „Útočníci ale pouze zneužívají jméno známého výrobce. Společnost Ray-Ban ani její distributoři nemají s touto akcí nic společného. Na stejnou kampaň upozornil Eset již loni v dubnu, kdy se poprvé objevila,“ připomněl Dvořák.

Využívají účty skutečných uživatelů
Není bez zajímavosti, že k šíření podvodných reklam využívají počítačoví piráti kompromitované účty skutečných tuzemských uživatelů. Tip na „výhodnou“ slevu, tak klidně může přijít od skutečného kamaráda.

V některých případech nicméně reklamní bannery šíří i samotní uživatelé, kteří pouze chtějí upozornit své přátelé na zajímavou akci. A ve skutečnosti si ani neuvědomují, že tím kyberzločincům vlastně usnadňují práci.

O zacílení na tuzemské uživatele není pochyb. „Domníváme se, že některé weby byly dokonce vytvořeny speciálně pro Čechy, i když většina obsahu je v angličtině. Naznačuje to doména .CZ v samotných URL adresách,“ konstatoval Dvořák.

Pozor i na další sociální sítě
Nejvíce se podvodné reklamní nabídky šíří prostřednictvím Facebooku a Twitteru. Stejně tak jsou ale využívány i další sociální sítě, například Instagram a Pinterest.

Samotné prohlížení falešných webů není škodlivé. „Problém nastává při platbě za fiktivní zboží, kdy útočník získá všechny informace potřebné k tomu, aby mohl provést finanční převod z dané karty. Informace o platební kartě totiž odcházejí k provozovateli podvodných webových stránek, jejichž servery se většinou nacházejí mimo Evropskou unii, často například v Číně,“ podotkl Dvořák.

I tato pirátská kampaň ukazuje, že uživatelé musí být při pohybu na internetu velmi ostražití. Velmi důležité je například sledovat, na jakých stránkách se ve skutečnosti pohybujeme a zda jde o legitimního prodejce či nějaký falešný web.


Stopy hackerského útoku na Macrona vedou k americké krajní pravici

12.5.2017 Novinky/Bezpečnost BigBrothers
Stopa hackerského útoku, jehož terčem se těsně před nedávnými prezidentskými volbami ve Francii stalo hnutí Emmanuela Macrona, vede k americkým neonacistům, kteří sympatizují s ruským prezidentem Vladimirem Putinem a americkým prezidentem Donaldem Trumpem. Uvedl to na své internetové stránce francouzský list Le Monde.
V závěru kampaně měly Macrona zdiskreditovat také falešné dokumenty o údajném kontu v daňovém ráji v Karibiku, které se rozšířily rovněž nejprve přes weby americké krajní pravice.

Tato nařčení měla posílit šance Macronovy soupeřky ve druhém kole prezidentské volby, vůdkyně francouzské krajní pravice Marine Le Penové.

„Ať je původ těchto dokumentů jakýkoli, jejich šíření bylo zorganizováno v prostředí americké extrémní pravice s udivující pečlivostí,” napsal deník o poznatcích z dosavadního vyšetřování.

Diskusní fórum, web, sociální sítě
Jakkoli původ falešných dokumentů má vyšetřování teprve odhalit, lze podle listu přinejmenším vysledovat, jak se organizovalo šíření informací.

Odkazy na ukradené e-maily Macronova hnutí se nejprve objevily na diskusním fóru 4chan, využívaném americkou krajním pravicí.

První článek o úniku se následně objevil na webu Disobedient Media, který je rovněž blízký „alternativní pravici”. Propagoval je kontroverzní publicista akreditovaný v Bílém domě Jack Posobiec mezi 100 tisíci fanoušky na Twitteru a na svém webu, který má rovněž francouzskou verzi.

Podle francouzského listu nelze vyloučit ani „ruskou stopu”, protože „existují vazby mezi americkou krajní pravicí a Ruskem”. Právě ruská státní média věnovala útokům na Macrona velkou pozornost.


V Anglii vypadly nemocniční systémy a lékaři se vrátili k tužce. Mluví se o útoku hackerů

12.5.2017 Novinky/Bezpečnost Viry
Velký výpadek postihl v pátek odpoledne systémy National Health Service (NHS), což je organizace, která v Anglii zajišťuje zdravotní péči. Informovali o tom zástupci NHS. Vše nasvědčuje tomu, že výpadek je způsoben útokem hackerů. Upozornil na to server BBC.
Problémy s připojením k nemocničním systémům, které spravuje právě NHS, hlásily postupně nemocnice v Londýně, Blackburnu či například Cumbrii. Jak upozornil server BBC, problémy má i řada nemocnic z dalších měst.

Kvůli ochromeným informačním systémům jsou počítače v nemocnicích prakticky nepoužitelné. Personál se tak musel vrátit zpátky k papírům a tužkám, poznamenal server BBC.

Nemusíte? Nechoďte!
Pacienti kvůli tomu musí počítat s daleko delšími čekacími dobami, než je obvyklé.

Lékaři, kteří se nedostanou k informacím o pacientech a naplánovaných úkonech, vyzvali proto pacienty, aby zbytečně nevyráželi do nemocnice, pokud to skutečně není nezbytně nutné. A to platí i pohotovostech.

Zástupci NHS zatím oficiálně neuvedli, co problémy způsobilo. Prakticky všechny nemocnice – i ty které problémy nehlásily – však vyzvali k tomu, aby nepoužívali informační systémy.

„Před hodinou jsme od NHS obdrželi výzvu, abychom neprodleně vypnuli veškeré naše počítače,“ uvedl vpodvečer pro server BBC jeden z pracovníků nemocnice v Yorku.

Virus v systémech NHS?
Je tedy více než pravděpodobné, že pracovníci NHS zachytili nějaký kybernetický útok. Podrobnosti však zatím nejsou k dispozici.

Je možné, že se kyberzločincům podařilo umístit přímo do systémů této zdravotní organizace. Odtud se pak nezvaný návštěvník šířil do počítačů v jednotlivých nemocnicích. Kdyby tedy lékaři využívali systémy NHS nadále, nevědomky by zavirovali své počítače.

Kdy budou systémy jednotlivých nemocnic opět funkční, není v tuto chvíli jasné. Pracovníci NHS nicméně podle vlastních slov usilovně pracují na zjednání nápravy.


Adobe, Microsoft i Cisco. Podniky záplatují nebezpečné trhliny jako o život

12.5.2017 Novinky/Bezpečnost Zranitelnosti
Hned několik bezpečnostních chyb se objevilo v produktech společnosti Microsoft. Kromě amerického softwarového gigantu vydaly záplaty pro objevené trhliny také společnosti Adobe či Cisco.
Na vydání záplat hned u několika hojně používaných softwarových produktů upozornil Národní bezpečnostní tým CSIRT.CZ, který je provozován sdružením CZ.NIC.

Největšího počtu uživatelů se patrně týkají záplaty, které byly vydány pro programy amerického softwarového gigantu. „Společnost Microsoft vydala pravidelný měsíční balík aktualizací. Jsou zde záplaty zranitelností serverových i klientských operačních systémů, pro webový prohlížeč Internet Explorer, Microsoft .NET Framework a další,“ uvedl Pavel Bašta, bezpečnostní analytik CSIRT.CZ.

Kritická chyba ve Windows Defenderu
„Kromě pravidelného balíku vydal Microsoft navíc i kritickou bezpečnostní aktualizaci opravující chybu ve Windows Defenderu umožňující vzdálenému útočníkovi spustit libovolný kód s oprávněním LocalSystem,“ konstatoval Bašta.

To zjednodušeně znamená, že kvůli chybě mohou počítačoví piráti propašovat do napadeného systému prakticky libovolný škodlivý kód. Snadno tak mohou klidně i převzít kontrolu nad celým počítačem, což v podstatě platí i pro všechny další kritické trhliny.

Opravy bezpečnostních chyb se týkají také společností Cisco a Adobe. „Společnost Cisco vydala bezpečnostní aktualizace řešící bezpečnostní zranitelnosti v softwaru IOS a IOS XE. Další bezpečnostní aktualizace vydala i společnost Adobe. Zveřejněné záplaty řeší zranitelnosti v Adobe Flash Playeru a Adobe Experience Manageru,“ prohlásil bezpečnostní expert.

S instalací neotálet
Právě zmiňovaný Flash Player používá na celém světě několik stovek miliónů lidí. Kvůli velké popularitě se na něj zaměřují kybernetičtí nájezdníci pravidelně. Podle analýzy bezpečnostní společnosti Record Future cílilo osm z deseti nejrozšířenějších hrozeb v roce 2015 právě na tento přehrávač videí.

S instalací aktualizace Flash playeru – ale zároveň také softwarových produktů dalších společností – by tak uživatelé neměli otálet. „Ve všech případů mohlo zneužití těchto chyb umožnit v nejzazším případě útočníkovi převzít kontrolu nad postiženým systémem,“ uzavřel Bašta.


Pošlete peníze, mailuje falešný ředitel. Komerční banka varuje před vlnou podvodných útoků

12.5.207 Novinky/Bezpečnost Phishing

Komerční banka v pátek varovala před novou vlnou podvodných útoků označovaných jako „falešný prezident“, které se ve zvýšené míře šíří v okolních zemích i Česku. Podvodníci se vydávají napodobením firemního emailu za vysoce postavené představitele firmy a nechávají si poslat peníze do daňových rájů.
Při útocích „falešný prezident“ (člen vrcholného vedení firmy) kontaktuje pracovníka, který má přístup k firemním financím a patřičná oprávnění provádět bankovní převody. S odvoláním na tajný projekt ve vazbě na nákup, akvizici v dceřiné či sesterské společnosti jej požádá, aby provedl naléhavou a velmi důvěrnou platbu, která obvykle směřuje do některého z daňových rájů. Často pak následuje e-mail, který se tváří jako e-mail odeslaný z firemní adresy, který shrnuje instrukce.

Tento typ útoku je podle banky velmi nebezpečný, jelikož podvodníci jsou často schopní sledovat elektronickou komunikaci ve firmě a připravit na základě zjištěných informací scénář, který nemusí být zprvu podezřelý. Veškerá většinou mailová komunikace se jeví příjemci jako komunikace s vedením firmy.

Jednoduchý ale účinný trik
„V současné době pozorujeme zvýšený výskyt těchto podvodných jednání v České republice,” řekl Tomáš Doležal, manažer operačních rizik KB. Banka, která patří do skupiny francouzské Société Générale zaznamenala také zvýšený výskyt uvedených podvodných jednání v okolních zemích. Byla cílena zejména na francouzské nadnárodní společnosti a jejich pobočky a dceřiné společnosti.

Uvedený scénář podvodů je sice jednoduchý, ale překvapivě účinný, varuje banka. Doporučuje proto seznámit s touto vlnou útoků nejen zaměstnance, kteří pracují ve finančním úseku a mají dostatečná oprávnění k autorizaci plateb, ale i pracovníky, kteří by mohli být osloveni, například s cílem vylákání citlivých informací.


Neznámý hacker ve jménu kanceláře slovenské sněmovny žádá peníze

12.5.207 Novinky/Bezpečnost Hacking
Neznámý hacker patrně získal kontrolu nad e-mailem šéfa kanceláře slovenského parlamentu Daniela Guspana a jeho jménem žádá oslovené partnery z EU o peníze. Vyplývá to ze čtvrtečního oznámení kanceláře slovenské sněmovny.
"Jeho jménem a pod jeho oficiální adresou komunikuje neznámá osoba se všemi partnery, kancelářemi parlamentů všech členských zemí Evropské unie, jakož i řídícími pracovníky odpovědnými za oblast mezinárodní spolupráce v rámci parlamentů Evropské unie," informovala kancelář slovenské Národní rady.

V prohlášení také oznámila, že celou situaci považuje za útok na bezpečný chod parlamentu a snahu o mezinárodní diskreditaci Daniela Guspana. Kancelář uvedla, že vzniklou situaci ohledně e-mailů začala řešit s policií i s parlamenty členských států EU.

Guspan se dostal do centra pozornosti v dubnu, kdy vyšlo najevo, že vydal nařízení, na jehož základě pracovníci parlamentu museli otevírat vybrané dopisy adresované poslancům a některé zásilky jim ani nepředat. Opozice to označila za porušení ústavou chráněného listovního tajemství. Když se aféra dostala na světlo, Guspan platnost kontroverzních částí nařízení pozastavil.


Trump chce posílit kybernetickou bezpečnost USA

12.5.207 Novinky/Bezpečnost BigBrother
Prezident Spojených států Donald Trump ve čtvrtek podepsal exekutivní nařízení, které má kvůli hrozbě kybernetických útoků posílit a modernizovat americkou počítačovou síť. Oznámil to prezidentův poradce pro otázky národní bezpečnosti Thomas Bossert. Agentura Reuters poznamenala, že Trump tímto rozhodnutím v kybernetické oblasti, kterou označil za jednu ze svých priorit, učinil první významný krok.
Opatření, které dekret předpokládá, podle Bosserta přispějí k americké bezpečnosti. Dokument mimo jiné přenáší odpovědnost za vyhodnocování rizik a jejich předcházení na představitele vládních agentur.

Předpokládá se, že v reakci na dekret čeká federální vládu podrobná prověrka, která by měla odhalit americké slabiny v digitální sféře. Americká média označují vládní sítě za propustné, neboť do nich v minulosti opakovaně pronikli hackeři či zloději dat.

Portál Politico s odvoláním na své zdroje uvedl, že výraznou roli na modernizaci federální kybernetické infrastruktury bude mít Jared Kushner, který je Trumpovým poradcem a manželem jeho dcery Ivanky.


HP přibaluje do svých notebooků keylogger. Ukrývá se v audio ovladačích
12.5.207 Živě.cz Viry

Švýcarská bezpečnostní skupina Modzero přišla se zprávou, podle níž výrobce notebooků HP dodává ovladače obsahující keylogger – aplikaci, která zachycuje a ukládá veškeré stisknuté klávesy. Ačkoliv samozřejmě nejde o spyware, jde o značně nezodpovědnou vlastnost, která je bezpečnostním rizikem.

Útočníci hacknuli server oblíbené aplikace pro macOS. Získali přihlašovací údaje včetně správců hesel
Keylogger je zabudován do balíku se zvukovými ovladači, které mají mimo jiné na starost také funkčnost speciálních multimediálních kláves. Právě jejich stisknutí aplikace hlídá a kvůli tomu do textového souboru ukládá veškeré stisknuté klávesy. Mezi nimi samozřejmě můžou být i hesla či další citlivé údaje.

Soubor MicTray.log se nachází ve složce C:\Users\Public\ a je přepsán při každém spuštění systému. Pokud ale uživatel používá pravidelné zálohování systémového disku, může nyní ve svých zálohách objevit i několikaletou historii všech stisknutých kláves. Asi není třeba dodávat, že pro případné útočníky jsou takové logy zlatým dolem.

Hackeři využili chyby v mobilní sítí O2 Telefónica, vybrali lidem bankovní účty
Pokud patříte mezi majitele některého z následujících notebooků, zkontrolujte si, zda se na vašem disku nachází výše zmíněný soubor a zda v běžících procesech objevíte i položku MicTray64.exe. Pokud ano, nejjednodušší cestou, jak zabránit ukládání záznamů o stisknutých klávesách, bude její přejmenování. Bohužel není vyloučeno, že po tomto zásahu nebudou korektně fungovat všechny speciální klávesy. HP ani společnost Conexant Systém, která za ovladači stojí na zprávy bezpečnostních analytiků z Modzero nereagovala, a tak zatím není jasné, jak rychle a zda se postarají o nápravu.

Procesory Intel mají už 7 let chybu, která umožňuje vzdálené ovládnutí celého počítače
Notebooky a počítače, kde se s potenciálně nebezpečnými ovladači můžete setkat:

HP EliteBook 820 G3
HP EliteBook 828 G3
HP EliteBook 840 G3
HP EliteBook 848 G3
HP EliteBook 850 G3
HP ProBook 640 G2
HP ProBook 650 G2
HP ProBook 645 G2
HP ProBook 655 G2
HP ProBook 450 G3
HP ProBook 430 G3
HP ProBook 440 G3
HP ProBook 446 G3
HP ProBook 470 G3
HP ProBook 455 G3
HP EliteBook 725 G3
HP EliteBook 745 G3
HP EliteBook 755 G3
HP EliteBook 1030 G1
HP ZBook 15u G3
HP Elite x2 1012 G1 Tablet
HP Elite x2 1012 G1
HP Elite x2 1012 G1
HP EliteBook Folio 1040 G3
HP ZBook 17 G3
HP ZBook 15 G3
HP ZBook Studio
HP EliteBook Folio G1


Microsoft musel opravit desítky chyb ve svých produktech

12.5.2017 SecurityWorld Zranitelnosti
Microsoft v úterý vydal sadu bezpečnostních patchů pro celkem pětapadesát chyb v hned několika svých produktech. Minimálně tři z nich už přitom byly v minulosti zneužity, patnáct těchto chyb pak společnost kategorizovala jako „kritické“.

Chyby se nacházely jak ve Windows, tak v Microsoft Office, prohlížečích Edge i Explorer, ale také v enginu paradoxně určenému na ochranu proti malwaru. Vzhledem k závažnosti chyb by měl mít pro uživatele aktuální balíček záplat jasnou prioritu.

Mezi chybami odborníci vypichují ty s kódovým označením CVE-2017-0261 a CVE-2017-0262 nalezené v procesu, jakým Microsoft Office zpracovává obrázkové soubory s příponou EPS. Od března z ní prý těžila zatím neidentifikovaná skupina finančně motivovaných kyberzločinců a také ruská hackerská skupina Turla, jež v minulosti proslula útoky na ty nejvyšší instituce, jako jsou vládní orgány, zpravodajské agentury, ambasády nebo firemní korporace.

Pozadu prý nezůstávali ani krajané APT28, kteří jsou dle některých spekulací navázáni na ruskou zpravodajskou službu GRU. Útočníci obětem rozesílali wordovské dokumenty obsahující škodlivý EPS obsah, skrz který se dokázali dostat k dalším datům v napadeném počítači.

Microsoft však podotýká, že ač technicky byla chyba CVE-2017-0262 záplatována až tento týden, ti, kteří si stáhnuli dubnové aktualizace Microsoft Office, už před ní byli chráněni.

Na nutnost aktualizovat Explorer a Edge pak společnost upozorňuje proto, že nové patche zabraňují napadení počítače skrz speciálně vytvořené škodlivé reklamy na pochybných webových stránkách. Veřejně se však zatím ví o zneužití této chyby v Exploreru, případ zneužití v Edge není znám.

Updaty pro Windows se pak týkají několika chyb v protokolu SMB, určenému ke sdílení souborů v rámci operačního systému.


Spam v prvním čtvrtletí 2017: Největší botnet 5000krát menší

10.5.2017 SecurityWorld Spam
Největší spam botnet na světě, Necurs, podstatně snížil svou aktivitu. Vyplývá to z dat zprávy „Spam a phishing v prvním čtvrtletí 2017“ společnosti Kaspersky Lab. Zatímco v prosinci 2016 detekovala řešení Kaspersky Lab více než 35 milionů podvodných e-mailů, v březnu tohoto roku jich bylo pouhých sedm tisíc.

V roce 2016 analytici Kaspersky Lab zaznamenali prudký nárůst škodlivých spamových příloh obsahujících především šifrátory. Velká část těchto útoků pocházela od botnetu Necurs považovaného v současnosti za největšího spamového botneta na světě. Tato síť nicméně ke konci roku 2016 v podstatě přestala fungovat. V průběhu téměř celého prvního čtvrtletí tohoto roku se její aktivita držela na velmi nízké úrovni.

Zdá se, že se kyberzločinci zalekli zvýšené pozornosti, která je v současnosti šifrátorům věnována, a proto upustili od hromadného rozesílání e-mailů. Tento krok ale neznamená, že síť přestane fungovat.

V průběhu prvních tří měsíců tohoto roku se objevil nový trend v rozesílání nevyžádaných e‑mailů. Jeho cílem je různými způsoby znesnadnit detekci spamu. Kyberzločinci k tomu mimo jiné využívají rozesílání malwaru v zaheslovaných souborech. Oběť se snaží přinutit k otevření a uložení přílohy hned po jejím obdržení.

V takto podvržených e-mailech se vydávají za známé prodejce, přičemž uživatele nabádají k ověření platby nebo jim slibují finanční odměnu. Často také posílají e-maily jménem různých malých a středních společností, jejichž věrohodnost podporují kontaktními údaji či podpisy.

Jakmile oběť soubor otevře, aktivuje se škodlivý skript, který do počítače stáhne malware. Obsah malwaru je různý, zahrnuje zpravidla ransomware, spyware, backdoors nebo novou verzi známého trojského koně Zeus.

Moderní bezpečnostní řešení pro ochranu před e-mailovým spamem dokáží uživatele účinně chránit před spamem šířeným e-maily. Z toho důvodu se zločinci snaží najít nové kanály, díky nimž by tyto bariéry obešli. Nově se tak zaměřují na messengery a sociální sítě, jejichž prostřednictvím své podvodné nabídky šíří.

Obětem většinou přijde na mail upozornění, že jim byla doručena soukromá zpráva. V takových případech není předmět e-mailu nijak podezřelý, na rozdíl od obvyklých spamů. Spam je tak možné odhalit pouze analýzou těla e-mailu, což vyžaduje daleko větší úsilí. Detekce může být o to složitější, pokud zločinci vystupují jménem známé firmy, kterou oběť považuje za důvěryhodnou.


Odemčení zabijákova iPhonu stálo přes 22 miliónů korun, přiznala senátorka

9.5.2017 Novinky/Bezpečnost Apple
Americký Federální úřad pro vyšetřování (FBI) zaplatil za odemčení iPhonu teroristy Syeda Farooka ze San Bernardina 900 tisíc dolarů, tedy v přepočtu něco málo přes 22 miliónů korun. Po uplynutí více než roku od celé kauzy, to potvrdila americká senátorka Dianne Feinsteinová.
Zástupci FBI doposud oficiálně nepotvrdili, jak vysokou částku zaplatili bezpečnostním expertům, aby se do smartphonu s logem nakousnutého jablka dostali. Šéf FBI James Comey se pouze nechal slyšet, že „opravdu hodně“.

„Je to víc, než si zvládnu u FBI vydělat do konce svého funkčního období. Tedy za sedm let a čtyři měsíce,“ přiblížil Comey.

Tehdy se spekulovalo, že vyšetřovatelé za odblokování iPhonu zaplatili zhruba 1,3 miliónu dolarů, podle tehdejšího kurzu více než 31 miliónů korun. Senátorka však nyní uvedla celou věc na pravou míru, když přiznala, že částka byla téměř o třetinu nižší.

Dokážou odemknout i další iPhony
I tak je ale částka 900 tisíc dolarů patrně jedna z největších, kterou FBI v podobných kauzách utratila. Suma byla tak vysoká, neboť vyšetřovatelé získali přístup nejen do zabijákova smartphonu, ale také do starších chytrých telefonů s logem nakousnutého jablka – získali univerzální nástroj k odemykání iPhonu 5C a starších modelů.

Jaká společnost pomohla vyšetřovatelům se do iPhonu dostat, oficiálně oznámeno nebylo. Podle dřívějších informací je to však práce společnosti Cellebrite se sídlem v Izraeli. Firma britské stanici BBC potvrdila, že s americkými vyšetřovateli spolupracuje, ale více nesdělila. Na svých internetových stránkách nicméně Cellebrite prohlašuje, že jeden z jejích nástrojů umí dekódovat a extrahovat data z iPhonu 5C. 

„Máme nástroj, který však nepracuje na všech iPhonech,“ prohlásil již dříve Comey. Ani tehdy však žádné bližší informace nechtěl prozradit.

Spor o „zadní vrátka”
Vyšetřovatelé z FBI se do uzamčeného iPhonu islámského radikála nemohli dostat dlouhé dva měsíce. Jeho iPhone 5C byl nastaven tak, aby se po zadání deseti nesprávných kódů automaticky vymazal, s čímž si bezpečnostní experti z FBI původně nedokázali poradit.

Soud proto Applu v únoru nařídil, aby tuto funkci vypnula, což však není technicky možné. Proto vyšetřovatelé chtěli po americkém softwarovém gigantu vytvořit v operačním systému iOS „zadní vrátka“, což však vedení Applu odmítalo.

Vyšetřovatelům z FBI se nakonec podařilo do uzamčeného zařízení dostat právě díky nástroji vytvořenému na míru, který byl popsán výše. 

Útok v San Bernardinu byl nejtragičtějším od teroristických útoků v zemi v září 2001. Zradikalizovaný muslim Syed Farook a jeho žena Tashfeen Maliková tam na počátku prosince zastřelili 14 lidí. Později byli zabiti při přestřelce s policií.


Útočníci hacknuli server oblíbené aplikace pro macOS. Získali přihlašovací údaje včetně správců hesel
9.5.2017 Živě.cz Apple

Pravděpodobně nejoblíbenějším nástrojem pro konverzi videa pro macOS je Handbrake. Ten se minulý týden stal terčem hackerů, kteří kompromitovali jeden ze serverů, který sloužil pro distribuci aplikace. Místo ní si uživatelé několik dní stahovali extrémně nebezpečný malware.

Hackeři se dostali k jednomu z dvojice serverů, které sloužily jako tzv. mirrory pro stažení programu a distribuci aktualizací existujícím uživatelům. V úterý zaměnili legitimní instalační soubory za malware, který je nazýván jako Proton, který navíc nebyl detekován žádným z dostupných antivirů.

Po spuštění aplikace (v domnění, že jde o instalaci Handbrake) si malware vyžádal zadání systémového hesla, které okamžitě společně s uživatelským jménem putovalo k útočníkům. Ti díky tomu získali přístup k většině obsahu uživatelského účtu, a především klíčence Keychain, kam macOS ukládá hesla a další údaje. Útočníci kromě hesel z Keychain vytěžili uložená data pro automatické vyplňování formulářů nebo hlavní hesla pro správce údajů jako je 1Password.

Klepněte pro větší obrázek

Handbrake ve verzi pro Windows

Kromě toho, že hackeři nechali stahovat uživatele malware místo instalačních souborů, rovněž jej distribuovali pomocí systému aktualizací. Ty totiž vývojáři neopatřili certifikátem, který by zamezoval instalaci neautorizovaných updatů a útočníci místo aktualizace aplikace rozeslali uživatelům malware.

Kensington má snímač otisků prstů do USB, který si rozumí s Windows Hello. Přihlásí vás i do mailu či na Facebook
Uživatelé, kteří v inkriminovaném období stahovali Handrake mají padesátiprocentní šanci, že je jejich stroj infikován. Mohou zkontrolovat kontrolní součet instalačního souboru, který nesmí odpovídat hodnotě 0935a43ca90c6c419a49e4f8f1d75e68cd70b274, za tou se skrývá malware Proton. Ten je podle webu Arstechnica mocným nástrojem, který se v rámci tržišť v Toru prodává za cenu kolem 63 tisíc dolarů, tedy asi 1,5 milionu korun.


Důmyslný phishing zaútočil na uživatele Google Docs

9.5.2017 SecurityWorld Phishing
Google potvrdil, že zneškodnil phishingový email, který byl doručen zhruba milionu jeho uživatelů.

Podvodný email se tvářil jako zpráva z Google Docs, přičemž uživatelé, kteří se jí nechali oklamat, se vystavili riziku, že hackeři proniknou do jejich emailových účtů. Dle vyjádření Googlu se mu šíření emailu podařilo zastavit během jediné hodiny, i tak však byl doručen přibližně milionu lidí, což je podle Googlu méně než 0,1 % registrovaných uživatelů.

„Naše vyšetřování ukázalo, že hackeři se dostali ke kontaktním informacím postižených uživatelů, další data však ohrožena nebyla,“ uvádí Google. „Uživatelé tak nemusí podnikat žádné další kroky. Ti, kteří by přece jen chtěli zkontrolovat aplikace třetích stran, které mají se svým účtem propojené, tak mohou učinit prostřednictvím Google Security Checkup.“

Zpráva odeslaná z adresy hhhhhhhhhhhhhhhh@mailinator.com měla podobu pozvánky k editaci googlovského dokumentu. V případě, že ji uživatel otevřel, byl přesměrován na webovou stránku, kde byl službou tvářící se jako Google Docs požádán o přístup k emailovému účtu. Jestliže jej uživatel poskytl, sdílel jej tak s hackery, kteří se k účtu mohli přihlásit, respektive rozšířit malware na další kontakty z účtu.

Podle odborníků se jednalo o sofistikovanější útok, než jaký představuje běžný phishing, jelikož hackerům se podařilo vydávat za vysoce renomovanou společnost, čehož dosáhli vytvořením aplikace simulující postupy Googlu.


Hackeři využili chyby v mobilní sítí O2 Telefónica, získali ověřovací SMS a vybrali lidem bankovní účty
8.5.2017 Živě.cz Mobilní
Hackeři využili dlouho známou chybu mobilních sítí k získání SMS
Útok proběhl na německé mobilní síti O2 Telefónica
Po získání údajů k přihlášení do internetového bankovnictví už dokázali „vyluxovat“ bankovní účty

Hackerům se podařilo zneužít chyby v technologii SS7, kterou používají mobilní sítě ke komunikaci a získali přístup k SMS napadených uživatelů. Ve spojení s e-mailovým phishingem tak byli schopni za posledních několik měsíců v rámci německé mobilní sítě O2 Telefónica získat ověřovací SMS pro přihlášení i provedení platby a doslova vysát peníze z bankovních účtů napadených uživatelů. Kvůli přesměrování neměl daný majitel účtu celou dobu o ničem ani ponětí.

Stačí telefonní číslo a hacker vás bude odposlouchávat lépe než NSA
Je celkem překvapením, že nebezpečná zneužitelná chyba (je jich víc), která se nachází v komunikační technologii SS7 (Signal System No. 7), kterou mezi sebou ke komunikaci používají telefonní operátoři po celém světě, je už tři roky zveřejněná a stále je neopravená. Důvodem je především to, že celý komunikační systém, na kterém se sítě propojují, vychází z hodně zastaralých technologií (SS7 je z devadesátých let minulého století), které se upgradují jen velmi pozvolna a opravit chyby není jednoduché.

Problém ale je, že už začíná přituhovat. Ve starším článku jsme informovali o tom, že bylo možné pomocí jedné z chyb odposlouchávat a sledovat polohu takřka jakéhokoli telefonu – stačí znát číslo. Jak ale ukázaly čerstvé případy v Německu, chyby lze využít i pro získání peněz z cizího bankovního účtu.

Jak probíhal útok

Hackeři využili k získání peněz z bankovního účtu několik „ověřených“ metod, které fungují i pro jiné případy. Cílem bylo získat dvě věci – přihlašovací údaje k elektronickému bankovnictví a telefonní číslo.

K tomu využili dvě metody – klasický malware nainstalovaný na počítač, který získal přístupové údaje k bankovnictví například skrze snímání stisknutých kláves a také pomocí phishingových e-mailů. Ty lze velmi dobře použít nejen pro získání telefonního čísla napadeného (typicky „Využijte akce xxx zadejte nám telefonní číslo a pošleme Vám xxx“ a tak podobně), tak i jeho přihlašovacích údajů třeba přes podvrženou stránku, která se vydává za skutečnou banku.

Jakmile měli hackeři obě části, mohli využít chyby v SS7, přesměrovat SMS uživatele a přihlásit se k bankovnímu účtu i přes to, že jste měli zapnuté dvoufaktorové ověřování. Na telefon napadeného žádné SMS nechodily, takže celou dobu vůbec nevěděl, že se něco děje. Hackerům přišel ověřovací kód pro přihlášení k internetovému bankovnictví a jakmile byli přihlášení, mohli začít odesílat peníze v dostupných dávkách, obvykle dle denního omezení daného bankovního účtu.

Peníze se poté přesunuly na připravené speciální bankovní účty, ze kterých poté probíhá další přesun, aby bylo možné peníze „vyprat“ a nějakou formou vybrat tak, aby to bylo nedohledatelné. Obvykle tento proces zajišťují jiní „specialisté“ než samotní hackeři, kteří řeší jen samotný útok a odeslání peněz.

Buďte na pozoru

Jak je vidět, dvoufaktorové ověřování rozhodně není všespásné a proto je nutné i s ním dodržovat všechna bezpečnostní pravidla, která minimalizují nebezpečí podobného útoku. Některé banky už podporují ověřování v rámci jejich mobilní aplikace, kterou máte nainstalovanou v mobilním telefonu. A pokud do mobilního telefonu neinstalujete aplikace mimo oficiální obchody (App Store, Google Play) a máte nejnovější verzi operačního systému, měli byste být v relativním bezpečí proti útoku.

Klepněte pro větší obrázek

V případě e-mailů a podvržených stránek je nutné dávat pozor, na co klikáte a zda údaje zadáváte do pravé webové stránky vaší banky – zelený pruh s „https“ v horní řádce by měl být samozřejmostí. Pokud kdokoli, kdo se vydává, že je z banky či podobných institucí a volá vám, nikdy ale opravdu nikdy mu nesdělujte své osobní údaje. Pouze pokud voláte vy do banky či jinam a víte, na jaké číslo voláte a s kým jste ve spojení.


Za hackerským útokem na Macrona je možná Rusko, tvrdí Wikileaks

7.5.2017 Novinky/Bezpečnost BigBrother
Portál WikiLeaks, který se zaměřuje na zveřejňování tajných informací, naznačil možnou ruskou stopu za únikem dokumentů ze štábu francouzského prezidentského kandidáta Emmanuela Macrona. V metadatech k uniklým materiálům se podle serveru objevuje jméno pracovníka bezpečnostní společnosti spojené s ruskou vládou. Ukradené e-maily, snímky, faktury a další dokumenty se objevily na internetu dva dny před nedělním rozhodujícím kolem francouzských prezidentských voleb.
WikiLeaks v noci na neděli na twitteru zveřejnil tabulku s metadaty, v nichž je devětkrát uvedeno v azbuce jméno Georgij Petrovič Roška. Podle serveru jde o zaměstnance společnosti Evrika, která smluvně pracuje pro ruskou vládu.

Informaci zaznamenala ruská agentura RIA Novosti, podle níž WikiLeaks neupřesnil, o jakou společnost Evrika konkrétně jde. Nicméně WikiLeaks v následujícím tweetu s odkazem na článek portálu lenizdat.ru dodal, že se jedná o společnost, která získala od ruské tajné služby FSB licence k činnosti zaměřené na ochranu státního tajemství.


WikiLeaks ✔ @wikileaks
#MacronLeaks: name of employee for Russian govt security contractor Evrika appears 9 times in metadata for "xls_cendric.rar" leak archive
11:44 PM - 6 May 2017
2,238 2,238 Retweets 2,093 2,093 likes
RIA Novosti k tomu poznamenala, že mezi ruskými firmami v oblasti IT je skutečně společnost Evrika, která na oficiálním webu uvádí své stálé klienty. Jsou mezi nimi například ruská ministerstva zahraničí a zdravotnictví. Reakci společnosti se zatím získat nepodařilo.

Na internetu se v pátek večer objevil velký balík dokumentů patřících štábu prezidentského kandidáta Macrona, jehož volebním protivníkem je nacionalistka Marine Le Penová. Zástupci Macronovy kampaně následně potvrdili, že jde o výsledek masivního a koordinovaného hackerského útoku, jehož obětí se stali před několika týdny. 

Kvůli zákazu politické agitace, který platí s ukončením kampaně od půlnoci z pátku na neděli až do konce hlasování v neděli ve 20:00, zakázaly úřady sdělovacím prostředkům zveřejňovat podrobnosti o uniklých dokumentech.


Podvodníci se snaží napálit klienty Komerční banky

5.5.2017 Novinky/Bezpečnost Phishing
Na pozoru by se měli mít uživatelé internetového bankovnictví od Komerční banky. Zaměřili se na ně totiž počítačoví piráti, kteří se z nich prostřednictvím nevyžádaných e-mailů snaží vylákat jejich přihlašovací údaje. Před novým podvodem varovali zástupci banky.
Internetové bankovnictví Komerční banky
„V současné době pozorujeme zvýšený výskyt podvodných e‑mailů,“ uvedli zástupci Komerční banky.

Podle nich se podvodníci snaží v příjemcích podvodné zprávy vzbudit dojem, že jde o oficiální komunikaci banky. „Útočník vystupuje jménem ředitele společnosti a kontaktuje pracovníka firmy, který má přístup k firemním financím a oprávnění provádět bankovní převody,“ přiblížili jednání počítačových pirátů bankéři.

„Nejprve se dotáže na stav účtu a pak předá pokyn k urgentnímu proplacení částky do zahraničí. Na závěr se ujistí o výsledku zpracování. V e‑mailu je použita nekorektní čeština a může být použit popis platby Administrativní seminár,“ konstatovali pracovníci banky.

Podobné e-maily raději ignorovat
Podvod tedy pozornější uživatelé mohou rozpoznat na první pohled, jednoduše podle toho, že není napsán správně česky. Není nicméně vyloučeno, že se v další vlně objeví podvodné zprávy, ve kterých již budou mít kyberzločinci všechny chyby vychytané.

Vhodné je tak všechny podobné nabídky ignorovat, a pokud si uživatel není jistý, tak raději svou banku kontaktovat napřímo – buď osobně, nebo telefonicky.

„V případě, že jste podezřelý e‑mail obdrželi, neprodleně kontaktujte naši telefonní linku internetového bankovnictví +420 955 551 552 nebo nám napište na mojebanka@kb.cz,“ uzavřeli zástupci banky.

Podobně by měli uživatelé postupovat také v případě, že jim podezřelá zpráva přijde pod hlavičkou úplně jiné banky či nějaké finanční instituce.


Gmail čelil největšímu hackerskému útoku. V ohrožení byla miliarda účtů

4.5.2017 Novinky/Bezpečnost Phishing
V noci ze středy na čtvrtek čelila e-mailová služba Gmail, kterou provozuje společnost Google, obřímu hackerskému útoku. Počítačoví piráti tak mohli získat podle serveru NBC News přístup až k miliardě uživatelských účtů, napadnout se jich ale nakonec podařilo zhruba jen milión. V každém případě jde o největší zaznamenaný hackerský útok na Gmail v celé historii této služby.

Zatím neznámým útočníkům se podařilo obejít prakticky všechny důležité bezpečnostní systémy společnosti Google. Díky tomu mohli do služby Google Docs, která slouží k práci s textovými a dalšími dokumenty, propašovat škodlivý virus.

Právě v tom byl kámen celého úrazu. Uživatelé se tedy mohli snadno nakazit pouze tím, že rozklikli na první pohled neškodný dokument, jenž jim přišel do jejich schránky. Následně byli uživatelé vyzváni k zadání přihlašovacích údajů. To přitom není nijak neobvyklé, protože služby Googlu skutečně zadání hesel v některých konkrétních krocích vyžadují.

Pokud však uživatelé své přihlašovací údaje vyplnili, předali počítačovým pirátům úplnou kontrolu nad celým svým účtem.

22h
Zeynep Tufekci ✔ @zeynep
Phishing (or malware) Google Doc links that appear to come from people you may know are going around. DELETE THE EMAIL. DON'T CLICK. pic.twitter.com/fSZcS7ljhu
Follow
Zach Latta @zachlatta
@zeynep Just got this as well. Super sophisticated. pic.twitter.com/l6c1ljSFIX
8:52 PM - 3 May 2017

2,043 2,043 Retweets 1,303 1,303 likes
Takto vypadal podvodný e-mail s infikovaným dokumentem.
Mohli číst i mazat e-maily
Ti pak mohli snadno číst cizí poštu, mazat obsah elektronických poštovních schránek nebo odesílat jakékoliv e-maily pod jménem napadeného účtu. A právě poslední možnost kyberzločinci podle prvních zpráv využívali nejčastěji.

Prostřednictvím napadených účtů a kontaktů v nich uložených totiž rozesílali infikované dokumenty na další a další účty. Mohlo se tedy klidně stát, že infikovaný soubor přišel uživateli od jeho skutečného známého. I proto se škodlivý kód v prostředí Gmailu tak snadno šířil – uživatelé jednoduše nerozpoznali, že jde o podvod.

Touto cestou se podle vyjádření Googlu podařilo počítačovým pirátům nakonec napadnout „méně než 0,1 procenta uživatelských účtů“. S ohledem na popularitu Gmailu jde však zhruba o milión poštovních schránek, podotkl server NBC News.

Je však nutné zdůraznit, že podvodné e-maily se šířily výhradně v anglickém jazyce. Je tedy krajně nepravděpodobné, že by se touto cestou mohli nechat napálit i tuzemští uživatelé. I tak je vhodné zkontrolovat v nastavení svého účtu přístupy, odkud se uživatelé ke svému Gmailu připojovali. Právě tak zjistí, zda k jejich schránce nepřistupoval někdo jiný.

Follow
St George Police @sgcitypubsafety
Do you Goole? Or use GMAIL? Watch out for this scam & spread the word (not the virus!) https://www.reddit.com/r/google/comments/692cr4/new_google_docs_phishing_scam_almost_undetectable/ …
10:50 PM - 3 May 2017
Photo published for New Google Docs phishing scam, almost undetectable • r/google
New Google Docs phishing scam, almost undetectable • r/google
I received a phishing email today, and very nearly fell for it. I'll go through the steps here: 1. I [received an...
reddit.com
2 2 Retweets 3 3 likes
Před podvodnými e-maily varovala i americká policie.
Raději změnit heslo
Googlu se podařilo útok zastavit až po několika hodinách po nahlášení celého incidentu. Teprve pak byly účty, prostřednictvím kterých byly podvodné e-maily rozesílány, zablokovány.

„Zatímco kontaktní informace byly v této kampani zneužity, naše vyšetřování ukázalo, že žádná další data nebyla hackerům vystavena,“ uvedl mluvčí Googlu s tím, že podnik již pracuje na takových krocích, aby hackeři nemohli podobnou aktivitu zopakovat.

Uživatelé nicméně nezkazí nic tím, pokud si z preventivních důvodů změní své heslo. A platí to i v případě, že stejné přihlašovací údaje používají na dalších internetových službách.


Se Shodanem proti malwaru

4.5.2017 SecurityWorld Viry
Nový nástroj Malware Hunter, spolupracující s vyhledávacím enginem Shodan, už odhalil téměř šest tisíc zákeřných RAT serverů.

Společnost Recorded Future představila nový nástroj pro boj s malwarem, určený především do podnikového prostředí. Na jeho vývoji spolupracovala s autory Shodanu, vyhledávacího enginu určeného pro vyhledávání nikoliv stránek, ale počítačů a dalších elektronických zařízení připojených k internetu.

Jejich společné dílo má prostý název Malware Hunter. Jeho úkolem je nepřetržité skenování sítě a nacházení kontrolních bodů spjatých s více než desítkou různých RAT trojských koňů, včetně programů Gh0st RAT, DarkComet, njRAT, ZeroAccess nebo XtremeRAT. Ty všechny spadají do kategorie komerčních malwarových nástrojů sehnatelných za peníze na pochybných hackerských fórech.

K odhalení jejich centrálních uzlů Malware Hunter navazuje spojení s veřejnými IP adresami a odesílá data tvářící se jako ta, která by vzdálenému serveru odesílal trojan. Zatím se mu takto podařilo nalézt více než 5700 RAT serverů, z nichž se víc než 4000 nacházelo na území Spojených států. Nejrozšířenější mezi nimi byl Gh0st RAT, malware čínského původu používaný od roku 2009.

Výstupem práce Malware Hunteru je v reálném čase aktualizovaný seznam centrálních uzlů malwaru, s nímž mohou bezpečnostní, ale i jiné firmy či nezávislí vývojáři pracovat a škodlivý přenos dat blokovat. Tím tak brání útočníkům ve zneužívání zasažených počítačů nebo kradení dat. Teoreticky jde o rychlejší řešení, než čekat na to, až bezpečnostní společnosti odhalí nové typy nebezpečných RAT programů a škodné servery ve svém sofwaru zablokují.


Trojský kůň Chromex se Českem šíří jako lavina, varovali bezpečnostní odborníci

3.5.2017 Novinky/Bezpečnost Viry
Doslova jako lavina se Českem šíří škodlivý kód Chromex. Tento trojský kůň představoval v dubnu každou pátou zachycenou hrozbu. Upozornili na to bezpečnostní odborníci z antivirové společnosti Eset.
Trojskému koni Chromex, jehož celý název zní JS/Chromex.Submelius, patří aktuálně druhá příčka v žebříčku nejrozšířenějších počítačových hrozeb. „Uživatel na něj může narazit například při sledování filmů nebo seriálů prostřednictvím některé neplacené a neoficiální streamovací stránky,“ uvedl Miroslav Dvořák, technický ředitel společnosti Eset.

„Ty totiž pro spuštění videa vyžadují několikeré kliknutí na náhled videa, které otevírá nová okna prohlížeče a zobrazuje v nich reklamy. Tyto weby v některých případech fungují na doménách .cz a .sk a obsahují nabídky instalace škodlivých pluginů,“ doplnil Dvořák.

Uživatel vpustí záškodníka sám do PC
Chromex může přesměrovat prohlížeč na konkrétní adresu URL se škodlivým softwarem. Ten je obvykle vložen do HTML a může zobrazovat falešná chybová hlášení typu „Chcete-li pokračovat v práci s prohlížečem, měli byste si nainstalovat rozšíření“.

Pokud uživatelé budou na tuto výzvu reagovat, nevědomky vpustí do svého počítače nezvaného návštěvníka – trojského koně.

Chromex nicméně není jedinou hrozbou, která dělá aktuálně bezpečnostním expertům vrásky na čele. Již několik měsíců varují také před škodlivým kódem zvaným Danger. Tento virus otevírá zadní vrátka do operačního systému. Útočníci pak díky němu mohou propašovat do napadeného počítače další škodlivé kódy, nejčastěji tak šíří vyděračské viry z rodiny ransomware.

Zašifrují data a chtějí výkupné
Tyto škodlivé kódy začnou šifrovat obsah počítače a uživateli zobrazí oznámení, že za dešifrování počítače musí zaplatit, jinak se ke svým datům údajně již nikdy nedostane.

Ani po zaplacení výkupného navíc nemají uživatelé jistotu, že se ke svým datům skutečně dostanou. Virus je nutné z počítače odinstalovat a data následně pomocí speciálního programu odšifrovat. V některých případech to ale není možné.

Přehled deseti nejrozšířenějších virových hrozeb za měsíc duben naleznete v tabulce níže:

Top 10 hrozeb v České republice za duben 2017:
1. JS/Danger.ScriptAttachment (21,33 %)
2. JS/Chromex.Submeliux (19,22 %)
3. Win32/Adware.ELEX (3,78 %)
4. JS/TrojanDownloader.Nemucod (3,73 %)
5. Java/GRat (2,89 %)
6. VBA/TrojanDownloader.Agent.CZT (2,38 %)
7. Java/Kryptik.AP (2,28 %)
8. PowerSheil/TrojanDownloader.Agent.MY (1,88 %)
9. Java/Adwind (1,47 %)
10. Win32/Packed.VMProtect.ABO (1,37 %)
Zdroj: Eset


Bezpečnostní experti bijí na poplach. Nebezpečný virus Locky je opět na scéně

2.5.2017 Novinky/Bezpečnost Viry
Locky patřil v loňském roce k těm nejrozšířenějším vyděračským virům, které kolují internetem. I když se mohlo zkraje letošního roku zdát, že je na ústupu, opak je pravdou. Výzkumníci z týmu Cisco Talos upozornili, že jej kyberzločinci nasazují znovu.
„Po většinu roku 2016 patřil Locky mezi nejrozšířenější vyděračské softwary. Ke svému šíření využíval e-mailové kampaně s infikovanými přílohami. Ransomware Locky byl rozesílán prostřednictvím botnetu (internetový robot zasílající spamy, pozn. red.) Necurs,“ připomněli bezpečnostní experti.

Ti zároveň zdůraznili, že s koncem roku 2016 šíření tohoto vyděračského viru z rodiny ransomwarů bylo výrazně utlumeno.

Zlom nastal až s příchodem jara. „Před několika týdny se Necurs opět probudil a začal posílat spamy nabízející výhodný nákup akcií. Dne 21. dubna zaznamenal bezpečnostní tým Cisco Talos první velkou kampaň ransomwaru Locky prostřednictvím botnetu Necurs za posledních několik měsíců,“ upozornili bezpečnostní experti.

Dešifrovací algoritmus zatím není znám
Podle nich je aktuálně probíhající kampaň velmi intenzivní. Za pouhých pár hodin se jim totiž podařilo zajistit přes 35 tisíc odeslaných e-mailů, ve kterých se nezvaný návštěvník ukrýval.

Samotný útok tedy probíhá úplně stejně, jako tomu bylo u Lockyho již v loňském roce. Po spuštění přílohy v nevyžádaném e-mailu se do PC nahraje vyděračský virus, který dále škodí. Zašifruje data a za jejich zpřístupnění požaduje výkupné.

Dešifrovací algoritmus zaručující obnovu dat po útoku Lockyho zatím není bohužel znám.


Videoherní průvodci jsou zneužívání k šíření malwaru

29.4.2017 SecurityWorld Viry
Hackeři zneužili desítky průvodců populárními herními tituly k šíření malwaru. Napadených jsou stovky tisíc zařízení.

Videoherní průvodci ve formě aplikací jsou zneužíváni k šíření malwaru. Bezpečnostní společnost Check Point přišla na víc než půl milionu uživatelů Androidu napadených právě tímto způsobem. Aplikace jsou přitom běžně dostupné na Google Play Store. Hackeři se s nimi jsou schopni zmocnit telefonu a následně do něj natahat škodlivý software či nechtěné reklamy.

Check Point prý objevil víc než čtyřicet takto zneužitelných aplikací, nechyběly mezi nimi ani průvodci tak populárními herními tituly jako jsou Fifa nebo Pokemon Go. Počet jejich stažení společnost odhaduje na půl až téměř dva miliony, ačkoliv není zřejmé, kolik těchto downloadů opravdu vedlo i k infikování malwarem.

„Je těžké to vystopovat, jelikož samotné aplikace žádný škodlivý kód neobsahují,“ říká Daniel Padon z Check Pointu.

Google, ač se k problému oficiálně nevyjádřil, podle Padona po upozornění dotčené aplikace z obchodu stáhnul. Firma však mezi tím objevila další, které mohou být stejně rizikové.

Podezřelé je už ale jen jejich okamžité chování po stažení. Po uživateli aplikace totiž žádají záruku, že nemohou být smazány.

Po instalaci se pak pokusí navázat kontakt s kontrolním serverem, v důsledku čehož se stanou botem v botnetu, síti zařízení kontrolovaných na dálku. Pak už je snadné do zařízení stáhnout škodlivý software. Následně podle Padona hackeři z takto infikovaného zařízení mohou rozesílat nevyžádanou reklamu, použít jej jako součást DDoS útoku anebo „jen“ špehovat data, s nimiž telefon pracuje. Nárůst mobilních botnetů je přitom alarmující.

„Jde o těžko zastavitelný trend, který může mít zičující dopad.“

To potvrzuje i Nikolaos Chrysaidos ze společnosti Avast: „V současnosti se zdá, že hackeři za touto hrozbou ji zneužívají jen k vydělávání peněz skrz reklamu. Její funkčnost je zatím velice základní. Nic ale nebrání tomu, aby se v budoucnu stala mnohem sofistikovanější.“


Hackeři se dostanou do PC kvůli chybě monitorů. V ohrožení jsou milióny zařízení

27.4.2017 Novinky/Bezpečnost Zranitelnosti
Počítačoví piráti zpravidla hledají různé bezpečnostní skuliny v operačním systému nebo v jednotlivých nainstalovaných aplikacích, aby si tak otevřeli zadní vrátka do cizích PC. I když to může znít na první pohled neuvěřitelně, stejně tak mohou zneužít k útoku monitory, respektive jejich ovládací software.
Chyba se týká ovládacího softwaru monitorů od společnosti Portrait Displays, který však využívá drtivá většina výrobců.
Chyba se týká ovládacího softwaru monitorů od společnosti Portrait Displays, který však využívá drtivá většina výrobců.
FOTO: repro portrait.com
Dnes 9:02
Na vážnou zranitelnost týkající se monitorů, kvůli čemuž jsou v ohrožení milióny počítačů, upozornil český Národní bezpečnostní tým CSIRT.CZ, který je provozován sdružením CZ.NIC.

„Byla identifikována bezpečnostní chyba v softwaru vyvinutém společností Portrait Displays, jejíž produkty využívá řada velkých výrobců, jako jsou Sony, HP, Acer, Fujitsu, Philips, Dell, Benq, Lenovo, Sharp a Toshiba,“ uvedl Pavel Bašta, bezpečnostní analytik CSIRT.CZ.

Hlavní problém je v tom, že na ovládací software společnosti Portrait Displays spoléhá tak velké množství výrobců. Právě proto je teoreticky v ohrožení tolik uživatelů. Žádné zneužití uvedené chyby však zatím bezpečnostní experti nezaznamenali.

Mohou převzít kontrolu nad napadeným strojem
„Společnost Portrait Displays, označila chybu, umožňující přihlášenému útočníkovi spustit libovolný kód a eskalovat systémová oprávnění, jako kritickou,“ konstatoval Bašta.

Podle něj mohou zneužít zranitelný software počítačoví piráti například k tomu, aby na napadeném stroji otočili obraz nebo změnili nastavení barev. Kromě těchto na první pohled neškodných vtípků ale bezpečnostní trhlinu mohou zneužít v krajním případě také k tomu, že převezmou kontrolu nad napadeným počítačem.

S ohledem na možná rizika by se tak uživatelé měli ze stránek jednotlivých výrobců stáhnout nejnovější aktualizace ovládacího softwaru, pokud jsou totiž k dispozici. Společnost Portrait Displays již totiž záplatu objevené chyby pro výrobce monitorů uvolnila.


Neinstalujte velkou aktualizaci Windows sami, radí Microsoft. Obsahuje totiž chyby

27.4.2017 Novinky/Bezpečnost Zabezpečení
Společnost Microsoft se snažila tento měsíc vylepšit operační systém Windows 10 prostřednictvím další velké aktualizace. Jak se ale ukázalo, tento dlouho očekávaný update obsahuje celou řadu chyb. Zástupci amerického softwarového gigantu proto vyzvali uživatele, aby si tzv. Creators update sami neinstalovali.
Balík aktualizací Creators update byl oficiálně vydán již před dvěma týdny. Je však nutné zdůraznit, že jej Microsoft od té doby automaticky nenabízí úplně všem uživatelům. Do služby Windows Update, která slouží k instalaci všech aktualizací od amerického softwarového gigantu, uvolňuje balík vylepšení jednotlivým uživatelům postupně.

Přímo na svých stránkách však Microsoft zároveň nabízel nástroj ke stažení, prostřednictvím kterého bylo možné instalaci nových funkcí urychlit. Právě to se ale ukázalo jako největší problém.

Problém s konkrétními hardwarovými konfiguracemi
Přestože pracovníci amerického softwarového gigantu testovali update několik posledních měsíců, vyzkoušet všechny různé hardwarové kombinace – tedy optimalizovat aktualizaci na milióny různých počítačů – evidentně nezvládli zcela korektně.

Někteří uživatelé si totiž po instalaci začali stěžovat na různé problémy. Například jas mohl být vždy po restartu nastaven na minimální úroveň, při hraní některých titulů přes celou obrazovku se stávalo, že se pak nešlo vrátit do samotného systému bez restartu, případně kvůli chybě v konfiguraci knihoven Windows Forms se antivirové programy nespustily korektně, a tudíž byly po celou dobu práce na PC nefunkční.

Hry je možné snadno streamovat.
Zástupci amerického softwarového gigantu proto nyní vyzvali uživatele, aby ve vlastním zájmu neinstalovali Creators Update sami, ale aby počkali až do chvíle, kdy se na jejich počítači objeví ve Windows Update. Právě to totiž bude znamenat, že byl otestován na danou hardwarovou konfiguraci.

To ale pochopitelně bude trvat pravděpodobně několik týdnů, v krajním případě klidně i několik měsíců.

Co přináší Creators Update
Creators update se dá přeložit jako aktualizace pro kreativce. A je to pravděpodobně nejvýstižnější pojmenování, které mohl americký softwarový gigant použít. Nové funkce totiž cílí právě na kreativce.

Americký softwarový gigant se s novou aktualizací zaměřil také na dovednosti operačního systému Windows 10 v oblasti 3D technologií. V novém Malování 3D lze vytvářet trojrozměrné objekty, jednoduše měnit barvy, přidávat nálepky nebo měnit 2D objekty v trojrozměrná umělecká díla. Výtvory lze navíc snadno sdílet s ostatními, využívat můžete 3D kresby ostatních i pro vlastní díla, pokud to jejich autoři dovolí.

Pozornost byla v aktualizaci věnována také hráčům. Svá zápolení s protivníky budou uživatelé moci snadno streamovat na internet. A to přímo z prostředí desítek, aniž by se museli někam přihlašovat či instalovat dodatečný software.

Jednoduše je možné vytvářet také turnaje, stačí k tomu pár kliknutí. Turnaje bude možné vytvářet prostřednictvím funkce Arena. V ní si uživatelé nastaví vlastní pravidla a určí, kdo přesně může hrát.

Další vylepšení se týkají prohlížeče Microsoft Edge, a to především komfortnosti použití, zároveň i otázky zabezpečení. Právě oblast zabezpečení a ochrany soukromí se vylepšila i v rámci celých desítek.


Bezpečnostní záplaty GrSecurity už nebudou k dispozici zdarma
27.4.2017 Root.cz Zranitelnosti
Brad Spengler oznámil, že bezpečnostní jaderné patche GrSecurity a PaX už nebudou nadále k dispozici zdarma. Dostanou se k nim jen platící zákazníci. Nyní je na komunitě, aby udržovala staré verze či je vyvíjela.
Projekt GrSecurity oznámil, že přestává vydávat veřejné testovací patche pro linuxové jádro a nadále se bude soustředit jen na platící zákazníky. S okamžitou platností byl veškerý kód z veřejného úložiště odstraněn a jádro 4.9 bylo schválně zvoleno jako poslední podporované veřejně dostupnými kód. Jedná se o LTS verzi jádra s prodlouženou podporou, takže uživatelé by měli mít dost času se změně přizpůsobit. K dispozici už nebudou ani žádné veřejné verze bezpečnostního rozšíření PaX.

Vývojář Brad Spengler se prý chce zaměřit na novou generaci bezpečnostních mechanizmů, které ochrání uživatele před moderními hrozbami. V oznámení o změně (+ FAQ) konkrétně zmiňuje zaměření na ARM64, Android, podporu RAP do stabilních jader, KERNSEAL, STRUCTGUARD a další moderní obranné mechanismy proti data-only útokům.

Stávajících platících zákazníků se prý změna nijak nedotkne, pokud je některá firma závislá na již neexistujících veřejných -test repozitářích, měla by se nově stát platícím zákazníkem. Ti pak budou mít přístup k -beta repozitářům s kódem pro nejnovější jádra.

Pro ostatní je tu špatná zpráva: žádné alternativní řešení podle Spenglera neexistuje. Linuxová komunita v posledních dvaceti letech selhala v investicích do bezpečnosti. Také proto tu není žádná přímá alternativa nebo jen možnost získat jiným způsobem alespoň část vlastností GrSecurity, píše se v oznámení, které odkazuje také na porovnání vlastností existujících linuxových bezpečnostních projektů.

Díky licenci GNU GPL 2 je tu samozřejmě šance, že linuxová komunita převezme doposud zveřejněné záplaty a někdo je bude udržovat a podporovat novější jádra. Sám autor to ale nechce dělat a odmítá staré verze zveřejňovat, prý proto, aby uživatele nepodporoval v používání starých nebezpečných jader. Zároveň upozorňuje na to, že název GrSecurity je chráněn registrovanou ochrannou známkou, takže pokud někdo bude nadále s kódem nakládat, musí tak činit pod jiným jménem.

GrSecurity je sada patchů pro linuxové jádro, které výrazně zvyšují bezpečnost systému a odolnost proti útokům. Existuje od roku 2001 a už téměř deset let ho Brad Spengler vyvíjí pod hlavičkou své společnosti Open Source Security, Inc. GrSecurity a PaX byly vždy velmi průkopnické projekty a jako první například do linuxového jádra přinesly podporu ASLR.

Brad Spengler je dlouhodobě nespokojený s tím, že jeho úpravy nebyly dobře přijímány v linuxové komunitě a jen malá část se dostala do jádra. Hlavním problémem vždy bylo, že se jedná o jeden obrovský nečleněný patch, jehož kvalita se navíc nelíbila Linusovi. Ten některé změny neváhal označit za „šílené“.

Proto se vývojáři rozhodli vytvářet svůj kód odděleně od jádra a dávat vývojové verze zdarma. Mnoho firem podle nich začalo patche používat, ale jen malá část byla ochotna zaplatit. Proto se autor už před dvěma lety rozhodl dodávat stabilní patche jen platícím zákazníkům. Nyní bylo toto omezení rozšířeno na veškerý kód, včetně testovacího.

Otázkou zůstává, zda je takový postup v souladu se zněním licence GNU GPL v2, pod kterou je vydáno linuxové jádro. Richard Stallman se už před časem vyjádřil v tom smyslu, že je takové jednání v rozporu s licencí. GrSecurity je modifikací kódu šířeného pod GNU GPL, ale autor se snaží bránit uživatelům ve sdílení výsledku, který musí být také pod stejnou licencí dostupný.


Kritická chyba umožňuje přístup k systému skrz ovládací aplikace monitorů
26.4.2017 Živě.cz Zranitelnosti
Bezpečnostní experti společnosti SEC Consult informovali o kritické zranitelnosti aplikace, kterou vyvíjí Portrait Displays a využívá ji mnoho výrobců monitorů – Sony, HP, Acer, Fujitsu, Philips, Dell, Benq, Lenovo, Sharp či Toshiba. V případě zneužití je možné v systému vytvářet nové uživatele, měnit jejich oprávnění či měnit uživatelské skupiny.

Antivirová společnost omylem označila jako malware systémové soubory. Zákazníkům se zhroutily Windows
Podle SEC Consult se chyba týká primárně aplikací DisplayView od Fujitsu a Display Assistant, která je určena pro monitory HP. Není však vyloučeno ani postižení dalších aplikací výše zmíněných výrobců. Vývojáři z Portrait Displays urychleně vydali opravný patch, nyní jej však v rámci aktualizací musí implementovat jednotliví výrobci, kteří platformu pro svůj software využívají.

K uživatelům by se měla oprava dostat v rámci automatických aktualizací, které umožňuje například Fujitsu. V opačném případě ale mohou být uživatelé ohroženi – jen málokdo bude ručně aktualizovat ovládací software k monitoru.

Pokud vám tedy na stole stojí monitor Fujitsu či HP a zároveň máte nainstalovanou ovládací aplikaci, rozhodně se porozhlédněte po bezpečnostních updatech.


Podvodníci to zkouší na internetu s loterií. Po útoku chtějí výkupné

26.4.2017 Novinky/Bezpečnost Podvod
Nový trik zkouší na internetu počítačoví piráti. Prostřednictvím nevyžádaných e-mailů lákají na nejrůznější loterie. Upozornil na to český Národní bezpečnostní tým CSIRT.CZ, který dostal avízo od slovinských kolegů. Podobné útoky totiž byly zaznamenány především v zahraničí.
„Slovinský SI-CERT zveřejnil zprávu o nové vlně infikovaných souborů zasílaných prostřednictvím e-mailových zpráv. Ty jsou odesílány pod záminkou nabídek loterií maloobchodních řetězců, žádostí o zastoupení v advokátních kancelářích,“ varoval Pavel Bašta, bezpečnostní analytik CSIRT.CZ, který je provozován sdružením CZ.NIC.

Podle něj vedle loterie zkouší podvodníci napálit důvěřivce i pomocí dalších témat, která mohou být na první pohled zajímavá. Například informují o změnách v letových řádech nebo o ustanoveních přednášených na univerzitách

Lidé přitom kyberzločince v tomto případě nemohou identifikovat podle toho, odkud je e-mail odesílán. „„Zdrojů, odkud jsou tyto zprávy zasílány, je totiž více. Ale spojuje je jedna věc, většinou obsahují jednu přílohu dokument_1.zip. Ta pak může mít v sobě i více dokumentů, mezi kterými je i jeden dokument_1.js, který se snaží infikovat počítač,“ doplnil Bašta.

Ukryté vyděračské viry
Mezi dokumenty se zpravidla ukrývá nějaký vyděračský virus. Tyto škodlivé kódy, které jsou označovány souhrnným názvem ransomware, dokážou v počítači nadělat velkou neplechu. Nejprve zašifrují všechna data uložená na pevném disku. Za jejich zpřístupnění pak útočníci požadují výkupné, a to klidně i několik tisíc korun.

Zaplatit zpravidla chtějí v bitcoinech, protože pohyby této virtuální měny se prakticky nedají vystopovat. A tím logicky ani nelegální aktivita počítačových pirátů.

Ani po zaplacení výkupného se ale uživatelé ke svým datům nedostanou. Místo placení výkupného je totiž nutné virus z počítače odinstalovat. Zpřístupnit nezálohovaná data je už ale ve většině případů nemožné.

Podobné útoky prostřednictvím nevyžádaných e-mailů se prozatím objevily v zahraničí, především ve Slovinsku. Je nicméně pravděpodobné, že se stejným způsobem budou snažit kyberzločinci v dohledné době napálit také české uživatele.


Antivirová společnost omylem označila jako malware systémové soubory. Zákazníkům se zhroutily Windows
26.4.2017 Živě.cz Zranitelnosti
Antivirový výrobce Webroot v těchto dnech řeší nepříjemnou kauzu, které jistě ve skrytu duše děsí úplně všichni z oboru. Bezpečnostní program totiž před několika hodinami chybně označil zcela korektní soubory jako malware a zablokoval je. Jedná se tedy o klasický případ false-positive.

Kdyby se jednalo o pár osobních souborů z uživatelské složky, asi by o nic nešlo a uživatel by soubory prostě odstranil z trezoru, v tomto případě však Webroot zablokoval třeba systémové soubory vývojové verze Windows z programu Insider Preview. To v praxi vedlo k tomu, že systém havaroval a přirozeně odmítal nastartovat.

Sledovat
Neil Jackson @Jaxxnet
Webroot seem to have angered a lot of their customers.... the system is in utter meltdown after borking legit system and app files. Ooops.
00:56, 25. Apr. 2017
3 3 retweety 1 1 lajk
Některým dalším zákazníkům pak podle Ars Techniky program podobným způsobem zablokoval některé podnikové aplikace. Webroot nyní musí ožehavou kauzu urychleně vyřešit, jeho marketingové oddělení ale bude průšvih řešit asi ještě docela dlouho.

Sledovat
iSupportU @isupportu
@Webroot everything is breaking, money is flying out the window... where are you? I have been on hold 20+min
01:20, 25. Apr. 2017
retweetů lajků
Sledovat
Pat Moore @DueMarauder
@Webroot What's the scoop on this false positive issue that has crippled a quarter of my customers?
00:30, 25. Apr. 2017
retweetů lajků


Microsoft vydal opravný balík pro Creators Update. Řeší i potíže s režimem Connected Standby

26.4.2017 Cnews.cz Zranitelnosti
Záplatovací úterý ještě není, nová hlavní verze Windows 10 ale potřebuje opravit.

Kdo už přešel na Windows 10 Creators Update, mohla se mu už včera večer nebo dnes ráno zobrazit výzva k restartování zařízení. Microsoft totiž uvolnil balík oprav a pokračuje v nastolené tradici, kdy čerstvé vydání Windows 10 nezískává aktualizace jen jednou do měsíce, ale častěji. Včerejší aktualizace nese označení KB4016240 a číslo sestavení zdvihá na 15063.250.

Neobsahuje nové záplaty, jen ladí nahlášené chyby:

Virtuální počítače mohly zaznamenat ztrátu konektivity v síti při nastavování adres IP.
Při používání RemoteRing Configuration Service Provider nedocházelo ke vzdálenému vyzvánění.
Mohlo dojít k úniku paměti v Internet Exploreru, pokud byla otevřena stránka s vloženými rámy, kde dochází k načítání obsahu z více různých domén.
Internet Explorer 11 neuložil javascriptové soubory při exportu do MHT.
Mohlo dojít k odhlášení ve webových aplikacích.
Integrovaná obrazovka zařízení měla jas nastaven na velmi nízkou úroveň. Dělo se to, pokud byla při startu počítače použita jen externí obrazovka a pak jste režim zobrazení přepnuli jen na integrovanou obrazovku.
Hraní aplikací či her pro prostředí Win32 a Direct3D v celoobrazovkovém režimu způsobovalo, že se systém nemusel probudit z režimu Connected Standby.
V edici Professional a vyšších nebylo možné pomocí Editoru místních zásad skupiny vypnout zamykací obrazovku.
Kvůli chybě v konfiguraci knihoven Windows Forms mohly antivirové programy přestat fungovat při spuštění počítače.
Bylo vyřešeno pár problémů s kompatibilitou v Internet Exploreru a Edgi.


Hackeři napadli desítky tisíc počítačů. Zneužili nástroje špiónů

25.4.2017 Novinky/Bezpečnost Hacking
Není žádným tajemstvím, že tajné služby disponují sofistikovanými nástroji pro špionáž různých počítačových systémů. A výjimkou není ani americká Národní agentura pro bezpečnost (NSA). Právě špiónského nářadí této agentury se však zmocnili počítačoví piráti. A začali je okamžitě zneužívat.
V arzenálu NSA – a nutno podotknout i dalších tajných služeb – se v internetové éře běžně objevují tzv. exploity, tedy speciální programy umožňující získat přístup na nejrůznější weby, služby, ale také pro nejrůznější dokumenty.

A právě podobných nástrojů, které z NSA unikly před týdnem, se zmocnili počítačoví piráti. Podle serveru The Hacker News je již několik hackerských organizací zneužívá k útokům.

V praxi mohou díky zmiňovaným exploitům útoky kyberzločinci vypadat následovně. Prostřednictvím jednoho škodlivého kódu by se útočníci dostali do administračního rozhraní nějakého sportovního areálu, který nabízí stažení rozpisu tréninků v textovém dokumentu formátu Word. Ten by pomocí dalšího exploitu infikovali tak, že by mohli sledovat v podstatě každého uživatele, který by tento soubor stáhnul z daného webu.

O tom, že je počítač infikován, by samozřejmě uživatel neměl ani ponětí. Dokument by se mu normálně otevřel, avšak spolu s ním by zároveň na pevný disk stáhnul i nezvaného návštěvníka – právě prostřednictvím něho by pak útočník získal přístup ke všem datům.

Přes 100 000 napadených počítačů
Podobným způsobem se podařilo za pouhý týden proniknout hackerům do několika tisíc počítačových systémů, jak upozornili bezpečnostní výzkumníci švýcarské bezpečnostní společnosti Binary Edge.

Těm se podařilo objevit již přes 100 000 počítačů, které byly napadeny různými hackerskými organizacemi pomocí nástrojů od NSA. Zda se útoky uskutečnily i v Česku, zatím není jasné.

Zpravidla jde o stroje běžící na operačním systému Windows. Jde však o starší systémy od Microsoftu, desítek se údajně hrozba netýká, upozornil server The Hacker News.

Převezmou kontrolu
Útoky se údajně týkaly systémů Windows XP, Windows Server 2003, Windows 7 a Windows 8. Je nicméně nutné zdůraznit, že majitelé sedmiček a osmiček by měli být proti útokům chráněni, pokud mají stažené všechny nejnovější aktualizace. Například pro Windows XP však již bezpečnostní updaty nevycházejí, uživatelé tak nemohou být chráněni.

Nad napadeným strojem mohou počítačoví piráti převzít zcela kontrolu. Stejně tak mohou přistupovat k datům uloženým na pevném disku, případně celý stroj zotročit a využívat k dalším útokům.


Check Point jednotně ochrání síť, mobily i cloud

25.4.2017 SecurityWorld Zabezpečení
Infinity, novou architekturu pro řízení bezpečnosti, představil Check Point. Nabízí jednotnou ochranu před hrozbami pro síťovou infrastrukturu, mobilní zařízení i cloud.

Novinka představuje kombinaci tří klíčových vlastností: jednotné bezpečnostní platformy,prevence hrozeb a konsolidovaného systému.

Podle výrobce umožňuje blokovat prý i ty nejsofistikovanější známé i neznámé hrozby, ještě než mohou způsobit jakékoli škody, a nabízí jednotnou administraci, modulární správu politik a integrovanou viditelnost hrozeb.

Výrobce zároveň představil i nové ultra-high-end bezpečnostní brány 44000 a 64000 s doposud vůbec nejrychlejší platformou prevence hrozeb s propustností prevence hrozeb v reálném prostředí 42 Gb/s a propustností firewallu v reálném prostředí 636 Gb/s.


Webový prohlížeč Chrome obsahuje nebezpečné trhliny

25.4.2017 Novinky/Bezpečnost Zranitelnosti
Na pozoru by se měli mít uživatelé, kteří používají webový prohlížeč Chrome. Obsahuje totiž nebezpečné trhliny, které mohou zneužít počítačoví piráti. Nová verze browseru naštěstí všechny objevené chyby opravuje.
V Chromu bylo před vydáním nové verze objeveno celkem 29 bezpečnostních trhlin. Z toho tři byly označeny jako „vysoce závažné“. Tyto chyby tedy mohou kyberzločinci zneužít k tomu, aby do počítače propašovali prakticky libovolný škodlivý kód. Stejně ale mohou přistupovat k nastavení napadeného stroje či uloženým datům na pevném disku.

Teoreticky počítačoví piráti mohou zneužít také osm chyb, které mají nálepku „důležité“. U nich se nicméně nepředpokládá, že by v praxi došlo k jejich masivnímu zneužívání, jako je tomu u vysoce závažných bezpečnostních nedostatků.

S instalací neotálet
Zbylé aktualizace pak slouží především ke zlepšení funkčnosti jednotlivých součástí internetového prohlížeče. Tyto důležité záplaty by tedy neměly pro uživatele představovat žádné velké bezpečnostní riziko.

S instalací aktualizace Chromu by s ohledem na možná rizika neměli uživatelé otálet. Stahovat opravy je možné prostřednictvím automatických aktualizací.

Nainstalovat aktualizaci manuálně je možné prostřednictvím nápovědy, konkrétně v části „O aplikaci Chrome“. Po rozkliknutí této nabídky se uživateli automaticky nabídne instalace nejnovější verze.

Lovci chyb si vydělali statisíce
Není bez zajímavosti, že většinu trhlin odhalili tzv. lovci chyb. Tedy hackeři, kteří jsou odměňováni za nalezené trhliny. Tvůrci Chromu jim za to vyplatili 14 000 dolarů, tedy v přepočtu bezmála 350 000 korun.

Největší odměnu získali počítačoví experti, kteří objevili trhlinu týkající se knihovny PDFium. Právě tato chyba je označena jako „vysoce závažná“. Za jedinou chybu získali lovci 3000 dolarů, tedy více než 74 000 korun.

Podobným způsobem začala hackery na nalezení chyb loni lákat také společnost Apple.


Macronovi chtěli ukrást hesla hackeři napojení na Rusko, potvrdila japonská firma

25.4.2017 ČT24 BigBrother
Šéf digitální sekce Macronovy kampaně potvrdil, že štáb vítěze prvního kola francouzských prezidentských voleb byl vystaven útokům hackerů napojených na Rusko. Elektronickou špionáž odhalila japonská protivirová společnost Trend Micro. Všechna napadení se ale údajně podařilo odvrátit. Moskva obvinění odmítá.

Francii čeká ve 2. kole duel bořičů tradičního systému zavedených politických stran
Za útoky měla stát skupina Pawn Storm (Útok pěšcem), kterou podle amerických zpravodajských služeb řídí ruská špionáž. Útoky byly zaznamenány už loni v prosinci, v té době ovšem neměl Macronův štáb o jejich původu žádné důkazy.
Nezávislá zpráva Trend Micro nyní vypočítává 160 pokusů o elektronickou špionáž proti různým cílům. Hackeři se například pokoušeli získat hesla k účtům členů Macronova volebního štábu.

Macron vzešel z vlády, která na Moskvu kvůli Ukrajině uvalila sankce a odmítla jí dodat už zaplacené vojenské lodě. Politik také ze všech kandidátů nejhlasitěji hájí Unii.

Reformista Macron cílí na umírněné a progresivní voliče. Francii chce "posunout dopředu"
Francouzští experti pečlivě sledovali jakékoli známky kybernetických útoků na první volební kolo. Už v lednu francouzský ministr obrany Le Drian varoval, že počet kybernetických útoků cílených na Francii v uplynulých třech letech dramaticky vzrostl.

Mnozí se obávali, aby se neopakoval americký scénář. Tajné služby v USA už dříve oznámily, že kampaň, která měla ovlivnit loňské prezidentské volby, nařídil přímo ruský prezident Vladimir Putin. Jejím cílem bylo podkopat demokratický proces v zemi a pošpinit demokratickou kandidátku na prezidenta Hillary Clintonovou. Moskva to odmítá a mluví o „absurdních obviněních bez důkazů“.

Tajné služby: Kampaň, která měla ovlivnit prezidentské volby v USA, nařídil Putin
Francouzský ministr zahraničí Jean-Marc Ayrault varoval, že v případě nějakého zásahu do voleb ze zahraničí může přijít odveta. „Nebudeme akceptovat žádné zásahy do našeho volebního procesu, a to ani ze strany Ruska, ani z jakéhokoli jiného státu,“ zdůraznil šéf diplomacie v polovině února.

Také v případě Francie ale Rusko popírá, že by s hackery mělo něco společného. „Je vyloučeno, že by Moskva hrála roli v těchto útocích, ať už k nim došlo, nebo ne. A jakákoli obvinění, že Moskva v tom nějakou roli sehrála, jsou absurdní,“ prohlásil mluvčí Kremlu Dmitrij Peskov.

Obavy přetrvávají i před druhým kolem francouzských voleb plánovaným na 7. května, v němž se Macron utká s šéfkou krajní pravice Marine Le Penovou. Ta chválí Putina a nechala se slyšet, že by Francie měla uznat Krym jako součást Ruské federace. Její Národní fronta před lety dostala půjčku devět milionů eur (249 milionů korun) od První česko-ruské banky, což vyvolalo v Evropě pozdvižení.


Detektiv Rafael Rivera odhalil, že systémové soubory obsahují nemálo nepotřebných metadat

25.4.2017 Cnews.cz Bezpečnost
Metadata se na uživatelském zážitku nepodílí a Windows je také nepotřebuje.

Kód (Ilustrační foto)
Vývojář Rafael Rivera se opět pustil do prozkoumávání Windows – vlastně nikdy nepřestal. Nejdříve si napsal nástroj, jenž vyhledává spouštěcí soubory obsahující metadata, která patří platformě XMP od Adobe. Ta se nachází v obrázcích formátu PNG. Posléze Rivera tímto nástrojem skenoval původní obraz Windows 10, verzi neuvedl, ale zásadní rozdíly očekávat nelze. Kupodivu zjistil, že se metadata nachází v řadě systémových souborů.

Spouštěcí soubory nebo knihovny mohou obsahovat obrázky. Někdy jsou metadata užitečná, např. když je zde uvedena poloha pořízených snímků, díky čemuž pak můžeme fotografie snáze třídit. V případě produktů jako Windows lze ovšem o potřebnosti metadat úspěšně pochybovat.

Naopak tato metadata využívají systémové prostředky a zabírají místo. Metadata tvoří překvapivě velkou část některých souborů. Jedná se o 20 % velikosti souboru explorer.exe, který patří Průzkumníku a jedná se o jednu ze základních komponent. Knihovna ApplicationFrame.dll, jež zodpovídá mj. zobrazování za záhlaví aplikací, je dokonce ze 41 % tvořena nepotřebnými metadaty.

Windows 10 představují jiný svět oproti starším Windows. Reflektují vlastnosti doby
Windows by mohl být ještě lépe optimalizovaný, jak ukázal Rivera (Ilustrační foto)
Tyto příklady naznačují, jakým směrem by se mohly ubírat příští optimalizace Windows. Podle Rivery má Microsoft více možností, jak se nadbytečného obsahu zbavit. Tvrdí, že odebrání nemusí být tak bezvýznamné, jak si možná myslíme. Microsoft se již několik let snaží vymáčknout z Windows co nejlepší výkon – jádro Windows dnes běží i na smartphonech – a optimalizuje, jak může, aby prodloužil výdrž zařízení.

Rivera dále uvádí, že podle manažera dříve pracujícího v týmu kolem Internet Exploreru dnes vývojový tým Edge používá nástroje, které právě zbavují kód nepotřebných částí, tedy i uvedených metadat. Dále obrázky optimalizují pomocí algoritmu ZopFli. I to je důvod, proč je Edge tak rychlý. Odebrat metadata, jež k uživatelskému zážitku nijak nepřispívají, by minimálně nebylo nic proti ničemu.


Hacker Track2 se zapsal do historie. Za útok dostal trest 27 let vězení
25.4.2017 Živě.cz  Kriminalita

Ve Spojených státech byl odsouzen na 27 let odnětí svobody ruský hacker Roman Selezňov, který napadl platební terminály ve velkých finančních institucích i v malých prodejnách. Při útocích odcizil údaje z platebních karet a jiná citlivé data. Způsobil tak škody v celkové výši 169 milionů dolarů (155,78 milionů eur), informuje Ars Technica.

Známý hacker iPhonů a PlayStationu si objednal Teslu. Od výrobce dostal varování
Útočník, vystupující pod přezdívkou „Track2“, byl zatčen už v roce 2014 na Maledivách. V té chvíli měl u sebe notebook, ve kterém se nacházela čísla 1,7 milionu kreditních karet.

Po soudním procesu byl Rus v srpnu 2016 obviněn z 38 případů porušení zákona, mimo jiné z podvodu prostřednictvím elektronických médií, z úmyslného poškození chráněného počítače a ze závažného zločinu krádeže identity.

Státní žalobkyně: Zaslouží si tvrdý trest

Americká vláda žádala pro Selezňova 30 let vězení. Státní žalobkyně Annette Hayesová uvedla, že ruský hacker si zaslouží tvrdý trest, protože je průkopníkem, který pomohl rozjet obchod s údaji z kradených kreditních karet. Jak dodala, Selezňov se stal jednou z nejváženějších osobností zločineckého podsvětí.

Soud s 32letým zločincem se konal v Seattlu, kde v minulosti úspěšně zaútočil na několik obchodů. Patřila k nim i restaurace Broadway Grill. Její představitelé se vyjádřili, že hackerský útok byl jedním z důvodů, proč museli provoz v roce 2013 zavřít.

Vyrobili jsme si rušičku Wi-Fi. Stačil běžný laptop a hackerský Kali Linux
Případ upoutal pozornost světových médií. Otcem odsouzeného Romana Selezňova je totiž poslanec ruské Státní dumy Valerij Selezňov, který je považován za blízkého politického spojence prezidenta Putina. Valerij Selezňov označil vydání svého syna do USA za únos. Americká strana totiž využila toho, že hacker odcestoval z Ruska na dovolenou na Maledivy – dohodla se s tamními úřady, a ty zasáhly. Díky tomu se pak dostal do USA a před soud.

Selezňov: Měl jsem těžké dětství

Útočník na svou obhajobu vlastnoručně napsal 11stránkový dopis, který adresoval federálnímu soudu. Popsal v něm složité podmínky, ve kterých vyrůstal ve městě Vladivostok. Podle vlastních slov se ve věku sedmnácti let stal svědkem úmrtí své matky, která se otrávila alkoholem.

Zmínil i teroristický útok v Maroku v roce 2011, při kterém se vážně zranil a má trvalé následky. Zdlouhavá rekonvalescence si údajně vybrala daň i v jeho soukromí, když se s ním rozvedla manželka. Selezňov na závěr listu vyjádřil vůli odčinit v co největší možné míře škody, které napáchal.

Stačí telefonní číslo a hacker vás bude odposlouchávat lépe než NSA
Trest 27 let odnětí svobody je vůbec nejdelším, který byl v historii USA udělen v souvislosti s hackerským útokem. Ruská strana jej považuje za nepřiměřený a z její strany zaznívají názory, že se jedná o politickou provokaci USA. Odsouzenému nyní běží lhůta pro možnost odvolání k vyšší instanci, zatím tak neučinil.


Rusko špehovalo e-maily příslušníků dánské armády

24.4.2017 Novinky/Bezpečnost BigBrother
Rusko pomocí skupiny hackerů proniklo do systémů dánské armády a v letech 2015 a 2016 mělo přístup k e-mailům některých jejích příslušníků. Informoval o tom v neděli dánský list Berlingske s odvoláním na dánského ministra obrany Clause Hjorta Frederiksena.
Za útokem podle listu stála ruská státem kontrolovaná skupina hackerů ATP 28, která prý loni získala přístup k e-mailovým účtům americké Demokratické strany. "Nejde tu o malé skupinky hackerů, které by takové věci dělaly jen pro zábavu. Je to spojeno se zpravodajskými službami či ústředními elementy v ruské vládě," cituje list ministra.

Podle dánské zpravodajské služby představuje útok významné bezpečnostní riziko, a to mimo jiné proto, že informace získané z e-mailů by mohly být Ruskem využity k rekrutování agentů v dánské armádě, píše Berlingske.


Zákeřná Karmen: Tento ransomware by dokázala ovládat i vaše babička
23.4.2017 Živě.cz Viry


Jak složité je spustit ransomwarovou kampaň?
Karmen spíše než malware připomíná CRM systém
Ve webovém rozhraní se vyzná každý
Nejzákeřnějším typem virů je bez diskuze ransomware. Na rozdíl od obvyklého malwaru, který bude skrze váš počítač rozesílat spamy nebo se třeba pokoušet těžit bitcoiny, ale je v jeho zájmu, abyste jej vůbec neobjevili, ransomwaru si všimnete okamžitě. V tu chvíli je však už zpravidla pozdě.

Do nitra zákeřného ransomwaru. Takto vypadá útok na počítače personalistek
Ransomware totiž šifruje data oběti a poté vyžaduje výkupné. Jedinou spolehlivou obranou je tedy záloha všech osobních dokumentů a citlivých dat.

Zlaté oko

Na začátku roku jsme se na jeden takový ransomware podívali pod drobnohledem. Jednalo se o jednu z mnoha variant viru Petya, který zašifroval celý systémový oddíl počítače, takže po restartu se již nenahrály Windows, ale maličký program uložený na začátku pevného disku, který jen oznámil, že jste obětí útoku, a pokud nezaplatíte výkupné okolo 1,3 BTC (aktuálně 42 tis. Kč), naprosto o vše přijdete.

Klepněte pro větší obrázek
Dobrý den, zašifrovali jsme Vám počítač. Pošlete nám bitcoin a užijte si zbytek dne

Zimní ransomware Petya/GoldenEye se vydával za falešný životopis jistého Rolfa Dreschera, který se šířil jako XLS příloha e-mailu, cílil tedy na nepozorné personalisty, kteří v naději nového špičkového zaměstnance mohli zapomenout na základní bezpečnostní poučky.

Jmenuji se Karmen, zašifruji vám soubory a vy mi zaplatíte

Uběhlo pár měsíců a tentokrát se se zajímavým úlovkem pochlubili zase specialisté z Recorded Future. Zmapovali totiž novou modifikaci ransomwaru, který si říká Karmen a nejspíše se inspiroval ve studijním open-source „ransomawaru“ Hidden Tear, jehož kód najdete na GitHubu.

Klepněte pro větší obrázek
Na undergroundových tržištích se objevil nový ransomware Karmen

Karmen není zdánlivě tak nebezpečný jako Petya, šifruje totiž pouze uživatelské soubory, ke kterým má práva. V podstatě jej tedy musíte sami spustit a ke všemu k běhu vyžaduje nainstalovaný .NET Framework.

Jenže to vlastně stačí. Ransomware nepotřebuje šifrovat systémové soubory. Proč by to dělal? Vždyť ty nemají žádnou cenu. Jeho cílem je vaše unikátní složka v C:\Users, na které se po spuštění okamžitě vyřádí a dle rychlosti disku a velikosti dat zničí soubor po souboru dostatečně silnou šifrou AES-256.

Video: Takhle útočí ransomware

Oběť to záhy pozná, soubory totiž budou mít novou příponu GRT a také ikonu. Co se stane, ilustruje video níže, které vytvořili přímo autoři viru. Nejprve tedy uvidíte několik oken Průzkumníku a v něm běžné soubory, které autor videa otevře, aby bylo zřejmé, že jsou zcela v pořádku.

Poté autor videa spustí samotný virus a ten okamžitě začne soubory šifrovat. Na obrazovce se zároveň zobrazí zpráva o útoku a varování, aby se oběť o nic nepokoušela, protože by mohla o data nenávratně přijít. Obsah souborů při další zkoušce už samozřejmě neodpovídá těm původním.

Samotný ransomware se zároveň snaží detekovat, jestli neběží v sandboxu (třeba na virtuálním počítači antivirové firmy). V takovém případě okamžitě smaže program pro dešifrování, aby analytik nemohl snadno zjistit, jak v nitru funguje.

Karmen by ovládla i vaše babička

Na Karmen je ale nejzajímavější něco úplně jiného. Nikoliv virus samotný, ale ekosystém okolo. Správa ransomwarové kampaně je totiž zjevně naprosto jednoduchá. Zdaleka nejtěžším kouskem je tedy v tomto případě dostat se vůbec do některého s ruských undergroundových fór a Karmen si koupit.

Klepněte pro větší obrázek
Správa ransomwarové kampaně Karmen. V dashboardu vidím počet nakažených klientů, počet těch, kteří už zaplatili a celkovou částku. (Zdroj: Recorded Future)

Pokud se to útočníkovi podaří a samotný virus dopraví k oběti (třeba opět skrze poštovní přílohu), stačí spustit webové rozhraní Karmen, které funguje jako jakési CRM. Toto ale nevyvinul SAP a jemu podobní, ale zjevně pár znuděných ruských studentů, kteří si chtějí vydělat na vodku a chléb.

Klient tedy bude moci v prohlížeči sledovat, jak mu naskakují noví a noví zákazníci a jestli už zaplatili správní poplatek v bitcoinech, který jim může dynamicky nastavovat. Po úspěšné platbě se pak automaticky aktivuje příkaz k dešifrování. Tedy pokud mezi tím ransomwarová kampaň neskončila. Platba útočníkovi je tedy vždy ošemetná. Virus se sice může dál samovolně šířit, ale spojení na vzdálený server, kde to vše někdo ovládá, už dávno nemusí existovat. A hlavně, uskutečněná platba pouze a jen motivuje další případné ransomwarové útočníky.

Klepněte pro větší obrázek
Seznam jednotlivých nakažených klientů a jejich aktuální stav (Zdroj: Recorded Future)

A co tedy dělat, aby se Karmen neobjevila i u vás na počítači? Polovinou úspěchu je racionální chování na internetu a tou druhou pak řádně zabezpečený počítač. A jak radí specialisté z Recorded Future, pokud narazíte na soubory níže, raději je hned smažte (a ne, opravdu je neposílejte svým nadřízeným).

joise.exe (MD5 checksum: 9c8fc334a1dc660609f30c077431b547)
n_karmen.exe (MD5 checksum: 56b66af869248749b2f445be8f9f4a9d)
build.exe (MD5 checksum: 521983cb92cc0b424e58aff11ae9380b)


Americký soud poslal ruského hackera na 27 let do vězení

22.4.2017 Novinky/Bezpečnost Kriminalita
Soud v americkém Seattlu v pátek poslal na 27 let do vězení ruského hackera Romana Selezňova, který internetovými krádežemi kreditních karet a dalšími online podvody způsobil škody ve výši 169 milionů dolarů (4,2 miliardy korun). Podle amerických právníků jde o zatím nejvyšší trest, který byl v USA za podobné zločiny vyměřen.
Rusko v sobotu označilo soud s hackerem za nezákonný, protože Selezňova podle Moskvy unesly do USA americké tajné služby.

Celá kauza je pro Rusko mimořádně citlivá, protože Roman Selezňov je synem poslance ruské Státní dumy za ruské nacionalisty Valerije Selezňova. Dvaatřicetiletý Roman se internetovými podvody zabýval od roku 2009, podle amerických prokurátorů získal citlivé údaje o 1,7 miliónu kreditních karet.

Údaje kradl z počítačových systémů pizzerií a restaurantů většinou ve státě Washington na severozápadě USA a následně je prodával.

Rusko trvá na tom, že zadržení Selezňova na Maledivách v roce 2014 bylo nezákonné.
Ruské velvyslanectví ve Washingtonu
Selezňov se ke svým činům přiznal a požádal soud o shovívavost vzhledem ke své invaliditě. V roce 2011 byl zraněn při teroristickém útoku v marocké Marrákeši, který si vyžádal smrt 17 lidí, většinou zahraničních turistů.

Americká justice Selezňova obvinila už v roce 2011, ale v Rusku ho zadržet nemohla. Když v roce 2014 Selezňov odjel na dovolenou na Maledivy, požádal Washington tamní úřady o spolupráci. Hacker byl nakonec vydán do USA.

Jeho extradice Rusku vadí, protože Selezňov je ruským občanem a z Malediv byl podle Moskvy „fakticky unesen”. Ruské velvyslanectví ve Washingtonu vydalo prohlášení, podle něhož „Rusko trvá na tom, že zadržení Selezňova na Maledivách v roce 2014 bylo nezákonné”. Rusko prý očekává, že obhájce odsouzeného se odvolá.

Sám Selezňov vydal prohlášení, v němž přísný verdikt označuje za „signál vlády Spojených států ruskému prezidentu Vladimiru Putinovi”. Podle ruského hackera to „není správná cesta, jak Rusku nebo kterékoli jiné zemi ukázat, jak v demokracii funguje justice”.


Kaspersky vylepšil svůj firemní antimalware

22.4.2017 SecurityWorld Zabezpečení
Inovovanou verzi svého produktu Endpoint Security for Business uvedl na trh Kaspersky Lab. Přináší přepracované funkce pro ovládání, zvýšenou flexibilitu i ochranu dat či centralizovanou správu vyššího počtu platforem, aplikací a zařízení.

Kaspersky vylepšil sv&uring;j firemní antimalware

Firmy, využívající produkty Endpoint Security for Business, Security for Exchange Servers nebo Security for SharePoint, mohou nově jednotlivá zařízení monitorovat prostřednictvím platformy Security Center. Jde o jednotnou administrátorskou konzoli, která kromě integrované několikavrstvé ochrany koncových zařízení nabízí možnost vzájemné komunikace a spolupráce zaměstnanců dané společnosti.

Navíc jsou nové funkce a vylepšení Endpoint Security dostupné díky vzdálené instalaci také pro zařízení s operačním systémem Mac, a to pomocí jednodušší instalace, ochraně a správě mobilních zařízení a novým možnostem správy Wi-Fi připojení (k dispozici je seznam důvěryhodných Wi-Fi sítí).

Vylepšený Endpoint Security for Business lze využít také jako senzor platformy Anti-Targeted Acttack -- po nainstalování sbírá a odesílá data platformě, čímž poskytuje lepší informace o firemních systémech.

Další funkcionalita, Changes audit, zase poskytuje IT bezpečnostním odborníkům přehled o provedených změnách ve firemních postupech a úkolech. Jejich porovnáním okamžitě identifikuje případné neshody, díky čemuž se významně zlepšuje kontrola změn bezpečnostního nastavení.

Novinka nabízí i šifrování pevného disku prostřednictvím Microsoft BitLocker nebo Kaspersky Disk Encryption. Security Center je schopný vzdáleně ovládat BitLocker, monitorovat stav zašifrovaných zařízení a zálohovat šifrovací klíče nutné pro případné obnovení zapomenutých přístupových údajů.

Vzhledem k rozdílným požadavkům jednotlivých firem obsahují balíčky Kaspersky Endpoint Security for Business různé funkcionality v balíčcích Select, Advanced a Total.


Hackerem se může stát kdokoliv. Stačí pár tisíc korun

20.4.2017 Novinky/Bezpečnost Kriminalita
V dnešní době se může stát hackerem doslova kdokoliv. Nepotřebuje k tomu žádné hluboké znalosti počítačových sítí, ani nemusí neustále hledat nové bezpečnostní trhliny v různých programech. Jak upozornil server The Hacker News, stačí k tomu pár tisíc korun.
Již více než dva roky jsou největší hrozbou podle bezpečnostních expertů vyděračské viry. Škodlivé kódy označované souhrnným nástrojem jsou totiž velmi sofistikované a dokážou v počítači nadělat velkou neplechu.

Kdo by si ale myslel, že je po celosvětové počítačové síti šíří výhradně ti nejprotřelejší počítačoví piráti, byl by na omylu. Na černém internetovém trhu si je může – podobně jako zbraně či drogy – koupit prakticky kdokoliv.

Vyděračský virus připravený na míru
Podle serveru The Hacker News se na černém trhu běžně nabízí například ransomware zvaný Karmen. Případní zájemci si jej mohou koupit od rusky hovořící skupiny DevBitox za pouhých 175 dolarů, tedy v přepočtu zhruba za necelých 4400 Kč.

Takto zakoupený nezvaný návštěvník je přitom přímo připravený na útok, stačí jej tedy jen nasměrovat na předem zvolenou oběť. Žádné další hlubší znalosti počítačové problematiky nejsou potřeba.

Útok škodlivého kódu Karmen přitom probíhá úplně stejně jako v případě dalších vyděračských virů. Ty nejprve zašifrují všechna data uložená na pevném disku. Za jejich zpřístupnění pak útočníci požadují výkupné, a to klidně i několik tisíc korun.

Kyberzločinci se zpravidla snaží v majiteli napadeného stroje vzbudit dojem, že se ke svým souborům dostane po zaplacení pokuty. Ta byla údajně vyměřena za používání nelegálního softwaru apod. I proto jim celá řada lidí již výkupné zaplatila.

Výkupné neplatit
Zaplatit zpravidla chtějí v bitcoinech, protože pohyby této virtuální měny se prakticky nedají vystopovat. A tím logicky ani nelegální aktivita počítačových pirátů.

Ani po zaplacení výkupného se ale uživatelé ke svým datům nedostanou. Místo placení výkupného je totiž nutné virus z počítače odinstalovat. Zpřístupnit nezálohovaná data je už ale ve většině případů nemožné.

Uživatelé se přesto na podobné útoky mohou připravit. Stačí dodržovat základní doporučení bezpečnostních expertů, díky kterým zbytečně nezvaným návštěvníkům neotevřou zadní vrátka do svého počítače.


V Rusku zvažují zákaz VPN a proxy, které umožňují přístup na blokované weby
20.4.2017 Živě.cz BigBrother
Rusko patří k zemím s největším počtem blokovaných webů. Na černé listině tamního úřadu Roskomnadzor je téměř 70 tisíc stránek, které musí být zablokovány na úrovni poskytovatelů. Uživatelé však tato opatření obchází díky prostředkům jako VPN nebo proxy serverů, což se ruským institucím nelíbí. I proto se nyní na vládní úrovni začne projednávat návrh pro jejich zablokování – informoval o tom TorrentFreak.

Ruský Roskomnadzor chce po Opeře vestavěný blacklist. Uživatelé ji využívají pro prohlížení blokovaných webů
Nový zákon by ukládal poskytovatelům zablokovat všechny nástroje, které mohou být využity pro návštěvu zapovězených stránek – primárně jde o zmíněné VPN a proxy servery, zároveň to však mohou být i webové služby pro mirroring stránek nebo Tor. Do této definice by mimo jiné spadala také Opera, která obsahuje funkci VPN pro změny IP adresy.

Nový návrh následuje jiné opatření, které by mělo ovlivnit zobrazování výsledků ve vyhledávačích. Veškeré služby sloužící pro prohledávání webu by měly mít zakázáno zobrazit odkazy na blokované weby. V opačném případě jim bude hrozit pokuta v přepočtu asi 310 tisíc korun.


NSA už Windows ke špehování nezneužije, tvrdí Microsoft

20.4.2017 SecurityWorld BigBrother
Microsoft reaguje na kauzu s NSA a opravuje zranitelnosti, které toto agentura využívala ke svým špionážním účelům. Starší verze Windows však jsou – a zůstanou – zranitelné.
Microsoft oznámil, že opravil většinu kritických míst ve Windows, které údajně zneužívala ke špehování uživatelů Národní bezpečnostní agentura (NSA). Na její počínání před pár dny upozornila hackerská skupina Shadow Brokers, zveřejněním obsáhlé dokumentace svědčící o aktivitách agentury.

„Většinou šlo o mezery spadající do kategorie rizik, které jsme už dříve záplatovali v rámci našich dalších produktů,“ uvedl Philip Misner, jeden z bezpečnostních pracovníků Microsoftu, v internetovém příspěvku, v němž devět konkrétních případů přibližuje a to včetně nápravných aktualizací, spadajících do období října 2008 – března 2017.

Zmiňuje se však také o tom, že tři z kritických míst, na které Shadow Brokers poukazují, záplatovány nebyly a ani nebudou.

„Uživatelé Windows 7 a novějších, respektive Exchange 2010 a novějších, nejsou v ohrožení. Ti, kteří používají starší verze těchto produktů, by si je měli aktualizovat na novější, aby mohli být zahrnuti do naší podpory.“ Z jeho slov tedy jasně vyplývá, že uživatelé Windows starších než jsou „Sedmičky“ se mohou vystavovat riziku, kvůli ukončené podpoře Microsoftu.

Matt Suiche, zakladatel bezpečnostní společnosti Comae Technologies, v návaznosti na uniklé dokumenty dodává, že Národní bezpečnostní agentura využívala ve velkém mimo jiné chyb ve starších verzích Windows Server, především Windows Server 2003.

Uživatelům proto důrazně doporučuje aktualizaci svých systémů nebo rovnou update na nejnovější Windows 10. „Zneužít chyb ve Windows 10 je výrazně těžší než v případě Windows 7,“ dodává Suiche.


Mezi hackery se rozmáhá ransomware jako služba

20.4.2017 SecurityWorld Viry
Bezpečnostní experty znepokojuje nový trend. Ransomware jako služba se dá koupit za necelých 4 500 Kč.

Kyberzločinci mohou do svého arzenálu přidat další snadno použitelnou zbraň. Ransomware kit Karmen, který se na černém trhu objevil k dostání za 175 dolarů, tedy necelých 4 500 Kč. Na pochybných internetových fórech ho nabízí rusky hovořící hacker s nickem DevBitox, na kterého upozornila bezpečnostní společnost Recorded Future,

Karmen podle ní spadá do kategorie ransomware-as-a-service – ransomware jako služba, která v poslední době zaznamenává znepokojující rozmach. Takový ransomware totiž mohou zneužít i začínající hackeři s minimálními znalostmi, kteří za své peníze dostanou celý balík webových nástrojů určených k vývoji jejich vlastních ransomware útoků.

Práci s Karmen usnadňuje jednoduše ovladatelné rozhraní skrz které mohou uživatelé ransomware modifikovat, k dispozici mají také rychlý přehled zařízení, které se jim podařilo napadnout, a k tomu pohled do „banku“, kde vidí, kolik už jim jejich kriminální aktivity vynesly.

Rusky komunikující DevBitox, pravděpodobně jen jeden z vývojářů zodpovědných za Karmen, tento hackerský kit nabízí na několika pochybných fórech s tím, že dostupné jsou ruská a anglická jazyková verze. Dle zjištění Recorded Future od loňského prosince prodal dvacet kopií, které byly vysledovány v Německu a v USA. Pořizovací cena 175 dolarů se platí jednorázově předem.

„Takto nízká cena umožňuje vydat se hackerskou cestou více lidem a pořizovatelům umožňuje nechat si sto procent toho, co se jim podaří z obětí útoků získat,“ konstatuje šéf Recorded Future Andrej Baryšev.

Na druhou stranu, ti technicky zdatnější, mohou svá data zašifrovaná skrz Karmen relativně snadno zachránit. Škodlivý kód je totiž postavený na Hidden Tear, opensourceovém ransomware projektu, který kyberzločinci již delší dobu používají k vývoji vlastních ransomwarových mutací a proti kterému se bezpečnostním expertům daří docela zdárně bojovat vydáváním bezplatných nástrojů pro rozšifrování „unesených“ dat.


Phishingový útok výměnou IDN znaků v doméně znovu na scéně
20.4.2017 Root Phishing

O útoku jménem „Homograph Attack“ víme už šestnáct let, přesto stále ještě neexistuje dokonalá obrana. Nové experimenty ukazují, že stále můžeme naletět na domény se zaměněnými znaky.
Možnost registrovat si domény s národními znaky (IDN) se začala v jednotlivých TLD pozvolna objevovat v letech 2004 a 2005. Už nejméně od roku 2001 je ale známo, že záměnou znaků z různých abeced je možné vytvořit doménu na první pohled nerozeznatelnou od té původní. Pánové Evgeniy Gabrilovich a Alex Gontmakher to nazvali The Homograph Attack [PDF].

Bezpečnostní odborník Xudong Zheng o šestnáct let později ukazuje, že problém stále existuje a je zneužitelný k phishingovým útokům. IDN totiž umožňuje vytvořit doménové jméno, které nebude obsahovat jen ASCII znaky, ale prakticky libovolný Unicode znak. Znaky v některých abecedách (typicky cyrilice, ale i jiné) se totiž velmi podobají znakům v latince. Navíc se v mnoha fontech vykreslují zcela totožně s odpovídajícími latinkovými znaky, takže je nelze pohledem nijak rozlišit.

Porovnejte například tyto dvě domény. Poznáte, která z nich je phishingová a která patří doopravdy společnosti Apple?


Na první pohled jsou k nerozeznání a jedna z nich rozhodně uživatele oklame. Rozdíl je vlastně jen nepatrný – všimněte si, že se malé L ve slově Apple vykresluje různě. První doména je totiž nepravá a její jméno se skládá pouze ze znaků cyrilice. V zóně je ale zapsána jako https://www.xn--80ak6aa92e.com/.

Vyzkoušejte sami:

Apple.com vs. Apple.com
Epic.com vs. Epic.com
Firefox i Chrome zobrazí všechny odkazované domény správně, uživatel nemá jak poznat, že se dostal na falešnou stránku. V tomto případě weby zobrazují neškodnou informační stránku, ale technicky jim nic nebrání začít provádět phishing na uživatele originálních stránek.

Všimněte si také, že „phishingové“ weby používají HTTPS s důvěryhodným certifikátem. Získat DV certifikát pro takovou doménu není problém, autorita totiž ověřuje jen možnost manipulace s doménou, nedokáže certifikovat dobré úmysly vlastníka.

Čtěte: Budou mít všechny phishingové weby platný certifikát?

Certifikační autorita Let's Encrypt, která byla v demonstračních ukázkách použita, podporuje IDN domény od konce loňského roku a tvrdí, že bezpečnost si musí zajistit doménové registry. Pokud tedy je možné doménu zaregistrovat, vystaví vám na ni autorita certifikát. To může dále pomoci oklamat uživatele – doména je správná a je zabezpečená, všechno je v pořádku. Nutno dodat, že viníkem tu není Let's Encrypt, ale obecně princip chabě ověřovaných DV certifikátů.

Problém tohoto typu je možné řešit na obou stranách: registry mohou na IDN domény zavést speciální pravidla, prohlížeče mohou bránit uživatele vlastními prostředky. Některé registry zavedly možnost registrace domén jen s omezenou sadou Unicode znaků, jiné se brání míchání různých znakových sad. Bohužel to není všeobecné a pevné pravidlo, protože například generické domény umožňují z pochopitelných důvodů různé znakové sady, stejně jako existují jazyky, kde je míchání jednotlivých sad běžné.

Prohlížeče se brání velmi podobně: zobrazují lidsky čitelnou variantu domény jen v tom případě, že zobrazovaná doména nemíchá různé znakové sady. Pokud prohlížeč na takové použití narazí, chrání uživatele tím, že zobrazí punycode variantu, tedy název domény kódovaný do ASCII. Pokud by tedy například bylo v doméně apple.com nahrazeno cyrilicí jen první písmeno, prohlížeč by zobrazil xn--pple-43d.com.

V případě demo domén Apple a Epic ale k míchání sad nedochází, protože jejich jména vůbec neobsahují znaky v latince. Jsou celá napsaná cyrilicí a přesto jsou původním doménovým jménům velmi podobná. V zóně jsou ale uložena jako xn--80ak6aa92e.com a www.xn--e1awd7f.com. Obranné mechanismy v prohlížečích proto selhávají.

Ve Firefoxu je možné přepnout zobrazení natrvalo, takže se vám čitelná varianta nezobrazí v žádném případě. V about:config je potřeba najít volbu network.IDN_show_punycode a přepnout ji na true. U ostatních prohlížečů taková cesta neexistuje a uživatelé musí počkat na aktualizaci, která by měla problém vyřešit.

Vývojářům Chrome byla chyba nahlášena v lednu a oprava se dostane do příští verze Chrome s označením 58. Vývojáři Firefoxu mají také otevřený bug a zatím se baví o vhodném řešení. Opatření přijaté v Chrome bude hlídat, zda doménové jméno neobsahuje výhradně znaky podobné těm v latince. Kontrola ale bude probíhat jen na běžných latinkových TLD, ne na IDN TLD jako рф.

Aktualizace: Chrome 58 pro desktop byl vydán a skutečně obsahuje výše popsaný mechanismus, kterým se brání tomuto typu domén. Podvrženou doménu Apple.com nyní zobrazí uživateli v punycode.

Připomeňme, že naše národní doména .CZ podporu IDN nezavedla, protože se proti ni trvale staví většina uživatelů. Výsledky nejnovějšího průzkumu byly zveřejněny letos v únoru a proti zavedení systému IDN se vyslovilo 68 procent respondentů z řad individuálních uživatelů internetu a 71 procent oslovených zástupců organizací. Jedinou českou IDN doménou tak zůstává háčkyčárky.cz, kde CZ.NIC sdružuje výsledky průzkumů a vysvětluje nevýhody IDN domén.


Hackeři si vzali na mušku hotely. Napadli jich přes tisíc

20.4.2017 Novinky/Bezpečnost Kriminalita
Zhruba 1200 hotelů ve Spojených státech fungujících pod značkami řetězce InterContinental Hotels Group (IHG) se loni stalo terčem útoku hackerů, jejichž software mohl sbírat informace z platebních karet hostů. Informovala o tom firma.

Škodlivý software hackerů mohl sbírat informace z platebních karet hostů.
Škodlivý software hackerů mohl sbírat informace z platebních karet hostů.
Hoteloví hosté byli varováni, že by se v důsledku tohoto útoku mohli stát obětí krádeže peněz. Program byl podle IHG aktivní pravděpodobně v období od 29. září do 29. prosince.

"Lidé by měli pozorně kontrolovat výpisy ze svých účtů platebních karet," řekla serveru BBC mluvčí společnosti. "Pokud objeví neautorizované platby, měli by okamžitě informovat svou banku," dodala.

Společnost IHG sídlí v Británii a vlastní například hotelové značky Holiday Inn a Crowne Plaza.


Není apple.com jako apple.com. Specialista ukázal, jakou hrůzu může způsobit IDN phishing
18.4.2017 Živě.cz Phishing
Klasický webový phishing spoléhá na nepozornost surfaře a láká třeba na falešné webové bankovnictví známé banky, přičemž web používá velmi podobnou doménu, takže si změny jednoho znaménka mnozí nemusí všimnout.

Češi pořád nechtějí háčky a čárky v doménách
Jenže vedle tohoto klasického phishingu tu máme ještě riziko IDN phishingu, který používá v podstatě libovolné znaky sady Unicode. A to je problém, mnohé vizuálně identické znaky nad rámec základní ASCII tabulky totiž mohou způsobit katastrofu. Zvláště tehdy, pokud na tuto potenciální záměnu neupozorní sám prohlížeč.

Hacker News píše o jednom takovém experimentu jistého čínského bezpečnostního specialisty, který demonstruje potenciál IDN phishingu na doméně apple.com.

Klepněte pro větší obrázek
Ne, nikdo nehacknul web Applu, toto totiž není doména apple.com

Klepněte pro větší obrázek
A pro srovnání tatáž adresa v prohlížeči Edge, který korektně označil doménu jako IDN (ikona speciálních abeced při pravém okraji adresního řádku a doménu převedl na zástupné znaky do klasického ASCII formátu)

Doména apple.com patří Applu, zkuste ale ve Firefoxu a Chromu navštívit tuto adresu. Na první pohled se zdá, že je v adresním řádku adresa apple.com, ve skutečnosti se však jedná o vizuálně identické nicméně odlišné znaky Unicode. Firefox a Chrome přitom neupozorní, že se jedná o doménu, která používá znaky Unicode, takže odhalit, že se vlastně vůbec nejedná o apple.com, ale o xn--80ak6aa92e.com, jak lze IDN znaky přepsat do základní ASCII latiny, je na první pohled prakticky nemožné.

Lze předpokládat, že výrobci největších prohlížečů tuto potenciální bezpečnostní díru zalátají, do té doby se ale mějme na pozoru. Zároveň je to argument pro ty, kteří se ostře staví proti zavádění IDN domén v Česku.


Záznam CAA spáruje doménu a autoritu, kontrolován bude od září
18.4.2017 Root.cz Bezpečnost
CA/Browser Forum odhlasovalo, že certifikační autority musí od 8. září povinně kontrolovat u domén záznam typu CAA. Ten umožňuje provozovateli domény zvolit autoritu oprávněnou vydat pro jeho doménu certifikát.
Současný model certifikačních autorit má několik zásadních slabin. Mezi ty nejviditelnější patří fakt, že jsou si autority rovny, tedy že libovolná z nich může teoreticky vydat certifikát pro libovolnou doménu. Z hlediska uživatele bude vše v pořádku, protože pokud jeho klient nepoužívá například validaci záznamů TLSA (DANE) nebo nemá nakešované hlavičky HPKP, nedozví se, že je něco špatně.

Útočník tak může zmanipulovat některou z autorit tak, aby mu vydala certifikát s jeho vlastním veřejným klíčem. V takovém případě je pak schopen se vydávat za cizí server, protože vlastní privátní klíč k platnému certifikátu vydanému důvěryhodnou autoritou. Nedávno se takto podařilo například kvůli chybě vylákat certifikáty k doménám GitHubu.

Takto chybně vydané certifikáty jsou velkým problémem, který se v komunitě intenzivně řeší. Vývojáři Chrome například intenzivně prosazují databázi Certificate Transparency, jejíž použití bude pro autority povinné ještě během letošního roku. Umožní dodatečně odhalit, že byl neoprávněně vydán certifikát pro vaši doménu. Pokud budete tento log automatizovaně sledovat (třeba pomocí utility certspotter), certifikátu si všimnete. V tu chvíli už ale bude vydaný a může být zneužíván proti uživatelům.

CAA jako prevence
Záznam typu CAA má za úkol chybnému vydání certifikátů předcházet. Provozovatel domény pomocí tohoto záznamu v DNS určí, které autority jsou oprávněny certifikát pro danou doménu vystavovat. Kontrola tohoto záznamu je pro autoritu zatím dobrovolná, ale jde o jakousi pojistku navíc, protože chrání autoritu před chybným vystavením certifikátu. Ať už vlivem technického problému nebo úmyslnou manipulací.

Důležité je, že na rozdíl od zmíněného TLSA nejsou záznamy typu CAA určeny pro validaci koncovým klientem. Aplikace je nesmí využívat při kontrole důvěryhodnosti certifikátu. Výslovně to zakazuje RFC 6844, které tyto záznamy zavádí. Důvodem je především to, že záznamy se mohou v čase měnit a zatímco autorita se k nim dostává v čase vydání certifikátu, klient už může později vidět jiný stav. Třeba ten určený pro novou autoritu. Pro klienty zůstává platný TLSA záznam.

V případě nové žádosti o vystavení certifikátu autorita kromě dalších validačních kroků zkontroluje na doméně přítomnost CAA záznamu. Pokud existuje a povoluje dané autoritě vystavení certifikátu, proces může pokračovat. Pokud záznam odkazuje na jinou autoritu, měl by být proces vydávání zastaven.

Samozřejmě stále existuje řada scénářů, které dovolují tuto kontrolu obejít. Útočník může zcela ovládnout systémy autority a vystavit si certifikát i bez kontroly. Může také získat privátní klíče autority a pak si podepisovat certifikáty dle libosti. Ovšem viděli jsme celou řadu případů, kdy byla zneužita drobná chyba v API autority nebo byl narušen validační proces. V takové situaci by CAA záznam velmi pravděpodobně umožnil vydání certifikátu zastavit. Stejně tak může být využit jako obrana proti plně automatizovaným autoritám, které by mohl útočník zmanipulovat. Stále je tu řada situací, kdy další zámek navíc pomůže.

V současné době je kontrola CAA záznamů ze strany autorit zcela dobrovolná a některé autority s ní už začaly. Chrání tím především samy sebe před skandálem s omylem vydanými certifikáty pro důležité domény. Od 8. září ale musí záznam kontrolovat všechny autority. Správci domén tak budou mít možnost skutečně významně omezit možnosti zneužití systému PKI.

Je tu samozřejmě otázka, zda se některé autority nemohou rozhodnout CAA jednoduše ignorovat. Pokud by tak učinily, vystavují se riziku vyřazení z databází důvěryhodných autorit, protože budou porušovat jedno ze závazných pravidel. Navíc je třeba zopakovat, že je v zájmu autorit podobnou pojistku podporovat, protože tím chrání především samy sebe. Jeho nasazením nemáme v každém případě co ztratit.

V době psaní článku CAA záznam validují autority: Amazon, Certum, Comodo, DigiCert, Entrust, GlobalSign, GoDaddy, Izenpe, QuoVadis, Starfield GoDaddy, StartCom WoSign, Let’s Encrypt, Symantec/GeoTrust/Thawte, T-Telesec, Trustwave, WoSign.

Jak si ho pořídit a nasadit
CAA je záznam typu 257 a pokud máte starší utility (například dig), bude vám pod tímto označením také zobrazován. Vyzkoušel jsem, že například BIND utils 9.9.5 tento záznam ještě neznají, verze 9.11 si s ním ale už rozumí a zobrazí vám jednak samotný název záznamu, ale i jeho podobu dekódovanou do lidsky čitelné podoby.

Pro vytvoření záznamu je možné použít pěkný webový CAA Record Generator, kde stačí jednoduše vyplnit doménu a poté naklika, které autority mají oprávnění vydávat běžný či hvězdičkový certifikát pro danou doménu.

Generátor poté vygeneruje záznam ve standardním tvaru pro běžné DNS servery, případně v legacy tvaru pro starší verze. Nakonec záznam vypadá například takto:

$ dig nebezi.cz caa +short
0 issue "letsencrypt.org"
0 issuewild "\;"
Vidíte, že jsou tu záznamy dva, jeden pro běžný certifikát na konkrétní jméno, druhý na hvězdičkové certifikáty. V případě webu Neběží.cz tak signalizujeme autoritám, že jedině Let's Encrypt je oprávněna vydávat pro doménu certifikáty. Číslo v záznamu (v tomto případě nula) pak značí, zda je daný záznam kritický. Pokud by zde byla hodnota 128, nesmí autorita certifikát vydat, pokud by danému záznamu nerozuměla.

Definován je ještě záznam typu iodef, který dovoluje určit způsob, jakým autorita správci domény může ohlásit, že se někdo pokusil neoprávněně certifikát získat. Informace putují pomocí formátu IODEF (RFC 5070) a mohou být doručeny zde uvedeným e-mailem nebo na URL webové služby podle RFC 6546. Chování autority v tomto ohledu ale podléhá vnitřním směrnicím a není zaručeno, že autorita bude incidenty hlásit.

Další pojistka
Záznam typu CAA slouží jako další pojistka navíc, která nic nepokazí. Už teď ji podporuje celá řada autorit, za pár měsíců to budou dělat povinně všechny. Autority by tak už neměly neoprávněně vystavit certifikát, pokud správce domény záznam zavedl a uvádí v něm skutečně jen tu svou používanou autoritu.

Zároveň to ale umožní posílení externí kontroly například s pomocí Certificate Transparency. Bude tak možné automatizovaně kontrolovat všechny vystavené certifikáty a vyhledávat v použitých doménových jménech CAA záznamy. Přinejmenším tak bude možné velmi rychle a efektivně odhalit autority, které i přes povinnou kontrolu CAA certifikát vystavily.


Nástroje na ovládnutí Windows jsou volně dostupné. Hackeři je prý získali od NSA
18.4.2017 Živě.cz BigBrother

Hackerská skupina The Shadow Brokers tvrdí, že získala velké množství hackerských nástrojů, které údajně vytvořila a aktivně využívala Americká bezpečnostní agentura NSA. Hackeři v příspěvku nazvaném na serveru steemit.com zveřejnili trojici souborů s prolamovacími programy.


Hackli hackery NSA a chtějí milión Bitcoinů
Soubory s názvy Windows, Swift a OddJob jsou sice zašifrovány prostřednictvím softwaru GnuPG. K obsahu archivů se však aktuálně dostanou i méně technicky zdatní uživatelé. Hacker s přezdívkou Misterch0c totiž vložil do služby GitHub jejich dešifrovánou podobu.

Sbírka nástrojů ovládne Windows

Složka „Windows“ obsahuje působivou sbírku útočných modulů, které slouží k převzetí úplné kontroly nad cílovým počítačem nebo k vytvoření zadních vrátek. Hackerský nástroj je ve velké míře automatizovaný, takže by ho mohl zneužít kdokoliv s dostatečnými technickými znalostmi.

Například bezpečnostní expert Matthew Hickey už stihl otestovat jeden z modulů (FuzzBunch), přičemž zveřejnil i názorné video. Na něm je vidět, jak se mu podaří ovládnout Windows Server 2008 R2 SP1 za méně než dvě minuty.


Podle více informací byl útočný software účinný na systémech Windows 2000, XP, 7, 8, jakož i na jejich serverových edicích (Server 2000, 2003, 2008, 2008R2 a 2012). Windows 10 a Server 2016 jsou vůči této hrozbě imunní.

Microsoft vydal v této souvislosti prohlášení, v němž uvedl, že většina ze zranitelností byla opravena již v minulosti. Poslední záplaty aktivně využívaných chyb byly přitom uvolněné před měsícem, 14. března.

Další várka úniků ze CIA. Wikileaks popisuje, jak se Američané údajně vydávají za Rusy, Číňany a další
Trojice z útočných modulů, konkrétně EnglishmanDentist, EsteemAudit a ExplodingCan údajně nefunguje na v současnosti podporovaných systémech (Windows 7 a novější). V zastaralých systémech (Windows XP a podobně) zůstanou uvedené hackerské nástroje nadále funkční.

Malware na míru a banky pod kontrolou

Druhý nástroj s názvem OddJob nebyl zatím důkladně prozkoumán. Jeho hlavním účelem je vytvoření a následné nastavení škodlivého kódu na míru - podle specifických požadavků. Součástí útočného softwaru je i řídicí server. Podrobnosti o jeho reálné funkčnosti nejsou aktuální známé.

Podle informací zveřejněných na GitHubu je hackerský nástroj určený pro operační systém Windows 2000 a novější. Výsledné infikované soubory prý nejsou detekovány žádným antivirovým softwarem.

Poslední z archivů obsahuje citlivé informace pocházející od jednoho z největších poskytovatelů služby SWIFT na Středním východě.

SWIFT (Society for Worldwide Interbank Telecommunication) je celosvětový počítačový systém sdružující více než 9 tisíc bank a finančních organizací na celém světě. Slouží k provádění jednotlivých transakcí, přičemž zpracuje platební příkazy ve výši šesti miliard eur denně.
Mezi soubory se nacházejí rozsáhlé seznamy intranetových IP adres jednotlivých klientů - včetně názvu připojeného počítače (serveru). Figuruje zde i několik veřejných IP adres, stejně i jména a hesla pro přístup do systému. Nechybí ani SQL skripty sloužící k prohledávání Oracle databází.

Pokud software skutečně pochází od NSA, měl v roce 2013 tato organizace přístup k serverům mnoha bank. Většina dat přitom pochází z finančních institucí sídlících v Kuvajtu, Palestině, Jemenu, Kataru a podobně.

Další várka úniků ze CIA: „Temná hmota“ a „sonický šroubovák“ jsou postrachem jablíčkářů
Společnost EastNets zastřešující SWIFT vydala v souvislosti s touto aférou oficiální prohlášení. V něm uvedla, že informace o útocích jsou nepravdivé a nepodložené. „Na základě interního bezpečnostního auditu nebyla odhalena žádná zranitelnost, ani neoprávněný přístup“, uvádí EastNets na svém webu.

Část prohlášení však nepřímo potvrzuje původ uniklých materiálů. V něm se uvádí, že citlivé informace pocházejí z jednoho ze serverů, který se již od roku 2013 nevyužívá.

CIA přišla o mnoho citlivých materiálů

Připomeňme, že nejde o ojedinělý případ, kdy státní bezpečnostní organizace přišla o citlivé informace či dokonce software. V posledním období snad nejvíce rezonovaly zprávy o uniklých materiálech pocházejících ze zákulisí americké CIA.

Skupina Wikileaks zveřejnila další úniky ze CIA. Popisují tvorbu virů pro Windows
Ještě počátkem března zveřejnila organizace WikiLeaks první část informací o hackerských nástrojích, které údajně využívá CIA. Sbírka materiálů dostala označení Vault 7, přičemž obsahuje 8 761 dokumentů a souborů.

Podle odhalení disponují její pracovníci širokým spektrem různých hackerských nástrojů. Díky nim dokáží převzít kontrolu nad libovolným operačním systémem (Windows, Linux či MacOS), ovládnout smartphone se systémem iOS a Android či hacknout chytré televizory.


Tisíce zotročených routerů útočily na webové stránky

18.4.2017 Novinky/Bezpečnost Počítačový útok
Počítačovým pirátům se podařilo především v domácnostech na dálku ovládnout tisíce routerů. Prostřednictvím těchto zařízení, která se standardně používají k připojení k internetu, pak podnikli hned několik útoků na různé webové stránky. Upozornil na to Národní bezpečnostní tým CSIRT.CZ.
„Tisíce zranitelných domácích routerů byly hacknuty a jsou zneužívány k útokům na webové stránky,“ varoval Pavel Bašta, bezpečnostní analytik týmu CSIRT.CZ. Ten je provozován sdružením CZ.NIC.

Podle něj využili kybernetičtí nájezdníci síť zotročených routerů hned k několika útokům, vždy se však soustředili na menší stránky běžící na systému WordPress. Ty zpravidla nezvládly přístup tak velkého množství „uživatelů“ a zhroutily se.

Zotročit se podařilo kyberzločincům jen některé routery. „Problém se týká celé řady výrobců různých zařízení s integrovaným web serverem AllegroSoft RomPager verze 4.07. Ten totiž trpí zranitelností známou jako Misfortunate Cookie, která byla v pozdějších verzích opravena,“ přiblížil technickou stránku věci Bašta.

Většina zotročených routerů pochází podle bezpečnostních expertů z Alžírska, není nicméně vyloučeno, že k útokům jsou zneužívány i tuzemské routery.

Zda je tento síťový prvek zranitelný, si mohou uživatelé vyzkoušet sami díky webové společnosti Wordfence. Ta vytvořila jednoduchou aplikaci, prostřednictvím které je možné zabezpečení routeru otestovat pouhým kliknutím na tlačítko „scan me“. On-line nástroj je k dispozici na anglických stránkách Wordfence.

Útoky jsou stále častější
Na brány do světa internetu se zaměřují kyberzločinci stále častěji. Využívají toho, že zabezpečení těchto internetových zařízení uživatelé především v domácnostech velmi podceňují, někdy to ale platí i o firmách. Loňská studie Cisco Annual Security Report totiž ukázala, že devět z deseti internetových zařízení má slabá místa.

Hlavní problém je podle bezpečnostních expertů v tom, že routery není možné chránit antivirovými programy, jako je tomu u počítačů. I tak ale nejsou uživatelé úplně bezbranní. „Hlavní způsob, jak této hrozbě předejít, představuje upgrade firmwaru routeru na aktuální verzi a nepoužívat mnohdy triviální přednastavené přihlašovací jméno a heslo. Rovněž je vhodné zvážit přihlašování k routeru pouze z vnitřní sítě, a nikoliv z internetu,“ uvedl již dříve Pavel Matějíček, manažer technické podpory společnosti Eset.

Do konfigurace routerů by se nicméně neměli pouštět méně zkušení uživatelé. Mohou totiž nevhodným nastavením způsobit více škody než užitku. Paradoxně tak mohou klidně otevřít zadní vrátka pro útočníky.


Mění se pravidelné hlášení o chybách, Microsoft zahodil bulletiny

18.4.2017 SecurityWorld Bezpečnost
Desítky let vydával Microsoft pravidelné bezpečnostní bulletiny – hlášení o záplatách a aktualizacích chyb a zranitelností. Šlo o systém pohodlný jak pro uživatele, tak především pro IT administrátory, zodpovědné za zabezpečení sítě a chodu informačních technologií ve firmě.

Firma nyní používá jinou verzi každoměsíčního hlášení, uživatelé však nejsou spokojeni.

„Je to jako učit se znovu chodit, běhat a řídit kolo, najednou,“ říká Chris Goettl, produktový manažer firmy Ivanti.

Microsoft mluvil o zrušení bulletinů již měsíce a jednou dokonce jejich zrušení v průběhu odvolil; vypadá to, že nyní jde skutečně o finální konec.

Bulletiny nahrazuje databáze vyhledávatelná databáze dokumentů, přístupných skrze portál Security Updates Guide (SUG). Obsah databáze lze třídit a filtrovat pomocí konkrétního softwaru, data vydání aktualizace, identifikačním CVE zranitelností, číselným nebo KB označením aktualizace, případně podpůrným dokumentem „knowledge base“.

Předchůdcem SUG byly oblíbené bezpečnostní bulletiny, existující minimálně od roku 1998. Microsoft si na nich dal tak záležet, že je mnozí považovali za laťku, které by měli softwaroví vývojáři dosahovat.

Během včerejších aktualizací, které mimo jiné opravily kritickou zero day zranitelnost ve Wordu, se bulletiny již neobjevily.

Goettl, který na posouzení nového systému počkal do konečného zrušení bulletinů, není ze SUG nijak nadšený.

Dříve se mu SUG nechtěl posuzovat, ale viděl v něm jisté „velké možnosti“. Dnes si však není jistý, zda SUG dokáže dodávat stejnou kvantitu a kvalitu informací jako bulletiny bez toho, aby zbytečně zatěžoval IT administrátory.

„Nebyl jsem si tím jistý, ale doufal jsem, že dostaneme stejné podrobnosti,“ řekl k SUGu.

Ačkoli většina dřívějších dokumentů a informací z bulletinů zůstala v SUGu dostupná, problém je v přístupnosti k těmto online dokumentům.

„Tento měsíc Microsoft vyřešil 46 zranitelností,“ vysvětluje Goettl. „Trvalo mi čtyři hodiny to objevit s pomocí SUGu. Minulý měsíc bylo vyřešeno 136 zranitelností a pomocí bulletinů jsem to zjišťoval dvě hodiny. Takže s bulletiny jsem udělal trojnásobné množství práce za poloviční čas.“

Nelichotivý obrázek.

Goettl viní Microsoft z toho, že administrátorům zbytečně přidělává práci a stěžuje jim přístup k informacím. Protože základem databáze jsou CVE – unikátní identifikátory každé zranitelnosti – musel Goettl pro zjištění podrobných informací otevírat velké množství stránek v prohlížeči.

„Dříve jste prostě navštívili bulletin, řekněme pro Windows 10, a tam byly vypsání vyřešené zranitelnosti a související stránky s KB, vše na jednom místě,“ vysvětluje. „Ale tento měsíc pro 26 vyřešených zranitelností jsem musel otevírat 26 webových stránek. Pro každou jednotlivou zranitelnost.“

„To pro mě bylo lehké zklamání.“

Goettl především nerozumí důvodům Microsoftu. „Nevím, jaký to má pro firmu smysl bulletiny rušit,“ popisuje. Goettl vedl webinář o bezpečnostních aktualizacích zdarma – běžná praxe v Ivanti – a mnozí účastníci sdíleli jeho údiv.

„Nikdo nechápal, proč se Microsoft snaží udělat vyhledávání informací těžší.“

Goettl prozatím doufá, že Microsoft bude naslouchat zákazníkům a udělá v SUGu změny. „Je potřeba další práce. Tímhle to nemůže skončit,“ věří.

Mezitím Ivanti vytvořilo, čemu Goettl říká „umělé bulletiny“, které dodávají informace ze SUGu zákazníkům využívajícím systém pro správu aktualizací Shavlik. Goettl potvrdil, že podobné starší systémy pod Ivanti budou dostávat podobné informace.


NSA podle hackerů nabourala bankovní systém SWIFT

15.4.2017 Novinky/Bezpečnost BigBrother
Skupina hackerů zvaná Shadow Brokers zveřejnila v pátek dokumenty budící podezření, že americká Národní agentura pro bezpečnost (NSA) dokázala proniknout do bankovní sítě SWIFT, sloužící k mezinárodním převodům. Oznámily to v sobotu tiskové agentury.


Mnozí experti považují únik údajů za věrohodný, přestože dotčené firmy a instituce jej popřely, anebo se odmítly vyjádřit, uvedla na svém webu stanice BBC pod titulkem "Vláda Spojených států 'nabourala globální bankovní systém'". NSA se nevyjádřila.

NSA údajně prostřednictvím přísně tajné jednotky počítačových pirátů sledovala především blízkovýchodní banky kvůli případným transakcím teroristů – a prý využila slabin v produktech firmy Microsoft, používaných v počítačích po celém světě, uvedla agentura AFP.

SWIFT (Society for Worldwide Interbank Financial Telecommunication - Společnost pro celosvětovou mezibankovní finanční telekomunikaci) slouží zejména k mezinárodnímu platebnímu styku. Jde o počítačově řízený systém pro dálkový přenos dat mezi bankami a dalšími finančními i nefinačními institucemi. V rámci SWIFTu má každá zúčastněná banka svůj jedinečný kód, kterým se identifikuje - BIC. Zdroj: Wikipedia
„Nezaznamenali jsme žádné známky neoprávněného přístupu do naší sítě či do služby přenosu zpráv,” tvrdí SWIFT sídlící v Belgii. BBC připomněla, že hackeři systém úspěšně napadli, když loni zločinci ukradli bangladéšské ústřední bance 81 miliónů dolarů (asi dvě miliardy Kč).

Slabiny za padesát miliónů
Dubajská kancelář EastNets, sloužící při převodech blízkovýchodním bankám, zprávu o svém údajném nabourání popřela jako "zcela falešnou a nepodloženou".

Microsoft prostřednictvím blogu svého manažera pro bezpečnost Phillipa Misnera ujistil své zákazníky, že jsou v bezpečí, pokud si své počítačové programy řádně aktualizují. Programový gigant už vyvinul obranu v případě devíti z 12 nástrojů zmíněných hackery, zbývající tři představují zastaralé a nepodporované výrobky.

Zmíněné "bezpečnostní slabiny" by podle BBC mohly na černém trhu vynést více dva milióny dolarů (asi 50 miliónů Kč).

Follow
Edward Snowden ✔ @Snowden
The Mother Of All Exploits escaped from an NSA laboratory and is wrecking the internet. https://motherboard.vice.com/en_us/article/your-governments-hacking-tools-are-not-safe …
12:54 AM - 15 Apr 2017
Photo published for Your Government's Hacking Tools Are Not Safe
Your Government's Hacking Tools Are Not Safe
From Cellebrite, to Shadow Brokers, to the CIA dump, so many recent data breaches have shown there is a real risk of exposure of government hacking tools.
motherboard.vice.com
2,711 2,711 Retweets 2,943 2,943 likes
Pokud tato odhalení odpovídají pravdě, jsou podle BBC nejvážnější od dob bývalého spolupracovníka amerických rozvědek Edwarda Snowdena, který informoval o rozsahu globálního špehování v roce 2013. Ten na svém twitterovém účtu označil čin NSA za „mother of all exploits”, tedy matku všech zneužití bezpečnostních trhlin, a to s jasným odkazem na čtvrteční svržení nejsilnější americké nejaderné bomby na Afghánistán, které se přezdívá matka všech bomb.


Pětina uživatelů sociálních sítí si nikdy nezměnila heslo ke svému účtu

15.4.2017 Novinky/Bezpečnost Sociální sítě
Heslo ke svému účtu si nikdy nezměnila pětina uživatelů sociálních sítí. Více než polovina lidí tak navíc neučinila za poslední rok, vyplývá z průzkumu společnosti Thycotic. Profily na Facebooku, Twitteru či LinkedInu tak zbytečně vystavují útokům.
Heslo patří k nezranitelnějším bodům komunikace na internetu. Pokud není dostatečně silné nebo ho uživatel pravidelně nemění, riskuje tím značné problémy. „Jak víme, sociální sítě obsahují spoustu soukromých informací. Když uživatelé pravidelně nemění přístupová hesla k jejich Facebooku, Twitteru nebo LinkedInu, usnadňují tak hackerům přístup k důvěrným informacím, včetně možnosti průniku do jejich pracovních počítačů a e-mailů,“ říká Joseph Carson, vedoucí týmu bezpečnostních analytiků Thycoticu.

Z průzkumu této společnosti vyplynulo, že 53 procent uživatelů si za poslední rok nezměnilo přístupové heslo k účtům na sociálních sítích. Více než čtvrtina respondentů přiznala, že mění svá hesla v práci pouze ve chvíli, kdy je k tomu automaticky vyzve firemní systém. Stejné výzvy ale u sociálních sítí zcela chybí. „Provozovatelé sociálních sítí by měli nabízet možnost upozornění na stáří a sílu hesla nebo o osvědčených postupech, jak si takové silné heslo vytvořit,“ míní Joseph Carson.

Selhávají také IT profesionálové
Ležérní přístup k heslům v průzkumu přiznali i profesionálové, kteří se zabývají bezpečností v oblasti IT. Téměř 30 procent z nich používá jako heslo datum narození, svoji adresu nebo jméno domácího mazlíčka. „Fakt, že lidé, kteří se den co den zabývají problematikou zabezpečení firemního IT, používají slabá hesla, je šokující a nepřijatelný,“ kritizuje je generální ředitel Thycotic James Legg. „Průzkum jasně ukazuje, jak zranitelná je spousta lidí, kteří ohrožují sami sebe nebo společnost, pro kterou pracují, svým nezodpovědným přístupem k heslům.“

Vytvořit bezpečné a silné heslo přitom není nic složitého. „Mělo by obsahovat alespoň osm znaků a měla by se v něm střídat velká a malá písmena, číslice a další znaky,“ popisuje Miroslav Dvořák, technický ředitel společnosti ESET. Podle jeho slov je důležité používat pro každý internetový účet unikátní heslo. „Je pravda, že služeb, ke kterým potřebujeme heslo, neustále přibývá a je těžké si všechna hesla zapamatovat. Proto je dobré využívat nástroj správce hesel, který je standardní součástí kvalitního bezpečnostního softwaru,“ dodává Dvořák.

Jenom za loňský rok byly na celém světě odcizeny tři miliardy hesel, což znamená, že za každou vteřinu hackeři ukradli 95 hesel. Počet hesel používaných firmami i uživateli bude nadále narůstat. V roce 2020 připadne podle společnosti Thycotic na jednu firmu více než 300 hesel a každý zaměstnanec zodpovědný za bezpečnost firemního IT bude zodpovědný za správu 90 hesel.


Útok na iPhony se nekonal. Hackeři tvrdí, že jim Apple zaplatil výkupné
12.4.2017 Idnes.cz Apple
Do 7. dubna měly londýnské hackerské skupině, která si říká Turkish Crime Family, přistát na účtech bitcoiny. Jinak hrozila, že zneužije stamiliony přístupových údajů majitelů iPhonů a jiných zařízení firmy Apple. A že jim zablokuje uživatelské účty a smaže data z cloudového úložiště. Později hrozili i tím, že zaútočí na servery společnosti (psali jsme zde).

Turkish Crime Family (Twitter)
@turkcrimefamily
07.dubna 2017 v 20:54, příspěvek archivován: 09.dubna 2017 v 20:26
We're still waiting for the payment, if we do not receive it any time soon the attack will start https://t.co/AUqI6bSmPW
213 lidí to sdílíodpovědětretweetoblíbit
Klíčové datum uplynulo a uživatelům se nestalo nic. Hackeři na twitterovém účtu tvrdí, že je to díky tomu, že výkupné k nim dorazilo.

V pátek nejprve správce účtu Turkish Crime Family napsal, že podle vzkazu od vyjednavače dosáhli s Applem dohody. Později – když uplynulo určených 18:30 středoevropského času – ale přidal tweet o tom, že bitcoiny stále nedorazily a tak jsou připraveni spustit útok.

Následoval jednoduchý tweet: „Ahoj všichni, koukněte, copak to tu máme.“ K němu byl připojený odkaz na kód prohnaný službou zvanou tumbler, která učiní transakci v kryptoměně ještě anonymnější. Zejména tím, že odesilatel je v podstatě nevystopovatelný.

Podle odkazu došlo k transakci v hodnotě 401 bitcoinů, tedy v přepočtu podle nedělního kurzu asi 470 tisíc amerických dolarů (necelých 12 milionů korun).

Turkish Crime Family (Twitter)
@turkcrimefamily
07.dubna 2017 v 22:50, příspěvek archivován: 09.dubna 2017 v 20:27
Hello everybody, look what we have here https://t.co/I3B0wh1Udv
550 lidí to sdílíodpovědětretweetoblíbit
„Dohoda je dohoda,“ potvrdil zástupce skupiny hackerů serveru International Bussines Times (IBT), že na základě výkupného Turkish Crime Family útok odpískalo. Zároveň však tento konec celé akce nijak neosvětlil hlavní otázku, kterou si specializované weby po celou dobu kladly. Do jaké míry byla hrozba reálná? Mohla opravdu skupina způsobit největší technologické firmě světa škody?

Vzhledem k anonymní povaze bitcoinu samozřejmě není jasné, od koho peníze skutečně přišly. Je tak možné, že Apple s vyděrači nijak nevyjednával a ti všechno nafingovali. Poměrně nízkou částku mohla dát skupina dohromady sama a vytvořit si auru hackerů, kteří porazili Apple, což se jim může hodit při budoucích hrozbách.

I mluvčí skupiny pro IBT uvedl, že nedovede podat důkaz o tom, zda převedené bitcoiny opravdu pochází od Applu. Dodal však, že působení skupiny touto akcí nekončí a plánuje něco dalšího.

Samotný Apple, který během celého trvání mediálně poměrně sledované kauzy vydal jen jedno jednoduché prohlášení, na dotaz IBT nereagoval.


Malware pro Microsoft Word se šířil e-mailovou přílohou

12.4.2017 SecurityWorld Viry

Malware pro Microsoft Word se šířil e-mailovou přílohou

Útočníci během posledních několika měsíců aktivně zneužívali zero day zranitelnost v oblíbené kancelářské aplikaci Microsoft Word. Pomocí zranitelnosti šířili malware. Dle informací serveru BBC v úterý 11. dubna Microsoft chybu opravil ve standardní měsíční bezpečností aktualizaci.
Mluvčí Microsoftu doporučil Word aktualizovat bezprostředně po vydání záplaty; není jisté, zda se chyba dotkla i verze Wordu pro Apple Mac.

První zpráva o útocích se objevila teprve nedávno od bezpečnostní firmy McAfee, kteří analyzovali několik podezřelých souborů Wordu. Vyšlo najevo, že soubory zneužívají zranitelnost vyskytující se „ve všech verzích Microsoft Office včetně nejnovějších Office 2016 na Windows 10“.

Chyba souvisí s technologií Windows OLE (object linking and embedding), která umožňuje vkládání a následnou úpravu objektů a odkazů v dokumentu, píší výzkumníci z McAfee v příspěvku na blogu.

Když jsou dokumenty útočníků otevřeny uživatelem, připojí se k externímu serveru a stáhnou soubor HTA (HTML Application), která obsahuje VBScript kód – samozřejmě infikovaný malwarem. HTA soubor se tváří jako RTF a je automaticky spuštěn.

„Úspěšný útok zavře nakažený dokument Wordu a vyskočí falešný, který se uživateli objeví,“ popisují výzkumníci McAfee. „V pozadí již tiše běží malware, nainstalovaný v systému oběti.“

Prohledáním bezpečnostních dat z minula firma McAfee zjistila, že útoky probíhají minimálně od konce ledna.

Po zprávě McAfee potvrdili analytici z jiné bezpečnostní společnosti, FireEye, že si jsou rovněž vědomi těchto útoků, a to již několik týdnů. Vše oznamovali Microsoftu a spolupracovali s ním na řešení.

Dle FireEye jsou nakažené dokumenty Wordu zaslány jako e-mailová příloha. Firma neposkytla žádné ukázky nakažených e-mailů, vzhledem k zero day stavu zranitelnosti však zřejmě mířily pouze na omezené množství uživatelů.

Jak McAfee, tak FireEye si povšimly, že zranitelností lze prolomit většinu na paměti založené ochrany, která je ve Windows zahrnuta. Zranitelnost je totiž spíše chybou v logice než v programování.


Španělsko zatklo Rusa podezřelého z ovlivňování voleb v USA

11.4.2017 Novinky/Bezpečnost Kriminalita
Španělská policie zatkla v Barceloně ruského programátora, jehož americký Federální úřad pro vyšetřování (FBI) podezírá z účasti na ovlivňování loňských prezidentských voleb v USA. Podle deníku El País v pondělí španělský soud potvrdil, že šestatřicetiletý Pjotr Levašov je ve vězení a čeká na rozhodnutí o vydání do Spojených států.
Domnělý ruský hacker, který podle ruské televize RT pochází z Petrohradu, byl zatčen před několika dny v Barceloně. Ruská televize rovněž uvedla, že Levašov byl ve Španělsku na dovolené s manželkou a synem.

„Mluvila jsem se svým manželem po telefonu. Prý mu řekli, že vytvořil počítačový virus, který měl ´něco společného s volebním vítězstvím Trumpa´”, uvedla podle listu El País Marija Levašovová. Dodala, že jejího manžela zatkli na základě amerického zatykače, který ho viní z účasti na kyberšpionáži Ruska ve prospěch Donalda Trumpa.

Měl provozovat botnet Kelihos
Údajnou tajnou předvolební spolupráci týmu současného prezidenta Donalda Trumpa s Ruskem vyšetřuje několik výborů amerického Kongresu. FBI a Národní agentura pro bezpečnost (NSA) se domnívají, že Rusko se snažilo poškodit demokratickou kandidátku Hillary Clintonovou a dopomoci ke zvolení jejímu republikánskému sokovi Trumpovi.

Levašov podle amerického ministerstva spravedlností zhruba od roku 2010 provozoval celosvětovou síť infikovaných počítačů, takzvaný botnet. Levašova síť nese název Kelihos a její součástí se postupně staly desítky tisíc počítačů s operačním systémem Windows od Microsoftu. Ministerstvo spravedlnosti dnes podle agentury Reuters oznámilo, že spustilo akci na zničení botnetu Kelihos. Součástí akce je vytvoření serverů, které budou ovládací příkazy vysílané směrem k nakaženým počítačům blokovat.


Pozor na novou várku e-mailů od „České spořitelny“. Mohou nakazit počítač

11.4.2017 Cnews.cz Phishing
Na e-mailové schránky českých surfařů se valí nová vlna podvodných e-mailů. Tentokrát se tváří jako poslané od České spořitelny. Odpovídá tomu podpis ve zprávě i adresa odesílatele. Ta však není zárukou ničeho, lze ji snadno zfalšovat.

Česká spořitelna varuje, že e-mail obsahuje malware skrytý v příloze formátu JAR (java aplikace). Už ale neříká, co přesně se stane po otevření, jak malware působí. Samotný text e-mailu by však měl být dostatečným varováním. Takhle neosobně zaslanou zprávu by si žádná banka nedovolila.

Nový podvodný mail vydávající se za Českou spořitelnu
Nový podvodný mail vydávající se za Českou spořitelnu


Downloadery a trojské koně ohrožují české uživatele nejčastěji

10.4.2017 SecurityWorld Viry
Škodlivý kód Danger se nevzdává -- tuzemských kybernetickým hrozbám dominuje už řadu měsíců. Kdy skončí jeho nadvláda?
Nápor škodlivých příloh e-mailů, kterými se šíří škodlivý kód Danger, nepolevuje. Ukazuje to průzkum, který uveřenil Eset. V březnu představovala tato internetová hrozba každý čtvrtý zachycený útok v České republice.

Oproti únoru se podíl tohoto malware na celkových internetových hrozbách zvýšil o pět procentních bodů a vrací se na hodnoty, které vykazoval v průběhu loňského roku.

„Danger je klasickým downloaderem, který může do napadeného zařízení stahovat další malware a různé druhy škodlivých kódů včetně ransomware. Z pohledu uživatele a prevence je důležité být obezřetný a neotevírat každou přílohu, zvláště pokud je vám odesílatel či samotný e-mail podezřelý,“ říká Miroslav Dvořák, technický ředitel Esetu.

Fakt, že se Danger v České republice drží tak dlouho na výsluní, podle Dvořáka dokládá, že jde o účinný malware, pomocí kterého si útočníci stále dokáží najít dost obětí.

Mezi downloadery patří i druhý v březnu nejčetněji zachycený malware Nemucod. Jeho podíl meziměsíčně vzrostl téměř na dvojnásobek únorové hodnoty, dosáhl takřka devíti procent. Novým zástupcem v přehledu deseti nejčastějších internetových hrozeb je trojský kůň Java/QRat.

„Jde o variantu Remote Acces Trojanu pro Javu. Utočníci ho využívají jako zadní vrátka pro vzdálený přístup do systému napadeného zařízení, obvykle k úniku citlivých dat,“ popisuje Dvořák.

Java/QRat může prohlížet soubory, zachytávat přihlašovací údaje, spouštět programy, aktivovat webové kamery a vyvíjet další aktivity na pozadí, aniž by o nich uživatel napadeného zařízení věděl.

Top 10 hrozeb v České republice za březen 2017:

1. JS/Danger.ScriptAttachment (25,90 %)

2. JS/TrojanDownloader.Nemucod (8,84 %)

3. Java/GRat (5,48 %)

4. Win32/Adware.ELEX (4,60 %)

5. JS/Chromex.Submeliux (2,39 %)

6. Win32/Deceptor.AdvancedSystemCare (1,72 %)

7. Java/Adwind (1,59 %)

8. Win32/Packed.VMProtect.ABO (1,57 %)

9. Win32/Obfuscated.NIT (1,53 %)

10. Win32/Packed.VMProtect.AAA (1,43 %)

Zdroj: Eset, duben 2017


Internetem se šíří zákeřný vir, který zneužívá dokumenty Office. Zaplata zatím chybí
10.4.2017 Živě.cz Viry
McAfee varuje před spouštěním dokumentů Office z neznámých zdrojů a když už, tak v bezpečném režimu, který nabízejí novější verze kancelářského balíku.

Nejbizarnější virus pro Android? Falešný Avast obalený falešným PornHubem, za který zaplatíte 100 dolarů
Podle McAfee se totiž sítí šíří zákeřný virus, na který zatím chybí záplata. Malware přitom dokáže zneužít doposud nezdokumentované zranitelnosti a obejít zabezpečení i na Office 2016 v kombinaci s Windows 10. Zneužití se tedy týká všech verzí Office a Windows.

Virus se šíří jako dokument Wordu v příloze e-mailu. Ve skutečnosti se však jedná o RTF soubor a v jeho nitru se skrývá zákeřný skript VBSA, který ze serveru útočníka stáhne webový soubor HTA, uvnitř kterého je opět RTF a další kód, který stáhne hromadu malwaru z dalších serverů.

Otevírání nechtěných dokumentů z pochybných zdrojů by nicméně měl být základní předpoklad nehledě na to, jestli obsahuje virus, anebo se jedná třeba o běžný spam.


Skupina Wikileaks zveřejnila další úniky ze CIA. Popisují tvorbu virů pro Windows
10.4.2017 Živě.cz  BigBrother

Organizace Wikileaks uvolnila další várku úniků z americké Centrální zpravodajské agentury. Tentokrát se dokument věnuje sadě nástrojů Grasshopper, které údajně v CIA sloužily k tvorbě malwaru na míru pro operační systémy Windows.

Další várka úniků ze CIA. Wikileaks popisuje, jak se Američané údajně vydávají za Rusy, Číňany a další
Grasshopper tedy připomíná některé známé linuxové balíky jako třeba Metasploit. V obou případech se jedná o prostředí, ve kterém si pomocí desítek modulů sestavíte konkrétní útok, který pak skrze další nástroje a zranitelností dostanete na cíl oběti.

Vytvořili jsme malware pro Android, ovládli telefon a odposlouchávali jej
Grasshopper podle zveřejněných dokumentů dělá úplně to samé. CIA, NSA a další agentury nejen v USA tedy používají principiálně stejné postupy jako každý jiný bezpečnostní hacker a analytik. Podobně jako další podobné balíky i Grasshopper podle uniklé dokumentace běží v Pythonu


Žádné peníze, nový typ ransomwaru po vás chce vysoké skóre ve hře
10.4.2017 Živě.cz Viry

Ransomware je nepříjemná záležitost, která vám zablokuje počítač a nutí vás zaplatit určitou sumu peněz, jinak o všechna svá data přijdete. Zatím tento typ malwaru vždy vyžadoval po lidech finance. Rensenware ale peníze nevyžaduje – chce, aby lidé k odblokování počítače dosáhli vysokého skóre v anime hře.

Do nitra zákeřného ransomwaru. Takto vypadá útok na počítače personalistek
O podivném malwaru informoval jako první Malware Hunter Team na Twitteru. Pokud se podle něj počítač nakazí rensenware, stane se mu zcela to samé jako u klasického ransomware, tedy zablokuje se a zobrazí hlášku o možnostech, jak jej odblokovat.

Klepněte pro větší obrázek
​Takové upozornění se objeví nakaženým počítačům

Místo zaplacení částky ale škodlivý kód chce, aby člověk získal 0,2 miliardy bodů v LUNATIC úrovni hry TH12 – Undefined Fantastic Object. To není úplně jednoduché, protože se jedná o jednu ze šílených japonských anime stříleček.


Jak je asi jasné, rensenware byl vytvořen spíš jako vtip než jako způsob, jak někomu ublížit. Jakmile se o malware začala zajímat média, přihlásil se k němu jeho tvůrce. Na Twitteru vystupuje pod jménem Tvple Eraser. „Byl to vtip, s kamarády jsme se tomu smáli. Kód jsem na internetu opravdu rozšířil. Někteří lidé to ale nepochopili a začali mě obviňovat. Tak se omlouvám… nechtěl jsem být zlý,“ napsal tvůrce.

Už se kradou i viry. Jeden ransomware využívá pirátskou kopii jiného
Omluva je zahrnuta i do nástroje, kterým lze rensenware odstranit. Zmanipuluje paměť hry tak, aby se člověk nemusel snažit skóre získat. Takže teoreticky pokud chcete, můžete si zkusit věc nainstalovat – původní „zlou“ verzi stejně autor stáhl, nová verze jasně říká, že se jedná o vtip.


Finanční útoky skupiny Lazarus stály 81 milionů dolarů

9.4.2017 SecurityWorld Kriminalita
Po více než ročním vyšetřování uveřejnila společnost Kaspersky Lab výsledky svého šetření aktivit skupiny Lazarus. Jde o nechvalně známou hackerskou skupinu, která pravděpodobně stála za krádeží 81 milionů dolarů z Centrální bangladéšské banky v roce 2016.
Finanční útoky skupiny Lazarus stály 81 milionů dolarů

Finanční útoky skupiny Lazarus stály 81 milionů dolarů

Díky provedené forenzní analýze stop, které skupina zanechala v bankách v jihovýchodní Asii a Evropě, získala Kaspersky Lab ucelený obrázek o tom, jaké zákeřné nástroje skupina využívá. Společnost také odhalila, jaké postupy skupina volí pro útoky na finanční instituce, kasina, softwarové vývojáře pro investiční společnosti a krypto-měnové obchody po celém světě. Tyto znalosti pomohly odhalit a překazit minimálně další dva útoky, které měly za cíl ukrást finančním institucím velké peněžní obnosy.

V únoru loňského roku se pokusila (v té době neznámá) skupina hackerů ukrást 851 milionů dolarů z Centrální bangladéšské banky, přičemž se jí podařilo převést 81 milionů dolarů. Tento čin představuje jednu z největších a nejúspěšnějších kybernetických krádeží současnosti.

Následné vyšetřování, do kterého se zapojili odborníci z mnoha IT bezpečnostních společností včetně Kaspersky Lab, odhalilo, že by nejpravděpodobnějším pachatelem mohla být skupina Lazarus. Tato neblaze proslulá kyberšpionážní a sabotážní skupina má na svědomí sérii pravidelných ničivých útoků. Od roku 2009 se podepsala pod útoky na výrobní podniky, média a finanční instituce přinejmenším v 18 státech po celém světě.

Ačkoliv se skupina po útoku v Bangladéši na několik měsíců odmlčela, nezahálela ve svých aktivitách. Připravovala se na další akci cílící opět na finanční krádeže v bankách. V té době měli navíc kyberzločinci již vytvořené kontakty v jedné z finančních institucí v Jihovýchodní Asii. Plány jim však překazilo následné vyšetřování.

Na několik následujících měsíců se proto opět stáhli a rozhodli se pro změnu taktiky – své operace přesunuli do Evropy. Nicméně i zde byly jejich pokusy přerušeny detekčním bezpečnostním softwarem Kaspersky Lab a také díky rychlé reakci, forenzní analýze a reverznímu inženýrství, na kterém se podíleli top odborníci z této společnosti.

Na základě výsledků forenzní analýzy těchto útoků byli odborníci Kaspersky Lab schopni zrekonstruovat modus operandi skupiny Lazarus.

Počáteční infikace: K prolomení dojde prostřednictvím jediného systému uvnitř banky – buď na základě zranitelného kódu se vzdáleným přístupem (např. na webovém serveru) nebo skrz „watering hole attack“ umožněný exploitem na neškodných stránkách. Jakmile některý zaměstnanec banky takovouto stránku navštíví, počítač uchvátí malware, který stáhne další komponenty.
Vybudování základny: Poté se kyberzločinci rozšíří do dalších bankovních systémů a nasadí persistentní backdoors – malware jim umožní přijít a odejít kdykoliv chtějí.
Interní průzkum: V následujících dnech a týdnech skupina poznává síťové prostředí a identifikuje cenné zdroje. Takovým zdrojem může být záložní server, kam se ukládají autentifikační informace, mailový server nebo celý řadič domény s přístupem do každé části společnosti. V neposlední řadě mohou být cenným zdrojem servery ukládající a zpracovávající záznamy o finančních transakcích.
Útok a krádež: Na závěr nasadí speciální malware schopný obejít bezpečnostní mechanismy interního finančního softwaru a provedou jménem banky podvodné transakce.

Útočníci a jejich oběti

Experti Kaspersky Lab strávili vyšetřováním tohoto případu týdny práce. Nicméně kyberzločinci mohli fungovat bez povšimnutí spoustu měsíců. Například během vyšetřování incidentu v Jihovýchodní Asii experti zjistili, že hackeři mohli do sítě banky proniknout už 7 měsíců před okamžikem, kdy bezpečnostní tým banky požádal o pomoc s řešením případu. Ve skutečnosti měla skupina přístup do bankovní sítě ještě před incidentem v Bangladéši.

Na základě dat Kaspersky Lab z prosince 2015 se části malwaru vztahující se ke skupině Lazarus objevily ve finančních institucích a kasinech, u softwarových vývojářů pro investiční společnosti či u krypto-měnových obchodů v Koreji, Bangladéši, Indii, Vietnamu, Indonésii, Kostarice, Malajsii, Polsku, Iráku, Etiopii, Keni, Nigérii, Uruguay, Gabonu, Thajsku a několika dalších státech. Poslední zaznamenaná aktivita byla společností Kaspersky Lab detekována v březnu tohoto roku, což značí, že útočníci nemají v plánu přestat.

I když si útočníci dávali velký pozor, aby nezanechali žádnou stopu, na jednom serveru, který napadli v rámci jiné kampaně, udělali vážnou chybu. Během přípravy na akci byl server nakonfigurován jako řídící a kontrolní centrum malwaru. V den konfigurace přicházelo první spojení z několika VPN/proxy serverů indikujících testovací fázi pro C&C sever. Zároveň ale došlo i k jednomu krátkému spojení, které pocházelo z velmi vzácné IP adresy pocházející ze Severní Koreji.

Podle expertů to může mít několik vysvětlení:

Útočníci se připojili z dané IP adresy v Severní Koreji.
Byla to někým jiným pečlivě naplánovaná krycí operace.
Někdo ze Severní Koreji omylem navštívil příkazové a kontrolní URL.
Skupina Lazarus masivně investuje do nových variant svého malwaru. Několik měsíců se její členové snažili vytvořit zákeřnou sadu nástrojů, která by byla bezpečnostními řešeními nedetekovatelná. Pokaždé když se o to ale pokusili, byli odhaleni specialisty Kaspersky Lab, kteří identifikovali unikátní charakteristické rysy jejich kódu. Na jejich základě pak následně mohli sledovat nové případy. V současnosti se kyberzločinci opět odmlčeli, což pravděpodobně znamená, že pracují na vylepšení svého arzenálu.


Podvodníci mají nový trik. Neřeknou nic a na svou oběť čekají

9.4.2017 Novinky/Bezpečnost Phishing
S novým trikem přišli v posledních dnech počítačoví piráti, kteří se vydávají za zaměstnance České spořitelny. Oběť se totiž snaží napálit tak, že v podvodném e-mailu nesdělí zhola nic. Před novou hrozbou varovali přímo zástupci spořitelny.
„Upozorňujeme na novou podobu podvodného e-mailu, kterou jsme v posledních dnech zaznamenali. Zpráva vzbuzuje dojem, že byla zaslána z České spořitelny,“ uvedli zástupci banky.

Podvodný e-mail skutečně na první pohled vypadá, jako by byl odeslán z adresy csas.cz, kterou banka skutečně používá. Zmiňovanou doménu podvodníci jednoduše zfalšují, méně pozorní uživatelé se ale mohou nechat snadno napálit.

Ukázka podvodného e-mailu
FOTO: Česká spořitelna

Pozor na přílohu
Proti předešlým podvodným zprávám je tento spam zajímavý především tím, že útočníci neříkají zhola nic. Text obsahuje pouze zprávu „Připojený FYI“ a podpis údajné pracovníka spořitelny. FYI je zkratka anglického „For Your Information“, tedy „Pro Vaší informaci“.

Méně ostražití jedinci se tak mohou snadno nechat zmást a kliknout ze zvědavosti na přiloženou přílohu. „Jejím cílem je pouze infikování klientova počítače malwarem. Důrazně proto varujeme před jakoukoliv reakcí na e-maily s podezřelým obsahem,“ varovali zástupci spořitelny.

Kybernetičtí podvodníci tak bez nadsázky neřeknou vůbec nic a podobně jako rybáři vyčkávají, až se jejich oběť nachytá na hozenou návnadu.

Ihned kontaktovat banku
„Věnujte zvýšenou pozornost e-mailovým zprávám, které dostáváte, především pak přílohám a aktivním odkazům, které tyto zprávy obsahují. V případě jakýchkoliv pochybností nás kontaktujte na bezplatném telefonním čísle 800 207 207. Pokud jakýkoliv podvodný e-mail odhalíte, pošlete nám ho prosím na adresu phishing@csas.cz,“ stojí v doporučení banky.

Podvodné zprávy se prozatím objevily pouze pod hlavičkou České spořitelny. Není nicméně vyloučeno, že stejnou taktiku budou v dohledné době zkoušet kyberzločinci také v přestrojení za bankéře jiného finančního institutu.

Obezřetní by tak měli být před podobnými nevyžádanými e-maily také klienti dalších bank.


Kolik stojí DDoS? Základní přijde na pár dolarů, pokročilý na stovky

4. 4. 2017 Root.cz Počítačový útok
DDoS patří stále mezi nejrozšířenější druhy útoků a objemy neustále rostou. Důvody mohou být různé, od pouhého vandalismu až k vydírání. Zájem o ně je velký a jsou účinné. Není divu, že se dají pronajmout jako služba.

DDoS je velmi oblíbeným nástrojem kyberzločinu, původně šlo o nástroj pomsty, aktivizmu nebo prosté zábavy. Postupně se jeho použití zaměřilo na nebezpečné vydírání, kdy útočníci osloví konkrétní společnost a požadují platbu. V opačném případě vyhrožují zahájením DDoS útoků a odstavením služeb. Zejména provozovatelé e-shopů se podobné hrozby děsí, především v období Vánoc.

Obětí se může stát vlastně kdokoliv, provést takový útok je velmi snadné, proto je to i levné. Podobně jako je možné si pronajmout celý botnet nebo ransomware, je možné si pronajmout DDoS jako službu. Pokud nemá cílová síť dobře navrženou obranu, je možné ji takto velmi snadno (a levně) úplně odstavit.

DDoS jako služba
Společnost Kaspersky zveřejnila analýzu současných služeb, které nabízí pronájem DDoS útoků. Společného mají především to, že se snaží svým zákazníkům vycházet maximálně vstříc. Vše je možné ovládat pomocí webového rozhraní, služby mají různé cenové programy a věrným zákazníkům dokonce nabízejí různé odměny. Jde tak vlastně o byznys velmi podobný třeba pronájmu VPS, jen se v tomto případě pronajímají útoky.

Autor: Kaspersky
Ruské fórum nabízející útoky od 50 dolarů za den
Některé služby se dokonce chlubí počtem uživatelů a množstvím útoků, které už provedly nebo ten den provádějí. I když je jasné, že čísla mohou být zfalšovaná, aby se služba lépe prezentovala potenciálním zákazníkům.

Autor: Kaspersky
Desítky tisíc uživatelů a stovky tisíc útoků
Výjimkou nejsou ani podrobné statistiky jednotlivých druhů útoků včetně přehledných grafů vysvětlujících popularitu různých variant.

Autor: Kaspersky
Jaké typy útoků u nás nejvíc děláme
Podle čeho se počítá cena
Různé služby se snaží své zákazníky nalákat na výhody či vlastností, které jinde nenajdou. Opět stejně, jako je tomu i u běžných legálních podnikání. Kaspersky uvádí čtyři různé oblasti, které mohou výrazně ovlivnit výslednou cenu útoku.

Specifické cíle – služba se zaměřuje například na vládní servery. Za útok na takový cíl si ale může vyžádat výrazně vyšší částku, stejně jako za sítě s lepší ochranou. Provozovatel totiž musí filtry prozkoumat a vymyslet způsob, jak je obejít.

Zdroje útoku – různé zdroje útoků stojí různé peníze. Například útok přicházející z tisícovky napadených bezpečnostních kamer bude levnější než využití botnetu sestaveného ze stovky napadených serverů. Vytvořit botnet ze špatně zabezpečených IoT zařízení je výrazně jednodušší a tedy i levnější.

Různé scénáře útoku – pokud si budete chtít nechat útok ušít na míru nebo budete požadovat něco specifického, zaplatíte více. Příkladem může být kombinovaný útok nebo rychlé změny útočných vektorů během krátkých časových oken.

Průměrná cena v konkrétní zemi – také tady funguje konkurenční boj, takže služby spolu bojují o zákazníky svou cenovou politikou. Záleží také například na kupní síle místních uživatelů, takže podobná služba v USA bude stát výrazně více než v Rusku.

Dostupné je také účtování útoků po sekundách bez ohledu na další parametry. Pětiminutový DDoS tak může stát například 5 dolarů, hodinová varianta vás vyjde na 90 dolarů. Ve všech případech má botnet kapacitu 125 Gbps.

Autor: Kaspersky
Plaťte za délku útoku
Část kyberzločinců navíc nechce příliš odkrývat detailní specifikace svých řešení, proto nabízí jen obecné údaje a účtují pak jen za dobu běhu útoku. Nedozvíte se, jaký druh botnetu používají ani jak jsou napadené systémy připojené.

Některé ceníky naopak zohledňují druh provozu, který potřebujete na oběť poslat: SYN-flood, UDP-flood, NTP-amplification nebo kombinaci různých paketů zároveň. Útok je možné naplánovat na různých síťových vrstvách a útočit na infrastrukturu nebo konkrétní služby.

Autor: Kaspersky
Ceník služby, která umožňuje doslova na pár kliknutí zahájit útok
Jiné služby se chlubí možností velmi rychlého přepnutí útočného vektoru. Pokud zákazník zjistí, že jeho oběť je odolná například proti SYN-floodu, může prostým kliknutím přepnout na jiný druh útoku, na který není oběť tak dobře připravená.

Autor: Kaspersky
Další ceník zaměřený na délku trvání útoku
Zvláštní sazby jsou pak účtovány za dobře chráněné sítě, které používají DDoS ochrany. Útok na takovou síť přijde třeba na 400 dolarů za den. Provozovatel služby totiž musí být vynalézavější a musí se snažit proniknout obranou cílové sítě.

Stejně tak se platí výrazně více za útoky na vládní servery. Ty jsou totiž často pod ochranou bezpečnostních složek a provozovatelé botnetů nechtějí odhalit napadené stroje. Buďto proto na podobné cíle vůbec neútočí nebo na ně mají speciální tarify s vyšší cenou.

Zajímavé také je, že některým provozovatelům nedělá vůbec problém kromě organizování DDoS útoků nabízet také ochrany proti nim.

Autor: Kaspersky
Zaútočíme nebo vás ochráníme
Příklad financování útoku
Kaspersky uvádí také konkrétní příklad financování takového útoku. V případě zneužití cloudu od Amazonu stojí pronájem jednoho virtuálního serveru tisíciny dolaru za hodinu provozu. Pokud jich útočník potřebuje padesát, dostává se na necelý půldolar za hodinu provozu. Při započtení dalších nákladů stojí útok na nákladech asi čtyři dolary.

Autor: Kaspersky
Ceník virtuálních serverů u Amazonu
Pronájem botnetu čítající tisícovku běžných počítačů vyjde na sedm dolarů za hodinu. Za podobný útok se ovšem platí desítky dolarů, z čehož je patrné, že útočníci provozující DDoS služby mají z každého realizovaného útoku velmi slušný příjem.

Uživatelé těchto služeb vědí přesně, co za své peníze dostávají. Krátký útok stojí jednotky dolarů a může oběť významně poškodit. Pokud například e-shop objedná útok na svého konkurenta, může jej poškodit dvakrát: uživatelé nemohou nakoupit a přejdou v ideálním případě k němu. Pokud bude navíc útok trvat třeba celý den, mohou být ztráty obrovské.

Provozovatelé těchto služeb se snaží stále hledat co nejlevnější způsob budování botnetů, nejnovějším trendem jsou různá IoT zařízení jako kamery, televize nebo mobilní telefony. Pokud existují bezpečnostní mezery v podobných zařízeních, útočníci je dřív nebo později najdou a zneužijí. Čím snadnější a levnější pro ně bude botnet postavit, tím lépe.

Jde tu totiž v první řadě o peníze, náklady jsou poměrně nízké a vydírání se útočníkům vyplácí. Proto roste popularita DDoS služeb. V budoucnu tak pravděpodobně můžeme očekávat jen další pokles cen a zvýšení dostupnosti i frekvence podobných služeb.


Síť indických podvodníků vylákala z Američanů po telefonu stovky miliónů dolarů

9.4.2017 Novinky/Bezpečnost Kriminalita
Indické policii se podařilo zadržet šéfa sítě podvodných telefonistů, kteří se vydávali za pracovníky amerických vládních úřadů a vymámili z několika tisíc Američanů stovky miliónů dolarů. Skupina operovala z Bombaje a podle agentury Reuters policie v sobotu dopadla jejího bosse.
Sagar Thakkar byl nad ránem zadržen na bombajském letišti. Indická policie již dříve odhalila, že čtyřiadvacetiletý Thakkar žil okázalým životním stylem, vlastnil luxusní automobily a pobýval v pětihvězdičkových hotelech. Jeho zločinecký kruh telefonních operátorů totiž obral americké občany o více než 300 miliónů dolarů (7,5 miliardy korun).

Indičtí podvodníci působící v několika call centrech na periferiích Bombaje se po telefonu vydávali za pracovníky amerických úřadů, jako například Federální berní úřad IRS. Alespoň 15 000 Američanů hrozili pokutami, uvězněním či vyhoštěním, pokud vládě nesplatí fiktivní dluhy. Peníze od obětí byly následně podle zprávy amerického ministerstva spravedlnosti očišťovány tamními komplici, kteří často používali ukradené či falešné identity.

Detailní znalost systému
Podvodnou operaci fungující více než rok zastavila indická policie loni v říjnu po raziích na množství bombajských call center. Zadrženo bylo tehdy přes 700 podezřelých. Policejní komisař Param Bir Singh dnes na tiskové konferenci uvedl, že ve věci byly obviněny čtyři stovky osob, z nichž je asi desítka ve vazbě.


Follow
Maharashtra Today @todaymaharasht1
Sagar Thakkar alias ‘Shaggy’ arrested by Thane Police over call centre scam. - http://www.maharashtratoday.in/thane-call-centre-scam-police-arrest-aide-mastermind-sagar-thakkar-suspected-europe/19 …
8:51 AM - 8 Apr 2017
2 2 Retweets 1 1 like
zadržený Sagar Thakkar
Americké a indické úřady při vyšetřování spolupracují, avšak americká strana oznámila, že bude usilovat o vydání indických podvodníků do USA. Ministerstvo spravedlnosti Spojených států rovněž loni v říjnu v rámci kauzy obvinilo 60 osob na území USA i Indie ze spiknutí za účelem krádeže identity, vydávání se za činitele Spojených států, bankovní podvody a praní špinavých peněz.

Sagar Thakkar byl podle slov komisaře Singha obviněn v prosinci, když po říjnových raziích uprchl do Dubaje. Singh prý Thakkara vyslýchal a byl „ohromen jeho znalostmi amerického a indického systému”. Dodal, že čtyřiadvacetiletý Ind se ke své roli v podvodnické skupině přiznal.


Každý čtvrtý útok má na svědomí virus Danger

8.4.2017 Novinky/Bezpečnost Viry
Škodlivý kód Danger se několik posledních měsíců drží na samotném vrcholu žebříčku nejrozšířenějších virových hrozeb. A jinak tomu nebylo ani v uplynulém měsíci, kdy byl tento nezvaný návštěvník zodpovědný za každý čtvrtý počítačový útok. Vyplývá to z analýzy antivirové společnosti Eset.
Na přelomu loňského a letošního roku počet detekovaných útoků, který měl Danger na svědomí, citelně klesal. V posledních týdnech jej však počítačoví piráti opět nasazují stále častěji.

A evidentně se jim to vyplácí. Tento škodlivý kód totiž otevírá zadní vrátka do operačního systému. Útočníci pak díky němu mohou propašovat do napadeného počítače další škodlivé kódy, nejčastěji tak šíří vyděračské viry z rodiny ransomware.

Chtějí výkupné
Tyto škodlivé kódy začnou šifrovat obsah počítače a uživateli zobrazí oznámení, že za dešifrování počítače musí zaplatit, jinak se ke svým datům údajně již nikdy nedostane.

Ani po zaplacení výkupného navíc nemají uživatelé jistotu, že se ke svým datům skutečně dostanou. Virus je nutné z počítače odinstalovat a data následně pomocí speciálního programu odšifrovat. V některých případech to ale není možné.

Hrozbu, která nese plný název JS/Danger.ScriptAttachment, se tedy rozhodně nevyplácí podceňovat. Záškodník se šíří především přes nevyžádané e-maily. Právě na ty by si tak uživatelé měli dávat největší pozor. Na první pohled lákavá sleva, či dokonce nějaká výhra totiž nemusí být skutečná a může se za ní ukrývat právě Danger.

„Z pohledu uživatele a prevence je důležité být obezřetný a neotevírat každou přílohu, zvláště pokud je vám odesílatel či samotný e-mail podezřelý. Fakt, že se Danger v České republice drží tak dlouho na výsluní, dokládá, že jde o účinný malware, pomocí kterého si útočníci stále dokáží najít dost obětí,“ řekl Miroslav Dvořák, technický ředitel společnosti Eset.

Danger není jedinou hrozbou
Mezi downloadery patří i druhý v březnu nejčetněji zachycený malware – Nemucod. „Jeho podíl meziměsíčně vzrostl téměř na dvojnásobek únorové hodnoty, dosáhl takřka devíti procent,“ konstatoval Dvořák.

„Novým zástupcem v přehledu deseti nejčastějších internetových hrozeb je trojský kůň Java/QRat. Jde o variantu Remote Acces Trojanu pro Javu. Utočníci ho využívají jako zadní vrátka pro vzdálený přístup do systému napadeného zařízení, obvykle k úniku citlivých dat,“ uzavřel Dvořák.

Seznam deseti nejrozšířenějších hrozeb za měsíc březen naleznete v tabulce níže:

Top 10 hrozeb v České republice za březen 2017:
1. JS/Danger.ScriptAttachment (25,90 %)
2. JS/TrojanDownloader.Nemucod (8,84 %)
3. Java/GRat (5,48 %)
4. Win32/Adware.ELEX (4,60 %)
5. JS/Chromex.Submeliux (2,39 %)
6. Win32/Deceptor.AdvancedSystemCare (1,72 %)
7. Java/Adwind (1,59 %)
8. Win32/Packed.VMProtect.ABO (1,57 %)
9. Win32/Obfuscated.NIT (1,53 %)
10. Win32/Packed.VMProtect.AAA (1,43 %)
Zdroj: Eset


Podle IBM X-Force uniklo v roce 2016 historicky nejvíce dat

8.4.2017 SecurityWorld Kriminalita
Divize IBM Security uveřejnila výsledky Indexu bezpečnostních hrozeb IBM X-Force za rok 2016. Množství uniklých dat vzrostlo z 600 milionů na více než 4 miliardy, což je historický nárůst o 566 %.

Vedle tradičních oblastí, na které kyberzločinci cílí, jako jsou kreditní karty, hesla a informace o zdravotním stavu obětí, zaznamenal tým IBM X-Force významný posun ve strategii útočníků. V roce 2016 se řada významných úniků týkala nestrukturovaných dat, jako jsou e-mailové archivy, obchodní dokumenty, duševní vlastnictví nebo zdrojový kód.

Index bezpečnostních hrozeb IBM X-Force sestává z pozorování více než 8 000 monitorovaných klientů s nainstalovaným bezpečnostním řešením ve stovce zemí a také z dat získaných díky zařízením jakými jsou například detektory spamu nebo honeynety (systémy, které záměrně přitahují potenciální útočníky a sledují jejich počínání). IBM X-Force provozuje síťové pasti po celém světě a denně monitoruje více než osm milionů spamových a phishingových útoků. Dále analyzuje přes 37 miliard webových stránek a obrázků.

V jiné loňské studii divize IBM Security zjistila, že 70 % firem zasažených ransomwarem zaplatilo přes 10 000 dolarů výměnou za navrácení přístupu k firemním údajům a systémům. Podle odhadů FBI dostali kyberzločinci využívající ransomware za první tři měsíce roku 2016 zaplaceno 209 milionů dolarů. Tímto tempem si tak kyberzločinci jen za minulý rok mohli malwarem vydělat téměř miliardu dolarů.

Vidina zisku a rostoucí ochota firem platit dodala loni kyberzločincům odvahu uskutečnit dvojnásobné množství ransomwarových útoků. Nejjednodušším způsobem, jak doručit ransomware do počítače oběti, jsou přílohy se spamem v e-mailových zprávách. Vloni se tak meziročně zvýšil počet spamů o 400 %, přičemž zhruba 44 % spamů obsahovalo nebezpečné přílohy. Ransomware se v roce 2016 vyskytoval v 85 % těchto nebezpečných příloh.

V roce 2015 se pod náporem útočníků nejvíce ocitaly zdravotnické organizace, přičemž finanční služby zaujímaly třetí místo. V roce 2016 se však zločinci znovu zaměřili především na finančnictví. Tento sektor má tedy nezáviděníhodné prvenství v počtu útoků, které na něj cílí.

Údaje ze zprávy X-Force ale ukazují, že pokud jde o počet skutečně uniklých záznamů, je finančnictví na třetí příčce. Nižší úspěšnost útoků ve finančním oboru dokládá, že nepřetržité investice do bezpečnostních opatření jsou do značné míry účinné.

Ze zdravotnického sektoru i přes neustále vysoký počet incidentů uniklo daleko méně dat. Útočníci se totiž zaměřovali na menší cíle. V roce 2016 došlo ve zdravotnictví k úniku „pouhých“ 12 milionů záznamů, což ho řadí mimo pět nejvíce postižených odvětví. Pro srovnání – v roce 2015 došlo k úniku téměř 100 milionů zdravotnických záznamů. Údaj z roku 2016 je tedy o 88 % nižší. V minulém roce zaznamenaly nejvyšší počet incidentů a uniklých záznamů společnosti poskytující informační a komunikační služby a také státní úřady.


Američané chtějí rozšířit zákaz notebooků na palubě letadel

7.4.2017 SecurityWorld Zabezpečení
Zákaz vnášení notebooků na palubu letadel potrvá a už brzy může zasáhnout další letiště.

Američané mohou rozšířit svůj nedávný zákaz vnášení notebooků a další elektroniky na palubu letadel. Ten se od minulého měsíce vztahuje na deset letišť v převážně muslimských zemích.

„Nemusí to trvat až tak dlouho, kdy tato opatření rozšíříme,“ pronesl v Kongresu John Kelly, sekretář Národní bezpečnostní rady.

Zákaz cestujícím z daných letišť zakazuje vnášet na palubu jakékoliv elektronické zařízení větší než mobilní telefon a ta tak musejí být převážena v zavazadlovém prostoru. Jako důvod tohoto opatření americká vláda uvádí snížení rizika teroristického útoku. Podle zpravodajských služeb totiž teroristé z ISIS a dalších skupin vyvíjejí bomby, které lze zabudovat do elektronických zařízení tak, že oklamou letištní bezpečnost. Konkrétnější ohledně těchto technologií Kelly nebyl, ujistil však, že teroristická hrozba je „skutečná“.

„Skupin, které uvažují o útoku na letecký průmysl, jsou tucty.“ Po USA k obdobnému zákazu přistoupila také Velká Británie, další zemí, která tento krok v současnosti zvažuje, je Kanada.

Kritici se však ptají, proč zákaz platí jen pro některé země. A upozorňují i na rozdílnou míru zabezpečení jednotlivých letišť. Například ta ve Spojených státech jsou totiž vybavena mnohem pokročilejším rentgenovým systémem než jinde ve světě.

Všichni se však shodují, že výbušné zařízení v notebooku umístěném v zavazadlovém prostoru může být obtížnější odpálit a také z těchto míst teoreticky snižuje výši napáchaných škod.

„Na palubě ho může umístit a odpálit kdekoliv chce,“ říká Jeffrey Price, odborník na leteckou bezpečnost z denverské univerzity. I navzdory plánovanému vládnímu rozšíření a trvání zákazu do doby „než hrozba pomine“, ale podle Price takový zákaz nemůže trvat věčně a země, na které se vztahuje, by měly situaci umět vyřešit jinak.

Třeba právě modernizací a celkovým zlepšením svých bezpečnostních opatření už na letištích.


Národní bezpečnostní úřad posílí dvacet expertů kvůli obraně před kyberútoky

6.4.2017 Novinky/Bezpečnost Kyber
Národní bezpečnostní úřad (NBÚ) v blízké době posílí dvacet expertů kvůli ochraně státních úřadů před kybernetickými útoky. Počítá s tím návrh premiéra Bohuslava Sobotky (ČSSD), který ve středu schválila vláda. Noví zaměstnanci by měli dávat úřadům metodické pokyny, pomáhat s prevencí a konzultovat s nimi problémy.
Úřady, a to i ty, které nespadají pod zákon o kybernetické bezpečnosti, by mohly NBÚ požádat o analýzu zabezpečení svých systémů, návrhy zlepšení či speciální školení. "Odborníci vytvoří týmy poskytující komplexní metodickou podporu konkrétním subjektům, které o ni požádají, což je nový úkol, který vláda úřadu uložila," uvedl Sobotka.

Na nově vytvořená místa by měli přijít specialisté na operační systémy, počítačové sítě, aplikace a mobilní komunikaci, odborní auditoři či pracovníci zaměření na právní úpravu kybernetické bezpečnosti.

Při plánovaném dělení NBÚ by měli noví zaměstnanci přejít do Národního úřadu pro kybernetickou a informační bezpečnost. Nový úřad bude zakládat vládní zmocněnec pro tuto oblast Dušan Navrátil. Legislativní základ úřadu by měl položit pozměňovací návrh k novele o kybernetické bezpečnosti, o které budou poslanci hlasovat na dubnové schůzi.

Kybernetické centrum má Česko chránit před hackerskými útoky a dalšími bezpečnostními hrozbami. Vyroste v části původních kasáren v Brně - Černých Polích. V budoucnu by mělo zaměstnat 400 lidí. Kybernetické útoky na kritickou či důležitou informační infrastrukturu jsou v posledních letech na vzestupu. Vládní tým GovCERT eviduje zhruba 100 bezpečnostních incidentů měsíčně.

Kabinet ve středu také vyslechl zprávu o stavu kybernetické bezpečnosti Česka za loňský rok, informoval Sobotka.


Lior Tabansky: V kyberprostoru umí nejlépe útočit Rusko a Izrael
6.4.2017 Lupa.cz Kyber

Izraelský odborník na kybernetickou bezpečnost mluví o budoucnosti útoků a vývoji v jeho zemi.
Lior Tabansky působil v elitní technické jednotce izraelského letectva a léta se v rámci různých akademických, soukromých i vládních aktivit soustředí na kybernetickou bezpečnost. Působí na univerzitě v Tel Avivu a vydal knihu Cybersecurity in Israel. V rozhovoru pro Lupu mluví i o schopnosti zemí aktivně útočit v kyberprostoru a jak se připravovat na budoucnost.

Izrael je jedna z největších světových velmocí v kybernetické bezpečnosti. V Česku si to osobě často také myslíme. Myslíme si to správně?
Není zde důvod, aby Česká republika nebyla jedním ze světových lídrů. Úspěch Izraele je výsledkem mnoha let investic do výzkumu a vývoje, akademického prostředí, aplikovaného výzkumu, vojenského výzkumu. Všechno toto vytvořilo ekosystém, znalosti lidí a instituce, což rychle a efektivně produkuje inovace. Pro zemi, která má stejnou a vysokou úroveň ekonomického vývoje, není důvod, proč by nezměnila svá interní pravidla a nezvýšila svoji konkurenceschopnost a inovace.

Můžete mi dát příklady některých zajímavých kyberbezpečnostních firem z Česka, o kterých víte?
Ani ne. Nedělám si průzkumy trhu, zajímám se o pravidla a politiku nad tím.

Z Českem tedy přicházíte do styku jak?
Máme produktivní spolupráci v oblasti kybernetických pravidel a politik. Obě země dobře spolupracují a mají v této oblasti společné zájmy.

Lior Tabansky
Autor: Jan Sedlák
Lior Tabansky
Jak lze v kybernetické bezpečnosti spolupracovat? Například NATO samo tvrdí, že v této oblasti je v podstatě každá země sama.
Ano, když přijde útok, jste v tom sami. Mluvím o kooperaci ne v rámci útoků, i když i ta zde může být, ale v oblasti budování pravidel. V tomto ohledu probíhá řada aktivit. Česká ambasáda v Izraeli má dokonce svého atašé na kybernetickou bezpečnost. Jsou zde i spolupráce mezi soukromými firmami a vládami.

V současné době se běžně provádějí kybernetické zásahy mezi zeměmi, vedou se jakési hybridní války a podobně. Myslíte, že takovéto aktivity vedou k tomu, že se hned nemusí vést ozbrojené konflikty?
Když dnes chcete dosáhnout něčeho vůči zemím, které mají dobrou obranu, typicky tedy západní země, nemá smysl jít proti jejich silným stránkám a používat třeba tanky. Je lepší najít alternativní strategie. To ostatně ukazuje historie válčení. Oblast tedy bude do budoucna sílit a využívat momenty překvapení.

Které země umí tyto kybernetické zásahy nejlépe?
To je těžké měřit. Jedna věc je to, jaké má daná země schopnosti či vybavení, a druhou věcí je pak to, co s tím skutečně dosáhne, jaké má výsledky. V kombinaci těchto zemí jsou na tom nejlépe Rusko a Izrael. Potenciál pro mnoho dalších zemí je každopádně veliký. Mohou velice rychle vyvinout kapacity i potřebné strategie.

Měly by tedy země mít schopnosti aktivního kyberútočení?
Není zde rozdíl mezi útokem a obranou, je to stejná schopnost. Každá společnost vám řekne, že dělá obranu, ale technicky je to stejná schopnost. V organizaci potřebujete na útoky jisté změny, ale základy jsou stejné. Nemůžete dělat dobrou obranu, když nerozumíte tomu, jak probíhají útoky. Každá společnost, která nabízí obranná řešení, má velice dobré znalosti a možnosti v útočení.

V poslední době právě v Česku vedeme debaty o tom, zda vojenskému zpravodajství dát možnosti aktivně sledovat dění v sítích, právě s ohledem na možnosti aktivního zásahu. Měly by podobné organizace takové možnosti mít?
To je hodně složitá debata, je to velká věc v politikách kybernetické bezpečnosti. Jak nastavit balanc mezi bezpečností a svobodou. Není zde žádná formule, která by seděla na všechny země. Každá země si musí projít vlastní debatou.

Lior Tabansky
Autor: Jan Sedlák
Lior Tabansky
A měl byste pro naši zemi v tomto ohledu nějakou radu?
Hlavní radou je to, že než něco implementujete, na nejvyšší úrovni si nastavte, co chcete dělat v budoucnosti a k čemu přesně míříte. Co jsou kritické složky bezpečnosti, jaké jsou největší reálné hrozby. Toto bohužel často nebývá připraveno. Organizace čelí aktuálním hrozbám a pravidla aplikují na ně.

Když by naši zemi někdo napadl kybernetickým útokem, je to nějaký akt války? Za co to lze považovat a jak reagovat?
Je to těžké definovat. Přesně proto bychom měli být v uvažování velice flexibilní. Války se neustále mění, ale my zůstáváme myšlením ve starých definicích. V kybernetickém prostoru lze vidět řadu spolupráce mezi organizovaným kyberzločinem a státními složkami. Spolupracují na cílech pro obě strany – finanční zisk pro kyberkriminálníky a politický zisk pro státy podporované útoky. Není zde jednoduchá cesta pro definice, jednotné doktríny.

Je vůbec možné, aby právo a regulace reagovaly alespoň částečně tak rychle, jak se vyvíjí kybernetický prostor a hrozby v něm?
To je velký problém. V Izraeli jsme došli k tomu, že není jednotné řešení a koncepce. Snažíme se vybudovat ekosystém kybernetické bezpečnosti, což zahrnuje akademické instituce, soukromý sektor a vládu. Cílem je vybudovat ekosystém, který bude schopný se mnohem rychleji adaptovat než tradiční vládní procesy. Snažíme se dospět k tomu, aby se soukromý sektor byl schopný sám proaktivně adaptovat a nemusel čekat na akce z vrchu, od vlády. Změny se dějí strašně rychle a není možné držet s nimi krok při tradičním způsobu vládnutí.

Internet začal a dlouho byl velice svobodným prostředím, ovšem nyní čelí stále větším pokusům o regulaci. Právě bezpečnost slouží jako jeden z hlavních argumentů. Jaký vývoj můžeme čekat dál?
Je velice lákavé dělat další státní regulace, jak na obsah, tak infrastrukturu. Jedinou cestou, jak vše balancovat, je mít otevřenou demokratickou debatu a kontrolu nad tím, co vlády dělají. Není moc jiných cest.

Lior Tabansky
Autor: Jan Sedlák
Lior Tabansky
V knize Cybersecurity in Israel více rozebíráte, proč a jak vaše země kyberbezpečnost umí. Jde o již zmiňovaný výzkum a vývoj, dlouhodobé investice, propojení vládních, soukromých a akademických složek. Jak velký vliv pak na celé prostředí mají společnosti typu Check Point?
Velké společnosti mají v tom všem značnou roli. Nicméně z dlouhodobého pohledu mne více zajímají lidé. Vůbec nevadí, že většina startupů selže a spálí peníze. Dobrá stránka na tom je, že lidé získají více zkušeností a jsou ochotní a schopní je investovat do dalšího nápadu. To je to, co stojí za budoucností našich inovací. Pokud byste to chtěl měřit v oblasti prodejů a obchodů, je to samozřejmě jiný příběh.

Velké společnosti jsou vzory, ale nejsou to jediné vzory. Pokud takový Check Point udělá ročně tržby 1,7 miliardy dolarů, jsou zde i mladé firmy, které se prodají za miliardy dolarů či stovky tisíc dolarů. A v Izraeli jich není málo. To je také „big deal“ (smích).

V kybernetické bezpečnosti už se nějakou dobu debatuje o možném využití blockchainu. Vidíte už něco zajímavého?
Na univerzitě v Tel Avivu máme několik zajímavých výzkumných aktivit. Většina z nich ale ještě nelze použít na něco produkčního, jsou to základy. Je ještě brzy o něčem více mluvit, chce to hodně vývoje a trh si bude muset najít, jak vše využít a se vším pracovat. Potenciál je zde, ale ještě se musí zkoumat a experimentovat. Nevíme, jak to bude fungovat.

A co umělá inteligence? Zrovna zakladatel a výkonný ředitel Check Pointu Gil Shwed mi v rozhovoru říkal, že bez AI není možné v této oblasti fungovat.
To je zcela správně řečeno. Hlavní výhodou počítačů je, že mohou automatizovat mnoho úloh. Jsme a budeme schopní lidi osvobodit od základních operací a nechat je pracovat na inovativních a kreativních věcech. Kybernetická bezpečnost je o datech, hodně datech. Na to potřebujete strojové zpracování.

Může mít AI v kyberbezpečnostních technologiích nějaké dopady na legislativu a vše kolem? Co když bude mít AI vliv na mezinárodní dění?
Ano, to je problém práva. To je důvod, proč oddělujeme robotiku, AI, automatizaci od exekutivních rozhodnutí. Válečný letoun dnes v podstatě dokáže sám útočit a podobně, ale pořád tato rozhodnutí necháváme na lidech. Přesně kvůli problémům, které jste zmiňoval.

Můžou všechny ty nastupující věci jako Internet věcí, robotika, Průmysl 4.0 a tak dále výrazně změnit pohled na kybernetickou bezpečnost?
Teoreticky ano, budou zde některé hluboké změny. Nicméně reakce bude v podstatě stejná. Víme, že změny přicházejí, a nevíme, jaké je řešení. Největší šancí se s tím vyrovnat je mít systém, který se rapidně rozvíjí a adaptuje se. To je ideální model. Kolem toho ale samozřejmě bude mnoho práce – řešení zákonů, ekonomické implikace a tak dále.


Nedávná hackerská výzva Googlu nikoho nezajímala

3.4.2017 SecurityWorld Zabezpečení
Je Android na dálku neprolomitelný, anebo zkrátka dvou set tisícová odměna nebyla dostatečnou motivací? Google uzavírá netradiční hackerskou výzvu. Před půl rokem nabídl 200 tisíc amerických dolarů (cca 5 milionů korun) tomu, kdo se dokáže na dálku nabourat do androidového zařízení se znalostí pouze telefonního čísla a emailové adresy uživatele. O odměnu se nikdo nepřihlásil.
Ovšem ačkoliv se to může zdát jako dobrá zpráva dosvědčující sílu zabezpečení operačního systému, důvod toho, že výzva nenašla svého pokořitele, bude pravděpodobně jiný. Například, potenciální účastníci namítali, že na daný úkol je odměna 200 tisíc dolarů příliš nízká. Pokud by prý totiž systém někdo tímto způsobem dokázal prolomit, tak by svůj úspěch mohl prodat za daleko vyšší sumu. Což ostatně po skončení soutěže připustil i samotný Google.

Dalším důvodem nízkého zájmu může být podle společnosti složitost daného úkolu a existence obdobných výzev, které jsou však přece jen o něco snazší, respektive nemají tak přísná pravidla. Totiž, dostat se k jádru Androidu a plně se zmocnit daného zařízení, vyžaduje objevení ne jedné, ale mnohem více chyb v systému a schopnost jejich vzájemného provázání. Jedna z chyb by přitom útočníkovi musela umožňovat vzdáleně spustit škodný kód, například v rámci některé z aplikací a ještě k tomu se vyhnout sandboxu aplikace.

Podmínkou výzvy totiž bylo i to, aby útočník dokázal zařízení ovládnout bez jakékoliv interakce jeho majitele – tedy bez toho, aby uživatel například musel kliknout na škodný odkaz, navštívit webovou stránku či otevřít emailovou přílohu. Tato podmínka tedy výrazně omezila množství „vstupních bodů“, jakými se útočníci mohli do zařízení dostat. První díra v řetězci by se totiž musela nacházet ve vestavěných funkcích pro SMS nebo MMS anebo také v tzv. baseband firmwaru sloužícímu k ovládání modemu a zneužitelnému skrz mobilní síť.

Způsob prolomení bezpečnosti Androidu, který splňoval daná kritéria, byl objeven v roce 2015. Na soubor chyb využívající multimediální knihovnu Stagefright tehdy upozornili vývojáři společnosti Zimperium. Zjistili, že k ovládnutí systému prakticky stačí doručení škodlivé MMS. Kauza před dvěma roky odstartovala masivní záplatování Androidu, jehož součástí bylo i vypnutí funkce automatického přijímání MMS.

„Podobné chyby zneužitelné na dálku bez účasti uživatele jsou vzácné a vyžadují spoustu kreativity a důvtipu,“ komentoval aktuální výzvu Googlu Zuk Avraham, šéf Zimperia. „A rozhodně mají vyšší cenu než dvě stě tisíc dolarů.“

Mimochodem, obdobnou soutěž vyhlásila i společnost Zerodium, nabízející za prolomení Androidu na dálku rovněž 200 tisíc dolarů, s tím rozdílem, že neomezuje interakci uživatele. Zerodium objevené chyby dále přeprodává svým klientům, mezi které patří například i zpravodajské agentury.

Nabízí se tedy otázka, proč, pokud by se někomu takovou chybu skutečně podařilo odhalit, by ji dotyčný prodával Googlu, když i méně složité hacky může na černém trhu zpeněžit stejně či ještě lépe.

„Obecně můžeme říct, že tahle soutěž pro nás byla zkušenost a že to, co jsme se díky ní naučili, využijeme v dalších podobných programech,“ uvedla za Google Natalie Silvanovich s tím, že od počestných vývojářů očekává alespoň připomínky a komentáře.

I přes neúspěch soutěže se ale hodí zmínit, že Google je v podobných projektech průkopníkem a mnoho jiných jich přineslo své ovoce v podobě softwarových vylepšení či rozvoje online služeb. A pravděpodobnost, že komerční výrobci dokážou v podobných situacích konkurovat odměnám nabízeným zločineckými organizacemi či zpravodajskými agenturami, je velice nízká. Nakonec, programy zaměřené na odhalování chyb a hackovací soutěže, jsou určené v prvé řadě těm vývojářům, kteří nepostrádají smysl pro zodpovědnost.


Až 90 % chytrých televizorů lze hacknout. Přes DVB-T!
3.4.2017 Živě.cz BigBrothers

Bezpečnostní expert vytvořil nový koncept sofistikovaného útoku, jehož terčem jsou tzv. chytré televizory. Stačí k tomu falešný DVB-T vysílač a potenciální útočník dokáže získat administrátorská oprávnění nebo možnost spustit libovolný škodlivý kód. Na hrozbu upozornila Ars Technica.

Ohrožena je většina chytrých televizorů

Rafael Scheel prezentoval své odhalení na bezpečnostní konferenci EBU (European Broadcasting Union). Jeho způsob útoku se přitom výrazně odlišuje od podobných pokusů o ovládnutí chytrých televizorů. Lze ho totiž provést ze vzdáleného místa, bez jakékoli interakce s uživatelem a navíc na pozadí.
CIA prý útočila na chytré televizory a nejspíše se vydávala i za Rusy
3.4.2017 Živě.cz  V praxi je tato technika nenápadná a téměř neodhalitelná. Nejhorší na celé situaci je to, že podle vyjádření bezpečnostního experta trpí zranitelností až 90 procent televizorů prodaných v posledních letech. Seznam testovaných či ohrožených modelů však nebyl zveřejněn.

Hlavním předpokladem pro úspěšné provedení útoku je chytrý televizor s připojením na internet a podporující standard HbbTV. Nezáleží přitom, jakým způsobem je přijímán samotný signál, technologii HbbTV lze úspěšně zneužít prostřednictvím standardů DVB-T, DVB-C i přes IPTV.
Novinky u České televize: iVysílání konečně bez Flashe a zpravodajství kompletně v HD
Výzkumník v rámci demonstrace využil miniaturní DVB-T vysílač, který sestrojil z běžně dostupných elektronických součástek. Útočné zařízení ho přitom nestálo více než 150 dolarů (tj. cca 3 800 Kč).

Útoky lze realizovat v masivním měřítku

Falešný terestriální vysílač může mít dosah až na stovky domácností. Kromě toho, někteří poskytovatelé kabelové televize využívají právě DVB-T vysílání pro retransmisi. Tím se potenciální dosah výrazně zvyšuje. V krajním případě by však mohl posloužit například i dron nesoucí DVB-T vysílač.

Na místě je otázka, jak přimět televizor, respektive oběť, aby si naladila vysílání obsahující nebezpečný HbbTV obsah. Odpovědí je jedna ze základních vlastností moderních televizorů – upřednostní vždy silnější zdroj digitálního pozemního vysílání. Divák tak nedokáže zjistit, zda je zařízení připojeno k legitimnímu vysílači nebo ne.

Závěrečnou fází je samotný útok. HbbTV je součástí DVB-T signálu, který televizor zpracovává ihned po zvolení televizní stanice. Nejčastějším příkazem využívaným v HbbTV je inicializace a načtení cílové webové stránky na pozadí.

Právě díky této funkci lze vytvořit nenápadný přístup do televizoru nic netušícího uživatele. Rafael Scheel vytvořil speciální internetové stránky, jejichž součástí byl i škodlivý kód. Ten využil dvojici starších zranitelností v jádru webového prohlížeče integrovaného v chytrých televizorech.

Výsledkem bylo získání administrátorského přístupu a plné kontroly nad infikovaným televizorem. Kyberzločinci by následně mohli do zařízení nainstalovat jakýkoliv další malware, špehovat cílovou osobu s využitím integrované kamery či mikrofonu, krást uložené přihlašovací údaje, provádět DDoS útoky proti webovým stránkám a mnoho jiného.

Nezjistitelný a napořád

Uvedený typ útoku je prakticky nemožné vystopovat. Stačí přibližně jedna minuta falešného vysílání a zařízení se automaticky infikuje. Přítomné nejsou žádné stopy či indicie, že infiltrace proběhla právě prostřednictvím DVB-T vysílání.

Samostatnou kapitolou jsou bezpečnostní chyby. V tomto konkrétním případě byly zneužity zranitelnosti staré více než dva roky. Problémem je, že výrobci televizorů nejsou nuceni pravidelně opravovat svůj firmware a ten zůstává i několik let děravý.

Navíc, škodlivý kód může být vytvořen takovým způsobem, že bude blokovat všechny pokusy o kontrolu a instalaci aktualizací. Bezpečnostní expert na závěr uvedl, že jeho koncept malwaru zůstal v televizoru přítomen i po obnovení na tovární nastavení.


Další várka úniků ze CIA. Wikileaks popisuje, jak se Američané údajně vydávají za Rusy, Číňany a další
3.4.2017 Živě.cz BigBrother

Skupina Wikileaks přitvrdila a na sklonku března vypustila další várku uniklých dokumentů ze zpravodajské agentury CIA. Tentokrát však nejde o vágní dokumentaci nejrůznějších vládních nástrojů pro kybernetickou špionáž, ale konečně něco konkrétního – části zdrojových kódů Marble Framework.
Další várka úniků ze CIA: „Temná hmota“ a „sonický šroubovák“ jsou postrachem jablíčkářů
V tomto případě se nejedná o kybernetickou zbraň, ale spíše technologii stealth, která má zakrýt stopy. Dejme tomu, že kybernetičtí operativci budou potřebovat dostat do počítače cíle nějaký malware, který jim otevře vrátka do systému. Kdyby použili vlastní řešení, mohla by druhá strana forenzní analýzou vyčmuchat, kdo za tím vším stojí.

Klepněte pro větší obrázek
Jedna z technik frameworku Marble, která vloží do vládního malwaru textové řetězce třeba v ruštině. Marble je v tomto ale zjevně povrchní, jak totiž napovídají slovíčka „lorem ipsum,“ věty nejspíše nedávají příliš smysl.

Právě od toho je tu Marble Framework, který z amerického malwaru udělá třeba ruský. Jak? CIA na to může jít různými cestami. Buď jednoduše upraví nějaký ruský malware, který původně sloužil k něčemu úplně jinému, anebo zapojí Marble, který jejich malware šitý na míru upraví tak, aby si třeba analytici z antivirových firem mysleli, že se jedná o virus odkudsi z východní Evropy.

Marble Framework to provede třeba tak, že do dat viru vloží různé textové řetězce v jazyce, který potřebují. Může to být čínské písmo, azbuka, arabština… Záleží na aktuální potřebě.

Ve výsledku tedy může malware vypadat opravdu jako každý jiný, kterých po síti poletují tisíce a snaží se cílový počítač zapojit do botnetu. Že jej ve skutečnosti vyslala do světa CIA a o klasický botnet ji vůbec nejde, se přitom v ideálním případě vůbec nikdo nedozví¨, protože Marble zamete všechny stopy.


Svět není připraven na nové kybernetické hrozby, varoval bezpečnostní expert

3.4.2017 Novinky/Bezpečnost Kyber
Způsob vedení válek se změnil a země světa se zatím neumí vypořádat s novými metodami útoků, které jsou vedeny po internetu. Nejnebezpečnější útoky přitom nevedou jednotlivci, ale přímo státy, často ve spolupráci se zločineckými organizacemi. Řekl to izraelský odborník na kybernetickou bezpečnost Lior Tabansky, který se v Praze minulý týden zúčastnil konference o mezinárodní bezpečnosti.
"Vznikly nové způsoby, jak vést válku," řekl specialista, který působí v úřadu pro kybernetickou bezpečnost spadajícím pod izraelskou vládu. Hackerské útoky, jako bylo nedávno odhalené napadení e-mailů českého ministerstva zahraničí, přitom podle něj nejsou tím hlavním rizikem. "To je tradiční špionáž, je to běžné a jsou i způsoby, jak omezit rizika. Mnohem větší obavu mám z destruktivních útoků, které kybernetické technologie umožňují," řekl.

Podle Tabanského je už nyní možné přes internet napadnout a fyzicky ochromit základní průmyslovou infrastrukturu států.

"Víme, jak se bránit proti konvenčním zbraním, máme prostředky, jak útočníky odstrašit. Ale na kybernetické útoky zatím nejsme připraveni. Tento způsob útoku obchází naši obranu, což je nezdravá situace a znamená, že stojíme proti velmi vážné hrozbě," řekl Tabansky.

Útoky, za kterými stojí státy
Nejvážnějším rizikem jsou podle Tabanského útoky organizované jednotlivými státy. "Často ale spolupracují s organizovaným zločinem pro vzájemný prospěch, takže je těžší než v minulosti rozlišovat mezi nimi," upozornil.

O tom, z jakého regionu hrozby nejčastěji přichází, přímo nemluvil, naznačil však, kdo pravděpodobně zájem na vedení kybernetického konfliktu nemá. "Zkušenost nám ukazuje, že země, které jsou nyní silné a kontrolují světový řád, nejsou ty, které by vyvíjely nástroje pro jeho rozbíjení. Zájem na tom mají spíš země, kterým současné uspořádání nevyhovuje," řekl.

Země světa se podle Tabanského musí zaměřit na vývoj nových obranných konceptů, které budou schopny na kybernetické hrozby reagovat. Upozornil ale, že se tím vytváří dilema mezi právem na ochranu a právem na soukromí. "Pokud chceme chránit kybernetické systémy, musíme je sledovat, vědět, co se v nich děje. A to samozřejmě vytváří konflikt se základními lidskými svobodami," řekl.

Mezinárodní spolupráce v obraně proti kybernetickým hrozbám je podle Tabanského jen omezená, a to i když jsou země součástí obranných aliancí. "Jsou tu jisté limity v tom, co chce jedna strana sdílet s tou druhou. I když jste členem mezinárodní aliance, většina odpovědnosti za národní bezpečnost zůstává na národních úřadech," řekl.


Většinu televizorů mohou napadnout hackeři. Poměrně snadno

2.4.2017 Novinky/Bezpečnost Rizika
Chytré televizory jsou fenoménem dnešní doby. Je spíše výjimkou, pokud v obchodech narazíte na modely, které nenabízí připojení k internetu a možnost instalace aplikací. Daní za atraktivnější funkce je však větší bezpečnostní riziko, jak upozornil server The Hacker News. Podle něj mohou hackeři na dálku napadnout drtivou většinu aktuálně používaných TV.
Zabezpečení počítačů v dnešní době podceňuje málokdo. V případě televizorů to však neplatí, přestože nejrůznější antiviry se pro tato zařízení nabízejí již několik let. Většina uživatelů si totiž patrně neuvědomuje rizika, která jsou však reálná.

V polovině loňského roku se například roztrhl pytel s vyděračskými viry, které uzamkly televizor. Za jeho odemčení pak kyberzločinci požadovali výkupné. Útok tedy probíhal podle stejného scénáře, jako kdyby byl napaden obyčejný počítač. 

Škodlivé kódy jsou přitom kyberzločinci schopni šířit přímo pomocí televizního vysílání. Jak upozornil server The Hacker News, jsou schopni zneužít technologii zvanou HbbTV (Hybrid Broadcast Broadband TV). Jde v podstatě o technologii hybridního vysílání, které propojuje klasické televizní vysílání s internetovým připojením.

TV nasměrují na podvodné stránky
K čemu to slouží v praxi? Například při sledování nějakého programu se uživateli zobrazí nabídka doplňujících informací – přímo na TV lze zobrazit související obsah, jako jsou fotografie, text, audio či video. HbbTV umožňuje také přístup k internetovým archivům a internetovým televizním stanicím.

Zneužít tuto technologii mohu počítačoví piráti k tomu, aby televizory nasměrovaly na podvodné stránky se škodlivými viry. Uživatelé, kteří nepoužívají žádný bezpečnostní software, pak nemohou poznat, že je něco v nepořádku. Tedy alespoň do doby, než hackeři převezmou kontrolu nad jejich přístroji.

Je také důležité zmínit, že k žádnému podobnému útoku na televizory nedošlo. Bezpečnostní výzkumníci však v praxi ukázali, že to není vůbec nemožné. S ohledem na to, že technologii HbbTV nabízí drtivá většina moderních televizorů, není radno možná rizika podceňovat.

Armáda zotročených zařízení
Na televizory a další domácí zařízení s připojením k internetu se počítačoví piráti zaměřují vcelku pravidelně. Právě kvůli slabému zabezpečení. Řeč je například o rekordérech, meteorologických stanicích, kamerách, termostatech, ale klidně také o chytrých žárovkách, u kterých je možné prostřednictvím počítačové sítě upravovat teplotu světla.

Když má k dispozici celou armádu podobných zařízení, může s jejich pomocí klidně libovolnou webovou stránku vyřadit z provozu. Jednoduše na ní přesměruje takový počet požadavků, že je server nezvládne zpracovat a zhroutí se. Přesně jak tomu bylo minulý rok při útoku na francouzskou společnost OVH. 

Právě výpadky OVH jsou dosud popisovány jako největší DDoS útok v historii internetu. Měl intenzitu 1 Tb/s. To je pro lepší představu tak velká zátěž, že by ji neustála ani celá řada větších tuzemských serverů.


Cloudové služby jsou pohodlné. Obnášejí ale i rizika

31.3.2017 Novinky/Bezpečnost Zabezpečení
Minulý týden se rozhořela kauza okolo hackerů, kteří vyhrožují Applu, že smažou data stovek miliónů uživatelů služby iCloud. To opět rozvířilo debatu o tom, jak důležitá je bezpečnost při ukládání fotografií, videí a dalších dat na internetu.
Služba iCloud je velmi populární. Už při prvním spuštění nabízí uživateli možnost zálohovat kontakty, zprávy, fotografie a další soubory automaticky na vzdálený server (cloud). To se hodí především v případě, kdy mobil nebo tablet ztratíte. Do nového přístroje jednoduše zadáte své přístupové údaje a všechna data máte okamžitě zpět, o nic nepřijdete.

Jenže cloud představuje také jisté riziko, na které bezpečnostní experti pravidelně poukazují již několik posledních let. Tím, že data nemáte přímo u sebe, se k nim může dostat i někdo cizí. Stačí znát váš e-mail a heslo. A to neplatí pouze o iCloudu, ale také o dalších podobných službách, které provozují konkurenční společnosti.

Nepodceňovat sílu hesla
Riziko přitom nehrozí pouze v případě, že heslo někomu prozradíte. Hacker může na heslo jednoduše přijít. Speciální programy hackerského podsvětí dokážou čtyřmístné heslo, složené z číslic od nuly do devítky, prolomit za dvě minuty. Výkon dvoujádrových a čtyřjádrových procesorů totiž dovolí za jednu vteřinu prověřit na běžné počítačové sestavě až 100 možných kombinací.

Problém nastává také ve chvíli, kdy stejné heslo používáte u více služeb, například u e-mailu, nejrůznějších diskusních fór či sociálních sítí. Pokud na některé z těchto služeb dojde k úniku hesel, počítačoví piráti se pak velmi snadno dostanou i do dalších služeb – například přímo na server, kam se automaticky ukládají soukromé snímky z mobilu nebo tabletu. Jednoduše heslo na nejpoužívanějších službách vyzkoušejí.

Je tedy nutné si uvědomit, že hesla jsou zpravidla první linií účinné ochrany před odcizením citlivých osobních dat. Čím delší a složitější heslo, tím lépe. Vhodné je kombinovat malá i velká písmena a čísla, případně také speciální znaménka.

Vhod přijde dvojité zabezpečení
Zabezpečit cloudový účet je navíc možné prostřednictvím sofistikovanějších metod, než je pouze silné heslo. Někteří poskytovatelé těchto služeb nabízejí například možnost zasílat unikátní kód při každém přihlášení.

Pro přístup k datům tak nestačí znát pouze váš e-mail a heslo. Je potřeba mít také váš telefon, na který přijde přihlašovací kód. Podobný systém zabezpečení je dnes již samozřejmostí při platbách přes on-line bankovnictví.

Výjimkou není ani možnost detekce „nezvaných návštěvníků“. Ve chvíli, kdy se někdo pokusí získat přístup k vašim datům z jiného přístroje, než jaký jste při první instalaci potvrdili, přijde vám na e-mail automaticky upozornění. Data vám tato funkce sice neochrání, pokud k nim již útočník získal přístup, na druhou stranu ale tak nezíská žádný další citlivý obsah, který byste mohli na cloud nahrát.

Riziko představují i samotné mobily a tablety
Přijít o data uložená v mobilech a tabletech ale můžete i v případě, že žádný cloud nepoužíváte. Většina lidí totiž u nich, na rozdíl od klasických počítačů a notebooků, nepoužívá žádný bezpečnostní software. A právě proto se na mobilní zařízení zaměřují kybernetičtí zločinci stále častěji.

V praxi se jim tak může podařit propašovat do tabletu nebo smartphonu nějaký škodlivý virus, který jim umožní získat vládu nad napadeným přístrojem a tím jim zpřístupní i všechna uložená data. Bez antiviru nemá běžný uživatel prakticky žádnou šanci si všimnout, že byl jeho přístroj infikován.

Každý tablet a chytrý telefon by tak měl být vybaven bezpečnostním softwarem, který bude všechny hrozby neustále hlídat. Uživatelé by neměli zapomínat na pravidelné stahování všech bezpečnostních záplat, a to pro samotný operační systém i doinstalované programy. Nejrůznější trhliny v softwaru totiž útočníci také zneužívají k útokům.


IPhony a iPady mohou napadnout hackeři. Stačí se připojit k wi-fi

31.3.2017 Novinky/Bezpečnost Apple
Kritickou bezpečnostní trhlinu obsahuje operační systém iOS, který využívají chytré telefony iPhone a počítačové tablety iPad. Kyberzločinci ji mohou zneužít k tomu, aby do zařízení propašovali prakticky libovolný škodlivý kód. Stačí, aby byli připojeni ke stejné wi-fi jako jejich oběť, například na zdarma dostupné síti v kavárně nebo obchodním centru.
Chyba se týká pouze lidí, kteří využívají starší verzi iOS. (Ilustrační foto)
Chyba se týká pouze lidí, kteří využívají starší verzi iOS. (Ilustrační foto)
FOTO: mif, Novinky
Dnes 16:08
Jak snadno je trhlina zneužitelná demonstroval na hackerské konferenci Black Hat výzkumník Marco Grassi z bezpečnostní společnosti Tencent.

„Kyberzločinec využije systémové aplikace WebSheet, která po připojení k wi-fi automaticky načte libovolný tzv. captive portál. Na ten vloží některou zranitelnost WebKitu a tím vyvolá aplikaci iOS Diagnostics, která již běží mimo sandbox. iOS Diagnostics načítá URL, kterou útočník falzifikuje, a skrz ni kompromituje zařízení,“ popsal technickou stránku útoku Pavel Bašta, bezpečnostní analytik Národního kybernetického týmu CSIRT.CZ.

Zjednodušeně řečeno útočníkovi stačí, aby se mu podařilo připojit na stejnou wi-fi síť jako jeho oběti. Poté může zařízení s operačním systémem iOS podstrčit podvodnou stránku, prostřednictvím které pak propašuje do zařízení libovolný škodlivý kód – klidně jej i ovládne na dálku.

Je však nutné zdůraznit, že v ohrožení jsou pouze uživatelé, kteří nemají aktualizovaný svůj operační systém. Nejnovější verze iOS totiž kyberzločincům tato zadní vrátka do iPhonů a iPadů zavřela.

Měsíc plný chyb
Březen pro společnost Apple rozhodně růžový nebyl. Americký počítačový gigant totiž vydal opravy pro více než 200 bezpečnostních chyb, což je naprostý rekord.

Trhliny přitom nebyly objeveny pouze v systémech pro mobilní zařízení, ale například i v platformách pro stolní počítače. Hrozba se navíc týká také uživatelů, kteří žádné zařízení s platformou od Applu nevlastní. Trhliny obsahuje totiž například i webový prohlížeč Safari, jenž je dostupný i pro stroje s Windows.

S ohledem na množství objevených zranitelností by uživatelé zcela jistě neměli s instalací aktualizací otálet. V některých případech totiž již útočníci chyby zneužívají.


Bojíte se ransomwaru? Možná už nemusíte...

31.3.2017 SecurityWorld Zabezpečení
Svou klíčovou technologii Intercept X pro boj s ransomwarem a pokročilými hrozbami představila v Praze v rámci své evropské roadshow firma Sophos. Prezentaci podpořila nejen praktickými ukázkami toho, jak celé řešení funguje, ale i místem prezentace, kterým byl futuristický kamion, který budil zájem širokého okolí.

Vraťme se však k bezpečnostním technologiím. Ransomware je v současnosti hrozbou, které se bojí firmy i domácnosti -- stačí jen chvíle a soubory jsou zašifrované. Zaplatit, nebo rezignovat? Přitom stačí málo a k takové situaci by dojít nemuselo, tvrdí Peter Skondro, senior sales engineer ve společnosti Sophos, který výhody řešení Intercept X přítomným vysvětlil.

Intercept X podle něj představuje doplňující ochranu před malwarem, přičemž mimořádně účinný je zvláště v případě ransomwaru, kde tradiční antimalwary obvykle selhávají.

Díky pokročilé detekci exploitových technik totiž dokáže účelně zabránit i mnoha atakům nultého dne a ve spojení s dalšími technologiemi Sophosu tak představuje účinnou hráz pro téměř jakýkoliv typ ataku na firemní pracovní stanice.

Protože Intercept X funguje jako nadstavba klasické ochrany koncových stanic, lze jej kombinovat nejen s dalšími řešeními Sophosu, ale v podstatě s jakýmikoliv systémy ochrany endpointů třetích výrobců a díky minimální zátěži dobře funguje i na starších, méně výkonných počítačích (Intercept X v současnosti podporuje počítače s Windows 7 a novějšími, plánuje se i podpora pro Mac OS).

Intercept X podle Skondra zahrnuje čtyři klíčové vrstvy ochrany:

Anti-ransomware, který detekuje a eliminuje nevyžádané zašifrování dat a zároveň dokáže obnovit už zakódované soubory,
Anti-Exploit, který dokáže zabránit průniku malwaru nultého dne a má minimální dopad na výkonnost celého systému
Extended Cleanup (Hloubkové odstranění malwaru), který prostřednictvím forenzní analýzy odstraňuje různé typy hrozeb, aniž by znal nějaké jejich signatury
Root cause Analysis (Analýza prvotních příčin), který podrobně analyzuje atak malwaru

Jak účinné je zadržování malwaru?

Malware pro koncové body lze podle Skondra eliminovat hned několika různými metodami. Nejčastěji jde o omezení oblastí, kudy může malware do koncové stanice pronikat – ať už jde o různé typy filtrování, nastavení reputace stahovaných souborů apod. Tak lze zamezit průniku až 80 % všeho škodlivého kódu.

Druhou klíčovou metodou je analytika před aktivací malwaru, jako je třeba heuristika – tak lze eliminovat až 10 % malwaru. A pak tu jsou samozřejmě signatury známých řetězců, které zachytí okolo 5 % škodlivého kódu.

Výše popsané metody se ale týkají tradičního malwaru. Ten moderní se ale výše zmíněným způsobům detekce dokáže velmi úspěšně vyhnout. I na něj ale lze podle Skondra vyzrát – díky analýze chování či detekce technik exploitů jde eliminovat zbývající 3 %, respektive 2 % nákazy. Přitom právě dvě posledně jmenované metody se v současném světě malwaru jeví jako klíčové.

1. Eliminace ransomwaru

Základem ochrany před ransomwarem je technologie CryprtoGuard. Ta totiž dokáže velice efektivně detekovat podezřelé šifrování dat a zastavit jej ještě před tím, než napáchá v koncových stanicích nějaké škody.

CryptoGuard totiž při otevírání libovolného souboru nějakým procesem automaticky vytváří záložní kopii původního souboru a při jeho uzavření a zápisu se tato kopie porovná s nově zapsaným, vysvětluje Skondro. Pokud ale CryptoGuard zjistí nějaké zásadní změny nebo dokonce záměna souborového typu, považuje se soubor za zašifrovaný.

V případě, že se v krátkém časovém úseku taková detekce objeví u více souborů, CryptoGuard považuje počítač za napadený zatím neznámým ransomwarem. Proces, který takové operace na soubory vykonává, se umístí do karantény a zruší se mu právo zapisovat do souborového systému.

Po celou dobu se přitom na obrazovce uživatele ukazuje ekvivalent semaforu ukazující, v jakém stavu se nalézá koncová stanice uživatele (zelená -- vše Ok, žlutá -- něco se děje, červená – pozor, nastaly problémy se zabezpečením). V tuto chvíli se tedy na koncové stanici rozsvítí červené světlo.

Díky předchozím krokům CryptoGuard dokáže znovuobnovit fungování koncové stanice i ransomwarem zašifrované soubory -- ty lze totiž získat z předem vytvořených kopií otevíraných souborů.

Zároveň se pošle příslušný alarm do centrální správy, začnou se sbírat informace potřebné pro podrobné analyzování nastalé situace a spustí se hloubkové odstraňování malwaru pomocí funkce Sophos Clean, viz níže.

Na konci celého procesu nápravy tak jsou nezašifrované soubory s původním obsahem a obnovený systém bez nákazy – semafor se opět rozsvítí zelenou barvou.

Podobně to funguje i v případě, kdy ransomware je na vzdáleném klientovi, který přistupuje k souborovému serveru – při otevírání souborů se opět vytváří záložní kopie, která se porovnává s nově zapsaným souborem.

Pokud se zjistí nějaké nesrovnalosti, viz výše, CryptoGuard označí vzdáleného klienta za napadeného ransomwarem a zruší mu přístup k souborovému systému. Z kopií se obnoví původní data a centrální správě se zašle odpovídající upozornění.

2. Detekce malwaru prostřednictvím technik exploitů

V současnosti existuje celá řada technik exploitů, kterými lze kompromitovat uživatelovu koncovou stanici, tvrdí Skondro. Intercept X podle něj dokáže takové procesy monitorovat a zároveň detekovat pokusy o zneužití exploitů využívajících techniky, jako je například buffer overflow nebo code injection. Tímto způsobem zamezí zneužití různých zranitelností v nezabezpečených aplikacích nebo v programech, kde se ještě nenainstalovaly odpovídající záplaty.

Celé řešení přitom není postavené na signaturách, takže dokáže eliminovat i neznámá rizika. Svou architekturou také nemá žádný dopad na výkon celého systému.

3. Analýza prvotních příčin

Součástí Intercept X je i sofistikovaný systém analýzy prvotních příčin incidentů. Samotné odpojení zasažené pracovní stanice totiž podle Skondra neřekne nic o tom, co přesně se vlastně stalo, jaké systémy či soubory byly incidentem zasažené a jak lze do budoucna tomuto problému zamezit.

Právě na tyto otázky odpovídá zmíněný systém analýzy prvotních příčin. Podrobným zkoumáním totiž identifikuje ovlivněné procesy, klíče registrů, soubory i komunikační kanály, prostřednictvím detailní grafiky ukáže jednotlivé událostí i jejich souvislosti a zjistí prvotní zdroj infekce. Zároveň zjistí, které soubory a systémy byly událostí zasažené a které systémy by se měly nechat vyčistit.

Systém analýzy prvotních příčin zároveň může poradit, jak se obdobné nákaze příště vyhnout, dodává Skondro.Například které vstupní kanály pro malware je dobré uzavřít či jak efektivně zabránit šíření malwaru uvnitř podnikové sítě.

4. Hloubkové odstranění malwaru

Pro pokročilou likvidaci kybernetické nákazy využívá Intercept X nástroj Sophos Clean, což je skener a čistič malwaru, který funguje na vyžádání a pracuje bez potřeby nejakých signatur. Pomocí forenzních metod dokáže zjišťovat známý i neznámý malware, tvrdí Skondro.

Ke své činnosti využívá detekci chování a zároveň cloudové zpravodajství hrozeb. Dokáže také nalézt a vyjmout persistentní škodlivý kód a případné napadené systémové soubory systému Windows dokáže nahradit originálními verzemi.

Propojení s dalšími řešení Sophosu

Intercept X představuje pouze sofistikovanou nadstavbu ke klasické ochraně koncových bodu, takže pro plnou ochranu je nutné propojit jej s dalšími obrannými technologiemi.

Například ve spojení s Sophos Central Endpoint Advanced můžete získat kromě výše popsaných funkcionalit řešení Intercept X také klasickou antimalwarovou ochranu, detekci škodlivého provozu, HIPS, kontrolu webu, aplikací a dat, filtrování webů v koncových stanicích centrální správu a řadu dalších funkcí, díky nimž uživatelé získají komplexní ochranu koncových bodů, vysvětluje Skondro.

Dalším stupněm je integrace Intercept X s Sophos XG, firewally nové generace (NGFW) a šifrovacím řešením SafeGuard Encryption. Využívá se přitom ekosystém sdílené inteligence Security Heartbeat, kdy se synchronizuje zabezpečení prostřednictvím více řešení v reálném čase, což zlepšuje účinnost ochrany.

Intercept X jako dopln&ecaron;k

Jak Intercept X doplňuje existující řešení ochrany endpointů

(Zdroj: Sophos)

Příkladem toho, jak efektivně může taková kombinovaná obrana pracovat, je například situace, kdy Endpoint Advanced nebo Intercept X zaznamená infekci na koncové stanici, prostřednictvím systému Security Heartbeat dostane tuto zprávu agent SafeGuard Encryption, který okamžitě vymaže z paměti zařízení šifrovací klíče, které by šlo zneužít. Vzápětí Security Heartbeat informuje o kompromitaci stanice příslušný firewall, který ji odpojí od sítě, resp. ji dá do karantény, než se malware odstraní, vysvětluje Skondro.

Sophos takto propojenou obranu označuje jako Synchronized Security. Nahrazuje donedávna používaný koncept, kdy bezpečnostní řešení navzájem koordinovaly svou činnost jen výjimečně a kvůli tomu byly málo účinné proti novým typům hrozeb.

Synchronized Security totiž podle Skondra dokáže nákazu nejen detekovat, ale i zjistí, které systémy byly skutečně zasažené, učinit patřičné kroky pro nápravu a navíc správcům přinést podrobnou analýzu toho, co se ve skutečnosti stalo a jak tomu příště předejít. A to je něco, co bylo donedávna jen snem bezpečnostních manažerů.


Nejrozšířenější malwarovou rodinou byl v únoru botnet Kelihos

31.3.2017 SecurityWorld Viry
Check Point Software Technologies zveřejnil únorový Celosvětový index dopadu hrozeb, podle kterého se downloader Hancitor poprvé umístil v Top 5 nejrozšířenějších malwarových rodin.

Zároveň byl vydán žebříček zemí, které jsou nejčastěji terčem kyberútoků. Česká republika zaznamenala nárůst útoků a posun o 15 míst na nebezpečnější 41. pozici. Slovensko se naopak posunulo o 36 míst mezi bezpečnější země a aktuálně mu patří 65. pozici.

Na prvním místě se v Indexu hrozeb umístila Zambie, která se posunula o 13 míst. Největší skok mezi nebezpečnější země zaznamenal Katar, který se vyhoupl ze 118. příčky na 58. Celkově žebříček doznal v únoru mnoha změn a řada nebezpečnějších zemí se posunula mezi bezpečnější a naopak.

Downloader Hancitor, který na infikovaných zařízeních instaluje například bankovní trojské koně nebo ransomware, se posunul o 22 míst po více než ztrojnásobení globálního dopadu v uplynulém měsíci. Hancitor, někdy označovaný také jako Chanitor, se obvykle šíří prostřednictvím Office dokumentů s makry ve phishingových e-mailech s „důležitými“ zprávami, jako jsou hlasové zprávy, faxy nebo faktury.

Index vyhodnotil Kelihos, botnet používaný k bitcoinovým krádežím, jako nejrozšířenější malwarovou rodinu s 12 % ovlivněnými organizacemi po celém světě. Kelihos je aktivní od roku 2010 a dokázal se přizpůsobit od obyčejných spamových kampaní k pronajímání botnetu na rozesílání spamu komukoli, kdo je ochoten zaplatit. Přestože byl odstaven v roce 2011 a znovu o rok později, pokračoval i tak ve vývoji a transformaci v botnet a vzrostl více než třikrát během pouhých dvou dnů loni v srpnu. V současné době Kelihos stále roste a je to jeden z nejvýznamnějších distributorů nevyžádané pošty na světě. Disponuje „armádou“ s více než 300 000 infikovanými počítači, z nichž každý může posílat více než 200 000 e-mailů každý den.

Z analýzy Top 3 malwarových rodin vyplývá, že hackeři používají při útocích na organizace širokou škálu útočných vektorů a taktik. Tyto hrozby mají dopad na celý infekční řetězec, včetně nevyžádaných e-mailů, které se šíří pomocí botnetů, a downloaderů, které nakonec umístí ransomware nebo trojského koně do počítače oběti.

Top 3 nejrozšířenější škodlivé kódy v únoru byly Kelihos, který ovlivnil 12 % organizací, HackerDefender, který měl dopad na 5 %, a Cryptowall, který ovlivnil 4,5 % organizací po celém světě.

Top 3 - malware:

Kelihos - Botnet zaměřený především na bitcoinové krádeže a rozesílání spamu. Využívá peer-to-peer komunikaci, která umožňuje každému jednotlivému uzlu působit jako C&C server.
HackerDefender - Uživatelský rootkit pro Windows může být využit ke skrytí souborů, procesů a klíčů registru, a také k implementaci backdooru a přesměrování portu, který funguje na základě TCP portů otevřených stávajícími službami. Takže není možné najít skryté backdoory tradičními postupy.
Cryptowall – Ransomware, který začínal jako Cryptolocker doppelgänger, ale nakonec jej překonal. Po odstavení ransomwaru Cryptolocker, se stal Cryptowall jedním z nejvýznamnějších ransomwarů současnosti. Cryptowall je známý pro využití AES šifrování a komunikaci s C&C serverem přes anonymní síť Tor. Šíří se prostřednictvím exploit kitů, škodlivé reklamy a phishingových kampaní.

V oblasti mobilního malwaru došlo k několika zajímavým změnám. Nejaktivnější variantou byl v únoru Hiddad, který do čela poskočil z 3. příčky, na druhém místě skončil Hummingbad a z prvního místa se na třetí propadl backdoor Triada.

Top 3 - mobilní malware:

Hiddad – Android malware, který přebaluje legitimní aplikace a pak je umísťuje do obchodů třetích stran. Jeho hlavní funkcí je zobrazování reklam, ale může také získat přístup ke klíčovým bezpečnostním informacím obsaženým v operačním systému, což umožňuje útočníkovi získat citlivá uživatelská data.
Hummingbad - Malware se zaměřuje na zařízení se systémem Android a vytváří trvalý rootkit na zařízení, instaluje podvodné aplikace a umožňuje další škodlivé aktivity, jako například instalace keyloggeru, krádež přihlašovacích údajů a obcházení šifrování e-mailů pro lepší zachycení podnikových dat.
Triada - Modulární backdoor pro Android, který uděluje superuživatelské oprávnění pro stažení malwaru a pomáhá jej vložit do systémových procesů. Triada take umí zfalšovat URL odkazy uložené v prohlížeči.

„Nárůst využití různých malwarových variant ukazuje problémy, kterým čelí IT oddělení po celém světě. Je nezbytně nutné, aby se organizace dostatečně vybavily na boj s neustále rostoucím počtem hrozeb a využívaly napříč celou podnikovou sítí pokročilé bezpečnostní systémy,“ říká Peter Kovalčík, SE Manager ve společnosti Check Point.

Check Point analyzoval i malware útočící na podnikové sítě v České republice a i v únoru pokračoval vzestup nových škodlivých kódů. Conficker se po výrazné dominanci během roku 2016 umístil v únoru až na 4. příčce.

Na první místo se naopak vyhoupl botnet Kelihos, který odsunul na druhou pozici ransomware Cryptowall. Na 3. příčce byl rootkit HackerDefender.

Top 10 malwarových rodin v České republice – únor 2017

Malwarová rodina

Popis

Kelihos

Botnet Kelihos (neboli Hlux) je P2P botnet zapojený především do krádeží bitcoinů, těžení bitcoinu a odesílání nevyžádané pošty. Šíří se prostřednictvím spamu, který obsahuje odkazy na další malware. Botnet může také komunikovat s ostatními počítači a vyměňovat informace o zasílání spamu, krást citlivé informace nebo stáhnout a spustit škodlivé soubory. Pozdější verze se většinou šíří přes weby sociálních sítí, zejména Facebook.

Cryptowall

Cryptowall je hlavní ransomwarový trojan, který šifruje soubory na infikovaném počítači a pak žádá po uživatelích zaplacení výkupného za dešifrování. Šíří se prostřednictvím škodlivých reklamních a phishingových kampaní. Cryptowall se poprvé objevil v roce 2014.

HackerDefender
HackerDefender je rootkit pro Windows 2000 a Windows XP a může fungovat i na pozdějších verzích Windows NT. Rootkit upravuje různé funkce ve Windows a API, aby se vyhnul detekci bezpečnostním softwarem. HackerDefender je široce rozšířený, protože je volně k dispozici na internetu a lze snadno nainstalovat.

Conficker
Conficker je počítačový červ, který se zaměřuje na operační systém Windows. Využívá zranitelnosti v operačním systému a zkouší odhadnout administrátorské heslo pro další šíření a vytvoření botnetu. Infekce umožňuje útočníkovi získat přístup k osobním údajům uživatelů, jako jsou bankovní údaje, čísla kreditních karet nebo hesla. Červ původně cílil na uživatele komunikačních stránek, jako jsou Facebook, Skype a e-mailové stránky.

Fareit
Fareit je trojský kůň, který byl poprvé detekován v roce 2012 a jeho varianty obvykle kradou uživatelský jména a hesla uložená ve webových prohlížečích. Navíc kradou také identifikační údaje k e-mailu a FTP, jako jsou seznam adresářů, heslo, číslo portu, název serveru, typ serveru a uživatelské jméno.

TorrentLocker
Torrentlocker je ransomwarová rodina, která šifruje uživatelské dokumenty, obrázky a další typy souborů. Útočníci po oběti požadují za dešifrování platbu 4,1 bitcoinů (přibližně 1800 dolarů).

Slammer
Paměťový rezidentní červ cíleně útočí na Microsoft SQL 2000. Rychlé šíření umožňuje využít DoS útoky na vytipované cíle.

Delf
Delf je velká rodina trojských koňů, používaných ke krádežím dat. Některé varianty se liší tak výrazně, že jsou klasifikovány jako červy nebo viry.

Škodlivé aktivity jsou velmi variabilní, od ukončování procesů, přes krádeže dat až po stahování dalšího malwaru.

RookieUA
RookieUA je určen ke krádežím informací. Získává informace o uživatelských účtech, jako jsou přihlašovací jména a hesla, a odesílá je na vzdálený server. HTTP komunikace probíhá pomocí neobvyklého uživatelského agenta RookIE/1.0.

Hancitor
Downloader využívany k instalaci škodlivého kódu, jako jsou bankovní trojany a ransowmare na infikovaných strojích. Hancitor, někdy označovaný také jako Chanitor, se obvykle šíří prostřednictvím Office dokumentů s makry ve phishingových e-mailech s „důležitými“ zprávami, jako jsou hlasové zprávy, faxy nebo faktury.

Graftor
Graftor je adware a zneužívá webový prohlížeč. Svými vlastnostmi se podobá trojskému koni. Může být použit jako nástroj pro stažení dalších škodlivých kódů. Je také znám pro skrývání spustitelných příkazů a DLL v PNG souborech, aby se vyhnul detekci. Některými dodavateli je vnímán jen jako nežádoucí program, ale Graftor má rootkitové schopnosti a C&C funkce, které z něj dělají mnohem nebezpečnější malware, než je jen obyčejný adware.

Online mapa kybernetických hrozeb ThreatCloud Map sleduje v reálném čase, jak a kde po celém světě probíhají kybernetické útoky, a pro to využívá informací z Check Point ThreatCloud, největší sítě pro spolupráci v boji s kybernetickými hrozbami, a přináší data o hrozbách a trendech z celosvětové globální sítě senzorů.

Databáze ThreatCloud analyzuje více než 250 milionů adres a detekuje případné nakažení boty, obsahuje přes 11 milionů malwarových signatur a více než 5,5 milionu infikovaných webových stránek a identifikuje miliony malwarových typů každý den.


Velká aktualizace pro Windows 10 vyjde 11. dubna

31.3.2017 Novinky/Bezpečnost Zranitelnosti
Dlouho očekávanou aktualizaci operačního systému Windows 10, která přinese řadu nových funkcí, vydá společnost Microsoft 11. dubna. Zástupci amerického počítačového gigantu to potvrdili ve středu.
Vydání aktualizace známé jako Creators update chystali vývojáři Microsoftu několik posledních měsíců. Kdy přesně ji vydají však doposud jisté nebylo, přestože již dříve se objevily spekulace, že se tak stane v průběhu dubna. Nyní je již jasné, že se tak stane v úterý 11. dubna.

Jak již samotný název napovídá, s updatem se americký softwarový gigant zaměří především na kreativce. „Aktualizace je navržena tak, aby podpořila kreativitu a pomohla uskutečnit vaše nápady pomocí nástrojů, které budou od 11. dubna nedílnou součástí Windows 10,“ lákají na nové funkce zástupci Microsoftu.

3D technologie a hráči
Americký softwarový gigant se s novou aktualizací zaměří především na dovednosti operačního systému Windows 10 v oblasti 3D technologií. Například malování bude přepracováno tak, aby v něm bylo možné snadno vytvářet trojrozměrné objekty. Kreativních nástrojů ale bude samozřejmě k dispozici daleko více.

Pozornost byla v aktualizaci věnována také hráčům. Své zápolení s protivníky budou uživatelé moci například snadno streamovat na internet. Jednoduše by mělo být možné vytvářet turnaje, a to doslova na pár kliknutí. Turnaje bude možné vytvářet prostřednictvím funkce Arena. V ní si uživatelé nastaví vlastní pravidla a určí, kdo přesně může hrát.

Další vylepšení by se měla týkat prohlížeče Microsoft Edge. A stranou nezůstane ani oblast zabezpečení a ochrany soukromí.

Druhá velká aktualizace
Server Ars Technica upozornil na to, že Microsoft chystá na letošní rok kromě Creators updatu ještě další velkou aktualizaci. Redaktoři se totiž dostali k plánům amerického podniku, ze kterých to jednoznačně vyplývá.

Přesné datum sice uvedeno nebylo, z plánů je však patrné, že by update měl být uvolněn během letošního podzimu. Otazník však visí nad tím, jaké nové vychytávky by měla druhé velká aktualizace přinést.


Apple záplatuje přes 200 bezpečnostních chyb

31.3.2017 Novinky/Bezpečnost Apple
Počítače s logem nakousnutého jablka, smartphony, ale například i chytré hodinky. Aktuálně prakticky neexistuje produkt od společnosti Apple, jehož software by neobsahoval nějakou bezpečnostní chybu. Americký počítačový gigant totiž naráz záplatuje více než dvě stovky trhlin.
Stroje s logem nakousnutého jablka jsou zpravidla považovány za ty bezpečnější. A v porovnání s celou řadou konkurentů to skutečně zpravidla platí.

Nicméně aktuálně se nashromáždilo v softwarových produktech amerického počítačového gigantu tolik chyb, že jde o naprostý rekord – jak bylo uvedeno již výše, je jich více než 200.

V ohrožení i uživatelé Windows
Trhliny obsahuje operační systém iOS pro chytré telefony iPhone a multimediální přehrávač iPod, ale stejně tak i jeho desktopová obdoba macOS, kterou využívají zase stolní počítače a notebooky s logem nakousnutého jablka.

Chyby byly dále odhaleny v platformě watchOS pro chytré hodinky a tvOS pro televizní systémy. Opravám se nevyhnul ani profesionální systém macOS Server či kancelářský balík Pages.

Hrozba se navíc týká také uživatelů, kteří žádné zařízení s platformou od Applu nevlastní. Trhliny obsahuje totiž například i webový prohlížeč Safari, jenž je dostupný i pro stroje s Windows. S ohledem na množství objevených zranitelností by uživatelé zcela jistě neměli s instalací aktualizací otálet.

Kyberzločinci již chyby zneužívají
V některých případech totiž již útočníci chyby zneužívají, jak upozornil Národní bezpečnostní tým CSIRT.CZ. „Verze iOS 10.3 pak opravuje zranitelnost, která je již aktivně využívána v rámci vyděračské kampaně založené na využití javascriptu,“ varoval Pavel Bašta, bezpečnostní analytik CSIRT.CZ, který je provozován sdružením CZ.NIC.

„Při ní se uživateli zobrazí informace, že jeho prohlížeč Safari byl zablokován s tím, že za jeho odblokování musí zaplatit,“ doplnil Bašta.


Energetické sítě mají problémy s detekcí kyberútoků, tvrdí experti

31.3.2017 SecurityWorld ICS
Podle expertů firmy Kaspersky Lab nemají energetické sítě dostatečně silné vestavěné kyberbezpečnostní funkce, takže jsou velmi náchylné k sofistikovanějším bezpečnostním hrozbám, jejichž zjištění nebývá triviální.

Podle firmy Kaspersky Lab jsou současné elektrické rozvodové sítě spletitým systémem s integrovanou automatizací a kontrolními funkcemi – a protože komunikace probíhá skrz otevřené protokoly a síť nemá dostatečně silné vestavěné kyberbezpečnostní funkce, jsou tak velmi náchylné k sofistikovanějším bezpečnostním hrozbám.

Podle průzkumu 92 % průmyslových kontrolních systémů (ICS) s externím přístupem používá otevřené a nezabezpečené internetové komunikační protokoly. Navíc od roku 2010 se zvýšil počet zranitelných komponentů ICS o faktorovou jednotku 10, což z těchto zařízení činí snadné a lukrativní cíle pro kyberzločince.

Téměř polovina energetických a dalších společností z oblasti inženýrských sítí prý připouští, že mají velké problémy s detekcí sofistikovaných útoků.

Jedním z řešení má podle firmy Kaspersky být nasazení Industrial CyberSecurity for Energy, balíčku řešení pro subjekty působící v energetickém průmyslu. Tato sada podle výrobce chrání kontrolní centra na úrovni SCADA a automatické transformační systémy (Substation Automation Systems) na všech úrovních včetně horní úrovně automatizace, kam spadají servery, HMI, gateways nebo inženýrské pracovní stanice.

Chráněné jsou také sekundární automatizační zařízení: ochranná relé, bay controllers, fúzní jednotky, RTU a další transformační stanice, procesní IED stanice a celá síťová infrastruktura.

Řešení také nabízí řadu pokročilých technologií pro ochranu průmyslových uzlů a síťové infrastruktury. V rámci síťové infrastruktury nabízí řešení síťový monitoring a kontrolu integrity s možností „deep application protocol inspection“ (včetně IEC 60870-5-104, IEC 61850 a dalších norem a protokolů vztahujících se k elektrické infrastruktuře).


Eset vylepšil své firemní bezpečnostní produkty včetně podpory virtualizace

29.3.2017 SecurityWorld Zabezpečení
Dvě zásadní aktualizace svých produktů pro firmy -- nástroje vzdálené správy Remote Administrator (RA) a Virtualization Security -- ohlásil Eset.

Prvně jmenované řešení je nově kompatibilní s nástrojem SIEM (IBM QRadar) a také nabízí režim, který poskytovatelům typu MSP umožní obsluhovat několik zákazníků v rámci jednoho řešení, tzv. mód multitenant.

Virtualization Security je zase rozšířené o nativní podporou VMware NSX, což umožňuje lepší prevenci proti škodlivému kódu a kontrolu systému bez zvýšení nároků na systémové zdroje díky přidání antivirové kontroly na úroveň virtualizované síťové vrstvy.

„Firmy jsou dnes cílem útoků kriminálních skupin mnohem častěji než v minulosti. Proto jsme zaměřili naše úsilí na vylepšování našich řešení pro firmy,“ říká Michael Jankech, Senior Product Manager pro oblast Business Security v Esetu.

Popis řešení podle výrobce:

Remote Administrator umožňuje správcům celkový přehled nad bezpečnostní situací ve firemní síti z webové konzole. A to odkudkoli, stačí jen funkční internetové připojení.

Integrace s IBM QRadar: Všechny hlavní události z nástroje vzdálené správy jsou exportovány do formátu LEEF, který QRadar používá. V IBM konzoli se potom události Esetu zobrazují jako „zdroj protokolů“.
Multitenantní režim: Ideální pro velké společnost s jedním centrálním serverem a různými správci koncových stanic na konkrétních lokalitách, nebo pro MSP spravujících více zákazníků z jednoho serveru, ale potřebují, aby zákazníci neviděli citlivá data dalších zákazníků.
MDM iOS: Správa mobilních zařízení s iOS je integrována přímo do Remote Administratoru, podporuje Apple Device Enrollment Program a umožňuje měnit různá bezpečnostní nastavení od povolení/ zákaz aplikací po anti-theft.

Virtualization Security umožňuje standardní antivirovou ochranu virtuálních strojů prostřednictvím řešení na platformě VMware vShield bez nutnosti instalace jakéhokoliv bezpečnostního produktu do jejich operačních systémů.

Všechny skenovací úlohy jsou směrovány na centrální skener uvnitř appliance Virtualization Security od Esetu, takže nedochází k vícenásobné kontrole dat na virtuálních stanicích.

Podpora VMware NSX: Produkt nativně podporuje mikro segmentaci a automatické spouštění úloh, které přesunou infikovaný stroj do jiného segmentu sítě. Brání se tak dalšímu šíření škodlivého kódu. Po připojení nové virtuální stanice k NSX Manageru se automaticky nasadí Virtualization Security a ihned stanici chrání.
Snadné nasazení: Virtualization Security lze jednoduše instalovat s pomocí nástroje vzdálené správy z jednoho místa.
Vysoká výkonnost: VM infrastruktura je o optimalizaci zdrojů a výkonu -- a skenovací řešení Esetu tyto požadavky přesně splňuje. Má nízké nároky na systém a pracuje rychle, takže dává více prostoru pro ostatní aplikace a procesy.


Škodlivé reklamy na zahraničních porno webech kradou údaje k bankovnictví

28.3.2017 Novinky/Bezpečnost Kriminalita
Trojský kůň Ramnit se šíří prostřednictvím reklamního systému, který načítá reklamní bannery v novém okně prohlížeče. Přesměruje oběť na server útočníka, z něhož stáhne škodlivý program.
Ramnit se šíří prostřednictvím několika největších porno stránek ve Velké Británii a Kanadě. Jde o takzvaný exploit kit, který se stáhne do infikovaného zařízení a umožňuje vzdálenou správu napadeného počítače.

Konkrétně Ramnit se zaměřuje na přihlašovací údaje k internetovému bankovnictví a také k FTP serverům. V minulosti tento trojský kůň způsobil řadu škod, ale poté takřka vymizel. Znovu se začal objevovat v roce 2015 a loni v srpnu jej použili útočníci při napadení šesti největších bank ve Velké Británii.

Stačilo kliknout na miniaturu fotky nebo videa
„Po asi osmi měsících, kdy nevyvíjel žádnou aktivitu, bezpečnostní analytici narazili na dva nové servery, jejichž prostřednictvím útočníci vzdáleně ovládají zařízení napadená Ramnitem,“ přiblížil na webu SecurityIntelligence.com bezpečnostní expert společnosti IBM Limor Kessem.

„Útočníci poté spustili škodlivou kampaň ve Velké Británii a šíří nové konfigurace trojanu doplněné o další druhy malware, jejichž cílem je získat přístupové údaje uživatelů k internetovému bankovnictví,“ dodal.

Konkrétně u nejpopulárnějších porno stránek ve Velké Británii a Kanadě se vir šíří tak, že uživatel klikne na miniaturu obrázku ve zvolené kategorii galerií nebo videí a tím spustí i pop-okno se škodlivou reklamou.

Jeho prostřednictvím se do zařízení stáhne trojský kůň Ramnit, který poté vyvíjí v napadeném počítači skryté aktivity. Útočníci při této kampani zneužili reklamní síť ExoClick, která okamžitě po odhalení této kampaně přijala opatření k zastavení škodlivého inzerenta.

Pozor by si měli dávat i Češi
Bankovní malware útočí i v České republice. Nejde sice o zmiňovaný Ranmit, ale o trojského koně Android\Trojan.Spy.Banker.HV, který se zaměřuje na mobilní zařízení s operačním systémem Android.

Malware se šíří prostřednictvím falešných SMS zpráv.
„Šíří se podvodnými zprávami SMS. Podle aktuálních informací se útočníci prozatím zaměřili jen na ČSOB. Dá se však očekávat, že okruh cílových bank se brzy rozšíří,“ varuje Lukáš Štefanko, analytik malware ve společnosti ESET. Malware se šíří prostřednictvím falešných SMS zpráv, které předstírají komunikaci České pošty nebo obchodu Alza.cz.

Falešná zpráva uživatele vyzve, aby si otevřel stránku internetového bankovnictví. Místo ní však podsune falešnou přihlašovací stránku. Nepozorný uživatel tak nevědomky odešle své přihlašovací údaje podvodníkům a vystaví se hrozbě vykradení účtu. Během letošního února se takto v Česku a na Slovensku rozšiřovaly falešné SMS s odkazem na údajnou aplikaci společnosti DHL.

Ochrana před podobnými útoky je poměrně prostá. „K omezení rizik doporučuji dodržovat především dvě základní bezpečností opatření. V prvé řadě je nutné nenechat se přimět k instalování aplikací pomocí odkazů, které mohou vést na podvodnou stránku. Aplikaci, kterou chce uživatel instalovat, je třeba si vždy vyhledat v oficiálním obchodě s aplikacemi nebo na důvěryhodných stránkách,” vysvětluje Lukáš Štefanko ze společnosti ESET.


Jaké aplikace představují v PC největší bezpečnostní problém

28.3.2017 Novinky/Bezpečnost Zabezpečení
Flash, Java či WinZip. To jsou aplikace, které používá na počítačích drtivá většina uživatelů. Právě kvůli jejich popularitě se na ně ale velmi často zaměřují také počítačoví piráti. A to je problém, neboť uživatelé velmi často aktualizaci těchto aplikací podceňují. Nevědomky tak kyberzločincům otevírají zadní vrátka do svého počítače.
O tom, že uživatelé velmi často podceňují aktualizace nejpoužívanějších programů, pojednává analýza antivirové společnosti Avast. Podle ní je více než polovina (52 %) nejrozšířenějších počítačových aplikací včetně Flashe a Javy v počítačích uživatelů zastaralá.

„V on-line světě hrají bezpečnostní návyky, jako je pravidelná aktualizace softwaru, důležitou roli pro osobní bezpečnost na internetu. Zkušení hackeři umějí přesně zacílit na slabiny, a právě používáním neaktualizovaných programů jim lidé útok usnadňují,“ řekl technický ředitel Avastu Ondřej Vlček.

Aktualizace často odkládají
Podle něj uživatelé aktualizace často odkládají a pak na ně i přes upozornění zapomenou. V některých případech ji mohou provést špatně a kvůli tomu se program již dále neaktualizuje – například pokud při přeinstalaci nenechají zatrženou volbu „aktualizovat automaticky“.

Žebříčku nejvíce zastaralých aplikací kraluje již výše zmíněná Java. Jde o rozhraní používané v prostředí webu a některých aplikací, jehož verzi s pořadovými čísly šest a sedm používá více než 24 miliónů uživatelů. „Zatímco dalších 26 miliónů uživatelů má nejnovější verzi Java 8, více než 70 % z nich si ještě nenainstalovalo poslední vydanou aktualizaci,“ podotkl Vlček.

Druhou příčku obsadil Flash Player, tedy aktuálně jeden z nejpopulárnějších programů pro přehrávání videí na internetu. „Ten by si pro Internet Explorer mělo aktualizovat 99 % uživatelů,“ řekl Vlček.

Flash Player používá na celém světě několik stovek miliónů lidí. Právě kvůli velké popularitě se na Flash Player zaměřují kybernetičtí nájezdníci pravidelně. Podle analýzy bezpečnostní společnosti Record Future cílilo osm z deseti nejrozšířenějších hrozeb v roce 2015 právě na tento přehrávač videí.

Počítač dávají všanc pirátům
Nepříliš lichotivá bronzová medaile patří aplikaci Foxit Reader, u které 92 % uživatelů pracuje se zastaralou verzí.

Přitom chyby v těchto aplikacích patří velmi často mezi kritické. To jinými slovy znamená, že útočník může prostřednictvím této trhliny v krajním případě klidně i převzít kontrolu nad napadeným systémem. Může se tak snadno dostat k uloženým datům, případně odchytávat přihlašovací údaje na různé webové služby.

Takový stroj se pak klidně i bez vědomí uživatele může stát součástí botnetu (síť zotročených počítačů), který kyberzločinci zpravidla zneužívají k rozesílání spamu nebo k DDoS útokům. Pokud uživatelé nenainstalují včas aktualizace, vystavují svůj stroj všanc počítačovým pirátům.

„Naopak mezi nejvíce aktualizované aplikace se zařadily Google Chrome z 88 %, Opera z 84 % a Skype z 76 %. Procenta ukazují, že ani aplikace s automatickou aktualizací nemusí být vždy aktualizované,“ uzavřel Vlček.

Nejméně aktualizované programy
1. Java (Runtime 6, 7), Oracle Corporation
2. Flash Player (Active X), Adobe Systems
3. Foxit Reader, Foxit Software
4. GOM Media Player, Gretech
5. Nitro Pro, Nitro Software
6. WinZip, Corel Corporation
7. DivX, DivX LLC
8. Adobe Shockwave Player, Adobe Systems
9. 7-ZIP, Igor Pavlov
10. Firefox, Mozilla
Zdroj: Avast


Kaspersky využívá pro detekci hrozeb strojové učení v cloudu

28.3.2017 SecurityWorld Zabezpečení
Fraud Prevention Cloud umožní čelit podvodům realizovaným skrze internetové služby. Alespoň to slibují experti firmy Kaspersky Lab, které novinku vyvinuli a využili v ní pokročilé metody detekce.

Kromě prevence podvodů pro koncové stanice a mobilní zařízení poskytuje platforma i řadu cloudových technologií navržených přímo pro ochranu bank, finančních institucí, či vládních agentur.

Patří mezi ně kromě reputační databáze GDR (global device reputation) také analýza zařízení a prostředí, behaviorální analytika, biometrie a tzv. clientless malwarová detekce.

Například behaviorální analýza a biometrie pomáhají zjistit, jestli je uživatelem skutečná osoba, aniž by po něm byla vyžadována jakákoliv další aktivita. Toto chování se analyzuje prostřednictvím pohybů myši, klikání, skrolování nebo úderů na klávesnici. U mobilních zařízení se provádí za pomoci akcelerometru/gyroskopu a gest (dotyků, tahů atd.).

Fraud Prevention Cloud shromažďuje a analyzuje informace o uživatelově chování, jeho přístroji, prostředí a relacích v podobě anonymizovaných a neosobních big dat v cloudu. Díky tomu jsou v off-line prostředí k dispozici pro expertní forenzní a automatické analýzy.

Nově jsou také k dispozici informace pro interní Enterprise Fraud Management systém, což umožní včasnou proaktivní detekci podvodů v reálném čase ještě před tím, než dojde k jejich realizaci.

Tento přístup se zakládá na technologii Kaspersky Humachine – ta je kombinací big dat, výzkumů a analýz hrozeb za asistence algoritmů strojového učení a odbornosti firemních bezpečnostních týmů.

Ověřování na základě analýzy rizik (Risk Based Authentication, RBA) zase vyhodnotí riziko ještě před tím, než se uživatel přihlásí do digitálního kanálu. Interní backendové systémy jsou na jeho základě informovány o tom, zda mají přístup povolit, vyžádat si dodatečné ověření nebo ho zablokovat.

Tento prvek zlepšuje uživatelskou zkušenost tím, že minimalizuje počet autentifikačních kroků pro oprávněné uživatele, přičemž neoprávněného uživatele odhalí ještě před spácháním podvodu.

Nepřetržitá detekce anomálií v provozu (Continuous Session Anomaly Detection) navíc pomáhá detekovat podvodné aktivity tím, že identifikuje neoprávněné přístupy k účtu, nové podvodné aktivity na účtu, praní špinavých peněz, automatizované nástroje a další podezřelé procesy v průběhu provozu.

Fraud Prevention Cloud nicméně nezasahuje pouze v průběhu přihlašování, ale během celého provozu. Vytváří přitom statistické modely různých behaviorálních vzorců za využití technologií strojového učení.

A konečně clientless malwarová detekce kombinuje přímé a proaktivní techniky detekce. Přímou technikou se zjišťuje, jestli uživatelovo zařízení neslouží k přímému útoku na konkrétní digitální službu organizace.

Druhá technika proaktivní detekce pomáhá identifikovat malware, který bezprostředně neohrožuje organizaci, ale mohl by být ke škodlivému účelu přizpůsoben a zaútočit v budoucnosti. Tyto techniky v případě, že dojde ke skutečnému útoku, minimalizují rizika a ztráty.


Zařízení s Androidem jsou nebezpečná, varuje průzkum

27.3.2017 SecurityWorld Android
Skoro tři čtvrtiny zařízení s Androidem obsahuje bezpečnostní aktualizace zastaralé až dva měsíce. Uživatelé se tak vystavují riziku, že jejich mobily či tablety mohou být napadené.

Se statistikou přišla společnost Skycure, specializující se právě na bezpečnost mobilních zařízení.

Obecně lze říci, že množství útoků na mobilní zařízení roste a podstatný díl na tom mají i samotní uživatelé, kteří dostatečně nedbají na jejich bezpečnost. Podle Skycure není v 71 % zařízení s Androidem nainstalován aktuální bezpečnostní patch. A právě tato zařízení jsou nejčastěji mezi napadenými.

Průzkum tak potvrzuje nedávno zveřejněnou zprávu Googlu, podle které na zhruba polovině zařízení s Androidem neproběhla aktualizace s potřebným bezpečnostním patchem už přinejmenším rok.

Mnozí uživatelé argumentují, že systémové aktualizace snižují výkon jejich zařízení, a proto se jim vyhýbají. Odborníci však kontrují tím, že takové uvažování je nesmyslné, jelikož škodlivý software, kterému takovým konáním uvolňujeme cestu, ve finále výkon snižuje mnohem víc.

„Všichni se můžeme chovat ještě zodpovědněji, pokud jde o zabezpečení našich telefonů – výrobci, operátoři i uživatelé,“ říká Varun Kohli, marketingový specialista Skycure. Podle něj je však problémem i to, že mnozí uživatelé o aktualizacích vůbec neví nebo zkrátka mají zastaralý telefon, který je nepodporuje.

„Důrazně však doporučujeme záplatovat každé zařízení s Androidem co nejdřív to jde, protože každý patch je vyvinutý k předcházení nově objeveným hrozbám.“

Mimochodem, ukázalo se například, že s ohledem mobilních hrozeb je nejrizikovějším městem v USA Boston, kde množství útoků na mobilní zařízení v posledním kvartále loňského roku vzrostlo o 960 %. Mezi nejbezpečnější z velkých měst patří naopak San Francisco.


Šifrované zprávy jsou na internetu nepřijatelné, burcuje britská ministryně

27.3.2017 Novinky/Bezpečnost BigBrother
Proti vyspělým metodám šifrování při šíření zpráv v globální počítačové síti se v neděli v Londýně vyslovila britská ministryně vnitra Amber Ruddová. Podobnou metodu, kterou mimo jiné nabízí komunikační síť Whatsapp, podle agentury Reuters využil těsně před středečním útokem v Londýně atentátník Khalid Masood.
Ruddová kritizovala zejména šifrovací metodu E2EE (end-to-end encryption), která umožňuje číst zprávy posílané přes internet výhradně odesilateli a adresátovi. Poskytovatel připojení, který přenos zajišťuje, nemá možnost informaci rozumět a zprostředkovat její obsah komukoli jinému, například tajným službám nebo protiteroristickým složkám.

Ruddová podobné šifrovací metody označila za "absolutně nepřijatelné", protože pro komunikaci teroristů vytvářejí uzavřenou síť. "Je to absolutně nepřijatelné, teroristé by neměli mít žádný úkryt. Musíme zajistit, aby služby jako je Whatsapp neumožňovaly teroristům vzájemně komunikovat," řekla britská ministryně stanici BBC. Britské tajné služby podle ní musejí mít možnost do šifry proniknout.

Masood ve středu u britského parlamentu zabil čtyři lidi a dalších 50 zranil. Nejdřív najel do kolemjdoucích autem, a pak zaútočil nožem, než ho zastřelila policie.


Hackeři napadli prezidentův počítač, nahráli mu tam dětské porno

27.3.2017 Novinky/Bezpečnost  Hacking
Počítač prezidenta Miloše Zemana na zámku v Lánech se před rokem stal terčem hackerů. Nahráli do něj fotografie dětského porna. Hackerský útok potvrdil v nedělním pořadu Pressklub rádia Frekvence 1 sám Zeman.
„Pustil jsem počítač a nevěřícně jsem asi deset vteřin zíral, co se to děje, než mi došlo, že jde o hackerský útok,“ popsal Zeman. Ačkoliv chtěl na útočníka podat trestní oznámení, měl smůlu. „IT specialisté mi oznámili, že útok přišel z Alabamy a na tu jsme s trestním oznámením krátcí,“ uzavřel prezident.

Hlava státu se v loňském roce nestala první obětí z řad vrcholných českých politiků, kterým se hackeři nabourali do počítačů. Vloni v lednu prolomili soukromou e-mailovou schránku premiérovi Bohuslavu Sobotkovi (ČSSD). Stáhli z ní desítky zpráv, v nichž se projednávaly státní i soukromé záležitosti.

Krátce před Vánocemi roku 2015 hackeři nabourali také Sobotkův twitterový účet a objevily se na něm falešné tweety, které volaly po boji proti uprchlíkům a označovaly je za invazní armádu.

Hackerské útoky zažila v roce 2013 také Strana práv občanů. U některých článků se místo snímků politiků objevily pornofotky. S napadením facebookového profilu se potýkal také poslanec Jaroslav Foldyna (ČSSD). Do e-mailu se nabourali počítačoví zločinci i exministru zahraničí Janu Kavanovi (ČSSD) či bývalému premiérovi Vladimíru Špidlovi (ČSSD).


Nenechte se zahltit falešnými poplachy

26.3.2017 SecurityWorld Zabezpečení
Díky technologiím, jako jsou například systémy IDS (systémy detekce narušení), lze dnes shromažďovat nebývalé množství dat o hrozbách a útocích. Díky nim se organizace mohou včas dozvědět o nejnovějších hrozbách. Bohužel to však také může přidat otravný a nákladný problém falešných poplachů, kdy se normální či očekávané chování považuje za anomální či škodlivé.

Falešné poplachy jsou problémem nejen proto, že zatěžují personál a vyžadují čas na řešení, ale také proto, že mohou pozornost firmy odvádět od řešení skutečných bezpečnostních problémů.

Podle zprávy „Data-Driven Security Reloaded“ z roku 2015 od výzkumné firmy EMA (Enterprise Management Associates) uvedla polovina z více než 200 dotázaných správců IT a personálu zabezpečení, že jim příliš mnoho falešných poplachů znemožňuje spoléhat se na detekci narušení.

Při dotazu na to, co považují za klíčový přínos softwaru pro pokročilou analytiku, uvedlo 30 procent dotázaných organizací snížení počtu falešných poplachů.

„Falešné poplachy byly vždy problémem bezpečnostních nástrojů, ale jak se přidává více vrstev ochrany zabezpečení, roste kumulativní dopad těchto nepravých alarmů,“ uvádí Paul Cotter, architekt bezpečnostní infrastruktury v poradenské společnosti West Monroe Partners.

Nejběžnější jsou falešné poplachy v produktech, jako jsou detekce a prevence narušení sítě, platformy pro ochranu koncových bodů a také nástroje detekce a reakce pro koncové body, popisuje Lawrence Pingree, ředitel výzkumu bezpečnostních technologií v Gartneru.

„Každé z těchto řešení používá různé metody detekce útoků, jako jsou například charakteristické signatury, detekce chování atd.,“ uvádí Pingree. „Falešné poplachy jsou problémem, protože podstata pokusů detekovat špatné chování se někdy překrývá s příznaky dobrého chování.“

Dobrým příkladem toho, jaký mohou mít falešné poplachy dopad, je známý únik dat ze společnosti Target, „kde technologie použitá k monitorování narušení generovala mnoho upozornění v různých případech podezřelých aktivit,“ vysvětluje Pritesh Parekh, ředitel zabezpečení informací ve finanční společnosti Zuora.

„Relevantní varování se ztratila ve stovkách falešných poplachů a nezískala prioritu v seznamu bezpečnostních problémů, takže výsledkem byl velký únik dat,“ popisuje Parekh.

Důležitá rovnováha

Existuje zde jemná rovnováha, kterou musejí bezpečnostní profesionálové zajistit při řešení problémů, popisuje Cotter. Na jedné straně musejí zabezpečit, aby nástroj nenarušoval každodenní provoz a negeneroval další práci pro organizaci.

Na straně druhé však musejí zohlednit, že i jediný opodstatněný poplach (například nezjištěné vniknutí) může mít mnohem větší dopad na organizaci než mnoho poplachů falešných.

„Největším rizikem falešných poplachů je, že nástroj vygeneruje tolik upozornění, že je nakonec vnímán jako jakýsi generátor šumu a všechny skutečné problémy se začnou ignorovat v důsledku únavy osob, které tyto nástroje spravují,“ varuje Cotter.

Často podle něj tento problém lze vidět u nástrojů, které nejsou správně používané, jako například když dojde k nainstalování a použití výchozích nastavení a profilů.

Typickým takovým příkladem je software pro monitoring integrity souborů, který upozorní správce na libovolné změny souborů v monitorovaném systému, což může být příznak malwaru či aktivity vetřelce.

„Při použití výchozího nastavení vygeneruje instalace jednoduché opravy velké množství změn souborů a v souhrnu to u středně velkého podniku může snadno vytvořit mnoho desítek tisíc varování,“ upozorňuje Cotter.

Všechna významná varování se snadno v takové záplavě informací ztratí a správci je mohou považovat za důsledek aktualizací.

„Pro vyřešení tohoto problému je nutné zavést důkladný proces testování aktualizací a je potřeba vytvořit určitou podobu ‚otisků prstů‘, jejich změn, aby bylo možné taková specifická upozornění odfiltrovat, a aby tak zůstala jen jasná množina upozornění, která by měli správci skutečně přezkoumat,“ popisuje Cotter.

Definování, vyladění, implementace a vykonávání tohoto procesu zvyšují úsilí potřebné k podpoře provozu nástroje, mohou však drasticky snížit dlouhodobé náklady na vlastnictví i zvýšit efektivitu rozlišení užitečných informací od šumu a v důsledku toho i zlepšit použitelnost samotného systému, uvádí Cotter.

„Mnoho dalších nástrojů zabezpečení má podobný problém s nadměrným množstvím varování, která se často ignorují pro nízký poměr užitečných informací vůči šumu,“ tvrdí Cotter.

„Mezi příklady lze uvést systémy IDS (detekce narušení), firewally webových aplikací a další systémy, které monitorují koncové body dostupné z internetu.“

Pochopení podstaty

Řešení problému falešných poplachů by mělo začínat důkladným pochopením toho, co má daný nástroj řešit, a také jak funguje.

„Při implementaci nástroje zajistěte, aby personál pracující na zavádění plně chápal záměr nasazení nástroje, a aby tak nedocházelo ke zbytečným dohadům o obvyklých případech použití nebo jen k pouhé instalaci nástroje s výchozími nastaveními,“ radí Cotter.

Z provozního a vzdělávacího pohledu ovlivní každé nasazení nástroje zabezpečení existující zásady a postupy včetně reakce na incidenty a všechny provozní postupy pro systémy, na které má nástroj vliv, vysvětluje Cotter.

„Tento dopad by se měl přezkoumat a schválit a dokumentace pro zásady i postupy by se měla společně s nasazením nástroje zaktualizovat, aby se zajistilo, že změna bude mít na provozní činnosti jen minimální dopad,“ dodává Cotter.

Personál zabezpečení potřebuje zejména pochopit, že ne každý detekovaný případ má škodlivou podstatu, prohlašuje Pingree. Podle něj existuje celá řada způsobů, jak kategorizovat incidenty za účelem identifikace falešných poplachů.

Vyšetřovatel například zkontroluje detekovanou škodlivou událost a poté určí pravděpodobnost, že je tato aktivita skutečně škodlivá.

„Tito lidé musejí udělat řadu kroků, aby mohli stanovit škodlivost příslušné události. Například prozkoumat, zda došlo k úniku dat nebo jestli chování vypadá při bližším přezkoumání jako přijatelné,“ vysvětluje Pingree.

Většina produktů poskytne více podrobností k určení, zda něco vypadá jako detekce falešného poplachu, tvrdí Pingree. Vyšetřovatel může porovnat detekovanou událost se známými dobrými vzorky souborů, jako jsou například whitelisty.

V případě, že jde o zkoumání varování týkající se sítě, mohou vyšetřovatelé prozkoumat další zdroje dat, například informace o IP adrese, doménové jméno, a využít další funkce hodnocení škodlivosti, jako jsou třeba skóre reputace IP adresy či malwarové skenování adresy URL.

„Někdy jsou tato skóre odvozená ze zkoumání minulého chování nebo účasti určité URL či IP adresy na útocích v minulosti,“ vysvětluje Pingree.

Podle něj zde existuje určitá míra nejistoty, ale většinou je možné pomocí bližšího přezkoumání protokolů, zachycených paketů a dalších uživatelských aktivit souvisejících s incidentem určit, zda je něco více než pravděpodobně falešným poplachem nebo reálnou hrozbou.

Síla v ladění

Při konfiguraci a ladění nových bezpečnostních nástrojů pro snížení počtu falešných poplachů i zajištění dostatečného pokrytí.


Experti z Applu s hackery komunikovali, ale výkupné odmítli zaplatit

25.3.2017 Novinky/Bezpečnost Apple
Bezpečnostní experti společnosti Apple byli ve spojení s hackery ze skupiny Turkish Crime Family, kteří vyhrožují, že ze služby iCloud smažou data stovek miliónů uživatelů. Upozornil na to server Motherboard s tím, že experti zaujali vůči kyberzločincům nekompromisní postoj. Vyjednávat prý nebudou.
Hackeři dali společnosti Apple jasné ultimátum. Buď zaplatí do 7. dubna požadované výkupné, nebo budou data více než 625 miliónů uživatelů služby iCloud smazána. Počítačoví piráti se totiž přesně takového množství přihlašovacích údajů zmocnili. 

E-mailová komunikace, kterou server Motherboard získal, však dokazuje, že americký počítačový gigant se vyjednávat rozhodně nechystá.

Bezpečnostní experti Applu totiž nejprve požadovali po útočnících vzorek dat, který by skutečně dokazoval, že jsou uživatelé v ohrožení. Ten kyberzločinci skutečně zaslali. Místo zaplacení výkupného však následně pracovníci amerického počítačového gigantu začali hackerům sami „vyhrožovat“.

Upozornili je na to, že společnost počítačové piráty nijak neodměňuje, pokud svým jednáním porušují zákon. Dále podotkli, že celou komunikaci archivovali a postoupili ji orgánům činným v trestním řízení.

Nebojte se, vzkazuje Apple
V pátek pak zástupci podniku s logem nakousnutého jablka vydali oficiální prohlášení, podle kterého se uživatelé nemají čeho obávat. Tvrdí, že hackeři disponují jen daty, která pocházejí z útoku na síť LinkedIn v roce 2012.

V ohrožení by tak podle výše uvedeného měli být teoreticky pouze uživatelé, kteří používají na službě iCloud stejné heslo jako na LinkedInu a za posledních pět let si ho ještě nezměnili.

Server ZDNet nicméně upozornil na to, že jakékoliv bagatelizování hrozby není na místě. Podle vzorku dat hackerů, který měli redaktoři k dispozici, jsou uživatelé skutečně v ohrožení. V tuto chvíli tak není zcela zřejmé, zda je hrozba pro uživatele reálná, či nikoliv. V každém případě by si pro jistotu měli uživatelé svá data z iCloudu zálohovat.

Jak funguje iCloud
Služba iCloud nabízí uživatelům možnost ukládat kontakty, zprávy, fotografie a další soubory automaticky na vzdálený server (cloud). To se hodí především v případě, kdy mobil nebo tablet ztratíte. Do nového přístroje jednoduše zadáte své přístupové údaje a všechna data máte okamžitě zpět, o nic nepřijdete.

Jenže jak je z řádků výše patrné, cloud představuje také jisté riziko, na které bezpečnostní experti pravidelně poukazují již několik let. Tím, že data nemáte přímo u sebe, může se k nim dostat i někdo cizí. Stačí znát váš e-mail a heslo.

A právě to se údajně podařilo hackerské skupině u stovek miliónů účtů. Počítačoví piráti tak nyní požadují po americkém počítačovém gigantu výkupné. Pokud jej zástupci Applu nezaplatí do 7. dubna, jak bylo uvedeno výše, kyberzločinci podle serveru Neowin data uživatelů smažou.

Útočníci výkupné neustále zvyšují. Nejprve chtěli po americkém počítačovém gigantu 75 000 dolarů (1,9 miliónu korun). Už pár dní poté však požadovali dvojnásobek. Až do dubna se má částka každé tři dny zvyšovat, pokud Apple nezaplatí.


Chraňte svá data i při využití cloudu

25.3.2017 SecurityWorld Cloud Computing
Přestože je cloud zabezpečený, nezaručuje imunitu vůči únikům dat. Nyní, když se cloud rychle stává mainstreamem v IT, musejí firmy přemýšlet více kriticky o tom, jak posílit své zabezpečení nad rámec výchozí infrastruktury zabezpečení zajišťované příslušnými providery cloudových služeb.

Poskytovatelé klasického cloudu se snaží nabízet robustní bezpečnostní opatření. Obvykle obsahují šifrování na straně serveru, řízení uživatelů, schopnosti obnovy dat a možnosti smazání zařízení pro ochranu souborů v cloudu.

Přesto však navzdory všem těmto opatřením existuje významná, ale málo diskutovaná mezera v zabezpečení cloudu, která souvisí s dalším významným trendem mobilní práce – s používáním vlastních zařízení pro firemní účely (BYOD).

Podle průzkumu v současnosti více než 40 % zaměstnanců v USA používá osobní chytré telefony, tablety a Flash disky pro pracovní účely a 83 % připouští, že dávají přednost cloudovým aplikacím před jejich ekvivalentem v interních infrastrukturách, takže je pravděpodobně budou vyhledávat.

Ať už však zaměstnavatel výslovně dovoluje či zakazuje využívání cloudu a aplikací, přetrvává stejný problém: Jakmile dojde k synchronizaci souborů s mobilním zařízením, což je, přiznejme si to, hlavním a prvořadým důvodem používání cloudu, dochází k situaci, kdy výchozí šifrování poskytovatele zmizí a soubory z cloudu přestanou být chráněné.

Každý rok dojde ke ztrátě mnoha desítek milionů smartphonů. Přidejme k tomuto počtu ztracené a odcizené tablety, Flash disky a notebooky a hned je dobře vidět, jak jednoduše se mohou nešifrovaná data dostat do nepovolaných rukou.

Ztracená a odcizená zařízení jsou jednou z hlavních příčin úniků dat, a to převážně z důvodu absence šifrování v těchto přístrojích.

Dobrou zprávou ale je, že i navzdory existujícím nedostatkům v zabezpečení cloudu je ochrana souborů možná.

Existuje totiž několik jednoduchých způsobů, jak maximalizovat přínos výchozí infrastruktury zabezpečení cloudu a udržet podnikání v bezpečí a kompatibilní s libovolným počtem regulačních předpisů.

1. Šifrování dat na úrovni souborů

Již nadále nestačí chránit jen hranici, což v současné době v podstatě znamená spoléhání se pouze na šifrování na straně serveru.

Nepostačuje ani pouhé šifrování souborů v úložišti, což by stačilo, pokud by váš tým nesynchronizoval žádné soubory do cloudu, ale to není v dnešním ekosystému založeném na cloudu už v podstatě uskutečnitelné.

Šifrování na úrovni souborů ale chrání samotná data (spíše než místo, kam se ukládají) ještě dříve, než se dostanou do cloudu. To znamená, že soubory zůstanou zašifrované, ať už putují kamkoli včetně mobilních zařízení. Přístup k jejich obsahu tak mohou získat jen oprávnění uživatelé.

Nasazení tohoto druhu šifrování k posílení výchozích opatření poskytovatelů cloudu je rozhodující pro udržení finančních informací, osobních údajů a duševního vlastnictví v bezpečí, a to zejména na pracovištích podporujících BYOD a tam, kde členové týmu pracují vzdáleně nebo na cestách.

2. Nasazení systémů CASB (Cloud Access Security Brokers, zprostředkování zabezpečeného přístupu do cloudu)

V současné době využívá CASB jen 5 % firem, ale studie předpovídají, že toto využití prudce stoupne na 85 % do roku 2020.

CASB poskytuje jednotné řešení zabezpečení, které umožňuje správcům týmů z jednoho místa detekovat rizika úniků dat, nasazovat ochrany a vynucovat bezpečnostní protokoly.

Řešení CASB také umožní zaměstnancům i nadále používat poskytovatele cloudu, na které jsou již zvyklí, ale dává správcům potřebné prostředky pro sledování způsobu sdílení souborů.

CASB neumožní únik dat přes mezery a zavádí velkou viditelnost, což je nutné, pokud je potřeba přesně vědět, kam se ukládá citlivý obsah a kdo k němu má přístup.

Jak se data v cloudu stále více rozrůstají, začíná CASB používat stále více firem, aby udržely krok s informacemi a zaručily jejich efektivnější ochranu.

3. Oddělení šifrovaného obsahu od klíčů

Pokud jsou šifrovací klíče uložené odděleně od obsahu, nemůže hacker získat přístup k obsahu, jestliže těmito klíči nedisponuje.

Nasaďte řešení, které zajistí tuto separaci a umožní oddělení IT udržet správnou „hygienu zabezpečení“. Tento způsob chrání vaše data před únikem i v případě, že dojde ke kompromitaci poskytovatele cloudu.

Cloud se rychle stává nutností pro podniky, které chtějí udržet krok se současnými pracovními postupy. Pouhé nasazení cloudových řešení však nestačí.

Podniky si musejí udělat vlastní průzkum a najít správná vylepšení, která adekvátně posílí jejich výchozí protokoly zabezpečení.

Šifrování na úrovni souborů, CASB a separace klíčů od obsahu jsou skvělými způsoby, jak začít, abyste své nejcitlivější soubory udrželi v bezpečí.


Veselé Vánoce aneb Jak ransomware zašifroval firmám z Prahy data před účetní uzávěrkou

24.3.2017 Lupa.cz Viry
Další příběh o ransomwaru má nakonec šťastný konec. Jen obnovení dat a doplnění informací z nekompletních záloh ale zabralo měsíc.
Náš článek z konce loňského roku o tom, jak jednu malou zdravotnickou firmu v Brně napadl ransomware, vyvolal řadu debat. Hodně lidí se podivovalo především nad tím, že si někdo v podniku stále nechá dělat IT od „syna souseda od vedle“ a kvůli tomu zvýší bezpečnostní rizika. Dnešní příběh je z Prahy a ukazuje, že ransomware může zatopit i menší firmě plné technicky zdatnějších lidí.

Přesněji řečeno jde o dvě firmy s jedním majetkovým propojením. Jedna z nich se soustředí na obchodování s mobilními technologiemi a zaměstnává kolem patnácti lidí, druhá pak provozuje restauraci a práci dává asi osmi lidem.

Tyto propojené společnosti už řadu věcí kolem informačních technologií v minulosti přesunuly „ven“, fungují například na e-mailových službách od Googlu. Jedna věc ale i z historických důvodů zůstávala – server vytvořený z obyčejného počítače s Windows 10 běžící v kancelářích. Jeho jediným účelem bylo provozovat účetní software Pohoda.

Veselé Vánoce
Koncem roku 2016, někdy kolem Vánoc, když přišel čas na účetní uzávěrku, se to stalo. Asi šest lidí se k účetnímu serveru připojuje přes vzdálenou plochu (RDP), tentokrát ale nebyla k dispozici žádná data. Objevila se pouze hláška, že informace na serveru jsou zašifrovány, a pokud je chce firma dostat zpět, má zaplatit.

Ransomware Merry X-Mas
Autor: Check Point Software Technologies
Ransomware Merry X-Mas
Náš předchozí příběh z Brna ukazoval, jak složitě se k informacím o ransomwaru dostávají lidé bez zkušeností s IT, v pražském podniku ale několik zaměstnanců vědělo, o co jde. Začali tedy hledat informace na internetu. Zjistili jenom to, že v té době k dotyčnému malwaru ještě neexistoval veřejně dostupný klíč pro dešifrování.

TIP: Zaplať, nebo nedostaneš data. Příběh o tom, jak lehce vám může zatopit ransomware

„Došli jsme k tomu, že jde o typ ransomwaru, ke kterému zatím klíče nejsou. Začali jsme tedy řešit, jestli máme zaplatit,“ popisuje pro Lupu pan D. „To ale moc nikam nevedlo. Jeden kolega našel, že zrovna tito útočníci po zaplacení skutečně data odšifrují, druhý kolega ale našel přesný opak. Takže jsme se radši rozhodli nezaplatit.“

Jen toto vyhledávání informací zabralo několik dnů. Následovalo rozhodnutí, že si firmy obnoví data ze zálohy. Ta naštěstí byla uložena na hostovaném serveru mimo kanceláře. Jenže například restaurace přišla o účetní data za půl roku a zálohy rozhodně nebyly prováděny na denní či týdenní bázi.

Podíl ransomwaru na trhu
Autor: Check Point Software Technologies
Podíl ransomwaru na trhu
Příběh má relativně dobrý konec, data se nakonec podařilo znovu poskládat dohromady. Nicméně zaměstnancům to zabralo měsíc času a náklady se odhadem pohybovaly mezi 50 až 60 tisíci. Mimochodem, dešifrovací nástroj na tento typ ransomwaru už dnes existuje.

Dvojnásobný růst ransomwaru
Server s Windows 10 a Pohodou ve dvou vinohradských firmách běží i nadále. Jsou tu ovšem některé změny: je třeba za firewallem, předělaly se porty a je nastavené pravidelné zálohování dat mimo kanceláře. V reakci na problém s ransomwarem firmy také přesouvají další služby do cloudu. „I jako malá firma vidíme cloud jako více bezpečný. Nezaměstnáváme odborníky na kybernetickou bezpečnost a naše starosti jsou jinde,“ říká pan D.

Vývoj ransomwaru na Androidu
Autor: ESET
Vývoj ransomwaru na Androidu
To, jak se ransomware na server dostal, firmy do detailů nezjišťovaly. Některé typy ransomwaru každopádně útočí právě přes RDP, které se k připojování ve firmě používá. „Také je možné, že tam [na serveru] šéf něco udělal,“ říká pan D. Ransomware se jinak šíří různými cestami (PDF, přílohy, EXE soubory a tak dále) a kopíruje metody tradičního malwaru.

Podle společnosti Check Point se počet odhalených útoků přes ransomware v druhé polovině loňského roku zdvojnásobil a s podobným trendem lze počítat i do budoucna. Ransomware už tvořil 10,5 procenta útoků (více ve studii). Už dřívější průzkumy ukázaly, že jde nejspíše o nejvýdělečnější malware v historii, výkupné totiž platí i tři až pět procent napadených firem. Ransomware už má tisíce variant a hlavní rodiny se postupně modifikují a vyvíjejí.

Největší podíl mezi ransomwary má podle Check Pointu Locky (41 procent) následovaný Cryptowallem (27 procent) a Cerberem (23 procent). Ransomware už se také dá pronajímat jako služba (malware-as-a-service).

Společnost ESET zase upozorňuje, že se navyšuje i využívání ransomwaru v rámci mobilních zařízení, zejména Androidu. Objevují se zejména takzvané lockscreeny, které uzamknou úvodní obrazovku a tradiční zašifrování dat. Podle ESETu ransomware útoky na Android rostou rychleji než útoky jako celek (více ve studii). Ransomware už se objevuje také na chytrých televizích s Androidem.


Ukrajinští hackeři prodávají warez pro traktory a farmáři z Nebrasky jásají
24.3.2017 Živě.cz Kriminalita
Počítače už dávno pronikly i do tradičních hloupých strojů, a tak se dnes v ajťáka musí čas od času proměnit i automechanik. Komputerizace strojů se snaží obchodně využít i jejich výrobci, o čemž svědčí i netradiční kauza ze Států, která se týká traktorů John Deere.

Špičkoví hackeři útočili na prohlížeče. Chrome odolal, ale Edge je tragédie
Tamní farmáři při nákupu podepisují docela přísné podmínky, které umožňují výrobci traktor na dálku i vypnout, pokud dojde k nestandardnímu zásahu do jeho výbavy. Ze stejného důvodu musejí farmáři používat jen oficiální náhradní díly a servis.

Jenže to se jim nelíbí, není totiž zdaleka nejlevnější a jsou s ním spojené i prodlevy, než dorazí certifikovaný technik. V krajním případě se rozbitý traktor a prodlevy mohou podepsat na sklizni a tedy i nižších příjmech, ze kterých však farmář na základě smlouvy nesmí vinit výrobce.

Situace využili ukrajinští hackeři a začali na internetu nabízet tučně zpoplatněné cracky, které tyto kontroly výrobce obejdou a farmář bude moci jak upravit konfiguraci firmwaru, tak použít libovolnou náhradní součástku.

Pomalu se tedy dostáváme do éry, kdy se toto softwarové patchování přenáší ze světa domácích počítačů i do míst, kde to bylo ještě nedávno nemyslitelné. Na stranu druhou ale ruku v ruce s tím vzroste i riziko softwarové nákazy, a tak budou možná brzy součástí nejrůznějších botnetů i traktory z Nebrasky.


Další várka úniků ze CIA: „Temná hmota“ a „sonický šroubovák“ jsou postrachem jablíčkářů
24.3.2017 Živě.cz BigBrother

Po dvou týdnech je tu další várka uniklých dokumentů
Tato nepotěší majitele macbooků
CIA má celý balík nástrojů na jejich odposlech

Skupina Wikileaks dodržela slib a po první velké várce tajných dokumentů s kódovým označením Vault 7: Year Zero před pár hodinami vypustila do světa další a tentokrát o něco menší balík Dark Matter, který se skládá z několika návodů pro zaměstnance americké zpravodajské agentury CIA.
A těmi zaměstnanci samozřejmě nemáme na mysli uklízečky a kuchařky v kantýně, ale specialisty a operativce, kteří používají nejrůznější kybernetické zbraně k odposlechům a sledování svých cílů pomocí nejrůznějších odhalených slabin na počítači.

Stejně jako minule i tentokrát se jedná spíše o staré zranitelnosti, které budou touto dobou už dávno opravené, nicméně lze předpokládat, že CIA své nástroje průběžně vylepšuje tak, jak její inženýři objevují nové a nové zranitelnosti.

DarkSeaSkies

Na stranu druhou, ani oni nejsou tak dokonalí jako hackeři z filmů, a tak se inspirují na nejrůznějších bezpečnostních konferencích. To se týká třeba balíku nástrojů DarkSeaSkies, jehož komponenty se až podezřele podobají útoku na EFI zavaděč v jablečných počítačích, jehož postup byl zveřejněn na konferenci Black Hat 2012. Zdá se tedy, že se CIA inspirovala právě zde.
DarkSeaSkies se skládá ze tří částí, přičemž ta hlavní, DarkMatter, podle které Wikileaks pojmenoval i tuto várku úniků, představuje speciální ovladač, který se bez vědomí uživatele usadí v zavaděči jablečného počítače a nainstaluje zbývající komponenty. Tou první je SeaPea, která se usadí v jádře Mac OS 10.5, a tou druhou pak NightSkies.

Dohromady umožní prakticky kompletně ovládnout jablečný systém, aniž by to jeho majitel vůbec zaregistroval. To znamená, že agenti mohli odposlouchávat a posílat vlastní příkazy do macbooků s danou verzí operačního systému, do kterých se jim podařilo dostat jejich malware ať už ručně, nebo běžnou infekční cestou skrze nějakou další zranitelnost třeba ve webovém prohlížeči.

Sonic Screwdriver

Dalším zajímavým nástrojem z Langley je i sonický šroubovák, který pro změnu používá k průniku do systému zranitelnosti thunderboltového adaptéru pro ethernet. V jeho firmwaru je totiž speciální kód, který umožní instalaci dalšího ovládacího implantátu pojmenovaného Der Starke, který má být vylepšenu verzí malwaru Triton.

Klepněte pro větší obrázek
Thunderboltový adapter pro ethernet. CIA používala upravenou verzi s malwarem uvnitř jeho firmwaru.

Ale dost slovíčkaření, k instalaci Tritonu je třeba mít patřičná práva a Sonic Screwdriver to společně s Der Starke obejdou. Stačí, aby byl a v macbooku během startu připojený onen zákeřný zavaděč a systém se pak sám nakazí i bez znalosti hesla. CIA tedy musí mít fyzický přístup k laptopu, instalace je však nejspíše velmi rychlá, takže stačí jen chvilka.

Jakmile se to podaří, agenti mohou opět odposlouchávat dění v počítači a spouštět vlastní kód.
A to je protentokrát vše. Na webu Wikileaks najdete uniklé úryvky dokumentací jednotlivých nástrojů s bizarními kódovými jmény, které se tentokrát orientují výhradně na jablečnou platformu. Jedná se sice o starší útoky, které už dnes nemusejí být k ničemu, podstatné je však to, že s nimi CIA operovala v době, kdy to mělo svoji cenu. Zároveň je skoro jisté, že dnes operativci z Langley útočí zase na aktuální jablečnou platformu.


Symantec chyboval s EV certifikáty, prohlížeče jim přestanou důvěřovat
24.3.2017 Root.cz Zabezpečení

Společnost Symantec dostatečně nezabezpečila svůj proces vydávání certifikátů, vyplývá z vyšetřování Googlu. Ten proto plánuje částečné odebrání důvěry v Chromu a vyzývá k tomu další prohlížeče.
Vývojový tým prohlížeče Google Chrome představil svůj úmysl potrestat společnost Symantec, konkrétně její certifikační autoritu. Na začátku roku se totiž objevila podezření, že praktiky společnosti při vydávání certifikátů nebyly takové, jaké by měly být. Zejména co se týče certifikátů s rozšířeným ověřením (EV), tedy ověřením samotné společnosti.
Google proto podnikl vyšetřování v podezření se potvrdila. Problém je hlavně v tom, že Symantec umožnil přístup do své infrastruktury několika dalším stranám a dostatečně na ně nedohlížel. Google se domnívá, že cca 30 tisíc certifikátů tak bylo vystaveno v rozporu se základními pravidly.

Trest: rychlejší vypršení certifikátů
Navrhovaný trest sice neuvažuje nad úplným odebráním důvěry, zejména vhledem k vysokému tržnímu podílu firmy, ale i tak je poměrně přísný. Navrhované kroky se týkají všech certifikačních autorit vlastněných společností Symantec, včetně velmi rozšířené autority GeoTrust.

Nově vydané certifikáty by nesměly mít delší platnost než 9 měsíců, jinak by jim Chrome nedůvěřoval. Co se týče stávajících certifikátů, tak těm bude odebrána důvěra graduálně v průběhu cca jednoho roku, podle doby jejich platnosti. Jejich majitelé by tam měli mít dostatek času pořídit si certifikát nový.

Postupné odebrání důvěry by se týkalo také EV certifikátů, které by navíc prakticky okamžitě byly poníženy na úroveň běžných certifikátů. V adresních řádcích už by se tak neobjevovaly názvy firem, kterým byly vystaveny. Což také může být problém, protože některé firmy a služby vycvičily své uživatele, aby právě na to koukali. Nově vydané EV certifikáty by Chrome neakceptoval vůbec.

Název firmy z adresního řádku půjde pryč
Název firmy z adresního řádku půjde pryč
Přidají se další prohlížeče?
Navzdory tomu, že o problémech věděl, Symantec opakovaně selhal v jejich oznámení. Navíc ani poté, co se informace dostaly na veřejnost, Symantec odmítl vydat informace, které komunita vyžadovala, aby mohla prověřit závažnost problémů, dokud nebyl výslovně tázán, popisuje návrh přitěžující okolnosti.

Nutno dodat, že návrh zatím není hotová věc. Vývojový tým prohlížeče Chrome ho zveřejnil proto, že chce na svou stranu získat další prohlížeče a odebrání důvěry s nimi koordinovat, aby mezi uživateli nebyl zmatek. Lze však předpokládat, že tvůrci dalších prohlížečů budou návrh kvitovat. Např. Mozilla s Firefoxem už dříve ukázala, že se špatnými certifikačními autoritami nemá slitování a jako první odebrala důvěru WoSign.

Důležité je, že se nic nezmění ze dne na den a uživatelé dostanou čas certifikáty vyměnit. Pro Symantec to samozřejmě bude znamenat velkou ránu a velký odliv klientů, ale úplný konec nikoliv. Pokud firma podnikne kroky k nápravě a bude fungovat transparentněji, může se opět stát plnohodnotnou certifikační autoritou. Ale hned to nebude.


Hackeři vydírají Apple: Zaplaťte, jinak vymažeme miliony zařízení!
24.3.2017 Živě.cz Apple
Společnosti Apple hackeři hrozí, že pokud nezaplatí výkupné, odstraní data z milionů zařízení jejich zákazníků. Hackerská skupina Turkish Crime Family tvrdí, že disponuje databází s přibližně 627 miliony přihlašovacích údajů do cloudové služby iCloud. Účty prý uživatelům vymažou 7. dubna, upozornil Neowin.
PCWorld hackery kontaktoval a ti upřesnili, že všechny přihlašovací údaje otestovali prostřednictvím automatizovaných skriptů. Výsledkem je více než 220 milionů účtů, které nejsou dostatečně chráněny - chybí jim dvoufaktorová autentizace.

Útočníci zpočátku požadovali zaplacení výkupného 75 tisíc amerických dolarů (1,9 milionu korun) ve virtuální měně bitcoin nebo ethereum. Uspokojili by se však i s dárkovými poukázkami pro iTunes v celkové hodnotě 100 tisíc dolarů. Později výška výkupného vzrostla na 150 tisíc dolarů (3,8 milionu korun), přičemž po třech dnech částka opět poroste.
Další úspěšný útok pomocí ransomware: univerzita v Calgary zaplatila výkupné 20 tisíc dolarů
V případě, že do 7. dubna 2017 hackeři nedostanou požadovanou částku, hrozí vymazáním milionů uživatelských účtů. Odstraní údajně i soubory přímo v zařízeních zákazníků Applu.

Apple kyberzločince neodměňuje

Web Motherboard získal část údajné e-mailové komunikace mezi členem hackerské skupiny a společností Apple. Podle ní si člen bezpečnostního týmu nejprve vyžádal vzorek uniklých dat.

Ve druhé zprávě žádá pracovník informuje, že společnost neodměňuje kybernetické zločince za porušení zákona. Nakonec dodává, že celá komunikace byla archivována a bude postoupena orgánům činným v trestním řízení.

Ať už je hrozba reálná nebo jde jen o způsob, kterým se snaží hackeři obohatit, nejefektivnější ochranou je změna hesla a aktivace dvoufázového přihlašování.


AppleInsider později zveřejnil stanovisko Applu. Společnost uvedla, že její systémy nebyly ohroženy žádným kyberútokem. Přihlašovací údaje, kterými disponují počítačoví zločinci, měly být získány z napadených služeb třetích stran.

Firma dodala, že v rámci bezpečnostních opatření monitoruje a v případě potřeby blokuje všechny pokusy o neoprávněný přístup do cizího účtu.


Ransomware loni připravil firmy na celém světě o víc než miliardu dolarů

23.3.2017 Novinka/Bezpečnost Viry
Tvůrci vyděračských virů ransomware loni inkasovali od napadených firem na celém světě víc než miliardu dolarů. Údaj, který už loni předvídala americká FBI, nyní potvrdila ve svém bezpečnostním reportu společnost KnowBe4.
Firma upozorňuje, že třetina oslovených společností za posledních dvanáct měsíců čelila útoku ransomware. Z těch, jež byly proti těmto útokům chráněny některým z antivirových řešení, více než polovina (53 procent) ani tak nezabránila infekci ransomware.

KnowBe4 proto sestrojil speciální simulátor ransomware, který vyzkoušel u respondentů průzkumu. Test podstoupily téměř tři čtvrtiny oslovených firem, z nichž 48 procent nebylo schopno detekovat chování simulátoru, a jsou tedy potenciálně napadnutelné.

„Ransomware se primárně šíří formou phishingových kampaní e-mailem, takže uživatelé by měli být vyškoleni k tomu, aby jej dokázali identifikovat a zabránili tak jeho průniku do zařízení,“ říká generální ředitel KnowBe4 Stu Sjouwerman.

„Jde o jednoduché pravidlo, které se mohou uživatelé naučit. Pokud nebudou klikat na odkazy a otevírat podezřelé přílohy, neinfikují svůj pracovní počítač ransomware! Důležitou bezpečnostní vrstvou každé společnosti je lidský faktor. Zaměstnanci by měli být vyškoleni pro detekci podvodného e-mailu. Jakmile si to firmy uvědomí, jejich zabezpečení se dramaticky zlepší.“

Šest zašifrovaných PC a dva servery
Firmám, které loni čelily útoku ransomware, zločinci zašifrovali v průměru šest počítačů a dva servery. Vyvrací to dosavadní představu o tom, že ransomware napadne pouze počítač uživatele, který jej svou neopatrností stáhne do svého zařízení.

Každý útok v průměru způsobil dvanáctihodinovou pracovní prodlevu zaměstnanců, jejichž počítače byly napadeny, a dalších dvanáct hodin práce IT oddělení k nápravě tohoto problému. Pozitivní zprávou je, že drtivá většina napadených firem (94 procent) útočníkům nezaplatila požadované výkupné. Ty, které tak učinily, uhradily částky od tří do pěti bitcoinů, v přepočtu 30 až 150 tisíc korun.

„Platit útočníkům je krátkozraké, protože je tak motivujete k dalším útokům,“ varuje Miroslav Dvořák, technický ředitel společnosti ESET. „Důležitá je prevence a kvalitní bezpečnostní řešení, na které však nelze vždy a stoprocentně spoléhat. Útočníci jsou stále o krok napřed.“ Přesto se společnosti ESET daří před ransomware chránit, začátkem března jej největší německý časopis o IT Computer Bild označil za jedinou společnost, která dokázala spolehlivě detekovat útoky těchto vyděračských kampaní. Úspěšná byla i při pokusech o odstranění ransomware z infikovaných zařízení.

Autoři průzkumu rovněž připouštějí, že antivirová řešení mohou do určité míry ochránit firmy před tímto nebezpečím. „Společně s neustálým bezpečnostním školením a testováním zaměstnanců takto mohou firmy významně posílit svoje zabezpečení,“ upozorňují.


Google a Yahoo mají problém, hacker prodává přes milión jejich účtů

23.3.2017 Novinka/Bezpečnost Hacking
Nabídka se objevila na černém online tržišti a obsahuje přihlašovací údaje k 1,2 miliónu uživatelských účtů, které byly prolomeny v letech 2008 až 2016.
Přihlašovací údaje pro víc než milión účtů internetových služeb Gmail a Yahoo prodává hacker, který používá přezdívku SunTzu583. Mezi nabízenými uživatelskými profily je i 100 tisíc účtů Yahoo prolomených v roce 2012 při hackerském útoku na web Last.fm, upozornil server Infosecurity-magazine.com. Nabízené údaje představují uživatelská jména, e-mailové adresy a hesla.

Dalších 145 tisíc účtů Yahoo, které zahrnuje nabídka hackera SunTzu583, získal prodejce patrně při útocích na Adobe v roce 2013 a na MySpace, který sice proběhl již v roce 2008, ale informace o něm byly zveřejněny až loni. Počty nabízených účtů na Yahoo jsou ale směšně nízké v porovnání s počty prodávaných účtů ke službě Gmail.

Dohromady jde téměř o milión účtů, z nichž půl miliónu pochází ze tří kybernetických útoků: prolomení internetového fóra Bitcoin Security Forum, útoku na Tumblr v roce 2013 a hackerského útoku na MySpace v roce 2014, během něhož útočníci získali i výše zmíněné účty Yahoo.

Změňte si heslo, radí expert
Zbývajících 450 tisíc nabízených účtů Gmail získali útočníci během celé řady akcí proti webům a službám Last.fm, Adobe, Dropbox, Tumblr a dalším. Kompletní sadu 1,2 miliónu účtů nabízí hacker výměnou za bitcoiny, internetovou měnu, kterou obvykle vyžadují kybernetičtí útočníci při vyděračských kampaních ransomware. Jeden bitcoin se v přepočtu prodává za 30 tisíc korun. Yahoo ani Google se zatím k faktu, že jsou statisíce jejich účtů nabízeny v nelegální aukci, nevyjádřily.

„Každopádně to je další špatná zpráva pro Yahoo. Společnost v posledních letech přiznala řadu bezpečnostních incidentů, při nichž byla ohrožena osobní data jejích zákazníků u více než miliardy účtů,“ konstatuje web Infosecurity-magazine.com. „Uživatelé, kteří si nejsou jisti, zda se nestali terčem útoku, a obávají se, že se jejich účet Gmail nebo Yahoo nachází mezi obchodovanými položkami, by si měli okamžitě změnit přístupová hesla k těmto účtům,“ radí Miroslav Dvořák, technický ředitel společnosti ESET.

Pro přístup k účtům by uživatelé měli podle Dvořáka používat dvoufaktorovou autentizaci, která vedle klasického hesla využívá ještě jednorázově generované potvrzovací heslo, které uživateli přijde formou textové zprávy na mobilní telefon nebo e-mailem.


Milióny útoků a škody za miliardy. Kybernetická kriminalita v Německu roste

23.3.2017 Novinka/Bezpečnost Kriminalita
Internetová a kybernetická kriminalita v Německu roste, její přesný rozsah lze ale jen těžko odhadnout. Na veletrhu výpočetní techniky CeBIT v Hannoveru to řekl šéf Spolkového kriminálního úřadu (BKA) Holger Münch. Uvedl také, že na Spolkovou republiku a německé firmy se soustředí i výrazná aktivita zahraničních tajných služeb.
Zatím poslední statistika za rok 2015 hovoří o 45 793 čistě kybernetických zločinech, které způsobily škodu ve výši 40,5 miliónu eur (miliarda korun). Zločinů, které nebyly výhradně kybernetické, ale byl při nich využit i internet, registrovala policie předloni skoro 245 000. Skutečný počet takových činů je ale mnohem vyšší.

„Analýza zemského kriminálního úřadu zde v Dolním Sasku ukázala, že lidé policii nahlásí jen asi devět procent všech takových deliktů,” uvedl Münch. Důvodem může být to, že postižení jedinci nebo firmy vůbec nepřijdou na to, že se stali obětí kriminality, nebo třeba obava z poškození dobrého jména.

Policie neregistruje všechny kybernetické útoky
Münch ale poukázal i na studie, podle nichž policie ve skutečnosti registruje jen necelá dvě procenta všech internetových trestných činů. Podle odhadu německého ekonomického institutu DIW z roku 2015 dochází v Německu každoročně k 14,7 miliónu kybernetických zločinů, které napáchají škody ve výši 3,4 miliardy eur (téměř 92 miliard korun).

„Kybernetická kriminalita je živnost na vzestupu,” konstatoval Münch, podle něhož už dnes člověk nemusí být IT specialista na to, aby se na tomto druhu kriminality podílel.

Münch také poznamenal, že Německo a německé firmy stojí v centru zájmu zahraničních tajných služeb. Ty se podle něj soustředí mimo jiné na špionáž týkající se vojenských, energetických nebo strojírenských technologií. Konkrétní zemi Münch nejmenoval, ale s ohledem na ekonomickou i politickou špionáž se na Západě nejčastěji mluví o Rusku a Číně.


Počítače Applu lze plně ovládnout na dálku. Umožňuje to zákeřný malware, který prošel schválením Applu
21.3.2017 Živě.cz Apple

Na uživatele počítačů značky Apple číhá nebezpečí v podobě malwaru zvaného Proton. Ten využívá bezpečnostní skuliny systému macOS a umožňuje počítač ovládnout na dálku, číst z něj data nebo jej zablokovat. Škodlivý kód lze přitom schovat do jakékoli aplikace, která následně bude podepsána platným bezpečnostním certifikátem. Na rizika s tím spojená upozornil Apple Insider.

Vytvořili jsme malware pro Android, ovládli telefon a odposlouchávali jej
Malware využívá doposud neopravené zranitelnosti v macOS, které umožní administrátorský přístup k počítači. Lze tak přistupovat prakticky ke všem funkcím a datům. Malware byl napsaný v Objective C, tedy nativním jazyce systému macOS, a není závislý na dalším softwaru či knihovnách.

Nejnebezpečnější je na softwaru skutečnost, že je podepsaná platným certifikátem ověřeného vývojáře. Díky tomu prošel schvalovacím procesem Applu a zprvu ho nezaregistrovala ani integrovaná antivirová ochrana XProtect. Ta už je nyní aktualizována a malware v poslední známé podobě odhalí. Bezpečnostní odborníci ovšem upozorňují, že se mohou objevit modifikace, které kontrole opět uniknou.

Klepněte pro větší obrázek
Lákavá nabídka na hackerském fóru (zdroj: Sixgill)

Původce softwaru objevila bezpečnostní společnost Sixgill, a to v uzavřeném ruském diskuzním fóru. Tam autor nabízel Proton zabalený do libovolné aplikace „na přání zákazníka“, přičemž si za službu účtoval nejprve 100 bitcoinů (3,2 milionu korun), nicméně později slevil na 40 bitcoinů (1,3 milionu korun) za neomezené množství kopií. Pokud by chtěl někdo cíleně sledovat jen jednotlivce, mohl si za 2 bitcoiny zaplatit jen jednu instalaci.

9 věcí, které uživatelé Windows závidí „mekařům“
Jakmile Sixgill zveřejnil informace o nalezeném zdroji, stránka byla krátce na to odstraněna. Zda už se tento typ malwaru stačil nějakým způsobem rozšířit se zatím neví.


Německo se obává kybernetických útoků v době voleb

21.3.2017 Živě.cz BigBrother
Německo zvýšilo pohotovost svých bezpečnostních sil proti počítačovým útokům. Německá vláda se tak rozhodla s cílem připravit se na možné podobné útoky v době nadcházejících parlamentních voleb. Uvedl to v neděli německý list Welt am Sonntag.
Weby vládních úřadů v Berlíně jsou již nyní terčem hackerů. „Zaznamenáváme denně útoky proti vládním sítím,” řeklo listu vedení Spolkového úřadu pro bezpečnost v informační technice (BSI).

Počet a rozsah útoků neupřesnilo, jejich počet se prý ale zvyšuje od zásahu hackerů do loňských prezidentských voleb v USA.

Útoky nejsou výjimečné
Kybernetické útoky s politickým podtextem nejsou tak výjimečné, jak by se mohlo na první pohled zdát. V minulých týdnech například opakovaným útokům čelil server rakouského ministerstva zahraničí.

Stopy podle všeho vedou v případě rakouských útoků do Turecka. Mluvčí rakouského ministerstva zahraničí Thomas Schnöll již dříve uvedl, že ministr Sebastian Kurz se útoky nenechá odradit od své politiky vůči Turecku.

Vztahy Vídně a Ankary jsou dlouhodobě napjaté. V Rakousku žijí stovky tisíc Turků, z nichž mnozí mají dvojí občanství. Zástupci Ankary mezi nimi hledají podporu pro navržené změny ústavy, které by výrazně posílily pravomoci tureckého prezidenta Recepa Tayyipa Erdogana.


Microsoft zakáže aktualizace starších Windows na nejnovějším hardwaru

21.3.2017 Živě.cz IT
Microsoft se chystá pro systémy Windows 7 a Windows 8.1 prosadit novou politiku podpory. A ta je pro uživatele krajně nevýhodná.

Osobní počítače poháněné nejnovějšími procesory od AMD, Intel a Qualcommu budou mít v případě systémů Windows 7 a Windows 8.1 zablokované přijímání bezpečnostních updatů, naznačuje revidovaný dokument Microsoftu týkající se plánů aktualizací.

"Váš počítač používá procesor, který v této verzi systému Windows není podporován, a proto nebude přijímat aktualizace." Tak nějak by mohla vypadat zpráva, kterou příslušní uživatelé obdrží.

Chybová hláška se spustí, když se Windows 7 nebo Windows 8.1 pokusí načíst aktualizace na zařízeních s procesory sedmé generace od společnosti Intel a AMD – tedy Kaby Lake a Bristol Ridge – respektive s mobilními procesory Snapdragon 820 od Qualcommu.

Tyto procesory hodlá Microsoft podporovat pouze v rámci operačního systému Windows 10, uvádí dokument Microsoftu zaměřený právě na změnu principu aktualizací.

Windows 8.1 a Windows 7 na zařízeních s výše uvedenými procesory nebudou schopné skenovat nebo stahovat aktualizace prostřednictvím služby Windows Update nebo Microsoft Update.

Microsoft předpověděl určité změny na tomto poli už vloni v lednu 2016, kdy uvedl, že provozovat Windows 7 a Windows 8.1 na nejnovějších procesorech je „náročné“. Následně se rozhodl tyto aktualizace omezit a podstatně zkrátil i podporu samotného Windows 7.

Co se týče šesté generace čipů Intelu (Skylake), tam měla být podpora garantovaná původně jen do poloviny letošního roku, pak o rok později a nakonec podle všeho omezení vůči procesorům Skylake mizí úplně – takže konečný termín bude shodný s tím, kdy se ukončí celková podpora Windows 7, resp. Windows 8.1.

Někteří uživatelé nesou nejnovější krok Microsoftu dost nelibě a poukazují na to, že by se výrobce operačního systému neměl zabývat tím, jak „nové“ mají lidé ve svých počítačích.

Ukončení podpory Windows 7 a 8.1 pro nejnovější hardware je podle nich šokující i kvůli tomu, že uvedené operační systémy jsou pro potřeby uživatelů stále dostačující, takže není důvod je měnit za Windows 10.

Windows 7 bude mít aktualizace zabezpečení až do 14. ledna 2020, Windows 8.1 pak do 10. ledna 2023.


Kyberzločinci cílí na počítače i mobily. Podvody poznají jen pozorní

21.3.2017 Novinky/Bezpečnost Bezpečnost
Chytré telefony, tablety i klasické počítače – na všechna tato zařízení se v dnešní době zaměřují kyberzločinci. Útoků je navíc rok od roku více. Bránit se proti celé řadě z nich mohou uživatelé pomocí nejrůznějších bezpečnostních aplikací. Stejně tak je ale důležité být při práci na internetu ostražitý.
Triky počítačových pirátů jsou totiž neustále sofistikovanější a některé škodlivé kódy dokážou dokonce zablokovat i práci antivirových programů a firewallů. Pokud se tedy uživatel nechá napálit a stáhne do svého stroje nějakého nezvaného návštěvníka, antivirus jej nemusí vždy upozornit, že je něco v nepořádku – jednoduše kvůli tomu, že je zablokovaný.

V první řadě tak musí být pozorný samotný uživatel, aby si nevědomky nezaviroval vlastní stroj. Sluší se také podotknout, že obezřetnost není na místě pouze v případě klasických počítačů. Kyberzločinci se totiž stále častěji zaměřují také na mobily a tablety, kde si většina lidí se zabezpečením hlavu neláme.

Nezvané návštěvníky dokážou v počítači i mobilu odhalit speciální programy. Kromě klasických antivirů jde například o aplikace, které se soustředí pouze na špionážní software a hledání trojských koňů.

Velmi důležité jsou také aktualizace, protože právě chyby v operačním systému a nejrůznějších programech počítačoví piráti velmi často zneužívají k tomu, aby do něj propašovali nezvané návštěvníky. S jejich instalací by tak lidé neměli otálet.

Vhodné je také sledovat, jaké triky jsou aktuálně mezi kyberzločinci v kurzu. Právě díky tomu mohou být uživatelé krok před počítačovými piráty a minimalizovat tak šanci, že se nechají napálit. Níže přinášíme přehled pěti podvodů, se kterými se v poslední době mohli setkat tuzemští uživatelé.

Máme velmi důležitou zprávu
Za bankéře se vydávají počítačoví piráti v nevyžádaných e-mailech, které kolují v posledních dnech českým internetem. „Máte velmi důležitou zprávu ve vaší schránce. Chcete-li ji zobrazit, klikněte na odkaz níže,“ tvrdí kyberzločinci v podvodné zprávě. Snaží se přitom vzbudit dojem, že e-mail byl odeslán z České spořitelny.

Podvodníci se samozřejmě snaží donutit uživatele kliknout na odkaz ve zprávě, který vede na falešné stránky imitující službu Servis24, tedy internetové bankovnictví spořitelny. Pokud na podvodný web zadají důvěřivci svoje přihlašovací údaje, zpřístupní tak svůj účet kyberzločincům.

Ti navíc ihned po prvním přihlášení uživatelům tvrdí, že je jejich účet nutné ověřit prostřednictvím autorizační SMS zprávy. Pokud si ji důvěřivci nechají na svůj mobilní telefon skutečně zaslat a následně ji opíšou do podvodné zprávy, zpravidla tak rovnou přijdou o peníze na svém účtu – prozradit SMS kód je totiž stejné, jako kdyby útočníkům peníze naservírovali rovnou na zlatém podnosu. 

Váš účet je potřeba ověřit
Za bankéře se vydávají kyberzločinci i v dalším podvodu, tentokráte však pod hlavičkou Fio banky. Příjemce nevyžádaného e-mailu se snaží přesvědčit o tom, že je nutné ověřit jejich účet internetového bankovnictví.

Pozornější uživatelé mohou odhalit, že jde o podvod, hned na první pohled. Zpráva je napsaná sice česky, ale velmi krkolomně: „Vážený zákazníku, z bezpečnostních důvodů musíme ověřit svůj účet informace! Pro potvrzení klikněte zde.“

Pod slůvkem zde se ukrývá odkaz na podvodné webové stránky, jež imitují vzhled skutečného internetového bankovnictví Fio banky. Právě krkolomný slovosled je ale prvním vodítkem toho, že by uživatelé na odkaz v e-mailu neměli vůbec klikat. 

Bankovní malware se šíří přes SMS
Na pozoru by se měli mít lidé před SMS zprávami od neznámých zdrojů. Podle bezpečnostních expertů se totiž prostřednictvím nich mohou šířit škodlivé kódy. Kyberzločinci využívají stejnou taktiku, kterou již koncem ledna zkoušeli v Německu pod hlavičkou bank. Tehdy se soustředili výhradně na tamní uživatele. Aktuálně byla hrozba lokalizována i v češtině a šíří se v tuzemsku.

Problém představuje aplikace, kterou podvodníci prostřednictvím SMS zprávy propagují.
Jak vlastně útok probíhá? Součástí došlé zprávy je odkaz na stažení mobilní aplikace. Ta na první pohled nemusí s internetovým bankovnictvím vůbec souviset. „Tento nebezpečný malware se maskuje za údajnou aplikaci společnosti DHL, která však stáhne podvodnou aplikaci s názvem ‚Flash Player 10 Update‘ a ikonou společnosti DHL,“ konstatoval Štefanko.

Problém představuje právě aplikace, kterou podvodníci prostřednictvím SMS zprávy propagují. Jde totiž o trojského koně, který při otevření internetového bankovnictví podsune falešnou přihlašovací stránku. 

Chcete slevu 500 Kč?
I v případě dalšího podvodu zneužívali kyberzločinci SMS zprávy. Před několika týdny se vydávali za zaměstnance internetového obchodu Alza.cz a nabízeli lidem slevy. Ve skutečnosti se však snažili do jejich chytrého telefonu pouze propašovat škodlivý kód.

Podvodníkům jde nejčastěji o peníze.
Slevu? Raději ne...
„Vyhráváte nákup v hodnotě 500 Kč. Pokud do 12 hodin provedete objednávku přes naši aplikaci, bude zcela zdarma,“ tvrdí podvodníci v SMS zprávách. Součástí došlé zprávy je také přímo odkaz vedoucí a stažení aplikace Alza.cz, prostřednictvím které se má transakce uskutečnit. Pouze tak mohou lidé údajně vyhrát.

Ve skutečnosti však internetový obchod žádnou podobnou akci nemá. „Evidujeme podvodné SMS vydávající se za propagaci Alza.cz,“ varovali již dříve zástupci obchodu. Není nicméně vyloučeno, že stejný trik budou zkoušet počítačoví piráti pod hlavičkou úplně jiné společnosti – případnou slevu si je tak vhodné u avizované společnosti vždy nejprve ověřit. 

Nesrozumitelné klikyháky
V loňském roce se na internetu doslova roztrhl pytel s falešnými nabídkami na slevy a výhodné akce. Kyberzločinci se tak často vydávali za obchodníky nebo zástupce nějaké finanční společnosti a z důvěřivců lákali přihlašovací údaje či se jim snažili infikovat počítač škodlivým virem. Letos však přišli s daleko sofistikovanějším podvodem. Uživateli zobrazí jen roztodivné klikyháky.

Místo fontů si uživatel nainstaluje do svého počítače trojského koně.
„Byl zaznamenán nový trik, jak donutit uživatele k instalaci malwaru. V tomto případě je malware distribuován s pomocí webových stránek, na kterých se zobrazují nesmyslné znaky,“ uvedl Pavel Bašta, bezpečnostní analytik CSIRT.CZ.

Podobné znaky se často zobrazují například v textových dokumentech, pokud v počítači není nainstalovaný použitý font písem. Uživatel tak musí v praxi znakovou sadu manuálně doinstalovat, aby si mohl text přečíst.

A přesně na to sázejí počítačoví piráti. „Pokud uživatel na trik skočí, problémy mu teprve začnou, neboť si místo fontů nainstaluje do svého počítače trojského koně, nebo dokonce ransomware Spora,“ doplnil bezpečnostní analytik s tím, že s podobnými útoky se mohou uživatelé setkat i na legitimních webových stránkách, které se podaří počítačovým pirátům napadnout.


Tento GIF je podle FBI smrtící zbraň. Pozor, komu takový posíláte
21.3.2017 Živě.cz Bezpečnost
Ne často se stává, že předmětem kriminálního vyšetřování je tweet. Ale i takové případy existují. V polovině prosince byl novináři serverů Vanity Fair a Newsweek Kurtu Eichenwaldovi záměrně poslán tweet s blikajícím GIFem, jenž mu měl spustit záchvat, protože je o něm veřejně známo, že je epileptik. Nyní celý případ vyšetřuje FBI a odesílatel byl zatčen.
Tweet s agresivně blikajícím GIFem a zprávou „za svůj článek si zasloužíš záchvat“ odeslal uživatel @jew_goldstein a Eichenwaldovi skutečně záchvat způsobil. Novinář následně oznámil, že si od Twitteru dá pauzu a na útočníka podá trestí oznámení. O tři měsíce později FBI muže, jenž účet @jew_goldstein spravoval, zadržela.

Klepněte pro větší obrázek
Blikající GIF skutečně epileptickému novináři záchvat způsobil. Hvězda stroboskopicky přeblikávala do kontrastních barev.

Útočníkem byl 29letý John Rivello. Obviněn je z kyberšikany a podle tohoto soudního dokumentu z útoku smrtící zbraní. Novináři GIF poslal údajně kvůli jeho politickým názorům, a protože je Žid. V obvinění také stojí, že nabádal další uživatele, aby GIF muži posílali.

Jako důkaz byl použit Rivellův účet na iCloudu, ve kterém vyšetřovatelé našli odkazy na Eichenchaldovu stránku na Wikipedii a web o epilepsii Epilepsy.com.


Už se kradou i viry. Jeden ransomware využívá pirátskou kopii jiného
21.3.2017 Živě.cz Viry

Bezpečnostní experti odhalili nový typ vyděračské škodlivého softwaru PetrWrap, který šifruje osobní data a za odblokování vyžaduje výkupné. Pozornost poutá zejména ukradeným zdrojovým kódem z jiného ransomwaru od konkurenční skupiny, upozorňuje Kaspersky Lab.
Do nitra zákeřného ransomwaru. Takto vypadá útok na počítače personalistek
Autoři kódu Petya určeného pro tvorbu účinného ransomwaru nabízí za poplatek distribuci jiným kyberzločineckým skupinám na černém trhu. Přidali k němu i kontrolní mechanismus, aby se nedal využívat bez zaplacení v „neautorizovaných“ typech malwaru. Jenže autorům PetrWap se však ochranu podařilo obejít.

Nežádoucí činnost infiltrace analytici pozorují jen od začátku roku, nezodpovězená však zůstává otázka způsobu jejího šíření. „Tvůrci používají vlastní šifrovací klíče, které jsou odlišné od těch, které nabízí ve svých prodávaných verzích Petya. Takže i proto dokáží zcela samostatně fungovat,“ informuje Kaspersky Lab.
Státy Evropy spojují síly proti vyděračským virům
Z technického pohledu dnes Petya a z ní odvozené viry patří mezi ty nejvážnější hrozby. Na počítači zašifruje data, přepíše celý pevný disk a znemožní načítání operačního systému.

V minulosti sice díky chybám v kryptografii výzkumníci našli způsob odemknutí napadených souborů, ale zločinci nedostatky odstranili a vytvořili aktuálně stále neprolomitelný ransomware.


Předinstalovaný malware ve smartphonech je novou zákeřnou hrozbou

19.3.2017 SecurityWorld Viry
Technologie Check Point Mobile Threat Prevention odhalila závažnou infekci ve 38 zařízeních se systémem Android ve velké telekomunikační společnosti a nadnárodní technologické společnosti. I když to není nic neobvyklého, jeden detail útoků je velmi zajímavý. Ve všech případech nebyl malware stažen do zařízení uživatelem, ale hrozba už byla v zařízení předinstalovaná.

Malware byl v zařízeních ještě předtím, než je uživatelé obdrželi, ale škodlivé aplikace nebyly součástí oficiální ROM dodaném výrobcem a byly přidány až někde během dodavatelského řetězce. V šesti případech byl malware navíc přidán pomocí systémových oprávnění přímo do ROM zařízení, takže hrozba nemohla být odstraněna uživatelem a zařízení muselo být přeflashováno.

Výzkumný tým byl schopen určit, kdy výrobce dokončil instalaci systémových aplikací, kdy byl nainstalován malware a kdy uživatel zařízení dostal.

Ve většině případů objevený předinstalovaný malware na zařízeních kradl informace a generoval zisky ze zobrazování nelegitimní reklamy. V jednom případě se jednalo o mobilní ransomware Slocker. Slocker používá šifrovací algoritmus AES pro zašifrování všech souborů na zařízení a za poskytnutí dešifrovacího klíče požadoval výkupné. Slocker používá pro komunikaci s C&C serverem anonymní síť Tor.

Obecným pravidlem je, že by se uživatelé měli vyhnout riskantním webovým stránkám a měli by stahovat aplikace pouze z oficiálních a důvěryhodných zdrojů. Nicméně jen dodržovat tyto pokyny nestačí. Předinstalovaný malware ohrožuje bezpečnost i těch nejpečlivějších uživatelů. Navíc uživatel, který obdrží zařízení s malwarem, není schopen zaznamenat jakékoliv změny v činnosti přístroje, které se často vyskytují po instalaci malwaru.

Objevení předinstalovaného malwaru vyvolává řadu znepokojivých otázek ohledně mobilní bezpečnosti. Uživatelé mohou dostat zařízení, které obsahuje zadní vrátka nebo je rootované bez jejich vědomí. Pro ochranu před normálním i předinstalovaným malwarem by měli uživatelé používat pokročilá bezpečnostní opatření, která mohou identifikovat a blokovat jakoukoliv anomálii v chování zařízení.


Roste počet šifrovaných webů, HTTPS konečně nahrazuje HTTPS

17.3.2017 SecurityWorld Zabezpečení
Poté, co Edward Snowden odhalil světu, že online komunikace je hromadně sbírána a ukládána některými z nejmocnějších zpravodajských agentur světa, bezpečnostní experti začali volat po silnějším šifrováním na celém webu. Po čtyřech letech se zdá, že se jejich snaha vydařila.

Počet webových stránek podporujících HTTPS – tedy protokol http šifrovaný přes SSL/TSL připojení – se během posledního roku významně zvýšil. Spuštění šifrování přináší mnoho výhod, takže pokud vaše webová stránka ještě tuto technologie nepodporuje, je na čase to změnit.

Nedávná telemetrická data z Google Chromu a Mozilly Firefox ukazují, že přes 50 % přenášených webových dat je šifrováno, a to jak na počítačích, tak mobilních zařízeních. Je pravda, že většina provozu se týká několika největších webových stránek, přesto je skok o 10 procentních bodů za rok úctyhodný.

Úterní průzkum milionu nejnavštěvovanějších webových stránek světa prokázal, že 20 % z nich podporuje HTTPS oproti 14 % v srpnu. Jde tedy o značný, více než 40% nárůst během půl roku.

Existuje mnoho důvodů zrychleného osvojování HTTPS standardu. Některé z dřívějších překážek se nyní snáze překonává, ceny poklesly a zvýšilo se množství důvodů, proč na šifrování přejít.

Výkonnostní dopad

Jednou z dlouhodobých obav ohledně HTTPS je negativní dopad na serverové zdroje a načítací dobu stránek. Šifrování ostatně obvykle přináší rychlostní propad, proč by tedy HTTPS mělo být odlišné?

Jak se však ukazuje, díky vylepšením jak na straně serverů, tak u klientského softwaru je dopad TLS šifrování na rychlost webu zcela minimální.

Když Google začal v roce 2010 využít HTTPS u svého e-mailového klienta Gmailu, společnost odhalila pouze procentní nárůst zatížení procesorů na svých serverech, pod 10 Kb dodatečné paměťové zátěže na jedno připojení a celkově méně než 2 % síťové režie. Přechod na šifrování nevyžadoval žádné dodatečné stroje či specializovaný hardware.

Nejen, že je dopad na back end minimální, ale prohlížení webů je dokonce rychlejší, když je HTTPS zapnuto. Důvodem je, že moderní prohlížeče podporuje HTTP/2, revizi http protokolu, která přináší mnohá výkonnostní zlepšení.

Ačkoli šifrování není nutností pro oficiální specifikaci HTTP/2, tvůrci prohlížečů jej ve vlastní implementaci nutným učinili. Pokud tedy na svém webu chcete rychlostní zlepšení v podobě HTTP/2, šifrování je nutností.

Jde samozřejmě i o peníze

Cena získání a obnovení digitálních certifikátů nutných k nasazení a fungování HTTPS bylo v minulosti důvodem k obavám, a to spravedlivě. Mnoho malých podniků a nekomerčních subjektů se pro nasazení šifrování nerozhodlo pravděpodobně právě z tohoto důvodu, a i větší společnosti s mnoha webovými stránkami a doménami ve správě se mohli finančního dopadu obávat.

To by naštěstí nemusel být nadále problém, alespoň pro ty weby, které nevyžadují certifikáty Extended Validation EV. Nezisková organizace Let’s Encrypt minulý rok spustila certifikáty domain validation (DV), které navíc poskytuje zadarmo skrze plně automatizovaný a jednoduchý proces.

Z kryptografického a bezpečnostního hlediska není mezi DV a EV certifikáty žádný rozdíl. Jediný reálný rozdíl je v tom, že EV vyžaduje důkladnější verifikaci organizací a umožňuje držiteli certifikátu zobrazit jméno vlastníka v adresním řádku, kde vedle vizuálního indikátoru HTTPS připojení.

Mimo Let’s Encrypt existuje ještě několik síťových a cloudových poskytovatelů služby, včetně CloudFlare a Amazonu, které nabízí TLS certifikáty zdarma. Webové stránky hostované skrze službu Wordpress rovněž dostávají HTTPS automaticky, a to i pokud využívají vlastní doménu.

Noční můrou je špatná implementace

Nasazení HTTPS bývalo velmi složité. Kvůli špatné dokumentaci, pokračující podpory slabých algoritmů v kryptovacích knihovnách a neustále odhalovaných nových útocích byla vysoká šance, že serveroví administrátoři skončí se zranitelnou verzí HTTPS protokolu. A špatné HTTPS je horší než žádné, neboť uživatelům dává falešný pocit bezpečí.

Mnohé z těchto problémů se však řeší. Webové stránky typu Qualys SSL Labs poskytují dokumentaci zdarma k TLS, stejně jako testovací nástroje k nalezení chybné konfigurace a zranitelností v HTTPS verzi uživatele. Jiné webové stránky pak poskytují zdroje na optimalizaci výkonu TSL.

Smíšený obsah zůstává problémem

Posílání a vytahování externích zdrojů typu obrázky, videa a JavaScript kód skrze nezašifrovaná připojení do HTTPS webové stránky spustí bezpečnostní varování v prohlížečích uživatele. A protože mnoho webových stránek na externích zdrojích závisí – fóra, webová analytika, reklamy apod. – zůstává smíšený obsah jedním z důvodů, proč někteří vlastníci webových stránek stále ještě nepřestoupili na HTTPS.

Dobrá zpráva je, že v posledních letech se vyrojilo velké množství služeb třetí strany, včetně reklamních sítí, které začaly HTTPS podporovat. Důkazem, že problém přestává být tak významný jako dříve, svědčí například to, že mnoho online médii již na HTTPS přešlo, přestože takové stránky jsou obvykle na zdrojích z reklamy závislé. Přesto však někteří vlastníci nemají jinou možnost než u HTTP z finančních důvodů setrvat.

Webmasteři mohou využít CSP header, který jim odhalí nezabezpečené externí zdroje na jejich webových stránkách a mohou je kupříkladu zablokovat. http Strict Transport Security (HSTS) také může napomoci s potížemi smíšeného obsahu, jak vysvětluje například bezpečnostní analytik Scott Helme (anglicky).

Další možnosti zahrnují služby typu CloudFlare, fungující jako proxy mezi uživatelem a webovým serverem, který webovou stránku vlastně hostuje. CloudFlare zašifruje přenos dat mezi koncovými uživateli a svým proxy serverem, i v případě, že je spojení mezi proxy a hostujícími servery nezašifrované. Toto zabezpečení je sice jen polovinou komunikace mezi subjekty, přesto je však lepší než nic a částečně znemožní manipulaci s příchozím obsahem nebo jeho odposloucháváním.

HTTPS přidá na důvěryhodnosti

Jednou z klíčových výhod HTTPS je ochrana uživatelů před útoky typu man in the middle (MitM), které lze spustit ze špatně zabezpečených nebo nakažených sítí.

Hackeři používají tuto techniku ke krádeži citlivých informaci uživatele nebo k vložení škodlivého obsahu do přenášených dat. MitM útoky lze také provést i z vyšší pozice internetové infrastruktury, například na celonárodní úrovní – velký čínský firewall – případně i na kontinentální úrovni, jako v případě odposlouchávacích aktivit NSA.

Operátoři Wi-Fi hotspotů, a i někteří poskytovatelé internetového připojení, MitM techniky využívají ke vkládání reklam a různých zpráv do nezabezpečeného přenosu dat uživatele.

Nechcete HTTPS? Přijde penalizace

Google začal HTTPS preferovat u svých výsledků vyhledávání už v roce 2014; znamená to, že šifrované weby mají ve vyhledávání výhodu nad standardními HTTP stránkami. Důraz kladený na šifrování u výsledků je prozatím poměrně malý, v budoucnu jej však Google chce zvýraznit v rámci podpory HTTPS protokolu.

Za stejnou věc bojují i výrobci prohlížečů, avšak ještě o něco agresivněji. Nové verze Chromu a Firefoxu zobrazí varování, pokud se uživatelé pokusí vložit heslo či informace o kreditní kartě do textových polích mimo HTTPS stránky.

V Chromu mají dokonce nešifrované weby zákaz přístupu k některým funkcím typu geolokace, GPS zařízení nebo k mezipaměti. V budoucnu chce Google s Chromem zajít ještě dál a například zobrazovat „Nezabezpečené“ varování na adresním řádku pro všechny nezašifrované weby.

Budoucnost HTTPS

„Jako komunita cítím, že jsme vykonali hodně dobrého v této oblasti a vysvětlili jsme, proč by všichni měli využívat HTTPS,“ říká Ivan Ristic, bývalý šéf Qualys SSL Labs a autor knihy Bulletproof SSL a TSL. „Obzvláště prohlížeče se svými neustále vylepšeními jsou důležitým motivem k přechodu na HTTPS.“

Podle Ristice některé problémy zůstávají, například zastaralé systémy nebo služby třetí strany bez HTTPS podpory. Cítí však, že se situace zlepšuje i ze strany široké veřejnosti, která na osvojení HTTPS tlačí.

„Cítím že s tím, jak více stránek na šifrování přejde, bude vše jednodušší,“ říká.

Lidé mají při použití HTTPS webových stránek vyšší míru sebevědomí a důvěry. Certifikáty jsou však dnes snadno získatelné a mnoho útočníků využívá často nemístné důvěry uživatelů a zakládají čistě útočné HTTPS stránky.

„Pokud jde o otázku důvěry, jednou z věcí, kterou musím zdůraznit je, že HTTPS neznamená nic o spolehlivosti webové stránky ani o tom, kdo ji vlastní,“ říká bezpečnostní expert Troy Hunt.

Organizace se budou muset se zneužíváním HTTPS protokolu vyrovnat a začít na lokálních sítích prozkoumávat přenosy dat, protože šifrované spojení může skrývat nežádoucí malware.


S nebezpečnými chybami se roztrhl pytel. Záplatuje Microsoft, Adobe i VMware

16.3.2017 Novinky/Bezpečnost Zranitelnosti
Velkou pozornost by v tomto týdnu měli věnovat uživatelé počítačů bezpečnostním aktualizacím. Opravy nebezpečných trhlin totiž vydalo hned několik velkých společností – například Microsoft, Adobe a VMware.
Jako první vydala v úterý aktualizace hned pro několik svých produktů společnost Microsoft. Její pracovníci museli řešit chyby v samotném operačním systému Windows, stejně jako v kancelářském balíku Office i webových prohlížečích Edge a Internet Explorer.

Hned několik trhlin přitom dostalo nálepku „kritická“. To jinými slovy znamená, že tyto chyby představují pro uživatele nejvyšší možné nebezpečí.

Kritické chyby mohou počítačoví piráti zneužít k tomu, aby do počítače propašovali prakticky libovolný škodlivý kód. Stejně tak ale mohou přistupovat k nastavení napadeného stroje či uloženým datům na pevném disku.

Další zranitelnosti, které byly objeveny v aplikacích amerického softwarového gigantu, mají nálepku „důležité“. Ty slouží především ke zlepšení funkčnosti samotného systému, ale například také kancelářského balíku Office. Důležité záplaty by neměly pro uživatele představovat žádné velké bezpečnostní riziko.

Microsoft není jediný
Kritické zranitelnosti ve svých produktech ohlásila také společnost Adobe. Konkrétně se jedná o populární program Flash Player, který slouží k přehrávání videí na internetu a po celém světě jej používají stovky miliónů lidí, a o aplikaci Shockwave Player.

I tyto nebezpečné trhliny mohou počítačoví piráti zneužít k získání kontroly nad napadeným systémem.

A v podstatě totéž platí také pro virtualizační software Workstation a Fusion od společnosti VMWare. Také v případě těchto programů museli tvůrci vydat opravy, které zamezí záškodníkům v přístupu do operačního systému.

S instalací neotálet
S ohledem na možná rizika doporučují bezpečnostní experti s instalacemi opravných balíčků neotálet. „Doporučujeme aktualizovat co nejdříve,“ prohlásil Pavel Bašta, bezpečnostní analytik Národního bezpečnostního týmu CSIRT.CZ, který je provozován sdružením CZ.NIC.

Stahovat aktualizace je u programů všech dotčených společností možné prostřednictvím automatických updatů. V případě, že uživatelé nemají nastavenou automatickou instalaci aktualizací, mohou opravy stáhnout přímo ze stránek jednotlivých výrobců.


Kreml dává od útoku na Yahoo ruce pryč

16.3.2017 Novinky/Bezpečnost BigBrother
Kreml ve čtvrtek vyloučil jakoukoli účast ruských tajných služeb na nezákonné kybernetické akci. Mluvčí prezidenta Vladimira Putina Dmitrij Peskov to řekl v reakci na obvinění dvou ruských špionů a dvou dalších osob ministerstvem spravedlnosti USA z útoku na internetovou společnost Yahoo před třemi lety.
Peskov novinářům sdělil, že zatím nemá žádné oficiální informace o tomto obvinění a že vše, co o tom dosud ví, se dozvěděl ze sdělovacích prostředků.

"Opakovaně jsme řekli, že nemůže být řeči o nějakém zapojení některého ruského úřadu, včetně FSB (Federální bezpečnostní služby), do jakýchkoli nezákonných počítačových aktivit," zdůraznil Peskov.

Americké ministerstvo spravedlnosti ve středu oznámilo, že obvinilo dva ruské špiony a dva hackery původem z bývalých sovětských republik v souvislosti s ukradením dat z účtů internetové společnosti Yahoo z roku 2014.

Podle deníku The Washington Post jde o vůbec první obvinění svého druhu "ruských vládních činitelů". Týká se dvou pracovníků ruské tajné služby FSB a dvou hackerů, které si Rusové údajně najali.

Více než miliarda přihlašovacích údajů
Loni v září vedení Yahoo oznámilo, že v roce 2014 byla z jeho serverů odcizena data z 500 miliónů účtů. V prosinci pak zástupci Yahoo potvrdili, že při dalším útoku z roku 2013 byla odcizena více než miliarda přihlašovacích údajů. 

Yahoo dosud neuvedla, zda oba útoky souvisely. Útoky také měly dopad na prodej hlavního podnikání Yahoo komunikačnímu gigantovi Verizon. 

Odcizené informace mohou podle vyjádření podniku zahrnovat jména, e-mailové adresy, telefonní čísla, data narození a takzvané ověřovací otázky a odpovědi na ně.

Služby Yahoo využívá podle serveru expandedramblings.com každý měsíc miliarda lidí. E-mailovou schránku má na tomto serveru 280 miliónů lidí, z toho 81 miliónů jich je z USA.


Spojené státy obvinily dva ruské špióny kvůli hackerskému útoku na Yahoo

16.3.2017 Novinky/Bezpečnost BigBrother
Americké ministerstvo spravedlnosti obvinilo dva agenty ruské tajné služby FSB a dva jimi najaté hackery v souvislosti s útokem na server internetové firmy Yahoo ze září 2014. Při něm byly získány údaje o půl miliardě uživatelů. List The Washington Post připomněl, že je to poprvé, kdy USA obvinily z kybernetického útoku představitele Ruska. Ministerstvo se rozhodlo pro tento krok, aby ukázalo hackerům, že takovéto útoky bude přísně stíhat.
Oznámení přišlo poté, co byl v úterý v Kanadě zadržen v Kazachstánu narozený Karim Baratov, který měl kanadské občanství. Je jedním z najatých hackerů. Druhým je Alexej Balan, který patřil k nejúspěšnějším hackerům a čelí už dvěma starším obviněním kvůli útokům na nevadské a kalifornské technologické firmy z let 2012 a 2013. Byl ve vazbě v Řecku, ale vrátil se do Ruska.

Mary McCordová z ministerstva spravedlnosti hovoří před plakáty s podezřelými agenty FSB

Obviněnými agenty FSB jsou Dmitrij Dokučajev a jeho nadřízený Igor Susčin. Dokučajev ale byl podle agentury Interfax loni zatčen v Moskvě kvůli obvinění z vlastizrady, neboť údajně předával informace CIA. S FSB se rozhodl spolupracovat, aby unikl stíhání za podvod s bankovní kartou.

Obvinění byla výsledkem dva roky dlouhého vyšetřování sanfranciské pobočky FBI.

Zástupci amerického ministerstva spravedlnosti instalují plakát se vyhlášeným pátráním po Igoru Šuščinovi
Zástupci amerického ministerstva spravedlnosti instalují plakát se vyhlášeným pátráním po Igoru Šuščinovi
FOTO: Yuri Gripas, Reuters

Při útoku se FSB pokoušela získat informace ze zpravodajských důvodů, zaměřovala se novináře, disidenty a americké vládní představitele. Hackerům umožnili využít útoku pro své obohacení

Obvinění se se týká hackerského útoku, podvodu na síti, ukradení tajných dat a hospodářské špionáže.

Útok na Yahoo měl být součástí širšího kybernetického útoku na Spojené státy. Hackeři jednali podle sdělení ministerstva spravedlnosti na základě příkazů ruských agentů. Podle FBI se jednalo o jedny z největších kybernetických zločinců a závažnost činu zvyšuje to, že do něj byla zapojena FSB.

FBI hledá v souvislosti s hackerským útokem i agenta FSB Dmitrije Dokučajeva
FBI hledá v souvislosti s hackerským útokem i agenta FSB Dmitrije Dokučajeva
FOTO: Yuri Gripas, Reuters

Obvinění ale v případě agentů FSB zřejmě vyzní do prázdna, protože obě země nemají uzavřenou dohodu o vzájemném vydávání lidí podezřelých z páchání trestných činů, upozornil list The Washington Post. Podle amerických představitelů ale bude obvinění a sankce působit odstrašujícím účinkem. Navíc, občas stíhaní lidé vyjíždějí do zemí, kde mohou být dopadeni.

Ukradená miliarda účtů
Loni v září firma oznámila, že v roce 2014 byla z jeho serverů odcizena data z 500 miliónů účtů. V prosinci pak zástupci Yahoo potvrdili, že při dalším útoku z roku 2013, jenž byl vůbec největší v historii, byla odcizena více než miliarda přihlašovacích údajů.  Yahoo dosud neuvedla, zda oba útoky souvisely. Útoky také měly dopad na prodej hlavního podnikání Yahoo komunikačnímu gigantovi Verizon. 

Odcizené informace mohou podle vyjádření podniku zahrnovat jména, e-mailové adresy, telefonní čísla, data narození a takzvané ověřovací otázky a odpovědi na ně.

Služby Yahoo využívá podle serveru expandedramblings.com každý měsíc miliarda lidí. E-mailovou schránku má na tomto serveru 280 miliónů lidí, z toho 81 miliónů jich je z USA.

List The Washington Post upozornil, že se tento útok nevztahoval k hackerskému útoku na Demokratickou stranu ani možného vměšování Ruska do loňských prezidentských voleb, zdůraznil deník.


Za obrovským únikem dat z Yahoo nejspíše stál klasický phishing
16.3.2017 Živě.cz Phishing

Sanfranciský soud zveřejnil žalobu (PDF) na dva údajné agenty ruské FSB a dvojici hackerů, kteří měli stát za útoky na Yahoo, kvůli kterým z americké webové služby unikly miliony uživatelských účtů.
Yahoo oznámilo rekordní únik dat - hackeři mají údaje více než miliardy uživatelů
Jak se zdá, do nitra Yahoo se nejspíše nedostali nějakými technicky sofistikovanými zadními vrátky, ale dle FBI nejspíše pomocí phishingu. To znamená, že nějakým způsobem přesvědčili klíčového administrátora, aby jim nevědomky předal přístup do systému.
Šéfka Yahoo dostane zlatý padák v hodnotě „jen“ 23 milionů dolarů
Opět se tedy ukazuje, že ačkoliv může mít provozovatel sebelepší zabezpečení proti klasickým útokům, nakonec se může vše zhroutit třeba kvůli falešnému e-mailu odpovědné osobě, která má dostatek práv.

Yahoo na sklonku loňského roku a po několikaměsíčním vyšetřování přiznalo, že z jeho serverů kdosi neoprávněně získal údaje o půlmiliardě uživatelů. FBI poté označila za viníky právě ruské agenty.