czech_articles 2

Czech Articles - 0 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16

Experti z brněnského Greycortexu: WannaCry nás překvapil svou agresivitou v síti
16.5.2017 Živě.cz Virus
O ransomwarové vlně toho již byly napsány tuny a souhrnný článek si můžete přečíst i u nás na Živě.cz, za zmínku ale stojí i zkušenosti českého Greycortexu, který se zabývá podrobnou analýzou komunikace v síti a to pomocí prvků A.I.

Microsoft udělal nečekaný krok. Kvůli WannaCry vydal záplatu pro Windows XP
Výzkumníci z brněnského startupu spustili virus ve virtuálním prostředí a sledovali, jak se bude chovat. „Překvapilo nás, že se tento ransomware v síti chová velmi neobvykle až agresivně. Kromě jednodušeji odhalitelných metod jako je skenování portu 445, jsme detekovali celou sérii anomálií jako pokusy o připojení k více než 4 000 zařízením v celkem 175 zemích během pouhých 5 minut,“ popisuje Michal Šrubař z Greycortexu.

Klepněte pro větší obrázek
WannaCry právě zašifroval soubory na Windows. Ale jen v sandboxu virtualizovaných Windows.

Jak už vyšlo najevo během víkendu, ransomware se po prvním spuštění pokusí spojit s doménou iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com (80/tcp), a pokud druhá strana odpoví, malware zůstane nečinný. Autoři si tedy připravili zadní vrátka pro plošnou deaktivaci a díky zabrání této domény se podařilo první vlnu malwaru pozastavit.

Výzkumníci z Greycortexu doménu na firewallu zablokovali, aby se virus aktivoval, a sledovali, co se bude dít dál. Ransomware začal šifrovat soubory a ověřil konektivitu do internetu pokusem o připojení na doménu youtube.com.

Dále se už virus pokusil šířit dál skrze lokální síť a internet a to pomocí všemožnými záškodníky oblíbené služby MS-DS (Microsoft Directory Services) a zranitelnosti MS17-010. Během pouhých pěti minut se infikované zařízení pokusilo zaútočit na více než 4 000 dalších počítačů a obešlo oněch 175 zemí světa.

Klepněte pro větší obrázek
Po spuštění se WannaCry pokoušel šířit dál na tisíce zařízení internetu

V interní síti se pokusil virus otevřít port 445/tcp a úspěšně začal šifrovat soubory na dalším počítači v LAN. Ransomware také stáhl potřebné soubory z dist.torproject.org, aby mohl komunikovat s anonymizační sítí TOR. Tato síť se v případě ransomware často používá k výměně klíčů, které používá k šifrování úložišť.

Zbytek už znáte. Na každém zašifrovaném počítači virus zobrazil dialog o úspěšném útoku a s žádostí o zaplacení výkupného. A to s varováním, že pokud bitcoinový obnos nedorazí na zadanou adresu v dané lhůtě, pokuta se zdvojnásobí.

Klepněte pro větší obrázek
Aktivita WannaCry, jak ji ve svém monitorovacím systému zachytil GreyCrotex

Greycortex se snaží vyvinout takovou analýzu sítě, aby došlo k odhalení podivného chování některých klientů dostatečně rychle před samotnou nákazou. Software tedy neustále analyzuje veškerý tok a pomocí prvků strojového učení odhaluje podobné anomálie.

Ochrana osobních údajů přitvrdí, firmy by se měly připravit

15.3.2017 SecurityWorld Zabezpečení
Úniky dat nebo interních informací způsobují firmám nemalé škody, ať už finanční, nebo na dobré pověsti. Ještě významnější roli bude v dohledné době hrát také zabezpečení osobních dat, které firmy zpracovávají nebo schraňují.

Zejména se zahájením platnosti nařízení na ochranu osobních údajů (GDPR) z dílny Evropské unie v květnu 2018. To zavádí za porušení pravidel vedoucí k úniku dat velmi vysoké finanční sankce, a navíc ukládá organizacím povinnost všechny takové incidenty hlásit. Je to ale opravdu v praxi reálné? A jak je to se zodpovědností za bezpečnost dat?

Většina lidí, včetně IT profesionálů se domnívá, že za vážnější porušení ochrany dat by měl zodpovídat výkonný ředitel společnosti. To je ale velmi diskutabilní, protože vrcholové vedení se často o porušení ochrany dat vůbec nedozví, navíc velká část narušení nebo pokusů o ně není vůbec zjištěna.

V nedávném průzkumu společnosti Accenture více než polovina oslovených odborníků na bezpečnost (51 %) přiznává, že trvá měsíce, než se sofistikovaná narušení podaří odhalit, a bezpečnostní týmy vůbec neodhalí celou třetinu úspěšných narušení bezpečnosti.

„Odpovědnost za osobní data má společnost, která takováto data zpracovává nebo schraňuje. Za konkrétní únik je ale vždy zodpovědná konkrétní osoba. Pokud někdo svým jednáním někoho poškodí, ať už záměrně nebo neúmyslně, vždy mohl a může být poháněn k zodpovědnosti a k náhradě škody,“ uvádí Dagmar Mikulová, finanční ředitelka Počítačové školy Gopas. „Pokud organizaci vznikne škoda, bude se snažit najít viníka. Prokázání konkrétního činu je ale většinou v praxi velmi problematické.“

Jakým způsobem nejčastěji firmy o data přicházejí? Převládají tři hlavní cesty možného úniku dat. První je špatné zabezpečení proti neoprávněnému přístupu útočníka z internetu.

„Zde je možné se chránit technickými prostředky – používat firewally, antimalware, aktualizovat software a hardware, správně vše nastavit,“ říká Mikulová.

Druhým je tzv. inside job, tedy krádež dat oprávněným uživatelem zevnitř firmy.

„Proti krádeži dat zaměstnancem, který má oprávnění k práci s daty, protože s nimi musí pracovat, se účinně chránit nedá,“ konstatuje Dagmar Mikulová. „Marketingová tvrzení firem vyrábějících tzv. DLP systémy (data leakage prevention) je třeba brát s rezervou. Jediná smysluplná ochrana je rozdělit pracovní náplň zaměstnanců a neumožnit každému přístup ke všem datům,“ dodává Mikulová.

Třetím je opět inside job, nicméně někým jiným, než přímo oprávněným pracovníkem, pokud ten dělá nějaké chyby, nebo nedodržuje správné postupy.

„Proti chybám zaměstnanců je možné se bránit pouze jejich vzděláváním, udržováním bezpečnostního povědomí a pravidelnými bezpečnostními školeními, jak technologií, tak metodologie,“ uzavírá Dagmar Mikulová.

Cokoliv sdílíte, může být a bude použito proti vám

15.3.2017 SecurityWorld BigBrother
Ano, CIA se vám může nabourat do televize. Skutečnou škodu vám ale napáchají spíš vaše aktivity na Facebooku.

Pár dní stará kauza Wikileaks vs CIA vzbudila pozdvižení a nejistotu, zda zpravodajská agentura nemůže sledovat taky nás. Jak už to ale v podobných případech bývá, panika je poněkud přehnaná, přiživená senzacechtivými médii. Kauza připomněla především to, co všichni víme, a totiž, že jakékoliv zařízení s kamerou, mikrofonem nebo IP adresou může být hacknuto. Otázka je – bude CIA sledovat i nás? Šance, že ano, se blíží nule. A pokud se tak skutečně stane, pravděpodobně to na náš život nebude mít žádný vliv.

Čímž netvrdíme, že se není třeba chovat obezřetně. Ano, používejte šifrovanou komunikaci, nerozklikávejte odkazy z pochybných e-mailů a klidně si po vzoru Marka Zuckerberga přelepte kameru na notebooku izolepou. Vaše protiopatření by však měla odpovídat spíš tomu, co se může pravděpodobně skutečně stát, než tomu, co hrozí teoreticky. Takže ano, zkuste se vyhnout tomu, aby se do vašeho počítače někdo naboural, ale mnohem větší pozornost věnujte například tomu, co píšete na sociálních sítích. Tam se totiž vystavujete skutečnému riziku.

Nesdílíte nežádoucí příspěvky?

Americká vláda loni po vybraných žadatelích o vízum žačala požadovat jejich účty na sociálních sítích, aby mohla prověřit možné vazby na teroristické organizace. Posledních pár týdnů tuhle praxi vykonávají celní a bezpečnostní pracovníci přímo při vstupu do země. Nezajímají je přitom jen veřejné příspěvky, ale i ty soukromé a opatření by se mělo v budoucnu rozšířit nejen na sociální sítě, ale internet jako takový. Vláda už má na stole dokonce návrh, aby takto lustrováni byli nejen občané muslimských zemí, ale také Číňané. Chce zkrátka dle aktivity na internetu určovat, kdo je důvěryhodný a kdo nikoliv a je pravděpodobné, že tento trend najde uplatnění i v jiných zemích.

Nejde však jen o cestování. Aktivitu na sociálních sítích u zájemců o studium prověřuje až polovina vysokých škol a mezi pojišťovnami najdeme takové, které na Facebooku pátrají po stopách o tom, zda jejich budoucí klienti nežijí až příliš riskantní život, který by se jim ve finále mohl prodražit. U zaměstnavatelů se množství těch, kteří na sociálních sítích prověřují své potenciální budoucí zaměstnance, dostává k 60 %, přičemž stávající zaměstnance takto pravidelně kontroluje víc než 40 % nadřízených, z nichž každý čtvrtý v průzkumu přiznal, že na sociální síti už našel něco, co ho přimělo zaměstnance pokárat nebo rovnou vyhodit. Přesto to je nic proti tomu, co nás v tomto ohledu nejspíš ještě čeká.

Sociální sítě o vás řeknou víc, než si myslíte

Vaše příspěvky na sociálních sítích jsou skutečně pomyslným oknem do vaší duše. Tak například: Facebook před pár dny spustil AI nástroj schopný analyzovat, zda lidé nemají sebevraždené sklony, stránka www.wefeel.csiro.au pro změnu detektuje kolektivní náladu ve společnosti na základě příspěvků na Twitteru. A není pochyb nad tím, že z analýzy sociálních sítí a prodeje těchto dat se stane velký byznys.

Čínská vláda už dokonce zkušebně spustila projekt Social Credit System, jehož cílem je „oznámkovat“ každého občana právě na základě těchto analýz, ke kterým přičítá ještě trestní záznamy a také finanční aktivitu dotyčných. Výsledná známka má následně určit lidem jejich práva, privilegia a možnosti v nejrůznějších oblastech života. A byť je projekt teprve v plenkách, vláda už na jeho základě zakázala létat či cestovat vysokorychlostními vlaky skoro sedmi milionům lidí, jež údajně včas neplatí své dluhy. Význam sociálních médií je přitom alarmující. Chcete zlepšit známku? Pochvalte na sociálních sítích vládu. Zastáváte se Tibetu? Šup s celkovým skóre dolů...

Západní způsob kontroly populace skrz sociální média je sice víc postaven na svobodě, ovšem i tak vám může pěkně zkomplikovat život. Už dnes jsou vyvíjeny aplikace schopné z vašich účtů stáhnout veškerá data a příspěvky a následně vás „zaškatulkovat“, přičemž přesnost této charakterizace poroste s rozvojem umělé inteligence. V nedaleké budoucnosti tak bude výsledkem vašich aktivit na sociálních sítích (a internetu obecně) složka, která může hrát význam při vaší žádosti o vízum, půjčku, práci a tak dále. A co je nejhorší? Že o tom ani nemusíte vědět.

Takže ano, CIA se vám může nabourat do vaší chytré televize, pravděpodobně to ale neudělá. Daleko větší hrozbu představují sociální média. Protože cokoliv na nich sdílíte, může být a bude použito proti vám.

Masivní hackerský útok na účty Twitteru, stopa vede do Turecka

15.3.2017 Novinky/Bezpečnost BigBrother
Na Twitter se zaměřili hackeři. Podařilo se jim napadnout stovky ověřených účtů na této mikroblogovací síti, jsou mezi nimi například účty Evropského parlamentu, Amnesty International, UNICEF, mediálních firem i známých osobností. Ve středu o tom informovala na svém webu televize CNBC.
Na napadených účtech o sobě útočníci dali okamžitě vědět. Publikovali příspěvky, ve kterých například označují Nizozemsko a Německo kvůli chování vůči Turecku za nacisty, vzkazy jsou psané turecky. Některým uživatelům byla u profilu změněna fotografie, objevila se tam turecká vlajka a erb Osmanské říše.

Na jednom ze vzkazů, takzvaných tweetů, se objevil i hákový kříž, symbol nacistického Německa. Objevily se také hashtagy, které v překladu znamenají nacistické Německo a nacistické Holandsko, a tweet podporující tureckého prezidenta Recepa Tayyipa Erdogana. Tweet také odkazuje na video s Erdoganem a zmiňuje datum 16. dubna, kdy se bude konat referendum, které by mělo posílit pravomoci prezidenta.

Kdo stojí za útokem, není v tuto chvíli jasné. Žádná hackerská skupina se k němu zatím oficiálně nepřihlásila.

Follow
Alex Hern ✔ @alexhern
Looks like the mass hack that's hit a bunch of twitter accounts stems from http://twittercounter.com
8:29 AM - 15 Mar 2017
87 87 Retweets 34 34 likes
Takto vypadaly zprávy hackerů, které posílali prostřednictvím napadených účtů.
Mezi napadenými jsou profily časopisu Forbes, bitcoinové peněženky Blockchain, německého fotbalového klubu Borussia Dortmund, japonského účtu Justina Biebera či profil britského ministerstva zdravotnictví.

Mluvčí Twitter Counter CNBC řekl, že jsou si této situace vědomi a vyšetřují ji.

Twitter je v tom nevinně
Podle řady zahraničních serverů, například The Verge a Krebs on Security, však tato mikroblogovací síť útoku zabránit nemohla. Narušena totiž nebyla ona sama, ale analytická aplikace třetí strany nazvaná Twitter Counter. Právě to umožnilo hackerům zotročit účty, které jsou na tuto službu navázány.

Mezi Tureckem a Nizozemskem panuje delší dobu napětí. Minulý týden označil Erdogan nizozemskou vládu za nacistickou a fašistickou. Nizozemsko o víkendu označilo tureckou ministryni pro záležitosti rodiny za nežádoucí osobu a eskortovalo ji do Německa.

Ministryně se chystala v Rotterdamu promluvit k členům místní turecké komunity a přesvědčit je, aby v dubnovém referendu o změnách turecké ústavy hlasovali pro posílení pravomocí hlavy státu. Erdogan varoval, že Nizozemsko za své aktivity zaplatí. V podobném sporu je Turecko s Německem.

Whatsapp obsahoval díru, která umožňovala snadný přístup k fotografiím i soukromým chatům
15.3.2017 Živě.cz Zranitelnosti

Webová verze oblíbeného komunikátoru Whatsapp obsahovala zranitelnost, která umožňovala útočníkům převzít kontrolu nad účtem oběti, stáhnout veškeré fotografie nebo si přečíst kompletní historii konverzací. Podobně potom mohli být napadeni také uživatelé komunikátoru Telegram. Informovali o tom bezpečnostní analytici společnosti Check Point.

Chybu útočníci mohli zneužít v případě kteréhokoliv uživatele, který pro komunikaci používal webové rozhraní. Škodlivý kód zabalili do souboru, který se tvářil jako obyčejná fotografie, po rozkliknutí však došlo k využití lokálních dat prohlížeče pro převzetí kontroly nad účtem. Útočníci mohli zneužít především dvou mechanismů, které komunikátor využíval. Prvním z nich jsou náhledy známých souborů jako jsou dokumenty, fotky, ale i webové stránky, jež se zobrazují v konverzaci. Soubor HTML tak může obsahovat libovolný kód, nicméně v náhledu může Whatsapp zobrazit pouze fotografii.

Druhým problémem potom bylo šifrování zprávy před odesláním, které zamezilo možné kontrole odesílaných souborů na straně WhatsApp. To však bylo velmi rychle napraveno a aplikace nyní kontrolují bezpečnost souborů ještě před jejich odesláním.

V případě aplikace Telegram bylo zneužití velmi podobné, analytici Check Pointu jej demonstrovali na odeslání „zábavného“ videa. Pokud na něj oběť kliknula, opět došlo k přesměrování na soubor, který dokázal využít lokálně uložená data pro převzetí kontroly nad účtem.

Jak WhatsApp tak Telegram díry v systému zalepili a útok tohoto typu by tak uživatelům aktuálně neměl hrozit.

Routery Asus RT-N10R ukládají heslo v plaintextu
15.3.2017 Root.cz Zabezpečení

Zatím nepublikovaná zranitelnost byla čirou náhodou objevena na routeru Asus RT-N10R. Ač to není žádná katastrofa, je to určitý druh zranitelnosti, o které se mohou Spolu s tím se také budete moci dozvědět, proč je i tato chybka problém a proč může být nazvána zranitelností. Jako bonus si pak také přečtete, jak a za jakých okolností byla zranitelnost odhalena.

Popis zranitelnosti
U routeru Asus RT-N10R jsem zjistil, že při vytvoření zálohy si do ní router ukládá heslo, tak jak je, v plaintextu, nehašované. Spolu s tím ukládá uživatelské jméno, model a výrobce, opět v plaintextu. Soubor zálohy je tedy slabé místo. Zálohování v této formě poměrně jistě dokazuje, že si router heslo ukládá úplně stejně i uvnitř nevolatilní paměti.

Proč si tím můžeme být jisti? Při správně implementované hašovací funkci s dostatečně kvalitní solí není možné získat zpět původní heslo, a to pak ukládal do zálohy. Každý alespoň trochu příčetný programátor by to nikdy nedělal, protože je daleko jednodušší něco uložit, než si muset napsat de-hašovací algoritmus, který by byl navíc slabinou routeru.

Demonstrace zranitelnosti
K demonstraci je zapotřebí samozřejmě zmíněný router a ideálně nějaký „Hex editor/reader". Pak už se jen změní heslo na nějaké známé a uloží se souboru zálohy. Ten pak otevřete zmíněným editorem. Vzhledem k tomu že předpokládám, že zmíněný router nemáte, poskytnu screenshot toho, co je v Hex editoru vidět. Nechám vás zatím v obrázku heslo najít.

Zálohované heslo bylo: Azsemsmispritale

Předpokládám, že jste heslo vykoukali z obrázku sami. Dále je ze zálohy možné vyčíst určitě ještě model, výrobce a v další části dokumentu kterou nezveřejňuji (nevím, co citlivého se dá z té zálohy „přečíst“) se lze např. dozvědět i použitý ntp server.

Proč je to problém
Možná si teď říkáte: „Vždyť je to přece soubor zálohy. Pokud mi někde neproklouzne, jsem v bezpečí“. Problém je ale právě v onom „pokud“, které není možné nikdy stoprocentně zajistit. Také netušíme, jak je naprogramované. Vzhledem k tomu že router pravděpodobně bude mít vaše heslo na nějaké paměťové buňce ve flash paměti, tak jednoduše nelze zaručit, že se z té buňky nedostane ven.

Připomeňme bezpečnostní chybu rom-0, která umožňovala na dálku stáhnout z routerů právě soubor zálohy. Pokud je v ní heslo uloženo v otevřené podobě, může se útočník okamžitě k síti přihlásit a router ovládnout.

Jsou dvě možnosti, jak se může dostat heslo ven:

nedostatkem software
hardwarovou cestou
Nedostatkem software
Takové nedostatky můžou způsobit, že za správných podmínek (např. zadáním správné adresy) se můžeme heslo od routeru dozvědět. Tento druh zranitelnosti existoval a byl patchováni v minulém updatu firmware. Na některých routerech je například vzdáleně dostupný terminál s privilegovaným přístupem, a tudíž je přes něj přístup do úplně celé paměti flash. Nakonec nevíme, jak se router vyrovnává s extrémní zátěží např. při DoS útoku.

Hardwarovou cestou
Většina z vás ví, že existuje způsob, kterým lze číst a zapisovat přímo do paměti. Používá se ICSP, JTAG a podobné. Existují také přímo čtečky flash pamětí.

Jednoduše řečeno, i BIOS na vašem počítači tam musel někdo něčím nahrát, a stejná věc platí o jakékoliv moderní elektronice. Co jde nahrát, by mělo jít i stáhnout.

Jak by to mělo být správně a proč
Jak to správně udělat
Za ideálních podmínek by žádné zařízení, které používá k ověření uživatele jeho jméno a heslo, alespoň to heslo nemělo znát. Tak se to i na slušných službách a ve slušných zařízeních děje. Způsob, jakým vás ověřují, je následující.

V algoritmu, který se stará o ukládaní/ověřování hesla, jsou dvě základní součásti:

generátor náhodného řetězce (říká se mu sůl)
hašovací algoritmus
Při prvním přihlášení tento algoritmus převezme vaše heslo a vygeneruje si sůl. Pak vám vaše heslo pořádně „osolí“. Je důležité, aby se sůl neopakovala a byla dost dlouhá. Pak ideálně přepíše/vymaže paměťový blok, kde bylo heslo uloženo v čitelné podobě. Nakonec se osolené heslo dá do hašovacího algoritmu a ten vrátí haš.

Tento haš spolu se solí a vašim uživatelským jménem pak uloží do relační tabulky. Tady je důležité, aby byl hašovací algoritmus dost silný a každá sebemenší změna v heslu generovala naprosto odlišný haš.

Při každém dalším přihlášení se udělá stejný postup, jen sůl se už znovu negeneruje a podle uživatelského jména se vybírá a čte z tabulky a přidává stejným způsobem k vašemu heslu. Výsledný haš zadaného a soleného hesla se pak porovná s uloženou podobou. Pokud se obě varianty shodují, jste přihlášeni, v opačném případě odmítnuti.

Proč to takto složitě dělat
Jednoduše: zařízení/služba vůbec heslo nezná. Jediné, co se ukládá, je haš a sůl, a zjišťování původních hesel je proto extrémně náročné.

Další výhoda je, že i kdyby všichni uživatelé měli stejné heslo, pokaždé bude v tabulce jiný haš. Nemůžete tedy odhadnout jejich hesla nijak jednoduše, kvůli podobnosti haše. Pro zjištění všech hesel musíte prolomit všechny haše, ne jen jeden.

Pro zvědavce: v této oblasti mě velmi poučilo video na YouTube, podívejte se na něj.

Reakce Asusu
Asus jsem o této skutečnosti samozřejmě informoval. Napsal jsem report nejprve česky (na českou pobočku) a byl jsem informován, že požadavek musím napsat anglicky a že jej přepošlou do centrály. Dodnes se mi nikdo další už neozval.

Laxní přístup je sice nepříjemný, ale z ekonomického hlediska pochopitelný. Router byl už na začátku prodeje velmi levný. Není tedy možné od výrobce čekat, že bude vynakládat další peníze na prakticky mrtvý a pravděpodobně sotva výdělečný produkt.

Způsob odhalení chyby
Přiblížím vám, jak jsem chybu objevil. Všechno to začalo zprávou od mého bývalého zaměstnavatele, která zněla asi takto: „někdo nám hacknul router, někde jsi musel vyzradit heslo“. K tomu, že router někdo nahackoval, vedla zaměstnavatele změna stavu routeru: připojení bylo pomalé a s původním heslem nebylo možné se přihlásit.

Začal jsem rychle přemýšlet, kudy mohlo heslo uniknout. Po vyloučení jiných možností jsem došel k souboru zálohy, které jsem spolu s návodem, jak router uvést do „známého“ funkčního stavu dal k dispozici na společné firemní úložiště. Soubor jsem tedy stáhnul a otevřel v textovém editoru. Uviděl jsem kupu „rozsypané rýže“ a plno NULL, BEL, ETB, EOT a dalších řídicích znaků.

Přemýšlel jsem nad tím, co by to mohlo rozumněji otevřít, a nakonec stačil obyčejný hexeditor. Pak jsem začal v souboru zálohy hledat a velmi rychle jsem začal hořekovat nad tím, proč to někdo takhle hloupě naprogramoval.

Jak to celé dopadlo
Naštěstí to má dobrý konec. Zaměstnavatel si naštěstí spletl verze dokumentu, které jsem mu posílal mailem a verze s hesly zůstaly ve firmě. Druhá verze se dostala do cloudového úložiště bez hesel – k ní mohlo mít pár zaměstnanců přístup, což si ale reguloval zaměstnavatel.

Dále tu bylo podezření, že se soubory dostaly k některé ze spřátelených organizací, které působí ve stejné budově. Ověřoval jsem to, ale nestalo se tak a sdílena byla jen upravená verze bez záloh. Pokud tedy soubor někam utekl, byla to pravděpodobně chyba zaměstnavatele.

Nakonec jsme pořídili novější, který byl stejně potřeba. U Asusu jsme změnili heslo, pro jistotu.

Hrozí vám exekuce, oprášili podvodníci starý trik

15.3.2017 Novinky/Bezpečnost Kriminalita
Na pozoru by se měli mít lidé před e-maily, ve kterých se kybernetičtí podvodníci vydávají za zaměstnance exekutorského úřadu. V posledních dnech se s nimi totiž doslova roztrhl pytel, jak varoval Národní bezpečnostní tým CSIRT.CZ, který je provozován sdružením CZ.NIC.
„V předchozích dnech byl zaznamenán podvodný e-mail vyzývající k úhradě dlužné částky a vyhrožující případným exekučním řízením,“ podotkl Pavel Bašta, bezpečnostní analytik CSIRT.CZ.

Podle něj se snaží kyberzločinci touto cestou nalákat důvěřivce na podvodné webové stránky. „Kromě podrobného návodu k platbě dlužné částky vede navíc uživatele na webovou stránku imitující skutečný web jednoho z exekutorských úřadů a zde ke stažení a spuštění malwaru,“ zdůraznil Bašta.

Motivace počítačových pirátů je tak zřejmá. Jednak se snaží z důvěřivců pod pohrůžkou exekuce vymámit finanční prostředky, jednak chtějí propašovat do počítače důvěřivců nezvaného návštěvníka – počítačový virus.

Neklikat na odkazy, neotvírat přílohy
„Odkaz vede na doménu exekutor.site místo executor.cz. V těle e-mailu se mimo jiné doporučuje nedbat na varování antivirového softwaru,“ doplnil bezpečnostní analytik. Sluší se nicméně podotknout, že podvodné zprávy mohou být rozesílány klidně i ze zcela jiných adres.

Od podvodných zpráv se již distancoval i exekutorský úřad. „Neotvírejte přílohy a neklikejte na odkazy obsažené v tomto podvodném e-mailu. Náš úřad nikdy nerozesílá výzvy e-mailem, ale pouze v papírové podobě nebo datovou schránkou,“ uvedli zástupci Exekutorské komory.

Prakticky totožný trik s exekuční výzvou zkoušeli počítačoví piráti už před dvěma roky. Tehdy český internet zaplavily doslova tisíce podvodných e-mailů, ve kterých kyberzločinci vyzývali příjemce k úhradě neexistujících pohledávek.

Hacker částečně prolomil zabezpečení nové herní konzole Nintendo Switch, může za to použití zastaralého WebKitu
15.3.2017 Novinky/Bezpečnost Zabezpečení

Neuběhl ani celý měsíc od spuštění oficiálních prodejů nové herní konzole Switch od Nintenda a hackerům se podařilo částečně prolomit („jailbreak“) zabezpečení a získat tak přístup k vnitřním systémům konzole.
Úspěšný hack, který je potřeba k získání plnohodnotného jailbreaku, oznámil na Twitteru hacker s přezdívkou qwertyoruiop, který ukázal fotografii s nápisem „done“ v prohlížeči Nintendo Switch. Prohlížeč je přitom zatím v systému ukrytý a používá se pouze pro potřeby připojení k veřejné Wi-Fi a podobně. Problém ale je, že tento prohlížeč je postavený na půl roku starém WebKitu, takže nemá opravené chyby, jež se během této doby objevily a které útočník použil pro prolomení.

Follow
qwertyoruiop @qwertyoruiopz
that's just how it goes
4:36 AM - 11 Mar 2017
1,012 1,012 Retweets 2,473 2,473 likes
K hacknutí dokonce použil stejné nástroje jako pro iOS, který v rámci prohlížeče Safari stejnou chybu opravil už ve verzi iOS 9.3.5. I když se ještě nejedná o kompletní jailbreak, lze počítat s tím, že v rámci této chyby se lze dostat na další úrovně a nakonec získat „roota“ a plnou kontrolu nad systémem. Potom bude možné na zařízení provozovat aplikace, které Nintendo neschválilo a neprošly obchodem s aplikacemi, třeba i různé emulátory a do budoucna i pirátské verze her.

Uvidíme, jak se Nintendo s tímto problém popere, ale je jisté, že stejně jako u jiných systémů s uzavřeným modelem (iOS zařízení, herní konzole od Sony a Microsoftu a podobně), se budou hackeři neustále snažit najít nové díry a zneužít je k získání kompletní kontroly nad zařízením.

Počítačový zločin se více etabluje jako byznys

15.3.2017 SecurityWorld Kriminalita
Experti na počítačovou bezpečnost se sešli v Praze na konferenci IDC Security Roadshow 2017, aby diskutovali nad aktuálními trendy v oblasti kybernetických hrozeb v kontextu vývoje informačních a komunikačních technologií.
Podniky i veřejné instituce v dnešní době čelí širokému spektru kybernetických bezpečnostních hrozeb různé intenzity a rozsahu. V dnešní době jsou mnohem častěji než dříve tyto hrozby motivovány finančními nebo špionážními důvody, přibývá také útoků motivovaných politickými cíli, přičemž stoupá objem zdrojů, které mají útočníci k dispozici.

„Kyberzločinci provozují svoji činnost jako podnik a průniky skrze zabezpečení jsou pro ně obchodním cílem. Stejně jako kterýkoli jiný podnik tedy investují prostředky do naplnění svých cílů snaží se svůj podnik rozvíjet,“ říká Mark Child, vedoucí analytik pro oblast kybernetické bezpečnosti v pražské pobočce společnosti IDC.

„Podniky a organizace nemohou v dnešní době se založenýma rukama čekat, až dojde k bezpečnostními incidentu či průniku do sítě, ale musí se k obraně stavět aktivně a vyhledávat indikátory hrozeb,“ vysvětluje Mark Child. „Tradiční přístup založený na vzorcích známého škodlivého softwaru nebo znacích útoků má stále své místo, avšak je nutné jej kombinovat s novými postupy založenými na strojovém učení a umělé inteligenci.“

Podle průzkumu společnosti IDC zůstává pro podniky hlavním kritériem při volbě dodavatele bezpečnostních produktů a řešení cena, před faktory, jako jsou zkušenosti dodavatele v daném oboru, reference, certifikace a spektrum nabízených funkcí či služeb. Zároveň 30 % subjektů nijak neměří efektivitu vynaložených nákladů na IT bezpečnost.

Americký úřad bojuje proti bitcoinům. Nový fond na burzu nesmí

12.3.2017 Novinky/Bezpečnost BigBrother
Americká Komise pro cenné papíry a burzy (SEC) zamítla tento týden žádost o uvedení prvního fondu založeného na kybernetické měně bitcoin na burzu ve Spojených státech. Na to reagovala hodnota bitcoinu strmým pádem.
Hodnota jednoho bitcoinu se v pátek bezprostředně po tomto rozhodnutí propadla o zhruba 18 procent a dostala se až pod hranici 1000 dolarů (zhruba 25 000 Kč). Následně se však nad tuto hranici vrátila, napsala agentura Reuters.

Dvojčata Tyler a Cameron Winklevossovi se snažili komisi přesvědčit, aby umožnila vstup jejich bitcoinového fondu na burzu Bats BZX. Komise se však rozhodla, že takovýto krok nepovolí kvůli nedostatečné regulaci této kybernetické měny.

Bitcoiny se těší velké popularitě především coby prostředek pro investici. Kurzy však často kolísají. Evropský bankovní úřad kvůli tomu dokonce varoval spotřebitele, že neregulované virtuální měny představují velké riziko. Jejich vklady totiž nejsou nijak chráněny.

Poslední bitcoin v roce 2140
Virtuální měna bitcoin vznikla v roce 2009, větší popularitě se ale těší v posledních letech. Vytvořena byla tak, aby se nedala ovlivňovat žádnou vládou ani centrální bankou. Kybernetické mince „razí“ síť počítačů se specializovaným softwarem naprogramovaným tak, aby uvolňoval nové mince stabilním, ale stále klesajícím tempem. Počet mincí v oběhu má dosáhnout nakonec 21 miliónů, což má být kolem roku 2140.

Tyler a Cameron Winklevossovi se v minulosti zviditelnili právním sporem se zakladatelem Facebooku Markem Zuckerbergem, kterého obvinili, že jim ukradl jejich nápad na vytvoření internetové sociální sítě. Dohoda o urovnání této žaloby jim vynesla zhruba 65 miliónů dolarů.

CIA plánovala hackování aut

12.3.2017 Novinky/Bezpečnost BigBrother
Vlámat se do auta umí každý, pokud má třeba cihlu. Sofistikovanější systémy už umí na dálku odemknout auto jako dálkovým ovladačem. Uniklé dokumenty CIA na WikiLeaks ukázaly, že americká špionážní služba plánovala nabourání se do programů aut pro jejich ovládnutí.
Spoustu lidí nenechává chladnými to, že kdokoli se jim může dostat do počítače či mobilu, využívat ho, sledovat, odposlouchávat… Říká se tomu hacknutí. Podle dokumentů zveřejněných na WikiLeaks v této činnosti CIA vyvíjela řadu aktivit. Ukazuje se, že plánovala ovládnout na dálku i auta.

Objevily se totiž složky, kde CIA předpokládá, že ovládnutí systémů vozidel by mohlo mít „potenciál pro oblast misí“. Co to znamená?

Jako hračka na dálkové ovládání
Představte si auto s teroristou, který ujíždí pryč a než by ho policie chytla, už by se ztratil v nepřehledné džungli města. Hackerský útok by ho ale mohl vlastně zatknout. Uzamkl by ho v automobilu a řídil by ho tam, kam by bylo zapotřebí. Třeba k nejbližší policejní hlídce.

Je to přitažené za vlasy? Už v roce 2015 svolal Jeep do servisů 1,5 miliónu vozidel, protože server Wired ukázal, že hackeři (a byli to soukromníci, žádná organizovaná a státem podporovaná skupina) dokážou modelu Cherokee za jízdy nabourat vnitřní systém a převzít nad ním kontrolu.

Dokumenty na WikiLeaks ukazují, že CIA se zaměřila na systém QNX od BlackBerry, který je dnes součástí šedesáti miliónů vozidel po celém světě.

Absolutní soukromí neexistuje, tvrdí ředitel FBI
10.3.2017 Novinky/Bezpečnost BigBrother

Naprosté soukromí v USA neexistuje, míní současný ředitel Federálního vyšetřovacího úřadu (FBI) James Comey. „Ani naše vzpomínky nejsou v Americe absolutně soukromé,“ uvedl na půdě soukromé univerzity Boston College během konference na téma kybernetické bezpečnosti, informovala CNN.
Nedešifroval svůj disk, a tak skončil ve vězení. Už tam sedí 16 měsíců a pořád nechce sdělit heslo
Svá slova vysvětluje tím, že vždy existuje možnost, kdy bude osoba vyzvána, aby soudu svěřila důvěrné informace ze svého života, byť v tomto směru jsou určitá omezení. „Nicméně základní princip je ten, který jsme v této zemi vždy akceptovali, a to že v Americe neexistuje absolutní soukromí,“ řekl šéf FBI.

Prohlášení přišla v době, kdy nejen technologickým světem rezonuje kauza zveřejnění údajných tajných dokumentů CIA, které poodhalily široké spektrum nástrojů a technik používaných tajnou službou ke sledování prostřednictvím internetu.
Wikileaks zveřejnilo údajné dokumenty CIA, které popisují hackerské operace
Comeyho trápí aktuální trend zabezpečování komunikačních aplikací, ale i zařízení samotných. FBI to totiž výrazně ztěžuje práci. Pro ilustraci: FBI získala za poslední čtyři měsíce uplynulého roku jako součást vyšetřování přístup k 2 800 zařízením. Dostala se však pouze do 1 200 z nich.

Šéf agentury si myslí, že určité nezbytné kompromisy v oblasti soukromí v rámci zvýšení bezpečnosti by tolerovali i takzvaní Otcové zakladatelé - státníci, kteří se svého času přičinili o vznik Spojených států.

Špehuje nás CIA?

10.3.2017 SecurityWorld BigBrother
Aktuální kauza Wikileaks vs CIA plní přední stránky světových médií a na mysl se vkrádá logická otázka. Máme se bát o své soukromí?

Zpravodajská agentura samozřejmě čelí kritice.

„Neměla by namísto špehování občanů a prolamování bezpečnostních opatření chytrých zařízení raději spolupracovat s výrobci na jejich zdokonalování?“ ptají se jedni.

„Pokud by agentura, která se snaží chránit naši bezpečnost a odhalovat zločince, nevyužívala všechny prostředky k odposlouchávání druhých, nedělala by svou práci,“ namítají druzí s tím, že veřejnost by měla být zveřejněnými dokumenty namísto znepokojení „povzbuzena“.

„Většina z nich se týká konkrétních cílů. Nejde tu o masové špehování a shromažďování dat za účelem hledání jehly v kupce sena,“ podotýká v rozhovoru pro BBC Alan Woodward, bezpečnostní poradce Europolu. „Navíc k tomu potřebují povolení soudu, nemůžou napíchnout jen tak ledajaký telefon. Jeden z důvodů, proč lidi důvěřují bezpečnostním službám, je ten, že dodržují zákon. A když ne, tak se to provalí. Jestliže se Wikileaks dostalo ke kódům, s jakými CIA pracovala, je jejich zodpovědností nezveřejňovat je, protože v opačném případě by je zpřístupnili rovněž kriminálníkům a běžní občané by se ocitli v ohrožení. CIA měla důvod, proč je tajit.“

Olej do ohně přilil i známý whistleblower Edward Snowden, který na svůj twitterový účel napsal následující: „Představte si svět, ve kterém CIA přemýšlí nad tím, jak vás špehovat skrz televizi. To je svět, ve kterém dnes žijeme.“ (Férově se hodí dodat, že metody špehování skrz chytré televize popsané v uniklých dokumentech vyžadují připojení externího zařízení, tedy faktické vniknutí do domácnosti dotyčného.)

„Ty zprávy ukazují, že americká vláda vytváří tato zranitelná místa v amerických výrobcích a úmyslně je nechává otevřená. A proč je to nebezpečné? Protože dokud nebudou zavřená, kterýkoliv hacker může těchto míst, která CIA nechala otevřená, zneužít a dostat se do kteréhokoliv iPhonu na světě,“ píše dále Snowden.

Woodward oponuje: „Bavíme se tu o CIA, ne o bezpečnostní agentuře. Jestli o těch slabinách vědí, tak je využijí. Jejich spravování je na jiných.“

Obávat se tedy, nebo neobávat o narušení soukromí? Pro zpravodajskou agenturu by hromadné špehování veřejnosti nejspíš nedávalo příliš smysl a hlavně by s největší pravděpodobností bylo neproveditelné – jak z pohledu financí tak požadavků na lidský kapitál. Mike McLellan, bývalý pracovník britské vlády pro kyberbezpečnost, však v této souvislosti upozorňuje na ještě jeden znepokojivý fakt, a totiž, že podobné mezery v softwaru vyhledávají i soukromé firmy a následně je prodají komukoliv, kdo nabídne nejvyšší cenu.

V budoucnu navíc špehování většího rozsahu může usnadnit rozvoj umělé inteligence, která by mohla snáz a rychleji rozpoznávat relevanci sledovaných dat.

Don Smith z bezpečnostní firmy SecureWorks však alespoň částečně uklidňuje: „Je to jen jedno z mnoha rizik, které nás v budoucnu s rozvojem technologií čekají. Jen si představte to množství dat, která by musela být zpracována. Není možné nahrávat každý telefon na světě, natož pak každý telefonát. Jestliže tedy nejste v centru jejich zájmu, nemají na vás kapacitu.“

USB firewall vás ochrání před škodlivým zařízením
10.3.2017 Root.cz Zabezpečení

Pokud to myslíte s bezpečností opravdu vážně, měli byste zvážit stavbu nebo nákup USB firewallu. Malé zařízení pracuje mezi počítačem a elektronikou, kterou chcete připojit do USB.
Váš počítač za normálních okolností přijme každé zařízení, které připojíte do USB. V mnoha případech je to v pořádku, protože uživatel chce prostě zapojit a používat. Čím dál častěji se ale hovoří o nových způsobech útoku s využitím hardware. Zatímco proti softwarovým útokům se lze bránit vhodným nastavením systému, nasazením bezpečnostních modulů (LSM) nebo třeba antivirem (na některých platformách), proti zlému hardware se brání jen těžko.

Upravený hardware může zaútočit na chybu v ovladačích nebo se může vydávat za jiné zařízení, než jakým ve skutečnosti je. Nic mu pak nebrání v systému sbírat data, nainstalovat do něj další aplikace nebo se třeba vydávat za síťovou kartu a přesměrovat přes sebe veškerý provoz. Dříve se k podobným účelům používala upravená zařízení s přidanou elektronikou, dnes stačí upravit firmware ve flash disku a vytvořit z něj útočné zařízení.

Vypadá to jako pevný disk, ale uvnitř je flash disk a malý počítač se zlým plánem
Problém je, že takové chování nedokáže zachytit žádná aplikace v systému. Příkazy ze zařízení jsou odchytávány a prováděny přímo ovladačem a operačním systémem a software uvnitř nemá o škodlivé činnosti zvenčí ponětí, pokud neimplementujete například USBGuard.

Vývojář Robert Fisk přišel se zajímavým a univerzálním řešením: USB firewall s názvem USG (G jako Good, místo B jako Bad). Jde o hardware, který připojíte mezi počítač a potenciálně nebezpečné zařízení. Tím dojde k izolaci obou stran, přičemž vložený firewall propouští jen bezpečné příkazy a data.

Schéma použití USG
Uvnitř zařízení jsou dva procesory STM32F4, které jsou zvenčí připojené k USB a mezi sebou jsou propojené pomocí vysokorychlostní sběrnice SPI. První verze USG používá 12Mbits hardware, pokud přes něj připojíte flash disk, budete s ním komunikovat rychlostí okolo 1MB/s. Podle autora je možné vyrobit i vysokorychlostní hardware, ale jeho vývoj bude stát nemalé peníze.

Procesor blíže k počítači pak přijímá jen velmi omezenou sadu USB příkazů, takže případný útok nebude úspěšný. Chráněny jsou obě strany, použitý flash disk nedokáže zaútočit na počítač a stejně tak cizí počítač nedokáže upravit firmware ve vašem flash disku.

Skutečný vzhled USG
USG zvyšuje bezpečnost také tím, že dovoluje připojit vždy jen jedno zařízení. To sice znemožňuje používat nejrůznější USB huby nebo dockovací stanice, ale brání to v použití podvodných zařízení, která v sobě mohou ukrývat více funkcí – třeba klávesnici s integrovaným flash diskem.

Zároveň není možné, aby zařízení za běhu změnilo své označení. To je způsob, jakým se může upravený flash disk na chvíli prohlásit za klávesnici, provést sadu útočných příkazů a zase se vrátit ke své původní funkci. USG takovým metamorfózám brání a připojené zařízení tak nemůže změnit svou funkci, dokud není odpojeno a znovu připojeno napájení.

Kvůli omezené sadě příkazů je také omezený seznam zařízení, která budou za USG fungovat. V tuto chvíli autor uvádí flash disky (mass storage), klávesnice a myši. Další verze firmware by pak mohly přidávat další typy zařízení, pokud to bude potřeba.

Samozřejmě i legitimně vypadající zařízení může provádět nebezpečné akce, proto je možné pro konkrétní přístroje přidávat pravidla omezující jejich činnost. Například klávesnice by neměla být schopná posílat znaky o mnoho rychleji, než je schopen člověk psát. Autor na těchto pokročilých pravidlech zatím pracuje.

USB firewall zabalený a připravený
Pokud vás toto zařízení zaujalo, pak vězte, že jde o otevřený hardware s otevřeným firmwarem. Podrobnosti naleznete na GitHubu, kde autor nabízí také možnost objednání USG za přibližně 60 dolarů, tedy asi 1500 Kč.

Avast: Dokumenty na WikiLeaks neobsahují bezpečnostní mezery

10.3.2017 Novinky/Bezpečnost Zabezpečení
Zveřejněné dokumenty serveru WikiLeaks neodhalují v české firmě Avast žádné bezpečnostní mezery, navíc jsou dva roky staré. Řekl to viceprezident Avastu Sinan Eren v reakci na informaci, že Avast figuruje v dokumentech WikiLeaks jako jeden z prodejců bezpečnostního softwaru, na který se zaměřila americká Ústřední zpravodajská služba (CIA).
Portál WikiLeaks zveřejnil kolem 8000 stran dokumentů o útočném programovém arzenálu CIA, s nímž největší americká výzvědná organizace může pronikat do mobilních telefonů, chytrých televizorů a dalších elektronických zařízení a využít je ke shromažďování informací.

„Avast je zmíněn ve zveřejněných dokumentech, stejně jako další globální bezpečnostní firmy. Nicméně zveřejněné dokumenty neodhalují v Avastu žádné bezpečnostní mezery. Jde navíc o veřejně dostupné dokumenty a prezentace z konferencí, které jsou dva roky staré," uvedl Eren.

Dokumenty mají dostatek technických podrobností
Důvody zájmu CIA o Avast, který je jedním z největších dodavatelů bezpečnostního softwaru na světě, mohou být podle bezpečnostního experta sdružení CZ.NIC Pavla Bašty dva. „Avast dodává bezpečnostní řešení, která používají stovky miliónů uživatelů na celém světě, a z pohledu CIA může být zajímavé, pokud by dokázala tato bezpečnostní řešení ošálit tak, aby nepoznala škodlivý software vytvořený CIA a zároveň dál uživatele informovala o jiných nákazách," řekl.

„Druhým faktorem může být, že stejně jako jakýkoliv jiný hojně rozšířený software by mohly produkty společnosti Avast posloužit k šíření škodlivých programů, pokud by se CIA podařilo v těchto produktech najít vhodnou zneužitelnou chybu," dodal.

Publikované dokumenty podle agentury Reuters obsahují dostatek technických podrobností, aby bezpečnostní experti a prodejci ochranného softwaru pochopili, jak rozsáhlé bezpečnostní mezery existují. Poskytují ale málo detailů, které by mohly napomoci rychlé nápravě.

Společnost Avast, založená v roce 1988, se zabývá tvorbou bezpečnostního softwaru a její antivirové programy chrání přes 400 miliónů počítačů a mobilních zařízení ve světě. Loni koupila konkurenční českou firmu AVG.

Avast: Dokumenty na WikiLeaks neobsahují bezpečnostní mezery

9.3.2017 Novinky/Bezpečnost BigBrother
Zveřejněné dokumenty serveru WikiLeaks neodhalují v české firmě Avast žádné bezpečnostní mezery, navíc jsou dva roky staré. Řekl to viceprezident Avastu Sinan Eren v reakci na informaci, že Avast figuruje v dokumentech WikiLeaks jako jeden z prodejců bezpečnostního softwaru, na který se zaměřila americká Ústřední zpravodajská služba (CIA).
Portál WikiLeaks zveřejnil kolem 8000 stran dokumentů o útočném programovém arzenálu CIA, s nímž největší americká výzvědná organizace může pronikat do mobilních telefonů, chytrých televizorů a dalších elektronických zařízení a využít je ke shromažďování informací.

Danger děsí bezpečnostní experty, počet útoků stoupá

9.3.2017 Novinky/Bezpečnost Viry
Nejrozšířenější kybernetickou hrozbou byl v únoru škodlivý kód Danger. Bezpečnostní experti varovali především před tím, že počet útoků tohoto nezvaného návštěvníka dramaticky stoupá. Vyplývá to z analýzy antivirové společnosti Eset.
Danger byl loni nejrozšířenější hrozbou vůbec. Zkraje letošního roku však jeho podíl začal citelně klesat. Vše tedy nasvědčovalo tomu, že je tento nezvaný návštěvník na ústupu.

Nyní se však ukazuje, že opak je pravdou. „V lednu jsme zaznamenali výrazný pokles detekcí tohoto malwaru. Z měsíce na měsíc se snížil o 40 procentních bodů. V únoru se však podíl downloaderu Danger na celkových internetových hrozbách začal znovu zvyšovat až na více než 20 procent,“ konstatoval Miroslav Dvořák, technický ředitel společnosti Eset.

Virus, plným názvem JS/Danger.ScriptAttachment, je velmi nebezpečný. Otevírá totiž zadní vrátka do operačního systému. Útočníci pak díky němu mohou propašovat do napadeného počítače další škodlivé kódy, nejčastěji tak šíří vyděračské viry z rodiny ransomware.

Hrozbu představují i Adwind a Nemucod
Danger nicméně není jediným škodlivým kódem, který dělá bezpečnostním expertům vrásky na čele. „V únoru posiloval i škodlivý kód Adwind, který představoval 6,86 procenta zachycených detekcí. Jde o backdoor, který cílí na systémy podporující Java runtime prostředí,“ uvedl Dvořák.

„Adwind funguje jako zadní vrátka. To znamená, že odesílá informace o napadeném systému a přijímá příkazy od vzdáleného útočníka. Může jít například o zobrazení zprávy v systému, otevření konkrétní internetové stránky, aktualizaci malwaru nebo stažení a spuštění nějakého souboru,“ doplnil.

Ten zároveň zdůraznil, že Adwind měl v uplynulém měsíci podíl 6,86 %. To je jen nepatrně více než v případě třetí nejrozšířenější hrozby – škodlivého kódu Nemucod. Také s pomocí tohoto viru mohou počítačoví piráti do napadeného stroje stahovat další škodlivé kódy, podobně jako v případě Dangeru.

Přehled deseti nejrozšířenějších virových hrozeb za uplynulý měsíc naleznete v tabulce níže:

Deset nejrozšířenějších počítačových hrozeb v ČR – únor 2017
1. JS/Danger.ScriptAttachment (20,94 %)
2. Java/Adwind (6,86 %)
3. JS/TrojanDownloader.Nemucod (6,33 %)
4. JS/ProxyChanger (4,36 %)
5. JS/TrojanDownloader.Agent.PQT (2,48 %)
6. Win32/Adware.ELEX (1,56 %)
7. Win32/Packed.VMProtect.AAA (1,56 %)
8. Win32/Packed.VMProtect.ABO (1,48 %)
9. JS/Kryptik.RE (1,24 %)
10. Win32/GenKryptik (1,24 %)

CIA se podle WikiLeaks zaměřila i na český Avast

8.3.2017 Novinky/Bezpečnost BigBrother

Česká firma Avast figuruje v dokumentech zveřejněných v úterý serverem WikiLeaks jako jeden z prodejců bezpečnostního softwaru, na který se zaměřila americká Ústřední zpravodajská služba (CIA). Příslušná stránka je označená jako tajná, ale žádné další informace neobsahuje, napsala ve středu agentura Reuters.
Portál WikiLeaks zveřejnil kolem 8000 stran dokumentů o útočném programovém arzenálu CIA, s nímž největší americká výzvědná organizace může pronikat do mobilních telefonů, chytrých televizorů a dalších elektronických zařízení a využít je ke shromažďování informací.

Publikované dokumenty podle Reuters obsahují dostatek technických podrobností, aby bezpečnostní experti a prodejci ochranného softwaru pochopili, jak rozsáhlé bezpečnostní mezery existují. Poskytují ale málo detailů, které by mohly napomoci rychlé nápravě.

Desítky technologických firem musejí rychle rozšířit objem sdílených informací, aby uchránily uživatele svých zařízení před slíděním, píše Reuters. Opírá se o sdělení viceprezidenta společnosti Avast Sinana Erena, který vyzval tvůrce mobilního softwaru Apple a Google, aby poskytli antivirovým firmám přednostní přístup ke svým produktům a umožnili jim zjednat okamžitou opravu bezpečnostních mezer.

„Můžeme odvrátit útoky v reálném čase, pokud budeme moci nahlédnout do mobilního operačního systému,” řekl Eren, který sídlí v americkém Silicon Valley. „Pokud nám mobilní platformy neuzavřou přístup, budeme moci lépe zjistit, že se do mobilu dostali hackeři,” uvedl Eren.

Společnost Avast, založená v roce 2010, se zabývá tvorbou bezpečnostního softwaru a její antivirové programy chrání přes 230 milionů počítačů a mobilních zařízení ve světě.

Známý hacker iPhonů a PlayStationu 3 si objednal Teslu. Dostal ale varování, že hackování může znamenat vězení
8.3.2017 Živě.cz Hacking

Hackera George Hotze, který se proslavil hacknutím například herní konzole PlayStation 3 nebo prvního iPhonu pro použití s různými operátory, asi není nutné blíže představovat. Tentokrát o sobě nechal vědět ve spojení se společností Tesla a objednávkou elektromobilu.
Slavný hacker iPhonu a PlayStationu končí se startupem, který měl udělat z každého auta samořízené
George Hotz si totiž dle informací Electreku objednal nejnovější elektromobil Tesla Model S vybavený Autopilotem druhé generace, která už obsahuje veškeré senzory a systémy pro plně autonomní provoz, byť toho zatím není schopná a uživatelé si musí počkat na budoucí softwarovou aktualizaci.

Před oficiálním dodávkou byl ale dle jeho tvrzení kontaktován osobně přímo právníky Tesly, kteří ho upozornili, že krádež duševního vlastnictví je trestní čin. Týká se to především toho, pokud by Hotz prolomil ochranu Tesly a získal tak například záznamy z Autopilota a další údaje o systému.
Hotz totiž minulý rok oficiálně ukončil startup Comma.AI, který měl umožnit snadnou a levnou instalaci některých jednodušších autonomních funkcí pro vybraná vozidla, která je standardně nepodporují a výrobce je ani nenabízí. Vlastní startup ale z důvodu legislativních tlaků ukončil a softwarový projekt vyvíjí pod volnou licencí a názvem Open Pilot. Kromě podpory některých vozů Honda a Acura lze předpokládat, že chtěl přidat i Teslu.

Po tomto varování se ale George Hotz rozhodl objednávku raději zrušit. Uvidíme, jestli je to tedy jen na oko a v budoucnu se v rámci projektu „náhodou“ podpora Tesly s hacknutou verzí softwaru objeví.

CIA prý útočila na chytré televizory a nejspíše se vydávala i za Rusy
8.3.2017 Živě.cz BigBrother

Skupina Wikileaks zveřejnila obrovský balík dat
Popisují kybernetické útoky na různé cíle
Antivirové společnosti se ničemu nediví
Skupina Wikileaks včera vypustila do světa obrovský balík bezmála devíti tisíc webových stránek a příloh, které mají popisovat nejrůznější operace americké zpravodajské služby CIA a jejich partnerů z Evropy.

Wikileaks zveřejnilo údajné dokumenty CIA, které popisují hackerské operace
Média dokumenty zatím opatrně analyzují, takto rozsáhlý únik je totiž bezprecedentní a zdaleka převyšuje i aféru okolo NSA a Edwarda Snowdena.

Balík dokumentů, který Wikileaks nazvala Year Zero, má být přitom pouze první částí mnohem rozsáhlejší série pojmenované Vault 7. Year Zero každopádně popisuje kybernetické techniky z let 2013-2016, které CIA údajně používala k odposlechům a průnikům do cizích počítačových systémů.

Slovíčko údajně je přitom na místě, CIA a americké úřady totiž aféru zatím prakticky nekomentují, a tak neexistuje způsob, jak dokumenty verifikovat. Ostatně i Wikileaks samotnou někteří pozorovatelé podezírají, že je pouze nástrojem dalších zpravodajských agentur – třeba těch ruských.

Na CIA a NSA si může zahrát každý. Hackerské technologie jsou běžně dostupné

Ať už je ale autorem dokumentů kdokoliv, samy o sobě vypadají docela věrohodně, protože popisují postupy, které nejsou v mnoha případech nikterak neznámé. Může si s nimi pohrávat každý bezpečnostní specialista, kterému se dostala do rukou třeba linuxová distribuce Kali.

Kali Linux je vcelku běžný operační systém, jehož specialitou je ale balík penetračních nástrojů. Kali slouží k tomu, aby pomocí něj třeba správce sítě otestoval podnikovou infrastrukturu na všemožné známé kybernetické útoky. Kali Linux tedy umí zneužívat nejrůznějších zranitelností k tomu, aby na cílový počítač instaloval trojské koně, malware, zapojoval jej do botnetu, nahrával zvuk z mikrofonu na telefonu s Androidem a tak dále.

Stejně tak lze ale Kali pochopitelně i zneužít a namísto testování vlastního systému s ním útočit na libovolný cíl. Není to žádné sci-fi, a pokud bude cílový systém zranitelný, dokáže to po pár minutách studia dokumentace naprosto každý zkušenější majitel počítače.

Jak to prý funguje v nitru CIA

Nemělo by být tedy žádným překvapením, že stejných principiálních postupů využívají i nejrůznější zpravodajské služby. Ty mají ke všemu oproti běžnému geekovi jednu nezanedbatelnou výhodu – ekonomické prostředky. Prakticky neomezené prostředky.

Podle Wikileaks je to i případ americké CIA, jejíž ředitelství pro digitální inovace (DDI – Directorate of Digital innovation), má údajně lepší zázemí než celá NSA. A to především díky mocné sekci CCI (Center for Cyber Intelligence), pod kterou konečně spadá skupina EDG (Enigneering Development Group) a divize aplikovaného inženýrství AED.

Organizační struktura CIA podle Wikileaks

Zatímco vy si po ránu přečtete v práci pracovní poštu, inženýři z AED svodku o nejnovějších zranitelnostech Zero Day, které odhalila noční směna v Androidu, Windows, Applu aj. Zero Day jsou chyby, o kterých zatím nikdo neví včetně autora softwaru, takže je reverzní inženýr může použít třeba k vytvoření sofistikovaného viru.

Nejděravější software posledních let? Ne, Windows to nikdy nebyly
Problém spočívá v tom, že objevování podobných chyb je velmi náročná práce, takže na ně tu a tam narazí špičkový student s hromadou času a vidinou finanční odměny (mnohé velké firmy mají tzv. bounty programy, v rámci kterých za odhalování neznámých chyb platí tučné odměny), specializované týmy antivirových společností a velkých počítačových korporací (třeba tým Google Project Zero), anebo právě inženýr v podobné štědře financované agentuře.

V CIA ale nejsou žádní amatéři. Dobře si uvědomují, že když na základě takové zranitelnosti napíšou trojského koně, kterého pak budou moci nainstalovat na počítač sledované osoby, přeci jen po sobě zanechají stopy, kterých by si mohly všimnout zase antivirové a další bezpečnostní společnosti, jejichž inženýři dnem a nocí nedělají nic jiného, než analyzují každé podivné chování na internetu.

TOP10 nejděravějšího softwaru v letech 1999 až leden 2017 (cvedetails.com)

Mac OS X (1 679)
Linux kernel (1 564)
Firefox (1 437)
Chrome (1 370)
iOS (984)
Flash Player (973)
Debian (933)
Internet Explorer (825)
Ubuntu (797)
OpenSUSE (783)
Právě z tohoto důvodu CIA podle uniklých dokumentů spustila program Umbrage, což má být jakési síto na malware šířící se světem. Špičkoví hackeři CIA je zachytí a zneužijí po svém, namísto toho, aby psali zcela vlastní.

V čem spočívá hlavní výhoda? Nikoli v tom, že si agenti ušetří práci, ale proto, že po sobě zametou stopy. Představte si například situaci, kdy CIA s pomocí NSA a dalších federálních agentur zachytí nějaký sofistikovaný malware svých protivníků z Moskvy. Mohou jej pak použít po svém, a když jejich modifikaci zachytí na síti bezpečnostní specialisté, budou si myslet, že za útokem stojí pravděpodobně Rusko, protože stopy malwaru sahají kamsi na samotný východ Evropy.

Weeping Angel promění televizor ve štěnici

Dalším zajímavým příkladem schopností hackerů z Langley je operace s kódovým označením Weeping Angel. Uniklé dokumenty pocházejí z roku 2014, takže popisují útok na dnes již staré řady plazmových televizorů od Samsungu vybavených mikrofony a kamerou pro Skype.

Klepněte pro větší obrázek

CIA se soustředila na televizory od Samsungu. Ne snad, že by byly děravější než konkurence, ale mají největší podíl na trhu. Ačkoliv se popisovaný útok týká starších modelů, lze předpokládat že CIA/NSA/MI5 a další mají něco i na ty nejnovější modely.

CIA se podle Wikileaks podařilo přepnout televizor do tichého režimu (píše se o něm jako o „Fake-off mode“), kdy sice televizor vypadal jako vypnutý, ve skutečnosti ale zvesela nahrával skrze mikrofon a kameru vše, co se dělo v jeho okolí. Nutno podotknout, že k nahrání špionského malwaru byl třeba přístup k USB portu televizoru, takže strach z nějakého plošného monitoringu není na místě. Nebylo by to ani úlohou CIA jako spíše NSA. A ani NSA nemá prostředky k tomu, aby odposlouchávala dění v každém obývacím pokoji na planetě.

Weeping Angel ale nejspíše mohli agenti použít k cílenému odposlechu cíle, jako by mu do pokoje nainstalovali klasickou štěnici.

Fine Dining, aneb tady vyplňte žádanku a vám toho uličníka hackneme

CIA podle uniklých dokumentů v letech 2013-2016 pracovala nejméně na 500 podobných projektech. Nabízí se tedy otázka, jak jejich používání vypadalo v praxi. Vžijme se do role analytika, který potřebuje získat informace o svém cíli.

Budeme předpokládat, že on sám není žádný hacker, takže těžko otevře linuxový terminál a začne z hlavy zapisovat všemožné příkazy a skripty v Pythonu. Podle Wikileaks namísto toho použije Fine Dining.

Proměnili jsme prohlížeč v zombie a zapojili počítač do malého botnetu
Mělo by se jednat o jakýsi standardizovaný dotazník potřeb. Zpravodajský důstojník pomocí něj vyplní, co všechno potřebuje získat a operační (OSB – Operational Support Branch) navrhne nejlepší způsob, jak toho docílit třeba zrovna mixem nejrůznějších sofistikovaných útoků.

Odposlouchávali jsme podnikovou síť a šmírovali kolegy z Computeru
Zdá se tedy, že celý systém uvnitř CIA pracuje jako dobře promazaný stroj až na jednu drobnost. Pokud je toto všechno pravda, znamená to, že kdosi z nitra CIA vynesl bezprecedentní množství strukturovaných dat, čímž prokázal, že ačkoliv jedna z nejmocnějších amerických agentur disponuje optikou třeba těch českých prakticky neomezenými technickými i finančními prostředky, někdo ji docela úspěšně vykradl, což vše posouvá do trošku jiného světla.

Vytvořili jsme malware pro Android, ovládli telefon a odposlouchávali jej
Není to žádné překvapení, reagují antivirové společnosti

Bezpečnostní specialisté aktuální únik zároveň shodně komentují tak, že překvapení není na místě. CIA dělá přesně to, k čemu je určená a nepoužívá žádné techniky z oboru science fiction, ale postupy, které při znalosti softwarových chyb může zneužít naprosto každý – třeba pomocí zmíněné linuxové distribuce Kali nebo desítek a stovek samostatných penetračních nástrojů.

Američtí hackeři se dokážou vydávat za Rusy, naznačují dokumenty WikiLeaks

8.3.2017 Novinky/Bezpečnost BigBrother
Z dokumentů zveřejněných organizací WikiLeaks vyplývá, že má CIA zvláštní hackerskou jednotku, která si osvojila techniky zahraničních protějšků z Ruska a Číny. To znamená, že dokáže po útocích na informační systémy zanechávat jejich stopy a svést tak vinu na ně. Jednotka se jmenuje Umbrage (pohoršení). Pravost dokumentů nicméně zatím nebyla potvrzena.
Pokud se ale informace potvrdí, bude to mít zásadní vliv na vyšetřování údajných ruských hackerských útoků během americké předvolební kampaně s cílem ovlivnit její výsledek. Pro veřejnost by to de facto znamenalo jediné; věřit může, komu chce, protože lhát může kdokoliv, poznamenal server Wired.

ČTK v této souvislosti konstatovala, že americká média zmíněné digitální stopy přirovnávají například ke kulkám nalezeným na místě činu, které jsou forenzní experti schopni jednoznačně přiřadit ke konkrétní zbrani.

Spekulace o tom, zda CIA nevykonstruovala útoky z Ruska, aby se tím pokusila zabránit zvolení Donalda Trumpa do Bílého domu, se vynořily bezprostředně poté, co Wikileaks téměř devět tisíc stran dokumentů zveřejnila.

Celou věc je však možné také obrátit. O tom, že utajované americké dokumenty WikiLeaks účelově předávají Rusové, se v médiích spekuluje již od počátku.

V úterý zveřejněné dokumenty zmiňují také to, že je CIA schopna pozměnit takřka jakékoliv chytré elektronické zařízení ve špiclovací nástroj. Ať už jde o iPhone, mobil s operačním systémem Android, počítač s Windows nebo televizi Samsung.

Celkem mají mít WikiLeaks nově k dispozici téměř 9000 dokumentů. To je víc, než kolik jich reportérům předal někdejší spolupracovník CIA Edward Snowden.

Přední výrobci se vyjádřili k úniku dat z CIA

8.3.2017 Novinky/Bezpečnost BigBrother
Apple, Samsung a Microsoft reagují na aktuální kauzu Wikileaks vs CIA.

Portál Wikileaks v úterý zveřejnil tisíce dokumentů CIA popisujících techniky kyberšpionáže, jakými zpravodajci skrz chyby v softwaru chytrých telefonů či televizí nezákonně odposlouchávali subjekty po celém světě.

A zatímco na politické úrovni se světové špičky přou o autentičnost informací, ke skandálu se už vyjádřili i přední výrobci údajně zneužitých zařízení.

Nejpodrobnější vyjádření vydal Apple, podle kterého technologie použitá v iPhonech představuje v současnosti „nejlepší možné zabezpečení“, s tím, že firma na jejím dalším zdokonalování nadále pracuje. Skoro 80 % majitelů iPhonů přitom pracuje s nejaktuálnějším operačním systémem.

„Naše prvotní analýza ukázala, že velká část mezer, které měly být zneužity, byla při poslední aktualizaci záplatována, a jestliže přijdeme na nějaké nové, okamžitě na nich začneme pracovat. Naše zákazníky vždy vyzýváme k tomu, aby si stáhnuli poslední verzi iOS a měli své zařízení zabezpečené co nejlépe,“ stojí ve zprávě Applu.

Samsung, kterému se CIA měla nabourat do televizorů řady F8000 skrze software, na jehož vývoji se podílela i britská MI5, byl stručnější.

„Ochrana soukromí našich zákazníků je pro nás top prioritou. Zveřejněnými informacemi jsme se proto okamžitě začali zabývat.“

Dle dokumentů však CIA rovněž vyvinula malware, který měl útočit na počítače s operačním systém Windows, na což Microsoft reagoval podobně stručně s tím, že se už „záležitostí zabývá“. Kdo se ke kauze zatím nevyjádřil, jsou Google a Linux Foundation – CIA prý měla útočit jak na telefony s Androidem, tak na počítače s linuxovými distribucemi.

Samotná CIA zatím pravost dokumentů datovaných do let 2013 – 2016 nepotvrdila, její bývalý šéf Michael Hayden však uvedl, že pokud jsou pravé, představuje takový únik snížení bezpečnosti jak Spojených států, tak jejich spojenců. Experti se však shodují, že nejde o nic překvapivého.

„Nejde o to, že CIA špehuje lidi. Samozřejmě, že je špehuje. Koneckonců, to je její práce. Řešit by se mělo v prvé řadě to, že se někdo naboural do jejího systému, vytáhl z něj spousty materiálů a ukázal je světu. A svět teď chce vědět, kdo to byl, jak to udělal a proč,“ komentoval Nicholas Weaver, bezpečnostní odborník z Institutu počítačové vědy v Berkeley.

A jisté je také to, že únik dat detailně popisujících utajované metody zpravodajců, pro CIA představuje obrovský problém. Nejen proto, že únik dat z agentury, která má získávat data od jiných, je jistým druhem potupy, ale také proto, že citlivé cíle teď můžou velice snadno změnit své návyky, aby zpravodajcům jejich práci dále ztížili.

FBI díky svému malwaru chytla pedofila. Žalobu ale stahuje, nechce zveřejnit své metody
8.3.2017 Lupa BigBrother
Získávání důkazů v případě kybernetické kriminality jde občas dál, než by se soudům mohlo líbit.
Americká FBI v loňském roce dokázala detekovat IP adresy lidí, kteří přes síť Tor chodili na stránky s dětskou pornografií, konkrétně na Playpen. Za základě tohoto odhalení padly u amerických soudů žaloby. To by mohl být konec příběhu, soudní proces ale situaci poněkud komplikuje.

Jeden z obžalovaných, Jay Michaud, totiž zažádal o to, aby byly zpřístupněny veškeré detaily toho, jak se k němu FBI dostala. Soud jeho žádosti vyhověl. To FBI postavilo před problém: pro úspěšné odsouzení v daných případech by musela zveřejnit, jaké kroky konkrétně podnikla. FBI a americké ministerstvo spravedlnosti nakonec tento krok odmítly a státní žalobci obvinění stahují.

FBI totiž vyvinula vlastní malware, který využíval Tor a dokázal IP adresy vypátrat. A pokud by FBI musela podrobnosti zveřejnit, zřejmě by musela odhalit i to, jak přesně tato „networks investigative technique“ (NIT) funguje.

Případ podrobněji rozebírá Ars Technica. Kolem případu bude zřejmě ještě spousta debat. Mohlo by jít o precedens, který bude mít vliv na další podobná vyšetřování.

Neautorizovaný přístup
FBI a další složky z oblasti vymáhání práva pro svoji práci v kybernetickém pátrání používají více zdrojů informací a postupů. „Je úplně běžné, že FBI posíláme data. V drtivé většině případů je to jednosměrný kanál. Měli jsme pouze pár případů, kdy nám také FBI poskytla data a sami nám chtěli pomoci,“ říká pro Lupu technický ředitel společnosti ESET Juraj Malcho.

TIP: Zaplať, nebo nedostaneš data. Příběh o tom, jak lehce vám může zatopit ransomware

FBI od soukromých kyberbezpečnostních firem získává informace a vodítka. Tyto zdroje pak využívá k tomu, aby se dostala například ke kontrolním serverům botnetů (CNC), IP adresám a podobně. Pokračuje tam, kde pravomoci soukromých firem končí.

Problémem může být to, když FBI získá důkazy způsobem, který nemusí být zcela legální. Nabourání se přímo do problematických serverů je stále neautorizovaný přístup, jde o formu aktivního hackování. FBI proto od firem převezme informace a snaží se s nimi pracovat tak, aby následně soudní znalci neměli problém.

Ani samotné kyberbezpečnostní firmy se ne vždy pokouší aktivně do serverů dostat. „My aktivně CNC servery nehackujeme. To už je na pomezí, jde o určitý neautorizovaný přístup,“ uvádí Malcho. „Jsme soukromá firma a máme jisté limity v tom, co můžeme dělat. Když se k někomu dopátráme, ozveme se policii.“

Sondování na darknetu
Jsou ale společnosti, kteří se nebojí vydat hlouběji. Nemají s tím legislativní či morální problém. Policie spolupracuje i s takovými firmami.

„Pokud by se někdo naboural do CNC serveru a získal kompromitující materiál, po kterém FBI jde nejvíc, typicky dětské porno, pracuje se s tím, že se tak dělo v dobré víře. Je to také o reputaci,“ doplňuje Malcho.

„Už dříve jsem na konferenci narazil na člověka z FBI, který tuto problematiku řeší. Říkal, že když narazíme na dětské porno, máme od toho okamžitě dát ruce pryč, protože oni to sledují a je jim jedno, kdo jsme. Když chceme dát vodítko, máme ho poslat, ale nezkoumat dále.“

Firmy, které se vydávají i za hranice práce běžných kyberbezpečnostních společností, se aktivně snaží působit a dostávat také na fóra na darknetu, kde se domlouvají obchody, nabízí přístupy, nelegální zboží a tak dále.

Dostat se tam je ale těžké, často je k tomu potřeba reputace v kyberkriminální komunitě, výměna informací, dokazování aktivit. „Pohybujeme se jen na povrchu. Jde spíše o individuální průzkum,“ popisuje nový technický šéf ESETu. „Sledování fór vyžaduje značné množství času, a i z toho důvodu se obracíme na partnery, kteří se na něco takového specializují. Ale nevěřím, že by partneři měli kontakty až někam úplně hluboko,“ dodává.

Nedá se moc čekat, že by si vlastníci či nájemci CNC a dalších serverů na případnou protiprávnost útoků stěžovali. Jen těžko budou někoho žalovat, že jim naboural server s nelegálním obsahem. Serverové kapacity se pronajímají často rovněž na darknetu. Jde o specializované služby, které využívají jurisdikce daných zemí, kde to nikoho netrápí.

CIA umí prolomit Linux, televize, routery i telefony, ukazuje WikiLeaks
8.3.2017 Root.cz BigBrother

Server WikiLeaks zveřejnil první část dokumentů, které unikly americké CIA. Podle nich má organizace nástroje pro útok na celou řadu platforem i zařízení. Kauza má šanci stát se případem Snowden 2.0.
Server WikiLeaks otevřel projekt Vault 7 a uvolnil poklad v podobě první části dokumentů uniklých americké CIA. Balík 8378 dokumentů byl zveřejněn pomocí BitTorrentu a zašifrovaného archivu. Můžete si stáhnout soubor torrent, heslo k 7-Zip archivu je:

SplinterItIntoAThousandPiecesAndScatterItIntoTheWinds

Informace měly být původně zveřejněny v online tiskové konferenci, kterou měl vést Julian Assange. Ukázalo se ale, že jeho účty na Facebooku a Periscope jsou pod útokem. Proto bylo heslo k archivu prozrazeno dříve, aby nebyly zveřejňované dokumenty ohroženy.

Follow
WikiLeaks ✔ @wikileaks
Press conf under attack: Facebook+Periscope video used by WikiLeaks' editor Julian Assange have been attacked. Activating contingency (1/2)
2:03 PM - 7 Mar 2017
3,106 3,106 Retweets 3,579 3,579 likes
Dokumenty ukazují softwarové zbraně, které je schopna CIA nasadit proti nejrůznějším platformám a technologiím. Agentura má k dispozici exploity na iPhone, Android, Windows, Linux, Mikrotik, Solaris, macOS a dokonce některé televize Samsung. U nich je možné na dálku zapnout mikrofon a použít je k odposlechu okolí.

WikiLeaks popisuje, jak oddělení s oficiálním názvem Center for Cyber Intelligence (CCI) produkuje tisíce útočných nástrojů s nejrůznějším určením. Tahle neobyčejná sbírka, která obsahuje stovky milionů řádek kódu, dává držiteli všechny útočné možnosti CIA, píše server v tiskové zprávě.

Informace o databázi byly předem zveřejněny na Twitteru, poté, co organizace zjistila, že je pod útokem, přešla na plán B a podrobnosti zveřejnila dříve.

Follow
WikiLeaks ✔ @wikileaks
RELEASE: CIA Vault 7 Year Zero decryption passphrase:

SplinterItIntoAThousandPiecesAndScatterItIntoTheWinds
2:06 PM - 7 Mar 2017
5,360 5,360 Retweets 6,332 6,332 likes
Není překvapením, že se WikiLeaks do CIA opřela. Podle všeho jde o organizaci s velkou mocí a malou možností kontroly. Hackeři z CIA vytvořili více kódu, než kolik ho k provozu potřebuje Facebook. CIA tak fakticky vytvořila ‚vlastní NSA‘ s ještě menší zodpovědností a bez odpovědi na otázku, proč je obrovský rozpočet utrácen na duplikaci kapacit konkurenční agentury.

Organizace slibuje, že veškeré dokumenty důkladně zkontroluje, aby nezveřejňovala „nabité zbraně“. Některé informace také byly anonymizovány. Edward Snowden se na svém Twitteru k celé věci vyjadřuje a podle jeho slov dokumenty vypadají věrohodně. Názvy uvedené v textech jsou pravé a znají je jen lidé zevnitř.

Follow
Edward Snowden ✔ @Snowden
Still working through the publication, but what @Wikileaks has here is genuinely a big deal. Looks authentic.
5:53 PM - 7 Mar 2017
8,683 8,683 Retweets 11,939 11,939 likes
Dokumenty mimo jiné ukazují, že CIA spolupracovala s britskou MI5 na projektu Weeping Angel, který se zaměřoval na televize značky Samsung, u kterých je možné na dálku ovládat mikrofon. Organizacím se také podařilo získat kontrolu nad moderními automobily či kamiony. Existuje speciální oddělení zaměřující se na získání přístupu a ovládání mobilních zařízení iPhone a iPad. To dohromady se zero-day exploity pro Android umožňuje CIA obejít šifrování aplikací WhatsApp, Signal, Telegram, Wiebo, Confide a Cloackman hacknutím ‚chytrých‘ telefonů a sběrem audia a zpráv ještě před zašifrováním. Ve skutečnosti tak nejsou ohroženy šifrovací algoritmy a jmenovat konkrétní „prolomenou“ aplikaci je zavádějící, jak upozorňují lidé z Telegramu.

Analýza dokumentů upozornila na další zajímavé možnosti týkající se mobilních telefonů. Na některých přístrojích (jmenován byl Samsung Galaxy S2) je možné čipset přepnout do monitorovacího režimu a odposlouchávat provoz na okolních Wi-Fi sítích. Tato vlastnost je ve firmware za normálních okolností blokována, ale CIA se podařilo ochranu obejít díky reverznímu inženýrství – Broadcom tedy pravděpodobně přímo nepomáhal. Zajímavé také je, že exploit se do telefonu dostává přes hudební přehrávač Apollo. Není ale jasné, zda jde o záměr tvůrce (který pracoval pro „vládní výzkumnou laboratoř“) nebo o další zneužití chyby v aplikaci.

Mezi dokumenty se nachází například také návod na úpravu instalačních obrazů Windows 8, která umožní obejít nutnost zadání instalačního klíče. Po úpravě (která se podle příkazů provádí v Linuxu) přibude v instalačním dialogu tlačítko „Skip“.

Při vývoji útočných nástrojů se používají kusy kódu pocházející z malware, který se volně šíří po internetu. Stejně tak byly některé postupy ukradeny konkurenčním organizacím jako britské GCHQ a americké NSA. Vývojáři mají k dispozici nástroje pro vytvoření útočného malware pro konkrétní situace. Mají se prý zaměřit na vývoj malých a dobře zacílených „řešení“ než na vývoj velkých nástrojů s mnoha funkcemi.

Mezi další odhalení patří to, že americký konzulát ve Frankfurtu je ve skutečnosti skrytá základna pro hackery CIA, kteří odtud pokrývají Evropu, střední Východ a Afriku.

Zajímavé je také to, jak se CIA jistila proti postihu: neoznačila své útočné systémy jako tajné. V opačném případě by totiž nemohla kód používat na internetu, tedy jej nahrávat na cizí počítače a zařízení. Existují totiž zákony, které brání takovému veřejnému použití utajených nástrojů a informací. Podle WikiLeaks navíc nemá vláda právo prosazovat zde autorské právo, brání jí v tom Ústava Spojených států amerických. Znamená to, že kdokoliv může takový neutajený materiál dále šířit bez obavy z postihu.

Další informace se budou určitě objevovat postupně, část dokumentů už byla prostudována, ale většina zatím ne. Internetová komunita už se pustila do čtení, budeme si muset počkat na další výsledky.

Server rakouského ministerstva opět napadli turečtí hackeři

8.3.2017 Novinky/Bezpečnost BigBrother
Server rakouského ministerstva zahraničí v pondělí znovu napadli turečtí hackeři. S odvoláním na mluvčího resortu o tom ve středu informoval deník Die Presse. Internetová stránka ministerstva byla kvůli útoku několik minut nedostupná, ale k úniku dat podle úřadu nedošlo.
Od loňského listopadu jde o třetí podobný incident, sdělil mluvčí resortu Thomas Schnöll. Zároveň dodal, že ministr Sebastian Kurz se útoky nenechá odradit od své politiky vůči Turecku.

Vztahy Vídně a Ankary jsou dlouhodobě napjaté. V Rakousku žijí stovky tisíc Turků, z nichž mnozí mají dvojí občanství. Zástupci Ankary mezi nimi hledají podporu pro navržené změny ústavy, které by výrazně posílily pravomoci tureckého prezidenta Recepa Tayyipa Erdogana.

V souvislosti s těmito změnami vypsala Ankara na duben referendum. Rakouská vláda žádala zmrazení přístupových jednání mezi Evropskou unií a Tureckem a Kurz v pondělí řekl, že očekává, že turečtí politici nebudou v Rakousku vystupovat za účelem agitace v tureckém předvolebním boji.

V Rakousku se v posledních měsících stalo terčem hackerů letiště, ministerstva, centrální banka a parlament. K útokům se přihlásila anonymní turecká skupina, která jako motiv uvedla "vůči Turecku nepřátelské" chování Rakouska. Na konci února napsal list Der Kurier, že podle rakouské rozvědky má napadení serverů na svědomí turecký nacionalista žijící v USA.

Wikileaks zveřejnilo údajné dokumenty CIA, které popisují hackerské operace
8.3.2017 Živě.cz

Uskupení Wikileaks o sobě dává po pár měsících opět hlasitě vědět, do světa totiž vypustilo dokumenty, které údajně popisují nejrůznější kybernetické operace americké CIA včetně průniků do mobilních operačních systémů, Windows i chytrých televizorů nebo třeba využívání nejrůznějších odposlouchávacích USB zařízení a keyloggerů.

Pakliže jsou dokumenty pravé, bude se pravděpodobně jednat o přinejmenším stejně závažný únik dat jako v případě NSA a Edwarda Snowdena. V tomto případě ale vypadá prezentace Wikileaks trošku jinak. Namísto nejrůznějších powerpointových prezentací se totiž jedná spíše o detailní postupy připomínající jakousi Wikipedii pro tajné operace. Editoři Wikileaks zároveň anonymizovali jména a některé další citlivé a konkrétní údaje o operacích.

V každém případě, letmý náhled do zveřejněných dokumentů, pakliže jsou pravé, dává tušit, že popisují nejrůznější základní postupy pro kybernetické útoky a penetrační testy, které se třeba od těch, které popisuje dokumentace linuxové bezpečnostní distribuce Kali Linux liší především v tom, že mají exotické názvy jako třeba SnowOwl, HarpyEagle nebo GreenPaket.

Dočtete se zde jak o průnicích s využitím nejrůznějších nástrojů, které připomínají mezi hackery dobře známý Metasploit a jemu podobné, tak o zneužití třeba rootu na platformě Android.

Sama CIA podobné úniky nekomentuje, aktuální kauza tedy bude vyžadovat důkladnou analýzu.

Podle nejnovější zprávy zaznamenal ransomware 752procentní nárůst

7.3.2017 SecurityWorld Viry
Trend Micro vydalo svoji nejnovější výroční bezpečnostní zprávu 2016 Security Roundup: A Record Year for Enterprise Threats, která potvrzuje, že rok 2016 byl rokem online vydírání. Kybernetické hrozby dosáhly loni svého historického maxima, zejména pak díky rostoucí oblibě ransomwaru i útoků využívajících firemní emaily (Business Email Compromise, BEC).

Nárůst nových rodin ransomwaru o 752 procent způsobil firmám po celém světě ztrátu ve výši 1 miliardy amerických dolarů. Společnost Trend Micro spolu s iniciativou Zero Day Initiative (ZDI) odhalily v průběhu roku 2016 celkem 765 zranitelností. Hned 678 z nich bylo zjištěno prostřednictvím bug bounty programu iniciativy ZDI – takto odhalená rizika ZDI prověřuje a následně o nich informuje příslušné výrobce.

Ve srovnání s rokem 2015 zaznamenala nárůst z pohledu zranitelností objevených společností Trend Micro a iniciativy ZDI značka Apple (145 procent), zatímco Microsoft se může pochlubit o 47 procent nižším počtem potenciálně nebezpečných chyb. Navíc došlo i k poklesu využívání nově objevených zranitelností v exploit kitech, a to o 71 procent. Částečně to bylo způsobené zatčením osob stojících za kitem Angler v červnu 2016.

„Spolu s tím, jak se hrozby diverzifikují a jsou stále sofistikovanější, přesunul se zájem kybernetických zločinců od jednotlivců tam, kde jsou peníze – tedy k podnikům,“ řekl Ed Cabrera, ředitel počítačové bezpečnosti společnosti Trend Micro. „Po celý rok 2016 jsme byli svědky vydírání firem i organizací za účelem zisku a neočekáváme, že by došlo ke zpomalení tohoto trendu. Náš průzkum si klade za cíl poskytnout podnikům informace o taktikách, které útočníci aktivně používají ke kompromitaci jejich dat, a také jim pomoci přijmout opatření umožňující zůstat krok před kybernetickými zločinci a chránit se před potenciálními útoky.“

Globální služba společnosti Trend Micro – Smart Protection Network – zablokovala během celého roku 2016 více než 81 miliard hrozeb, tedy ve srovnání s rokem 2015 o celých 56 procent více. Ve druhé polovině roku 2016 přitom bylo blokováno více než 3 000 útoků za sekundu. Během celého loňského roku bylo hned 75 miliard zablokovaných pokusů založeno na elektronické poště a takto vysoká čísla potvrzují, že emaily zůstávají pro počítačové zločince hlavní vstupní branou do infrastruktury nebo počítače oběti.

Česká republika se na celkovém počtu hrozeb podílela pouhými 0,17 procenty a vůči regionu EMEA pak 0,70 procenty. Obě hodnoty jsou horší například ve srovnání se Slovenskem (0,06 % a 0,23 %) a lepší například vůči Polsku (1,02 % a 4,08 %). Nejrozšířenějším detekovaným malwarem v České republice byl v roce 2016 Nemucod a například nejčastěji blokovanou doménou militarismreptilesoapsud.com.

Mezi hlavní zjištění pro rok 2016 patří:

Růst ransomwaru – v průběhu 12 měsíců se počet rodin ransomwaru zvýšil z 29 na 247. Jednou z hlavních příčin vysokého růstu je ziskovost tohoto typu hrozby. Ačkoli jednotlivci i organizace jsou před placením výkupného varováni, počítačoví zločinci si i tak jen za loňský rok přišli přibližně na 1 miliardu dolarů.
Vzestup útoků a podvodů prostřednictvím firemních emailů (BEC) – stejně jako v případě ransomwaru se ukázalo, že počítačové zločiny založené na hrozbách typu BEC jsou neuvěřitelně lukrativní záležitostí. Následkem vysoké obliby přišly firmy po celém světě v průměru o 14 000 dolarů. Tento typ hrozeb je navíc důkazem efektivity technik založených na sociálním inženýrství v případě útoků cílených na podnikovou sféru.
Různorodost zranitelností – Trend Micro spolu s iniciativou Zero Day Initiative objevily v roce 2016 rekordní počet zranitelností, z nichž byla většina nalezena v Adobe Acrobat Reader DC a v nástroji WebAccess společnosti Advantech. Obě aplikace jsou široce využívány v podnikových informačních architekturách a systémech SCADA (Supervisory Control and Data Acquisition).
Ústup exploit kitu ze slávy – po zatčení 50 počítačových zločinců se dříve dominantní exploit kit Angler pomalu vytrácí. A přestože netrvalo příliš dlouho a uvolněné místo začaly zaplňovat nové exploit kity, počet zranitelností obsažených v exploit kitech klesl do konce roku 2016 o 71 procent.
Bankovní trojské koně a malware zaměřený na bankomaty – počítačoví zločinci využívají ATM malware, kopírování informací z platebních karet i bankovní trojské koně. Nicméně útoky se během posledních let diversifikují, útočníci získávají osobní identifikační a přístupové údaje využitelné i v rámci průniků do firemních sítí.
Masivní útoky využívající malware Mirai – v říjnu 2016 využili útočníci špatného zabezpečení zařízení ze světa internetu věcí a pomocí přibližně 100 000 těchto zařízení provedli distribuovaný DoS útok (Distributed Denial-of-Service, DDoS) na vybrané služby, jako je Twitter, Reddit nebo Spotify, které tak byly několik hodin nedostupné.
Historický únik dat v Yahoo – v případě společnosti Yahoo sice došlo k historicky největšímu úniku dat, který se týkal jedné miliardy uživatelských účtů, již v srpnu 2013, nicméně incident byl zveřejněný až tři měsíce po dalším úniku v září 2016 týkajícím se 500 miliónů účtů. Tyto události vzbudily diskuzi o zveřejňování informací a odpovědnosti, kterou společnosti mají ke svým zákazníkům z pohledu bezpečnosti uživatelských dat.

Vyděračský ransomware více cílí na Android, inspirují je úspěšné útoky na počítače

5.3.2017 Novinky/Bezpečnost Viry
Mobilní zařízení s operačním systémem Android jsou častějším terčem útoků vyděračského škodlivého kódu. Loni těchto útoků meziročně přibylo o 50 procent, zjistila společnost ESET.
Různé škodlivé kódy loni útočily na Android více než v roce 2015, nárůst počtu případů ransomware byl ale nejvýraznější.

„I když jsme celkově zaznamenali nárůst detekcí malwaru na Androidu přibližně o 20 procent, útoky ransomware na tuto platformu rostou mnohem rychleji. Nejvyšší nárůst zaznamenal ESET v první polovině roku 2016, rozhodně bychom si ale nedovolili říci, že tato hrozba v dohledné době pomine,“ říká technologický ředitel společnosti ESET Juraj Malcho.

Ransomware je typ škodlivého kódu, který různými způsoby zablokuje zařízení a za jeho odblokování žádá od oběti výkupné. Loni šlo o historicky nejvyšší počet pokusů o infikování zařízení s Androidem tímto způsobem. ESET, který má tato data k dispozici díky svojí technologii LiveGrid, svá zjištění prezentoval na veletrhu Mobile World Congress v Barceloně.

Je to globální hrozba, varuje expert
Autoři lockscreenů (škodlivý kód, který uzamkne displej mobilního zařízení) a crypto-ransomware (škodlivý kód, který zašifruje obsah zařízení) využili uplynulý rok k tomu, aby zkopírovali techniky šíření, které používají druhy malware útočící na počítače.

Vyvinuli ale také sofistikované metody, které se zaměřují na technologie specifické pro operační systém Android. Kyberzločinci se zároveň zaměřili na to, aby nevyčnívali tím, že škodlivý kód šifrují a nebo ho skrývají hlouběji do infikovaných aplikací.

V průběhu roku 2015 společnost ESET zaznamenala, že zájem tvůrců ransomware, které cílí na Android, se přesunul z východní Evropy do USA a zaměřuje se na uživatele mobilních telefonů. Nicméně v loňském roce se ukázalo, že útočníci stále více míří i na asijský trh. „Určitě můžeme konstatovat, že se z ransomware na Androidu stala plnohodnotná globální hrozba,“ dodává Juraj Malcho.

Jak bezpečné jsou virtualizační kontejnery?

5.3.2017 SecurityWorld Bezpečnost
Jak organizace začínají používat virtualizační kontejnery pro zlepšení dodávek a agility aplikací, zabezpečení této přicházející technologie logicky získává mnohem více pozornosti.

Dodavatelé kontejnerových řešení – Docker, Red Hat a další – se intenzivně snaží uklidnit a přesvědčit trh o bezpečnosti kontejnerů. V srpnu loňského roku představil Docker funkci Docker Content Trust jako součást vydání verze Docker 1.8.

Využívá šifrování k zabezpečení kódu a verzí softwaru běžících v softwarových infrastrukturách uživatelů Dockeru. Záměrem je chránit uživatele Dockeru před nebezpečnými zadními vrátky obsaženými v bitových kopiích sdílených aplikací a dalšími potenciálními bezpečnostními hrozbami.

Docker Content Trust se zaměřuje na integritu dodaného obsahu kontejnerů Docker. V konečném důsledku jde o kryptografické podepisování nasazovaných bitových kopií Dockeru, tedy o přístup využívaný také při vývoji linuxového jádra a mnoha vývojáři a OEM výrobci vestavěných systémů, aby se zajistilo, že může dojít ke spuštění jen podepsaných bitových kopií (například v kódu Samsung Knox na platformě Android).

To je však jen jeden aspekt bezpečnosti kontejnerů. Existuje také výzva, jak zajistit, že je kód tvořící celou bitovou kopii bez zranitelností. Pokud organizace neudržují sady softwaru a portfolio aplikací tak, aby neobsahovaly známé zneužitelné verze kódu open source, jsou taková opatření jen částečným řešením.

Bez hygieny open source totiž tyto nástroje zajistí jen to, že bitové kopie Dockeru obsahují přesně stejné bity, jaké tam původně vložili vývojáři, včetně všech zranitelností přítomných v open source komponentách.

Holističtější přístup

Je potřeba, aby k výběru technologií open source docházelo informovaným způsobem. Uživatelé i integrátoři open source kódu by měli být opatrní a měli by se starat o průběžnou údržbu kódu. Je nutné znát svůj kód, protože nelze spravovat něco, co nevidíte.

Přehled o kódu uvnitř kontejnerů je kritickým prvkem bezpečnosti kontejnerů, dokonce hned vedle bezpečnosti samotných kontejnerů. Neustále totiž dochází k objevování nových zranitelností, které ovlivňují starší verze komponent open source.

Z tohoto důvodu je informovanost o nepřítomnosti zranitelností v době úvodního sestavení a nasazení nutná, ale zdaleka nestačí.

Zabezpečení obsahu kontejnerů je srovnatelné s libovolnou jinou záležitostí zabezpečení sady softwaru. Trik ale spočívá v tom, kdy a jak získat viditelnost uvnitř kontejneru během vývoje a po nasazení.

Bezpečnostní riziko, které představuje kontejner, závisí na citlivosti dat dostupných přes něj a na místě jeho nasazení, například za firewallem nebo v místě dostupném z internetu.

Weby dostupné z internetu a cloudové aplikace jsou primárními terči zločinců a samozřejmě představují nejvyšší potenciální expozici. Veřejně dostupný útočný prostor z nich dělá cíl řady útoků včetně skriptování mezi weby (XSS), metody injektáže SQL (SQL injection) a útoku DoS (odepření služby).

Vzhledem k rozšířenosti prostředí open source a dalších komponent cloudových a webových aplikací přitom dochází k významnému přínosu open source hygieny pro řešení zranitelností těchto komponent.

Nutná hygiena open source

S nárůstem používání softwaru open source v celém podniku a se současnými ostře sledovanými zranitelnostmi vyvolávajícími alarmy se stala hygiena open source nezbytnou součástí efektivní strategie zabezpečení aplikací.

Stejně jako tělesná hygiena zahrnuje neutralizaci zdrojů infekce, také hygiena open source s sebou nese nutnost udržovat sady softwaru a portfolio aplikací bez známých zneužitelných verzí kódu open source. Je to pro kontejnery stejně důležité jako pro každý jiný prvek softwarových sad.

Zranitelnosti se ve všech typech softwaru nevyhnutelně objevují a open source není výjimkou. Detekce a sanace zranitelností je v open source, jako v případě vysoce závažných zranitelností typu Heartbleed a Freak, se stále více považuje za nezbytnou podmínku bezpečnosti a klíčovou součást silné strategie zabezpečení aplikací.

Pro mnoho organizací je dnes zabezpečení aplikací svázané více než dříve se zabezpečením kontejnerů. Dobrou zprávou ale je, že pro firmy vyvíjející komplexní bezpečnostní strategie open source jsou dnes k dispozici inovativní nástroje pro získání určitého náskoku.

Tyto nástroje dokážou katalogizovat veškerý kód open source v portfoliích softwaru z celých platforem, jako jsou Linux, Android a Hadoop, jednotlivých komponent kódu a dále detailně až na úroveň částí kódu vložených do interně vyvíjeného kódu aplikací.

Tyto skenovací nástroje použité na vyžádání nebo integrované do pracovních postupů vývoje softwaru poskytují firmám důležité informace, na základě kterých je možné reagovat, aniž dojde ke zpomalení vývoje nebo prodloužení doby uvedení na trh.

Je velmi důležité vyvinout robustní postupy pro zjištění následujících skutečností:

Jaký přesně open source software je součástí aplikace nebo jejího nasazení?
Kde se tento open source software nachází ve stromech sestavení a architekturách systémů?
Má kód nějaké známé zranitelnosti zabezpečení?
Vytvoření přesného profilu rizik open source.

Zpomalí se přijímání kontejnerů?

Velké podniky dnes kontejnery implementují pro jejich prokázané výhody: vylepšenou škálovatelnost aplikací, méně chyb nasazení, kratší dobu uvedení na trh a zjednodušenou správu aplikací.

Stejně jako organizace během let změnily svůj pohled na open source a už ho nevnímají jako kuriozitu, ale jako podnikatelskou nezbytnost, vypadá to, že kontejnery dosáhly podobného bodu zvratu.

Počet hackerských útoků na Rusko loni vzrostl na trojnásobek

3.3.2017 Novinky/Bezpečnost Počítačový útok
Počet pokusů o kybernetický útok na ruské informační systémy loni vzrostl na 52,5 miliónu, meziročně je to více než trojnásobek. Na konferenci v jihouralském Kurganu to v pátek řekl šéf ruské Bezpečnostní rady Nikolaj Patrušev.
"V roce 2015 šlo pouze o 14,4 miliónu případů," řekl Patrušev. Upozornil přitom, že systém zabezpečení není schopen bránit se většině existujících hrozeb.

Cílem hackerů je narušit fungování ruského internetu nebo snaha získat utajované informace, mimo jiné i pomocí útočných virů, řekl Patrušev. Účinnost systému zabezpečení proti kybernetickým útokům snižuje i neoprávněné připojení k internetu, nízká kvalifikace uživatelů a užívání zahraničních informačních technologií.

Nebezpečnou chybu má Internet Explorer i Edge. Záplata chybí

2.3.2017 Novinky/Bezpečnost Zranitelnosti
Národní bezpečnostní tým CSIRT.CZ varoval před chybou, která se týká webových prohlížečů Internet Explorer a Edge. Ta představuje pro uživatele velké riziko především proto, že zatím není k dispozici oprava. Útočníci ji mohou poměrně snadno zneužít.
Trhlina byla objevena v rámci programu Project Zero od společnosti Google. V rámci něj vývojáři pravidelně upozorňují na chyby, které jsou pro uživatele velmi nebezpečné.

Paradoxně tímto krokem ale počítačoví piráti získali návod, jak mohou zranitelnost zneužít. „Google Project Zero zveřejnil zranitelnost v prohlížečích Edge a Internet Explorer včetně části kódu umožňující ověřit existenci této chyby,“ řekl Pavel Bašta, bezpečnostní analytik CSIRT.CZ, který je provozován sdružením CZ.NIC.

Mohou spustit libovolný kód
„Učinil tak po uplynutí standardní lhůty 90 dní, během níž má výrobce čas na vytvoření záplaty. Zranitelnost má označení CVE-2017-0037 a jejím zneužitím lze způsobit chybu v prohlížeči vedoucí k jeho pádu,“ konstatoval Bašta.

Podle něj nicméně může mít zranitelnost daleko větší dopad na uživatele, než by se mohlo na první pohled zdát. „V detailech zranitelnosti se uvádí i možnost spuštění libovolného kódu,“ zdůraznil bezpečnostní expert.

To jinými slovy znamená, že chybu mohou počítačoví piráti zneužít k tomu, aby propašovali prakticky libovolného záškodníka na cizí počítač. S jeho pomocí pak budou schopni přistupovat k uloženým datům, odposlouchávat internetovou komunikaci či počítač úplně zotročit.

Kdy bude záplata? Zatím se neví...
Podobné kritické chyby se u jednotlivých programů objevují vcelku pravidelně – a to nejen u těch od amerického softwarového gigantu. Zpravidla však o nich jednotlivé společnosti informují až ve chvíli, kdy je pro ně k dispozici odpovídající záplata. Tedy až poté, kdy se mohou uživatelé bránit.

To však v tuto chvíli v případě zranitelnosti prohlížečů Edge a Internet Explorer neplatí. Microsoft zatím neinformoval ani o tom, kdy by měla vyjít aktualizace opravující trhlinu.

Z bezpečnostních důvodů je tak aktuálně vhodnější používat k procházení webových stránek nějaký konkurenční prohlížeč.

WordPress měl kritickou chybu, přes milion webů napadli hackeři

2.3.2017 Novinky/Bezpečnost Zranitelnosti
Provozovatel populárního redakčního systému sice obratem vydal opravu, ne všichni jeho uživatelé ale mají nastaveny automatické aktualizace.
Více než milión internetových stránek, které využívají publikační systém WordPress, se stalo terčem hackerských útoků poté, co se začátkem února v tomto systému objevila kritická chyba.

Provozovatel platformy sice obratem vydal novou verzi 4.7.2, mnoho uživatelů však nemá zapnuty automatické aktualizace systému a bez ručního schválení bezpečnostní záplaty jsou jejich weby nadále zranitelné a snadno napadnutelné.

„Dva dny po vydání opravy jsme si všimli výrazného nárůstu útoků,“ řekl serveru Infosecurity-magazine.com Mark Maunderovi, ředitel společnosti WordFence, dodavatele stejnojmenného bezpečnostního pluginu pro WordPress. „Útoky pokračovaly a 6. února jsme zaznamenali novou variantu útoku, která obcházela naše bezpečnostní řešení a využívala chyb ve firewallu jiných dodavatelů,“ dodal.

Hackeři mezi sebou soutěžili, kolik webů „položí“
Kritická chyba aktivovala neobvyklé množství hackerů, kteří mezi sebou začali soutěžit, kolik internetových stránek fungujících na WordPressu poškodí. „Za pouhých 48 hodin jsme zaznamenali přes 800 tisíc útoků využívajících této konkrétní zranitelnosti WordPressu,“ uvedl šéf společnosti WordFence.

Někteří hackeři dokonce napadali již poškozené stránky a měnili je ke svému obrazu, aby zvýšili počet úspěšných zásahů. WordFence zaznamenal případ jediného hackera s přezdívkou MuhmadEmad, který úspěšně zaútočil na 350 tisíc webů využívajících WordPress.

„Jde o jednu z nejhorších zranitelností WordPressu v historii,“ konstatuje šéf WordFence. „Intenzivně pracujeme na tom, abychom pomohli uživatelům této platformy, ale pokud si neaktualizují WordPress na poslední verzi a nevyužívají dostatečně silný firewall, nedokážeme je ochránit,“ dodal.

WordPress je mezi hackery všeobecně oblíbený, protože má velmi široké uplatnění. Ze všech používaných systémů pro správu obsahu na internetu má největší podíl na trhu, celosvětově na něm funguje šest z deseti webů.

WordPress je oblíbeným cílem útoků
Ruku v ruce s oblíbeností této publikační platformy ale roste i zájem hackerů. Podle loňského průzkumu společnosti Sucuri, který se zaměřil na infikované stránky na internetu, byly tři čtvrtiny z více než 11 tisíc analyzovaných webů napadeny díky chybě ve WordPressu.

„Základním bezpečnostním pravidlem při používání publikačních systémů a systémů pro správu obsahu je jejich pravidelná a pokud možno bezodkladná aktualizace. Rozhodně se vyplatí mít zapnutou automatickou aktualizaci,“ říká Miroslav Dvořák, technický ředitel společnosti ESET.

Uživatelé by podle Dvořáka měli používat i kvalitní a prověřená bezpečnostní řešení, která je ochrání před škodlivými kódy. „Spoléhat na to, že jednou za čas ručně zaktualizujete systém, protože vám v něm už delší dobu svítí červené upozornění, že používáte zastaralé verze, je opravdu krátkozraké,“ dodává Dvořák.

Mobilní malware raketově roste, nejvíc je reklamních trojanů

2.3.2017 Root.cz Viry
Kaspersky Lab vydal podrobnou zprávu o stavu malware na mobilních telefonech. Z ní plyne, že útoků rapidně přibývá. Za rok proběhne tolik útoků, co dřív za pět let. Společnost Kaspersky Lab zveřejnila zprávu týkající se malware pro mobilní platformy. Z ní plyne, že v roce 2016 došlo k téměř trojnásobnému nárůstu detekcí mobilního malware proti roku předchozímu. Celkově došlo k 8,5 milionům škodlivých instalací, které byly identifikovány. Toto množství odhaleného malwaru za pouhý jeden rok odpovídá 50 % množství malwaru odhaleného mezi lety 2004 a 2015 – tedy za 11 let.

Nejvíce jsou zastoupeny reklamní trojské koně. Z 20 takovýchto programů je 16 trojanů, přičemž v roce 2015 jich bylo pouze 12. Nárůst je dobře patrný ze statistik, které Kaspersky Lab z mobilních zařízení získává:

Téměř 40 milionů útoků mobilním malwarem, přičemž přes čtyři miliony uživatelů používající zařízení s Androidem bylo ochráněno (oproti 2,6 milionům v roce 2015)
Přes 260 000 detekcí instalačních balíčků mobilních ransomwarových trojských koní (8,5násobný meziroční nárůst)
Více než 153 000 unikátních uživatelů napadených mobilním ransomwarem (v porovnání s rokem 2015 se jedná o 1,6násobný nárůst)
Přes 128 000 detekovaných mobilních bankovních trojanů (skoro 1,6násobný nárůst oproti roku 2015)

Druhy hrozeb v letech 2015 a 2016
Reklamní trojan: byl váš přístroj už napaden?
Zákeřné je, že trojany po úspěšném spuštění získají rootovská oprávnění a získají tak plnou kontrolu nad zařízením. To jim umožní nejen agresivně zobrazovat reklamu na infikovaných zařízeních, ale jsou též schopni skrytě instalovat jiné aplikace. Útočníci se také snaží přímo vydělat peníze tím, že pomocí Google Play nakupují aplikace.

Díky ovládnutí zařízení může trojan upravovat oddíl s operačním systémem, takže je velmi složité jej ze zařízení odstranit. Někteří reklamní trojští koně jsou dokonce schopni napadnout zálohovací systém, čímž prakticky znemožní vyřešení problému uvedením zařízení do továrního nastavení.

Hlavním problémem jsou v tomto případě bezpečnostní chyby v Android, ale zpráva upozorňuje na to, že mnoho je jich opraveno, ale uživatelé svá zařízení neaktualizují. V mnoha případech byli trojští koně schopni zneužít již záplatované zranitelnosti, protože si uživatelé nestáhli nejnovější aktualizace.

Bohužel se tento druh škodlivého softwaru opakovaně objevil v obchodě Google Play. Například maskovaný jako průvodce pro hru Pokemon GO. V tomto konkrétním případě byla aplikace stažena více než půl milionem uživatelů, přičemž je detekována jako Trojan.AndroidOS.Ztorg.ad.

Trojan.AndroidOS.Ztorg.ad vypadá jako průvodce hrou Pokemon GO
Ransomware a bankovní trojany
Vydírání se dnes netýká jen serverů ve firmách, ale čím dál častěji také mobilních telefonů. Moderní ransomwary překryjí zprávou vyžadující zaplacení výkupného otevřená okna, čímž znemožní používání celého zařízení. Tento princip využil nejoblíbenější ransomwarový program v roce 2016 – Trojan-Ransom.AndroidOS.Fusob.

Tento trojan nejčastěji útočí v Německu, Spojených státech a Británii, přičemž se cíleně vyhýbá státům bývalého Sovětského svazu a některým sousedícím zemím. Po svém spuštění provede trojan kontrolu jazyka zařízení a objeví-li nějaké neshody, může svou operaci zastavit. Útočníci stojící za tímto trojanem většinou pro odblokování přístroje požadují výkupné ve výši 100 až 200 dolarů. Toto výkupné musí být zaplaceno pomocí kódů předplacených karet pro iTunes.

Výrazně přibývá také bankovních trojanů. Za rok 2016 bylo mobilními bankovními trojany napadeno přes 305 000 uživatelů ve 164 zemích, předešlý rok šlo o 56 000 uživatelů ve 137 zemích. Mezi tři státy s nejvyšším podílem napadených uživatelů mobilními bankovními trojany patří Rusko, Austrálie a Ukrajina.

Trojan.AndroidOS.Ztorg.ad převlečený za přehrávač videa
Mobilní bankovní trojští koně se v průběhu roku vyvíjeli, mnoho z nich dokázalo obejít nové bezpečnostní mechanismy operačního systému Android a mohli tak pokračovat v kradení uživatelských informací i z nejnovějších verzí tohoto systému. Vývojáři těchto trojanů zároveň opakovaně vylepšovali schopnosti svých výtvorů. Například malwarová rodina Marcher kromě překrytí obvyklých bankovních aplikací ještě navíc uživatele přesměrovala ze stránek finančních institucí na phishingové weby.

Bez aktualizací to nepůjde
Množství reklamních trojských koní zneužívajících uživatelská práva v roce 2016 neustále rostlo. Kyberzločinci využívají faktu, že většina zařízení nemá nejnovější aktualizace operačního systému (nebo jsou provedeny pozdě), čímž se stávají náchylnými vůči starým a osvědčeným hrozbám, říká Petr Kuboš z Kaspersky Lab.

Navíc jsme podle jeho slov svědky toho, že se mobilní prostředí pro kyberzločince stává přeplněným, a proto se začínají poohlížet po světě za hranicí chytrých telefonů. Pravděpodobně tak letos zažijeme velké útoky na zařízení IoT, které budou spuštěny z mobilních zařízení. Útoky na podobná zařízení už probíhají, připomeňme ovládnutí chytrých kamer, síťových tiskáren nebo routerů.

Bankovní malware se v Google Play maskoval za aplikaci předpovědi počasí

2.3.2017 Novinky/Bezpečnost Viry
Pět tisíc uživatelů mobilních zařízení s operačním systémem Android si začátkem února stáhlo z oficiálního obchodu Google Play škodlivou aplikaci, která zneužívá internetové bankovnictví.
Škodlivá aplikace se objevila v nabídce Google Play 4. února a byla stažena po pouhých dvou dnech, kdy na ni upozornila společnost ESET. Její analytici detekovali hrozbu jako Trojan.Android/Spy.Banker.HU~~pobj. Aplikace se chovala jako skutečný nástroj na předpověď počasí, zároveň ale byla schopna na dálku zamknout nebo odemknout infikované zařízení a zachytit odesílané i přijímané textové zprávy.

Jakmile si uživatel tuto aplikaci stáhl do svého zařízení, ikona předpovědi počasí zmizela a infikovaný přístroj zobrazil falešnou obrazovku s požadavkem na aktualizaci operačního systému zařízení.

Pokud uživatel vyplnil formulář, včetně požadavku na změnu hesla pro odemykání a zamykání displeje, vydal svůj chytrý telefon všanc útočníkovi. Malware nicméně pracoval skrytě na pozadí, ovládaný vzdáleným řídícím serverem, aniž by o tom uživatel mobilního telefonu musel vědět.

Krade přihlašovací údaje k účtům
Malware je tak zákeřný, že ve chvíli, kdy uživatel spustí některou z aplikací internetového bankovnictví, zobrazí falešnou přihlašovací stránku a získá tak od oběti přihlašovací údaje k jejímu bankovnímu účtu. Díky tomu, že dokáže odchytit odesílané i přijímané textové zprávy, dokáže obejít i dvoufaktorovou autentizaci, tedy jednorázově vygenerované heslo, kterým uživatel prokazuje svoji totožnost při přihlašování k účtu přes internet.

Škodlivá aplikace nese název Good Weather a v současné době ji už v obchodu Google Play nelze stáhnout. Vyskytuje se v něm pouze legitimní aplikace téhož názvu od vývojáře AsdTm. Přesto mohou existovat uživatelé, kteří si stihli stáhnout škodlivou verzi.

Jak ji rozeznají od té správné? „Pokud jste si začátkem února stáhli aplikaci Good Weather a nejste si jisti, zda nejde zrovna o její škodlivou verzi, zkontrolujte si, zda máte na displeji telefonu žlutou ikonu s mrakem, který částečně zakrývá slunce. Tato aplikace je v pořádku. Škodlivá aplikace má modrou kruhovou ikonu, v níž je bílý mrak,“ popisuje Miroslav Dvořák, technický ředitel společnosti ESET.

Jak se zbavit škodlivé aplikace?
Infikované zařízení lze zbavit škodlivé aplikace za pomoci některého z mobilních antivirových programů. Pokud ji uživatel chce odinstalovat ručně, musí nejprve deaktivovat práva trojanu ke správě zařízení.

Poté lze škodlivou aplikaci odinstalovat pomocí Nastavení -> Aplikace -> Good Weather. „Je pravděpodobné, že se tato škodlivá aplikace bude vyskytovat ještě v některých neoficiálních obchodech s aplikacemi pro Android. Uživatelé by raději měli používat oficiální zdroj Google Play,“ radí Miroslav Dvořák.

Jak však prokázal tento i některé dřívější případy, i v Google Play se mohou vyskytnout zavirované aplikace. Uživatel by se proto měl vždy ujistit o tom, že zná všechna oprávnění, která by mohla aplikace uplatnit po stažení do jeho chytrého mobilního telefonu nebo tabletu. „Důležité je také číst uživatelské názory na tuto aplikaci a její hodnocení,“ podotýká Miroslav Dvořák.

Zapomeňte na VPN, máme lepší ochranu, tvrdí Cisco

1.3.32017 SecurityWorld Zabezpečení
Řešení Umbrella, bezpečnou internetovou bránu, která dokáže uživatele ochránit přímo z cloudu, uvedlo na trh Cisco.

Výrobce tak podle svých slov reaguje na změny pracovního procesu a umožňuje i ochranu podnikových zařízení, která jsou připojena k jiné než firemní síti bez využití virtuálních privátních sítí (VPN).

Brána funguje jako bezpečný vstup do internetu a chrání zařízení bez ohledu na to, kde se v daném okamžiku uživatel nachází nebo k jaké síti se snaží připojit.

Většina z firem spoléhá při vzdálené práci na využití virtuálních privátních sítí (VPN), avšak podle průzkumu IDG až 82 % mobilních zaměstnanců připouští, že se ne vždy připojuje prostřednictvím VPN. Umbrella by měla těmto rizikům zabránit.

„Umbrella poskytuje uživatelům bezpečný přístup ze všech míst, a to i bez připojení prostřednictvím VPN. Firma tak má jistotu, že jsou podniková zařízení chráněná bez ohledu na to, jakým způsobem a z jakého místa se zaměstnanci připojují,“ tvrdí Milan Habrcetl, bezpečnostní expert společnosti Cisco.

Umbrella blokuje známé i nově vznikající hrozby na všech portech a protokolech. Kromě toho brání přístupu ke škodlivým doménám, URL, IP adresám a souborům před navázáním spojení či stažením škodlivého obsahu.

Vzhledem k tomu, že většina hrozeb cílí na koncové body, je nezbytné podchytit všechny porty a protokoly a vytvořit bezpečnostní síť, která pokryje 100 % provozu.

Umbrella přitom vysoké nároky na provoz neklade - tím, že vše probíhá v cloudu, odpadá instalace veškerého hardwaru a manuální aktualizace softwaru. Podniky tak prý mohou zajistit ochranu všech zařízení v řádu minut.

Novinka využívá mj. existující nástroje Cisco – například modely založené na strojovém učení odhalující známé i nově vznikající hrozby a blokující připojení ke škodlivým destinacím na úrovni DNS a IP adresy, informace od bezpečnostního týmu Talos k blokování škodlivých URL na úrovni HTTP/S či ochranu proti pokročilému škodlivému softwaru Advanced Malware Protection (AMP) odhalující škodlivé soubory, které následně v cloudu zablokuje.

Umbrella lze navíc integrovat se stávajícími systémy, což umožňuje uživatelům rozšířit ochranu na zařízení a lokality mimo podnikový perimetr.

Umbrella využívá směrování typu „anycast“, kdy každé datové centrum hlásí shodnou IP adresu, takže jsou požadavky transparentně zasílány do aktuálně nejrychleji dostupného DC s automatickým předáváním při selhání.

Nákaza ransomwarem v Androidu raketově roste

1.3.32017 SecurityWorld Viry
Rekordní nárůst detekcí ransomware na zařízeních s operačním systémem Android za rok 2016 hlásí výzkumníci Esetu. Jde o typ škodlivého kódu, který různými způsoby zablokuje zařízení a za jeho odblokování žádá od oběti výkupné a loni dosáhl o historicky nejvyššího počtu pokusů o infikování.

„I když jsme celkově zaznamenali nárůst detekcí malwaru na Androidu přibližně o 20 procent, útoky ransomwaru na tuto platformu rostou mnohem rychleji. Nejvyšší nárůst byl v první polovině roku 2016, rozhodně bychom si ale nedovolili říci, že tato hrozba v dohledné době pomine,“ říká technologický ředitel Esetu Juraj Malcho.

Autoři lockscreenů (škodlivý kód, který uzamkne displej mobilního zařízení) a crypto-ransomware (škodlivý kód, který zašifruje obsah zařízení) využili uplynulý rok k tomu, aby zkopírovali techniky šíření, které používají druhy malware útočící na počítače.

Vyvinuli ale také sofistikované metody, které se zaměřují na technologie specifické pro Android. Kyberzločinci se zároveň zaměřili na to, aby nevyčnívali tím, že škodlivý kód šifrují a nebo ho skrývají hlouběji do infikovaných aplikací.

V průběhu roku 2015 Eset zaznamenal, že zájem tvůrců ransomware, které cílí na Android, se přesunul z východní Evropy do USA a zaměřuje se na uživatele mobilních telefonů. Nicméně v loňském roce se ukázalo, že útočníci stále více míří i na asijský trh. „Určitě můžeme konstatovat, že se z ransomwaru na Androidu stala plnohodnotná globální hrozba,“ dodává Malcho.

Linuxové distribuce obsahují vážnou chybu. Její odhalení trvalo 11 let
28.2.2017 Živě.cz Zranitelnosti

Bezpečnostní expert Googlu Andrey Konovalov odhalil v jádru Linuxu kritickou bezpečnostní chybu, která by útočníkům umožnila získat administrátorské (root) oprávnění. V systémech byla přítomna minimálně jedenáct let. Na hrozbu upozornil Bleeping Computer.

Zranitelnost označena jako CVE-2017-6074 byla potvrzena v linuxových jádrech od verze 2.6.18, která byla uvolněna ještě v září 2006. Vážné problémy způsobila nevhodná implementace protokolu Datagram Congestion Control Protocol (DCCP) sloužícího především na ochranu před přetížením datové sítě.

Konovalov totiž našel způsob, kterým může zneužít protokol DCCP pro vytvoření takzvané double free chyby. Jde o bezpečnostní hrozbu, ke které dochází v případě, kdy aplikace uvolní stejnou adresu v paměti dvakrát. V cílených případech umožňuje tato chyba spuštění škodlivého kódu s nejvyššími oprávněními v jádru systému

Chybu nelze zneužít prostřednictvím vzdáleného přístupu přes internet. Experti se však shodují, že může být kombinována s jinými zranitelnostmi, což může v konečném důsledku otevřít hackerům dveře do cílového systému.

Už je opraveno, stahujte záplaty

Na hrozbu byli řádně upozorněni všichni vývojáři jednotlivých linuxových distribucí. Mezi ohrožená linuxová jádra patří ta, která byla kompilovaná s funkcí CONFIG_IP_DCCP.

Vývojáři Red Hat Linuxu ve svém prohlášení uvedli, že systémy Red Hat Enterprise Linux 5, 6, 7 a Red Hat Enterprise MRG 2 obsahují uvedenou chybu. Odpovídající záplaty však byly průběžně vytvořeny a již jsou dostupné ke stažení.

Podobná situace vládne i v případě distribucí Debian. Bezpečnostní aktualizace jsou dostupné pro Debian 7 Wheezy a Debian 8 Jessie. Záplaty jsou rovněž k dispozici i pro distribuci Ubuntu 12.04 LTS, Ubuntu 14.04 LTS, Ubuntu 16.04 LTS a Ubuntu 16.10.

Ubuntu má novou oficiální odnož Budgie, zaujmout chce hlavně designem
Z distribucí SUSE Linux se chyba týká pouze verze SUSE Linux Enterprise Server 10, přičemž jsou aktualizace dostupné pouze pro zákazníky programu LTSS (Long Term Service Pack Support). Jádra systémů SUSE Linux Enterprise Server 11 SP 1 až 4 a SUSE Linux Enterprise Server 12 SP 1 až 2 nejsou sestaveny s podporou protokolu DCCP.

Funkční prototyp škodlivého kódu bude zveřejněn v průběhu několika dnů. Uživatelé tak mají pouze omezenou dobu pro nezbytnou aktualizaci svých systémů.

Čtenářům proto doporučujeme, aby zkontrolovali dostupnost aktualizací pro svoji linuxovou distribuci. V případě, že je váš systém zranitelný a oficiální záplata není zveřejněna, pomůže jednoduchý skript , kterým zakážete spouštění DCCP protokolu.

Kybernetické útoky proti Rakousku prováděl Turek žijící v USA

28.2.2017 Novinky/Bezpečnost Kyber
Za nedávnými kybernetickými útoky proti klíčovým institucím v Rakousku stojí turecký nacionalista žijící v USA. S odvoláním na rakouskou rozvědku o tom informoval server listu Der Kurier. Podle deníku se ale asi nepodaří zjistit, zda Arslan A. jednal na vlastní pěst, nebo ve spolupráci s tureckou tajnou službou MIT.
V Rakousku se v posledních měsících stalo terčem hackerů letiště, ministerstva, centrální banka a parlament. K útokům se přihlásila anonymní turecká skupina, která jako motiv uvedla "k Turecku nepřátelské" chování Rakouska. Vídeň například žádala zmrazení přístupových jednání mezi Evropskou unií a Ankarou.

Hlavní podezřelý, identifikovaný jako Arslan A., žije s bratrem a bratrancem v bungalovu ve městě Bowling Green ve východoamerickém státě Kentucky. Úřady Spojených států se mužem již zabývají a vyšetřuje jej také rakouská justice.

Útočil i v jiných zemích
Arslan A. napadl kromě cílů v Rakousku také servery v Izraeli, Iráku a v samotných USA. Jeho terčem se stal i server turecké Strany kurdských pracujících (PKK), která vede ozbrojený boj za autonomní Kurdistán. Pro své útoky využíval síť 600 počítačů nakažených škodlivým programem ve 150 zemích světa.

Série útoků začala loni v září, kdy se tehdy neznámí hackeři pokusili ochromit server vídeňského letiště. To se však dokázalo ubránit. Několik dní poté byl napaden server centrální banky.

Na konci listopadu se terčem stalo ministerstvo zahraničí, které ale útok také odrazilo. O dva dny později se hackeři zaměřili na ministerstvo obrany, přičemž dočasně vyřadili web rakouské armády. Jako poslední čelil letos 5. února napadení parlament.

E-maily baví kyberzločince i po 30 letech. Podceňovat bezpečnost se nevyplácí

28.2.2017 Novinky/Bezpečnost Spam
E-mailovou komunikaci využívají lidé po celém světě již více než tři dekády. A i přes nástup sociálních sítí patří právě e-mail mezi jeden z nejpoužívanějších komunikačních nástrojů. Právě proto se na něj velmi často zaměřují počítačoví piráti. Podceňovat zabezpečení svých elektronických poštovních schránek se tak nemusí ani trochu vyplatit.
Na světě je podle dat analytické společnosti Radicati Group více než 2,6 miliardy uživatelů elektronických poštovních schránek.

Jen v loňském roce proteklo celosvětovou počítačovou sítí každý den v průměru 215 miliard e-mailů. A toto číslo neustále roste. Například v lednu se totiž denní várka e-mailů zvýšila v průměru až na 269 miliard.

S ohledem na vysokou popularitu této komunikační metody je vcelku pochopitelné, že se na ni velmi často soustředí i počítačoví piráti. Ti totiž pravidelně cílí na nejpoužívanější služby, neboť díky tomu zvyšují šanci na úspěšný útok.

Nejčastěji rozesílají různé podvodné zprávy, ve kterých se vydávají za zástupce různých společností nebo organizací. Lákají například na půjčky na poslední chvíli či na slevy elektroniky a šperků. V kurzu jsou také nejrůznější slevové kupóny. Odkaz v e-mailu často směřuje na podvodný web, kde se objevuje možnost získání kupónu po registraci. Místo něj ale zpravidla uživatel vyzradí své přihlašovací údaje, případně si stáhne do počítače nějaký škodlivý virus.

Varováním může být lámaná čeština, podivná příloha nebo zkomolená adresa známé webové stránky
David Finger, produktový manažer Seznam.cz Email
Právě před podobnými nabídkami by měli být ve svých poštovních schránkách uživatelé velmi obezřetní. „Podvodný web registrace využije a začne do schránky pravidelně posílat e-maily. Ty vypadají obvykle nevinně. Tváří se třeba jako gratulace k neexistující výhře nebo nabídka další hry či zboží,“ uvedl David Finger, produktový manažer služby Seznam.cz Email.

„Varováním těchto e-mailů může být lámaná čeština, odkaz, na který je nutno kliknout pro více informací, podivná příloha nebo zkomolená adresa známé webové stránky. Zobrazením si nevinného obrázku v příloze nebo webové stránky přitom může uživatel snadno do počítače nahrát vir. Ten buď poškodí počítač, nebo v horším případě na prohlížeč nainstaluje doplněk, který bude podvodníkům odesílat citlivé údaje, včetně zadávaných hesel do bankovnictví nebo dalších služeb,“ konstatoval Finger.

Spam existoval dříve než internet
Dávno před zrodem internetu dnešní podoby proběhla aféra, kterou lze označit za zrod nevyžádaných zpráv – spamu. V květnu 1978 odeslal obchodník Gary Thuerk příjemcům pošty v síti Arpanet zprávu s pozvánkou na promoakci nového počítače. Nevyžádaná pošta byla vlastně prvním spamem, ačkoli tento název se začal používat až o patnáct let později.
Teprve v roce 1993 přišel administrátor sítě Usenet Joel Furr s pojmem spam – nevyžádaná pošta. Furr se inspiroval svým oblíbeným seriálem Monty Python a skečem o mase v konzervách, na kterých si skupina Vikingů pochutnávala a opěvala ho: „Spam. Spam. Spam. Spam. Spam.“ Spam je obchodní značka konzervy s vepřovou šunkou. Název vznikl zkrácením slov sp(ice) a (h)am – koření a šunka.
Heslo nepodceňovat
Finger zároveň upozornil, že nebezpečí číhá na internetu také na uživatele, kteří podceňují zabezpečení svých schránek. Tedy jinými slovy používají velmi slabé heslo. „Heslo by nemělo být snadno uhodnutelné. Jméno čtyřnohého mazlíčka nebo »heslo123« totiž nejsou hesla,“ varoval produktový manažer.

Bezpečné heslo by mělo mít minimálně šest znaků a mělo by obsahovat číslice a ideálně velká i malá písmena. Heslo by naopak v žádném případě nemělo být tvořeno jménem uživatele, jednoduchými slovy (jako například „heslo”) nebo pouhou posloupností číslic.

Právě u e-mailu by přitom mělo být heslo nejsilnější a v ideálním případě i naprosto unikátní. Prostřednictvím poštovní schránky se totiž uživatelé často registrují i na další internetové služby. Pokud tedy získá počítačový pirát heslo k e-mailu, zpravidla mu nečiní žádný problém dostat se například na nejrůznější sociální sítě, kde může sledovat probíhající komunikaci nebo prostě jen ukrást identitu své oběti.

Sociální sítě i diskusní fóra
I když jsou rady ohledně používání hesel celé řadě uživatelů dobře známé, drtivá většina lidí stále ještě význam hesla podceňuje. A to neplatí jen o e-mailových schránkách, ale také o dalších službách na internetu, jako jsou například různé sociální sítě a diskusní fóra. Dokládá to žebříček nejpoužívanějších hesel, který loni sestavil server Leaked Source.

Absolutním vítězem je číselná kombinace 123456. Tu by přitom lidé podle bezpečnostních expertů neměli za žádných okolností k zabezpečení jakéhokoliv účtu používat, protože útočníci ji s ohledem na její rozšířenost zkouší při napadení účtů zpravidla jako první možnost.

Nejpoužívanější hesla na internetu
Pořadí Heslo
1 123456
2 123456789
3 1234
4 12345
5 password
6 12345678
7 1234567
8 123123
9 111111
10 000000
11 qwerty
12 bearshare
13 1111
14 1234567890
15 0000

Kdyby účty neměly správcovská oprávnění, skrze 93 % nalezených děr ve Windows 10 by se nedalo úspěšně útočit

27.2.2017 cnews.cz Zranitelnosti
Díry byly, jsou a budou. Zabezpečení by ale výrazně prospělo, kdybychom nepoužívali uživatelské účty se zbytečně vysokými oprávněními. Aspoň díry nalezené v loňském roce ve Windows na správcovská oprávnění opravdu doplácí.

Používání práv správce bylo vždycky kritizováno v případech, kdy práva uživatel či uživatelka reálně nepotřebuje. Pakliže je účet se zvýšenými právy napaden, může takový útok způsobit pěknou paseku v počítači. Jenže historie ukázala, že koncept oprávnění je patrně příliš složitý. Ve skutečnosti většinu lidí nezajímá, jakými právy disponují, resp. reptají, když pocítí omezení účtu bez správcovských práv.

Vysoká oprávnění znamenají náchylnost k úspěšným útokům

Že by ale bezpečnosti prospělo, kdyby se vysoké oprávnění nepoužívalo zbytečně často, potvrzuje bezpečnostní firma Avecto. Ta ve svém výzkumu provedla analýzu bezpečnostních výstrah, které Microsoft v roce 2016 zveřejnil. Nahlášeno bylo 530 zranitelných míst v produktech redmondského giganta, přičemž 36 % z nich bylo označeno za kritické. Za velice důležité zjištění považuji, že by tyto díry z velké části nemusely znamenat problém.

V 94 % případů ze všech kritických zranitelných míst by mohlo být úspěšnému útoku předejito, kdyby uživatelský účet neměl nastavena správcovská práva. Loni to podle firmy platilo pro 85 % kritických děr. Tím spíše je nutné doporučit, abychom nepoužívali účty se zvýšeným oprávněním, pokud to není nezbytně nutné, protože tím výrazně zvyšujeme šanci úspěšného útoku na naše počítače. Bylo by také dobré vědět, jak správcovská oprávnění ovlivňují nekritická místa v zabezpečení s nižším hodnocením závažnosti. To bohužel Avecto neuvedlo.

Pokud je to možné, používejte raději běžný typ účtu
Edge a Windows 10

Patrně ještě zajímavější je zjištění, že 100 % všech objevených zranitelných míst v Edgi či Internet Exploreru, tedy nejen těch kritických, k úspěšnému útoku vyžaduje správcovská oprávnění. Běžné účty by tak loni skrze uvedené prohlížeče nebylo možné napadnout ani v jednom případě.

Konkrétně ve Windows 10 bylo za celý rok nahlášeno 395 zranitelných míst, což je o 46 % více než v případě Windows 8 a Windows 8.1. (Obě verze Osmiček obsahovaly 265 děr.) To dává smysl, protože Osmičky jsou starší a více odladěné, na trhu se pak současně nachází více verzí Desítek a vzhledem k neustálému vývoji bude v Desítkách zkrátka počet objevených zranitelných míst vždycky vyšší než v případě roky ustáleného kódu.

Loňské útoky na Edge by nebyly ničivé, kdyby byly používány standardní účty
Důležitější je, jak se firma s dírami vypořádá. Nás v tuto chvíli ale více zajímá zjištění podobné dvěma výsledkům výše. Pro 93 % nalezených děr ve Windows 10 platí, že by útok skrze tyto díry nebyl úspěšný, kdyby uživatelské účty nedisponovaly správcovským oprávněním. Opět se správcovské oprávnění ukazuje jako koulí u nohy, aspoň z pohledu bezpečnostních expertek a expertů.

Avecto se podívalo také na Office, kde však uvedlo jen základní statistiku. V produktech rodiny Office bylo loni nahlášeno 79 zranitelných míst. Před rokem to bylo 62 a oproti roku 2014 to představuje již 295% nárůst. Opět předpokládám, že za to může dynamický vývoj Office dostupného v rámci předplatného Office 365. Nevíme však, kolik děr je závislých na účtech se správcovými oprávněními.

Cloudbleed: únik dat sdíleného proxy serveru
27.2.2017 Root.cz Zranitelnosti

Společnost Cloudflare oznámila chybu ve své infrastruktuře, jejíž následky jsou velmi podobné zranitelnosti Heartbleed v OpenSSL. Díky podrobné zprávě o incidentu si můžeme přečíst, co se přesně stalo.
Začalo to celé nenápadně, v pátek 17. února odpoledne, kdy bezpečnostní výzkumník z Google, Tavis Ormandy, napsal na Twitter status, který předznamenával něco velkého.

Během analýzy výsledků tzv. fuzzingu, tedy testování kódu velkou množinou různých vstupů, narazil na podivný webový obsah, který obsahoval evidentně kusy neinicializované paměti. Záhy se ukázalo, že problém je v proxy serverech služby Cloudflare. Když se mu ho podařilo izolovat a reprodukovat, snažil se jej co nejrychleji předat bezpečnostnímu týmu Cloudflare.

Tavis Ormandy
Ukázka uniklých dat – data známé aplikace Uber
První pomoc
Bezpečnostní tým Cloudflare okamžitě pochopil, že jde o vážnou situaci. První, co udělal, bylo vypnutí doplňkových služeb, které nejspíše problém způsobovaly. Konkrétně šlo o služby obfuskace e-mailových adres, server-side excludes a automatických přepisů odkazů z http na https. Podle zprávy o incidentu byly také okamžitě sestaveny týmy pro řešení incidentu – jeden v San Franciscu a druhý v Londýně tak, aby se mohly střídat po 12hodinových směnách v nepřetržitém provozu. K vypnutí e-mailové obfuskace, která způsobovala nejvíce úniků, došlo už 47 minut po nahlášení, ke kompletnímu vypnutí všech funkcí, které únik způsobovaly, došlo 7 hodin po nahlášení.

Hledání příčiny
Od začátku bylo zřejmé, že chyba je ve funkcích, které v proxy serverech za běhu upravují HTML kód stránek. K tomuto účelu v Cloudflare dlouho používali vlastní parser napsaný v jazyce Ragel. Před časem však došli k závěru, že tento kód je příliš složitý a těžko udržovatelný, a tak začali vyvíjet nový, cf-html. Oba parsery jsou provedeny jako moduly pro webový server NGINX a během přechodného období jsou aktivní oba.

Další vyšetřování ukázalo, že chyba byla ve starém kódu přítomna mnoho let, teprve kombinace s novým modulem ji však dokázala vyvolat. Přímou příčinou byla nedostatečná kontrola přetečení ukazatele za konec řetězce v kódu, generovaném kompilátorem jazyka Ragel:

/* generated code */
if ( ++p == pe )
goto _test_eof;
Je třeba zdůraznit, že nejde o chybu v kompilátoru jazyka Ragel, ale o chybu ve zdrojovém kódu v tomto jazyce, jehož autorem je Cloudflare.

Podmínka ve výše uvedeném kódu kontroluje pouze rovnost s koncovou zarážkou. Dojde-li z nějakého důvodu k přeskočení ukazatele za zarážku, není konec vstupu detekován a program čte z paměti bezprostředně následující za bufferem. V této paměti se mohou nacházet různá data z předchozích komunikací. Jelikož je infrastruktura Cloudflare sdílená mezi různými zákazníky, je možné získat data i jiných webových stránek, než těch, které jsou problémem postiženy. Princip čtení přes hranice alokované paměti je velmi podobný chybě Heartbleed z roku 2014.

Tavis Ormandy
Ukázka uniklých dat – data fitness náramku Fitbit
Spící zranitelnost
Chyba čtení za hranice byla v kódu přítomna nejspíše od samého počátku. K jejímu vyvolání došlo vyvoláním chyby parseru na samém konci posledního bufferu, například, když HTML kód na zdrojovém serveru končil takovouto neukončenou značkou:

K prvnímu nasazení cf-html došlo 22. září 2016, kdy byla do cf-html zmigrována funkce automatického přepisování http na https. Zákazníci, kteří měli tuto funkci zapnutou a zároveň splnili podmínku nevalidně ukončeného HTML, mohli způsobovat únik dat už od té doby. Tato funkce však není podle slov Cloudflare příliš používaná.

Dalším nasazením cf-html byla funkce Server-Side Excludes, k jejíž migraci došlo 30. ledna 2017. Tato funkce je však aktivována pouze pro IP adresy se špatnou reputací a slouží k filtrování potenciálně citlivých údajů. Pro běžný provoz se neprojeví. Největší vliv tak měla zatím poslední ze série migrací, která proběhla 13. února, tedy pouhých pár dní před zjištěním incidentu. Jednalo se o migraci funkce obfuskace e-mailových adres, která je naopak používána velmi často.

Identifikace poškození
Cloudflare provozuje pro různé úrovně zpracování webového obsahu samostatné instance webserveru NGINX. Proces, ve kterém byla chyba, je součástí zpracování HTML a je zcela oddělen od procesů terminace TLS, rekomprese obrázků a kešování. Je tedy jisté, že touto zranitelností nemohlo dojít ke kompromitaci privátních klíčů od zákaznických certifikátů. Mohlo však dojít k vyzrazení šifrovacích klíčů, kterými Cloudflare šifruje komunikaci mezi jednotlivými servery v rámci datacentra. Toto šifrování bylo zavedeno v reakci na informace Edwarda Snowdena o masivním monitorování.

Největším problémem ale je únik částí HTTP komunikace jiných zákazníků, kteří používali stejný proxy server. Taková komunikace může obsahovat uživatelská jména a hesla, nebo přinejmenším cookie sezení, které je možné zneužít ke kompromitaci cizích identit.

Zamořené keše
Zásadním problémem také je, že k vyvolání úniku dat nebyla zapotřebí (na rozdíl třeba od Heartbleedu) žádná sofistikovaná činnost, stačilo pouze stahovat webové stránky. To je činnost, která je bezpochyby nejčastější internetovou aktivitou vůbec a kromě koncových uživatelů ji provádějí automaticky nejrůznější roboti.

Uniklá data se tak objevila v keších všemožných vyhledávačů a webových archivů. Společnost Cloudflare vyjednala s několika vyhledávači odstranění podobných dat, můžeme se však jen dohadovat, zda se všechna data najít povedlo a zda někde stále neleží. Je celkem pravděpodobné, že nějaké úniky budou k nalezení i v lokálních keších webových prohlížečů v počítačích a mobilech celého světa.

Uniklá data na prodej
Teprve po nasazení nové verze HTML parserů s opravenou zranitelností, ke kterému došlo večer v úterý 21. února, a odstranění všech nalezených úniků z výsledků vyhledávání, byla informace o zranitelnosti zveřejněna. Kromě již zmíněné post mortem analýzy na blogu Cloudflare byl také zpřístupněn tiket, ve kterém Tavis Ormandy dokumentoval postup opravy problému, včetně ukázek úniků. Společnost Cloudflare také rozseslala všem zákazníkům hromadný e-mail, ve kterém upozorňuje na to, že postižených bylo pouze přibližně 150 zákazníků, nicméně doporučuje zneplatnit a vyměnit všechna dlouhodobá tajemství, jakými jsou třeba cookie sezení.

Počet 150 zákazníků se zdá velmi podhodnocený, neboť jde pouze o počet unikátních doménových jmen, ve kterých byly nalezené uniklé informace prostřednictvím vyhledávačů. Není přitom zřejmé, zda se bezpečnostním expertům podařilo identifikovat, komu patřila vlastní uniklá data. Každý, kdo provozuje webserver za Cloudflare proxy, by tedy měl minimálně zrušit všechna uložená sezení. Ideálně pak také vyzvat uživatele k preventivní změně hesla. Ostatně, netrvalo dlouho a temný web začal nabízet k prodeji soubory uniklých dat. Těžko říct, zda jde o skutečný únik nebo o jednoduchý podvod, přiživující se na aktuální zprávě.

Zneplatněná přihlášení Google s problémem nesouvisí
Shodou okolností minulý týden Google zneplatnil uložená přihlášení velké části uživatelů. Vypadá to jako souvislost, ale nedává to úplně smysl, protože Google služby určitě Cloudflare nepoužívají a je tedy nepravděpodobné, že by cookies, které slouží k autentizaci vůči Google, byly v jakémkoli nebezpečí. Tavis Ormandy na přímý dotaz odpovídá, že incidenty nemají nic společného, na fóru Google je pouze zpráva, že v průběhu rutinní údržby došlo k odhlášení některých uživatelů. Nejspíš tedy opravdu jde o pouhou shodu okolností.

Maximální otevřeností k minimalizaci škod
Na celé události je zajímavý především způsob, jakým společnost Cloudflare o problému informovala. Přestože se jedná o komerční firmu, a chyba se objevila v proprietárním softwaru, který je součástí firemního know-how, množství informací zásadně překračuje obvyklé strohé sdělení typu: „V našich systémech se vyskytla chyba, už jsme ji opravili, změňte si prosím heslo.“

Překvapující je také rychlost, s jakou byla společnost schopna úniky dat zastavit (i za cenu omezení služeb) i jak rychle byla nainstalována oprava. Škoda jen, že zpráva nejspíše podceňuje počet obětí. V haldě podrobných technických informací se také ztrácí krátká a jednoduchá informace pro zákazníky, co mají se svou službou za Cloudflare dělat, aby vliv případných úniků minimalizovali.

SHA-1 není bezpečná, přesto se někde stále používá. Co to znamená v praxi?

27.2.2017 Lupa.cz Kryptografie
Úspěšný kolizní útok na hašovací funkci SHA-1 má zásadní dopady i do oblasti elektronických podpisů. Důrazně nám připomíná potřebu digitální kontinuity.
V závěru minulého týdne prošla odbornějšími médii zpráva o úspěšném kolizním útoku na hašovací funkci SHA-1. Mohli jste se o tom dočíst na mnoha místech (např. i zde na Rootu), proto jen velmi stručná a zjednodušená rekapitulace: spojenými silami Googlu a amsterodamského CWI se podařilo najít (vypočítat) způsob, jakým lze (již velmi rychle a snadno) vytvářet dvojice PDF dokumentů, které jsou vzájemně kolizní vzhledem k hašovací funkci SHA-1. Jinými slovy: dokumenty jsou různé, ale při použití hašovací funkce SHA-1 mají stejný otisk (hash, či: heš).

Jak co a jak přesně se podařilo, je čtením pro odborníky. Zde si snad vystačíme s velmi zjednodušenou představou: nejde o žádné „přímé prolomení hrubou silou“, ale o využití určité „zkratky“, navíc využívající konkrétních vlastností některých formátů elektronických dokumentů.

Konkrétně u formátu PDF se využívá toho, že kromě užitečného obsahu mohou mít konkrétní PDF dokumenty i poměrně velkou „vycpávku“, která se dá upravovat tak, aby při vkládání různého obsahu dokument stále vykazoval stejný otisk (při použití hašovací funkce SHA-1). To, co bylo nyní nalezeno, samozřejmě po dlouhých a náročných výpočtech, je základ takového PDF dokumentu, se kterým lze přesně toto dělat.

Praktické dopady si lze ukázat na prvních generátorech kolizních PDF dokumentů, které se velmi rychle objevily. Například tento (prý jen narychlo spíchnutý) vám umožní přijít se dvěma různými obrázky (musí být ve formátu JPG a do 64 kB), a z nich vám (prakticky ihned) vytvoří dva stejně velké soubory ve formátu PDF se stejným SHA-1 otiskem, ale s různým obsahem: každý z nich ukazuje jeden z obou vstupních obrázků.

Pro potřeby tohoto článku, a zejména pro názorné předvedení praktických důsledků, jsem si sám nechal vytvořit dva takovéto kolizní dokumenty: jeden s číslem 1, druhý s číslem 1000 (pro jejich vzájemné odlišení). Jde o soubory 1.pdf a 1000.pdf, které si můžete stáhnout v tomto ZIP balíčku i s jejich externím el. podpisem (viz dále).

To, že oba PDF dokumenty (s různým obsahem) mají stejný SHA-1 otisk, si můžete ověřit pomocí libovolného nástroje, který takový otisk dokáže spočítat. V on-line podobě je jich k dispozici řada, zde je použit tento:

Stejně tak si můžete sami vyzkoušet nový nástroj (file tester), který výzkumníci z Googlu a CWI sami zveřejnili, a který slouží k odhalování takovýchto vzájemně kolizních dokumentů (tj. různých, ale se stejným SHA-1 otiskem). A to dokonce tak, že jim stačí jen jeden z obou (vzájemně kolizních) dokumentů.

Je to možné díky tomu, že jejich nástroj vlastně testuje, zda jde o PDF dokument, se kterým si někdo (zde konkrétně: použitý generátor kolizních dokumentů) „hrál“ tím způsobem, na který oni právě přišli. Zjednodušeně: zda jde o onen specifický „základ“ PDF dokumentu, do kterého byl vložen nějaký konkrétní obsah a současně byla upravena jeho „vycpávka“ tak, aby soubor ve formátu PDF měl jako celek stále stejný otisk.

Co znamená stejný otisk?
Když mají dva různé dokumenty stejný otisk, je to samozřejmě problém. Velký problém. Projevuje se obecně všude tam, kde se nepracuje přímo s celými soubory, ale jen s jejich otisky – protože pak je nejde rozlišit.

Například v nejrůznějších systémech pro práci se soubory a jejich verzemi se mohou shodné soubory detekovat právě podle jejich otisku. Ale pokud se již nelze spoléhat na to, že dva různé soubory mají různé otisky, přestává být takováto detekce použitelná.

Dalším velkým příkladem jsou elektronické podpisy: elektronické podepisování ve skutečnosti funguje (a musí fungovat) tak, že se podepisuje nikoli samotný (a libovolně veliký) podepisovaný soubor, ale až jeho otisk pevné (a „malé“) velikosti. Důsledky jistě již tušíte: pokud mají dva různé soubory stejný otisk, budou mít i stejný elektronický podpis – a tak již nepůjde rozlišit, který z nich byl původně podepsán.

Opět si to ukažme na konkrétním příkladu: jeden z výše popisovaných dokumentů jsem opatřil svým kvalifikovaným elektronickým podpisem, a to s využitím hašovací funkce SHA-1. Fakticky jsem tak podepsal otisk, který je pro oba soubory stejný (společný).

Abyste si mohli sami a snadno ověřit, že oba soubory (1.pdf a 1000.pdf) mají (při použití SHA-1) stejný elektronický podpis – a že je tedy vlastně jedno a nejde poznat, který z nich jsem původně podepsal – zvolil jsem variantu externího elektronického podpisu. V ZIP balíčku, který si můžete stáhnout a vyzkoušet, je tento externí el. podpis obsažen v souboru podpis.pkcs7.

Pro praktické ověření toho, že jeden podpis „pasuje“ k oběma různým (ale dle SHA-1 vzájemně kolizním) PDF souborům samozřejmě potřebujete takový nástroj, který s externími podpisy umí pracovat. Moc jich dnes není, ale zkusit můžete třeba tento „unijní“ validátor. Jako „Signed file“ mu musíte zadat soubor s podpisem (tj. podpis.pkcs7), a jako podepsaný soubor pak postupně oba PDF soubory (1.pdf a 1000.pdf). V obou případech by měl být jeden a tentýž podpis vyhodnocen jako platný kvalifikovaný elektronický podpis kteréhokoli z obou PDF dokumentů (souborů). Takže opravdu nepoznáte, který z obou dokumentů jsem skutečně podepsal, a který nikoli.

Jak moc je to nebezpečné?
K dosud řečenému si ještě dodejme jeden důležitý aspekt: to, o co (zatím) jde, jsou kolize označované jako kolize prvního řádu. Tedy takové, v rámci kterých se hledají (nějaké) dva dokumenty, které mají různý obsah ale stejný otisk (zde: otisk, realizovaný pomocí SHA-1). Ještě složitější je hledání kolizí druhé řádu: kdy již máte nějaký konkrétní dokument, a k němu hledáte jiný dokument se stejným otiskem.

Praktické důsledky kolizí druhého řádu, konkrétně pro oblast elektronických podpisů, si zde lze představit ještě snáze než u kolizí prvního řádu: již máme elektronický dokument, který někdo jiný platně podepsal. Třeba nějaký dlužní úpis či smlouvu s konkrétním obsahem apod. Někdo se zlými úmysly ale k tomuto platně podepsanému dokumentu najde jiný dokument s jiným obsahem (například dlužní úpis na vyšší částku, smlouvu s jinými podmínkami apod.), a díky koliznímu charakteru obou dokumentů bude prezentovat nově nalezený dokument jako ten skutečně podepsaný. A pokud nebudou k dispozici nějaké jiné důkazy, ze samotných elektronických dokumentů nepůjde poznat, který z nich byl skutečně podepsán a na který byl podpis z jiného dokumentu pouze přenesen.

Nicméně i s kolizemi prvního řádu lze dělat různé podvody. Jen scénář musí být trochu jiný a složitější: ten, kdo by chtěl někoho podvést, si musí připravit dva vzájemně kolizní dokumenty s takovým obsahem, jaký k podvodu potřebuje. Pak musí přimět toho, koho chce podvést, aby podepsal jeden z nich. Pak může vzít jeho el. podpis, a „přenést“ jej na druhý (kolizní) dokument.

Co s tím?
Právě popsané nebezpečí je sice reálné, ale lze se mu poměrně snadno vyhnout – včasným přechodem na používání „lepších“ (dokonalejších, propracovanějších a složitějších) hašovacích funkcí. To se ostatně netýká jen dnes probírané hašovací funkce SHA-1, ale obecně všech hašovacích funkcí – které „z něčeho většího“ (celého souboru) dělají „něco menšího“ (otisk/hash).

Jejich základní vlastností je to, aby vytváření otisku („otiskování“, hašování) bylo jen jednosměrné, a aby ze samotného otisku nebylo možné zpětně sestavit původní dokument. To ostatně nejde už z principu: malý otisk (v případě SHA-1 jde o 20 bytů, resp. 160 bitů) nestačí na to, abyste podle něj vytvořili třeba několikamegabytový původní dokument.

Proto nám v praxi jde o něco jiného: aby nebylo reálné najít dva (či více) různých dokumentů, které mají – při použití téže hašovací funkce – stejný otisk. To zase v principu musí jít, a takových dokumentů dokonce musí existovat opravdu velké množství (když se nebudeme omezovat jejich velikostí, pak dokonce nekonečně mnoho). Proto nám v praxi stačí něco slabšího: aby nebylo v silách aktuálně dostupných počítačů najít alespoň dva takové dokumenty dříve, než za nějakou opravdu hodně dlouhou dobu (třeba nějaké desetitisíce let).

Jenže schopnosti počítačů velmi rychle rostou, a tak to, co by dnešním počítačům trvalo více jak ony desetitisíce let, by počítače zítřka mohly zvládnout třeba za hodinu. Nebo ještě rychleji, pokud se najde nějaká zkratka či jiný trik, jako právě nyní v případě hašovací funkce SHA-1.

Právě proto je nezbytně nutné postupně přecházet ze „starších“ hašovacích funkcí, ve smyslu méně náročných na složitost hledání kolizních dokumentů, na „novější“, které jsou spolehlivější, a hlavně podstatně náročnější na výpočetní složitost při hledání kolizních dokumentů. Stalo se tak již v případě ještě „starší“ hašovací funkce MD5, a stejně tak je tomu i u SHA-1. U ní je již delší dobu známo, že není dostatečně silná – a bylo jen otázkou času, kdy se objeví praktická možnost nalezení kolizních dokumentů v dostatečně krátkém čase. Nyní se tedy objevila.

Jak je to s přechodem u elektronických podpisů?
V případě elektronických podpisů došlo v ČR k přechodu od SHA-1 k novější rodině hashovacích funkcí SHA-2 (zahrnující varianty SHA-224, SHA-256, SHA384 a SHA-512) s přelomem let 2009 a 2010. Tehdy Ministerstvo vnitra „zavelelo“ k takovémuto přechodu těm subjektů, kterým to mohlo přikázat (kvalifikovaným certifikačním autoritám).

Kvalifikovaní poskytovatelé certifikačních služeb ukončí vydávání kvalifikovaných certifikátů s algoritmem SHA-1 do 31. 12. 2009.
Pravdou je, že naše kvalifikované (resp. akreditované) autority od uvedené doby skutečně vydávají jen takové certifikáty, které se opírají o hašovací funkce z rodiny SHA-2, nejčastěji o SHA-256 (s velikostí otisku/hashe 256 bitů).

Musíme si ale uvědomit, že vydávání certifikátů „s SHA-2“ znamená pouze to, že samotná certifikační autorita použije hašovací funkci SHA-2 pro podepsání (označení) certifikátu, který vystavuje. Přesněji: z té části certifikátu, která je podepisována, vytvoří otisk již pomocí hašovací funkce SHA-2, a tento otisk podepíše (opatří svou značkou). To je pak zaznamenáno i v obsahu samotného certifikátu, viz následující obrázek. Vidíte na něm dva mé starší certifikáty: vlevo certifikát z roku 2004, při jehož vystavování byla ještě využita SHA-1. Vpravo certifikát z roku 2010, vystavený již s využitím SHA-2 (konkrétně SHA256).

Podepisování není to samé jako vystavení certifikátu!
Pozor ale na jednu velmi důležitou věc: to, jestli byl váš certifikát vydán již s SHA-2, ještě nepředurčuje to, jaká hašovací funkce bude použita v případě, kdy budete podepisovat nějaký konkrétní dokument.

Plyne to i ze skutečnosti, že elektronický podpis můžete vytvořit (pomocí soukromého klíče) a jeho platnost ověřovat (pomocí veřejného klíče) i bez toho, abyste vůbec měli vystaven nějaký certifikát. Ten je ostatně jen jakýmsi osvědčením (od třetí důvěryhodné strany) o tom, komu patří soukromý klíč (kdo ho prohlašuje za svůj). Pokud svůj soukromý klíč osobně předáte někomu, kdo vás dobře zná, v zásadě váš certifikát ani nepotřebuje.

Jinými slovy: to, zda váš elektronický podpis využívá hašovací funkci SHA-1, některou z hašovacích funkcí SHA-2, či jakoukoli jinou, je nezávislé na tom, jaká hašovací funkce byla využita pro vystavení certifikátu. Ve skutečnosti záleží na tom, co a jak dělá (resp. jak je nastaven) ten program, který pro podepisování používáte.

Abych to názorně doložil, vytvořil jsem následující PDF dokument, který jsem opatřil pěti svými kvalifikovanými el. podpisy (založenými na stejném kvalifikovaném certifikátu s SHA-256). Každý z těchto podpisů ale byl vytvořen s použitím jiné hašovací funkce: po řadě MD5, SHA-1, SHA-256, SHA-384 a SHA-512.

Můžete si to sami ověřit. Třeba v Adobe Acrobat Readeru DC si můžete nechat zobrazit hašovací funkci, použitou při vytváření konkrétního el. podpisu, přes „Vlastnosti podpisu“ a „Další vlastnosti podpisu“, dle následujícího obrázku.

Přitom právě Adobe Acrobat Reader je jedním z mála programů, které ještě umí vytvářet elektronické podpisy s využitím hašovací funkce SHA-1 (a dokonce i MD5). Právě tento program jsem ostatně použil pro vytvoření popisovaného příkladu souboru s 5 různými podpisy. Přitom jsem musel měnit nastavení programu podle návodu, který je popsán zde. Od verze 9.1 by Adobe Reader (dnes: Adobe Acrobat Reader DC) měl být defaultně nastaven tak, aby při podepisování používal hašovací funkci SHA-256, takže běžní uživatelé nemusí toto jeho nastavení měnit.

V případě podepisování dokumentů pomocí programů MS Office by (alespoň podle tohoto zdroje) mělo platit, že do verze 2010 jsou podpisy vytvářeny ještě s SHA-1, a v novějších verzích již s SHA-2. Případnou změnu nastavení lze provést způsobem popsaným zde.

Zajímavé je to ale i dalších případech, jako třeba u podepisování zpráv elektronické pošty. I zde samozřejmě záleží na tom, jak je nastaven příslušný program. Například u MS Outlooku se hašovací funkce volí při volbě certifikátu pro podepisování, viz obrázek.

U konkrétní zprávy si pak můžete nechat zobrazit použitou hašovací funkci postupem dle následujícího obrázku.

Kdo stále ještě používá SHA-1?
U elektronických podpisů je tedy nutné dávat pozor na to, že způsob vydávání certifikátů a samotné podepisování jsou dvě různé věci: i když máte certifikát s SHA-2, stále záleží na tom, co a jak dělá ten program, který k podepisování používáte. A snad z výše popisovaného je dostatečně zřejmé, proč je navýsost vhodné již nepoužívat hašovací funkci SHA-1.

Pravdou je, že snad všechny (současné) programy pro podepisování, které znám a které jsou určeny pro „koncové uživatele“, již podporují funkce SHA-2 a jsou také nastaveny tak, aby je používaly (s výjimkou podepisování v MS Office ve verzích do 2010 včetně, viz výše). A to proto, že jejich autoři si včas uvědomili potřebu přechodu od SHA-1 k SHA-2, a provedli jej.

Reálný problém ale může být tam, kde jde o různá „zadrátovaná“ řešení, která jejich autoři ještě neupravili (resp. jejich provozovatelé si to nevyžádali). Nedělal jsem v tomto ohledu žádný systematický průzkum, ale jen jsem se letmo podíval na několik služeb našeho eGovernmentu – a zjistil, že s využitím SHA-1 jsou stále podepisovány například (strojově generované) výpisy z obchodních rejstříků, či výpisy ze základních registrů. Ukazují to následující obrázky.

Pro první z nich jsem schválně přepnul Adobe Acrobat Reader DC do angličtiny, aby bylo dobře vidět, že česká lokalizace má drobnou chybu: zatímco anglická verze vypisuje „Hash Algorithm: SHA1“, česká verze nemá v příslušné hlášce dvojtečku ani následnou mezeru, a tak vypisuje nesprávně „Algoritmus hashSHA1“.

Není ale pravdou, že všechna řešení v rámci našeho eGovernmentu stále ještě podepisují (označují, případně: pečetí) s využitím SHA-1. Snad je to právě naopak, a většina již dávno přešla na SHA-2. Třeba datové schránky označují své zprávy s využitím SHA256 již od roku 2011. Ze strojově generovaných výpisů z veřejných rejstříků pak s SHA-2 nemá problém například živnostenský rejstřík.

Mimochodem: právě výpisy z živnostenského rejstříku už jsou také v tzv. referenčním formátu elektronického podpisu, který by orgány veřejné moci měly používat již od roku 2011 (původně kvůli tomuto Rozhodnutí Komise č. 2011/130/EU, nově kvůli eIDASu). Což výše uváděné výpisy ze základních registrů či z Obchodního rejstříku stále nedělají.

A to ještě nemluvím o tom, že dnes již účinný zákon č. 297/2016 Sb. o službách vytvářejících důvěru ve svém §11 požaduje, aby i takovéto výpisy z veřejných rejstříků byly opatřeny časovým razítkem. Což dodnes nejsou. Přitom právě časové razítko, přidávané k dokumentu a vytvářené z otisku získaného již pomocí SHA-2, by mohlo eliminovat nebezpečí, plynoucí z použití zastaralé a slabé funkce SHA-1.

Neignorujme digitální kontinuitu!
Na závěr tohoto článku bych rád využil příležitosti a znovu zdůraznil dlouhodobě ignorovaný problém digitální kontinuity. Tedy problém toho, co nám právě bylo velmi názorně předvedeno a prokázáno – že kryptografické algoritmy a funkce s postupem času zastarávají, s tím jak roste výpočetní kapacita dostupných počítačů (a jak se občas daří nalézat různé triky a „zkratky“ na uspíšení). Čímž se otevírá a stává reálně schůdnou cesta pro ty, kteří by chtěli námi původně podepsané dokumenty nahradit nějakými svými (kolizními) dokumenty. Třeba jen proto, aby z původní 1 udělali nově 1000 (viz reálný příklad v tomto balíčku).

test
Takže pokud chceme uchovávat své elektronické dokumenty v takovém stavu, abychom se na ně mohli – ještě po nějaké delší době – stále spoléhat, musíme tomuto trendu jít naproti. Musíme se starat o včasné posílení toho, jak jsou naše dokumentu zabezpečeny právě proti možné záměně kolizními dokumenty. Nesmíme čekat na to, až se to stane reálně možné, protože pak už by bylo pozdě. Musíme to dělat včas, a to pravidelně, skrze nasazení nových, „lepších“ a hlavně silnějších hašovacích funkcí a delších klíčů. Nejsnáze cestou přidávání dalších časových razítek (pravidelného přerazítkovávání).

Na tuto nezbytnost se stále zapomíná. Nejspíše proto, že je pracná, relativně složitá, a také něco stojí. Samozřejmě je jednodušší nic nedělat a nechávat elektronické dokumenty jen tak někde válet v šuplíku, s představou, že za x let je budeme moci využít (a hlavně: spoléhat se na jejich pravost a autenticitu) úplně stejně jako dnes. Budiž nám dnešní příběh kolem hašovací funkce mementem a důrazným upozorněním, že tomu tak není a nebude.

Podvodníci jdou po penězích. Každou sekundu zosnují na internetu jeden útok

26.2.2017 Novinky/Bezpečnost
Vydávají se za pracovníky banky, ale klidně i za poslíčky doručovacích společností. Při lákání svých obětí na internetu jsou počítačoví piráti neskutečně vynalézaví. Využívají přitom zpravidla nepozornosti a strachu lidí. Cíl podobných phishingových útoků bývá většinou stejný – peníze.
Pojem phishing je možné přeložit do češtiny jako rybaření. Útočníci si totiž podobně jako rybáři skutečně počínají. Při této technice trpělivě vyčkávají na své oběti, aby je mohli nalákat na nějakou návnadu – například výhru či finanční hotovost.

Od důvěřivců pak vylákají klidně i hesla, čísla kreditních karet nebo jiné údaje. Uživatelé tak nevědomky pomáhají počítačovým pirátům ovládnout jejich účet nebo klidně i umožní ukrást peníze přes internetové bankovnictví.

Podobné phishingové útoky se nejčastěji síří prostřednictvím nevyžádaných e-mailů. V poslední době ale kyberzločinci velmi rádi používají také nejrůznější reklamy a sociální sítě.

Rybaří na celém internetu
Na první pohled by se mohlo zdát, že si počítačoví piráti přesně vybírají, na koho zaútočí. Opak je ale pravdou. Podle analýzy antivirové společnosti Kaspersky Lab za rok 2016, která byla zveřejněna tento týden, se totiž útok uskuteční každou sekundu. To jinými slovy znamená, že kyberzločinci své útoky často necílí, ale snaží se je šířit co nejvíce – rybaří tak doslova na celém internetu.

Je navíc evidentní, že útočníkům jde především o peníze. „V porovnání s rokem 2015 vzrostlo množství finančních phishingových útoků v roce 2016 o 13,14 procentních bodů. Ze všech zablokovaných phishingových útoků tak cílilo 47,48 % na finance,“ uvedli zástupci antivirové společnosti.

Loni jsme zaznamenali na 155 miliónů pokusů o vstup na různé phishingové stránky.
zástupci antivirové společnosti Kaspersky Lab
Z analýzy vyplývá také to, že uživatelé se na podobné rybářské snahy velmi často nechají nachytat. „V loňském roce zaznamenaly anti-phishingové technologie společnosti Kaspersky Lab téměř 155 miliónů uživatelských pokusů o vstup na různé phishingové stránky. Z tohoto počtu se v bezmála polovině heuristických detekcí jednalo o vstup na stránky s finančním phishingem,“ podotkli bezpečnostní experti.

„Jejich cílem bylo získat cenné osobní informace uživatelů, jako například čísla bankovních a kreditních účtů, čísla sociálního zabezpečení nebo přihlašovací jméno a heslo do internetového bankovnictví. Tyto informace chtěli kyberzločinci využít ke krádeži peněz obětí,“ stojí v závěrečné zprávě shrnující výsledky studie.

Nejčastěji se přitom podvodníci při podobných útocích vydávají za bankéře. „Každý čtvrtý útok (25,76 %) využil falešné bankovní informace nebo jiný obsah vztahující se k bankovním záležitostem – jedná se o nárůst o 8,31 procentního bodu oproti roku 2015. Podíl phishingu vztahujícího se k platebním systémům vzrostl o 11,55 % (nárůst oproti 2015 o 3,75 procentního bodu), a podíl phishingu z oblasti e-shopů vzrostl o 10,14 % (nárůst oproti 2015 o 1,09 procentního bodu). Podíl finančního phishingu detekovaného na MacOS činil 31,38 %,“ uzavřeli zástupci antivirové společnosti.

Obezřetnost je na místě
Při nejrůznějších nabídkách na internetu, které například slibují odměnu za použití nové verze internetového bankovnictví, by tak měli být uživatelé velmi opatrní. Vhodné je například přímo u své banky ověřit, zda podobná akce skutečně běží.

Stejně tak se vyplatí dávat pozor na různé soutěže a upozornění přepravních společností – v minulosti se totiž kyberzločinci vydávali například i za poslíčky. Uživatelům rozesílali SMS zprávy, ve kterých slibovali doručení nějakého balíčku.

Ve skutečnosti se však důvěřivce snažili pouze donutit stáhnout podvodnou aplikaci, která se aktivuje při snaze o spuštění internetového bankovnictví. Uživatelé tak svoje přihlašovací údaje naservírovali podvodníkům doslova jak na zlatém podnosu.

Blikající LEDka může být zneužita k úniku dat

26.2.2017 SecurityWorld Hacking
Izraelští vývojáři přišli na způsob, jak hacknout počítač pomocí diody hard disku.

Zdánlivě neškodně blikající kontrolky stolních počítačů či serverů mohou napáchat pořádné škody. Izraelští vývojáři přišli s novým způsobem, jak se skrz ně nabourat do počítače a dostat z něj citlivá data. Svůj objev prezentují videem, v němž hacknutý počítač skrz LED diodu vysílá data, která čte nedaleko poletující dron.

Metodu vyvinuli za účelem poukázání na zranitelnost tzv. air gap zařízení, tedy systémů či počítačů postrádajících z bezpečnostních důvodů bezdrátové technologie nebo počítačů záměrně odpojených od internetu. Takové obvykle obsahují vysoce důvěrné informace nebo slouží k ovládání důležitých infrastruktur. Už v minulosti se však k jejich datům podařilo proniknout například s využitím hluku vydávaného větrákem počítače či diskem anebo třeba s pomocí vyzařovaného tepla.

Nejnovější metoda k hacknutí využívá blikání LED diody hard disku aktivní v okamžicích, kdy na disku probíhá čtení nebo zápis dat. Výzkumníci zjistili, že za pomocí malwaru mohou diodu kontrolovat tak, aby blikáním vysílala binární signály, což podle nich stačí k přenosu až 4000 bitů za sekundu, zkrátka dost na to, aby z počítače získali hesla či šifrovací klíče bez toho, aby vzbudili jakékoliv podezření.

„Diody na disku blikají s takovou frekvencí, že si nikdo nemůže všimnout čehokoliv divného,“ uvedl vedoucí výzkumného týmu Mordechai Guri.

K přečtení vysílaného signálu pak je třeba už jen kamera nebo optický senzor, přičemž Izraelci tvrdí, že ho dokážou přijímat až ze vzdálenosti dvaceti metrů, klidně i zpoza oken budovy. S čočkami s náležitým zoomem pak tato vzdálenost může být ještě větší.

Uplatnit tento hack v praxi by však nejspíš nebylo snadné, vývojářům totiž zatím chybí to podstatné – malware, kterým by LED diodu ovládali, a hlavně by vždy tento malware do vytipovaného počítače potřebovali nějak dostat, což vzhledem k obvyklým důkladným ochranným opatřením u air gap systémů, bude klíčovým problémem. Výzkumníci zároveň férově zmínili jednoduché řešení, jak podobnému hacku předcházet. Diodu stačí přelepit páskou...

Kyberútoky ve službách politiky

25.2.2017 SecurityWorld BigBrother
Když exprezident Václav Klaus představil na počátku loňského září protiuprchlickou výzvu, její web se rychle stal terčem útoků. Během první hodiny zaznamenali provozovatelé nejméně dvacet pokusů o modifikaci stránek, což názorně svědčí o jednom: politika se vede i na internetu – a to všemi prostředky.

Využití kybernetického prostoru k prosazování názorů „násilnou cestou“ není přitom fenomén nový. Ovšem v české kotlině byl zatím spíše výjimečný, což ale představovalo jakousi lokální anomálii.

Jak ale ukazují události poslední doby, začínáme svět rychle dohánět. Leč nepředbíhejme.

Zřejmě první případ zneužití kybernetického prostoru k politickému nátlaku se stal v říjnu 1989 a měl podobu červa WANK (Worm Against Nuclear Killers). Ten byl součástí širší protijaderné kampaně (trochu absurdně brojil proti atomovým zbraním, ale „protestoval“ proti startu meziplanetární sondy Galileo s jadernou baterií na palubě).

Jinak šlo o druhý největší útok červa v historii internetu: pokud je měřítkem celkové procento napadených počítačů (největším útokem byl legendární Morrisův Worm z listopadu 1988).

V první polovině devadesátých let se objevily desítky počítačových virů, které v konkrétních dnech nebo při určitých příležitostech zobrazovaly požadavek na zastavení francouzských jaderných testů v Tichomoří. Mnohé z nich se dostaly i do Česka: kybernetická politika tak zřejmě poprvé dorazila do našich počítačů.

Hudba jako záminka

V říjnu 1994 aktivistická skupina Zippies vytvořila e-mailovou bombu a podnikla několik DDoS útoků proti britské vládě a zvláště pak premiérovi Johnu Mayorovi.

Ten totiž prosazoval zákon (zákon o kriminálních činech a veřejném pořádku), v němž byla i kontroverzní pasáž zakazující venkovní hlasitou hudbu s „řadou opakujících se taktů“.

Útok vstoupil do dějin jako „Intervasion of the UK“ a některé weby byly díky němu mimo provoz i více než týden. Šlo o zřejmě první použití DDoS útoku k politickému nátlaku. Zákon nakonec neprošel a kybernetická komunita si postupně začala uvědomovat svoji sílu a možnosti.

V červenci 2001 vyzvala mezinárodní skupina Hacktivismo k občanské neposlušnosti v kybernetickém prostoru. Vydala dokonce „Hacktivistickou deklaraci“, o které tvrdila, že je stejně významná jako Všeobecná deklarace lidských práv OSN.

Podle ní měl mít člověk na internetu zaručené „právo na názor a vyjádření“ a stejně tak mělo být zaručené právo vyvíjet a vlastnit technologie proti „státem sponzorované cenzuře internetu“.

Na první pohled lákavá myšlenka ale narazila na několik úskalí. Jednak svázat do podoby nějaké konvence volnomyšlenkářské aktivity na internetu není tak jednoduché. A jednak její kritici upozorňovali na protimluv, kdy deklarace měla garantovat svobodu vyjadřování jedné straně tím, že by ji upírala druhé.

Velké politikum přinesly duben 2007 a dnes již legendární přesun sochy rudoarmějce z centra estonského Tallinu. „Protest“ prokazatelně pocházející ze sousedního Ruska zasáhl prakticky kompletní infrastrukturu internetu v Estonsku.

Zkolabovaly počítače státní správy, nefungovala burza, v tradičně na kybernetických technologiích postavené zemi nebylo možné si prakticky nic vyřídit.

K útoku se přihlásila prokremelská skupina „Naši“, která zároveň popřela přímé rozkazy k jeho provedení z vyšších míst. I kdyby to byla pravda, je nabíledni, že Rusko proti útočníkům (prokazatelně porušujícím i jeho zákony) jakkoliv nezasáhlo.

A jaká je současnost?

Přenesme se nyní o několik let do současnosti. Analytici už několik let předpovídali dramatický nárůst politického kybernetického boje v naší zemi – a zřejmě se konečně dočkali.

Třeba na Slovensku už ve volebním roce 2012 padaly weby politických stran jako hrušky, o dezinformace a falešné profily nebyla nouze.

Největší českou aférou tak zůstávalo závratně rychlé získání 5 000 „lajků“ Strany práv občanů v září 2013 za jediný víkend. Většina nových obdivovatelů přitom byla z jihovýchodní Asie. (Pro úplnost: typická sazba je 200 Kč za získání 150 až 250 lajků.)

Po loňské protiuprchlické výzvě zmíněné v úvodu článku pak v prosinci 2015 někdo napadl twitterový účet premiéra Bohuslava Sobotky. A v lednu letošního roku web White Media zveřejnil v několika vlnách části jeho e-mailové korespondence.

Nic zásadně kompromitujícího v ní nebylo (kromě jednoho dokumentu ve stupni „Vyhrazené“, což je v ČR nejnižší stupeň utajení označující dokument, u něhož by neoprávněné nakládání mohlo být pro republiku nevýhodné), přesto samozřejmě využívání soukromé nee-mailové schránky k pracovním účelům (na takto kritické pozici) není v souladu se zásadami bezpečné komunikace.

V květnu pak útočníci napadli stránky senátu, policie a ČSSD – zaměřili se prý i na hasiče a ministerstvo vnitra. Reagovali tak na zákon o regulaci hazardu, který podle mnohých zavádí nebezpečný precedens v omezování svobody internetu.

A pokud se zase podíváme do světa, pak jedním z hlavních „kostlivců ve skříni“, kteří jsou neustále dokola vytahované na americkou prezidentskou kandidátku Hillary Clintonovou, je neoprávněné použití soukromého poštovního serveru k pracovní komunikaci.

Jistě, není to přímo kybernetický útok, ale spíše otázka osobní disciplíny. Problém každopádně není došetřen a bezpochyby o něm ještě uslyšíme. Každopádně je na něm ale vidět, že ICT bezpečnost začíná mít čím dál větší váhu i v politice.

Experti bijí na poplach. Ransomware útočí stále častěji

24.2.2017 Novinky/Bezpečnost Viry
Dramatický nárůst útoků vyděračských virů, které jsou označovány souhrnným názvem ransomware, zaznamenali bezpečnostní experti. Podle aktuální zprávy antivirové společnosti Check Point se jejich podíl mezi jednotlivými hrozbami v druhé polovině loňského roku zvýšil na dvojnásobek. A bude hůř…
Co je ransomware? Každý třetí člověk to neví

Vyděračské viry, které jsou často označovány souhrnným názvem ransomware, patří několik posledních měsíců k těm nejzávažnějším hrozbám. Přesto každý třetí člověk neví, co slovo ransomware vlastně znamená. Tedy ani to, že jde o počítačového záškodníka. Vyplývá to z průzkumu antivirové společnosti Eset.
Průzkum se uskutečnil v USA a Kanadě, přičemž se ho dohromady účastnilo více než tři tisíce lidí. Třetina z nich odpověděla, že vůbec neví, co slovo ransomware znamená.
Bezpečnostní experti jim vysvětlili, že jde o škodlivé kódy, které dokážou uzamknout počítač a zašifrovat všechna uložená data. Také jim objasnili, že jde o škodlivé kódy, které uzamknou počítač, zašifrují data a za jejich zpřístupnění požadují výkupné. To by však 85 % lidí nebylo ochotných zaplatit. Raději by o takto uloupená data přišli.
Zajímavá je také informace o tom, jak si lidé svoje data chrání. Rovných 31 % dotázaných totiž uvedlo, že soubory uložené v počítači vůbec žádným způsobem nezálohuje. A to ani fotografie či videa. V případě útoku vyděračského viru by tak o svá data nenávratně přišli.
„V roce 2016 byly detekovány tisíce nových ransomwarových variant a v posledních měsících jsme byli svědky další změny. Ransomware je stále více a více centralizovaný a několik významných malwarových rodin dominuje celému trhu a útočí na organizace všech velikostí,“ podotkl Petr Kadrmas, bezpečnostní odborník ze společnosti Check Point.

Podle něj ale pochopitelně nejsou ničím výjimečným ani útoky na koncové uživatele. Na podniky a firemní sítě se nicméně počítačoví piráti zaměřují ještě častěji, protože tam mohou napáchat daleko větší neplechu.

Důvod, proč kyberzločinci ransomware tak často šíří, je prostý. „Ransomware prostě funguje a generuje útočníkům zisky. Organizace se snaží efektivně chránit, ale mnoho z nich nepoužívá správné zabezpečení a podceňuje vzdělávání zaměstnanců, kteří by rozpoznáním příznaků útoku mohli zabránit nákladným škodám,“ podotkl Kadrmas.

Vše tedy nasvědčuje tomu, že v letošním roce se budou vyděračské viry šířit ještě více, než tomu bylo v tom loňském.

Útoky jsou sofistikovanější
Sluší se navíc připomenout, že v šíření podobných nezvaných návštěvníků jsou kyberzločinci stále vynalézavější. Mnohdy případný útok nemusí odhalit ani zkušení uživatelé.

Jedním z nejnovějších triků je zobrazování webových stránek s nesmyslnými znaky. S podobnými, jaké se zobrazují například v textových dokumentech, pokud v počítači není nainstalovaný použitý font písem. Uživatel tak musí v praxi znakovou sadu manuálně doinstalovat, aby si mohl text přečíst.

A přesně na to sázejí počítačoví piráti. „Uživateli je zobrazena výzva k instalaci balíčku fontů pro Google Chrome s tím, že tím bude problém vyřešen,“ konstatoval Pavel Bašta, bezpečnostní analytik CSIRT.CZ.

„Pokud uživatel na trik skočí, problémy mu teprve začnou, neboť si místo fontů nainstaluje do svého počítače trojského koně, nebo dokonce ransomware,“ doplnil bezpečnostní analytik s tím, že s podobnými útoky se mohou uživatelé setkat i na legitimních webových stránkách, které se podaří počítačovým pirátům napadnout.

Výkupné neplatit
Útoky vyděračských virů jsou vždy na chlup stejné. Nejprve tito záškodníci zašifrují všechna data uložená na pevném disku. Za jejich zpřístupnění pak útočníci požadují výkupné, a to klidně i několik tisíc korun.

Kyberzločinci se zpravidla snaží v majiteli napadeného stroje vzbudit dojem, že se ke svým souborům dostane po zaplacení pokuty.

Sluší se připomenout, že výkupné by ale lidé neměli platit, protože nemají žádné záruky, že data budou skutečně zpřístupněna. Z podobných případů, které se objevovaly v minulosti, dokonce vyplývá, že nedochází k odšifrování dat prakticky nikdy. Jediným řešením je počítač odvirovat, což však nemusí být jednoduché.

Nejbizarnější virus pro Android? Falešný Avast obalený falešným PornHubem, za který zaplatíte 100 dolarů
24.2.2017 Novinky/Bezpečnost Viry
Autorům ransomwaru pro Android se nedá upřít jedna věc
Mají zvrácený smysl pro humor
Vydávají se za Avast, FBI nebo třeba NSA
Autorům ransomwaru – nebezpečného malwaru, který zašifruje data a žádá výkupné – nelze upřít jednu věc: Smysl pro humor, i když poněkud zvrácený. Vyplývá to alespoň z bezpečnostní studie Trends in Android Ransomware (PDF), kterou připravili analytici z Esetu a která se tentokrát věnuje vyděračským virům, jenž se v minulosti šířily a mnohé i nadále šíří světem Androidu.

Aby měl ransomware čas zašifrovat přinejmenším veřejnou paměť na telefonu (SD kartu, sdílené vnitřní úložiště aj.), často se vydává za vcelku legitimní program. A než si leckdo všimne něčeho podezřelého, už může být pozdě.

Některé takové exempláře, které zachytili v Esetu, si však opravdu zaslouží pozornost. Jedním z nich je falešný antivirus označovaný jako Android/FakeAV.E. To samo o sobě není nic neobvyklého, protože v této podobě se začal šířit nejeden malware i na klasickém desktopu. Zdánlivě důvěryhodná aplikace, kterou jste dobrovolně spustili, pak ve skutečnosti natahala do počítače další malware, anebo začala šifrovat jeho pevný disk.

Falešný Avast obalený falešným PornHubem

Jeden takový mobilní antivirus je však trošku jiný, je totiž obalen ještě další fiktivní aplikací – PornHubem. Portál pro fanoušky nezávislé kinematografie asi netřeba příliš představovat. A proč si jej záškodníci vybrali? Nejen pro jeho věhlas, ale především proto, že Play Store neumožňuje publikaci pornografických aplikací, a tak i PornHub distribuuje aplikaci samostatně jako APK balíček, který musíte instalovat ručně. Tím pádem neprojde antivirovou kontrolou na straně Googlu a běžný uživatel zároveň povolí instalaci aplikací z alternativních zdrojů, čehož mohou využít další viry.

Klepněte pro větší obrázek

Skutečný a falešný PornHub s Avastem

V každém případě, jakmile aplikaci spustíte, zobrazí se sice základní obrazovka PornHubu, ihned poté ale i výzva ke kontrole virů. No a pak už to jde ráz naráz. Falešný antivirus Avast samozřejmě dle zadání autora vypíše bohatý seznam malwaru, které údajně našel, ve skutečnosti však sám zaviroval paměť, načež zobrazí drzý dialog, že z bezpečnostních důvodů raději vše zablokoval a vy si musíte koupit verzi Pro – tedy zaplatit výkupné 100 dolarů… Skrze bitcoin.

Falešná policie, FBI a NSA

Další zajímavou kamufláží nejednoho ransomwaru jsou bezpečnostní složky – zejména policie. Ta má přeci všude na světě respekt, takže se každý zalekne a raději zaplatí. Některé podvodné aplikace, které zašifrují data a žádají výkupné, tak sází na to, že po spuštění zobrazí dialog s informací, že na mobilu našly nějaký ten ilegální obsah – typicky warez, a podle paragrafu XYZ vám hrozí pokuta a trest odnětí svobody, čemuž se vyhnete pouze v případě, že zaplatíte malý správní poplatek... Skrze bitcoin.

Klepněte pro větší obrázek

Falešná ruská policie si pořídí i váš snímek, zatímco FBI a NSA jdou rovnou na věc a chtějí zaplatit pokutu, jinak budete vydáni do USA

Ochrana před podobným smetím na telefonu je přitom již roky stejná a vlastně docela jednoduchá. V prvé řadě stačí používat selský rozum a instalovat pouze aplikace s dobrým hodnocením, přes veškerou snahu Googlu totiž není zcela bezpečný ani jeho Play Store a čas od času přes jeho antivirové kontroly přeci jen něco proklouzne.

Falešné nabídky už neletí. Podvodníci zkoušejí zcela nový trik

23.2.2017 Novinky/Bezpečnost Hacking
V loňském roce se na internetu doslova roztrhl pytel s falešnými nabídkami na slevy a výhodné akce. Kyberzločinci se tak často vydávali za obchodníky nebo zástupce nějaké finanční společnosti a z důvěřivců lákali přihlašovací údaje či se jim snažili infikovat počítač škodlivým virem. Letos však přišli s daleko sofistikovanějším podvodem. Uživateli zobrazí jen roztodivné klikyháky.
Před novým trikem varoval Národní bezpečnostní tým CSIRT.CZ, který je provozován sdružením CZ.NIC.

„Byl zaznamenán nový trik, jak donutit uživatele k instalaci malwaru. V tomto případě je malware distribuován s pomocí webových stránek, na kterých se zobrazují nesmyslné znaky,“ uvedl Pavel Bašta, bezpečnostní analytik CSIRT.CZ.

Podobné znaky se často zobrazují například v textových dokumentech, pokud v počítači není nainstalovaný použitý font písem. Uživatel tak musí v praxi znakovou sadu manuálně doinstalovat, aby si mohl text přečíst.

Místo nového fontu virus
A přesně na to sázejí počítačoví piráti. „Uživateli je zobrazena výzva k instalaci balíčku fontů pro Google Chrome s tím, že tím bude problém vyřešen,“ konstatoval Bašta.

„Pokud uživatel na trik skočí, problémy mu teprve začnou, neboť si místo fontů nainstaluje do svého počítače trojského koně, nebo dokonce ransomware Spora,“ doplnil bezpečnostní analytik s tím, že s podobnými útoky se mohou uživatelé setkat i na legitimních webových stránkách, které se podaří počítačovým pirátům napadnout.

Chtějí výkupné
Ransomware je souhrnné označení vyděračských virů, které dělají bezpečnostním expertům vrásky na čele již několik posledních měsíců. Útoky těchto nezvaných návštěvníků probíhají vždy na chlup přesně.

Nejprve zašifrují vyděračské viry všechna data uložená na pevném disku. Za jejich zpřístupnění pak útočníci požadují výkupné, a to klidně i několik tisíc korun.

Kyberzločinci se zpravidla snaží v majiteli napadeného stroje vzbudit dojem, že se ke svým souborům dostane po zaplacení pokuty. Ta byla údajně vyměřena za používání nelegálního softwaru apod. I proto jim celá řada lidí již výkupné zaplatila.

Ani po zaplacení výkupného se ale uživatelé ke svým datům nedostanou. Místo placení výkupného je totiž nutné virus z počítače odinstalovat. Zpřístupnit nezálohovaná data je už ale ve většině případů nemožné.

Nečitelné webové stránky, respektive nabídka instalace chybějícího fontu, jsou jen další snahou kyberzločinců, jak šířit vyděračské viry.

Více než 75 % ransomwaru pochází od ruskojazyčných zločinců
23.2.2017 Root.cz Viry

Přinejmenším 47 z celkových 62 ransomwarových rodin objevených v roce 2016 experty Kaspersky Lab bylo vyvinuto ruskojazyčnými kyberzločinci. To je jedno ze zjištění průzkumu, zaměřeného na ruskojazyčné ransomwarové podsvětí.
Společnost Kaspersky Lab zjistila, že se malé skupiny s omezenými schopnostmi transformují do velkých uskupení, která mají zdroje a ambice útočit na soukromé a korporátní cíle po celém světě.

Šifrovací ransomware – druh malwaru, který zašifruje složky oběti a za jejich odšifrování požaduje výkupné – je v současnosti jedním z nejnebezpečnějších druhů malwaru. Na základě dat společnosti Kaspersky Lab bylo v roce 2016 napadeno tímto druhem malwaru více než 1 445 000 uživatelů (včetně firem) po celém světě, píše se ve zprávě. S cílem lépe porozumět charakteru těchto útoků vypracovala Kaspersky Lab přehled ruskojazyčné ilegální komunity.

V poslední době je zaznamenatelný dramatický nárůst počtu útoků. Zpráva se zabývá také tím, proč se to děje právě teď, když ransomware je tu s námi už přes deset let. Důvody jsou prý tři:

Na černém trhu je velmi snadné koupit si nástroje k sestavení vlastního ransomware,
je možné si také koupit službu k distribuci vyděračského kódu,
díky kryptoměnám je byznysmodel vyděračů velmi jednoduchý.
Tři kola v soukolí
Jedním z hlavních zjištění je, že za vzestupem útoků šifrovacím ransomwarem v průběhu několika posledních let stojí velmi přizpůsobivý a uživatelsky nenáročný ekosystém. Ten dovoluje zločincům zaútočit šifrovacím ransomwarem bez ohledu na jejich programátorské schopnosti a finanční zdroje.

Odborníci identifikovali tři druhy zapojení do kriminální činnosti, týkající se ransomwaru:

Tvorba a vylepšování nových ransomwarových rodin,
vývoj a podpora programů spojených s distribucí ransomwaru,
účast v přidružených programech jako partner.
První druh zapojení vyžaduje po účastníkovi pokročilou znalost programování. Kyberzločinci, kteří vytvářejí nový ransomware, se v ransomwarovém podsvětí těší největší úctě, protože jsou to právě oni, kdo dávají vzniknout klíčovému elementu, na němž stojí celý ekosystém.

Inzerát nabízející ransomware s pokročilými vlastnostmi: silné šifrování, anti-emulační techniky, možnost zálohování uživatelských dat…
O úroveň níže jsou v hierarchii ti, kdo stojí za vývojem přidružených programů. Spadají sem i kriminální komunity, které s pomocí různých nástrojů, jako jsou exploit kit nebo spam, šíří ransomware.

Partneři přidružených programů jsou na nejnižší úrovni celého systému. Za využití různých technik pomáhají majitelům přidružených programů s distribucí malwaru výměnou za podíl na výkupném. Jediné co tito členové potřebují, je odhodlání a připravenost spáchat nelegální čin, přičemž pro vstup do tohoto „podnikání“ jim stačí jen pár bitcoinů.

Staň se partnerem, čím víc vyděláš, tím víc ti zůstane
Velký byznys především z Ruska
Podle odhadů se celkový denní výnos přidružených programů může pohybovat v desítkách až dokonce stovkách tisíc dolarů, z nichž okolo 60 % zůstává u samotných tvůrců jako čistý zisk.

Experti navíc při prozkoumávání tohoto podsvětí identifikovali několik rozsáhlých skupin ruskojazyčných zločinců specializujících se na vývoj a distribuci šifrovacího ransomwaru. Tyto skupiny mohou sdružovat desítky různých partnerů, z nichž každý má jiné programy cílící nejen na běžné internetové uživatele, ale i malé a střední podniky či dokonce velké společnosti. Původně se tyto skupiny zaměřovaly na Rusko a státy bývalého Sovětského svazu, ale nyní projevují čím dál větší zájem o společnosti i v jiných částech světa.

Více než tři čtvrtiny jednotlivých rodin ransomware mají napojení na rusky mluvící skupiny či jednotlivce. Tyto informace vycházejí z fór, řídicí infrastruktury a dalších informací dostupných na internetu, píše se ve zprávě. Důvodů je prý opět několik: v Rusku a jeho okolí je spousta zkušených programátorů a především tamní podsvětí má už s vyděračským softwarem své zkušenosti.

Ještě před dnešní velkou vlnou ransomware napojeného na kryptoměny se mezi lety 2009 a 2011 objevila v rusky mluvících zemích epidemie „lockerů“, které znemožnily používat prohlížeč nebo celý operační systém, dokud uživatel nezaplatil. Tehdy se platilo především pomocí prémiových SMS, dnes se otevřela cesta k jinému způsobu placení. Model ale zůstává stejný.

Několik velkých jmen na špici
Programátoři, šiřitelé i partneři tvoří velkou velkou organizaci, která se dohromady živí kyberzločinem. V současné době existuje v ruskojazyčných zemích jen několik velkých ransomwarových skupin. V čele stojí tvůrce malware a zároveň šéf celé operace. Ten tvoří samotný útočný kód, jeho moduly a spravuje provozní infrastrukturu.

S ním spolupracuje manažer, jehož prací je získávat nové partnery a podporovat ty stávající. Jen manažer přímo komunikuje s tvůrcem. Partneři, kterých je několik desítek, pak mají za úkol získávat aktuální verzi ransomware a šířit ji mezi oběti. Dělají to pomocí různých nástrojů a také pomocí affiliate spolupracovníků – lidí na nejnižší příčce v žebříčku. Všichni dostanou z vydělaných peněz svůj podíl.

Tisíce dolarů denně
Podle analýzy Kaspersky Lab se může příjem takové úspěšné skupiny pohybovat v řádu tisícovek dolarů denně. Profesionálně organizovaná skupina má ale zároveň nemalé výdaje, musí: aktualizovat malware, psát pro něj moduly, vylepšovat šifrování, přidávat nové techniky skrývání, sledovat reakci antivirových společností a platit lidi udržující infrastrukturu. Přesto zůstane v kapsách útočníků většina příjmů – až 60 %.

Ransomware se pak šíří především čtyřmi cestami: exploit kity, spamovými kampaněmi, sociálním inženýrstvím a cílenými útoky. Nejúspěšnější je využití exploit kitů, jejichž pronájem stojí tisíce dolarů měsíčně. Druhou nejúspěšnější metodou je šíření pomocí spamu, který se obvykle vydává za důležitou zprávu úřadů nebo třeba banky.

K útokům se čím dál častěji zneužívají také skutečné e-mailové účty už napadených firem. To usnadňuje šíření, protože nový příjemce dostává poštu od uživatele, kterého skutečně zná a může si s ním běžně psát. Zdá se, že útočníci napadnou jednu společnost, dostanou se do jejího e-mailového systému a pak odesílají ransomware na získané kontakty.

Profesionální skupiny se přesouvají k cíleným útokům
Analýza také říká, že se útočníci čím dál častěji přesouvají k cíleným útokům. Od jednotlivých uživatelů a malých organizací jdou spíše za relativně velkými firmami, které je možné přímo vydírat a získat tak jednorázově velké sumy. V jednom případě jsme viděli cílený útok na firmu s 200 počítači a jinou s 1000 stanicemi, říká zpráva.

Použitá metoda se přitom zásadně liší od dříve používaných postupů – nepoužívají se e-mailové kampaně, ale cílený útok na síť. Nejprve je nalezen zranitelný server, který patří velké společnosti. K útoku jsou použity volně dostupné exploity a nástroje. Pokud je v síti otevřený RDP přístup, útočníci jej využijí.

Poté jsou použity RAT nástroje jako PUPY a Mimikatz pro infikování sítě. Poté útočníci síť studují a prozkoumají a v konečné fázi pro ni na míru napíší ransomware, který ještě nebyl použit nikde jinde. Druhou variantou je ruční zašifrování důležitých souborů na serverech.

Útočníci se podle Kaspersky Lab přesouvají k sofistikovanějším typům útoku také proto, že jde o úspěšný byznys a skupiny jsou velmi dobře financovány. Zároveň je v případě firem způsobit přímé škody paralyzováním celé infrastruktury a poté požadovat velké výkupné. Odborníci proto radí, abyste rozhodně v případě takového útoku neplatili. Pokud to uděláte, vaše peníze poputují do ekosystému a čím víc financí zločinci dostanou, tím lepší budou mít přístup k sofistikovanějším nástrojům a dalším příležitostem.

Ransomware je instalován místo fontu pro Google Chrome. Útočníci jej šíří i na legitimních webech
23.2.2017 Živě.cz Viry

Jednu z nových cest, které mají malware dostat ke svým obětem popsal web Forbes. Je zaměřena především na uživatele nejrozšířenějšího prohlížeče Chrome a nejčastěji je uživatel napaden ransomwarem – škodlivým programem, který se postará o zašifrování souborů. Jejich znovuzpřístupnění je potom podmíněno zaplacením výkupného.
Chytrý kryt pro webovou kameru má chránit soukromí. Zaujal na Kickstarteru
Aktuální hrozba využívá dobře známého triku, kdy je uživateli podsunut falešný instalační soubor důležitého doplňku. Většinou to bývá aktualizace Flash Playeru či Javy, která umožní přehrání obsahu na webu. Tady však útočnici využili nový trik, kdy je malware distribuován na webu s nečitelným textem, který má být zpřístupněn po nainstalování dodatečných fontů. Místo nich je však uživateli nabídnut spustitelný EXE soubor, který se sice nazývá Chrome Font v7.51, ale místo nových písem se uživatel dočká zašifrovaných dat.

Klepněte pro větší obrázek
Útočníci naservírují uživateli web s nečitelným textem. Ten má být korektně zobrazen až po instalaci nového fontu. Za ním se samozřejmě skrývá malware (zdroj: Neosmart)

Pokud tedy náhodou narazíte na web, který zobrazí hlášku typu HoeflerText font was not found, rozhodně nestahujte nabízený soubor. Před instalací by měl rovněž upozorňovat samotný prohlížeč, nicméně neopatrní uživatelé by se k instalaci přeci jen mohli odhodlat.

Klepněte pro větší obrázek
Před stažením nebezpečného souboru by měl upozornit samotný Chrome výstrahou (zdroj: Neosmart)

Největší nebezpečí spočívá ve způsobu distribuce – útočníci totiž využívají legitimní webové stránky, k nimž získali přístup.

Java má další kritickou zranitelnost, zneužít jde integrovaný FTP klient

23.2.2017 SecurityWorld Zranitelnosti
Prostředí Javy a Pythonu nesprávně potvrzují platnost FTP odkazů, což může útočníkům případně usnadnit prolomení některých částí firewallu a přístup do lokální sítě.

Bezpečnostní výzkumník Alexander Klink odhalil zajímavý útok, kde zneužití XXE (XML External Entity útok) zranitelnosti v aplikace napsané v Javě umožňuje rozesílání e-mailů.

XXE zranitelnosti mohou být zneužity přelstěním aplikací, které provedou syntaktickou analýzu (parsování) specificky vytvořených XML souborů. Tyto soubory donutí XML parser odhalit citlivé informace jako jsou soubory, informace o adresář nebo i o procesech, které na serveru běží.

Klink popsal, že stejný typ zranitelností umí zmást běhové prostředí Javy tak, aby započalo FTP spojení se vzdálenými servery tím, že mu zašle FPT URL ve formátu ftp://user:password@host:port/file.ext.

Ukázalo se že, že vestavěná implementace FTP klienta v Javě nefiltruje speciální CR a LF znaky z odkazů a překládá je.

Vložením takových znaků do části pro uživatelské jméno nebo heslo v URL FTP může být FTP klient Javy zmaten natolik, aby začal vykonávat škodlivé příkazy, a dokonce se může tvářit a částečně fungovat jako SMTP (e-mailový protokol), protože syntaxe FTP a SMTP jsou si podobné.

Exploatací XXE zranitelnosti Klink ukázal, jak snadno může útočník přinutit aplikaci Javy odeslat e-mail na SMTP server.

„Tento útok je obzvláště zajímavý v situaci, kdy můžete poslat mail do interního (často nezabezpečeného, třeba i bez spam nebo malware filtru) e-mailového serveru ze stroje, který se zabývá XML parsingem,“ vysvětluje Klink v příspěvku na blogu.

Poté, co se o zranitelnosti objevené Klinkem dozvěděl Timothy Morgan, výzkumník u Blindspot Security, rozhodl se zveřejnit své znalosti o podobném útoku, který funguje v implementaci FTP v Javě i Pythonu. Tento útok je však mnohem vážnější, neboť dokáže prolomit firewall.

Morgan útoku říká „stream injection FTP prokolu skrze škodlivé URL“ a rovněž zahrnuje vložení škodlivých příkazu do FTP kvůli absenci CR a LF filtrování. Místo vkládání SMTP příkadů však Morgan zneužívá FTP port příkaz k přelstění klienta, aby otevřel datový kanál ke vzdálenému FTP serveru na specifickém TCP portu.

Jak výzkumník poukazuje, mnoho na Linuxu založených SPI firewallů, včetně komerčních, podporuje klasický model FTP interpretace a automaticky TCP port otevře a přepošle jej na LAN IP FTP klienta, pokud detekuje port příkaz v FTP trafficu z onoho klienta.

Podobný vzorec útoku je známi již poměrně mnoho let, proto vývojáři conntracku, Linuxové sady nástroje, které většina firewallů používá, přidaly dodatečnou ochranu; port se otevře pouze pokud se příkaz port objeví na úplném začátku TCP paketu, což zajišťuje, že klient skutečně příkaz poslal.

To pro útočníka představuje dvojí problém: prvně musí odhalit interní IP adresu klienta, aby byl schopen zfalšovat příkaz port a následně ještě sjednotit TCP packety mezi klientem serverem tak, aby se zfalšovaný příkaz ocitl na začátku packetu.

Morgan dokáže oba tyto kroky učinit pomocí svého stream injection útoků a zároveň tvrdí, že osobně vytvořil vlastní exploit, který však nehodlá jakožto etický hacker zveřejnit, dokud Oracle a Python neopraví kód svých integrovaných FTP klientů.

„Celý útok (včetně requestu, pomocí které se zjistí interní IP adresa oběti) lze typicky učinit pomocí pouhých tří SSRF útoků, které jeden TCP port otevřou,“ napsal Morgan v příspěvku na blogu. „Každý další SSRF útok může otevřít další TCP port.“

Zranitelnost lze zneužít mnoha způsoby, včetně využití proti uživatelům s Javou na počítači. Uživatelé ani nemusí spustit škodlivou Java aplikaci, protože exploit lze využít i přes Java Web Start.

„Pokud by uživatel navštívil webovou stránku se škodlivým kódem a měl nainstalovanou Javu, tak i s vypnutými Java applety by mohl spustit Java Web Start, který parsuje soubor JNLP,“ popisuje Morgan. „Tyto soubory by mohly obsahovat škodlivé FTP URL, které chybu spouští.“

Morgan prý útok otestoval proti vlastnímu Linuxovému firewallu běžícím na nedávném jádře a také proti Palo Alto Networks a Cisco Systems firewallům. Ty prokázaly zranitelnost vůči exploitu.

„Ačkoli testování komerčních firewallů bylo do této doby velmi omezené, zdá se pravděpodobné, že značná část firewallů na světě je vůči stream injection FTP protokolu zranitelná,“ popisuje.

Vývojáři Javy a Pythonu byli o problému informování, dokud však neopraví implementace FTP klientů, výzkumník doporučuje prodejcům firewallu dočasně v základu blokovat klasický FTP překlad.

Uživatelé by si měli ze systému odinstalovat Javu, nebo alespoň zablokovat plug-in v prohlížeči a zrušit asociaci Javy s .jnlp koncovkou. XML parsing v Javě je momentálně notně zranitelný, XXE zranitelnost jsou tak na platformě velmi běžné, dodává Morgan.

České podniky se bojí selhání techniky a neopatrnosti uživatelů

22.2.2017 SecurityWorld Zabezpečení
Acronis představil výsledky svého lokálního průzkumu v oblasti zálohování, který provedl letos v lednu a únoru mezi českými prodejními partnery.

Z průzkumu vyplývá, že v souvislosti se ztrátou důležitých podnikových dat se 83 % českých společností a organizací nejvíce obává selhání své techniky. Nejčastěji potřebují zálohovat fyzické servery, ale rychle narůstá podíl zálohování virtualizované infrastruktury.

Klíčová zjištění z lokálního průzkumu:

České firmy a organizace se v souvislosti se ztrátou podnikových dat obávají selhání či poškození své techniky (83 %), neopatrnosti uživatelů (78 %) a malwarových a ransomwarových útoků (61 %);
Nejčastěji firmy řeší zálohování fyzických serverů (72 %), stanic (51 %), virtualizace VMware (49 %) a virtualizace Hyper-V (44 %);
V současné době preferuje lokální zálohovací řešení 88 % firemních zákazníků, 12 % upřednostňuje cloud;
Jako nejrizikovější trendy letošního roku vnímají především hrozby ransomwaru (77 %) a sociálních sítí (39 %);

„Jen v roce 2016 ransomware způsobil škody v hodnotě 1 miliardy dolarů a stal se v současnosti bezpochyby hrozbou číslo jedna,“ řekl Zdeněk Bínek, zodpovědný za prodej řešení Acronis na českém a slovenském trhu. „Protože jsou útoky stále sofistikovanější a napadají nejen standardní firemní data, ale také jejich zálohy a samotné zálohovací systémy, bude stále důležitější, aby backup řešení obsahovala aktivní ochranu proti ransomwaru. Po takovýchto řešeních letos poroste poptávka nejvíce.”

Finanční sektor zasáhla série útoků, hackeři matou vyšetřovatele

22.2.2017 SecurityWorld Hacking
V posledních měsících se na finanční organizace z celého světa svalila vlna organizovaných a sofistikovaných útoků od neznámých hackerů. Nejnovější poznatky vyšetřovatelů ukazují, že v malwaru rozesílaném po bankách jsou záměrně vložena ruská slova, která mají vyšetřovatele svést na špatnou stopu.

Výzkumníci z firmy BAE Systems, která se zaměřuje na kybernetickou bezpečnost, nedávno získala a analyzovala vzorky malwaru souvisejícího se sérií útoků. Hackerský malware zasáhl 104 organizací ze 31 zemí, přičemž většinou se jednalo o banky.

V malwaru výzkumníci objevili několik příkazů a textových řetězců v ruštině; jazyk je však natolik zvláštní, že jednotlivé fráze byly zřejmě do ruštiny přeloženy pomocí online překladačů. Výsledný text nedává rodilému ruskému mluvčímu příliš smysl.

„V některých případech pozměnil nepřesný překlad celkový smysl slov,“ píší vědci v příspěvku na blogu. „To silně naznačuje, že pro strůjce útoků není ruština rodný jazyk a tedy, že využití ruských slov je ‚falešným signálem‘.“

Zvláštní chování má zřejmě zmást vyšetřovatele útoků. Některé technické důkazy však nasvědčují, že vzorky malwaru a celkově útoky jako takové lze přiřadit ke skupině v odborných kruzích známé jako Lazarus.

Lazarus je aktivní již minimálně od roku 2009 a je viněn z různých útoků proti vládám a soukromým organizacím po celém světě, od Jižní Korey po USA.

Někteří odborníci se rovněž přiklání k názoru, že za útok na Sony Pictures Entertainment z roku 2014, při kterém unikla některá soukromá data a bylo vyřazeno několik počítačů, může právě Lazarus. FBI a jiné americké zpravodajské agentury pak přímo obvinili také Severní Koreu.

Jméno skupiny Lazarus se skloňuje i ve spojitosti s krádeží 81 milionů dolarů z centrální banky Bangladéše z konce minulého roku. V tomto útoku hackeři využili malware k manipulaci s počítači využívanými bankou k přesunu finančních prostředků skrze síť SWIFT. Pokusili se přesunout 951 milionů celkově, ale některé z transakcí selhaly a část se následně úspěšně podařilo zaslat zpět do banky po detekování útoku.

Dříve v únoru malwarový útok zasáhl několik polských bank, útoky mají pocházet z malwarem nakažené stránky polské finanční správy.

Výzkumníci s BAE Systems a Symantecu útoky v Polsku propojili s větší sérií útoků, které započaly již v říjnu. Podobným způsobem došlo k narušení zabezpečení i v národní bance Mexika a největší státem vlastněné bance Uruguaye.

Software malwaru použitý v útocích nese společné znaky s nástroji dříve připsanými skupině Lazarus.

Ruského původu je hned několik hackerských skupin, které se navíc specializují na banky. Tyto skupiny používají přesně cílený druh phishingu (spear-phishing), aby si nejprve v bankách vytvořily pomyslný vstupní bod, pochopily interní procedury, které banka používá, a až poté začaly krást peníze. Výzkum BAE Systems napovídá, že Lazarus se snaží o to, aby jeho aktivita vykazovala podobné rysy jako ruskojazyčné hackerské skupiny.

Watson jde do kognitivních bezpečnostních center

22.2.2017 SecurityWorld Bezpečnost
IBM Security ohlásila dostupnost kyberbezpečnostního programu Watson (Watson for Cyber Security), první inteligentní technologie v oboru navržené k využití v kognitivních bezpečnostních centrech.

V průběhu minulého roku se program Watson učil jazyk kybernetické bezpečnosti a zpracoval více než milion bezpečnostních dokumentů. Nyní bude bezpečnostním expertům pomáhat analyzovat tisíce výzkumných zpráv psaných přirozeným jazykem, které ještě nikdy před tím nebyly moderním bezpečnostním nástrojům zpřístupněny.

Podle průzkumu IBM bezpečnostní týmy důkladně analyzují v průměru více než 200 tisíc bezpečnostních událostí denně, což vede k více než 20 tisícům promarněných hodin ročně, které jsou vynaloženy na řešení falešných poplachů.

Zavedení kognitivních technologií do bezpečnostních center se ukazuje jako nutné a zásadní pro to, aby bylo možné udržet krok s bezpečnostními událostmi, jejichž počet se má podle předpokladů v příštích pěti letech zdvojnásobit.

Watson for Cyber Security bude integrován do nové platformy kognitivních bezpečnostních center společnosti IBM, kde se moderní kognitivní technologie spojí s bezpečnostními operacemi. Bude tak možné reagovat na hrozby cílené na koncové uživatele, sítě a cloud.

Jádrem této platformy je nástroj IBM QRadar Advisor with Watson, nová aplikace, která je dostupná na platformě IBM Security App Exchange, a která jako první využívá kyberbezpečnostní údaje programu Watson.

Tuto novou aplikaci již využívají například Avnet, univerzita v New Brunswick, Sogeti, Sopra Steria a 40 dalších zákazníků po celém světě s cílem zvýšit objem vyšetřovaných bezpečnostních událostí vedených jejich bezpečnostními analytiky.

Kvůli dramatickému nárůstu bezpečnostních incidentů společnost IBM také investovala do výzkumu zaměřeného na zavedení kognitivních nástrojů do celosvětové sítě ovládacího centra IBM X-Force. Součástí výzkumu je i chatbot řízený programem Watson, který se v současné době používá ke komunikaci se zákazníky IBM Managed Security Services.

IBM rovněž představila nový výzkumný projekt s krycím názvem Havyn. Jde o svého druhu ojedinělého bezpečnostního pomocníka ovládaného hlasem, který využívá konverzační technologii programu Watson a reaguje na verbální příkazy a přirozený jazyk bezpečnostních analytiků.

Láska za 19 000 korun. Policisté varují před podvody na seznamkách

20.2.2017 Novinky/Bezpečnost Hacking
Na pozoru by se měli mít lidé hledající lásku na internetu. Ukazuje to nedávný případ, kdy žena poslala do USA 750 amerických dolarů (zhruba 19 000 Kč) muži, který o sobě tvrdil, že je vdovec. Peníze mu měly zajistit přepravu zavazadel z jeho vojenské mise. Když ale žena finanční prostředky poslala, přestal komunikovat.
Podle policistů nejde o ojedinělé případy. Lidé by měli být při komunikaci na internetu obezřetní, uvedla policejní mluvčí Marie Šafářová. Například v Olomouckém kraji již dříve vzniklo speciální oddělení pro boj s internetovou kriminalitou.

Poslední případ vyšetřují kriminalisté od minulého týdne, muž od své oběti vylákal platbu na zahraniční bankovní účet. „Vydával se za vdovce z Ameriky, architekta, který má devítiletou dceru. Také ženě sdělil, že momentálně působí jako voják v Afghánistánu a mise právě končí. Domluvili se na schůzce v České republice s tím, že nejprve pošle svá zavazadla," uvedla mluvčí.

Podle kriminalistů mohou být stejným nebo obdobným způsobem kontaktovány další ženy na seznamovacích portálech. Policisté proto lidi nabádají, aby nejen na sociálních sítích, ale i jinde v prostředí internetu byli zvlášť opatrní a ostražití. Poukazují přitom na to, že anonymita internetu umožňuje pachatelům jednoduše vyhledávat potenciální oběti.

Na internetu číhají další hrozby
Je nicméně důležité upozornit na to, že na internetu nečíhají pouze podvodníci lákající finanční hotovost. Nástrah je zde daleko více a je nutné podotknout, že některé jsou daleko vážnější, jak ukazuje trilogie filmů Seznam se bezpečně!, za kterými stojí společnost Seznam.cz.

První dva díly byly postaveny na reálných příbězích. V jednom z nich se například představil 14letý David, který se spřátelil na internetu s neznámým dospělým mužem. Ten mu nabízel dvoutisícovou úplatu za to, že mu pošle fotky a video s obnaženým tělem. Zachycen je i rozhovor s pedofilem Miroslavem či 16letým Patrikem, který se živil jako dětský prostitut.

Třetí díl pojednává o kauze skautských vedoucích z Ústí nad Labem, kteří vydírali intimními snímky děti na internetu a na čtyři desítky z nich pohlavně zneužili.

Jednou z ústředních postav filmu je odsouzený skautský vedoucí Martin Mertl, který před kamerou popsal, jak útoky probíhaly. Exkluzivně Novinkám již sám dříve popsal, že v celé kauze byl hlavním pachatelem.

Celou trilogii Seznam se bezpečně! můžete sledovat na stránkách www.seznamsebezpecne.cz.

Podle policejních statistik počet trestných činů páchaných prostřednictvím internetu klesl, loni to bylo 286 případů, o rok dříve 405. Pro vedení policie je i nadále potírání kyberkriminality jednou z priorit v letošním roce, uvedl na konci ledna náměstek krajského policejního ředitele Radovan Vojta.

Kdo napadl servery OBSE? Útočník stále uniká

20.2.2017 Novinky/Bezpečnost BigBrother
Organizace pro bezpečnost a spolupráci v Evropě (OBSE) nedokáže identifikovat strůjce loňských hackerských útoků proti serverům instituce. Na okraj mezinárodní bezpečnostní konference v Mnichově to řekl generální tajemník OBSE Lamberto Zannier. Šéf německé kontrarozvědky Hans-Georg Maassen přitom v lednu prohlásil, že za hackerským útokem podle všeho stálo Rusko.
„Viděli jsme stopy po útoku. Víme, že do systému, e-mailového systému, někdo pronikl. Z toho, co jsme zjistili, nedokážeme vystopovat, odkud útok vycházel,” řekl Zannier agentuře TASS. „Zavádíme lepší ochranu, ale z toho, co víme, nemůžeme ukázat prstem žádným směrem,” dodal.

O útoku hackerů proti OBSE byla veřejnost informována koncem prosince. Podle dřívějších informací agentury DPA ho odhalil právě německý Spolkový úřad na ochranu ústavy, který plní funkci civilní kontrarozvědky. Jednou z nejdůležitějších akcí OBSE je nyní mise na východě Ukrajiny, kde trvá již třetím rokem ozbrojený konflikt mezi ukrajinskými vládními silami a proruskými separatisty.

Z hackerských útoků obvinila Rusko také administrativa bývalého amerického prezidenta Baracka Obamy. Počítačoví piráti podle ní na rozkaz Kremlu pronikli do elektronické pošty Demokratické strany, aby ovlivnili prezidentské volby. Moskva všechna nařčení odmítla.

Podvodné SMS nepřestávají strašit. Příjemce připraví o peníze

19.2.2017 Novinky/Bezpečnost Mobilní
Českem stále kolují podvodné SMS zprávy, ve kterých se počítačoví piráti vydávají za zaměstnance přepravní společnosti DHL. Uživatelé by se před nimi měli mít velmi na pozoru, protože jejich prostřednictvím se do chytrého telefonu může dostat škodlivý virus. A ten pak příjemce nebezpečné SMS zprávy připraví zpravidla o peníze.
Podvodné SMS zprávy se začaly Českem šířit už minulý týden, jak již Novinky.cz informovaly.

Bezpečnostní experti nicméně před nimi varovali znovu, protože počítačoví piráti v jejich rozesílání nepolevují. Spíše právě naopak.

Texty podvodných zpráv kybernetičtí útočníci neustále obměňují, jejich význam je však zpravidla vždy stejný. Příjemce se snaží zastrašit. „Vážený kliente DHL, vaše zásilka nemůže být doručena z důvodu nečitelné adresy. Pro změnu adresy použijte naši aplikaci DHL Express Online,“ stojí ve zprávě.

Přímo v SMS přitom příjemci naleznou i odkaz na stažení zmiňované aplikace. A právě v tom je hlavní kámen úrazu. Pokud aplikaci stáhnou, nainstalují si také trojského koně, který později při otevření internetového bankovnictví podsune falešnou přihlašovací stránku. Uživatelé tak naservírují počítačovým pirátům přístup k účtu jako na zlatém podnosu.

Mohou sjednat půjčku
A vzhledem k tomu, že pachatelé již mají přístup i k mobilnímu telefonu, kam zpravidla chodí potvrzovací SMS zprávy k proběhlým transakcím, už jim nic nebrání ve vybílení účtu.

Sluší se také připomenout, že kyberzločinci mohou snadno připravit uživatele i o peníze, které ve skutečnosti na účtu ani nemají. Každá druhá banka totiž v dnešní době nabízí sjednání půjčky on-line. I tak se mohou útočníci dostat k finanční hotovosti.

Jsme v intenzivním kontaktu s mobilními operátory, aby takové SMS filtrovali.
zástupci společnosti DHL
Společnost DHL se již od podvodných SMS zpráv distancovala dříve. „Aktuálně se nám podařilo zneplatnit odkazy na inkriminované webové stránky, které organizátoři zřídili v Panamě. Nadále jsme v intenzivním kontaktu s mobilními operátory, aby takové SMS filtrovali a pokusili se zjistit zdroj odesílaných SMS,“ uvedli zástupci společnosti.

Je nicméně velmi pravděpodobné, že podvodníci – podobně jako při dalších útocích – zřídí jiné webové stránky, jež budou opět představovat pro uživatele riziko. „Za žádných okolností neotevírejte stránky, na které se SMS odkazuje!“ stojí v prohlášení podniku.

Aktuální hrozba se týká výhradně přístrojů s operačním systémem Android. Není nicméně vyloučeno, že stejným způsobem se budou kyberzločinci snažit dostat i do přístrojů postavených na jiných platformách.

Na smartphony útočí pravidelně
Na chytré telefony se zaměřují počítačoví piráti v posledních měsících stále častěji. Uživatelé na těchto přístrojích totiž velmi často podceňují bezpečnost.

Aby majitel omezil rizika, měl by svůj smartphone vybavit podobně jako stolní počítač antivirovým programem a měl by pravidelně stahovat všechny důležité aktualizace nainstalovaných aplikací i samotného operačního systému.

Nezabezpečený router jako zbraň kyberzločinců

19.2.2017 SecurityWorld Zabezpečení
Co všechno hrozí uživatelům nedostatečně zabezpečeného routeru a jak se účinně bránit proti jeho zneužití?

Routery přitahují pozornost kyberútočníků od nepaměti. Pro mnoho lidí jsou základním přístupovým bodem k internetu, ale zároveň jen zlomek uživatelů řeší jejich řádné zabezpečení.

Směrovač, který se z pohledu narušitele nachází v ideální pozici mezi koncovými zařízeními a internetovou sítí, umožní napadnout všechna napojená zařízení v jeho dosahu. Útok tak může mít mnohem ničivější následky než u samotných počítačů, jejichž zabezpečení lidé nepodceňují a každý uživatel má alespoň minimální povědomí o rizicích malwaru i možnostech, jak se proti nim bránit.

Na routery se zapomíná

Když v roce 2014 dělala společnost Tripwire průzkum mezi IT a bezpečnostními experty ve Spojených státech a Velké Británii, dospěla k alarmujícím výsledkům: z téměř dvou tisíc respondentů 30 procent IT profesionálů a 46 procent zaměstnanců po instalaci a zapojení routeru nezměnilo jeho výchozí heslo.

Víc než polovina dotazovaných v průběhu užívání pravidelně neaktualizovala firmware routeru, takže zařízení nemohlo být chráněné případnými bezpečnostními záplatami. Polovina respondentů používala pro zabezpečení Wi-Fi sítí dnes již nedoporučovaný standard WPS, který usnadňuje útočníkům jejich snahu odhalit heslo směrovače bez ohledu na jeho složitost nebo délku.

Naprostá většina dotazovaných využívala jednoduché SOHO routery. Z výzkumu vyplynulo, že až 80 procent těchto routerů obsahuje bezpečnostní chyby a jsou lehce zneužitelné, například pro masivní DDoS útoky.

Známý je případ hackerské skupiny Lizard Squad, která na Vánoce 2014 vyřadila za pomoci desítek tisíc prolomených routerů z provozu stránky Xbox Live a PlayStation Network, a znemožnila tak mnoha lidem vyzkoušet si hry, které dostali pod stromeček.

Skupina Lizard Squad se přitom vyloženě specializuje na odhalování nezajištěných routerů s hesly z továrního nastavení a vytváří z nich síť robotů, kterou zneužívá k takovýmto masivním DDoS útokům.

Útoky jsou natolik sofistikované, že využívají i speciální malware, který hledá další routery v okolí a zkouší, zda používají výchozí nastavené heslo z továrního nastavení nebo hesla typu „admin / admin“ či „root / 12345“.

Infikovaný router tedy rozšiřuje nákazu dál a přispívá k nárůstu počtu zařízení zapojených do útočné sítě DDoS. Mezi takové druhy malwaru patří například Linux/Remaiten, před jehož novou verzí nedávno varoval Eset. Útočí na routery, gatewaye a bezdrátové přístupové body. Kombinuje funkcionality již známých škodlivých kódů Tsunami (Kaiten) a Gafgyt.

Chyba ve firmwaru...

Malware Remaiten dělá kontrolu náhodných IP adres na dostupnost služby Telnet, resp. zkouší, zda se mu povede k této službě přihlásit s některým z výchozích hesel používaných výrobci routerů.

Pokud uspěje, zkusí zjistit platformu zařízení (typicky MIPS nebo ARM) a podle ní nahraje na zařízení komponentu tzv. downloaderu, jehož úkolem je spustit opět platformově odpovídajícího botnet klienta z C&C serveru. Po jeho spuštění má operátor C&C serveru zařízení pod plnou kontrolou.

„Hlavní způsob, jak této hrozbě předejít, představuje upgrade firmwaru routeru na aktuální verzi, nepoužívat mnohdy triviální přednastavené přihlašovací jméno a heslo a rovněž je vhodné zvážit, zda je opravdu nutné mít povolené přihlašování k administračnímu rozhraní routeru z internetu,“ popisuje Miroslav Dvořák, technický ředitel Esetu.

Chyby ve firmwaru routerů jsou přitom poměrně běžné. Například v roce 2014 odhalil český národní bezpečnostní tým CSIRT.CZ chybu u pěti tisíc routerů, které obsahovaly zranitelnost „rom-0“.

Router díky ní umožňoval vyexportovat a stáhnout svoji konfiguraci v podobě binárního souboru. Součástí konfigurace byla i přístupová hesla k webovému administračnímu rozhraní.

Chyba spočívala v tom, že tento soubor bylo možné stáhnout, aniž předtím bylo vyžadováno zadání hesla. Stačilo pouze znát URL tohoto souboru. Při výchozím nastavení routeru bylo možné konfiguraci stáhnout dokonce i přes WAN rozhraní, tedy z celého internetu.

Pokud se útočník dostane k administračnímu rozhraní takového routeru, může snadno přesměrovat adresy. Místo zadaného webu se tak uživateli zobrazí informační panel s upozorněním, že si musí instalovat Flash Player. Místo něj si ale do počítače stáhne škodlivý malware.

Řešením je v tomto případě úplný zákaz přístupu na webovou administraci routeru z WAN rozhraní a povolení administrace jen z jedné konkrétní vnitřní IP adresy. Nelze totiž spoléhat pouze na to, že napadený počítač vyčistí antivir, zdroj dalších hrozeb by se mohl nadále skrývat v nezajištěném routeru, k němuž dosud nemá většina bezpečnostních aplikací žádný přístup.

Chování škodlivého kódu, který napadl router, se navíc může průběžně měnit. Útočníci mohou přesměrovávat vyhledávané internetové stránky na podvodné weby a pomocí takovýchto phishingových útoků získat přístup k on-line účtům uživatelů. Velký problém to může být zejména ve firmách.

Nejhloupější chyby systémových správců

18.2.2017 SecurityWorld Zabezpečení
Dělejte to tak, jak říkám, a nikoliv tak, jak to dělám já: Chyby firemních IT administrátorů často předčí závažnost těch, kterých se dopouštějí uživatelé. Tady je deset nejčastějších.

Zabezpečení není čistě technický problém – je to potíž související s lidmi. Do sítě sice můžete integrovat mnoho technologií, ale nakonec někdo může udělat hloupé lidské chyby.

A co je nejhorší? Těchto přehmatů se často dopouštějí právě ti, kteří by měli nejlépe vědět, jak se jim vyhnout: správci systémů a další personál IT.

Loňská zpráva o riziku vnitřních hrozeb (Insider Risk Report 2015) společnosti Intermedia uvádí, že IT profesionálové byli nejpravděpodobnější skupinou dopouštějící se „nebezpečných“ prohřešků vůči zabezpečení, jako jsou sdílení přihlašovacích údajů, používání osobních hesel pro podnikové účely a poskytování přihlašovacích údajů osobního účtu dalším osobám.

Takové chyby bývají mnohem rizikovější než ty, kterých se dopustí běžní uživatelé, a to v důsledku neomezených pravomocí, jimiž správci velmi často v rámci sítě disponují.

IT profesionálové mohou stejně jako uživatelé podlehnout phishingu, malwaru a dalším útokům – a odcizené přihlašovací údaje správců systému mají téměř vždy za následek mnohem vážnější narušení bezpečnosti.

Zde je deset obvyklých bezpečnostních chyb, které dělají správci systému a další IT personál.
Chyba č. 1: Používání příkazu sudo pro všechno

Když se přihlásíte jako takzvaný root, získáte nad systémem plnou kontrolu. To může být velmi nebezpečné, protože pokud dojde k odcizení vašich přihlašovacích údajů, mohou útočníci dělat, cokoli se jim zachce (pokud se to převede do pojetí operačního systému Windows – není nutné se přihlašovat pomocí účtu Administrator, když nemáte v úmyslu dělat činnosti vyžadující úroveň správce).

Namísto přímého přihlášení do systému jako root se přihlaste prostřednictvím svého osobního účtu a v případě potřeby použijte příkaz sudo pro konkrétní příkazy.

Je ale snadné udělat chybu, pokud si nedáte pozor. Nějaký skript neproběhne úspěšně, protože jeden z příkazů potřeboval sudo, a nyní se musí vše spustit znovu. Pokud nevysledujete, který z příkazů vyžadoval zvýšení oprávnění a kde to naopak není potřebné, možná nakonec spustíte vše pomocí příkazu sudo.

Chyba č. 2: Spouštění skriptů neznámého původu

Instalace linuxových aplikací třetích stran je další oblastí, kde může dojít ke zneužití příkazu sudo. Jediné, co musíte udělat, je zkopírovat a vložit příkaz (který je již nastavený k využití sudo) přímo do terminálu, aby došlo ke spuštění instalačního skriptu. Každý jednotlivý příkaz v takovém skriptu bude potom vykonán se zvýšenými oprávněními.

Zde je příklad zkopírovaný z webu (se skrytou adresou URL):

sudo -v && wget -nv -O- https://xxx/xxx/linux-installer.py | sudo python -c "import sys; main=lambda:sys.stderr.write('Download failed\n'); exec(sys.stdin.read()); main()"

To poskytne oprávnění sudo položce hostované kdekoli na webu, stejně jako místní instanci příkazů v jazyce Python. To v žádném případě nelze doporučit! Správci operačního systému Windows čelí podobným potenciálním katastrofám spuštěním stažených skriptů PowerShell.

Dokonce i když důvěřujete zdroji, nikdy nepředpokládejte, že je skript stažený z internetu bezpečný. Vždy nejprve zkontrolujte obsah skriptu a ověřte, zda spouštěné příkazy nemají nežádoucí účinek.

Chyba č. 3: Spouštění privilegovaných služeb s právy účtu root

Aplikace by se nikdy neměly spouštět jako root. Vytvořte jedinečné účty pro služby s velmi specifickými oprávněními pro každou aplikaci a službu spuštěnou v počítači.

Účty služeb obvykle nemají domácí adresáře a jejich práva práce se souborovým systémem jsou omezená i v případě, že by se někdo pokusil přihlásit pomocí takového účtu. Pokud útočníci zneužijí účet služby, musí se jim ještě podařit spuštění nějakého lokálního exploitu pro získání dalších práv pro spuštění kódu.

Každá aplikace by měla použít vlastní účet pro přístup k databázi namísto účtu root, respektive Administrator. Webové aplikace by měly být ve vlastnictví odpovídající skupiny a uživatele. Při přiřazování oprávnění domény aplikacím Windows nedávejte aplikaci přístup na úrovni správce.

Hlavní linuxové distribuce se ve výchozím stavu starají o účty služeb, ale pokud správce ručně konfiguruje balíčky třetích stran, může snadno udělat chybu.

Nezapomeňte také přepnout oprávnění po dokončení instalace a konfigurace, aby účet root, respektive Administrator nebyl vlastníkem příslušné aplikace.

Chyba č. 4: Používání stejných hesel

Klidně můžete vytřeštit oči. Všichni jsme slyšeli o zlu používání stejných hesel pro různé weby, systémy a aplikace. Faktem však zůstává, že to zůstává velkým problémem a že také správci systémů vůči němu nejsou imunní.

Nedávno Mozilla oznámila, že se do privilegovaného uživatelského účtu naboural neznámý útočník, vnikl do databáze Bugzilla pro sledování chyb a ukradl informace o 53 kritických zranitelnostech.

Ukázalo se, že onen „privilegovaný uživatel“ použil heslo pro databázi Bugzilla na jiném webu a tam došlo k jeho vyzrazení.

V mnoha případech se servery nakonfigurovávají se slabými hesly správce nebo se stejnými hesly, jako mají další počítače v síti.

Útoky hrubou silou pomocí běžných hesel a slovníkových slov pořád fungují, protože dost lidí stále dělá tuto základní chybu. Když má více počítačů stejné heslo, tento problém se ještě umocňuje.

Namísto nastavení stejného hesla na všech počítačích by měli správci zvolit použití souboru s klíčem. Každý server by měl mít soubor veřejného klíče a pracovní stanice správce systému by měla mít privátní klíč odpovídající takovému veřejnému klíči.

Tímto způsobem může správce přistupovat ke všem počítačům umístěným v síti, ale útočník pohybující se v síti laterálně se nebude moci přihlásit bez platného klíče. V takovém případě totiž neexistuje heslo, které by bylo možné zachytit.

Chyba č. 5: Sdílení účtů správce

Účty správce, jako je přístup k databázi a portálům správy, jsou v síti často sdílené. Namísto nastavení prostředí tak, aby správci vyžadovali zvýšená oprávnění až v případě potřeby, jsou tyto účty správců různě sdílené. A to přímo přivolává problémy.

V ideálním případě by měly existovat oddělené účty: jeden účet root a potom by měl mít každý správce svůj vlastní účet. Účty správců by neměly po přihlášení disponovat nejvyšší úrovní přístupu – správce si může v případě práce na specifických úkolech vyžádat speciální přístupová práva.

Zpráva společnosti Intermedia uvádí, že 32 procent IT profesionálů poskytlo své přihlašovací údaje s heslem také dalším zaměstnancům.

Je dost špatné nevědět, kdo přesně používá účty správce, ale ještě horší je, že hesla se jen zřídka mění, když správce opouští firmu. A protože se hesla nemění pravidelně, mohou je někdejší kolegové zneužít a způsobit beztrestně škodu.

Průzkum Intermedie zjistil, že jeden z pěti IT profesionálů uvedl, že by přistupoval k informacím společnosti i poté, co by opustil své současné zaměstnání.

Zásady změn hesel tedy zcela jistě nejsou určené jen pro koncové uživatele. Pravidelně měňte hesla, zejména u účtů správců a u služeb. A hesla změňte vždy, když firmu opustí příslušný administrátor.

Chyba č. 6: Ponechání nastavení pro řešení problémů

Při odstraňování problémů můžete dělat různé triky a experimenty, aby se vám podařilo problém odhalit a vyřešit ho. Při těchto pokusech bývá tendence obejít obvyklé procesy.

Problém nastává, když dojde k vyřešení problému a přechodu na další. Správci mohou ve spěchu zapomenout a něco zanechat ve stavu, který umožňuje zneužití.

Možná jste otevřeli porty ve firewallu – například když jste se snažili přijít na to, proč aplikace neodpovídá. Jakmile se to ale opraví, musíte se vrátit a tyto porty zavřít dříve, než je zneužijí útočníci.

Kaspersky představil vlastní super bezpečný operační systém

16.2.2017 SecurityWorld OS
Vlastní specializovaný operační systém pro vestavěné systémy s přísnými kyberbezpečnostními požadavky či pro zařízení internetu věcí představila firma Kaspersky Lab. Podle výrobce výrazně snižuje šance výskytu skrytých funkcionalit a minimalizuje riziko kybernetického útoku.

Platforma programům dovolí realizovat pouze doložitelné operace. Aplikace tak budou muset být napsané v „tradičních“ kódech a splňovat přísná bezpečnostní pravidla a obsahovat standardní funkcionality. Pouze to, co bude definované těmito pravidly, bude moci být provedené, včetně funkcionalit samotného operačního systému.

Tento přístup se ukázal být v průběhu vývoje operačního systému velmi časově náročný, ale pro vývojáře aplikací nabízí jasné výhody: bezpečnostní strategie může být navržena souběžně s danou funkcionalitou.

Ta navíc může být ihned otestována – chyba v kódu totiž znamená nezdokumentované chování, které je operačním systémem zablokováno. Především však vývoj bezpečnostní strategie může být přizpůsoben konkrétním obchodním záměrům: bezpečnost může být zpracována na základě požadavků aplikace, a nikoliv opačným způsobem.

Řešení navíc klade důraz na obecně užívané bezpečnostní principy, jako jsou Separation Kernel, Reference Monitor, Multiple Independent Levels of Security nebo architektura Flux Advanced Security Kernel.

Co se týče nasazení, výrobce kromě orientace na tři klíčová odvětví - telekomunikace, automobilový průmysl a těžký průmysl – ještě navíc připravuje speciální balík zaměřený na finanční odvětví (například bezpečnost POS terminálů) a bezpečnostní vylepšení kritických operací pro běžné linuxové systémy koncových uživatelů.

KasperskyOS je dostupný ve třech verzích, každá se specifickými funkcemi -- KasperskyOS, Secure Hypervisor a Security System. Prvně jmenovaný se může použít jako základ, na němž lze postavit síťové routery, IP kamery nebo IoT ovladače.

Secure Hypervisor je schopný vytvořit aplikace s přísnými kontrolními procesy vzájemné komunikace a lze jej využít i pro všeobecné bezpečnostní účely (včetně zabezpečených operací koncových zařízení).

A konečně Security System přináší silné zabezpečení tradičním operačním systémům, vestavěným operačním systémům a operačním systémům reálného času, přičemž je nutné minimální množství dalších vývojářských zásahů.

Novinka, na jejímž vytvoření firma podle svých slov pracovala 15 let, je dostupná pro partnery typu OEM, ODM, systémové integrátory či softwarové vývojáře.

Obrana prakticky neexistuje. Viry samy smažou všechny stopy

15.2.2017 Novinky/Bezpečnost Viry
V loňském roce se doslova roztrhl pytel s vyděračskými viry. Ty dokázaly napáchat na napadeném stroji velkou neplechu, ale uživatel alespoň hned věděl, na čem je. Nezvaní návštěvníci se totiž téměř okamžitě přihlásili o výkupné. Nová vlna útoků v letošním roce je však daleko vážnější, protože si škodlivé kódy hrají s uživateli na schovávanou.
Útoky vyděračských virů mají prakticky vždy stejný scénář. Nezvaný návštěvník zašifruje uložená data na pevném disku. Útočníci se snaží v majiteli napadeného stroje vzbudit dojem, že se ke svým souborům dostane po zaplacení pokuty. Ta byla údajně vyměřena za používání nelegálního softwaru apod.

Ani po zaplacení výkupného se uživatelé ke svým datům nemusejí dostat. Místo placení výkupného je totiž nutné virus z počítače odinstalovat a data rozšifrovat, což ale nemusí být vůbec jednoduché. A v některých případech to dokonce nejde vůbec.

V každém případě platí, že si uživatel aktivity počítačového viru všimne prakticky hned poté, co se uhnízdí v počítači. Pokud má tedy zálohu dat, stačí přeinstalovat operační systém a už není nijak ohrožen.

Snaží se zůstat v utajení
Bezpečností experti antivirové společnosti Kaspersky Lab však nyní upozornili na to, že se množí tzv. neviditelné cílené útoky. Jak je z jejich označení již patrné, počítačoví piráti se při nich snaží zůstat co nejdéle v utajení.

„Neviditelné útoky využívají pouze legální software, jako jsou široce dostupné penetrační testy a správcovské nástroje nebo PowerShell aplikační rámce pro automatizaci úloh v systému Windows. Nezanechávají přitom žádné malwarové soubory na pevném disku, nýbrž je ukrývají v operační paměti,“ podotkli bezpečnostní experti.

To velmi znesnadňuje případné odhalení škodlivých kódů v napadeném stroji. Běžně je totiž možné dohledat aktivitu hackerů na pevných discích klidně ještě rok po útoku. V případě, že jsou data ukryta v operační paměti, automaticky se smažou po prvním restartování počítače.

„Útočníci se v systému zdržují jen na nezbytně dlouhou dobu, během níž shromažďují informace ještě před tím, než se jejich stopy v systému vymažou prvním restartováním,“ doplnili odborníci.

Útočí především na firmy
Zmiňovanou taktiku používají kyberzločinci především při útocích na firmy. Není nicméně vyloučeno, že stejný postup nebudou v dohledné době aplikovat také při útocích na koncové uživatele.

Antivirová společnost Kaspersky Lab doposud odhalila podobné útoky na více než čtyřech desítkách společností v Evropě, USA, Jižní Americe a dalších koutech světa. Počítačoví piráti se při nich soustředí především na banky, telekomunikační společnosti a v neposlední řadě i na vládní organizace. Zda se podobný útok uskutečnil v Česku, není v tuto chvíli jasné.

Na české uživatele Androidu míří další vlna malwaru. Co vir Android/Spy.Banker.HO dokáže?
15.2.2017 Živě.cz Android

Do Česka dorazila další vlna falešných aplikací, tentokrát se vydávají za DHL
Za cíl mají krádež přihlašovacích údajů do bankovnictví
Jak se těmto podvodům bránit?
Minimálně od poloviny ledna narážíme každý týden na několik upozornění před škodlivou aplikací pro Androidy, kterou útočníci šíří pomocí SMS. Nejčastěji rozesílají zprávy vydávající se za některou z českých bank, nicméně problémům se nevyhnula ani Česká pošta, e-shop Alza a nejnovější případ se týká přepravní společnosti DHL.

Vzorec útoku je vždy stejný: uživateli dorazí SMS s textem vztahující se k danému subjektu a požadavkem na stáhnutí aplikace. Falešné zprávy od České pošty tak obsahovaly výzvu k vyzvednutí zásilky na depu, u bank útočníci nejčastěji používají variantu s důležitým sdělením, jež má být přečteno právě v odkazované aplikaci, u Alzy slibují výhru a u DHL nabízí v aplikaci změnu doručovací adresy pro dodání balíku.

Klepněte pro větší obrázek
Dvě aplikace, stejný malware. Jednou se vydává za aplikaci České pošty, podruhé za DHL, ve většině případů však nese název Flash Player 10 Update

Prvním poznávacím prvkem podvodné aplikace může být už adresa, z níž má být stažena. Doposud totiž útočníci vždy použili doménu .online – u Alzy to byla adresa http://alza-shop.online, u DHL je to nyní http://dhl-express.online a u pošty využívali útočníci líbivou adresu http://ceskaposta.online. I díky těmto URL se mohou zprávy pro mnohé uživatele tvářit jako legitimní.

Klepněte pro větší obrázek
Takto může vypadat podvodná zpráva, tahle se konkrétně vydává za Českou poštu (foto: @TerezaChlubna)

Dalším společným rysem těchto podvodných aplikací je jejich minimální velikost. Při stahování instalačního balíku APK to je vždy pod 1 MB, po instalaci se potom u všech zmíněných verzí velikost pohybovala kolem 1,4 MB. Při spuštění si aplikace samozřejmě vyžádá všechna oprávnění v systému, a pokud je uživatel odsouhlasí, umožní aplikaci nejen přístup do kontaktů, ale například i možnost číst a odesílat zprávy.

Klepněte pro větší obrázek
Aplikace si vyžádá kompletní systémová oprávnění díky nimž se později může dostat například k ověřovací SMS pro přihlášení do bankovnictví

Základní obranou proti tomuto typu útoku by však měla být především obezřetnost a také zdravý rozum. Pokud uživatel nečeká zásilku od České pošty či DHL nebo mu přijde zpráva z banky, u níž není klientem, je podvod nejpravděpodobnější variantou. Problémem může být například zpráva z Alzy slibující výhru při instalaci aplikace, kdy podobné způsoby promování svých aplikací by mohly některé společnosti opravdu využívat. U všech variant by však mělo platit základní pravidlo neinstalovat aplikace z cizích zdrojů a spoléhat se na integrovaný obchod Google Play.

Podvržené bankovnictví

Pokud uživatel aplikaci nainstaluje, ta běží na pozadí a čeká na svoji příležitost až bude moci naservírovat podvodný přihlašovací formulář do internetového bankovnictví. To se může stát nejen při spuštění samotné podvodné aplikace, ale i při spuštění dalších služeb. Jedna z variant malwaru Android/Spy.Banker tak zobrazovala formulář pro zadání platebních údajů při každém spuštění některého z komunikátorů – Skype, Facebook Messengeru, Hangouts, ale i u sociálních sítí jako je Instagram nebo Twitter.

Klepněte pro větší obrázek
Aplikace může zobrazovat také formuláře pro zadání údajů platební karty (foto: Fortinet)

U nás se však uživatelé budou setkávat především s lokalizovanou variantou upravenou pro české uživatele. V případě posledního útoku, který využívá jméno přepravce DHL jde čistě o phishing, kdy je po otevření aplikace zobrazen přihlašovací formulář do internetového bankovnictví ČSOB. V případě, že uživatel zadá svoje identifikační číslo a kód PIN, útočníci už mají jednoduchou práci. I k případné ověřovací SMS totiž mají přístup díky udělenému oprávnění číst zprávy.

Klepněte pro větší obrázek
Pokud uživatel spustí aplikaci, naservíruje mu přihlašovací formulář do internetového bankovnictví. K ověřovací SMS už má také přístup a v napadení účtu mu po zadání údajů nic nebrání (foto: ČSOB)

Aktuálně hrozí trojan Android/Spy.Banker především ve východní Evropě, což je vidět také na mapě společnosti Eset. K jeho rozšíření však došlo už na podzim loňského roku, kdy byl ve své původní podobě využíván pro krádeže přihlašovacích údajů do bankovnictví v Německu, Francii či Rakousku a v menší míře Polsku či Spojených státech.

Klepněte pro větší obrázek
Aktuálně se malwaru Android/Spy.Banker daří hlavně ve východní Evropě, nejvíc v Rusku a na Slovensku (foto: Eset)

Aktuální vlna útoků je nebezpečná především pečlivou lokalizací – ať už se týká jak doručovaných zpráv, v nichž nenajdeme chyby, tak již zmíněných domén, které se opravdu tváří jako oficiální. Pokud jste aplikaci spustili a zadali do ní údaje, neváhejte s kontaktováním zákaznické linky vaší banky. Aplikaci odinstalujte běžným způsobem v nastavení Androidu a nabídce Aplikace. Velmi často nese název Flash Player 10 Update, v některých případech však útočníci změnili i jméno na DHL nebo Česká pošta.

V Česku se přes SMS šíří nebezpečný malware

14.2.2017 SecurityWorld Viry
První případy nové vlny útoků na banky v Česku a Slovensku prostřednictvím mobilního bankovnictví zachytili analytici Esetu. Kyberútočníci použili malware pro Android, který lokalizovali na tuzemské uživatele a k jeho šíření využili klasické SMS zprávy.

Na Česko cílí nová vlna malware, který se šíří podvodnými zprávami SMS. Podle aktuálních informací se útočníci prozatím zaměřili jen na ČSOB. Dá se však očekávat, že okruh cílových bank se brzy rozšíří, tvrdí Lukáš Štefanko z Esetu.

Škodlivý kód typu trojan pro platformu Android je novou variantou již známé rodiny malware, která se v závěru ledna šířila prostřednictvím falešných SMS zpráv, předstírajících komunikaci České pošty nebo obchodu Alza.cz.

Malware Android\Trojan.Spy.Banker.HV uživateli při otevření internetového bankovnictví podsune falešnou přihlašovací stránku. Nepozorný uživatel tak nevědomky odešle své přihlašovací údaje podvodníkům a vystaví se hrozbě vykradení účtu.

V aktuální útočné kampani, která probíhá v Česku a na Slovensku, je tento nebezpečný malware šíří pomocí SMS s odkazem na údajnou aplikaci společnosti DHL, která však stáhne podvodnou aplikaci s názvem „Flash Player 10 Update“ a ikonou společnosti DHL.

Přestože název aplikace útočníci změnili, ikonu zatím nikoli, což při instalaci v českém nebo slovenském prostředí působí podezřele.

Při výběru EET by se měla zvážit i úroveň zabezpečení

13.2.2017 SecurityWorld Zabezpečení
Hackerské útoky na nezabezpečené systémy elektronické evidence tržeb (EET), ztráta nebo zneužití dat a z nich plynoucí penalizace a trestní stíhání - to jsou největší rizika nepromyšleného výběru řešení EET, jak je formulovala společnost eet1, jeden z tuzemských prodejců systémů EET.

Rizika jsou podle eet1 výrazně vyšší, než před jakými varovala nedávno Hospodářská komora (HK). Podle té hrozí řadě podnikatelů kvůli rychlému napojení na EET pokuty a bezpečnostní rizika, především sankce kvůli neplatným účtenkám podle zákona o účetnictví či za chybějící zákaznické displeje. HK též varovala před rizikem hackerského útoku na kasy a ztráty citlivých obchodních informací.

Jen necelé tři týdny zbývají do spuštění druhé vlny zavádění EET, která se týká maloobchodu a velkoobchodu. Přitom většina podnikatelů a firem stále neřeší, že od 1. prosince 2016 začal platit novelizovaný zákon o trestní odpovědnosti právnických osob (ZTOPO), podle kterého hrozí za porušení povinností ochrany osobních údajů milionové sankce a trestní stíhání.

Dále, od května 2018, navíc začne platit Obecné nařízení o ochraně osobních údajů (General Data Protection Regulation, GDPR), které tyto sankce zásadně zpřísňuje až na 20 milionů eur (nebo 4 % celkového celosvětového ročního obratu příslušné společnosti za předchozí účetní období).

„Tyto hrozby se týkají každého, kdo ochranu dat a osobních údajů podcení. Neznalostí zabezpečení kupovaného EET systému se podnikatelé vystavují neúměrnému riziku trestního stíhání,“ vysvětluje Klaus Hornitschek z eet1.

Uživatel podle něj nese plnou zodpovědnost za to, že ochrání data i jejich vkládání do systému nebo používaného zařízení před zneužitím.

„Je to podobné jako u platební karty, kdy si musí chránit PIN, měl by kartu používat s určitou opatrností a samozřejmě by měl pravidelně sledovat proběhlé transakce, zda mezi nimi není nějaká podvodná nebo podezřelá,“ dodává Jiří Berger, bezpečnostní expert eet1.

Apple uchovával smazaná data z iCloudu

13.2.2017 SecurityWorld Apple
Společnost Elcomsoft si všimla, že Apple ukládá historii vyhledávání, kterou už uživatelé smazali. Jak závažný může být pro uživatele tento problém? Zdá se, že iCloud od Applu uchovává i více než rok starou internetovou historii vyhledávání, kterou už uživatelé dávno smazali. Na možnou kauzu upozornila ruská společnost Elcomsoft, která z iCloudových účtů dokázala vytáhnout údajně smazanou historii vyhledávání skrz prohlížeč Safari, včetně dat a časů, kdy uživatelé konkrétní stránky navštívili a kdy následně záznamy smazali.

„Byli jsme schopni dostat se k záznamům, které byly víc jak rok staré,“ uvádí Vladimir Katalov, šéf Elcomsoftu.

Uživatelé iCloudu si mohou uchovávání historie nastavit tak, aby ji měli přístupnou ze všech svých zařízení. Rusové však zjistili, že i když ji uživatel vymaže, iCloud ji zcela neodstraní, ale místo toho ji dál uchovává ve formátu, který už ale uživatel nevidí.

Uchovávání kopie takových záznamů může být podle Katalova „neocenitelné pro výzvědné a vyšetřovací služby“, nicméně dodává, že není zcela jasné, zda Apple o tom, že iCloud smazaná data uchovává, vůbec věděl.

Jakmile totiž Elcomsoft na záležitost upozornil, Apple začal z iCloudu dotčené záznamy odstraňovat, aniž by se však k objevu jakkoliv vyjádřil. „Ale možná je jen přesouvají na jiné servery, aby se k nim už zvenku nešlo dostat,“ dodává Katalov, podle něhož už se jeho lidé dostali pouze k záznamům starým dva týdny.

Není to přitom poprvé, co Elcomsoft upozornil na možný prohřešek Applu. V minulosti zjistil, že iCloud ukládá rovněž uživatelskou historii hovorů bez toho, aby uživateli nabídl možnost tuto synchronizaci vypnout.

Na to Apple tehdy reagoval tím, že jde o funkci pro zajištění většího pohodlí, umožňující uživatelům zpětná volání z kteréhokoliv ze svých zařízení. Vedle toho, synchronizaci ukládání historie prohlížení, mohou uživatelé obávající se o své soukromí, alespoň vypnout.

Vícefaktorová autentizace jako mainstream

11.2.2017 SecurityWorld Zabezpečení
Stále více uživatelů používá pro svou identifikaci spíše otisk prstu než zadání hesla. Vícefaktorová autentizace (MFA, Multifactor Authentication) se totiž jeví jako jednodušší a bezpečnější. A navíc u ní neexistuje uložený seznam hesel, který by mohli útočníci ukrást. Jsou ale MFA už natolik propracované, aby se staly hlavním proudem?

V roce 2014 se USAA stala první finanční institucí, která zavedla rozpoznávání obličejů a hlasu do mobilní aplikace, prohlašuje Gary McAlum, tamější ředitel zabezpečení této společnosti. Rozpoznávání otisků prstů následovalo o pár měsíců později. A rok poté už měla USAA mezi svými pěti miliony uživatelů mobilní bankovní aplikace 1,1 milionu těch, kteří nativně využívali vícefaktorovou autentizaci.

„Současný model zabezpečení internetu je zastaralý a umírající. Je založen na informaci, která je známá (například vaše heslo nebo maskot na střední škole), ale vše už lze snadno zjistit – třeba pomocí úniků dat z Facebooku,“ poznamenává McAlum. „Odklon od ‚známé informace‘ je tedy naprosto nezbytný.“

„Téměř každá banka na světě používá jako alternativu vícefaktorovou autentizaci,“ tvrdí Avivah Litanová, analytička Gartneru. Po celá desetiletí se vícefaktorová autentizace využívala v podobě „bezpečnostního tokenu“, malého zařízení, které zobrazovalo jednorázové heslo, jež se každých několik minut měnilo. Bezpečnostní server banky měl stejný algoritmus a dokázal nejnovější správné heslo poznat.

„Vícefaktorová autentizace byla vždy příliš složitá a pro široké použití drahá,“ říká Jon Oltsik, bezpečnostní analytik společnosti Enterprise Strategy Group. „Co se nyní mění, je použití spotřebitelských technologií, především chytrých telefonů a rostoucí použití biometrických faktorů, jako jsou čtečky otisků prstů v chytrých telefonech.“

Definice faktorů

„Vícefaktorová autentizace je něco, co víte, něco, co máte, a něco, co jste, a používá přitom více než jeden z těchto faktorů,“ vysvětluje Michael Lynch, šéf strategií ve firmě InAuth, která se specializuje na problematiku autentizace.

„Něco, co víte, jsou přihlašovací údaje jako heslo. Něco, co máte, může být bezpečnostní token, avšak v případě mobilních telefonů jsou bezpečnostním tokenem právě tyto přístroje. Nebo to také může být počítač. Něco, co jste, je biometrie, například rozpoznávání otisku prstu, oční duhovky, hlasu nebo pulzu,“ vysvětlujeLynch.

Mezi další biometrické faktory, které se používají nebo se o nich uvažuje, patří srdeční tep, rychlost psaní na klávesnici, rozložení cév v bělmu oka nebo v kůži, způsob chůze, lokalita a vzorce dlouhodobého chování. Rozpoznávání oční duhovky ale vyžaduje kameru s funkcí infračerveného snímání.

V některých případech se využívá dvoufaktorové zabezpečení. Tradiční kombinace jména a hesla se obvykle počítá za jeden faktor a příslušné zařízení za ten druhý, popisuje Lynch. Novým trendem ale je (jako u USAA) použití mobilního zařízení jako jednoho z faktorů a biometrické vlastnosti detekované tímto zařízením jako druhého faktoru, aniž se musí použít heslo.

Lynch vysvětluje, že pro desktop lze použít tzv. otisk prohlížeče jako druhý faktor, který se vytvoří získáním informací o písmu, jazyku, aplikaci a typu prohlížeče.

„Tzv. otisk počítače se v průběhu času mění, jak se aplikace aktualizují a dochází k instalaci oprav, takže obvykle vydrží 60 dnů nebo i méně,“ což je důvodem, proč se mohou přihlašovací požadavky banky pro uživatele desktopu náhle změnit, vysvětluje Lynch a dodává, že kombinace souboru cookie a otisku prohlížeče je spolehlivější metodou.

Soubory cookie podle něj mohou vydržet stejně dlouho jako instalace prohlížeče, ale daný počítač je nemusí povolit.

„Druhý faktor však nemusíte vidět – banka téměř vždy kontroluje váš počítač přes soubor cookie,“ poznamenává Litanová. Pokud nerozpozná počítač, často pošle jednorázové heslo na mobilní telefon uživatele nebo na jeho e-mailovou adresu.

Co se týče biometrických faktorů pro mobilní zařízení, je „metoda ID využívající otisk prstu významná, protože už bývá často vestavěná, je pohodlná a uživatelé ji používají, není však lepší nebo horší než jiné metody ID,“ tvrdí Jim Ducharme, viceprezident bezpečnostní firmy RSA, která nově spadá pod Dell EMC.

Nižší popularita metod jako rozpoznávání hlasu či tváře je podle něj způsobovaná tím, že v mnoha případech nefungují – hlas v metru či tvář v nočním klubu.

Ve firmě USAA spoléhá cca 90 % jejích uživatelů na rozpoznávání otisků prstů, přičemž míra úspěšnosti přihlašování je pro otisky prstů i tváře vyšší než 90 procent, říká McAlum.

Přestože rozpoznávání hlasu více závisí na okolním prostředí, někteří uživatelé ho stále upřednostňují, dodává. (USAA nabízí i přístup pomocí kódu PIN pro případ, že by ostatní metody selhaly.)

Výběr faktoru pro použití však nezávisí vždy jen na technologii. „Na některých místech není přijatelné použít tvář jako identifikátor, protože tomu brání oblečení nebo někteří lidé považují oko za cestu k duši,“ vysvětluje Marc Boroditsky, viceprezident společnosti Authy, která dodává autentizační software.

Nemusejí se jim také z různých důvodů líbit snímače otisků prstů. V Brazílii si podle něj myslí, že to naznačuje kriminalitu. V některých částech Asie jsou zase lidé přesvědčeni, že je nečisté dotýkat se snímače otisků prstů.

„Vaše identita je osobní věc, a když začnete používat části osob pro identifikaci, zasahujete do něčeho s komplexními kulturními důsledky,“ dodává Boroditsky.

„S téměř každým biometrickým faktorem se také pojí otázka špehovanosti. Je zde děsivý aspekt detekce uživatelů bez jejich zapojení do procesu. Musíme být napřed a dát zákazníkům možnost volby. Například aby mohli vypnout zjišťování polohy a přidat další krok do procesu autentizace,“ tvrdí Boroditsky.

DDoS útoky se dostaly na své maximu

10.2.2017 SecurityWorld Počítačový útok
DDoS útoky zaznamenaly v posledních třech měsících roku 2016 značný pokrok -- novým trendem jsou ataky spuštěné prostřednictvím velkého počtu botnetů tvořených zranitelnými zařízeními internetu věcí (IoT).

Podle reportu společnosti Kaspersky Lab v průběhu posledního čtvrtletí minulého roku analytici zaznamenali botnetové DDoS útoky v 80 zemích, přičemž v předchozím kvartále jich bylo pouze 67.

Mezi 10 zeměmi, které zaznamenaly nejvíce DDoS obětí, došlo ke změně - Itálie a Nizozemí byly nahrazené Německem a Kanadou. Tři západoevropské země (Nizozemí, Velká Británie a Francie) zůstaly druhý kvartál v řadě mezi top 10 státy s nejvyšším počtem hostitelských C&C serverů, přičemž se k nim v posledním kvartále přidaly Bulharsko a Japonsko.

Nejdéle trvající DDoS útok v posledním čtvrtletí trval 292 hodin (přes 12 dní), což z něj udělalo rekordmana roku 2016. Nejvyšší počet DDoS útoků během jednoho dne se datuje na sobotu 5. listopadu.

Celkově se poslední tři měsíce roku 2016 nesly ve znamení neobvyklých DDoS útoků proti rozmanitým cílům, mezi něž se zařadily společnosti jako Dyn (doménový systém), Deutsche Telekom a některé velké ruské banky.

Tyto společnosti se staly prvními oběťmi nového trendu – DDoS útoky spuštěné prostřednictvím velkého počtu botnetů, které byly tvořeny zranitelnými zařízeními internetu věcí (IoT). Příkladem může být útok Mirai. Přístup, který zvolili tvůrci Mirai, posloužil jako základ mnoha dalším botnetům, které byly utvořeny z infikovaných IoT zařízení.

Narůstající počet útoků, jejichž součástí byly zařízení internetu věcí, byl jen jedním z trendů posledního čtvrtletí. V průběhu celých tří měsíců došlo ke značnému poklesu množství zesílených DDoS útoků, které byly hojně využívané v první polovině loňského roku. Důvodem může být lepší ochrana proti takovýmto útokům a méně zranitelných serverů, na které by mohli kyberzločinci cílit.

Mezeru po zesílených útocích rychle zaplnily útoky prostřednictvím aplikací, mezi něž se zařadily například útoky WordPress Pingback. Detekce útoků skrze aplikace představuje daleko složitější proces, protože útok napodobuje aktivity reálných uživatelů.

Hrozba je o to větší, že tyto útoky čím dál častěji využívají šifrování. To do velké míry zvyšuje efektivitu DDoS útoků, protože se jejich dešifrováním značně komplikuje proces filtrování závadných a pravých požadavků.

První středoškolská soutěž ČR v kybernetické bezpečnosti

9.2.2017 SecurityWorld IT
První kolo Středoškolské soutěže ČR v kybernetické bezpečnosti organizované Pracovní skupinou kybernetické bezpečnosti AFCEA a celou řadou státních, akademických a profesní organizací skončilo úspěšně.

Prvního kola se zúčastnilo téměř 1100 osob. Všechna kritéria soutěže splnilo 874 studentů ze 162 středních škol z celé ČR, kteří byli hodnoceni. Do druhého kola soutěže postupuje 567 soutěžících ze všech krajů ČR. Nejvíce zástupců bude mít kraj Jihomoravský, Praha a kraj Vysočina.

První „osvětové“ kolo soutěže ukázalo dobrou všeobecnou znalost studentů v oblasti kybernetické bezpečnosti. Šest studentů získalo plný počet bodů (40) a průměrný bodový výsledek 19,05 bodu všech hodnocených studentů představuje slušný výsledek a zcela jistě velkou motivaci pro následující kolo.

Do soutěže se zapojili studenti z různých typů škol a to nejen technických a gymnázií, ale i studenti z typicky netechnických škol a studijních oborů - např. z uměleckých průmyslovek, zdravotnických škol, hotelových škol atd. Některé školy „vyslaly“ do soutěže jen jednotlivce, jiné celé skupiny o několika desítkách účastníků. Nejvíce studentů v soutěži reprezentovalo Střední školu informatiky, poštovnictví a finančnictví Brno.

Je obtížné hodnotit nejúspěšnější školy, jelikož proměnných je mnoho - počet vyslaných studentů s jejich nejlepším, průměrným a nejhorším výsledkem, počtem postupujících studentů apod., a jsou jimi částečně znevýhodněny školy, které měli menší počet zapojených studentů. Přesto Soutěžní výbor takovéto hodnocení provedl a mezi pěti nejúspěšnějšími školami v České republice se umístili tyto:

Střední průmyslová škola elektrotechnická a Vyšší odborná škola, Pardubice;
Střední průmyslová škola na Proseku, Praha;
Církevní Gymnázium Německého Řádu, Olomouc;
Integrovaná střední škola technická a ekonomická, Sokolov;
SŠ AGC a.s., Teplice.

Součástí hodnocení prvního kola byla i realizace individuálních návštěv jednotlivých škol, osobní předávání diplomů a diskuse se studenty na téma kybernetické bezpečnosti. Členové soutěžního výboru v období od 10. ledna do 3. února uspořádali návštěvu 31 škol, na kterých proběhlo 29 diskusí a přednášek pro více než 1.200 studentů a pedagogů.

První kolo bylo hodnoceno po jednotlivých krajích, a tudíž mělo 14 skupin výherců. Detailní výsledková listina je zveřejněna na stránkách soutěže – www.kybersoutez.cz. Studenti a studentky postupující do druhého kola získali v rámci předaných cen a doprovodných materiálů přístup k celé řadě studijních podkladů o kybernetické bezpečnosti, které do soutěže věnovala řada odborných partnerů.

Důkladnější příprava na druhé kolo, které proběhne v březnu tohoto roku, bude nezbytná, jelikož toto kolo již bude náročnější, více technické a z části v anglickém jazyce. Soutěžící v něm budou usilovat o postup do celorepublikového finále, které proběhne za osobní účasti všech finalistů a jejich doprovodu 1. června 2017 v Brně v rámci mezinárodního veletrhu obranných a bezpečnostních technologií IDET 2017.

Česká spořitelna varuje: kyberútočníci využívají nový trik s adresou
8.2.2017 Živě.cz Phishing
S phishingem se v posledních týdnech roztrhl pytel. Před útoky na klienty varovala Fio banka, ČSOB, Alza, ale také Google v souvislosti s Gmailem. Nově se přidala i Česká spořitelna, která zaznamenala novou vlnu útoků, v níž útočníci využívají novou metody pro zmatení uživatelů.

Vše opět stojí na e-mailu, který uživatele vyzývá k zobrazení důležité zprávy v internetovém bankovnictví. Po kliknutí na odkaz jej přenese na podvodnou přihlašovací stránku tvářící se jako korektní webová správa účtu. Zadané údaje ale samozřejmě míří do databáze útočníků. Tentokrát se snaží vylákat také autorizační kód doručený formou SMS.

Klepněte pro větší obrázek
Uživateli nejdřív dojde e-mail, v němž najde odkaz na důležitou zprávu v internetovém bankovnictví • Následně je uživatel přesměrován na podvodnou stránku, která se vydává za internetové bankovnictví (foto: Česká spořitelna)

Novinkou je využití finty, která má zamaskovat adresu falešného webu využitím tzv. Data URI, kdy lze do adresy zapsat kus zdrojového kódu. Díky tomu může adresní řádek obsahovat i známý text servis24.cz, uživatele by však měla varovat především absence zabezpečeného připojení, které je v prohlížečích symbolizováno ikonou zeleného zámku.

Česká spořitelna vyzývá k přeposílání podvodných e-mailů na adresu phishing@csas.cz a zároveň doporučuje ihned kontaktovat zákaznickou linku v případě, že již došlo k zadání údajů do falešného formuláře.

Autor známého doplňku pro Kodi si chtěl vyřizovat účty, a tak do něj umístil DDoS
8.2.2017 Živě.cz Hacking

Scéna okolo populárního přehrávače Kodi v minulých dnech zažila nepříjemnou aféru. Autor jednoho z populárních doplňků Exodus, který slouží ke streamování filmů a seriálů z internetu, si chtěl pomocí obrovské základny uživatelů vyřizovat účty se svými kritiky a do kódu doplňku zakomponoval pokus o DDoS.

Klepněte pro větší obrázek
Multimediální přehrávač Kodi na Android TV

Podle TorrentFreaku byl autor Exodu, který na internetu vystupoval pod přezdívkou Lambda, ve sporu s jistými kritiky, kteří chtěli odhalit jeho skutečnou identitu. Toho se Lambda jako autor pirátského doplňku obával, a tak v rámci aktualizace umístil do kódu Exodu několik řádů s příkazy, které cyklicky načítaly webové adresy, které patřily jeho nepřátelům.

Klepněte pro větší obrázek
Kód v Pythonu, který ve smyčce prováděl HTTP GET požadavky. Při velkém počtu uživatelů doplňku autor doufal, že způsobí neplechu a zahltí webový server.

Zvídavým uživatelům však jen tak něco neunikne, a tak se brzy začali ptát, proč se doplněk snaží na pozadí otevřít asi čtyřicet webových spojení pokaždé, když skrze něj začnou cokoliv streamovat.

Lambda se nakonec musel přiznat, že chtěl poškodit své kritiky a funkci upravil jako volitelnou pro své podporovatele. Zašel však příliš daleko, znedůvěryhodnil celou scénu a přišel o účet v katalogu s doplňky. Nakonec Kodi fakticky opustil.

Klepněte pro větší obrázek
Domácí kino Kodi na Android TV

Celý případ připomněl, že s instalací jakéhokoliv kódu třetí strany musíme vždy myslet na to, že jej může nedůvěryhodný autor zneužít. Nemusí se přitom vždy jednat o malware, který by nám měl citelně ublížit, ale třeba právě o to, že se nás pokusí zapojit do útoku typu DDoS jako v tomto případě.

Sledování internetu vojenským zpravodajstvím: posun správným směrem
8.2.2017 Lupa.cz BigBrother

Poslanci dnes na zasedání výboru pro bezpečnost přidali k novele zákona o Vojenském zpravodajství několik důležitých návrhů mířících pozitivním směrem.
K novele zákona o Vojenském zpravodajství (VOZ) jsem se už párkrát vyjadřoval a není tedy asi nutné připomínat, že nejsem velkým příznivcem této normy. Osobně si myslím, že umělé rozdělení na kybernetickou bezpečnost a kybernetickou obranu a také propojení tohoto tématu se zpravodajskou službou je velmi špatný nápad. Razantně jsem vystupoval i proti tomu, aby VOZ mohla technicky získávat veškerá data internetového provozu. Pojistka v zákonu ve formě prohlášení, že se VOZ obsahem nebude zbývat, mi přišla slabá. Stejně tak mi vadí, že by k diskusi o nasazení příslušné techniky nebyli přizváni odborníci mimo okruh VOZ či ministerstva obrany.

Dnešní zasedání výboru pro bezpečnost přineslo mírně příznivé zprávy. Za prvé, navrhovaný pozměňovací návrh říká, že VOZ bude moci získávat pouze metadata. Přeloženo do obecné češtiny to znamená, že VOZ „uvidí“ pouze hlavičky (obálky) zpráv a nikoliv obsah zpráv. V praxi to znamená, že například uvidí, že si dva mailové servery předávaly nějakou zprávu, ale nebudou vědět od koho komu a co v ní bylo. Budou také případně moci vidět, že z nějaké konkrétní IP adresy kdosi přistupoval na web např. Seznamu, CZ.NICu či třeba na servery s obsahem pro dospělé.

Dále čtěte: Přišlo hacknutí ministerstva zahraničí jako na zavolanou?

Nebudou ale mít 100% jistotu kdo a co tam stahoval. Daná IP adresa může sloužit firmě, nějaké domácnosti, ale bohužel i pouze konkrétnímu jednotlivci. Dále tato změna také znamená, že je vyloučeno nasazení aktivního zařízení, přes které by protékal veškerý provoz, i pasivního zařízení, které by odposlouchávalo veškerou komunikaci nějaké linky. V praxi by to pravděpodobně znamenalo, že by ISP ze svého routeru posílal informace o provozu pomoci NetFlow či sFlow, což je relativně běžná procedura, která se pro monitoring sítě používá. Ale je pravdou, že pro některé ISP s routery bez této funkcionality to může být určitá technická komplikace.

Druhá změna se týká zřízení poradního orgánu, jenž by měl zahrnovat i odborníky z řad operátorů, a který by vydával odborná stanoviska k navrhovanému nasazení techniky. Trochu tomuto ustanovení vyčítám, že není lépe řečeno, kdo přesně bude členem tohoto orgánu. Praxe by to sice vyjasnila, ale byl bych radši, kdyby tam bylo jasně napsáno, že tam budou například i zástupci národního i vládního CERT týmu apod.

Třetí změnou je vydávání každoroční zprávy o učiněných opatřeních. Opět to je pochopitelně dobrý posun. I když je trochu škoda, že navrhovaná úprava je v této věci velmi stručná. Považoval bych za lepší, kdyby zmiňovaná zpráva obsahovala i výčet závažných útoků, jež daná technika pomohla detekovat či eliminovat.

Brand

Každopádně závěr výboru vítám, pořád si sice myslím, že by bylo lepší kybernetickou obranu a bezpečnost této země zajistit jinými mechanismy, ale tento pozměňovací návrh novelu jednoznačně zlepšuje.

Spam je zpět, je ho nejvíc za 7 let, každý desátý obsahuje malware
8.2.2017 Root.cz Spam

Každou sekundu je na světě odesláno 3500 nevyžádaných mailů, každý desátý z nich je škodlivý. Spam dnes představuje více než 65 procent veškeré odeslané pošty a hodnoty se tak dostávají na úroveň roku 2010.
Objem rozesílaného spamu opět roste. Po relativně klidných letech se jeho objem zvýšil několikanásobně. Zatímco během roku 2015 se každou sekundu poslalo průměrně 500 spamů, nyní se jich posílá 3500. Ukazuje to alespoň zpráva Cisco 2017 Annual Cybersecurity Report, která potvrzuje informace týmu Cisco Talos ze září 2016.

Objem spamu opět roste
Podle ní je v současnosti jasně vidět snaha útočníků o co nejvyšší zisk. Taktiky kybernetických útočníků se dnes podobají obchodním modelům s cílem maximalizovat zisk. A využívají nejen nových možností, ale spoléhají se i na staré finty, jako je spam, který dnes představuje 65 % všech odeslaných mailů, píše se ve zprávě. Objemově se tak spam dostává na sedm let staré hodnoty z roku 2010.

Mezi 8 a 10 procenty spamu je navíc přímo infikováno malware, útočníci jej přidávají jako přílohu. Tímto způsobem se pak šíří nejrůznější škodlivý kód, na vzestupu je software zobrazující nevyžádané reklamy.

Nebezpečnější nevyžádané reklamy
Škodlivý software zobrazující nevyžádanou reklamu (tzv. adware) je na vzestupu, navíc nebezpečnější než dříve. Kybernetičtí útočníci totiž začali adware využívat jako první krok k infikování systémů pokročilejším typem malwaru. Jedním z příkladů může být malware DNSChanger, který umožní útočníkovi kontrolovat síťový provoz.

DNSChanger se přitom vyskytuje pouze v zařízeních, která již dříve byla infikována adwarem. Jeho škodlivost je nicméně velmi podceňována a výzkumníci zjistili, že v 75 % organizací se adware vyskytuje minimálně na jednom zařízení. Zkoumáno bylo 130 organizací různých velikostí a napříč obory.

Útočníci také využívají častěji internetovou reklamu, prostřednictvím které šíří škodlivý software (tzv. malvertisting). Malvertising totiž umožňuje útočníkům rychle rozšířit počet potenciálních obětí. Při takto rozsáhlé kampani navíc dokážou rychle přepínat mezi jednotlivými servery, které šíří malware. Tímto způsobem snižují riziko svého odhalení. Například prostřednictvím kampaně ShadowGate proběhl útok na miliony uživatelů po celém světě.

Studie dále zkoumala, jaký dopad mají úspěšné kybernetické útoky na tržby nejenom velkých firem, ale i malých a středních podniků. Téměř čtvrtina organizací (22 %), na které byl veden úspěšný útok, ztratily své zákazníky a 40 % z nich přišlo o více než pětinu své zákaznické základny. Podobně se snížily i jejich tržby. Celých 29 % úspěšně napadených organizací zaznamenalo nižší příjmy, 38% z nich pak ztratilo více než 20 % objemu tržeb. Přestože ztráty způsobené kybernetickými útoky jsou významné, naše studie zjistila, že až 44 % bezpečnostních incidentů zůstává ignorováno a dále nevyšetřeno. Důkladná analýza přestálého útoku je přitom nezbytná, aby organizace mohla vylepšit svá bezpečnostní opatření, říká Milan Habrcetl, bezpečnostní expert společnosti Cisco ČR.

Nejrozšířenější exploit kity ustupují, přicházejí nové
Studie zjistila, že nejrozšířenější nástroje pro šíření škodlivého softwaru (tzv. exploit kity) téměř vymizely. Exploit kity Angler, Nuclear, Neutrino a RIG dříve patřily mezi nejpoužívanější. V listopadu 2016 však byl jediným aktivním RIG.

Ústup exploit kitu Angler souvisí se zatčením 50 ruských hackerů na jaře 2016, kteří využívali malware Lurk k útokům na ruské banky. Výzkumníci společnosti Cisco totiž zjistili úzké propojení mezi malwarem Lurk a exploit kitem Angler.

To však neznamená sníženou aktivitu útočníků. Na jejich místo nastupují jiné formy, například Sundown, Sweet Orange a Magnitude. Stejně jako RIG cílí tyto exploit kity na zranitelnosti v Microsoft Internet Exploreru, Flashi a v aplikační platformě Silverlight.

Spousta různých řešení a cloud
Ze závěrů studie vyplývá, že 55 % organizací používá bezpečnostní řešení více než 5 výrobců, 3 % organizací dokonce uvedly, že mají produkty od více než 50 výrobců. Složitost bezpečnostní architektury však může paradoxně pomoci útočníkům. Ti mají více času a prostoru pro zahájení útoku. Ne všechna řešení jsou totiž kompatibilní a ne všechna zařízení v síti bývají chráněna všemi nainstalovanými bezpečnostními produkty.

Organizacím navíc taková situace stěžuje hledání bezpečnostních odborníků, neboť práce s mnoha nástroji výrazně zvyšuje nároky na kvalifikaci lidí. A právě nedostatek odborníků vnímají bezpečnostní ředitelé jako jedno z hlavních omezení pro vybudování kvalitního zabezpečení, uvádí Milan Habrcetl. Ve výzkumu to potvrdilo 25 % dotázaných. Mezi dalšími omezeními byly zmíněny: limitovaný rozpočet (38 %), potíže s kompatibilitou systémů (28 %) a potřebné certifikace (25 %).

Zároveň se zvyšuje množství nasazovaných cloudových aplikací. Počet cloudových aplikací, které zaměstnanci využívají, se za dva roky více než zdesetinásobil. Bezpečnostní tým Cisco CloudLock zkoumal 900 organizací a jejich zaměstnanci používali v říjnu 2014 celkem 20 400 různých cloudových aplikací, zatímco v říjnu 2016 už zhruba 222 000. Více než čtvrtina z nich (27 %) byla vyhodnocena jako vysoce riskantní. Zajištění ochrany v souvislosti s narůstajícím objemem cloudového provozu tak patří mezi hlavní body zájmu bezpečnostních manažerů.

a href="https://i.iinfo.cz/images/108/spam-objem-1.png"Spousta různých řešení a cloud

LOGmanager umí nově kooperovat i s jinými systémy správy logů

8.2.2017 SecurityWorld Software
Novou verzi systému LOGmanager, českého nástroje na správu a analýzu logů, uvedla na trh Sirwisa.

Mezi vylepšení nové verze patří například možnost přeposílání záznamů na nadřazené SIEM systémy jiných výrobců, kde se mohou logy podrobit pokročilé analýze nebo se korelují s informacemi z jiných zdrojů.

Novinky LOGmanageru verze 2.2.0 podle výrobce:

podpora pro přeposílání událostí na nadřazený syslog server
podpora pro příjem a parsování událostí v LEEF formátu
tlačítko na otestování spojení s aktualizačním serverem (System > Software)
vylepšená konfigurace webserveru (povolené je pouze TLSv1.2 šifrování spojení, přidány HSTS bezpečnostní hlavičky)
upravené dashboardy (zvětšené pole pro zadávání názvu polí, vylepšení pro zobrazování práce s Windows soubory, zobrazování alertů, postfix/sendmail a Windows Logons)
u blockly byla vypnutá funkce zoom na kolečku myši

Podstatou LOGmanageru je sběr všech relevantních eventů a logů organizace, jejich ukládání do centrálního zabezpečeného úložiště s předem definovanou retencí a možností prohledávat enormní množství dat v reálném čase. Výstupy prohledávaní se prezentují v textové i grafické podobě s vysokou mírou interakce vzhledem k nalezeným datům.

Systém rovněž umožňuje dlouhodobě ukládat data v nezpochybnitelné podobě pro potřeby shody s předpisy, požadavky pro forenzní analýzu a případné bezpečnostní audity. Řešení rovněž pomáhá plnit požadavky dané ze Zákona o kybernetické bezpečnosti.

Distributorem řešení LOGmanager v tuzemsku je firma Veracomp, pro implementaci lze využít i služeb řady certifikovaných partnerů.

Kyberzločinci vyřadili z provozu web rakouského parlamentu

7.2.2017 Novinky/Bezpečnost Kyber
Počítačoví piráti v neděli na zhruba dvacet minut vyřadili z provozu webové stránky rakouského parlamentu, k žádným neveřejným datům se ale nedostali. V prohlášení to uvedl parlament s tím, k žádným škodám nedošlo a že případem se zabývají bezpečnostní úřady. K činu se mezitím přihlásila turecká islamistická skupina Tým lvích vojáků (ANT), uvedla agentura Reuters.
"Napadení hackery bylo podle všeho vedeno takzvaným DDoS útokem, terčem podobného útoku byly loni v prosinci weby ministerstva zahraničí a obrany," upřesnil v prohlášení parlament.

Útok DDoS (Distributed Denial of Service) má vždy stejný scénář. Stovky tisíc počítačů začnou přistupovat v jeden okamžik na konkrétní server. Ten zpravidla nezvládne tak vysoké množství požadavků zpracovat a spadne. Pro běžné uživatele se pak takto napadená webová stránka tváří jako nedostupná.

ANT na svém webu uvádí, že chrání vlast, islám, národ a vlajku. Reuters poznamenal, že vztahy mezi Tureckem a Rakouskem v loňském roce značně ochladly poté, co Rakousko vyzvalo ke zmrazení přístupových rozhovorů mezi Evropskou unií a Ankarou.

Vídeň tak reagovala především na počínání tureckých úřadů po loňském neúspěšném pokusu o svržení prezidenta Recepa Tayyipa Erdogana. ANT rovněž na webu oznámil, že provádí operace proti prokurdské Lidové demokratické straně (HDP), rakouské centrální bance a jistému rakouskému letišti.

Útokům čelilo i Česko
Masivním útokům typu DDoS čelily v roce 2013 některé tuzemské servery. Směřovány byly nejprve na zpravodajské weby, potom na portál Seznam.cz, servery bank a telefonních operátorů.

Podle bezpečnostních expertů šlo tehdy o největší kybernetický útok v celé historii Česka.

„Musíme ověřit svůj účet informace!“ Špatný phishing tentokrát míří na zákazníky Fio Bank
7.2.2017 Živě.cz Phishing
Další bankou, která upozorňuje na phishingové útoky na její klienty, je Fio Bank. Nebezpečné e-maily rozesílají útočníci v těchto dnech a naštěstí jsou dobře rozeznatelné díky strojovému překladu s lámanou češtinou. Ani to však nemusí nejméně ostražitým uživatelům zabránit v kliknutí na odkaz a zadání přístupových údajů do podvodného formuláře.

Klepněte pro větší obrázek
Ani velmi špatná čeština často nemusí odradit uživatele ke kliknutí na odkaz a zadání údajů do podvodného formuláře (foto: Fio Bank)

E-maily mohou přijít například z adresy kontakt@fiobanka.prihlaste.cz. Web Přihlaste.cz přitom opravdu sdružuje weby internetového bankovnictví českých bank, ale i přihlašovací stránky sociálních sítí.

V každém případě neklikejte na odkaz v doručené zprávě a e-mail přesuňte do spamu nebo jej rovnou smažte. Pokud do podvodného formuláře zadáte svoje údaje, kontaktujte urychleně zákaznickou podporu.

Útočník ovládl 160 000 tiskáren, tiskne na nich varování před útoky
7.2.2017 Root.cz Hacking
„Pro lásku boží, zavřete si ten port,“ objevuje se na ASCII-artových letácích, které vyjíždějí ze 160 000 tiskáren po celém světě. Hodný hacker se tak snaží upozornit na bezpečnostní chybu v PostScriptu.
Skupina odborníků z University Alliance Ruhr objevila chybu „cross-site printing“ (XSP) ve staré implementaci PostScriptu a PJL v laserových tiskárnách. Chyba se týká tiskáren zvučných jmen jako Dell, Brother, Konica, Samsung, HP a Lexmark. Úspěšný útočník ji může zneužít ke získání hesel, dolování citlivých údajů z tiskové fronty nebo k odstavení zařízení.

Stará chyba v PS a PJL
Problém je o to horší, že chyba není nová, ale v zařízeních je ukrytá desítky let. Dovoluje útočníkovi procházet souborový systém tiskárny, pokud k ní má přístup a může tisknout – to lze zařídit po síti nebo pomocí USB. Objevitelé chyby vytvořili nástroj v Pythonu, který dovoluje vzdáleně manipulovat s tiskovou frontou, číst soubory na disku, přistupovat k paměti tiskárny nebo zařízení fyzicky zničit.

Celkem bylo zveřejněno šest různých bezpečnostních mezer umožňujících přetečení zásobníku, ukradení hesel a zachycení tiskových úloh. Jedna z metod nazvaná Cross-Origin Resource Sharing (CORS) dokáže ve spojení s XPS využít k prolomení webové rozhraní tiskárny, které je přístupné na TCP portu 9100. Útočník podstrčí oběti stránku se skrytým iframe, který pak začne z uživatelova počítače komunikovat s tiskárnou skrytou uvnitř sítě.

Požadavek může obsahovat příkazy v jazycích PostScript nebo PJL, jak popisuje wiki na hacking-printers.net. Podle autorů je možné také posílat data z tiskárny zpět do prohlížeče, pokud se k tomu připraví správně výstupy PostScriptu. Je tak možné na straně tiskárny například emulovat HTTP server a povolit si přístup z JavaScriptu. Tiskárnu je pak možné plně ovládnout.

Hodný útočník
Nedlouho po odhalení této bezpečnostní chyby začalo hučet 160 000 tiskáren po celém světě – od velkých kancelářských strojů až po tiskárny u pokladen. Neznámý útočník s přezdívkou Stackoverflowin je všechny vzdáleně ovládl a začal na nich tisknout varovné „letáky“ s informacemi o tom, že zařízení je zranitelné a mělo by být zabezpečeno.

Stackoverflowin je ve vaší tiskárně
Obrázků existuje víc, na internetu se začínají objevovat jejich fotografie. Společné mají to, že je na nich ASCII-artový obrázek (robot/počítač) a krátký vysvětlující text. Součástí je i kontakt nebo odkaz na twitterovský účet.

Pro lásku boží, zavřete si ten port!
Útočník o sobě tvrdí, že je mu méně než 18 let a že jeho nástroj hledá veřejně dostupné tiskárny s otevřeným přístupem RAW, IPP (Internet Printing Protocol) a LPR (Line Printer Remote) na TCP portech 9100, 631 a 515. Pak na ně posílá tiskové úlohy. Prý ho nejvíce překvapilo, jak snadné to celé bylo. Pomocí zmap prohledal internet a pak spustil jednoduchý program v C, který rozeslal úlohy. Do většiny tiskáren můžete takto poslat svůj firmware – ten nemusí být podepsaný, tvrdí.

Text vypadá například takto:

stackoverflowin the hacker god has returned, your printer is part of
a flaming botnet, operating on putin's forehead utilising BTI's
(break the internet) complex infrastructure.
[ASCII ART HERE]
For the love of God, please close this port, skid.
-------
Questions?
Twitter: https://twitter.com/lmaostack
-------
Uživatelé hlásí zprávy vyjíždějící z mnoha různých modelů tiskáren, například Afico, Brother, Canon, Epson, HP, Lexmark, Konica Minolta, Oki a Samsung. Není vyloučeno, že může jít i o výrobky dalších firem. Podle mladíka prý bylo takto vytištěno varování na 160 000 zařízeních, ale je napadnutelných tiskáren je více než 300 000.

Zatím jde o „hodný spam“, který má poukázat na potenciálně vážný problém. I když vytištěná prohlášení tvrdí, že tiskárny jsou součástí botnetu, není to podle útočníka pravda. Takové riziko tu ale skutečně je, pokud by tiskárny někdo začal masivně zneužívat, mohl by z nich postavit botnet podobný Mirai a libovolně zneužívat. Přestože tato ukázka je vlastně také nelegální, zatím nebyl nikdo skutečně nijak poškozen.

Provozujete síťovou tiskárnu? Podívejte se, jaké porty vystavuje do sítě.

Danger přestává strašit, nebezpečný virus je na ústupu

6.2.2017 Novinky/Bezpečnost Viry
Škodlivý kód Danger byl hned několik měsíců v minulém roce nejrozšířenější hrozbou kolující na internetu. V současnosti je však na ústupu, jeho podíl v lednu výrazně klesl. Vyplývá to ze statistik antivirové společnosti Eset.
Hned na úvod se sluší podotknout, že i v lednu byl Danger nejrozšířenější hrozbou vůbec. Jeho podíl však dramaticky klesl meziměsíčně o více než 30 procentních bodů na 11,05 %. Právě to ukazuje, že je tento nezvaný návštěvník na ústupu.

Nebezpečný virus, plným názvem JS/Danger.ScriptAttachment, je velmi nebezpečný. Otevírá totiž zadní vrátka do operačního systému. Útočníci pak díky němu mohou propašovat do napadeného počítače další škodlivé kódy, nejčastěji tak šíří vyděračské viry z rodiny ransomware.

Zašifrují uložená data
Tyto škodlivé kódy začnou šifrovat obsah počítače a uživateli zobrazí oznámení, že za dešifrování počítače musí zaplatit, jinak se ke svým datům údajně již nikdy nedostane.

Ani po zaplacení výkupného navíc nemají uživatelé jistotu, že se ke svým datům skutečně dostanou. Virus je nutné z počítače odinstalovat a data následně pomocí speciálního programu odšifrovat. V některých případech to ale není možné.

„Pokles podílu downloaderu Danger je opravdu významný. V prosinci představoval téměř každou druhou zaznamenanou hrozbu, v lednu jen každou desátou. Zjistili jsme však významný nárůst výskytu různých typů malware rodiny TrojanDownloader,“ řekl Miroslav Dvořák, technický ředitel společnosti Eset.

Stahuje další škodlivé kódy
Tento malware přitom dokáže v počítači nadělat také velmi pěknou neplechu. „Stejně jako v případě Dangeru jde, ostatně jak už sám název napovídá, o kód snažící do napadeného zařízení nahrát další škodlivé kódy,“ podotkl Dvořák.

TrojanDownloader – konkrétně jeho verze Agent.CHO – byl druhou nejrozšířenější hrozbou s podílem 5,03 %. První pětku pak uzavírají škodlivé kódy ProxyChanger a Nemucod.

Přehled deseti nejrozšířenějších hrozeb za měsíc leden naleznete v tabulce níže:

Top 10 hrozeb v České republice za leden 2017
1. JS/Danger.ScriptAttachment (11,05 %)
2. VBA/TrojanDownloader.Agent.CHO (5,03 %)
3. JS/ProxyChanger (4,36 %)
4. JS/TrojanDownloader.Nemucod (4,12 %)
5. JS/Kryptik.RE (3,38 %)
6. VBA/TrojanDownloader.Agent.CIY (2,55 %)
7. VBA/TrojanDownloader.Agent.CIQ (2,04 %)
8. Java/Adwind (2,01 %)
9. JS/TrojanDownloader.Iframe (1,73 %)
10. PowerShell/TrojanDownloader.Agent.DV (1,58 %)
Zdroj: Eset

Terčem kyberútoku se loni stala celosvětově pětina firem

6.2.2017 Novinky/Bezpečnost Kyber
Podíl firem, které se ve světě staly terčem kybernetického útoku, se loni zvýšil o šest procentních bodů na 21 procent. Celková odhadovaná škoda za rok 2016 je 279 miliard amerických dolarů (skoro sedm biliónů korun). Nejvíce na vzestupu bylo vydírání. Vyplývá to ze studie Grant Thornton, která zahrnuje informace 10 000 společností z 37 zemí.
V Severní Americe útoky přiznalo 24 procent firem, v EU dokonce 32 procent firem. Průměr stahuje dolů asijsko-pacifický region se 13 procenty napadených firem. Citelný nárůst kyberkriminality se však týká všech regionů.

Nejčastějším primárním důsledkem kyberútoků je zhoršená reputace, kterou uvedlo 29 procent společností, následuje ztráta času a energie, kterou je nutné vynaložit na nápravu vniklých škod. Ztrátu zákazníků označilo jako primární škodu 16 procent společností a sedm procent firem pocítilo přímý pokles obratu.

Vydírání je v kurzu
Nejčastěji se vyskytující formou kyberútoku je poškození obchodní infrastruktury. Tuto variantu přiznalo 22 procent napadených firem. Zkušenost s vydíráním pod pohrůžkou zveřejnění informací, násilí nebo poškození aktiv firmy přiznalo 17 procent společností.

"Vydírání je v paletě finančních zločinů tradičně vnímáno jako velmi nekalá praktika. V online světě je navíc vydírání velmi dobře organizované. Samotným útokem to však nekončí. Organizaci v návaznosti na tento útok vznikají další finanční ztráty vlivem poškozené reputace, zcizení informací, duševního vlastnictví, eventuálně fyzických škod na infrastruktuře," uvedl partner Grant Thornton David Pirner.

Podle expertů z Grant Thornton reagují společnosti na kyberútoky příliš pozdě. Celkem 13 procent firem zjistilo, že se staly oběťmi kyberútoku déle než po týdnu. Čtyři společnosti ze sta dokonce až déle než po měsíci.

Přišlo hacknutí ministerstva zahraničí jako na zavolanou?
6.2.2017 Novinky/Bezpečnost BigBrother
Předkladatelé zákona o Vojenském zpravodajství jsou „na koni“. Je teď přeci evidentní, že ČR potřebuje kybernetickou obranu a že stát se o ni postará nejlépe.
Jak jistě víte, v současnosti je ve sněmovně novela zákona o Vojenském zpravodajství, jež má svěřit obranu (ano, to je rozhodně něco jiného než ochrana) českého kybernetického prostoru Vojenskému zpravodajství (VOZ). Pokud mi dovolíte velké zjednodušení, tak zákon v podstatě říká, že VOZ bude instalovat do sítí operátorů prostředky kybernetické obrany, což jsou technické prostředky vedoucí k předcházení, zastavení nebo odvrácení kybernetického útoku ohrožujícího zajišťování obrany České republiky. Operátoři mají povinnost o připojení prostředků kybernetické obrany pomlčet.

Není divu, že takto vágně formulovaný zákon vzbudil vlnu nevole. Asi nejviditelnějším protestem je prohlášení tří významných asociací – CZ.NIC, ICT Unie a NIX.CZ. Samozřejmě, argumentů proti této novele lze nalézt mnohem více. V tom ovšem přišla zpráva jako hrom, a to, že někdo hacknul mailový server Ministerstva zahraničních věcí ČR, a rázem jsou předkladatelé zákona „na koni“. Je teď přeci evidentní, že Česká republika potřebuje kybernetickou obranu a že stát se o to postará nejlépe. Na toto téma jsem si přečetl i zajímavý rozhovor na Aktualne.cz. Ale je tento bezpečnostní incident skutečně argumentem pro přijetí této novely? Já myslím, že je tomu právě naopak!

Dále čtěte: Útoků na ministerstvo zahraničí si dlouho nikdo nevšiml. Kdo bude dalším cílem?

Ve zmiňovaném rozhovoru ministr (všeobecné) obrany uvádí, že pokud by byl přijat zákon, vojenští zpravodajci by zasahovali. Zní to, jako jasný argument pro urychlené přijetí zákona. Ale já si neustále kladu otázku: „Kdo jim v tom bránil?“. A teď mi prosím promiňte, že budu v následujících řádcích vnímat státní správu jako jeden celek. Nicméně, stát přeci v žádném případě neměl zakázáno starat se o svou vlastní kybernetickou bezpečnost (či obranu, chcete-li). Pokud chce stát dávat zařízení kybernetické obrany do sítí soukromých operátorů, proč je už neinstaloval do svých, státních sítí, aby ukázal, jak prospěšná zařízení to jsou? Proč se stát či konkrétně VOZ nechlubí množstvím odražených útoků v sítích státních úřadů, aby ukázal, že tímto jednoznačně prospěje i soukromé sféře? Není to spíše naopak? Žádný významný soukromý poskytovatel e-mailů neměl v poslední době takto závažný incident. Proč si tedy někdo myslí, že nás stát ochrání a že by měl instalovat prostředky kybernetické obrany v sítích soukromých operátorů? Proč nezačne u sebe? Například může začít na MZV a dalších ministerstvech.

Dále čtěte: Dušan Navrátil (NBÚ): Velké kyberútoky na český stát už probíhají, stojí za nimi jiné země

Mimochodem je velmi zajímavé sledovat, jak se mění argumentace předkladatelů k zákonu v reakci na ono prohlášení asociací. Například i ve zmíněném rozhovoru se hovoří o tom, že zmíněná zařízení kybernetické obrany budou pouze pasivní a jejich vyřazením z provozu tedy nemůže dojít k závažnějším provozním problémům. Ale to je v přímém kontrastu s definicí obsaženou v navrhované novele. Tato definice mluví jasně o technických prostředcích vedoucí k předcházení, zastavení nebo odvrácení kybernetického útoku. Pokud mají být zařízení pouze pro odposlech, proč se v návrhu zákona mluví o zastavení a odvrácení?

Rozhodně podporuji snahu státu o zvýšení kybernetické bezpečnosti svých systémů. Ale nemyslím si, že správným prostředkem je odposlech všech i se stáními systémy nesouvisejících sítí. Pevně věřím, že vše zlé je pro něco dobré. Doufám, že tento podivný návrh zákona nastartuje seriozní debatu o tom, jak zvýšit kybernetickou bezpečnost země a stát upustí od podivných Orwellovských nápadů a začne se vážně zabývat tím, jak zvýšit zabezpečení svých IT systémů.

České uživatele stále častěji ohrožují škodící downloadery

3.2.2017 SecurityWorld Viry
I když dominance malwaru Danger skončila, nahradily jej další nebezpečené stahovače škodlivého kódu.

Naprostá převaha škodlivého kódu Danger nad všemi ostatními internetovými hrozbami v Česku prozatím pominula.

V lednu sice tento malware nadále představoval nejčetněji detekovanou hrozbu, nicméně jeho podíl klesl o více než 30 procentních bodů na 11,05 procenta. Naopak posilovaly jiné typy škodlivých kódů, jak vyplývá ze statistiky společnosti Eset.

Podle něj jde stejně jako v případě Dangeru o kód snažící do napadeného zařízení nahrát další škodlivé kódy.

Druhou nejčetnější lednovou hrozbou v Česku byl zástupce výše uvedené rodiny, konkrétně pak VBA/TrojanDownloader.Agent.CHO, který představoval 5,03 procenta zachycených případů.

Na třetí pozici se dostal malware Changer, který Eset detekuje jako JS/ProxyChanger. Tento škodlivý kód umožňuje přesměrovat legitimní požadavek na útočníkem nastrčenou stránku a získat tak například číslo kreditní karty oběti. Changer stál za 4,36 procenty případů zjištěných internetových útoků v Česku.

Top 10 hrozeb v České republice za leden 2017:

1. JS/Danger.ScriptAttachment (11,05 %)

2. VBA/TrojanDownloader.Agent.CHO (5,03 %)

3. JS/ProxyChanger (4,36 %)

4. JS/TrojanDownloader.Nemucod (4,12 %)

5. JS/Kryptik.RE (3,38 %)

6. VBA/TrojanDownloader.Agent.CIY (2,55 %)

7. VBA/TrojanDownloader.Agent.CIQ (2,04 %)

8. Java/Adwind (2,01 %)

9. JS/TrojanDownloader.Iframe (1,73 %)

10. PowerShell/TrojanDownloader.Agent.DV (1,58 %)

Zdroj: Eset, únor 2017

Nová centra v Česku i na Slovensku

Eset rovněž zahájil provoz nových center zaměřených na výzkum a vývoj -- tyto pobočky vznikají v Brně a slovenské Žilině.

„Centrum v Brně jsme vybrali kvůli geografické blízkosti k bratislavské centrále, tamnímu zázemí technologických univerzit a samozřejmě i IT talentům, kteří jsou v tomto regionu k dispozici,“ říká technologický ředitel společnosti Eset Juraj Malcho.

V případě západoslovenské Žiliny půjde o třetí pracoviště společnosti na Slovensku. Vedle centrály v Bratislavě už Eset má vývojové centrum v Košicích, které se zaměřuje především na antispamové technologie. Oproti tomu specialisté z pobočky v Žilině budou spolupracovat na vývoji firemních produktů Esetu.

Víme, jak probíhal útok na Zaorálka. Útočníci si jeho e-maily četli celý rok
2.2.2017 Živě.cz BigBrother
Máme detailní informace o útoku hackerů na Ministerstvo zahraničí
Ministerské e-maily si kdosi četl nejméně rok
Unikly také tisíce souborů DOC, PDF a jiných

Česká bezpečnostní scéna posledních pár dnů řeší průnik neznámých útočníků do poštovního systému Ministerstva zahraničních věcí (více informací zde). Ačkoliv někteří politici uklidňují veřejnost, že nedošlo ke ztrátě citlivých informací, jiní jsou opačného názoru.

Máme k dispozici materiály, které odkrývají, co se vlastně stalo a čeho všeho se neznámí útočníci zmocnili.

19. ledna 2017 informovalo Ministerstvo zahraničních věcí Národní centrum kybernetické bezpečnosti (NCKB) o útoku na e-mailový systém úřadu a požádalo jej o rychlý audit.

Klasická e-mailová pošta sice nesplňuje kritéria tzv. KII – Kritické informační infrastruktury a i ministerstvo se brání, že e-mail nepoužívá k přenosu tajných informací, čili vyšetřování ani nespadá do kompetencí NCKB, bezpečností specialisté se nicméně přesto pustili do pročítání části logů, které od úřadu získali.

Hackeři úspěšně napadli e-maily ministerstva zahraničí. Dostali se i ke komunikaci samotného ministra
Analytici brzy s hrůzou zjistili, že se nejednalo o nějaký letmý průnik do poštovní schránky některého z nižších úředníků ministerstva, ale o detailní sledování 168 schránek, které započalo přinejmenším 8. ledna 2016. Neznámý záškodník měl tedy přístup k ministerské poště déle než jeden rok, aniž by si toho kdokoliv všiml!

Za útokem nejspíše stál Východ

Právě dlouhodobá akce hackerů a fakt, že se zajímali především o schránky nejvyšších činitelů v čele s Lubomírem Zaorálkem, budí podezření, že se jednalo o státem sponzorovaný útok, a to nejspíše z východu. Hackeři se totiž k poštovním schránkám připojovali z IP adresy 78.46.236.7, na které běží ruské webové fórum, případně z adres, které jsou evidované jako uzly anonymní sítě Tor, skrze které pravděpodobně loni útočili Rusové na e-maily představitelů americké Demokratické strany. Konkrétnější spojitost mezi oběma případy ale chybí.

Achillovou patou Ministerstva zahraničních věcí byl jeden z administrátorských poštovních účtů admin5. Zatím není jisté, jak útočníci získali jeho přihlašovací údaje, jelikož však NCKB doporučila ministerstvu zavést u klíčových účtů dvoufaktorové přihlašování a zvážit přístup k důležitým účtům jen z intranetových IP adres, zdá se, že opravdu stačilo sehnat login a heslo – třeba jen sociálním inženýringem, phishingem aj.

Tisíce souborů, seznamy adres...

Každopádně platí, že jakmile útočníci loni zkraje roku pronikli do e-mailu správce, dostali se rázem do celého poštovního systému a bez nadsázky začalo hotové rodeo.

Během roku stáhli z poštovního serveru nejméně 7 119 souborů PDF, DOC a jiných a e-mailové adresy domácích i zahraničních partnerů. Padesátku dokumentů získali z e-mailu Lubomíra Zaorálka, vedle kterého měli dále největší zájem o poštu tehdejších náměstků Petra Druláka, Jakuba Kulhánka, politického ředitele Ivo Šrámka a interní poštovní ústřednu ComCen, která funguje jako jakési překladiště e-mailů.

Klepněte pro větší obrázek
Upravený Firefox pro anonymní surfování v síti Tor. Pokud zadám do prohlížeče webovou adresu, požadavek na stránku je několikanásobně zašifrovaný a cestuje přes tři různé další uživatele–uzly Toru (na obrázku Francie, Německo, USA), takže jsem velmi těžko dohledatelný, protože na internetu vystupuji pod IP adresou posledního článku v tomto řetězci.

Tyto schránky útočníci sledovali prakticky permanentně po celý rok a mohli je kdykoliv zneužít pro vlastní phishing, kdy jménem některého z vysokých představitelů státu mohli zasílat partnerům ze zahraničí i českým úřadům nejrůznější malware a pokoušet se o další úroveň sofistikovaného sociálního inženýringu: „Ahoj Mirku, tady Lubomír. Jak jste prosím tě pokročili v jednání ohledně XXX?“

O jaké soubory ministerstvo také přišlo

Koordinace přípravy pozic ČR.doc
szbp_evropska_bezp_strategie_mailing_list.pdf
Zápis ze schůze Výboru pro vnitřní bezpečnost 06_2016.pdf
20161220_02 Příloha 1 Tabulka úkolů z jednání EUMC 20. prosince 2016.doc
2016 30.3-7.4. pracovní cesta_USA7.2..doc
(EUMC – European Union Military Committee)
Podle hlaviček zcizených e-mailů se útočníci dozvěděli o přípravách nejrůznějších jednání, získali představu o interním chodu úřadu, jeho prioritách a rozhodovacích procesech. Problém totiž opravdu spočívá v délce sledování. I když totiž e-mail nesloužil k výměně opravdu tajných informací, díky celoročnímu sledování nabrali i tak hromadu citlivých dat, která mohli jako střípky mozaiky složit do uceleného obrazu a získat tak třeba strategickou výhodu při bilaterálních a multilaterálních jednání.

Abych byl konkrétnější, neznámí útočníci sledovali třeba přípravu nejrůznějších dokumentů v čase, takže získali hromadu jejich verzí a tušili, jakým směrem se jednání vyvíjí. Kdyby získali jen jednu verzi, o tento kontext by přišli.

Stačil by dvoufaktor

Nejsmutnější je však na celé věci skutečnost, že běžný e-mail od Googlu (Gmail), Applu nebo třeba Microsoftu (Outlook.com) je mnohem lépe zabezpečený než e-mail jednoho z nejdůležitějších úřadů v zemi. Nabízí totiž volitelně dvoufaktorové přihlašování, kdy ke vstupu na účet potřebujete ještě další ověření třeba pomocí mobilní aplikace, anebo kódu, který dorazí v SMS.

Klepněte pro větší obrázek
Princip dvoufaktorového/dvoufázového přihlašování. Znalost e-mailové adresy a hesla nestačí, dodatečně je třeba totiž zadat ještě kód, který dorazí třeba jako SMS, anebo potvrdit přihlášení v mobilní aplikaci. Útočník by tedy musel získat fyzický přístup k telefonu, což není tak jednoduché.

Kdyby státní správa používala současný běžný standard zabezpečení jakékoliv komunikace, kdesi nejspíše v Rusku by se nyní rozvědčíci nebavili pročítáním ministerské nedůležité korespondence.

Spamu výrazně přibylo. Je ho nejvíce za posledních sedm let

2.2.2017 Novinky/Bezpečnost Spam
Podíl nevyžádané pošty v e-mailech loni vzrostl na nejvyšší úroveň za posledních sedm let a tvořil zhruba 65 procent všech zpráv. Každou vteřinu je na celém světě odesláno více než 3500 spamů. Zhruba osm až deset procent z nich obsahuje škodlivý software. Vyplývá to ze studie společnosti Cisco.
Novým trikem hackerů se stalo zneužívání programů zobrazující nevyžádanou reklamu (adware). Ty se vyskytují v zařízeních až u 75 procent firem a organizací a mohou se stát základem pro silný útok. Jedním z příkladů může být malware DNSChanger, který umožní útočníkovi kontrolovat síťový provoz. DNSChanger se přitom vyskytuje pouze v zařízeních, která již dříve byla infikována adwarem.

Téměř třetina úspěšně napadených organizací zaznamenala nižší tržby a 38 procent z nich hlásí snížení o více než pětinu. Asi 90 procent napadených firem následně investovalo do zlepšení své kybernetické obrany.

I přesto však zůstává 44 procent bezpečnostních hlášení bez dalšího zkoumání. Více než pětina organizací, na které byl veden úspěšný útok, ztratila zákazníky a 40 procent z nich přišlo o více než pětinu své zákaznické základny.

Vysoce riskantní aplikace
Počet cloudových aplikací, které zaměstnanci využívají, se za dva roky více než zdesetinásobil. Více než čtvrtina aplikací, které pracují přes internet, byla vyhodnocena jako vysoce riskantní.

Polovina firem používá bezpečnostní řešení více než pěti výrobců, tři procenta pak od více než 50 dodavatelů. Složitost bezpečnostní architektury však může paradoxně pomoci útočníkům. Ti mají více času a prostoru pro zahájení útoku.

Ne všechna řešení totiž jsou kompatibilní a ne všechna zařízení v síti bývají chráněna všemi nainstalovanými bezpečnostními produkty. Organizacím navíc taková situace stěžuje hledání bezpečnostních odborníků, neboť práce s mnoha nástroji výrazně zvyšuje nároky na jejich kvalifikaci.

Exploity téměř vymizely
Studie zjistila, že nejrozšířenější nástroje pro šíření škodlivého softwaru (tzv. exploit kity) téměř vymizely. Exploit kity Angler, Nuclear, Neutrino a RIG dříve patřily mezi nejpoužívanější. V listopadu 2016 však jediným aktivním byl RIG.

Ústup exploit kitu Angler souvisí se zatčením 50 ruských hackerů na jaře 2016, kteří využívali škodlivý program Lurk k útokům na ruské banky. Na jejich místo nastupují jiné formy, například Sundown, Sweet Orange a Magnitude. Stejně jako RIG cílí tyto exploit kity na zranitelnosti v Microsoft Internet Exploreru, Flashi a v aplikační platformě Silverlight.

Routery od Netgearu obsahují kritickou bezpečnostní trhlinu. Opět

2.2.2017 Novinky/Bezpečnost Zranitelnosti
Na pozoru by se měli mít majitelé routerů od společnosti Netgear. Tyto brány do světa internetu totiž obsahují kritickou bezpečnostní trhlinu, kterou mohou počítačoví piráti zneužít ke vzdáleným útokům. Stejnému riziku přitom byli uživatelé vystaveni už na konci loňského roku.
Před chybou týkající se zabezpečení routerů varoval český Národní bezpečnostní tým CSIRT, který je provozován sdružením CZ.NIC. „Mnohé modely routerů společnosti Netgear obsahují zranitelnosti, které lze zneužít v případě, že je povolen vzdálený management routeru,“ varoval bezpečnostní analytik Pavel Bašta z týmu CSIRT.

„Pokud je tato funkcionalita povolena, mohou útočníci získat heslo do zařízení pomocí webového dotazu sloužícího obvykle pro obnovu hesla. Vzdálený management není ve výchozím nastavení povolen,“ konstatoval Bašta.

Závažná chyba se objevila již loni
Stejně závažnou chybu měly routery od společnosti už na konci loňského roku.

Útok tehdy také začínal ve chvíli, kdy uživatel navštívil podvodnou webovou stránku. Prostřednictvím ní se dostane do routeru záškodník, s jehož pomocí může kyberzločinec například řídit síťový provoz.

Že je router zavirovaný, mohou uživatelé poznat například podle toho, že jim přestane z připojených počítačů zcela fungovat internetové připojení, případně se při snaze o připojení na nějakou webovou stránku zobrazí úplně jiný web.

Přesně to se stalo už v minulosti kvůli zranitelnosti známé jako „rom-0“. Místo serverů, jako jsou například Seznam.cz nebo Google.com, se poškozeným zobrazila hláška o nutnosti instalace flash playeru. Místo té se ale do PC stáhnul další virus. Útočníci tak rázem měli přístup nejen k routeru, ale i k připojenému počítači.

Oprava je již k dispozici
„Společnost Netgear již vydala aktualizaci firmwaru pro některé z dotčených modelů,“ podotkl bezpečnostní analytik. Právě zmiňovaná oprava zavře počítačovým pirátům zadní vrátka do routeru.

S instalací aktualizace by tak lidé neměli rozhodně otálet.

Hackeři při útoku na Černínský palác stáhli přes sedm tisíc záznamů

1.2.2017 Novinky/Bezpečnost BigBrother
Neznámí hackeři získali podle zjištění Práva v rámci dlouhodobého útoku na e-mailový systém ministerstva zahraničních věcí mimo jiné i citlivý zápis z jednání řídícího výboru Auditu národní bezpečnosti z června loňského roku. Ten přitom z podnětu vlády pod patronací vnitra připravoval strategii, jak se má stát bránit proti hackerským útokům.
Podle informací Práva útočníci stáhli z resortních serverů také některé z pohledu státu strategické informace, stejně jako data týkající se vnitřních rozhodovacích procesů na ministerstvu zahraničních věcí.

Vyplývá to z analýzy specializovaného Národního centra kybernetické bezpečnosti spadajícího pod Národní bezpečnostní úřad z 25. ledna letošního roku.

Od 8. ledna loňského roku do 18. ledna letošního roku hackeři stáhli ze serverů ministerstva zahraničních věcí 7119 souborů, a to od 168 uživatelů. Ze schránky ministra Lubomíra Zaorálka (ČSSD) bylo takto staženo 48 dokumentů.

Hackeři napadli ministerstvo zahraničí. Útok přišel z Ruska, naznačil Zaorálek
Experti na kybernetickou bezpečnosti v tomto dokumentu podle informací Práva z bezpečnostní komunity označili prolomení e-mailových účtů ministerstva za mimořádný bezpečnostní incident.

„Podle analýzy stáhli hackeři i strategické informace, které mohou Českou republiku významně oslabit při dvoustranných a mnohostranných jednáních,“ řekl Právu k podrobnostem o útoku zdroj z bezpečnostní komunity.

Útoky vždy brzy ráno
Ministerstvo zahraničních věcí odhalení útoku oznámilo Národnímu bezpečnostnímu úřadu (NBÚ) podle analýzy 19. ledna. Vyznačoval se tím, že se hackeři nemuseli spoléhat na „slepé“ odhadování hesel do jednotlivých schránek, ale podařilo se jim získat přímo heslo administrátora celého systému.

Představitelé resortu v této souvislosti už dříve konstatovali, že mezi ukradenými daty nebyly žádné utajované informace.

Mezi ukradenými soubory jsou podle zdroje mimo jiné i zápisy z několika našich zastupitelských úřadů - například z Tokia, Bagdádu či Bruselu.

Úřady už v úterý naznačily, že útok byl vedený ze zahraničí a že nese shodné znaky jako útoky hackerů na e-mailové účty americké Demokratické strany před tamními loňskými prezidentskými volbami. Právu se nyní podařilo zjistit, že podobnost tkví v IP adresách, ze kterých hackeři útočili.

Některé z nich, konkrétně adresy z Ruska a také Německa, totiž figurují jako podezřelé i v případě útoků na americké demokraty. Server Neovlivní.cz ve středu informoval, že další „útočící“ adresy směřují také do Velké Británie, ale i České republiky.

Analýza specializovaného kybernetického centra v této souvislosti podle informací Práva konstatuje, že k útokům na účty českého ministerstva zahraničních věcí docházelo vždy mezi šestou a sedmou hodinou ranní.

Zpráva pro vládu v režimu utajení
Podrobnou zprávu o útoku probere na svém příštím zasedání vláda. U příležitosti uvedení někdejšího dlouholetého šéfa tuzemské kontrarozvědky Jiřího Langa do nové funkce ředitele NBÚ to ve středu novinářům na tiskové konferenci oznámil premiér Bohuslav Sobotka (ČSSD).

„To, co se stalo, v žádném případě nebereme na lehkou váhu. Vláda se tím bude zabývat,“ konstatoval k tomu Sobotka. Jakékoliv další informace ale s odkazem na probíhající šetření uvést odmítl.

Doplnil pouze, že jednání kabinetu se účastní právě i Lang, stejně jako jeho předchůdce ve funkci a od středy nový vládní zmocněnec pro kybernetickou bezpečnost Dušan Navrátil. Na vládní zasedání pak podle premiéra bude přizván i současný šéf kontrarozvědky - tedy Bezpečnostní informační služby - Michal Koudelka.

Lang po převzetí funkce šéfa NBÚ uvedl, že materiál pro vládu bude v režimu utajení a kromě zhodnocení celé situace bude obsahovat i některá doporučení úřadům, jak se podobných útoků v budoucnu vyvarovat.

Sobotka novinářům také sdělil, že oblast kybernetické bezpečnosti považuje za jednu z priorit dosluhujícího kabinetu. „Je třeba si uvědomit, že proti nám stojí organizované týmy hackerů, ať už jsou to hackeři na nevládní úrovni, nebo jsou to hackeři, kteří jsou přímo organizovaní nebo sponzorovaní některými státy,“ řekl premiér v souvislosti s potřebou posílení kybernetické bezpečnosti České republiky.

Student objevil obrovskou botnet síť na Twitteru, tvoří ji statisíce falešných účtů Star Wars

1.2.2017 Novinky/Bezpečnost BotNet
Náhodný objev rozsáhlé botnet sítě, kterou tvoří 350 tisíc falešných účtů sociální sítě Twitter, oznámil student britské University College London Juan Echeverria.
Síť mohla být využita k šíření nevyžádané pošty, malwaru nebo manipulaci s veřejným míněním. Juan Echeverria na ni narazil při analýze náhodně vybraného vzorku jednoho procenta anglicky píšících uživatelů Twitteru v rámci svého studentského projektu.

Při bližším monitoringu zjistil, že velké množství účtů funguje automatizovaně a jsou ovládány buď jedním uživatelem anebo skupinou lidí. Síť pojmenoval Star Wars botnet, protože řada těchto falešných účtů tweetovala náhodné citace ze slavné filmové ságy.

Botnet funguje od roku 2013
Znepokojivý je fakt, že tato botnet síť funguje skrytě již od roku 2013, protože jednotlivé účty byly schválně navrženy a spravovány tak, aby se vyhnuly běžným filtrům pro odhalování automatizovaně spravovaných identit na Twitteru. Tvůrci sítě u všech účtů přidávali klasické profilové obrázky a vytvářeli na první pohled „normální“ uživatelském profily.

Vyhýbali se používání URL v tweetech, oslovovali jen malý počet uživatelů a tweetovali jen zřídka. Zveřejňované zprávy představovaly většinou jen náhodné citace z filmů Star Wars, které se na Twitteru objevují běžně, a tudíž nejsou zachytitelné ochrannými filtry proti botnetu.

Síť je možné využít k šíření spamu nebo názorové manipulaci
Juan Echeverria, student University College London
Student, který rozsáhlou botnet síť na Twitteru objevil, tvrdí, že neexistují žádné důkazy o zneužití těchto účtů k botnet útokům, ale nelze to podle něj vyloučit. „Je velmi pravděpodobné, že provozovatel těchto účtů je stále schopen aktivovat všech 350 tisíc účtů, které tvoří Star Wars botnet a zneužít je k čemukoli,“ uvedl Juan Echeverria.

„Síť je možné využít k šíření spamu, falešných témat, názorové manipulaci, falešnému vyvolávání dojmu pozitivní spontánní reakce uživatelů Twitteru a šíření různých druhů malware. Fakt, že tuto síť tvoří tolik účtů, výrazně navyšuje její potenciální nebezpečnost. Možná jde o nejvážnější hrozbu na Twitteru, s níž jsme se dosud setkali.“

Pozor na neznámé osoby
Podle technického ředitele společnosti ESET Miroslava Dvořáka na Twitteru i ostatních sociálních sítích platí jednoduché pravidlo, že by uživatelé neměli důvěřovat žádnému obsahu, který se k nim dostane z neznámého a neověřeného účtu.

„Základní pravidlo zní, nepouštět si mezi přátele nebo sledované účty ty, které osobně neznáme nebo nemáme potvrzeno, že jde o oficiální prezentace. A když už to z nějakého důvodu uděláte, rozhodně neberte příspěvky z těchto účtů 100% vážně. Rovněž klikat na odkazy, které se v nich mohou objevit, není rozhodně dobrý nápad,“ varuje Dvořák.

V Rusku obvinili ze zrady tři lidi z oblasti kyberbezpečnosti

1.2.2017 Novinky/Bezpečnost BigBrother
Ruské úřady obvinily ze zrady v zájmu Spojených států dva bývalé pracovníky Federální bezpečnostní služby (FSB) a zaměstnance ruské softwarové společnosti Kaspersky Lab. Informovaly o tom ve středu ruské agentury s odvoláním na sdělení obhájce jednoho ze tří obviněných Ivana Pavlova.
Advokát podle agentury TASS uvedl, že obvinění se týká vedoucího jednoho z oddělení centra informační bezpečnosti FSB Sergeje Michajlova, jeho podřízeného Dmitrije Dokučajeva a o manažera firmy Kaspersky Lab Ruslana Stojanova.

„Všem osobám tohoto případu bylo sděleno obvinění ze zrady. To je jediný bod kauzy, jiná obvinění nejsou,“ citoval TASS Pavlova.

Právník přitom popřel, že by šlo o spolupráci obviněných s americkou Ústřední zpravodajskou službou (CIA). „Žádná CIA v případu nefiguruje. Řeč je o Americe, ne o CIA,“ poznamenal.

Bílý dům potvrdil, že chce detailně analyzovat návštěvníky USA. Touží po jejich Facebooku
1.2.2017 Živě.cz BigBrother
Americké ministerstvo vnitra (Department of Homeland Security) ústy svého šéfa Johna Kellyho potvrdilo, že plány na detailní analýzu sociálních sítí a historie surfování těch, kteří chtějí navštívit USA, míní Trumpova administrativa vážně a ministerstvo již připravuje kroky, jak toho docílit.

„Nevíme, co je to za lidi, s jakým motivem k nám cestují, co tu chtějí dělat a jaké je jejich pozadí.“
Žadatelé o americké vízum mohli poslední měsíce dobrovolně v žádosti sdělit, pod jakými profily vystupují na sociálních sítích, podle tiskové konference by se z toho nicméně mohla stát i povinnost. Ministerstvo pro vnitřní bezpečnost zajímá Facebook, Instagram, Google+, Linkedin a YouTube a stejně tak údaje o tom, s kým si žadatel o vstup do USA telefonuje a obecně komunikuje skrze mobilní telefon.
Poradci v Bílém domě: Chcete do USA? Ukažte nám historii v prohlížeči, Facebook i kontakty v mobilu
Kelly nicméně zdůraznil, že jeho úřad na novém systému teprve pracuje, takže není vůbec jasné, koho by se přísnější kontrola opravdu týkala. Jestli pouze cestovatelů z pochybných zemí, žadatelů o vízum, anebo i těch v bezvízovém styku, kam patří i turisté z ČR, kteří jen vyplňují formulář ESTA a zaplatí drobný poplatek.
Trumpova administrativa nicméně zvažuje i revizi systému pracovních víz, čehož se obávají někteří zahraniční pracovníci. Týká se to ostatně i Silicon Valley, kde pracují tisíce inženýrů z Evropy a Asie.

Routery Netgear mají závažnou chybu. Pokud takový máte, aktualizujte si firmware
1.2.2017 Živě.cz Zranitelnosti

Routery Netgear obsahují závažnou bezpečnostní chybu, která umožní získat přístup ke správě zařízení. Chyba není až tak vážná, jako prosincový případ, protože se vyskytuje jen v případě, že na routeru máte povolen vzdálený management. Ten ve výchozím stavu není povolen, a proto se ohrožení dotkne jen menší části uživatelů, upozornil CSIRT.
Do Česka dorazila další vlna útoků na domácí routery. Obrana je přitom triviální
Netgear rychle zareagoval a vydal pro svá zařízení aktualizace firmwaru. Přestože přímý dopad nově objevené zranitelnosti není velký, je vhodné, aby si firmware aktualizoval každý. Nikdy nevíte, kdy se vám vzdálený management bude hodit a při jeho povolení už si na chybu nevzpomenete.

Chyba spočívá v možnosti získat heslo k administraci routeru pomocí webového skriptu. Poté už útočník získá kontrolu nad routerem a může ho zneužít.
Pětice extrémních routerů, které jsou dražší než obyčejný počítač
Chyba se týká konkrétně těchto modelů:

R8500
R8300
R7000
R6400
R7300DST
R7100LG
R6300v2
WNDR3400v3
WNR3500Lv2
R6250
R6700
R6900
R8000
R7900
WNDR4500v2
R6200v2
WNDR3400v2
D6220
D6400
C6300

Dávejte si pozor na falešné SMS od České pošty. Snaží se uživatelům vnutit malware
1.2.2017 Živě.cz Viry
Pokud v těchto dnech obdržíte podezřelou SMS od České pošty, rozhodně neklikejte na obsažené odkazy. Ty směřují na stažení nebezpečné aplikace pro Android, která se má tvářit jako oficiální aplikace České pošty pro sledování zásilky.

Klepněte pro větší obrázek
SMS dorazí v tomto formátu. Odkazy vedou na stažení podvodné aplikace (foto: @TerezaChlubna)

V textu zprávy najdete informaci o tom, že zásilka byla převezena na svozové depo z důvodu nezastihnutí adresáta. Vyzývá ke kontaktování pošty nebo stažení aplikace prostřednictvím odkazu.

Ten využívá doménu ceskaposta.online a vede na instalační balíček APK s názvem PostaOnlineTracking.apk. Pokud jej uživatel nainstaluje, najde sice na ploše ikonu pošty, nicméně s názvem Flash Player 10 Update. Jde tedy o variaci malwaru, který má s největší pravděpodobností odcizit platební údaje uživatele. Aplikace si zároveň vyžádá kompletní přístup k telefonu či tabletu s Androidem.

Klepněte pro větší obrázek
Aplikace s ikonou České pošty pod názvem Flash Player 10 Update by měla varovat i méně zkušené uživatele

Pokud jste aplikaci nainstalovali, minimálně ji ze zařízení odstraňte v nastavení. V případě, že jste zadali platební údaje do podezřelého formuláře, obraťte se na svoji banku.

Ruské tajné služby stihl kyberskandál, důstojníka zatkli přímo během porady

31.1.2017 Novinky/Bezpečnost BigBrother
Ruskými tajnými službami cloumá nebývalý skandál spojený s místními hackery. V médiích a na sociálních sítích se objevily spekulace, podle nichž bylo několik vysokých důstojníků Federální bezpečnostní služby (FSB) zatčeno a čelí obvinění z vlastizrady. Spekuluje se o jejich možné účasti na údajném vměšování ruských hackerů do amerických prezidentských voleb.

Sídlo a znak ruské Federální bezpečnostní služby FSB
Koncem prosince byl podle listu Novaja Gazeta zatčen vysoký důstojník FSB Sergej Michajlov, který řídil tamní Centrum informační bezpečnosti. S odvoláním na vlastní zdroje list napsal, že Michajlov byl zatčen přímo během zasedání kolegia FSB v budově tajné služby.

„Provázely to prvky divadelního představení: důstojníkovi FSB podezřelému z vlastizrady byl na hlavu navlečen neprůhledný pytel,“ popsala Novaja Gazeta okolnosti s tím, že podle informovaných zdrojů měl Michajlov pod svou správou v podstatě veškerý internetový byznys v Rusku.

Napojen na CIA?
Server tsargrad.ru, který provozuje Konstantin Malofejev označovaný za „pravoslavného oligarchu“, pak napsal, že Michajlov byl spojen se skupinou hackerů známou pod názvem „Shaltay Boltay“. Podle informace portálu za touto skupinou mohla stát americká CIA, a Michajlov tudíž mohl spolupracovat s tajnými službami USA.

Ruská média dále tvrdí, že důstojník měl řídit hackery, kteří pronikali na weby vysokých ruských státních činitelů včetně premiéra Dmitrije Medvěděva, vicepremiéra Arkadije Dvorkoviče, zaměstnanců prezidentské kanceláře či ministerstva obrany. Deník Kommersant zdůraznil, že zadržený není obviněn z korupce nebo zneužívání moci, ale přímo z vlastizrady, za což mu hrozí až 20 let žaláře.

Podle Kommersantu byl v souvislosti se zatčením Michajlova zadržen také Ruslan Stojanov, vysoký manažer ruské společnosti Kaspersky Lab (Laboratoře Kasperského), která se specializuje na počítačovou bezpečnost. Vyšetřovatelé FSB prověřují informace, podle nichž měl obdržet úplatek „od jedné zahraniční organizace“. Firma potvrdila, že její zaměstnanec, který měl na starosti vyšetřování kybernetických trestných činů a v minulosti těsně spolupracoval s orgány činnými v trestním řízení, byl zadržen. Tvrdí ale, že s činností společnosti to nijak nesouvisí.

Kvůli americké stopě zadrženo už šest osob
Novaja Gazeta napsala, že stopa k Michajlovovi byla odhalena, když americké služby obvinily Rusa Vladimira Fomenka z kybernetických útoků na volební systémy v amerických státech.

Ruští detektivové při sledování jeho činnosti prý zjistili, že Michajlov měl americké rozvědce předávat informace spojené s činností ruských hackerů.

Zatčeni prý byli také dva další jeho spolupracovníci včetně kontrarozvědčíka Dmitrije Dokučajeva. Celkem je ve vazbě šest osob. Podle médií se však útok ruských hackerů na americké servery zatím prokázat nepodařilo.

Soud v moskevském Lefortovu podle listu potvrdil, že již loni na podzim byl zatčen zakladatel blogu Shaltay Boltay, kde byla v minulosti zveřejněna korespondence vysokých ruských státních úředníků. Jde o Vladimira Anikejeva, novináře z dagestánské Machačkaly, který byl známý pod přezdívkou Lewis.

Naboural prý mimo jiné elektronickou korespondenci poradce ruského prezidenta Vladislava Surkova, jejíž zveřejnění loni způsobilo velký rozruch na Ukrajině. Obsahovala totiž jakýsi plán nového Majdanu. Zatčení Michajlova ani žádného dalšího příslušníka FSB oficiální zdroje zatím nekomentují.

Osiris nadělá v počítači pěknou neplechu. Zašifruje data a chce výkupné

31.1.2017 Novinky/Bezpečnost Viry
Na pozoru by se měli mít v poslední době majitelé počítačů, tabletů či chytrých telefonů před Osirisem. Řeč není o egyptském bohu mrtvých, nýbrž o novém vyděračném viru, před kterým varovali v pondělí výzkumníci z bezpečnostní společnosti Acronis.
Podle bezpečnostních expertů se Osiris šíří především prostřednictvím nevyžádaných e-mailů a infikovaných on-line inzerátů.

Napadnout přitom může nejen počítače s Windows, ale také stroje postavené na platformě MacOS a Android. Tedy i tablety a chytré telefony. „Kromě toho přímo napadá také zálohovací systémy jako například Volume Shadow Copy Service (VSS). To zabraňuje uživatelům spustit obnovu systému z dat uložených na napadaném stroji,“ konstatovali výzkumníci ze společnosti Acronis.

Jdou po výkupném
Samotný útok probíhá u Osirise úplně stejně jako u dalších vyděračských virů z rodiny ransomware. Nejprve zašifruje všechna data uložená na pevném disku. Za jejich zpřístupnění pak útočníci požadují výkupné, a to klidně i několik tisíc korun.

Ani po zaplacení výkupného se ale uživatelé ke svým datům nemusí dostat. Místo placení výkupného je totiž nutné virus z počítače odinstalovat. Zpřístupnit nezálohovaná data je už ale ve většině případů nemožné.

O tom, jak nepříjemný může útok Osirise být, ví své například policie v texaském městě Crockrell Hill. Ta přišla o záznamy z posledních let poté, co jí tento nezvaný návštěvník zablokoval její počítač i záložní server.

Krade SMS zprávy a kontakty
Jak je z řádků výše patrné, vyděračné viry už dávno nepředstavují hrozbu pouze pro klasické počítače, ale například také pro chytré telefony a tablety. To platí například i o ransomwaru zvaném Charger, před kterým minulý týden varovali bezpečnostní analytici z antivirové společnosti Check Point.

Charger se soustředí výhradně na chytré telefony s operačním systémem Android. Útočníkům se jej dokonce podařilo propašovat i do oficiálního obchodu Google Play, a to jako součást aplikace EnergyRescue.

„Infikovaná aplikace krade kontakty a SMS zprávy z uživatelského zařízení a snaží se získat administrátorská oprávnění. Pokud je uživatel udělí, ransomware uzamkne zařízení a zobrazí zprávu požadující platbu,“ vysvětlil David Řeháček, bezpečnostní odborník ze společnosti Check Point.

Útočníci se snažili zprávou uživatele jednoznačně vyděsit. „Budete nám muset zaplatit, jinak prodáme každých 30 minut na černém trhu část vašich osobních informací,“ stojí ve výzvě počítačových pirátů.

Hackeři úspěšně napadli e-maily ministerstva zahraničí. Dostali se i ke komunikaci samotného ministra
31.1.2017 Živě.cz Hacking
Začátkem letošního roku odhalily interní mechanismy Ministerstva zahraničních věcí hackerský útok na e-maily zaměstnanců MZV. Podle ministra zahraničních věcí, Lubomíra Zaorálka, došlo k úniku velkého množství komunikace včetně té z nejvyšších míst – náměstků a samotného ministra.

Zaorálek na tiskové konferenci ubezpečil, že se únik dat týká e-mailových schránek, a nikoliv klasifikovaných informací, pro jejichž správu využívá ministerstvo interní oddělený systém. Pro vyšetřování byla vytvořena pracovní skupina pod vedení Národního bezpečnostního úřadu, na které se podlí i úřad vlády, informační služby či Národní centrum kybernetické bezpečnosti.

Klepněte pro větší obrázek
Při útoku na e-mail Ministerstva zahraničních věcí útočníci získali komunikaci ministra i jeho náměstků

Ministr Zaorálek uvedl, že útok podle odborníků připomínal svým charakterem napadení e-mailů Demokratické strany ve Spojených státech a vyjádřil domněnku, že byl útok proveden cizím státem. Podle ministra je třeba posílit personální i finanční prostředky pro kyberochranu veřejných institucí.

O způsobu útoku můžeme zatím pouze spekulovat a počkat na závěry pracovní skupiny, která incident vyšetřuje. Vzhledem k rozsahu útoku se dá předpokládat proniknutí přímo k e-mailovému serveru nebo chabé zabezpečení e-mailových schránek bez šifrování, které by umožnilo odposlech komunikace. O úniku dat ještě před samotným prohlášením ministra zahraničí informoval web Neovlini.cz, který uvedl, že útok trval několik měsíců a vážnost situace dokládá fakt, že unikly i citlivé informace o spojencích.

Hrozí odposlechy na internetu? Novela zákona tomu prý nasvědčuje

31.1.2017 SecurityWorld BigBrother
Zástupci tří významných profesních internetových organizací poslali předsedovi vlády České republiky otevřený dopis, v němž ho upozorňují na nedostatky, které přináší novela zákona o Vojenském zpravodajství. Ta se včera projednávala na půdě poslanecké sněmovny.

V otevřeném dopise, pod nímž jsou podepsáni Ondřej Filip, výkonný ředitel sdružení CZ.NIC, Zdeněk Zajíček z ICT Unie a Martin Semrád za neutrální propojovací uzel NIX.CZ se mimo jiné píše: "Je alarmující, že ačkoliv je deklarováno, že zařízení VOZ nebudou realizovat plošný odposlech, ze své podstaty přes ně bude nekontrolovaně procházet téměř veškerý internetový provoz.“

V dopise se dále uvádí, že ačkoliv to zákon vylučuje, bude technicky možné odposlechnout jakýkoliv provoz v síti (libovolného uživatele) pouze na základě rozhodnutí administrátora systému.

To podle autorů dopisu generuje vysoká bezpečnostní rizika v případě selhání konkrétního jedince nebo například v situaci, kdy nějaký hacker prolomí systém VOZ a využije tuto infrastrukturu ke svým cílům.

Hackeři napadli e-maily ministerstva zahraničí. A rovnou v nejvyšších patrech

31.1.2017 Novinky/Bezpečnost Hacking
E-mailové účty ministra zahraničí Lubomíra Zaorálka (ČSSD) a jeho náměstků napadly hackeři. V úterý o tom informoval server Neovlivní.cz.
„Jde o tisícovky dat, která byla postupně stažena ze schránek ministra a náměstků. Včetně tajných informací,” citoval server zdroj obeznámený s případem.

Mluvčí resortu Michaela Lagronová napadení účtů potvrdila. Uvedla však, že nemá informace o tom, že by došlo k vyzrazení utajovaných informací.

Hackeři loni ukradli 4 miliardy digitálních záznamů. Rekord překonali o miliardu
31.1.2017 Živě.cz Hacking
Kyberzločinci kradou data zneklidňujícím tempem. Během roku 2016 počet útoků a ukradených dat výrazně vzrostl na nový rekord. Informuje o tom bezpečnostní agentura Risk Based Security. Celkem 4,149 zaznamenaných útoků znehodnotilo 4,2 miliardy digitálních záznamů. Je to o miliardu více než byl předchozí rekord z roku 2013.

Na internet unikly nahrané hovory marketingové firmy, obsahují detaily o jménech, adresách i kreditních kartách
Hlavními cíli byly podniky. Celkem stály za 55 % všech případů. Hackeři ale také útočili na zdravotnická zařízení nebo vládní agentury. „Počet zaznamenaných případů překonal všechna očekávání. A nejhorší je, že skutečná čísla budou pravděpodobně mnohem vyšší,“ sdělila Inga Goddijn, viceprezidentka Risk Based Security.

Velký podíl na výši čísla mělo Yahoo a jeho stovky tisíc ukradených dat. Není však samo. V průměru se počet kradených dat pohyboval mezi 500 tisíc a 10 miliony. Nejvíce útoků bylo zaznamenáno v USA (1,971) a v Británii (204), ale také v Kanadě (119), Brazílii (71), Austrálii (59) a Rusku (49).
„Válku proti kyberzločincům opravdu nevyhráváme. Daří se jim lépe než kdy dříve,“ uvádí Goddijn na stránkách společnosti. Často jsou podle ní kradeny citlivé údaje, jejichž vlastnictvím můžou útočníci přijít ke značnému zisku.

Rozdílem oproti předchozím rokům bylo, že loni útočníci útočili více cíleně. Dříve bylo hodně útoků oportunistických, ale nyní hackeři cílí na konkrétní společnosti, které shromažďují konkrétní data. Nezisková organizace Online Trust Alliance proto varuje, že obětí útoků se můžou stát i malé společnosti. Situace navíc bude postupně horší než lepší, takže pokud ještě někdo nevzal digitální zabezpečení svého podniku vážně, je nejvyšší čas to udělat.

Na internet unikly nahrané hovory marketingové firmy, obsahují detaily o jménech, adresách i kreditních kartách
31.1.2017 Živě.cz Incidenty
Většina čtenářů jistě zná klasické začátky marketingových hovorů, které začínají obvyklým vyjádřením „Váš hovor bude nahráván“. Jak se ukazuje, jedná se o další nebezpečné ukládání osobních dat, kterého se mohou hackeři zmocnit.

Hackeři zamkli pokoje hotelovým hostům a odstavili rezervační systém, za odblokování požadovali výkupné
Dle informací MacKeeperu totiž na internet uniklo celkem 400 000 nahrávek hovorů, které prováděla telemarketingová společnost VICI Marketing LLC v USA jak s koncovými uživateli, tak i zaměstnanci firem.

Klepněte pro větší obrázek
Ukázka vybraných informací

Hovory přitom obsahovaly údaje jak o telefonních číslech, jménech a adresách, tak i o rodných čísel. Přibližně 17 tisíc hovorů pak zahrnoval i čísla kreditních karet a další finanční informace. Vzhledem k tomu, že databáze o velikosti 28 GB byla neznámou dobu veřejně dostupná přes internet, není jasné, kdo všechno se dat zmocnil.

Jak je vidět, nebezpečí úniku osobních dat se skrývá všude, takže si dávejte pozor při předávání osobních informací i při telefonních hovorech.

Chcete slevu 500 Kč? Podvodníci to zkoušejí přes SMS zprávy

30.1.2017 Novinky/Bezpečnost Mobilní
Vyzrát na důvěřivce se snaží v posledních dnech podvodníci prostřednictvím SMS zpráv. Vydávají se totiž za zaměstnance internetového obchodu Alza.cz a nabízejí lidem slevy. Ve skutečnosti se však snaží pouze do jejich chytrého telefonu propašovat škodlivý kód.
„Vyhráváte nákup v hodnotě 500 Kč. Pokud do 12 hodin provedete objednávku přes naši aplikaci, bude zcela zdarma,“ tvrdí podvodníci v SMS zprávách.

Součástí došlé zprávy je také přímo odkaz vedoucí a stažení aplikace Alza.cz, prostřednictvím které se má transakce uskutečnit. Pouze tak mohou lidé údajně vyhrát.

Ve skutečnosti však internetový obchod žádnou podobnou akci nemá. „Evidujeme podvodné SMS vydávající se za propagaci Alza.cz,“ varovali během víkendu zástupci obchodu na svém profilu na Facebooku.

Podvodná aplikace
Problém představuje právě aplikace, kterou podvodníci prostřednictvím SMS zprávy propagují. „Upozorňujeme, že odkaz v SMS nevede ke stažení naší aplikace, ale nejspíše viru,“ podotkli zástupci Alzy.

Podobný trik zkoušeli počítačoví piráti už v minulosti také na klienty bank. Například na Facebooku už od loňského roku vytvářejí falešné profily České spořitelny a lákali důvěřivce na novou verzi internetového bankovnictví. Pokud ji uživatelé vyzkoušejí, náleží jim údajně bonus ve výši 400 Kč. Nabídka je přitom psána česky a bez chyb, a nejeden uživatel se tak může nechat napálit.

Ve skutečnosti jde samozřejmě o podvod. „Upozorňujeme na podvodný profil na Facebooku, který se snaží vzbudit dojem, že patří České spořitelně. Podvodníci na tomto profilu nabízejí nové internetové bankovnictví SERVIS 24,“ varovali již dříve zástupci banky.

Nové internetové bankovnictví bylo ve skutečnosti podvodné, a když jej uživatelé použili, rovnou dali útočníkům své přihlašovací údaje k účtu, případně si mohli do svých počítačů z podvodných stránek stáhnout nějaký škodlivý kód.

Útoky na mobily na vzestupu
Prakticky stejnou neplechu může v chytrém telefonu nadělat také podvodná aplikace Alza.cz. „Pro nákup na Alza.cz vždy využívejte pouze aplikace z oficiálních ochodů Google Play a Apple AppStore,“ doporučili zástupci obchodu.

Na chytré telefony se zaměřují počítačoví piráti v posledních měsících stále častěji. Uživatelé na těchto přístrojích totiž velmi často podceňují bezpečnost. Vhodné je smartphone vybavit podobně jako stolní počítač antivirovým programem a pravidelně stahovat všechny důležité aktualizace nainstalovaných aplikací i samotného operačního systému.

Obětí viru se stalo přes deset miliónů mobilů a tabletů. Teď útočí znovu

30.1.2017 Novinky/Bezpečnost Viry
Doslova jako lavina se šířil v minulém roce internetem škodlivý kód HummingBad, který se zaměřoval na chytré telefony a tablety s operačním systémem Android. Tomu se podařilo infikovat více než deset miliónů mobilních zařízení. Nyní jej počítačoví piráti v inovované verzi nasazují znovu.
HummingBad byl jednou z nejobávanějších mobilních hrozeb loňského roku. V chytrém telefonu nebo počítačovém tabletu totiž dokázal tento nezvaný návštěvník nadělat pěknou neplechu. Virus totiž dovoluje počítačovému pirátovi převzít nad napadeným strojem absolutní kontrolu.

Škodlivý kód měl navíc schopnost se v napadeném zařízení velmi dobře maskovat. Odhalit jej tak nebylo vůbec jednoduché. I to byl jeden z důvodů, proč se tak masově šířil.

Virus obsahovaly desítky aplikací
S novým rokem jej zkoušejí počítačoví piráti nasadit znovu, jak varovali výzkumníci z bezpečnostní společnosti Check Point. Právě oni totiž v oficiálním obchodě Google Play, z něhož se stahují aplikace pro operační systém Android, objevili více než dvě desítky infikovaných programů obsahující škodlivý kód.

„Aplikace infikované v rámci této kampaně byly staženy milióny nic netušících uživatelů. O aplikacích jsme informovali bezpečnostní tým Google a aplikace byly následně z Google Play staženy,“ upozornil David Řeháček, bezpečnostní odborník ze společnosti Check Point.

Podle něj se nová varianta tohoto mobilního malwaru liší od původní verze. I proto dostala nové jméno – HummingWhale. „Využívá nové techniky, takže reklamní podvody jsou sofistikovanější než kdy dříve,“ podotkl Řeháček.

„HummingBad byl nejvýraznějším mobilním malwarem roku 2016. Obětí se stalo více než 10 miliónů uživatelů a škodlivý kód vydělával svým tvůrcům více než 300 000 dolarů (přes 7,5 miliónu korun) měsíčně, takže bylo jen otázkou času, kdy se objeví nějaká nová verze a najde si cestu na Google Play,“ doplnil bezpečnostní expert.

Antivirus by měl být samozřejmostí
Zajímavé je mimochodem také to, jak se nová verze škodlivého kódu zvaná HummingWhale na Google Play dostala. „Všechny nové podvodné aplikace byly publikovány pod falešnými jmény čínských vývojářů,“ vysvětlil Řeháček.

S ohledem na možná rizika by uživatelé neměli novou hrozbu rozhodně podceňovat. Jak bylo již zmiňováno několikrát – i na chytrém telefonu nebo počítačovém tabletu by měl být samozřejmostí antivirový program.

Dávejte si pozor na falešné SMS od České pošty. Snaží se uživatelům vnutit malware
27.1.2017 Živě.cz Viry
Pokud v těchto dnech obdržíte podezřelou SMS od České pošty, rozhodně neklikejte na obsažené odkazy. Ty směřují na stažení nebezpečné aplikace pro Android, která se má tvářit jako oficiální aplikace České pošty pro sledování zásilky.

Klepněte pro větší obrázek
SMS dorazí v tomto formátu. Odkazy vedou na stažení podvodné aplikace (foto: @TerezaChlubna)

Klepněte pro větší obrázek
Aplikace s ikonou České pošty pod názvem Flash Player 10 Update by měla varovat i méně zkušené uživatele

Pokud jste aplikaci nainstalovali, minimálně ji ze zařízení odstraňte v nastavení. V případě, že jste zadali platební údaje do podezřelého formuláře, obraťte se na svoji banku.

Google začne v Gmailu blokovat JavaScript

27.1.2017 SecurityWorld Zabezpečení
Od poloviny února se přílohy s koncovkou .js ocitají v Gmailu na černé listině. Jsou totiž podle Googlu významným zdrojem potíží spojených s distribucí malwaru včetně ransomwaru.
Lidé tak už od 13. února nebudou moci ke svým zprávám elektronické pošty v Gmailu připojovat soubory .JS, -- bez ohledu na to, zda je připojí přímo, nebo prostřednictvím nějakých archivů, jako například.gz, .bz2, .zip nebo .tgz.

Pro případ, kdy je nezbytné takové soubory .js přes elektronickou poštu posílat, budou muset uživatelé využít cloudových úložných služeb – jako třeba Google Drive – a pak sdílet jejich adresu (link).

Soubory typu .js tak doplňují několik desítek „zajkázaných příloh, které už dříve Gmail oznámil. Jde třeba o soubory s přílohou .ade, .adp, .bat, .chm, .cmd, .com, .cpl, .exe, .hta, .ins, .isp, .jar, .jse, .lib, .lnk, .mde, .msc, .msp, .mst, .pif, .scr, .sct, .shb, .sys, .vb, .vbe, .vbs, .vxd, .wsc, .wsf nebo .wsh. Napřrostá většina z nich se rovněž používala pro distribuci malwaru mezi uživatele e-mailu.

Problém s .js se vystupňoval hlavně poté, co soubory JavaScriptu jde přímo spouštět v prostředí Windows prostřednictvím systémové komponenty Windows Script Host (WSH).

JavaScript si oblíbili i šiřitelé ransomwaru – například tvůrci TeslaCrypt nebo Locky hojně využívali pro distribuci tohoto malwaru právě JavaScript a například ransomwarový program RAA byl kompletně vytvořený v JavaScriptu.

Další skriptovací soubory, jako třeba .vbs (VBScript), .vbe (VBScript Encoded), .wsh (Windows Script Host Settings File) and .wsf (Windows Script File) už přitom Gmail už nějakou dobu blokuje.

Podvodné e-maily cílí na klienty ČSOB

27.1.2017 Novinky/Bezpečnost Phishing
Kyberzločinci si vzali na mušku klienty ČSOB, snaží se je v podvodných e-mailech přesvědčit, že jsou pracovníky banky. Ve skutečnosti se však pouze snaží vylákat přihlašovací informace do internetového bankovnictví.

Ukázka podvodné zprávy, která cílí na klienty ČSOB.
„Upozorňujeme na podvodný e-mail označený jako ‚Message Alert‘ (Upozornění na novou zprávu) a podepsaný jménem naší společnosti,“ uvedli zástupci ČSOB.

Už podle zmiňovaného předmětu zprávy je zřejmé, že podvodná zpráva není psaná v češtině, ale i přesto by se mohli nechat méně ostražití uživatelé napálit. Není navíc vyloučeno, že podvodníci začnou šířit stejnou zprávu v dohledné době také v češtině.

„Tato e-mailová zpráva avizuje novou zprávu vystavenou ČSOB. Jedná se podvrh, který se prostřednictvím falešného prokliku do internetového bankovnictví snaží z klientů vylákat přihlašovací informace,“ stojí v prohlášení banky.

Před podobnými podvodnými e-maily by měli být lidé velmi ostražití. Rozhodně by neměli klikat na odkaz uvedený ve zprávě.

Kontrola adresních řádků je nezbytná
Pozornější uživatelé mohou poznat, že jde o podvod, také podle řádku s internetovou adresou. „V každé chvíli, kdy pracujete s internetovým bankovnictvím nebo se do něj přihlašujete, musí být v adresním řádku vašeho prohlížeče adresa https://ib24.csob.cz a vedle ní ikona zámku,“ uvedli zástupci ČSOB.

„V případě pochybností neváhejte kontaktovat Helpdesk elektronického bankovnictví na telefonním čísle 495 800 111,“ doplnili zástupci banky.

Podobně by měli uživatelé postupovat také v případě, že podobné snahy počítačových pirátů zaznamenají v případě jiných bank či finančních institucí. V minulosti se například kyberzločinci snažili několikrát napálit klienty České spořitelny, a to nejen prostřednictvím nevyžádaných zpráv, ale také skrze sociální sítě.

Ransomware je na vzestupu, vydírání si můžete objednat
27.1.2017 Root.cz Viry
Zašifrovat soubory a požadovat výkupné za dešifrování. To je ve zkratce princip ransomware. V minulém roce takto kyberzločinci „vydělali“ miliardu dolarů, mimo jiné díky rozmachu ransomware-as-a-service.
Ransomware je druh malwaru, který v posledních letechy rychle roste na popularitě. Jeho princip spočívá v tom, že uživateli zamezí v přístupu k jeho souborům Buď je to tak, že ransomware v systému postaví jednoduchou zeď, nebo tak, že rovnou zašifruje uživatelská data, takže k nim nelze přistupovat ani z jiného systému. Druhá varianta je vzhledem k dostupnosti šifrování častější a efektivnější.

Cílem je samozřejmě vylákat z oběti peníze. Žádné relevanatní statistiky sice nemáme, ale je pravděpodobné, že výnosnost ransomware oproti jiným typům malwaru bude podstatně vyšší. Zařazení počítače do botnetu útočníkovi přinese možná několik málo korun, ransomware v mnohých případech může vydělat i tisíce. Pokud uživatel nemá zálohy, tak jde o částku, kterou za obnovení dat mnohdy rád zaplatí.

Některé ransomware jsou navrženy velmi jednoduše, hlavně ze šifrovací stránky. Existují tak nástroje, které data dokážou rozšifrovat. Pokud je však šifrování implementováno správně a používají se silné šifrovací algoritmy, je skutečně nemožné se k datům bez šifrovacího klíče dostat. Ani nemluvě o tom, že některé ransomware ani s dešifrováním nepočítají a po zaplacení žádný klíč nedosanete.

Ransomware-as-a-service
Trendem posledních měsíců je ransomware-as-a-service (RaaS). V podstatě jde o to, že pokud se chcete stát internetovým kriminálníkem, můžete si od autorů malware koupit a často i personalizovat. Pokud byste čekali, že to bude stát tisíce dolarů, tak jste na omylu. Cena se typicky pohybuje v nižších stovkách dolarů. Autoři ransomware totiž nechtějí vydělávat na prodeji, ale na podílu ze zisku – zkrátka si určité procento ze získaných peněz (jak jinak než v bitcoinech) nechají. Jedinou starostí kupujícího je tak škodlivý software nějak rozšířit.

Dříve to bylo tak, že existovala možnost koupit si balíček kódu a na jeho základě ransomware postavit. Dnes už se ale dostáváme do bodu, kdy kupující nemusí umět téměř nic (doslova mu stačí proklikat se formulářem) a dostane personalizovaný ransomware za relativně nízkou cenu. Amatérskému kriminálníkovi tedy stačí vyrobit nějakou podvodnou stránku, ramsomware na ni umístit a poté jen sledovat, jak se mu na účtu objevují peníze nebohých obětí.

Přichází Satan – ransomware pro každého
Na novou úroveň celý byznys posouvá nedávno uvedený ransomware Satan. Zatímco většinu ransomware-as-a-service není až tak snadné najít, Satan se prezentuje naprosto otevřeně – i když samozřejmě v anonymizační síti Tor a na doméně .onion. Satan je průkopnický také v tom, že nevyžaduje ani žádný počáteční poplatek za zakoupení malware. Získat ho může zdarma každý, tvůrci vydělávají pouze na poplatcích, které jsou stanoveny na 30 % ze zaplaceného výkupného.

Po jednoduché registraci spočívající pouze v zadání přihlašovacího jména a hesla se kriminálník-začátečník dostane do administrátorského rozhraní pro svůj malware. Vytvoření vlastního ransomware je otázka chvíle. Stačí vyplnit výši výkupného a specifikovat systém, kterým se po uplynutí určitého období bude násobit. Docela vtipně potom působí poznámka nenahrávejte malware do VirusTotal nebo jiného on-line skeneru. Je vidět, že Satan skutečně cílí na v úvozovkách běžné uživatele. Součástí rozhraní je dokonce formulář, kde lze ransomware překládat do dalších jazyků.

Stejně tak Satan nezahrnuje klienta zbytečnými detaily. V ovládacím panelu lze sledovat v podstatě jen to, kolik systémů bylo infikovaných a za kolik z nich bylo zaplaceno výkupné. Výkupné přistává na bitcoinových adresách provozovatele, ale partner si ho může kdykoliv vybrat. Provozovatel dokonce slibuje, že svůj procentuální poplatek s rostoucím počtem zaplacení bude snižovat. Ve všech ohledech to zkrátka vypadá jako normální byznys. Až na to, že je samozřejmě velmi nelegální.

Ransomware je miliardový byznys
Jak ukazují různé statistiky, minulý rok byl pro ransomware opravdu úspěšný. Bezpečnostní společnost Trend Micro např. v roce 2015 identifikovala 29 rodin ransomware, minulý rok to bylo 145. A to jsou čísla pouze do září. Vyděrači jsou také mnohem troufalejší a dovolují si požadovat větší výkupné. Průměrný požadavek výkupného se zvýšil více než dvojnásobně na 679 dolarů z 294 dolarů na konci roku 2015, uvedla zase Orla Cox ze Symatecu. To však může být do určité míry dáno i volatilním kurzem Bitcoinu, ve kterém se výkupné vybírá.

V roce 2016 se škody způsobené ransomware odhadují na cca jednu miliardu dolarů, a to pokud počítáme pouze zaplacené výkupné. Škody samozřejmě budou ještě podstatně větší, vezmeme-li v potaz ztrátu dat. Nicméně takové škody se velmi obtížně vyčíslují. Pro srovnání, v roce 2015 se na výkupném vybraly jen nízké desítky miliónů dolarů. Podle Osterman Research se někdy obětí ransomware stala už polovina společností ve Spojených státech.

Nejúčinnější obranou je zdravý rozum
Jak se proti ransomware bránit? Žádná nová řešení neexistují, stále platí tradiční poučky: zálohovat a nestahovat a nespouštět software z podivných zdrojů, zvlášť s administrátorskými právy. Částečně pomůže detekce malware či škodlivých stránek v prohlížeči a také antivir, ale detekce nových rodin ransomware není okamžitá a antivirový software tedy určitě neposkytne stoprocentní ochranu.

Úplně imunní není ani Linux, pro který už se několik ransomware objevilo. Zřejmě prvním byl na podzim roku 2015 Linux.Encoder.1, který jsme na Rootu podrobně rozebrali. Důležité je si uvědomit, že ransomware málokdy zneužívá nějaké zranitelnosti systému a většinou spoléhá jen na to, že ho alespoň část uživatelů do systému dobrovolně pustí. A díky blbosti uživatelů a čím dál dostupnějším řešením RaaS se zdá, že ransomware bude bujet i nadále.

Co poradit, pokud už jsou data zablokována/zašifrována? Obecné doporučení samozřejmě zní vyděračům neplatit. Pro mnoho lidí jsou však data natolik důležitá, že se rozhodnou zaplatit i s vidinou nejistého výsledku. Nicméně po zašifrování ještě nemusí být všem dnům konec. Ideální je vypnout úložiště (vyndat ho z počítače) a vyčkávat, zda se časem neobjeví nějaký nástroj, který by data dokázal rozšifrovat. V několika málo případech se dokonce stalo, že autoři ramsomware z byznysu odešli a zveřejnili instrukce/klíče pro dešifrování.

Na Play Storu byla zázračná appka, která zvýší výdrž baterie. Nakonec se z ní vyklubal vyděračský ransomware
27.1.2017 Živě.cz Viry
Specialisté z Check Pointu zmapovali další zajímavý ransomare. Říkají mu Charger, cílil na telefony s Androidem a svůj skutečný účel skryl dostatečně kvalitně, aby pronikl i do oficiálního Play Storu, kde se vydával za aplikaci Energy Rescue, která zvýší výdrž telefonu na baterii.

Autoři malwaru si dali záležet, aby aplikace vypadala skutečně atraktivně, a tak se může pochlubit vkusnou ikonou i rozhraním, které na první pohled opravdu evokuje funkční program.

Klepněte pro větší obrázek
Mobilní ransomware pronikl na i Play Store

Jenže ouha, po spuštění se rozbalí samotný malware, který zašifruje data ve veřejné paměti (SD/sdílená paměť), SMS, kontakty, a pokud bude telefon rootnutý, požádá o administrátorská práva a případně zašifruje celý telefon.

Poté se už Charger chová jako každý jiný ransomware a po oběti bude požadovat výkupné ve výši 0,2 BTC (asi 4,5 tis. CZK). Zajímavá je nicméně i výhružka, podle které útočník v případě nezaplacení prodá zašifrovaná data na černém trhu.

Ještě zajímavější než samotná funkce ransomwaru je ale v tomto případě rozbor, jak je možné, že virus neodhalila předběžná automatická kontrola Googlu a malware se dostal do Play Storu. Google před publikací každý programu automaticky spustí ve virtuálním prostředí a audituje jeho chování.

Autoři mobilního malwaru se tomu ale začínají přizpůsobovat a kód svých aplikací upravují tak, aby se pokusily detekovat běh v emulovaném prostředí. V takovém případě se pak záškodnická část kódu neaktivuje.

Klepněte pro větší obrázek
Úryvek kódu, který nespustí záškodnickou aktivitu, pokud je lokalizace telefonu nastavení na ruštinu, ukrajinštinu a běloruštinu (RU, UA a BY)

Tento malware šel ve své vlastní ochraně ještě mnohem dál a třeba textové řetězce, ve kterých byly uložené sdělení o tom, že byl telefon zašifrován a oběť má zaplatit výkupné, dodatečně šifruje převedením do pole bajtů. Automat Googlu tedy nemůže provést analýzu vložených textů. Do třetice útočníci do samotných instrukcí malwaru vnášejí určitou formu soli (šumu), která má znepříjemnit analýzu jejich posloupnosti. Malwarové instrukce tedy střídají všemožné další nesmyslné instrukce, které mají odvádět pozornost případného auditu a skrýt skutečný význam programu.

Virus mají na svědomí nejspíše programátoři z východní Evropy, ransomware totiž neútočí na mobilech s ruskou, ukrajinskou nebo běloruskou lokalizací. Důvodem nejspíše není to, že by se snad jednalo o patrioty, ale chrání se tím před případnou trestně-právní zodpovědností. V zemi jejich původu se jednoduše řečeno nejedná o malware, protože nijak neútočí.

Zákeřný virus krade kontakty a SMS zprávy. A pak chce výkupné

26.1.2017 Novinky/Bezpečnost Viry
Bezpečnostní analytici antivirové společnosti Check Point objevili novou hrozbu zvanou Charger. Tento nezvaný návštěvník útočí výhradně na chytré telefony, ze kterých následně krade uložené kontakty a SMS zprávy. Pak útočníci požadují po uživateli výkupné.
Charger se soustředí výhradně na chytré telefony s operačním systémem Android. Útočníkům se jej dokonce podařilo propašovat i do oficiálního obchodu Google Play, a to jako součást aplikace EnergyRescue.

Zaplaťte, vyzývají kyberzločinci
Útočníci se snažili zprávou uživatele jednoznačně vyděsit. „Budete nám muset zaplatit, jinak prodáme každých 30 minut na černém trhu část vašich osobních informací,“ stojí ve výzvě počítačových pirátů.

„Dáváme vám 100% záruku, že všechny soubory budou obnovené, jakmile obdržíme platbu. Odemkneme mobilní zařízení a smažeme všechna vaše data z našeho serveru! Vypnout telefon nepomůže, všechna vaše data jsou již uložena na našich serverech! Můžeme je prodat na spamování, podvody, bankovní zločiny a podobně. Shromažďujeme a stahujeme všechna vaše osobní data. Veškeré informace o vašich sociálních sítích, bankovních účtech, kreditních kartách. Shromažďujeme veškerá data o vašich přátelích a rodině,” vyhrožují dále kyberzločinci.

Výkupné chtějí zaplatit ve virtuální měně bitcoin, kterou prakticky není možné vystopovat. Konkrétně požadovali 0,2 bitcoinu, tedy v přepočtu více než 4,5 tisíce korun. I přes prohlášení počítačových pirátů ale samozřejmě uživatelé nemají žádnou jistotu, že se ke svým datům po zaplacení výkupného dostanou.

Zajímavá je i analýza tohoto škodlivého kódu. „Podobně jako u jiných malwarů z minulosti, také Charger kontroluje lokální nastavení a nespustí škodlivé aktivity, pokud je přístroj lokalizován na Ukrajině, v Rusku nebo Bělorusku. Pravděpodobně aby se vývojáři vyhnuli stíhání ve svých vlastních zemích nebo vydání mezi zeměmi,“ konstatoval Řeháček.

Riziko nepředstavuje pouze aplikace EnergyRescue. Škodlivý kód Charger se totiž může objevit klidně i v nějakém dalším programu, do kterého jej kyberzločinci implementují.

Android pod palbou kyberzločinců
Na Android se počítačoví piráti zaměřují stále častěji. Loni se například objevila podvodná aplikace vydávající se za aktualizaci klienta sociální sítě Facebook. Ta cílila opět na Android.

Před tímto nezvaným návštěvníkem v chytrých telefonech varovali zástupci Air Banky: „Pokusy útočníků nás nepřestávají překvapovat. Nově to zkoušejí tak, že vám s pomocí viru zablokují mobilní aplikaci pro přístup na Facebook a nabídnou vám instalaci nové.“

„Pokud se vám něco takového stane, rozhodně nic neinstalujte. Jinak by útočníci mohli získat přístup k vašim ověřovacím SMS, které vám chodí pro potvrzování plateb. Místo toho raději rovnou celý telefon resetujte do továrního nastavení,“ stojí v doporučení banky.

Vhodné je tak používat i na chytrém telefonu nějaký antivirový program.

Nestahujte do telefonu aplikaci Pošta Online. Je to podvod, varuje Česká pošta

26.1.2017 Novinky/Bezpečnost
Uživatelé mobilních telefonů s operačním systémem Android by si v žádném případě neměli stahovat aplikaci „Pošta Online”. Jak uvedl mluvčí České pošty Matyáš Vitík, jedná se o podvod. Podvodné SMS vyzývají jménem České pošty ke stažení aplikace, za kterou se ukrývá nebezpečný trojský kůň.
Trojský kůň, který si uživatel nevědomky stáhne do mobilu, útočí na elektronické bankovnictví uživatelů. Pošta podle Vitíka zatím zaznamenala asi desítku případů.

„Česká pošta se od těchto zpráv a podvodných stránek distancuje a upozorňuje zákazníky a všechny občany, aby na případné SMS, které obsahují výzvu k instalaci a odkaz na aplikaci Pošta Online na internetu, nereagovali a raději ji smazali. Česká pošta neposílá zákazníkům odkazy na instalaci aplikací přes SMS,” dodal Vitík.

V minulých letech se jménem České pošty šířily podvodné e-maily, které se vydávaly za zprávy o sledování poštovní zásilky. Podvodné e-maily obsahovaly odkaz vedoucí na web, který do počítače stáhl škodlivý kód.

Phishingové podvody číhají i na inzertních serverech

25.1.2017 Novinky/Bezpečnost Phishing
Počítačoví piráti neustále hledají nové cesty, jak vylákat z uživatelů na internetu důvěrné informace, které by mohli následně zneužít. Využívají k tomu velmi často nevyžádané e-maily, v poslední době to zkouší ale také přes nejrůznější inzertní servery.
Pojem phishing je možné přeložit do češtiny jako rybaření. Útočníci si totiž podobně jako rybáři skutečně počínají. Při této technice trpělivě vyčkávají na své oběti, aby je mohli nalákat na nějakou návnadu – například výhru či finanční hotovost.

V případě phishingových útoků na inzertních serverech to platí samozřejmě také. Útočníci například lákají na atraktivní koupi nemovitosti. Až podezřele výhodné nabídky se v minulosti objevily například na serverech Sreality.cz či Bezrealitky.cz.

Případně se kyberzločinci snaží využít nějakého slavného jména známé služby, ale ve skutečnosti důvěřivce vedou na podvodné webové stránky. Na celosvětové počítačové síti tak lidé mohou narazit například na falešné nabídky serveru airbnb.com.

Cílem je získat hesla nebo čísla karet
Ve všech případech je však cíl útoku stejný. Jde o získání hesel, čísel kreditních karet nebo jiných citlivých údajů. Uživatelé tak nevědomky pomáhají počítačovým pirátům ovládnout vlastní účet nebo klidně kvůli nepozornosti umožní i ukrást peníze přes internetové bankovnictví.

Zajímavé je sledovat, jak samotný útok probíhá. Kyberzločinci se totiž často ani nesnaží vytvářet smyšlené nabídky. Zaměřují se na subjekty, které se věnují inzerci – například realitní kanceláře či autobazary. Od nich získají reálné nabídky, na které pak mohou lákat své oběti.

Samozřejmostí je velmi kvalitní čeština a věrné kopírování konkrétního inzerenta.
Táňa Lálová, PR specialistka společnosti Seznam.cz
Nabídky pak mohou šířit opět prostřednictvím nevyžádaných e-mailů, případně pomocí podvodných stránek, které z tohoto důvodu vytvoří. I když poškození jsou samotní inzerenti, nakonec se útok obrátí na koncové uživatele.

„Samozřejmostí je velmi kvalitní čeština a věrné kopírování konkrétního inzerenta – například realitní kanceláře, které člověk na první pohled nemá důvod nevěřit,“ varovala Táňa Lálová, PR specialistka společnosti Seznam.cz.

Uživatel by tak měl v první řadě vždy kontrolovat internetovou adresu, na které je nabídka umístěna. Tak prakticky vyloučí šanci, že se nechá napálit nějakým falešným webem. Vhodné je také inzerující firmy kontaktovat osobně, například telefonicky či fyzickou prohlídkou nabízeného produktu – ať už nemovitosti, vozu či nějakého zboží.

Peníze dopředu neposílat
Vhodné je také ignorovat jakékoliv snahy o zaslání peněz předem. Podvodníci totiž často vyžadují zaslání zálohy na byt ještě před předchozí osobní návštěvou. Tato podmínka se typicky objevuje u extrémně výhodných nabídek. Nápovědou může být i špatná čeština a skladba slov v textu inzerátu.

Lidé by při procházení jednotlivých nabídek měli myslet také na základy bezpečného chování na webu. Například na to, že heslo je stejně cenné a snadno zneužitelné jako klíče od bytu. Právě proto by nemělo být jedno heslo stejné pro všechny služby, uživatel by jich měl aktivně používat několik.

Změna hesla by měla být samozřejmostí při jakémkoliv náznaku toho, že se uživatel stal obětí útoku. V takovém případě jej vhodné také neprodleně kontaktovat poskytovatele dané služby, tedy inzertní server. „Každá seriózní služba tuto možnost nabízí přímo z inzerátu. Těm je pak při kontrole věnována přednostní pozornost. Například na inzertních službách společnosti Seznam.cz každý den přibude několik tisíc nových inzerátů. Proto není v našich silách kontrolovat ručně každý,“ podotkla Lálová.

Pomoci může policie
„Ve chvíli, kdy je útok úspěšný a dojde k odcizení kontaktů či vylákání peněz, je vždy na místě kontaktovat policii. Pouze v součinnosti s ní je cesta, jak dalším útokům předejít a současným útočníkům v jejich chování zamezit. Pro doložení podvodu není třeba žádných složitých důkazů. Jednou z nejefektivnějších se ukázal být obyčejný otisk obrazovky,“ doplnila PR specialistka společnosti Seznam.cz.

Kontaktovat policii je v těchto případech možné prostřednictvím webu, konkrétně prostřednictvím odkazu „hlášení kyberkriminality“. Na uvedených stránkách se uživatelé zároveň dozví, jaké konkrétní informace by mělo hlášení obsahovat.

Heartbleed po třech letech ohrožuje stále zhruba 200 000 zařízení
25.1.2017 Root.cz Zranitelnosti
Jsou to téměř tři roky, co byla objevena a popsána vážná bezpečnostní chyba v OpenSSL, známá pod jménem Heartbleed. Po třech letech je stále na internetu přibližně 200 000 zařízení umožňující chybu zneužít.
Chyba s názvem Heartbleed (CVE-2014–0160) byla veřejnosti odhalena 7. dubna 2014. Jednalo se o chybu v knihovně OpenSSL od verze 1.0.1 až do verze 1.0.1f včetně. Chybná verze knihovny dovolovala vyčíst data z paměti aplikace. V té se může nacházet spousta citlivých informací včetně přihlašovacích údajů nebo třeba privátních klíčů. Podrobně jsme celý problém rozebrali v článku Heartbleed bug: vážná zranitelnost v OpenSSL.

Oprava byla vydána zároveň s oznámením a mnoho významných vývojářů bylo varováno předem. Některé firmy proto záplatovaly ještě o několik dní dříve než se o problému dozvěděla média a veřejnost. Většina velkých webů byla už dva dny po zveřejnění záplatována, některé své uživatele vyzvaly ke změně hesla.

Po více než měsíci bylo napadnutelných jen něco přes 12 tisíc stránek z žebříčku Alexa, ve kterém figuruje 800 000 nejnavštěvovanějších webů. To je asi 1,5 % webů z této statistiky. Přesto je zřejmé, že tyto weby sice tvoří většinu návštěvnosti, ale jde jen o zlomek z celkového počtu webových serverů vystavených do internetu.

Po třech letech
Jsou to přibližně tři roky a je tu nová statistika: stále je napadnutelných přibližně 200 000 zařízení. Informace vychází z měření služby Shodan, která skenuje internet a dokáže podat informaci o otevřených portech a použitých službách. Takto je možné zjistit, jaká verze knihovny OpenSSL na daném serveru běží.

Počet zranitelných serverů už přitom dlouho klesá jen velmi pomalu. Podobné měření totiž proběhlo už v květnu 2014, kdy bylo naměřeno přes 318 000 děravých instalací. Poté bylo v listopadu 2015 Shodanem změřeno 238 000 zranitelných serverů, v březnu 2016 pak číslo mírně kleslo na 237 539. Nyní ukazuje 199 594. V Česku máme 1284 serverů s nezáplatovaným OpenSSL.

John Matherly, šéf projektu Shodan, tvrdí, že mezi hříšníky figurují i takové firmy jako Amazon, Verizon Wireless, německý poskytovatel připojení Strato, OVH, 1&1 Internet a americký telekomunikační gigant Comcast. Poznámka: SK Broadband je jihokorejský poskytovatel připojení.

Mezi nejčastěji nezabezpečené služby patří web server Apache (hlavně verze 2.2.22 a 2.2.15), přičemž nejčastěji je využíván Linux s jádrem 3.x, následovaný verzí 2.6.x a Windows 7 a 8. Ohroženy jsou ale řady dalších aplikací, jako je web server Nginx, konfigurační rozhraní firewallů FortiGate, DD-WRT nebo služba Kerio Connect.

Dá se očekávat, že jde o služby, o které se nikdo pořádně nestará a neudržuje je záplatované. Ukazuje to i fakt, že velká část certifikátů na těchto službách již expirovala. Pokud správci nevadí ani tento fakt, pravděpodobně mu nevadí ani děravé OpenSSL nebo na server jednoduše zapomněl.

Bylo dokázáno, že chyba je zneužitelná a posloužila pravděpodobně k ukradení lékařských záznamů 4,5 milionů pacientů. Pokud provozujete nějaké služby vystavené do internetu, podívejte se, jestli tam nestraší tři roky stará knihovna, která byla dávno záplatována.

Může FBI nahlížet do evropských e-mailů na Outlook.com? Stále to nikdo neví jistě
25.1.2017 Živě.cz Zabezpečení

V zámoří již roky probíhá nekonečný boj mezi tamním Ministerstvem spravedlnosti a Microsoftem o to, kde opravdu končí pravomoc amerických úřadů.

Vyšetřovatelé před lety požádali Microsoft, ať jim zpřístupní poštovní schránku na Outlooku v rámci jistého případu ohledně narkotik. Na tom by nebylo nic zvláštního, kdyby se ovšem ona schránka nenacházela na evropské půdě – v v irském datacentru redmondské korporace.

Klepněte pro větší obrázek
Američtí vyšetřovatelé chtějí nahlížet do schránek Outlooku. Microsoft nesouhlasí, pokud se nacházejí v evropských datacentrech mimo jurisdikci USA.

Americké úřady se cítily být v právu, poněvadž provozovatelem datacentra je americká společnost podléhající americkým zákonům, Microsoft to však odmítl udělat s tím, že datacentrum provozuje jeho evropská filiálka a platí tam tedy irské zákony.

Kauza měla obrovský přesah, pokud by totiž soudy uznaly nárok ministerstva, znamenalo by to, že se zahraniční úřady mohou dostat k údajům o milionech Evropanů. Evropa hrozila, že by se v takovém případě zachovala recipročně, nicméně amerických služeb je dnes na západním internetu nepoměrně více než těch evropských – ostatně kolik evropských twitterů, facebooků a googlů používáte, viďte?

Vítězství pro Microsoft. Společnost nemusí americké vládě poskytnout data z evropských serverů
Soudy daly loni zapravdu Microsoft, případ se však táhl dál a teprve v úterý Federální odvolací soud odmítl smést původní rozhodnutí ze stolu. Jenže je to složitější, soudci se totiž v názorech rovně rozdělili 4:4, takže vítězství Microsoftu není jednoznačné a soudci, kteří zastávali názor ministerstva, možná předloží případ k posouzení Kongresu a Nejvyššímu soudu.

Nový Acronis dokáže zálohovat také Facebook, zabrání i škodám ransomwaru

25.1.2017 SecurityWorld Zabezpečení
True Image 2017 New Generation, novou verzi softwaru pro osobní zálohování dat s ochranou proti ransomwaru, doplněnou o Notary (verifikace dat na základě technologie blockchain) a ASign (služba elektronického podpisu), uvedl na trh Acronis.

Nový Acronis doká&zcaron;e zálohovat také Facebook, zabrání i škodám ransomwaru

Podle výrobce je to první řešení na trhu, které obsahuje funkci aktivní ochrany k detekci a prevenci před ransomwarovými útoky v reálném čase, dále pak automatickou obnovu všech dat a ochranu vlastní zálohovací aplikace.

True Image nabízí kompletní ochranu dat pro osobní i rodinné použití s využitím šifrování AES 256 a úložišti na nejrůznějších lokalitách včetně externích disků, NAS zařízení, síťových sdíleních a zabezpečeném úložišti Acronis Cloud.

Novinky v True Image ve verzi 2017 podle výrobce:

Active Protection pro aktivní ochranu před ransomwarem v reálném čase. Identifikuje neobvyklou aktivitu na počítačích a zabraňuje škodlivým aplikacím poškozovat uživatelská data, zálohy a zálohovací software. Behaviorální heuristika detekuje nové i známé ransomwarové útoky a brání před nimi, přičemž integrované zálohovací funkčnosti umožňují obnovit neomezený počet souborů jakékoliv velikosti.
Notary pro autentizaci dat na bázi blockchain. Nabízí certifikaci obsahu jakéhokoliv souboru a verifikaci obsahových modifikací v porovnání s původní verzí. Jedinečný „otisk digitálního souboru“ je uložen a v distribuované, nezměnitelné databázi postavené na technologii blockchain, která umožňuje uživatelům kdykoliv verifikovat autentičnost informací. To je důležité zejména v případě cenných dokumentů, jako jsou smlouvy, mediální záznamy a finanční dokumenty.
ASign pro certifikaci dokumentů chráněných technologií blockchain. Dovoluje více stranám vytvářet a certifikovat dokumenty se zabezpečeným a veřejně auditovatelným podpisem. Uživatelé mohou chránit své zálohované dokumenty, které jsou verifikovány s pomocí Notary a elektronicky podepsány – vše v rámci jednoho spolehlivého zálohovacího řešení.

Kromě toho nabízí novinka také řadu vylepšení, jako je třeba přepracované uživatelské rozhraní s přehledným webovým prostředím pro vzdálený přístup a správu dat, podpora NAS pro zálohovací zdroje a úložiště, bezdrátové zálohování mobilních zařízení na počítače Mac, šifrování dat pomocí AES 256, prohlížení a obnova souborů, možnost prohledávání všech cloudových záloh z mobilního zařízení.

Novinkou je i zálohování a obnova účtů na Facebooku – je tak možné prohledávání a obnova dat facebookového účtu na existující či nové účty s daty zašifrovanými a uloženými v cloudu Acronisu.

Cena se pohybuje od 2 800 Kč/rok v případě jednouživatelské licence s 1 TB záložního prostoru v cloudu až po 4 480 Kč za 5uživatelskou licenci, ve všech případech s možností zálohování libovolného počtu mobilů.

Apple vydává balík oprav, chyby mají všechny operační systémy

24.1.2017 Novinky/Bezpečnost Zranitelnosti
Velký balík aktualizací vydala tento týden společnost Apple. Chyby obsahují prakticky všechny její operační systémy, tedy verze pro klasické počítače, chytré telefony, tablety, ale například i nositelnou elektroniku. Trhliny obsahuje také webový prohlížeč Safari, upozornil Národní bezpečnostní tým CSIRT.CZ.
„Dotčený je operační systém macOS, mobilní operační systém iOS, systém pohánějící chytré hodinky Apple Watch - watchOS, ale také internetový prohlížeč Safari a multimediální aplikace iTunes,“ podotkl Pavel Bašta, bezpečnostní analytik CSIRT.CZ, který je provozován sdružením CZ.NIC.

Jak je z řádků výše patrné, chyb byla opravena celá řada. S instalací aktualizací se přitom nevyplácí otálet, neboť některé trhliny se týkají také bezpečnosti. Jedna z vydaných oprav řeší chybu v iOS, při jejím zneužití je možné iPhone odemknout i pomocí neautorizovaných Apple Watch, nastínil Bašta.

Převezmou kontrolu nad zařízením
„Některé zranitelnosti byly označeny jako kritické a jejich zneužití by mohlo umožnit útočníkovi převzetí kontroly nad zařízením,“ varoval bezpečnostní analytik.

Jinými slovy tedy mohou prostřednictvím některých trhlin kyberzločinci propašovat do zařízení s logem nakousnutého jablka prakticky jakýkoli škodlivý kód. Z napadeného stroje také mohou odcizit prakticky libovolná data.

Sluší se podotknout, že v bezpečí nejsou ani uživatelé Windows, kteří používají softwarové řešení od Applu. Tedy pokud mají nainstalovanou multimediální aplikaci iTunes či webový prohlížeč Safari. Ani v těchto případech se nemusí vyplatit otálení s instalací aktualizace.

Stahovat updaty je možné prostřednictvím automatických aktualizací v samotných operačních systémech nebo dotčených aplikacích, či prostřednictvím webových stránek společnosti Apple.

Chyby mají Office, Edge i Java
Chybám v tomto měsíci neunikly ani aplikace od společnosti Microsoft. Kritické bezpečnostní trhliny byly objeveny v internetovém prohlížeči Edge a kancelářském balíku Office. Stahovat aktualizace je nicméně také možné. [celá zpráva]

Naprostým rekordmanem v počtu nalezených trhlin je však společnost Oracle, která nabízí desítky nejrůznějších softwarových nástrojů a utilit pro korporátní klientelu, ale také programy pro běžné uživatele – například Javu. V aplikacích tohoto podniku bylo v lednu nalezeno 270 trhlin.

Bojíte se odposlechů? Tohle vám může výrazně pomoci

24.1.2017 SecurityWorld Zabezpečení
Nový protokol DIME dokáže sofistikovaným způsobem ukrýt e-maily před cizími zraky.

Jeden z vývojářů stojící za e-mailovou schránkou Lavabit, kterou využíval kupříkladu i Edward Snowden, veřejně poskytl zdrojový kód nového end-to-end šifrovaného e-mailového standardu. Ten by měl nabídnout bezpečné konverzování přes elektronickou poštu bez obavy z externího špehování.

Kód nového standardu nazývaného DIME (Dark Internet Mail Environment) bude brzy dostupný na Githubu spolu s přidruženým e-mailovým serverovým programem, řekl minulý pátek vývojář standardu Ladar Levison.

DIME bude fungovat napříč různými poskytovateli e-mailových služeb a bude „dostatečně flexibilní na to, aby umožnil uživatelům nadále využívat své e-maily i bez nutnosti doktorátu v kryptografii“.

V souvislosti s uveřejněním standardu zároveň Levison oživuje původní Lavabit. E-mailový klient s pokročilým šifrováním skončil v roce 2013 po žádosti amerických federálních agentů, kteří po službě požadovali přístup k e-mailovým zprávám jeho 410 000 zákazníků, a to včetně privátních šifrovacích klíčů jednotlivých uživatelů.

Státní zpravodajské služby tehdy podrobně zkoumali kauzu kolem Snowdena a uniklých dokumentů NSA. Levison -- než aby pomohl vládě Spojených států porušit podmínky soukromí svých zákazníků -- službu raději ukončil, píše se v jeho pátečním příspěvku.

„Vybral jsem si svobodu,“ píše emotivně. „Mnoho se od mého rozhodnutí změnilo, ale mnoho bohužel ne ani v našem post-snowdenovském světě.“ Nyní službu znovu rozjíždí, jako důvod uvedl „nedávné šokující informace“ o tom, jak nezabezpečené e-maily ve skutečnosti jsou.

„Dnes začínáme novou cestu svobody a otevíráme dveře příští generaci e-mailového soukromí a zabezpečení,“ píše na stránkách Lavabitu.

Obnovený Lavabit rovněž staví na standardu DIME, který Levison vyvíjí díky službě komunitního financování projektů Kickstarter z roku 2014. Standard má šifrovat e-mail samotný i jeho přenos, včetně metadat typu titulek zprávy a adresa odesílatele nebo příjemce.

Lavabit nově představí tři různé úrovně šifrování, nazvané Trustful, Cautious a Paranoid – tedy důvěřivý, opatrný a paranoidní. Každá úroveň pracuje s šifrováním zprávy a ukládáním privátních klíčů rozdílně, největší rozdíl je v pohodlnosti užívání.

Nejvyšší úroveň Paranoid například znamená, že servery Lavabitu nebudou privátní klíče uživatelů ukládat vůbec. Zprvu bude Lavabit dostupný pouze existujícím uživatelům služby, a to pouze na úrovni Trustful. Noví uživatelé se musí předregistrovat a čekat na oficiální vydání Lavabitu.

Lavabit pracuje na základě předplatného. V pátek byla služba nabízena se slevou – za 15 dolarů ročně má uživatel přístup k 5 GB úložného prostoru, za 30 dolarů pak k 20 GB.

Velký čínský firewall je ještě účinnější, vláda postavila VPN mimo zákon
24.1.2017 Živě.cz BigBrother

„Vyčistit národní internet od neautorizovaných služeb“ – to je účel nového nařízení, které během víkendu začalo platit v Číně. Primárně se přitom zaměřuje na prostředek, který Číňané využívají k obejití státního firewallu – VPN. Po dobu 14 měsíců mají přijít opatření, která využívání tohoto typu připojení maximálně ztíží a postaví mimo zákon.

Nově je VPN zařazeno do kategorie tzv. speciálního typu připojení, jež musí být povoleno státní institucí. Ministerstvo průmyslu a informačních technologií počítá, že bude nařízení platit minimálně do 31. března 2018.

Národní regulátoři se budou zaměřovat na poskytovatele VPN, kteří umožňují obcházení firewallu. Podle odborníků na čínský internet bude ze strany státu vyžádána spolupráce v podobě ukládání a sdílení kompletních logů, nebo bude poskytovatel výrazně sankcionován a činnost mu bude znemožněna.

Národní firewall se v Číně stará o blokování stovek tisíc webů, mezi nimiž se nachází i ty nejnavštěvovanější – Google, Youtube, Facebook nebo Twitter.

Čína zasáhne proti službám, které obcházejí cenzuru internetu

24.1.2017 Novinky/Bezpečnost BigBrother
Čína se chystá zpřísnit dohled nad internetem. Nová kampaň vlády je zaměřena na služby, které umožňují obcházet cenzuru internetu a dostávat se k blokovaným informacím ze zahraničí. Ministerstvo průmyslu a informačních technologií na konci minulého týdne uvedlo, že zakazuje používání virtuálních privátních sítí (VPN).
Sítě VPN fungují jako šifrovaný kanál mezi počítačem a vzdáleným serverem. Umožňují přístup k zahraničním webovým stránkám bez svolení vlády. Peking přísně cenzuruje internet a blokuje obsah, který by podle něj mohl ohrozit vládu komunistické strany či narušit v zemi stabilitu. Blokovány jsou on-line služby, které provozuje řada velkých zahraničních společností, jako je Google, Facebook nebo Twitter.

„Internet je obrovská síť spojující počítače po celém světě. Ve chvíli, kdy by někdo chtěl zablokovat vybrané internetové stránky nebo služby, musel by k tomu donutit největší centrální poskytovatele internetu,“ řekl Novinkám počítačový expert Václav Vaněček.

Poskytovatelé internetu v zemích jako Čína nebo Írán dostanou od státu nařízeno, na které stránky mají znemožnit lidem přístup. Ti musí do svých routerů – zařízení, která se starají o propojení jednotlivých částí internetu – zadat příkazy, jež lidem tento přístup znemožní.

Škodlivé viry trápily na konci roku statisíce lidí. Šly hlavně po penězích

24.1.2017 Novinky/Bezpečnost Viry
Škodlivým virům se na konci loňského roku opravdu dařilo, počet úspěšných útoků totiž stoupl meziročně o více než 22 procent. Kyberzločinci šířili především nezvané návštěvníky, kteří jsou schopni ukrást z účtu peníze nebo snadno zneužitelná data, jako jsou například čísla platebních karet.
Viry, které se snaží ukrást peníze, bylo podle statistik antivirové společnosti Kaspersky Lab napadeno ve čtvrtém kvartálu na 319 000 uživatelů z různých koutů světa. Markantní nárůst útoků byl zaznamenán především během dnů Black Friday a Cyber Monday, ale také ve vánočním období.

„Vánoční období je vrcholem celého roku nejen pro obchodníky očekávající vysokou poptávku a pro nakupující, kteří vyhledávají lákavé nabídky. Ale také pro kyberzločince, kteří nezahálejí a vynalézají nové možnosti, jak se dostat k penězům lidí, kteří v tuto dobu utrácejí více než jindy,“ podotkl Oleg Kupreev, bezpečnostní expert v Kaspersky Lab.

Počet útoků roste
Analýza antivirové společnosti pojednává o tom, jak se měnily snahy počítačových pirátů v posledních třech letech.

„Počet útoků na koncové uživatele detekovaných našimi bezpečnostními řešeními se během posledního loňského čtvrtletí oproti stejnému datovému rozhraní roku 2015 zvýšil o 22,49 %,“ konstatoval Kupreev.

„Oproti poklesu z roku 2014 se tak zdá, že kyberzločinci opět investují do vývoje malwaru schopného ukrást finanční data, jakými jsou informace o platebních kartách či údaje k online bankovnictví,“ doplnil bezpečnostní expert.

Útoky finančního malwaru jsou opět na vzestupu.
Oleg Kupreev, bezpečnostní expert v Kaspersky Lab
Dynamika útoků jasně naznačuje, že v podzimním období byl pro počítačové piráty nejatraktivnějším dnem Cyber Monday. Počet napadených uživatelů byl nadprůměrný prakticky během celého listopadu, nicméně 28. listopadu – v den označovaný za Cyber Monday – bylo napadeno dvakrát více uživatelů než předešlý den.

Kontrolovat výpisy z účtů
Chování kyberzločinců během vánočních svátků a Black Friday bylo trochu jiné. „Vrchol útoků nastal den nebo dva před daným svátkem. Odlišná strategie útoků může spočívat v rozdílné povaze těchto svátků. Oproti Black Friday a Vánocům jde v případě Cyber Monday výhradně o on-line prodeje, v nichž podvodníci vidí velkou příležitost, a proto své útoky cílí přímo na tento konkrétní den,“ uvedl Kupreev.

„Útoky finančního malwaru jsou opět na vzestupu. V návaznosti na útoky posledních tří měsíců bychom zákazníkům, kteří v této době použili své platební karty, doporučovali, aby v následujících měsících pravidelně kontrolovali své výpisy. Kyberzločinci totiž obvykle nezačnou vybírat peníze prostřednictvím ukradených dat hned po útoku. Většinou vyčkají několik týdnů či dokonce měsíců, během nichž se na samotnou finanční krádež připravují,“ uzavřel bezpečnostní expert.

Auto vás může šmírovat! FBI využívá bezpečnostní systémy aut pro sledování i odposlech
23.1.2017 Živě.cz Bezpečnost
Bezpečnostní systémy automobilů umožňují získat polohu kradeného vozidla nebo dokonce vypnout motor
Ty stejné systémy ale lze použít ke sledování a odposlechu
FBI tyto možnost již několik let využívá

O tom, že operátoři ukládají metadata hovorů či SMS zpráv, aby je následně mohli zpřístupnit policii, víme všichni. S narůstajícím množstvím elektroniky, která komunikuje se vzdálenými servery, se však nabízí i další možnosti pro bezpečnostní orgány, jak sledovat podezřelé osoby. Jednou z nejdůležitějších kategorií jsou potom systémy v automobilech.

Za normálních okolností zvyšují bezpečnost pasažérů nebo chrání před krádeží, ovšem mohou posloužit i ke sledování či dokonce k odposlechu. Forbes se na toto téma zaměřil poté, co získal soudní spisy odkrývající rozsah využívání těchto prostředků.

Pod neustálým dohledem

Jeden z prvních případů, na které Forbes upozorňuje, pochází z roku 2014, kdy společnost Sirius XM obdržela požadavek na sledování podezřelého vozidla, jež bylo vybaveno právě trackovacím zařízením. To je primárně určeno pro nalezení automobilu v případě jeho krádeže a funguje stejně jako funkce Find My iPhone nebo alternativa pro telefony s Androidem. Pokud majitel nahlásí odcizení vozidla, operátor společnosti aktivuje tuto funkci a okamžitě tak získá polohu auta. Jeho následné nalezení tak není velkým problémem. Takto to funguje o Chevroletu:

Zároveň však jde o perfektní možnost, jak sledovat takto vybavené vozidlo v případě, že někdo potřebuje znát jeho polohu i za jiným účelem. A tím je v tomto případě vyšetřování federálního úřadu FBI. SiriusXM tedy v roce 2014 aktivovala funkci pro sledování vozidla Toyota 4runner a veškerá získaná data o poloze předávala bezpečnostním orgánům. Ty tak mohly podezřelého sledovat celých deset dnů a monitorovat každou jeho cestu. Nakonec došlo k jeho zatčení a obvinění ve spojitosti s hazardem. K tomu zásadní měrou pomohla i funkce Connected Vehicle původně určena k ochraně vozidla. Každoročně je potom prý k této spolupráci společnost vyzvána v asi pěti případech.

Chevrolet v plné výbavě, štěnice v ceně

Poté, co redaktoři Forbesu získali informace o případu sledované Toyoty začali pátrat také u dalších výrobců či poskytovatelů podobných služeb po četnosti spolupráce s FBI. Zaměřili se proto na General Motors, třetího největšího výrobce automobilů na světě.

Hackeři útočili na automobil. Přes web ovládli brzdy i motor
Prvním z případů, na který narazili, bylo sledování drogového dealera v automobilu Chevrolet Tahoe se zabudovaným systémem OnStar. Ten rovněž slouží pro ochranu a nalezení vozidla v případě krádeže. Zde však byl soudním příkazem využit ke sledování podezřelého, který byl zatčen po ujetí 540 km z texaského Houstonu do Ouchita Parish v Louisianě. Podobně dopadl další dealer, u kterého bylo nalezeno 43 gramů heroinu po sledování jeho vozidla GMC Envoy rovněž se systémem OnStar.

Nejzajímavějším případem byl však ten z roku 2007, který se stal osudný Garethu Wilsonovi. Ten ve svém Chevroletu Tahoe náhodou stisknul tlačítko pro rychlou pomoc, které kontaktuje operátora systému OnStar. A protože řidič nereagoval na jeho výzvy, aktivoval odposlech v automobilu, při němž vyslechnul rozhovor o obchodu s drogami. Následně jej zpřístupnil místnímu šerifovi, který kontaktoval další bezpečnostní složky a ty se postarali o zatčení.

Chevrolet Tahoe je těžké díky systému OnStar ukradnout, zároveň jej lze ale sledovat nebo odposlouchávat

Mluvčí GM dodává, že tyto prostředky využívá společnost pouze v nouzi, při požadavku zákazníka (krádež) anebo po soudním příkazu. Počet požadavků, které na GM a jeho systém OnStar vznáší vyšetřující orgány, společnost nezveřejnila. Podělila se pouze s číslem šesti stovek požadavků zákazníků na sledování kradeného vozidla každý měsíc.

Kde končí soukromí?

U žádného z popsaných případů obžalovaní neuspěli při obhajobě a za své činy, nejčastěji obchod s drogami, byli odsouzeni. Soudy trvají na tom, že při vyšetřování jde soukromí stranou a po zahájení trestné činnosti jej nelze očekávat.

Rozdílným případem byl Gereth Wilson, který obchod s drogami vyzradil nechtěně po stisknutí bezpečnostního tlačítka. Ani zde však s obhajobou neuspěl. Podle soudu plnil svoji povinnost jak operátor, jenž aktivoval odposlech v automobilu, tak zasahující šerif, který byl na pravděpodobné nezákonné jednání upozorněn.

Problémem jsou však potenciální případy sledování vozidel či dokonce odposlechů, jenž se nikdy k soudu nedostaly a mohly se týkat nevinných osob. Zda k takovým případům dochází a v jaké míře samozřejmě nelze zjistit, v každém případě by však šlo o vážné narušení soukromí.

Minimálně americké soudy a bezpečnostní orgány jsou v tomto případě neústupné. O tom se přesvědčila společnost ATX, která provozuje podobnou službu pro sledování vozidel a bylo požádána o zjišťování polohy podezřelého vozidla na dobu jednoho měsíce. Když ale FBI chtěla lhůtu sledování prodloužit o další měsíc, zástupci společnosti to odmítli, čímž ale tvrdě narazili. Soud společnosti pohrozil mařením vyšetřování a v případě neuposlechnutí hrozil výraznými sankcemi.

Tady si ale můžeme připomenout kauzu, která nejen americkými médii hýbala před necelým rokem – FBI vs. Apple. V té Apple odmítnul spolupracovat s vyšetřujícím úřadem, ačkoliv se jednalo o těžký zločin, při němž bylo usmrceno 14 lidí. FBI požadovala po Applu přístup do zamknutého telefonu, jenž patřil vrahovi a jehož zpřístupnění by vyšetřování usnadnilo. Apple si nakonec ale svoji pozici uhájil bez jakéhokoliv postihu nebo obvinění z maření vyšetřování. Z tohoto případu by se tedy mohl stát precedens, který by nemusel platit pouze v kategorii mobilních zařízení.

Bezpečí vs. soukromí

O tom, že podobných sledovacích funkcí bude přibývat, není sporu. Pomůže tomu rozšíření elektromobilů a později autonomních vozidel i všudypřítomné chytré elektronky. Její primární účel je jasný – zkvalitňovat lidem život. Zároveň s sebou ale přináší mnohá úskalí, mezi nimiž je i tenká etická linie mezi tím, co je (nejen) při vyšetřování nutnou praktikou a co narušením soukromí.

Francie se připravuje na kyberútoky během květnových prezidentských voleb

23.1.2017 Novinky/Bezpečnost Hacking
Nejen Německo se obává narušení voleb, o které se při loňském výběru nového prezidenta Spojených států pokusili hackeři z Ruska. V pohotovosti je i Francie.
Francouzská státní agentura Anssi, zaměřená na kybernetickou obranu, se pilně připravuje na nadcházející prezidentské volby, které proběhnou letos v květnu. Podle šéfa Anssi Guillauma Pouparda chce zabránit pokusům o ovlivňování veřejného mínění, kterého se měli dopouštět hackeři spojovaní s Kremlem při amerických prezidentských volbách.

Poupard v rozhovoru pro francouzskou zpravodajskou televizi France 24 uvedl, že samotné politické strany nejsou schopny čelit sofistikovaným hackerským útokům, které jsou navíc podporovány cizím státem.

„Je to dost vážná situace, protože na jedné straně stojí silní útočníci, zatímco na straně druhé jsou politické strany. Je třeba si uvědomit, že politické strany jsou v podobné situaci jako malé a střední podniky – nejsou vybaveny k tomu, aby se samy s touto situací dokázaly vypořádat,“ prohlásil Poupard.

„Nejde o útoky jednotlivců, kteří je provádějí jen proto, aby viděli, co se pak stane. Jde o řízenou strategii, která zahrnuje kybernetické útoky, narušování sítí a úniky informací,“ dodal.

Rizikové sčítání hlasů
Podle Pouparda je situace o to vážnější, že si francouzská agentura pro kybernetickou obranu nemůže být jista, zda mezi útočníky nejsou i ti, kteří „pravidelně chodí klepat na dveře ministrů“. Anssi je podle svého šéfa připravena okamžitě varovat veřejnost, pokud dojde k únikům citlivých politických informací před samotnými prezidentskými volbami.

Bezpečnostní experti ale nesdílejí obavy, že by mohlo dojít k reálnému ovlivnění výsledku voleb. Například podle Ilji Kolochenka, generálního ředitele bezpečnostní společnosti High-Tech Bridge, k takovému scénáři nemůže dojít v tak rozvinuté zemi, jakou je Francie.

Velkým rizikem je elektronické hlasování.
Miroslav Dvořák, technický ředitel společnosti ESET
Určitá obezřetnost je ale na místě, doplňuje Miroslav Dvořák, technický ředitel společnosti ESET. „Jedna věc je snaha o ovlivňování veřejného mínění, druhá samotné zajištění ochrany sčítání hlasů. Jakákoli elektronická komunikace je napadnutelná a v případě voleb musí být opravdu dobře zabezpečena,“ vysvětluje.

„Velkým rizikem je elektronické hlasování, ale i když tato forma není v některých zemích povolena, výsledky sčítání hlasů z jednotlivých volebních místností se poté odesílají elektronicky do centrály a to je určitá slabina, která je zneužitelná,“ uvedl Dvořák.

Francouzská média v souvislosti s prezidentskými kandidáty upozorňují, že populární šéfka krajně pravicové Národní fronty Marie Le Penová, jíž průzkumy přisuzují hladký postup do druhého kola voleb hlavy státu, získala k financování své kampaně úvěr od ruských bank. Nový prezident nahradí v Elysejském paláci dosluhujícího Françoise Hollanda, který kvůli mimořádné nepopularitě u voličů ani nezkouší obhájit mandát.

Lavabit, mail používaný Snowdenem, je zpět a bude bezpečnější
23.1.2017 Root.cz Zabezpečení
Bezpečná e-mailová služba, kterou používal i Edward Snowden, opět otevřela své brány. Zatím jen dřívějším uživatelům, ale slibuje výrazné zvýšení zabezpečení, aby nebylo možné uživatele v budoucnu ohrozit.
Ladar Levison oznámil, že opět spouští bezpečnou e-mailovou službu Lavabit. Ta se stala nejpopulárnější na svém konci v roce 2013, protože se ukázalo, že ji používal i Edward Snowden. Spekulovalo se dokonce o tom, že právě informace z jeho účtu měly být za nátlakem na provozovatele, který raději službu vypnul, než aby přistoupil na spolupráci a vydání uživatelských dat.

Později se ukázalo, že je to pravda a že NSA chtěla přístup ke všem datům včetně TLS klíčů (dříve SSL). Levison se z této nepříjemné zkušenosti poučil a před několika dny nenápadně naznačil, že se chystá spuštění nového Lavabitu. K tomu nakonec došlo v pátek 20. ledna a na webu Lavabit.com se objevilo veřejné prohlášení.

Píše se v něm, že nová verze je založena na projektech Dark Internet Mail Environment (DIME) a Magma, které byly v roce 2014 úspěšně zafinancovány na Kickstarteru. DIME je nový standard pro bezpečnou komunikaci s podporou end-to-end šifrování a Magma je otevřený e-mailový server, který DIME implementuje.

Prozatím je Lavabit dostupný uživatelům, kteří na něm měli založené účty už dříve – těch existuje 410 000. Uživatelé sice nemají k dispozici svou starou poštu (měli možnost ji zálohovat na konci roku 2013), ale mohou začít novou službu okamžitě využívat. V zašifrované podobě prý existuje více než 50 milionů zpráv ze starého systému, ale není jasné, zda bude možné e-maily přenést do nového Lavabitu.

Časem bude možné se běžným způsobem registrovat, zatím to ale není možné a spuštěny jsou pouze předregistrace s výhodnější poloviční cenou.

Více šifrování, žádná metadata
Služba už nechce v budoucnu vystavit uživatele podobnému riziku jako před více než třemi lety, proto se rozhodla pro několik razantních změn. Aby nebylo možné získat TLS klíče, nemají ji k dispozici ani lidé Lavara Levisona. Soukromé klíče jsou prý uloženy v HSM (Hardware Security Module), který je nikomu nevydá, ale umožní jejich použití v infrastruktuře Lavabitu. Podobná zařízení používají například certifikační autority, ale i další společnosti, které chtějí zabránit odcizení privátních klíčů například při bezpečnostním průniku.

Klíče prý byly vygenerovány „naslepo“, takže je nikdo neviděl. Poté byly vloženy do HSM a původní kopie byla zničena. Jakmile jsou klíče uvnitř, už je nikdo nedokáže dostat ven, potvrdil jeden z vývojářů služby, který veřejně vystupuje jen pod jménem Sean. Je jedním z mnoha dobrovolníků, kteří se na vývoji systému podílejí, ale nechtějí prozradit svou identitu.

Autor: Albert Herring, podle licence: CC BY-SA 2.0
Ladar Levison, Lavabit
Klíče jsou zatím pro bezpečnost Lavabitu kritické, ale během následujících měsíců má být uvolněn nový systém end-to-end šifrování, který jejich důležitost sníží. Uživatelé totiž své zprávy zašifrují už na svém vlastním zařízení, včetně všech metadat. To má být jedna z klíčových vlastností nového Lavabitu, který neumožní vládním agenturám a jiným subjektům sbírat vůbec žádná data, tedy ani metadata.

Jde o veškerá transakční data z hlaviček, tedy kdo, komu a například předmět zprávy. V případě použití normálního e-mailu jsou tyto informace otevřené, i když je zbytek zprávy zašifrován. Různé subjekty mohou ale číst tyto servisní informace a v mnoha případech je i z nich možné vyčíst poměrně hodně. Lavabit slibuje, že zpráva bude zašifrovaná end-to-end jako celek, takže poslouchající agent se nedozví nic.

Model anonymizovaného zasílání zpráv je vypůjčen z principu fungování sítě Tor. Jakmile uživatel odesílá zašifrovanou zprávu, jen jeho poskytovatel připojení ví, že někomu píše. Nezná však cílovou adresu příjemce, jen jeho doménu. Plná adresa je zašifrována pro cílový server, který ji dokáže rozšifrovat, nezná ale zase plnou adresu odesílatele. Všechny informace znají jen uživatelé na obou stranách end-to-end šifrovaného kanálu.

Tři stupně bezpečnosti
Jakmile se Lavabit otevře veřejnosti, přijde se třemi režimy bezpečnosti: Trustful, Cautious a Paranoid. Česky bychom mohli říct: Důvěřivý, Obezřetný a Paranoidní.

První zmiňovaný bude určen uživatelům, kteří nepotřebují příliš mnoho skrývat a dají přednost pohodlnému používání. Tento způsob bude připomínat starý Lavabit – zprávy jsou šifrovány na serverech provozovatele. Znamená to ale, že uživatel musí věřit Ladaru Levisonovi a jeho týmu. Pro mnohé z nich je ale dostatečným důkazem fakt, že je ochoten službu raději zavřít než by ji otevřel někomu cizímu.

Zároveň je software Lavabitu otevřený, takže kdokoliv má možnost si jej zkontrolovat. To znamená, že pokud celé službě odmítáte věřit, můžete si vytvořit vlastní. Zdrojové kódy jsou na GitHubu: libdime a Magma. Jaká jiná služba pro posílání zašifrovaných zpráv vám dovolí stáhnout si její server a použít u sebe? ptá se řečnicky Levison.

Prostřední stupeň zabezpečení přesouvá šifrování ze serverů Lavabitu na uživatelská zařízení. Klíč je vygenerován přímo u uživatele, poté zašifrován zadanou frází a uložen na serveru. To umožňuje pohodlně službu používat napříč několika zařízeními, protože Lavabit nemá k dešifrované podobě klíče přístup a zároveň je možné tento klíč pohodlně získat při vybalení nového zařízení z krabice. Stačí se přihlásit.

Pokud bude uživatel chtít ještě víc, sáhne po třetím stupni. Ten zcela ruší ukládání klíčů na serveru a ponechává je jen v uživatelově zařízení. Správa klíčů je pak plně v rukou uživatele. Pokud bude chtít Lavabit používat třeba i v mobilu, bude muset klíče přenést ručně ze svého počítače. Samozřejmě zároveň platí, že v případě ztráty klíčů neexistuje způsob, jak je obnovit. Server je nezná a nedokáže pomoci. Data jsou v tu chvíli ztracena.

Má šanci, díky Snowdenovi
Právě zmíněná historie spojená s Edwardem Snowdenem dává Lavabitu šanci prorazit. Podobných služeb se za posledních několik let vyrojily tucty, ale známé jméno a zajímavá historie mohou na službu zapůsobit jako živá voda. Má však jen jednu šanci.

Sám Snowden říká, že tím nejcennějším, co může Lavabit nabídnout je ochota raději firmu zavřít než prodat uživatele. To je hodně velká věc. Jsou možná jediní na světě, kteří to mohou tvrdit, řekl v jednom z rozhovorů Snowden.

Ruští hackeři sestřelili web fotbalového mistrovství Afriky

22.1.2017 Novinky/Bezpečnost Hacking
Skupina ruských hackerů se v sobotu přihlásila k tomu, že vyřadila z provozu internetové stránky probíhajícího fotbalového mistrovství Afriky. Protestují tak proti tomu, že se turnaj koná v Gabonu, kde se po loňských volbách a následných nepokojích drží u moci prezident Ali Bongo.

Internetové stránky probíhajícího fotbalového mistrovství Afriky
Skupina, která se nazývá New World Hackers, kontaktovala agenturu AP s tím, že web CAFonline.com vyřadila z provozu. Stránky v sobotu večer skutečně nebyly v provozu.

Představitelé afrického fotbalu však zatím nepotvrdili, zda je to skutečně kvůli hackerskému útoku, uvádí AP.

Vše nicméně nasvědčuje tomu, že šlo o tzv. DDoS útok. Ten má vždy stejný scénář. Stovky tisíc počítačů začnou přistupovat v jeden okamžik na konkrétní server. Ten zpravidla nezvládne tak vysoké množství požadavků zpracovat a spadne. Pro běžné uživatele se pak takto napadená webová stránka tváří jako nedostupná.

"Udělali jsme to na protest proti Gabonu. Pořádají mistrovství Afriky v zemi, kde diktátor Ali Bongo zabíjí nevinné lidi," stálo v e-mailu doručeném AP. Srpnové volby v zemi loni zpochybnil opoziční kandidát Jean Ping a prohlásil se za jejich vítěze. Výsledky vyvolaly nepokoje se zhruba stovkou obětí. Gabonský ústavní soud v září potvrdil vítězství dosavadního prezidenta Bonga.

Bezpečnostních chyb jako máku. Oracle opravuje najednou 270 trhlin

22.1.2017 Novinky/Bezpečnost Zranitelnosti
Bez nadsázky obří balík záplat vydala společnost Oracle, obsahuje totiž opravy pro bezmála tři stovky chyb. Aktualizace se týká prakticky celého softwarového portfolia této společnosti. Nemalé množství trhlin bylo přitom označováno jako velmi kritické.
Oracle nabízí desítky nejrůznějších softwarových nástrojů a utilit. Běžní uživatelé se ale s nimi přímo setkají jen málokdy, zpravidla jde totiž o řešení určená pro nasazení v menších či větších firmách. Jde o různé databázové a vývojářské nástroje, stejně jako o nástroje určené k řízení podniků.

Právě proto je ale celá hrozba napadení ještě závažnější. Ve firmách totiž mohou napáchat počítačoví piráti daleko více škody než v domácnostech.

U více než stovky chyb je přitom možné vzdálené zneužití. To jinými slovy znamená, že je počítačoví piráti mohou zneužít k tomu, aby do konkrétních počítačů nebo podnikové sítě propašovali prakticky libovolný škodlivý kód. Stejně tak ale mohou přistupovat k nastavení napadeného stroje či uloženým datům na discích.

Problémy mohou mít i běžní uživatelé
Některé chyby se ale týkají i přímo běžných uživatelů. V portfoliu společnosti Oracle je totiž například Java, která je často využívána pro korektní chod některých webových stránek. V počítači ji tak mají nainstalovanou desítky miliónů lidí po celém světě.

A právě u zmiňované Javy bylo odhaleno 17 chyb, z toho 16 mohou vzdáleně zneužít kyberzločinci ke vzdáleným útokům. Kritické chyby obsahuje například také Virtual Box, který se mezi zběhlejšími uživateli těší poměrně velké popularitě.

Jak je z řádků výše patrné, obezřetnost je tedy na místě. Stahovat opravy je možné prostřednictvím automatických aktualizací v jednotlivých programech, případně prostřednictvím webových stránek společnosti Oracle.

Kyberzločinci mohou zaútočit dokonce už i na hřeben

22.1.2017 Novinky/Bezpečnost Hacking
Přibývá tzv. chytrých přístrojů, které sbírají nejrůznější, více či méně užitečná data. A roste také nebezpečí jejich zneužití. Teoreticky tak mohou kyberzločinci v dnešní době napadnout na dálku klidně i hřeben.

Chytrý může být v dnešní době už i hřeben. Na snímku je nový model od společnosti L’Oréal, který byl odhalen na veletrhu CES.
Tak například chytré sportovní hodinky – změří vám vzdálenost, kterou jste uběhli, a údaj odešlou do programu v telefonu. Tam už se můžete podívat, kolik jste uběhli včera, před měsícem nebo jakou vzdálenost zaběhl váš kamarád na druhém konci republiky.

Jenže výrobci se u těchto relativně užitečných věcí nehodlají zastavit. „Veletrh spotřební elektroniky (CES) v Las Vegas byl přehlídkou nápadů, jak připojit k internetu věci, u nichž by to mohlo být prospěšné,“ uvádějí stránky popsci.com.

Zmiňují hřeben od společnosti L’Oréal, jenž provede rozbor vašich vlasů, nebo polštář nahrávající zvuk vašeho chrápání či pohyby během spánku. Jakmile je takový výrobek připojen k internetu, může být teoreticky ovládnut někým cizím, hackerem.

Ten jej využije ve své armádě počítačů a s ní vyřadí z provozu třeba poskytovatele určité služby na internetu.

Armáda zotročených zařízení
Vojsko složené z chytrých polštářů, hřebenů či odpadkových košů může vypadat legračně, ovšem podobně se chytré fotoaparáty loni v říjnu zapojily do útoku, jenž způsobil problémy i společnostem jako Amazon či Twitter.

S desítkami tisíc napadených zařízení, která je poslechnou na slovo, jsou schopni šířit nevyžádané e-maily nebo provádět DDoS útoky.

Na zařízení tzv. internetu věcí, tedy na chytré přístroje, které jsou schopny připojovat se na internet a komunikovat mezi sebou prostřednictvím této celosvětové počítačové sítě, se tak zaměřují kyberzločinci stále častěji. U nich totiž bezpečnost zatím nikdo nijak dramaticky neřeší, čehož se snaží kyberzločinci využít.

LOGmanager nabídne snadnější sběr logů z různých míst

20.1.2017 SecurityWolrd Zabezpečení
Řešení LOGmanager Forwarder, které slouží ke sběru logů z poboček, pronajatých datových center nebo od zákazníků do hlavního systému LOGmanager, kde probíhá analýza a ukládání, uvedl na trh jeho výrobce, firma Sirwisa.

Rozšiřuje se tak produktové portfolio LOGmanageru, českého nástroje na správu a analýzu logů. LOGmanager Forwarder je dostupný buď jako hardwarová appliance, nebo jako virtuální stroj.

Distributorem řešení LOGmanager v tuzemsku je firma Veracomp, pro implementaci lze využít i služeb řady certifikovaných partnerů.

Šifrování WhatsApp je lež, server umí klientům vyměnit klíče
19.1.2017 Root.cz Zabezpečení
Světově nejpopulárnější komunikační aplikace WhatsApp se chlubí velkou bezpečností a end-to-end šifrováním. Ve skutečnosti je to ale lež, server totiž umí u klientů potichu vyměnit klíče a odposlechnout komunikaci.
V komunikační službě WhatsApp byla objevena vlastnost, která má zásadní dopad na bezpečnost šifrované komunikace. Tobias Boelter, bezpečnostní expert z University of California, totiž zjistil, že provozovatel služby má možnost si přečíst zprávy, ke kterým by neměl mít díky end-to-end šifrování vůbec přístup. Může totiž donutit klienty k výměně klíčů. Ve většině případů se o tom uživatelé vůbec nedozví.

Služba s více než miliardou uživatelů se už téměř rok chlubí tím, že podporuje end-to-end šifrování, takže nikdo nemá možnost číst komunikaci uživatelů. Ani Facebook, který je tři roky vlastníkem a provozovatelem WhatsApp, by tak neměl mít k obsahu komunikace přístup. Zprávy totiž mají být zašifrovány bezpečně pomocí klíčů, které jsou uloženy jen v zařízeních uživatelů.

WhatsApp dokonce o této vlastnosti hovoří jako o zásadní výhodě a tvrdí, že každá konverzace používá vlastní klíč. Ten je možné volitelně ověřit a získat tak jistotu, že komunikujeme se správnou protistranou. Protože je k šifrování použit bezpečný protokol Signal, který vyvinula společnost Open Whisper Systems, uživatelé předpokládali, že komunikace je skutečně bezpečná.

Server ovládá klienty
Ve skutečnosti je součástí této konkrétní implementace backdoor, který serveru dovoluje toto bezpečné šifrování obejít. Server totiž může klientům nařídit, aby zatím nedoručené zprávy znovu zašifrovaly jiným klíčem a poslaly mu je. Příjemce se o této změně navíc vůbec nedozví a odesílatel jen v případě, že v nastavení výslovně zapne zobrazování varování týkajících se šifrování. V případě drtivé většiny uživatelů tak projde výměna klíčů zcela potichu.

Zobrazení těchto notifikací je možné najít v menu Settings → Account → Security pod položkou „Show Security Notifications“. Uživatel se pak dozví o tom, že protistrana vyměnila šifrovací klíče.

Tímto způsobem je možné se skutečně dostat ke komunikaci, která by měla zůstat utajena. Pokud by byl WhatsApp požádán vládní organizací k vydání záznamů komunikace, mohl by k nim touto cestou získat přístup, říká Tobias Boelter. Chybu prý Facebooku hlásil už v dubnu 2016, ale dostalo se mu odpovědi v tom smyslu, že jde o „očekávané chování“ a firma se problémem dále nezabývala.

Funkce totiž má své opodstatnění a využívá se například ve chvíli, kdy uživatel vymění telefon nebo přeinstaluje aplikaci. Původní klíče jsou pak ztraceny a nový telefon je nezná. Pokud byly mezi tím uživateli poslány zprávy zašifrované starým klíčem, server vyzve odesílatele k jejich přešifrování a znovuodeslání. Pak je doručí uživateli do nové instalace aplikace.

Nové klíče jsou samozřejmě doručovány pomocí infrastruktury WhatsApp a pokud uživatel znovu neprovede jejich ověření, je možné mu podvrhnout libovolný klíč. Služba tak může velmi snadno provést útok typu man-in-the-middle a oběma komunikujícím stranám podvrhnout vlastní klíče.

Problém není ani tak v samotné možnosti vyměnit klíč, jako v tom, že se o změně uživatel ve výchozím stavu nedozví. Chyba rozhodně není v protokolu, ale je v konkrétní implementaci. Stejný protokol například používá aplikace Signal (kterou doporučuje Edward Snowden), která při výměně klíčů velmi hlasitě protestuje a žádá od uživatele jejich nové ověření. WhatsApp to nedělá.

I když možná neúmyslná, pořád díra
Na odhalení problému velmi rychle zareagoval Open Whisper Systems s vlastním prohlášením, ve kterém tvrdí, že nejde o backdoor, ale o nutnou funkcionalitu. Podle jejich slov se velmi podobně chová většina šifrovacích systémů, vše je proto v pořádku a normální. WhatsApp nedává vládám ‚backdoor‘ do svých systémů a bude bojovat proti jakémukoliv požadavku k jeho vytvoření.

Tvrdí také, že takto je možné znovu zašifrovat jen ty zprávy, které nebyly doposud doručeny klientovi. Nedodává ale, že zprávy o stavu doručení předávají stejné servery, které jsou schopné přikázat výměnu klíčů. Ve skutečnosti je tedy možné v libovolnou chvíli komunikaci pozdržet, klíče vyměnit a nechat si zprávy poslat v dešifrovatelné podobě.

Dalším argumentem proti zneužitelnosti je podle firmy to, že servery nemají informace o tom, zda konkrétní klienti mají zapnuté či vypnuté oznamování změn klíčů. Útočník prý tak nemůže sbírat informace o zranitelných uživatelích. Protože je ale notifikační volba ve výchozím stavu vypnutá, drtivá většina uživatelů je proti tomuto útoku bezbranná.

Firma tvrdí, že se rozhodně nejedná o backdoor. Ve skutečnosti ale nezáleží na tom, jak takovou vlastnost pojmenujete. End-to-end šifrování má sloužit k tomu, aby v žádném bodě přenosové trasy nebylo možné komunikaci ohrozit. Pokud je toto základní pravidlo porušeno, je poškozen celý princip šifrování a bezpečné prostředí mizí.

Na svou obhajobu společnost také říká, že pro uživatele je lepší, když notifikace tohoto typu nevidí. Pravděpodobně by je taková věc obtěžovala a stejně by ji slepě ignorovali. Ovšem existuje velký rozdíl mezi tím, když uživatel na důležité oznámení reaguje zbrkle a chybně, a když žádné oznámení nedostane a reagovat na něj nemůže.

Je úplně jedno, jestli jde o implementační nedokonalost nebo vědomou cestu k uživatelským datům. Stačí, že existuje technické řešení, které v případě potřeby umožní data přečíst. Pokud bude mít nějaká vládní organizace důvod se k datům dostat, dokáže provozovatele donutit takové technické řešení použít. Nehledě k tomu, že ho může použít útočník, který se dostane k serverům služby. Uživatel správně implementované služby by mohl mít stále jistotu, že je jeho komunikace v bezpečí krytá end-to-end komunikací s ověřeným klíčem.

Phishingový útok krade účty Google, pozor na falešné PDF v příloze
19.1.2017 Root.cz Phishing
Nová phishingová kampaň míří na uživatele Google a je tak přesvědčivá, že může zmást i technicky zdatné uživatele. Vše začíná mailem s falešným PDF a končí ukradením přihlašovacích údajů.

Phishingový mail se tváří velmi nenápadně a obsahuje přílohu ve formátu PDF, jejíž náhled je možné zobrazit přímo v prostředí GMailu. Zpráva se tváří důvěryhodně, protože jde o odpověď od známého kontaktu, která obsahuje už dříve poslanou přílohu. Tyto informace jsou získány z napadeného účtu předchozí oběti.

V příloze je ve skutečnosti falešný soubor PDF, který je ovšem pouze screenshotem boxíku s původní zprávou z odesílatelovy schránky. Protože používá známý vzhled, oběť se domnívá, že jí známý posílá dokument.

Vypadá jako příloha, ale je to jen vložený obrázek
Nová oběť se snaží přílohu otevřít, v domnění, že jde o legitimní dokument. Po kliknutí na obrázek se ale otevře nová stránka s informací o tom, že uživatel byl odhlášen ze služeb Google.

Stránka v URL
Adresa zobrazené stránky obsahuje řetězec accounts.google.com, který většinu uživatelů zmate a domnívají se, že jsou na správné přihlašovací stránce. Ve skutečnosti jde ale o velmi dlouhý řádek textu, který obsahuje zdrojový kód HTML stránky. Protože je ale falešná URL část od zbytku oddělena mezerami, jeví se obsah adresního řádku jako běžná adresa.

Adresa začíná známým řetězcem, ale obsahuje HTML
Tato technika se nazývá „data URI“ a umožňuje vložit celou stránku do adresního řádku. V tomto případě je navíc hlavička data:text/html zobrazena stejnou barvou i písmem jako zbytek domnělé adresy, takže jí uživatel nevěnuje pozornost. Správně má ale adresa vypadat jinak.

Takto vypadá URL přihlašovací stránky doopravdy
Pokud nepozorná oběť do stránky vloží své přihlašovací údaje, prohlížeč je odesílá na servery útočníků. Ty zareagují okamžitým přihlášením do schránky oběti, vyhledáním kontaktů, vytipováním zpráv s přílohami a celý proces se opakuje.

Metoda napadení je poměrně nenápadná a běžný uživatel nemusí zpozorovat nic podezřelého. Prostě byl odhlášen od svého účtu a musí zadat znovu své přihlašovací údaje. Mnoho lidí z branže hlásí, že se nechalo oklamat.

Follow
Tom Scott ✔ @tomscott
This is the closest I've ever come to falling for a Gmail phishing attack. If it hadn't been for my high-DPI screen making the image fuzzy…
12:54 PM - 23 Dec 2016
6,184 6,184 Retweets 5,350 5,350 likes
Dvoufaktorová autentizace
Ochranou proti tomuto typu útoku je dvoufaktorová autentizace, která kromě jména a hesla po uživateli vyžaduje ještě opsání kódu z SMS nebo offline generátoru v mobilním telefonu. Pokud by uživateli přihlašovací údaje přeci jen unikly, útočníkovi nebudou stačit k úspěšnému přihlášení.

Generátor jednorázových hesel Google Authenticator
Google o problému ví
Google o tomto typu útoků ví minimálně od loňského roku a bezpečnostní tým Chrome navrhl úpravu, po které by prohlížeč zobrazoval varování při použití schémat data:, blob: a dalších, která mohou být zneužita tímto způsobem.

Varování: tato stránka je nezabezpečená

Zadní vrátka pro utajený přístup obsahují tisíce aplikací pro Android

18.1.2017 SecurityWorld.cz Zranitelnosti
Zneužít se mohou data ve službách jako Amazon Web Services, Slack, Dropbox nebo Twitter, ale také mnoha dalších.

API klíče AWS nebo přístupové tokeny na Twitter – co vše lze najít v aplikacích Androidu. Studie bezpečnostní firmy Fallible prozkoumala 16 000 aplikací na Androidu – a zjistila, že 2 500 z nich má v sobě některý druh tajné přístupové informace napevno zakódovaný.

Mnoho vývojářů aplikací pro Android stále ukládá přístupové tokeny a API klíče přímo do aplikace, čímž vystavují data uložená ve službách třetích stran bezpečnostnímu riziku.

Zahrnutí přístupových klíčů třetích stran přímo do aplikace je ospravedlnitelné ve chvíli, kdy je rozsah pravomocí a služeb tokenů omezený. V některých případech však vývojáři do aplikace zakódovali i API klíče, které přistupují k velmi citlivým datům nebo zneužitelným systémům.

To byl případ celkem 304 služeb, které obsahovaly přístupové tokeny a API klíče do služeb jako Twitter, Dropbox, Flickr, Instagram, Slack nebo AWS.

Tři sta aplikací z 16 000 se může zdát jako zanedbatelný počet, ale v závislosti na druhu a pravomocích daného tokenu či klíče může jediná uniknutá bezpečnostní informace znamenat obrovský bezpečnostní problém.

Tak například tokeny ke Slacku mohou poskytnout přístup k historii chatu využívaného vývojářským týmem, a ty mohou obsahovat dodatečné přístupové informace např. k databázím, integračním platformám a dalším vnitrofiremním službám, ani nemluvě o sdílených souborech a dokumentech.

Již minulý rok odhalili výzkumníci z bezpečnostní společnosti Detectify přes 1 500 tokenů ke Slacku, napevno zakódovaných do původních projektů na GitHubu. Na GitHubu se v minulosti objevily rovněž klíče k AWS, a to řádově v tisících. Amazon tak musel začít aktivně vyhledávat podobné úniky a uveřejněné klíče blokovat.

Některé z AWS klíčů v analyzovaných aplikacích na Androidu mělo plné pravomoce, mohly tedy vytvářet a mazat instance, popisují pracovníci Fallible v příspěvku na blogu. Mazání jednotlivých instancí AWS může vést ke ztrátě dat a vyššímu downtimu, jejich vytváření zase umožňuje útočníkům využívat výpočetní sílu na úkor zákazníka.

Nejde zdaleka o první případ, kdy se různé přístupové údaje objevují napevno zakódovány v mobilních aplikacích. V roce 2015 odhalila skupina výzkumníků z Technické univerzity v Darmstadtu v Německu přes 1 000 přístupových klíčů pro BaaS aplikační rámce uložené v aplikacích Androidu a iOS.

Tato data umožňovala přístup k 18,5 milionům záznamů, obsahujícím 56 milionů dat, která vývojáři k BaaS poskytovatelům (např. Parse, CloudMine nebo AWS) uložili.

Nedávno spatřil světlo světa open source nástroj Truffle Hog, který pomáhá podnikům i jednotlivcům s prohledáním svých aplikací, zda vývojáři neopomněli odstranit některé tokeny, které dovnitř vložili během vývoje a následně zapomněli odstranit.

Na Gmail míří zákeřná vlna phishingu, může zmást i zkušenější uživatele
18.1.2017 Živě.cz Phishing
Uživatelé využívající e-mail od Googlu mohou narazit v těchto dnech na novou phishingovou vlnu, která se od těch tradičních liší svou zákeřností. U většiny z nich často stačí zkontrolovat adresu, na kterou vedou odkazy ve zprávě, tady se však můžete při malé nepozornosti spálit.

Vše začíná tak, jak jsme u podobných zpráv zvyklí, útočníci zde využili připojení zdánlivé přílohy ve formátu PDF, která je však pouhým obrázkem. V domnění, že si oběť otevře dokument přímo v prohlížeči klikne na obrázek, který ji ale přesměruje na web, kde najde přihlašovací formulář do Gmailu.

Klepněte pro větší obrázek
Takto vypadá podvržená přihlašovací stránka Gmailu. V adresním řádku spatří oběť známou URL a zbytku tak přestane věnovat pozornost. Na podvod by měl upozornit jak nezvyklý formát adresy, tak její barva (foto: Timruffles/Github)

A právě na tomto místě se aktuální vlna phishingu liší od toho běžného. V adresním řádku totiž opravdu uživatel spatří URL https://accounts.google.com, která patří legitimnímu přihlašovacímu webu. Jenže díky Data URI obsahuje adresní řádek také prázdné znaky a delší škodlivý kód směřující právě na web určený pro získání údajů oběti. Techniku najdete dobře zdokumentovanou a popsanou na Githubu.

Jakmile útočníci získají údaje, využijí je k přístupu k účtu a rozeslání další vlny phisningových e-mailů na kontakty v adresáři. Dalším obětem tedy přijde taková zpráva od známé osoby, čímž se opět zvýší šance útočníků.

Kritické chyby mají Flash Player, Acrobat i Reader. Mohou je zneužít kyberzločinci

17.1.2017 SecurityWorld Zranitelnosti
Hned několik bezpečnostních trhlin bylo odhaleno v oblíbeném programu Flash Player. Ten slouží k přehrávání videí na internetu a po celém světě jej používají stovky miliónů lidí. Chyby se nevyhnuly ani programům Acrobat a Reader, které slouží k práci s PDF dokumenty. Záplaty od společnosti je však již možné stahovat.
„Vydaná aktualizace pro Acrobat a Reader verzí 11 a 15 opravuje celkově 29 kritických zranitelností, z nichž některé by při zneužití mohly útočníkovi umožnit převzetí kontroly nad systémem,“ Pavel Bašta, bezpečnostní analytik Národního bezpečnostního týmu CSIRT.CZ, který je provozován sdružením CZ.NIC.

Obezřetní by měli být uživatelé také v případě Flash Playeru. „V případě tohoto programu bylo opraveno 13 kritických bezpečnostních chyb v dřívějších verzích, které mohly vést ke spuštění škodlivého kódu nebo úniku citlivých dat,“ konstatoval Bašta.

Propašují virus, zotročí počítač
Prostřednictvím chyb mohli kyberzločinci propašovat na cizí počítač prakticky jakýkoli škodlivý kód, případně jej zcela ovládnout na dálku. Mohli se tak snadno dostat k uloženým datům, případně odchytávat přihlašovací údaje na různé webové služby.

Takový stroj se pak klidně i bez vědomí uživatele může stát součástí botnetu (síť zotročených počítačů), který kyberzločinci zpravidla zneužívají k rozesílání spamu nebo k DDoS útokům.

Častý terč útoků
Stahovat záplatu je možné prostřednictvím automatických aktualizací daného programu nebo prostřednictvím stránek společnosti Adobe.

Flash Player používá na celém světě několik stovek miliónů lidí. Právě kvůli velké popularitě se na Flash Player zaměřují kybernetičtí nájezdníci pravidelně. Podle analýzy bezpečnostní společnosti Record Future cílilo osm z deseti nejrozšířenějších hrozeb v roce 2015 právě na tento přehrávač videí.

SSL a internetové bankovnictví? Ne vždy si rozumějí

15.1.2017 SecurityWorld Zabezpečení
Některé banky SSL podceňují – přihlášení do internetového bankovnictví tak nemusí být vždy bezpečné.

Protokol SSL/TLS je technologií běžně užívanou pro šifrování komunikace mezi klientskými počítači a serverem. Ač není jediným mechanismem užívaným bankami pro ochranu internetového bankovnictví, bývá pomyslným základním kamenem této ochrany.

Přesto v testu společnosti Xiphos Research, uskutečněném začátkem roku 2016, dopadly britské banky poměrně špatně a u většiny z nich byly objeveny větší či menší nedostatky v zabezpečení SSL užívaném na jejich serverech. Obdobný test vykonaný společností Alef Nula v českých podmínkách dopadl o poznání lépe – většina bank v něm uspěla.

Ve svém průzkumu otestovala britská společnost Xiphos Research 84 bank působících na tamním trhu. Banky hodnotila písmeny podobně jako na některých univerzitách. Celkem 14 procent z testovaných bank si vysloužilo nejhorší známku F, protože nastavení jejich serverů a používaný SSL protokol vykazovaly významné bezpečnostní chyby.

Nedostatečně zabezpečený server internetového bankovnictví byl detekován u poloviny z 59 britských bank a finančních institucí. Stejně dopadlo i 79 procent serverů užívaných 25 bankami působícími ve Velké Británii, ale majícími zahraniční vlastníky.

V osmi případech obsahoval používaný SSL protokol zranitelnost Poodle, která byla detekována bezpečnostním týmem Googlu už v říjnu 2014. Tato zranitelnost přitom může umožnit útočníkovi dostat se k dešifrované části obsahu SSL relace mezi klientem a serverem.

Ukázalo se také, že banky často využívají zastaralé verze SSL šifrování nebo překonané SHA šifrovacího klíče.

České banky úspěšnější

Nepříliš dobré výsledky britských bank inspirovaly k vykonání podobného testu i bezpečnostní tým společnosti Alef Nula.

Čeští experti využili stejnou metodologii jako výzkumníci Xiphos Research a otestovali nastavení SSL na celkem 33 serverech internetového bankovnictví provozovaných 30 českými bankami (resp. bankami užívajícími pro internetové bankovnictví adresy v doméně .cz).

Úroveň zabezpečení byla hodnocena na zmíněné škále SSL Server Rating. Ta podle výsledků měření hodnotí bezpečnost nastavení SSL stupni A (velmi vysoká) až F (vykazující závažné nedostatky a zranitelnosti).

U nejlepšího hodnocení A rozlišuje ještě úroveň A+, určenou pro případy, kdy banky implementovaly některá nadstandardní opatření, a A– znamenající, že v zabezpečení SSL protokolu se objevily jen méně závažné nedostatky.

Oproti Británii dopadl test v Česku o poznání lépe – více než dvě třetiny českých bank získaly hodnocení A. U deseti z nich se nalezly jen marginální bezpečnostní nedostatky, takže byly ohodnocené stupněm A–, naopak čtyři získaly nejvyšší hodnocení A+, což znamená, že zabezpečení SSL na svých serverech zvýšily pomocí nadstandardních opatření.

A u 11 serverů pak byly zjištěny různě závažné slabiny a/nebo konfigurační nedostatky SSL.

Chyby? Opět boduje pudl

Stejně jako v případě bank ve Velké Británii také u českých bank byl nejčastěji objevenou závažnou zranitelností Poodle. V Česku to bylo ale jen u dvou bankovních serverů, tedy přibližně u šesti procent. Ve Velké Británii to byla téměř desetina.

Po jednom serveru obsahovalo ve svém bezpečnostním protokolu zranitelnosti Crime a Logjam. Zranitelnost Crime umožňuje útočníkovi učinit tzv. session hijacking, tedy za určitých okolností převzít SSL relaci, Logjam pak dokáže snížit složitost užitého šifrování na velmi nízkou úroveň, v důsledku čehož je možné relativně snadno dešifrovat a modifikovat probíhající komunikaci.

Zmíněné zranitelnosti mohou představovat citelnou hrozbu pro aplikace pracující s důvěrnými daty. V kombinacích, které by mohly reálně ohrozit bezpečnost klientů užívajících internetové bankovnictví, se vyskytovaly v případě dvou z testovaných serverů.

Pokud jde o verzi používaných protokolů a šifrovacích klíčů, byla situace v Česku podobná Velké Británii. U pěti serverů užívajících SSL bylo zjištěno využívání zastaralého šifrovacího algoritmu RC4 a u stejného počtu byly detekovány slabiny v konfiguraci Diffie Hellmanova algoritmu výměny klíčů (užití malých prvočísel).

Test také objevil nedostatky v oblasti podpory protokolů. Dva servery stále spoléhaly na zastaralý a nedostatečně zabezpečený protokol SSL verze 3.0 a celkem šest analyzovaných SSL instancí nepodporovalo nejnovější a nejbezpečnější verzi (1.2) protokolu TLS.

Na pěti zkoumaných serverech byly používány certifikáty SHA-1, které v současnosti přestávají být považované za bezpečné a všechny nejčastěji užívané prohlížeče plánují v blízké době ukončit jejich podporu. Certifikát nepodepsaný důvěryhodnou certifikační autoritou používal pouze jeden z analyzovaných serverů.

Obezřetnost, nikoli panika

Přestože třetina serverů poskytujících v České republice služby internetového bankovnictví obsahovala v době průzkumu nedostatky či zranitelnosti v užitých SSL mechanismech, není třeba propadat panice.

Útok na většinu z nich by totiž byl poměrně komplikovaný. Reálně využitelné zranitelnosti, které představují citelnou hrozbu pro chráněnou komunikaci mezi klientem a bankou, vykazovaly pouze dva ze zkoumaných serverů (oba hodnocené stupněm F).

V případě jednoho dalšího by potom úspěšný útok na bezpečnost navázaného spojení mohl být potenciálně realizován za velmi specifických okolností. Realisticky závažné zranitelnosti se tedy týkaly pouze šesti až devíti procent analyzovaných serverů.

Jak se testuje SSL v bankovních systémech

Český i britský test bezpečnosti SSL mechanismů využívaly stejnou metodologii. Použil se při nich nástroj SSL Server Test a úroveň zabezpečení byla hodnocená na škále SSL Server Rating v rozmezí A až F, s doplňkovým označením písmenem T pro servery s nedůvěryhodným certifikátem.

Parametry užívanými pro zařazení ve škále jsou typy podporovaných protokolů, tvořící 30 procent výsledného hodnocení, dalších 30 procent připadá na užité mechanismy bezpečné výměny klíčů a 40 procent zaujímají typy podporovaných šifer.

Router jako šedé místo v zabezpečení

14.1.2017 SecurityWorld Zabezpečení
Směrovač v domácnosti je, co se osvěty a prevence v oblasti bezpečnosti týče, stále podceňovaným prvkem. Co všechno vám správné nastavení může přinést a co naopak špatného způsobit?

Co se týče routerů, uživatelé se příliš neupozorňují na to, že správné nastavení tohoto zařízení, které je v řadě případů branou do internetu, může mít zásadní vliv na jejich on-line bezpečnost.

Poté, co si router koupí a zapojí ho, často se nedopracují k tomu, aby defaultní nastavení změnili, a tím eliminovali rizika, která tato základní konfigurace může způsobit.

Na domácí routery se kladou stále větší nároky jak z pohledu výkonnosti v důsledku narůstajícího počtu zařízení připojených do internetu v domácnosti, tak z hlediska bezpečnosti. Počet útoků vedených přes routery přitom neustále roste.

Ze světa i z České republiky jsou známé řady případů, kdy zotročené domácí routery posloužily například k DDoS útokům. V tomto textu se zaměříme na nejčastější nedostatky a důvody napadení domácích routerů.

1. Firmware

Specializovaný firmware pro routery obsahuje chyby stejně jako programy, které každodenně používáme, a proto taktéž vyžaduje pravidelné záplatování. Tento zdánlivě jednoduchý krok však může představovat hned několik problémů.

Jedním z nich je někdy poměrně náročné hledání poslední verze firmwaru pro konkrétní typ routeru, jenž uživatel používá. Když se uživateli podaří najít přesně ten, který hledal, musí ho ještě do routeru nainstalovat, což zase nemusí být u všech modelů úplně jednoduché a intuitivní.

Pokud to jde, je dobré, když si uživatel může nastavit automatické nebo alespoň poloautomatické upozorňování na updaty sám, aby mu žádný bezpečnostní update neunikl. Na update by se nemělo zapomínat ani v případě koupě nového routeru, protože mezi nahráním firmwaru do routeru při výrobě a spuštěním routeru v domácnosti může uplynout poměrně dlouhá doba.

Zde je důležité připomenout, že i když vám router poskytl váš provider (ať už ve formě pronájmu nebo koupě), zodpovědnost za aktualizace firmwaru nesete sami. Když se bavíme o firmwaru, může nastat i jedna nezáviděníhodná situace – tedy ta, že výrobce routeru podporu pro daný firmware ukončil.

I s tím mají nejen uživatelé v České republice své neblahé zkušenosti. Proto by se měli mít uživatelé na pozoru a již při koupi nového routeru by si měli ověřit, zda výrobce vydává pro firmware pravidelné updaty.

2. Universal plug and play

UPnP je protokol, který programům umožňuje mimo jiné jednoduše měnit nastavení routeru, konkrétně otevřených portů, které programy potřebují pro svou komunikaci. Protokol byl primárně vytvořen pro použití v lokálních sítích, a tak neobsahuje jeden z důležitých bezpečnostních prvků, jímž je autentizace.

Mnoho routerů má však dostupnost UPnP nastavenou nejen z lokální sítě, ale také z celého internetu. Bezpečnostní riziko je samozřejmě větší, když je protokol UPnP dostupný z internetu, což umožňuje útočníkům přistoupit ke konfiguraci portů, a zneužít je tak například pro získání přístupu do lokální sítě nebo jako proxy pro surfování.

Implementace protokolu UPnP v routerech je také často děravá, a proto se doporučuje protokol raději vypnout a přesměrování služeb na porty udělat ručně.

Další bezpečnostní riziko spočívá v defaultně zapnutém protokolu již z výroby. Běžný uživatel si totiž zapnutého nebo vypnutého UpnP protokolu nemusí vůbec všimnout, a proto jeho defaultní zapnutí v domácích routerech představuje určité riziko, které by výrobci routeru mohli velmi jednoduše eliminovat, a předejít tak zbytečným problémům.

3. Přístupnost administrace routeru z internetu

Dostupnost rozhraní umožňujícího nastavení routeru z prostředí internetu představuje zásadní riziko. Tzv. vzdálený přístup (remote access) slouží k administraci nastavení routeru, pokud se uživatel nachází mimo lokální síť.

Podíl domácností, které by tento doplněk využilo, bude však velmi malé. Problém pak opět nastává v routerech, jež nabízejí vzdálenou administraci routeru již v defaultním nastavení.

V tom případě musí uživatel v nastavení routeru tuto funkcionalitu vypnout. Podobně jako defaultně zapnutý UPnP protokol nebo děravý firmware také tento nežádoucí doplněk uživatele v práci s internetem nijak neomezuje, a proto jej obvykle nic nenutí tuto vzdálenou administraci znemožnit, což může být v kombinaci s defaultním nastavením přihlašování do administrace routeru kritickým problémem pro bezpečnost sítě.

Pro minimalizaci rizika je možné omezit také přístup do administrace z lokální sítě jenom pro jedno zařízení, protože útočník může bezpečnost routeru ohrozit i pomocí skriptu nahraného v rámci stránek, které si uživatel připojený přes daný router prohlíží.

4. Podcenění prvotního nastavení

Router má po zakoupení do domácnosti první šanci na správné nastavení při prvním spuštění. Pokud však vše funguje tak, jak má (bez ohledu na bezpečnostní díry), často se stane, že jeho první šance je zároveň tou poslední.

Problém velké většiny modelů spočívá již v úvodním průvodci nastavením, který uživatele nenavede nebo nepřinutí ke změně nebo zvolení vlastních přístupových údajů k administraci routeru.

Pokud se v průvodci nastavení routeru toto nevyžaduje, z uživatelského hlediska není třeba nic měnit. Defaultní kombinace jména a hesla k administraci routerů jsou ale na internetu velmi lehce dohledatelné pro každý model routeru od jakéhokoliv výrobce. A pokud se tam náhodou nějaký model od výrobce nenachází, stačí zkusit použít přístupové údaje jiných modelů, protože ty se u stejného výrobce často opakují. Obejít by to bylo možné například tak, že by si uživatel při prvotní instalaci musel zvolit své heslo pro administraci sám.

U výrobců routerů by také bylo žádoucí, kdyby již při prvním spuštění routeru průvodce vyžadoval zvolení IP adresy jejího administrátorského rozhraní. Nahrazení nejčastěji používané adresy 192.168.1.1 nebo 192.168.0.1 může uživatele před částí útoků ochránit. Jde hlavně o CSRF (Cross Site Request Forgery), který se jako zranitelnost nachází v řadě routerů. Cílem útoku je pak nejčastěji změna nastavení DNS záznamu.

Snaha o osvětu

Trh v oblasti routerů je poměrně velký a zásadním způsobem do něj vstupují také poskytovatelé připojení, kteří jsou jejich velkými odběrateli a dodavateli zároveň. Běžného uživatele pak při výběru domácího routeru zajímají většinou jenom dvě věci: cena a funkčnost připojení. Nic z výše uvedených funkcí není pak natolik uživatelsky zajímavé, aby přimělo běžného uživatele ke studiu funkcí UPnP protokolu nebo vzdálené administrace.

Bez pochopení základního fungování internetu a jeho protokolů si tak ale nemůže uvědomit ani reálné riziko chybného nastavení svého routeru. Proto by měli výrobci routerů a poskytovatelé připojení pochopit důležitost defaultních nastavení a funkcionalit, které routery využívají.

Právě úvodní průvodce nastavení routeru může být zásadní pro jeho další správné a bezpečné fungování v domácnosti. Při správném a hlavně dostatečně srozumitelném nastavení tak může uživatel sám zhodnotit, které funkcionality bude skutečně využívat, a nevystavovat tak svou domácí síť zcela zbytečným rizikům.

Do nitra zákeřného ransomwaru. Takto vypadá útok na počítače personalistek
11.1.2017 Živě.cz Viry
Jmenuje se Rolf a chce práci
Jeho životopis je ale trošku jiný
Rolf je totiž ransomware

Pozor na Rolfa. Rolf Drescher hledá práci, a tak na kdejaké HR oddělení míří e-maily s životopisem v PDF a XLS. PDF je snad v pořádku, ale co ten Excel? A tak jej ze zvědavosti leckterá lovkyně mozků otevře, načež vyskočí žádost o spuštění makra. Zvědavost převáží bezpečnostní pud sebezáchovy a…

A nic, namísto bohatého výčtu Rolfových pracovních zkušeností se totiž počítač z ničeho nic restartuje a spustí se program CHKDSK, který záhy začne kontrolovat pevný disk.

Zákeřný Rolf hledá práci

Leckdo by v tom okamžiku zaklel a jen odfrkl, že zase spadly Windows, vše se má ale trošku jinak. Rolf Drescher neexistuje a jeho podivný životopis v XLS nebyl ničím jiným než čerstvou modifikací viru Petya/GoldenEye, který se internetem šíří poslední rok.

Klepněte pro větší obrázek
Jmenuji se Rolf a jsem virus zabalený v příloze

Chování jeho poslední verze zmapovali specialisté z Check Pointu a loni pak až na samou dřen assembleru analyzovali v MalwareLabs. Pojďme se tedy podívat, jak takový útok, nákaza a nakonec i naprostá zkáza vlastně vypadá, Petya aka GoldenEye aka nešťastný Rolf Drescher je totiž tím nejzákeřnějším malwarem pod Sluncem – vyděračským ransomwarem.

Co je to ransomware?

„Ransomware je druh malware, která zabraňuje přístupu k počítači, který je infikován. Tento program zpravidla vyžaduje zaplacení výkupného (anglicky ransom) za zpřístupnění počítače. Některé formy ransomware šifrují soubory na pevném disku (kryptovirální vydírání), jiné jen zamknou systém a výhrůžnou zprávou se snaží donutit uživatele k zaplacení.“ – Česká Wikipedie
Zuzaně z HR došel e-mail

Mějme tedy jednu specialitku na HR, která zrovna hledá čerstvé síly. Říkejme ji třeba Zuzka. Zuzaně mohl virus dorazit nejrůznějšími kanály, ve všech případech se ale jednalo o žádost o práci. Zatímco loni se tak Drescherův životopis šířil především jako falešný samorozbalovací balíček ZIP (EXE) uložený na Dropboxu, nyní to je zmíněné makro pro Excel.

Klepněte pro větší obrázek
Letos je to Excel, loni se životopis šířil jako EXE program

Zuzka právě pro svého zaměstnavatele hledá nové inženýry, a tak mávne rukou nad podivnou distribucí a makro v Excelu přes varování spustí. V tom okamžiku se ale rozbalí malware, nahraje se do paměti a začne šifrovat dostupné soubory v uživatelské složce, kterým zamění příponu. Nakonec vytvoří soubor YOUR_FILES_ARE_ENCRYPTED.TXT s instrukcemi.

Ransomware přepíše úvodní část disku

Kdyby Zuzka v tuto chvíli počítač rychle vypnula, ještě by mohla ledacos zachránit. Jenže Zuzka je zmatená, a tak dá podivnému programu ještě pár chvil. Ten toho využije, vytvoří kopii úvodní oblasti pevného disku, kde je uložený zavaděč operačního systému, a přepíše jej vlastním maličkým programem.

Přepsání zavaděče bude mít za následek okamžité zhroucení systému, možná vyskočí BSOD, ale počítač se v každém případě restartuje.

V tuto chvíli má naše HR specialistka Zuzka poslední šanci, jak zachránit alespoň operační systém. O uživatelská data už nejspíše přišla. Nesmí počítač znovu spustit! Kdyby Zuzka okamžitě zaběhla do oddělení IT, které všechno ví, poněvadž bedlivě čte Živě.cz, technici by vytáhli disk a provedli zálohu zbývajících nepoškozených dat, protože samotné diskové oddíly ještě existují.

Jelikož však ajťáci předchozího dne do pozdních nočních hodin probírali U tří opic problematiku podnikové síťové infrastruktury, stejně jako autor tohoto článku dnes nedorazili na pracoviště před desátou dopolední, a tak má Zuzka smůlu a nechala vše dál běžet.

Falešný CHKDSK ve skutečnosti šifruje

Počítač se restartoval, ovšem Windows už nenaběhly. Namísto toho se zobrazil onen CHKDSK a začal kontrolovat disky. Samozřejmě byl falešný a měl jen ukonejšit Zuzku, že je zatím stále vše v režii Microsoftu, a jen co program vše spočítá, prostě naběhne přihlašovací obrazovka.

Klepněte pro větší obrázek
Falešný CHKDSK, který ve skutečnosti šifruje většinu disku

Chyba! Falešný CHKDSK nekontroluje disk, ale právě pomocí techniky Salsa20 šifruje téměř celý disk.

A neměla by si s tímto útokem poradit funkce Secure Boot a UEFI? Na první pohled ano, ale je to složitější – viz třeba tato diskuze na blogu Naked Security.
Falešný CHKDSK zvesela šifruje a šifruje, načež je dílo definitivně dokonáno, disk zašifrovaný a na displeji se už jen zobrazí žlutá pirátská lebka (proto GoldenEye) a posléze sdělení, že se Zuzana stala obětí ransomware a co má dělat.

Klepněte pro větší obrázek
Jakmile malware zašifruje disk, spustí uvítací program s lebkou (aktuální verze a červená z loňského roku) – toto všechno uložil na úvodní část disku ještě na Windows

Zuzko, chci bitcoin!

Autor nabádá Zuzku, aby si stáhnula Tor Browser a navštívila některou ze skrytých webových stránek na torovém alternativním webu, třeba: http://petya5koahtsf7sv.onion.

Zde se posléze dozví, že má zaplatit poplatek ve výši 1,3-1,39 BTC. Dolary se samozřejmě neplatí, záškodníci všeho druhu preferují těžko identifikovatelné bitcoinové transakce. Přesná částka kampaň od kampaně trošku osciluje a zdá se, že záškodníci reagují na aktuální kurz bitcoinu k americkému dolaru, pokaždé se totiž jedná zhruba o tisíc dolarů, což asi bude jejich cíl. Tisíc dolarů za každý úspěšný útok!

Klepněte pro větší obrázek
Dobrý den, jste obětí ransomwaru. Děkujeme, že využíváte našich služeb a teď nám prosím zaplaťte asi 1 000 dolarů. Máte na to pár dnů, pak už se s vámi nebudeme bavit.

Nyní má Zuzka na výběr. Buď zaplatit odmítne a smíří se s tím, že jen co se technici vyspí z kocoviny, prostě ji přeinstalují celý operační systém, anebo skutečně zaplatí. V takovém případě později obdrží dešifrovací klíč, který zadá do formuláře po startu počítače. Malware v tom případě nejprve ze zálohy obnoví onu přepsanou úvodní část disku se zavaděčem a posléze i zbytek souborů na celém disku.

A opravdu mi dorazí klíč?

Leckdo si jistě položí otázku, jestli budou záškodníci vůbec komunikovat, ale je to v jejich zájmu. Pokud by totiž po zaplacení výkupného nepředali oběti klíč, brzy by se to rozkřiklo a peníze by jim už příště nikdo neposlal.

Na stranu druhou, internetem se mohou šířit i různé starší a již neaktivní ransomwarové kampaně, kdy viry samotné sice pochopitelně stále fungují, ale záškodníci už žádné dešifrovací klíče dávno neposílají. Díky analýze ransomwaru i policejním zátahům se však specialistům čas od času podaří šifru rozlousknout a antivirové firmy poté nabízejí nejrůznější nástroje, které se pokusí data obnovit.

Zuzka se naštvala a o vše přišla

No dobrá, toto je ale čerstvá kampaň, a tak věřme, že vše funguje. Přesto to stále může skončit naprostou katastrofou. Jakmile si Zuzka přečte, že má poslat jakýsi bitcoin a kolik že to po přepočtu činí korun, naštve se a do formuláře na žlutočerné obrazovce napíše nějaké velmi vulgární a před desátou hodinou večerní zcela nepublikovatelné slovíčko.

Poté klepne na Enter a…

A je konec, v ten okamžik totiž ransomware Petya/GoldenEye v prvním kroku provede onu obnovu zavaděče, ale samotná data na disku dešifruje špatným klíčem. Jeden nesmysl tedy převede na druhý a už není cesty zpět, protože z hlavičky disku mezitím zmizel i onen úvodní záškodnický program, který se spouštěl po startu.

Klepněte pro větší obrázek
Ransomware z rodiny Petya ve skutečnosti nešifruje každý bajt na disku. Při forenzní analýze se ukázalo, že i poté zůstávají tu a tam původní data včetně textových řetězců. Integrita diskového oddílu je ale pryč a snadná obnova bez znalosti klíče nemožná.

Co tedy na závěr poradit imaginární Zuzaně? Jistě, na podnikovém počítači to bude slušet některému z antivirovému programu, provařené viry Petya by dnes totiž měly znát opravdu všechny. Ovšem jak už tomu bývá, nejlepším antivirem je nakonec především starý dobrý selský rozum a bystrý úsudek.

Nelze totiž než doufat, že by opravdu nikoho, ani naši imaginární Zuzanu, nikdy v životě nenapadlo spouštět pochybné makro v už od pohledu pochybném tabulkovém dokumentu.

A tak přejme všem HR oddělením, ať se nenechají nachytat ani v novém roce a v nové kampani.

Vyděrači útočí na MongoDB, počet napadených serverů přesáhl 32 000

11.1.2017 Root.cz Viry
Internetem se šíří nová vlna vydírání spojená s užíváním databáze MongoDB. Jsou napadeny desítky tisíc instalací a další se objevují. Útočníků je pravděpodobně více a za obnovení databáze požadují platbu v bitcoinech.
Tisíce uživatelů databáze MongoDB se v posledních několika dnech dostalo do nepříjemné situace. Neznámý útočník napadl jejich systém, vymazal veškerá data a nahradil je jedinou tabulkou, ve které informuje o své činnosti a za obnovení dat a záplatování chyby požaduje platbu v bitcoinech.

Případů navíc velmi rychle přibývá, zatímco před týdnem byly napadeny dva tisíce instalací MongoDB, v pondělí se hovořilo o deseti tisících a během jednoho dne došlo k nárůstu na 27 000. Zdá se, že se tento druh vydírání stal doslova přes noc velmi populárním. Současný stav věci jasně ukazuje na fakt, že nejde zdaleka jen o jednoho útočníka, ale mnozí se nechali inspirovat původní myšlenkou a začali podnikat na vlastní pěst.

Různí útočníci, stejný cíl
Původní útočník používal přezdívku Harak1r1 a za obnovení databáze požadoval 0,2 bitcoiny (BTC), tedy asi 5000 Kč. Jeho kontaktní e-mail ale přestal existovat a oběti se tak nemají kam obrátit, i kdyby chtěly výkupné zaplatit. Zato začaly vznikat další přezdívky jako Kraken0, mongo3l1t3 a 0wn3d, za kterými zřejmě stojí jiní útočníci. Princip jejich činnosti je sice podobný, ale nechovají se úplně stejně a například požadují různě vysoké výkupné – od 0,1 BTC (2500 Kč) až po 1 BTC (25 000 Kč).

Na problém upozorňují oficiální stránky MongoDB a zabývají se jím také dva významní bezpečnostní experti: Victor Gevers a Niall Merrigan, kteří společně monitorují situaci a průběžně aktualizují tabulku s informacemi o útočnících a obětech. V době psaní článků bylo obětí více než 32 000.

Follow
Niall Merrigan @nmerrigan
First time #mongodb ransomed db name passes out system db name in the stats. Estimated 32K servers now.. Data point @shodanhq 20H00 pic.twitter.com/LhtoqXrn8t
8:49 PM - 10 Jan 2017
61 61 Retweets 37 37 likes
Průběh je vždy velmi podobný: útočník si pomocí služby Shodan vyhlédne výchozí instalaci MongoDB s otevřeným portem 27017 a bez přístupového hesla. Poté databázi smaže a nahradí ji vlastním obsahem. Součástí je i vyděračský text, například následujícího znění:

Your database has been pwned because it is publically accessible at port 27017 with no authentication (wtf were you thinking?). Your data has been dumped (with data types preserved), and is easily restoreable. To get your data back, email the supplied email after sending 0.15BTC to the supplied Bitcoin wallet, do this quickly as after 72 hours your data will be erased (if an email is not sent by then). We will get back to you within 2 days. All of your data will be restored to you upon payment via a email response.
Útočníci slibují, že pokud oběť zareaguje rychle a pošle požadovaný obnos (v tomto konkrétním případě asi 3700 Kč), budou data obnovena. Podle uvedených bitcoinových peněženek někteří uživatelé skutečně zaplatili, odborníci však varují, že neexistuje záruka, že vyděrači data skutečně mají a jsou ochotni je poskytnout. Pokud už se oběti rozhodnou zaplatit, měly by požadovat důkaz o kopii databáze.

Victor Gevers tvrdí, že se mu ozvalo několik podvedených uživatelů, kteří zaplatili a data zpět nedostali. Dostávám negativní reakce od lidí, kteří zaplatili skupině Kraken a nedostali žádnou odpověď. Včera si na to stěžovalo 12 obětí, píše Gevers.

Slušný byznys
Podle peněženky skupiny Kraken zaplatilo 90 obětí z 16 000. Jde sice jen o nepatrnou část obětí, ale přesto jde o velmi výnosný byznys. Za pět dní si útočníci přišli na 9,4 BTC, tedy v přepočtu více než 200 tisíc korun. Navíc to vypadá, že si někdo na útocích na MongoDB založil živnost, protože část skupin realizuje útok přes stejnou IP adresu: 46.166.173.106. Gevers se proto domnívá, že jde o nějaký druh služby automatizující tento druh útoku. V každém případě je útok plně automatizovaný.

Někteří současný stav označují za „apokalypsu MongoDB“, ale ve skutečnosti jde jen o další zneužití otevřeného přístupu. Proti podobné administrátorské chybě není odolný žádný software. Zároveň by toho ale hodně mohli udělat sami vývojáři, kteří by mohli ve výchozí instalaci vynutit volbu silného administrátorského hesla a neotevírat přístup do internetu.

Skype i Facebook musí být bezpečnější, požaduje Evropská komise

1.1.2017 Novinky/Bezpečnost Bezpečnost
Pro internetové komunikační služby jako je WhatsApp, Facebook Messenger, iMessage nebo Skype by měla v Evropské unii platit přísnější pravidla o ochraně soukromí uživatelů. Navrhla to v úterý Evropská komise.
Poskytovatelé budou muset zajistit důvěrnost svých služeb, včetně údajů o komunikaci, tedy takzvaných metadat, a žádat zákazníky o souhlas s jejich případným využitím. Návrh také obsahuje zákaz libovolné formy uživatelem nevyžádané komunikace, označované často jako spam.

Změny jsou rozšířením pravidel, která se dnes v unii týkají jen klasických telekomunikačních operátorů také na poskytovatele internetového volání a textových služeb.

Unijní exekutiva dlouhodobě uzavírá mezery ve své legislativě, které se ve svém důsledku dotýkají především velkých amerických internetových společností jako je Google, Facebook nebo Apple. Za porušení navrhovaných pravidel by firmám hrozily sankce až do výše čtyř procent jejich celkového obratu.

Cíl? Zamezit zneužívání soukromých dat
"Naše návrhy doplňují rámec pro ochranu dat v EU. Zajistí, že soukromí elektronické komunikace je chráněno moderními a efektivními pravidly a že evropské instituce budou stejně vysoké standardy vyžadovat od všech členských zemí," uvedl místopředseda komise Frans Timmermans. O věci nyní budou jednat členské země a Evropský parlament, komise by ale ráda viděla jejich přijetí před 25. květnem 2018, tedy do začátku platnosti související obecné směrnice o ochraně dat.

Eurokomisařka odpovědná za spravedlnost a ochranu spotřebitelů Věra Jourová zdůraznila, že cílem je zamezit možnosti zneužívání soukromých dat sebraných z nejrůznějších nových komunikačních nástrojů. "Myslím si, že to je nutné doplnění stávající legislativy," poznamenala.

Souhlas s uchováváním zpráv
Podle návrhů komise bude třeba souhlas uživatelů nejen s nahráváním a zaznamenáváním hovorů, ale také s uchováváním textových a chatových zpráv či e-mailů. Přesně naopak bude stanoveno, kdy a za jakých podmínek je takové zachovávání povoleno.

Zjednodušit by se měla pravidla pro takzvaná "cookies", která se využívají například pro cílenou reklamu na internetu a nyní ve většině případů potřebují souhlas uživatele. V budoucnu by místo opakovaného potvrzování na každé webové stránce měl uživatel mít možnost věc nastavit přímo ve svém prohlížeči.

Uživatelé také budou muset výslovně souhlasit s jim určenou komerční komunikací bez ohledu na její formu - tedy ať už v případě e-mailu, SMS nebo chatových zpráv. V principu se to týká i marketingových telefonátů, byť zde komise nabízí členským zemím možnost postupu, kdy by lidé museli výslovně oznámit, že takové telefonáty odmítají.

Kvůli chybě v nových procesorech od Intelu lze přes USB port bez povšimnutí ovládnout jakýkoli systém
11.1.2017 Živě.cz Zranitelnosti

Bezpečnostní rizika dnes hrozí ze všech možných stran a nevyhýbá se tomu ani samotný hardware. Tentokrát inženýři Maxim Goryachy a Mark Ermolov ze společnosti Positive Technologies objevili velmi závažnou chybu v moderních procesorech od Intelu.

Nebezpečný USB „flash disk“, který zničí váš počítač
Všechny procesory standardně umožňují nějakou možnost hardwarového přístupu pro ladění a konfiguraci, která probíhá při výrobě. Ale zatímco dříve byly nutné specializované nástroje, u procesorů s architekturou Intel Skylake a novějších už je možné k JTAG přistupovat i přes rozhraní USB 3.0 v rámci DCI (Direct Connect Interface).

Kvůli tomu lze zaútočit na daný systém, aniž by to bylo možné detekovat, protože útok probíhá na pod úrovní softwaru. Tímto způsobem by tak případný hacker mohl změnit bios a nastavení, dostat se k informacím, vkládat vlastní kód (malware) a podobně. Žádná ochrana v rámci systému tak nepomůže.

Podle vyjádření nezáleží, jaký systém na daném notebooku, počítači nebo serveru běží. Zatím se tato chyba objevila pouze u úsporných procesorů řady U. Intel už o zranitelnosti ví, ale zatím se k problému oficiálně nevyjádřil.

První své antiviry AVG uvedl na trh Avast

10.1.2017 SecurityWorld Zabezpečení
Společnost Avast po akvizici firmy AVG uvádí na trh první produkty pod značkou AVG. Ty chrání počítače před útočníky, ransomware nebo ztrátou dat, a zároveň prý pomáhají zlepšovat i jejich výkon.

Avast vydal edice 2017 svých klíčových produktů pod značkou AVG – základní bezplatný AVG AntiVirus Free, prémiovou verzi antiviru pro neomezený počet zařízení AVG Internet Security (AIS) a také AVG TuneUp určený pro údržbu a čištění.

Nové verze chrání před viry a malware (včetně ransomware), před útoky hackerů, zajišťují bezpečné procházení webu a emailů a chrání soukromá data. Inovované uživatelské rozhraní přichází s jednoduchou instalací, navigací a ovládáním programu z jednoho místa.

Produkty přicházejí na trh méně než čtyři měsíce po akvizici AVG firmou Avast. Podle tvůrců kombinují to nejlepší z obou firem, aby uživatelům dodaly uživatelsky přívětivou ochranu s čistým jednoduchým vzhledem a bezproblémovým využitím pro všechny členy rodiny.

“Zkombinovali jsme způsoby detekce hrozeb AVG a Avastu a získali tak náležitý vhled do trendů mezi kyberútočníky,” řekl Vince Steckler, generální ředitel Avastu. Antimalware AVG podle něj má ochranu, která v reálném čase dokáže zasáhnout proti tzv. zero-second malware, a to díky cloudové technologii CyberCapture vyhledávající škodlivé soubory.

Například nová funkce v AIS -- Secure DNS -- ověřuje IP adresy webových stránek prostřednictvím DNS serveru, který spravuje přímo Avast. Uživatel tak má podle výrobce jistotu, že jeho finanční transakce nebo platby za on-line nákupy nemohou být přesměrovány na falešné weby a je tak chráněn před podvody a phishingovými útoky.

Ve všech bezpečnostních produktech AVG byla také integrovaná funkce bezplatného produktu TuneUP, která zvyšuje výkon počítače nebo mobilního zařízení tím, že sleduje výkon počítače a dokáže odstranit soubory zbytečně zabírající místo.

Plná verze produktu navíc zahrnuje nový nástroj určený k aktualizaci software (tzv. Software Updater), který automaticky vyhledá a instaluje nové verze nejpoužívanějších počítačových aplikací. Aktualizovaný software eliminuje případné zranitelnosti v programech a opravuje v daném software chyby.

Ransomware KillDisk útočí na linuxové stroje, naštěstí jej lze eliminovat

10.1.2017 SecurityWorld Viry
Útočníci spojovaní se skupinou BlackEnergy pomocí ransomwaru KillDisk požadují vysoké výkupné, napadená data však nelze s jejich pomocí odšifrovat. Analytici naštěstí nalezli slabinu použitého šifrování, která umožňuje obnovu napadených dat.

Novou variantu malwaru KillDisk, která šifruje obsah napadených zařízení s operačním systémem Linux, objevili analytici Esetu.

I přes to, že tento škodlivý kód neumožňuje obnovu zašifrovaných souborů, tedy nedokáže uložit a kamkoli zaslat dešifrovací klíče, tvůrci KillDisk požadují za odblokování počítačů mimořádně vysokou sumu 250 tisíc dolarů (bezmála 6,5 milionu korun) v internetové měně Bitcoin.

„KillDisk je příkladem toho, proč by se nemělo v podobných případech platit výkupné. Při vyjednávání se zločinci nemáte žádnou záruku, že dostanete vaše data zpět. V tomto případě tvůrci ransomware KillDisk neměli vůbec v úmyslu dostát svým slibům. V jejich škodlivém kódu chybí jakýkoli nástroj pro odšifrování napadených dat,“ říká Miroslav Dvořák, technický ředitel Esetu.

KillDisk je destruktivní malware, který proslul jako součást úspěšného útoku, který v prosinci 2015 provedla skupina BlackEnergy na ukrajinskou energetickou soustavu.

Výzkumníci navíc nedávno odhalili plánované kybernetické útoky, které měly cílit na celou řadu finančních institucí na Ukrajině. Útočné kampaně prostřednictvím ransomware KillDisk pokračovaly i poté, pouze se zaměřily na nové cíle v oblasti námořní dopravy.

Sady útočných nástrojů mezitím prošly dalším vývojem a poslední varianty KillDisk slouží jako ransomware pro šifrování souborů. Nejprve cílily na zařízení s operačním systémem Windows, později se však zaměřily na Linux – a to nejen na počítače s tímto otevřeným operačním systémem, ale také na servery, čímž výrazně navyšují potenciální škody.

Zatímco u verze pro Linux dokázali výzkumníci Esetu podle svých slov přijít na řešení, jak zašifrovaná data zachránit, u napadených zařízení s operačním systémem Windows se jim to zatím nepodařilo.

Vyděračské viry útočí nebývalou silou. Obrana není snadná

10.1.2017 Novinky/Bezpečnost Viry
Bezpečnostní experti bijí na poplach, vyděračských virů v novém roce rapidně přibývá. Škodlivé kódy označované souhrnným názvem ransomware dokážou zašifrovat data na pevném disku a za jejich opětovné zpřístupnění poté požadují útočníci nemalé výkupné.
Hned v prvním týdnu nového roku se začal internetem lavinově šířit úplně nový vyděračský virus. „Ransomware byl kyberbezpečnostním tématem číslo jedna uplynulého roku a zdá se, že nejinak tomu bude i v roce 2017. Novou hrozbou je ransomware GoldenEye, nejnovější varianta ransomwaru Petya,“ varoval David Řeháček, bezpečnostní odborník ze společnosti Check Point.

Petya dělala bezpečnostních expertům vrásky na čele už v první polovině loňského roku, protože pracovala daleko rychleji než podobné vyděračské viry. Ty potřebují na zakódování všech uložených dat poměrně dost času, klidně i několik hodin. Během toho může jejich práci zachytit antivirový program a zablokovat je ještě dřív, než v počítači nadělají nějakou větší neplechu.

Petya však nešifrovala všechna data, ale pouze tzv. MBR. Jde o hlavní spouštěcí záznam, díky kterému se v podstatě spouští celý operační systém. K zašifrovanému záznamu pak počítač nemá přístup a místo Windows spustí jen hlášku o nutnosti zaplatit výkupné.

Na zašifrování MBR přitom Petya potřebovala pouze pár sekund, proto antiviry prakticky neměly šanci škodlivý kód zachytit.

Na Petyu již experti vyzráli
Zatímco na Petyu již bezpečnostní experti vyzráli, v případě hrozby zvané GoldenEye zatím dešifrovací klíč chybí. Většina bezpečnostních programů je tak proti nové hrozbě bezbranná. Účinné jsou teoreticky jen aplikace, které dovedou sledovat všechny podezřelé činnosti v počítači v reálném čase.

Jakmile jsou všechny soubory zašifrované, GoldenEye zobrazí žádost o výkupné
David Řeháček, bezpečnostní odborník
GoldenEye pracuje v počítači velmi podobně jako Petya, kromě dešifrovacího klíče se liší také způsob, jakým se šíří. „Současná kampaň používá k distribuci žádosti o zaměstnání a škodlivý kód maskuje za e-mailovou přílohu. Zaměřuje se proto na oddělení lidských zdrojů, kde je rozkliknutí příloh v e-mailech od potenciálních uchazečů nutností,“ podotkl Řeháček.

Nevyžádaná zpráva obsahuje krátkou zprávu od údajného uchazeče o zaměstnání a navíc ještě dvě přílohy. „První příloha je PDF obsahující průvodní dopis a tento soubor nemá žádný škodlivý obsah. Primárním účelem je uklidnit oběť a vyvolat falešný pocit bezpečí. Druhá příloha je excelový soubor s nebezpečnými makry. Obsahuje obraz květiny se slovem "Loading ..." a doprovodný text, který žádá oběť k povolení obsahu, což umožní spuštění makra,“ vysvětlil technické pozadí útoku bezpečnostní expert.

Výkupné neplatit
Problém nastává ve chvíli, kdy uživatel klikne na volbu "povolit obsah". „Spustí se kód uvnitř makra a začne proces zašifrování souborů a oběť k nim ztratí přístup. Jakmile jsou všechny soubory zašifrované, GoldenEye zobrazí žádost o výkupné,“ uvedl Řeháček.

Výkupné by ale lidé rozhodně platit neměli. Protože ani po odeslání peněz útočníkům se zpravidla ke svým datům nedostanou. Kyberzločinci jednoduše shrábnou peníze a už se neozvou.

Místo placení výkupného je nutné virus z počítače odinstalovat. Problém ale představují zašifrovaná data, ke kterým se většinou uživatelé už nedostanou.

Odposlouchávání a prolamování Wi-Fi sítí zabezpečených pomocí WPA2
4.1.2017 Root.cz Hacking
V tomto článku si podrobně popíšeme, jak funguje zabezpečení WPA2-PSK a následně se podíváme na možnosti odposlouchávání a prolamování hesla.
WPA2 (Wi-Fi Protected Access 2) je dnes alespoň podle statistik projektu Wifileaks nejrozšířenějším způsobem zabezpečení Wi-Fi sítí v České republice. Existuje ve dvou variantách, WPA2-Personal (neboli WPA2-PSK), kde všichni klienti využívají stejné sdílené heslo a WPA2-Enterprise, který je po bezpečnostní stránce lepší, avšak díky nutnosti RADIUS serveru a složitější implementaci je vhodný, jak již z názvu plyne, spíše do podnikové sféry. My se podíváme na první variantu, která je typickým zástupcem zabezpečení většiny domácích sítí a v následujících odstavcích budu pod pojmem WPA2 myslet variantu WPA2-Personal.

Pokud zde očekáváte nějakou revoluční metodu, díky které budete schopni prolomit silné heslo u sítě vašeho souseda, tak vás musím zklamat – WPA2 je při správné konfiguraci stále bezpečné. Ani zde nečekejte sérii pěti příkazů, které bezmyšlenkovitě vložíte do terminálu svého Kali Linuxu a bude z vás „obávaný hacker“. Spíše se pokusím popsat, jak specifikace IEEE 802.11 a WPA2 funguje z bezpečnostního hlediska, rozebereme si 4-way handshake paket po paketu a různé další zajímavé aspekty. Těchto znalostí poté využijeme pro dešifrování WPA2 provozu ostatních klientů (za předpokladu, že známe sdílené heslo) a také se podíváme na slovníkový útok proti zachycenému handshake s cílem získat heslo.

Simulace a nalezení sítě
Pro účely tohoto článku jsem si vytvořil síť s názvem (SSID) root_wpa2, která bude zabezpečená pomocí WPA2-PSK s heslem PrisneTajneHeslo. Protože jsem u této sítě neskryl SSID, AP (Access Point) bude periodicky (zde konkrétně 10× za vteřinu) vysílat tzv. Beacon frames, které patří k jedněm z řídících rámců standardu IEEE 802.11:

Beacon frames
Obsahují SSID sítě (maximálně 32 znaků), timestamp, interval vysílání beacon rámců, RSN (Robust Secure Network) – informace ohledně zabezpečení, podporované rychlosti a další:

AP je odesílá z toho důvodu, aby případným klientům dal vědět o existenci své sítě a možnosti připojení. Díky tomu vidíte na svém zařízení seznam dostupných Wi-Fi sítí. Tomuto mechanismu, kdy klienti poslouchají výzvy od jednotlivých AP na všech kanálech, se říká pasivní skenování.

Většina zařízení však zároveň kvůli efektivitě využívá i aktivního skenování, což znamená, že na každém kanálu vysílají rámce Probe Request na broadcastovou adresu ff:ff:ff:ff:ff:ff. Těmito rámci se klienti ptají přítomných AP, které sítě jsou přítomné. Probe Request nemusí být všeobecný, ale může se dotazovat na jednu konkrétní síť. Vaše zařízení se obvykle tímto způsobem ptá na všechny sítě, které máte uložené. Toho lze bohužel využít pro sledování a fingerprinting, ale to je nad rámec tohoto článku.

AP na Probe Request odpovídá rámcem Probe Response, který je téměř stejný jako Beacon (obsahuje detaily o nabízené síti), takže ho nemá cenu nijak zdlouhavě popisovat:

Autentizace a asociace
Jakmile si vaše zařízení vybere cílovou síť (ať již pomocí automaticky vysílaných Beacon rámců nebo v případě např. skrytého SSID kombinací Probe Request/Response), dojde k autentizaci a asociaci spojení. Celý proces vypadá takto:

Autentizace a asociace
Prvním rámcem je Authentication. Komunikaci začíná klient, který odesílá tento rámec s příznakem Request. AP následně odpoví stejným rámcem, avšak s příznakem Response, a to buď kladně, nebo zamítavě. Pro nás budou stěžejní hlavně tyto 3 položky:

Authentication Algorithm – bude mít vždy hodnotu 0 (Open System), druhou možností je 1 (Shared Key), která je již však zastaralá a dnes se nepoužívá
Authentication SEQ – 1 pro Request, 2 pro Response
Status Code – návratový kód (0 = v pořádku)
Ukázky:

Authentication Request

Authentication Response
Jakmile se dokončí autentizace, nastane čas na asociaci. Ta začíná tím, že klient odešle rámec Association Request. Cílem tohoto rámce je, aby si AP nealokoval pro naše spojení prostředky a sdělil nám AID (Association Identifier). Obsahem je název SSID, podporovaná rychlost, možnosti šifrování (RSN) a mnoho dalších podrobností:

Association Request
AP po přijetí rámce Association Request ověří, zda všechny pole v žádosti vyhovují tomu, co sám podporuje. Pokud dojde ke kompatibilitě, odešle AP rámec Association Response s návratovým kódem 0. Pozor, na rozdíl od autentizace, která využívá stejný rámec, pouze s jinou hodnotou SEQ, se u asociace využívají 2 různé řídící rámce. Obsahem je hlavně již zmíněné AID a další specifikace podporované AP:

Association Response
Všechny tyto výše uvedené řídící rámce jsou pořád pouze standardem IEEE 802.11, nezávisle na zvoleném typu zabezpečení. Některé další si představíme v průběhu článku, jakmile na ně dojde řada. Pokud chcete, tak si je můžete odchytávat. Stačí si přepnout svojí Wi-Fi kartu do monitorovacího módu (tedy aby zachytávala veškerý provoz, nejen ten, který je určen pro ni). Využít můžete například oblíbeného programu airmon-ng. Syntaxe je airmon-ng <start|stop> <interface> [channel] , takže například:

airmon-ng start wlan0
TKIP vs. CCMP
Trochu odbočím – někde se můžete setkat s termíny WPA2-PSK-TKIP a WPA2-PSK-CCMP. Jedná se o způsob šifrování a zajištění autentizace. TKIP (Temporal Key Integrity Protocol), který se používal v první verzi WPA (i když z důvodů kompatibility existuje někde i u WPA2) využívá k šifrování proudovou šifru RC4 a k autentizaci zpráv keyed-hash algoritmus Michael. Modernější a mnohem častěji využívaný protokol CCMP (Counter Mode CBC-MAC Protocol) šifruje data pomocí šifry AES a k ověření autentizace využívá CBC-MAC. CCMP je z hlediska bezpečnosti mnohem lepší, proto se v následujícím textu omezím pouze na tuto variantu.

Generování PSK
Po úspěšné autentizaci a asociaci, která je stejná pro všechny typy zabezpečení, se dostáváme k detailům samotného WPA2. Jako první krok si obě strany spočítají sdílený tajný klíč PSK (Pre-shared key). PSK závisí pouze na názvu sítě – SSID (zde konkrétně root_wpa2) a heslu (v našem případě PrisneTajneHeslo). PSK se počítá s pomocí funkce pro derivaci klíče PBKDF2 s využitím HMACu založeném na SHA1, konkrétně:

PSK = PBKDF2 (HMAC-SHA1, heslo, SSID, 4096, 256)
4096 je počet iterací (kvůli zpomalení) a 256 je velikost výstupu v bitech. Tyto hodnoty jsou pevně dané. Konkrétní hodnotu PSK si můžete spočítat například na stránkách Wiresharku:

PSK generator
Jak je vidět, PSK si může spočítat klient i AP samostatně, ještě před jakýmkoliv handshakem a tento klíč je vždy stejný (dokud nezměníme SSID nebo heslo). Někdy se můžete setkat ještě s termínem PMK (Pairwise Master Key). Pro WPA2-Personal je PSK to samé jako PMK, u WPA2-Enterprise se PMK počítá odlišně. V našem případě tedy platí, že PSK == PMK a nadále budu používat pouze termín PSK. Hodnota klíče PSK je následně použita pro výpočet klíče PTK (Pairwise Transient Key), který se již používá pro samotné šifrování dat (unicast). Během handshaku si strany vymění ještě GTK (Group Temporal Key), který vznikne z GMK (Group Master Key) a je určen pro šifrování multicast/broadcast provozu. To není pro účely toho článku až tak zásadní, GTK tedy nebude probrán tak podrobně.

4-way handshake
4-way handshake je mechanismus výměny 4 zpráv, během kterých se klient a AP vzájemně dohodnou na šifrovacích klíčích PTK/GTK a ověří si, že jsou na obou stranách stejné.

4-way handshake
Na počátku AP vygeneruje 32 bajtů náhodných dat označovaných jako ANonce (A jako Authenticator). To samé udělá klient, který vygeneruje SNonce (S jako Supplicant).

První zprávu, jejímž obsahem je ANonce, odesílá AP klientovi. Klient má nyní všech 5 komponent pro výpočet šifrovacího klíče PTK:

PSK si spočítal na základě SSID a hesla
SNonce si sám vygeneroval
ANonce obdržel v první zprávě 4-way handshaku od AP
svoji MAC adresu zná
MAC adresu AP vidí v komunikaci
Výpočet PTK probíhá tak, že se všechny tyto atributy vloží do pseudonáhodné funkce PRF-384, využívající HMAC-SHA1. Výsledkem je 48 bajtů dlouhý šifrovací klíč PTK. Obsah této první zprávy není nijak šifrován ani podepsán.

Ve druhé zprávě odešle klient svojí náhodnou hodnotu SNonce a MIC (Message Integrity Code), který je spočítán z této zprávy. MIC slouží k autentizaci zprávy a ověření datové integrity. K jeho výpočtu je využit CBC-MAC a jako klíč se použije PTK. AP má nyní také všech 5 komponent pro výpočet PTK:

PSK si spočítal na základě SSID a hesla
ANonce si sám vygeneroval
SNonce obdržel v druhé zprávě 4-way handshaku od klienta
svojí MAC adresu zná
MAC adresu klienta vidí v komunikaci
Navíc z této zprávy sám spočítá MIC a porovná ho s přijatým MIC. Pokud se rovnají, tak PTK má na obou stranách stejnou hodnotu a tudíž se bude šifrovat stejným klíčem.

Ve třetí zprávě odešle AP klíč GTK, který je vytvořen z náhodných hodnot GMK a GNonce a je zašifrovaný pomocí PTK. GTK je, jak jsem již zmiňoval, použit pro šifrování multicast/broadcast provozu. K celé této zprávě je opět spočítán MIC, aby si i klient mohl ověřit shodnost PTK.

Nyní si klient dešifruje a nainstaluje GTK a odešle AP poslední zprávu (opět podepsanou MIC), která slouží pouze jako potvrzení. Proces celého 4-way handshaku zjednodušeně znázorňuje následující schéma:

4-way handshake
Nyní mají obě strany spočítán stejný klíč PTK, který slouží k šifrování unicast provozu a je s každým připojením jiný (kvůli jiným hodnotám SNonce a ANonce). Tento klíč a ani samotný PSK nikdy není přenesen po síti. AP si musí držet několik klíčů PTK, protože každý klient má odlišný. Z tohoto důvodu nemohou klienti jednoduše rozšifrovat a sledovat provoz ostatních.

Abychom těch zkratek neměli málo, PTK (48 bajtů) doopravdy není jeden klíč (jak jsem pro jednoduchost popisoval výše), ale dělí se na 3 podklíče:

prvních 16 bajtů – KCK (Key Confirmation Key) – slouží pro výpočet MIC při handshaku
druhých 16 bajtů – KEK (Key Encryption Key) – použit pro šifrování dalších podrobností při handshaku (např. GTK)
posledních 16 bajtů – TEK (Temporal Key) – použit pro šifrování/dešifrování samotných dat (unicast) pomocí šifry AES-128
Dešifrování provozu ostatních klientů
Dost bylo teorie, přesuňme se k praxi. Našim cílem bude odposlouchávat komunikaci ostatních klientů, připojených na stejnou síť za podmínky, že známe sdílené heslo (v našem případě PrisneTajneHeslo). To za normálních okolností není možné, protože jak jsme si během popisu 4-way handshaku vysvětlili, každý klient používá pro šifrování unikátní klíč PTK (resp. jeho podčást TEK). Podívejme se na následující diagram, který nám vykresluje, co všechno je potřeba, abychom mohli spočítat TEK ostatních klientů:

Zelená políčka známe:

SSID buď víme anebo odposlechneme z Beacon/Probe Response rámců
heslo musíme znát, to je nutná podmínka
PSK si spočítáme pomocí funkce PBKDF2
MAC adresy klienta a AP vidíme v zachycené komunikaci
Abychom mohli spočítat PTK a odvodit si z něj TEK, potřebujeme znát ještě náhodné hodnoty SNonce a ANonce. Jak jsme si popsali výše, tyto hodnoty jsou přeneseny během prvních 2 zpráv handshaku a nejsou nijak šifrované. Stačilo by nám tedy tyto zprávy zachytit a měli bychom všechny vstupy pro funkci PRF-384 a výpočet šifracích klíčů ostatních klientů.

K handshaku dochází ale pouze při navazování spojení a takové čekání, než se oběť znovu připojí, může být nekonečné. Naštěstí můžeme využít toho, že řídící rámce 802.11 nejsou nijak šifrované ani podepsané a lze je snadno podvrhnout. Na tento účel nám poslouží rámec Deauthentication, který se využívá pro ukončení spojení. Odešleme ho s podvrhnutou zdrojovou MAC adresou, kdy se budeme vydávat za oběť, čímž způsobíme její odpojení od sítě. Spojení sice bude ihned automaticky navázáno, takže si toho pravděpodobně nikdo nevšimne, my však zachytíme handshake a tím pádem i ANonce a SNonce.

Praktická ukázka
Vše níže uvedené budu provádět z Kali Linuxu, obecně vám však postačí jakákoliv distribuce s uvedenými programy. Nejprve si deaktivujeme primární rozhraní wlan0 a přepneme Wi-Fi kartu do monitorovacího módu:

ifconfig wlan0 down
airmon-ng start wlan0
Pomocí jakéhokoliv programu budeme zachytávat veškerý provoz na monitorovacím rozhraní (pravděpodobně mon0). Já využiji známý nástroj Wireshark. Pro zjednodušení si lze nastavit filtr na eapol.type == 3, což nám bude zobrazovat pouze rámce patřící k handshaku. Pokud jsme zatím handshake nezachytili, můžeme poslat podvrhnutý deautentizační rámec pomocí programu aireplay-ng:

aireplay-ng -0 1 -a 38:2c:4a:4e:06:1d -c 0c:e7:25:5a:1b:14 mon0
kde:

-0 znamená deautentizaci
1 znamená, že se bude deautentizovat pouze 1× (můžete i vícekrát, případně 0 pro nekonečnou deautentizaci)
-a 38:2c:4a:4e:06:1d je MAC adresa AP
-c 0c:e7:25:5a:1b:14 je MAC adresa klienta, kterého chceme odpojit
mon0 je název rozhraní
Poté byste měli vidět deautentizační rámce spolu s ihned automaticky navázaným spojením a tedy zachyceným handshakem:

Deautentizace a následný handshake
Pokud bude handshake neúplný (například 3 zprávy ze 4), je nutné celý proces zopakovat. Jestli nevíte, kde zjistit MAC adresy AP a případné oběti, můžete na to použít program airodump-ng:

airodump-ng --essid root_wpa2 -a mon0
kde:

–essid root_wpa2 je název SSID sítě
-a znamená, že se nám budou zobrazovat připojení klienti
Jak je vidět na screenshotu níže, k naší Wi-Fi síti root_wpa2 (MAC 38:2C:4A:4E:06:1D) jsou připojení dva klienti (MAC 0C:E7:25:5A:1B:14 a 6C:27:79:77:8A:60). Tyto informace tedy můžeme využít pro aireplay-ng.

airodump-ng
Jakmile jsme oběť deautentizovali a zachytili handshake, získali jsme díky tomu i náhodná data SNonce a ANonce. Nyní nám nic nebrání provoz dešifrovat symetrickou šifrou AES s právě vypočteným klíčem TEK. Využijeme k tomu opět Wireshark – konkrétně Edit → Preferences → Protocols → IEEE 802.11. Zde zaškrtneme Enable decryption a klikneme na Edit. Nyní vybereme typ wpa-pwd a klíč vepíšeme ve formátu heslo:SSID .

Wireshark
Od této doby by měl Wireshark dešifrovat veškerý provoz (i real-time) všech klientů, ke kterým zachytil handshake. Pokud nebudou data šifrovaná nějakou další vrstvou (HTTPS, VPN…), tak útočník uvidí vše – webové stránky, které navštěvujete, vaše uživatelská jména i hesla, obsahy odeslaných formulářů, obsahy zpráv atd.

Dešifrovaná komunikace
Prolamování hesla
Druhou a poslední praktickou ukázkou v tomto článku bude prolamování hesla. Tedy situace, kdy k Wi-Fi síti zabezpečené pomocí WPA2-PSK (CCMP) heslo neznáme. Samozřejmě jednou z možností je zkoušet jedno heslo po druhém (ideálně z nějakého slovníku) přímo pokusem o připojení – to je však extrémně pomalé a lehce detekovatelné.

My místo toho využijeme výše uvedených znalostí k provedení tzv. offline útoku. To znamená, že se pokusíme heslo prolomit lokálně, aniž bychom se neustále dotazovali AP. Pokud neznáme heslo, ztroskotáme hned na začátku celého procesu, protože nebudeme schopni pomocí funkce PBKDF2 spočítat PSK. Z toho vyplývá, že naše snažení bude spočívat ve zkoušení mnoha různých hesel jako vstupu do funkce PBKDF2. Jak ale ověřit, že je heslo správné?

Pokud si ještě pamatujete 4-way handshake, tak ve druhé zprávě je i autentizační kód MIC, který se spočítal pomocí CBC-MAC a klíče KCK (prvních 16 bajtů PTK). Náš postup bude tedy následující:

Opět si zachytíme 4-way handshake kvůli získání ANonce a SNonce, i když tentokrát by nám stačily jen první 2 zprávy.
Vezmeme první heslo ze slovníku a spočítáme PSK pomocí PBKDF2.
Spočítáme si PTK pomocí funkce PRF-384 (vše potřebné již známe).
Z právě vypočteného klíče si oddělíme prvních 16 bajtů – klíč KCK.
Spočítáme MIC druhé zprávy s využitím CBC-MAC a klíče KCK.
Pokud se zachycený MIC rovná našemu právě vypočtenému, heslo z bodu 2 je správné. Když je MIC různé, vracíme se k bodu 2 a zkoušíme druhé heslo ze slovníku atd.
Jak je na výše uvedeném algoritmu vidět, vše lze počítat i ověřovat lokálně. Nejpomalejší částí celého procesu je funkce PBKDF2, která má pro zpomalení nastaveno 4096 iterací. Jelikož je založená na HMACu s využitím SHA1, musíme spočítat 8192 SHA1 hashů pro vyzkoušení jediného hesla. Spolu s minimální délkou hesla 8 znaků (maximum je 63) je možné prolomit heslo víceméně jen s využitím slovníkového útoku. Bruteforcing, tedy zkoušení všech možných kombinací, je díky velké časové náročnosti téměř nemožný.

Praktická ukázka
Opět využiji Kali Linux a moji testovací síť root_wpa2, tentokrát s neznámým heslem. Protože se zde bude plno věcí opakovat, budu to brát stručněji. Nejprve si opět přepneme kartu do monitorovacího módu:

ifconfig wlan0 down
airmon-ng start wlan0
Dále si programem airodump-ng zjistíme kanál, na kterém AP vysílá:

airodump-ng mon0

Na tomto kanálu začneme zachytávat veškerý provoz a ukládat ho do souboru:

airodump-ng –-channel 6 –-essid root_wpa2 mon0 –-write /tmp/root_wpa2
Mezitím z druhé konzole vyhodíme libovolného klienta, abychom zachytili handshake:

aireplay-ng -0 1 -a 38:2c:4a:4e:06:1d -c 0c:e7:25:5a:1b:14 mon0
Jakmile zachytíme 4-way handshake, objeví se nám to ve výstupu programu airodump-ng a můžeme ho ukončit:

Nyní máme v souboru/tmp/root_wpa2-01.cap uložen veškerý provoz včetně handshaku a můžeme se pokusit prolomit heslo, k čemuž budeme potřebovat nějaký slovník. Pro testovací účely jsem si vytvořil vlastní:

root@i5sb:~# cat /tmp/list.txt
SpatneHeslo
NespravneHeslo
Kdepak
PrisneTajneHeslo
TohleToNeni
AniTohle
Použiji program aircrack-ng, kterému předám wordlist a zachycený provoz:

aircrack-ng –w /tmp/list.txt /tmp/root_wpa2-01.cap

Jak je vidět, aircrack-ng prolomil heslo vcelku rychle. Reálná rychlost na mém starším notebooku (Intel Core i5–2410M) je přibližně 1800 hesel za vteřinu. Zrychlení na GPU/FPGA/ASIC bude markantní, avšak při dostatečně dlouhém a neslovníkovém heslu jste pořád v bezpečí.

Jak se bránit
Co se týká odposlouchávání provozu, tam je nejdůležitější uvědomění si, že kdokoliv zná heslo, může sledovat veškerý váš provoz. Pro domácí využití lze doporučit pořízení routeru, který umožňuje mít více SSID (a ke každému jiné heslo). Jedno SSID pro vás, další pro návštěvy, nájemníky apod. Pokud jste někde mimo domov, doporučuji využít šifrovaného VPN spojení – osobně se na veřejných hotspotech bez VPN téměř nepřipojuji. V neposlední řadě je zde možností využít WPA2-Enterprise módu, což rozhodně kvůli složitější implementaci nelze doporučit všem.

Pokud chcete zabránit prolomení hesla, rada je velmi jednoduchá – zvolte dostatečně dlouhé a neslovníkové heslo. Zajímavostí, kterou moc lidí netuší, je, že bezpečnost vaší sítě závisí i na zvoleném SSID. Proč? Pokud budete mít např. defaultní SSID, které mají další statisíce lidí po celém světě, je zde mnohem větší šance, že si útočníci předpočítali dostatečně velké rainbow tabulky pro vaše SSID (do funkce PBKDF2 vstupuje jak heslo, tak SSID). To jim šanci na prolomení hesla mnohonásobně zvýší. Například na placené službě GPUHASH.me se můžete pokusit prolomit heslo k zachycenému handshaku.

Bezpečnost Wi-Fi je velmi široké téma a rozhodně by nebylo na škodu probrat i nějaké další věci, namátkou – více řídících rámců 802.11, útoky na WEP/WPA, generování a používání klíče GTK pro multicast/broadcast, prolomení WPA2 přes WPS, útok Hole196 apod. Už tak je však tento článek příliš dlouhý, necháme si to tedy na někdy příště.

Chování uživatelů pod drobnohledem

2.1.2017 SecurityWorld Rizika
Analýza chování uživatelů je klíčem k odhalení zneužití práv, která mají interní pracovníci.

Téměř všechny úniky dat zahrnují použití legitimních přihlašovacích údajů. Ochrana před těmito „interními hrozbami“ vyžaduje schopnost odhalit situace, kdy kyberzločinci zneužívají ukradené přihlašovací údaje.

Tradiční síťové bezpečnostní nástroje však bohužel nejsou při identifikaci a zmírňování těchto hrozeb dostatečně účinné. Pro tento specifický účel byl proto navržen nový druh řešení, které dokáže analyzovat chování uživatelů a ukazuje se jako účinný.

Pojem „interní hrozba“ obvykle vyvolává představu nepoctivých zaměstnanců nebo smluvních či obchodních partnerů se zločinnými úmysly, kteří mají oprávnění pro přístup k firemním datům.

Tento termín se ale používá také v mnohem širším významu pro jakoukoli hrozbu nebo útok zneužívající přihlašovací údaje či výsady oprávněných zaměstnanců nebo dalších osob s interním přístupem.

Je pravdou, že mezi únikem dat a zaměstnanci či dalšími osobami s interním přístupem lze často nalézt spojitost. Kromě rozhněvaných jedinců a osob se zlými úmysly, kteří záměrně kradou informace, bývají často příčinami krádeže citlivých informací nesprávná konfigurace zabezpečení, nedbalost při dodržování firemních zásad, podlehnutí phishingovým útokům nebo útokům sociálního inženýrství a další neúmyslné jednání.

Největší a nejškodlivější úniky dat však bývají způsobené někým z vnějších hackerů, organizovaného zločinu, nepřátel vlády, konkurentů a hacktivistů. Přestože sami nejsou z řad osob s legitimním interním přístupem, závisejí tito zločinci téměř vždy na získání přihlašovacích údajů patřících někomu takovému, zejména někomu z okruhu osob s oprávněním správce.

Prvořadým cílem kyberzločince tedy je získat přihlašovací údaje pro jednotlivce s přístupem k citlivým datům. Jakmile se to podaří, začne podvodník předstírat privilegovanou interní osobu, vnikne do systému a zkopíruje informace podle svého záměru.

Ať už jde o osoby zvenčí nebo zevnitř, je neoprávněné nebo nedbalé používání přihlašovacích údajů a privilegií interní osoby společným jmenovatelem téměř všech kyberzločinů. Veškerá související rizika lze považovat za interní hrozbu.

Vzhledem k této širší definici interních hrozeb existuje mnoho aktivit spojených s použitím přihlašovacích údajů a aktivit uživatelů, které je nutné za účelem ochrany před kyberzločinem monitorovat.

Přinášíme zde seznam některých nejčastějších projevů, které naznačují použití ukradených přihlašovacích údajů a další nepovolené aktivity a interní jevy ukazující na hrozby. Řešení pro analýzu chování uživatelů by mělo všechny uvedené případy odhalit.

Podezřelá posloupnost geolokace. Mnoho uživatelů pracuje z více vzdálených míst, jako jsou domovy, hotely, kiosky na letištích, satelitní pobočky a místa u zákazníků.

Pokud jde o účty použité k přihlášení ze vzdálených míst, potřebují podniky zjistit, zda jde o legitimní uživatele, nebo o vzdálené útočníky, kterým se podařilo získat platné přihlašovací údaje.

Sledování geolokace každého pokusu o přístup a ověřování, zda je fyzicky možné v daný čas připojení z tak vzdáleného místa, stejně jako ověření, co je normální chování legitimního vlastníka účtu, je kritické při zjišťování, jestli vzdálení hackeři ukradli a zneužili přihlašovací údaje uživatele.

Kompromitovaný servisní účet. Servisní účty se používají operačními systémy a různými aplikacemi k vykonávání automatizovaných úloh na pozadí. Tyto účty se obvykle nemonitorují, mají vysoká přístupová práva a jsou neustále vystavené riziku útoku a kompromitace.

Jejich aktivita by se měla sledovat, aby se zajistilo, že nepřistupují k systémům, ke kterým by neměly, a nezasílají data neoprávněným příjemcům.

Pokusy o krádež dat. Z úniku dat panuje v mnoha organizacích velká obava. Obtížnost detekce úniků dat roste s příchodem dalších technologií a metod pro přenosy dat.

Monitorování neobvyklého chování uživatelů, jako je přístup k datům, se kterými tento uživatel obvykle nepracuje, nebo přenosy dat do neobvyklých destinacích mohou odhalovat pokusy o krádež dat.

Sdílení přihlašovacích údajů. Studie ukazují, že více než 20 % zaměstnanců sdílí svá hesla s někým dalším, přestože je to přísně zakázáno zásadami.

Monitoring současného, vzdáleného a neobvyklého použití uživatelských účtů může pomoci odhalit a zmírnit sdílení přihlašovacích údajů.

Slídící uživatelé. Při hledání citlivých a cenných dat prohledávají ničemní interní uživatelé a externí zločinci korporátní systémy v naději, že najdou a získají informace, které budou moci prodat nebo použít pro vlastní zisk.

Detekce a zkoumání takového neobvyklého chování uživatelů může odvrátit hrozící kyberzločin.

Odcházející zaměstnanec. Pracovníci, kteří se připravují opustit organizaci, mohou představovat bezpečnostní hrozbu. Přestože mohou představovat vysoké riziko krádeže dat a dokonce sabotáže, dokáže jejich akce vysledovat a detekovat podezřelé chování jen velmi málo nástrojů.

Bezpečnostní pracovníci musejí implementovat řešení navržená tak, aby specificky a automaticky sledovaly účty odcházejících zaměstnanců a upozornily na podezřelé chování.

Zneužití privilegovaného účtu. Protože jsou privilegované účty vytouženou trofejí kyberzločinců, je monitorování jejich použití z hlediska neobvyklého chování nesmírně důležité.

Automatizovaný, vzdálený a simultánní přístup může indikovat interní hrozbu stejně jako neobvyklé časy přihlášení, přístup k nezvyklým systémům či nenormální přenosy dat.

Neoprávněný přístup třetí strany (obchodní partneři a další dodavatelé). Smluvní strany, obchodní partneři a další poskytovatelé služeb mají často přístup k citlivým podnikovým datům.

Přesto však obvykle nepodléhají stejným bezpečnostním opatřením a zásadám jako hostitelský podnik. V důsledku toho může dojít k nakažení aplikací a zařízení malwarem navrženým k ukradení přihlašovacích údajů.

Je povinností zejména hostitelského podniku monitorovat chování všech uživatelů třetích stran.

Chyby v konfiguraci sítě. Při monitorování normálního chování uživatelů může anomální jednání často odhalit nesprávnou konfiguraci zabezpečení. Například když zaměstnanec přistupuje k systému, který je mimo obvyklý vzorec jeho pracovní náplně, ukazuje to často na díru v bezpečnostních zásadách a nastaveních.

Včasná oprava chyb konfigurace může předejít bezprostředním i budoucím útokům.

Detekce interních hrozeb je v současném prostředí nezbytná. Je k ní zapotřebí pečlivého využití celé řady metod prevence počítačové kriminality. Ať už jde o zaměstnance se zlými úmysly, nebo o vnější útočníky využívající ukradené přihlašovací údaje, musejí být podniky v pohotovosti, ostražitě monitorovat dění a zaměřovat se interně na chování uživatelů a podezřelé aktivity. Jen tak mají šanci zmařit potenciální interní útoky.

Co jsou důležité bezpečnostní metriky?

2.1.2017 SecurityWorld Zabezpečení
Vedení firem v současné době požaduje metriky, aby získalo jasnější pohled na bezpečnost. Tady jsou čtyři metriky, které nabízejí široce využitelný pohled, a několik dalších s menší hodnotou.

Jak problematika zabezpečení získává ve vedení společností a řadách vyšších manažerů stále větší viditelnost, žádá se, aby bezpečnostní profesionálové poskytovali metriky vhodné pro sledování aktuálního stavu obrany společnosti. Ale jaká čísla jsou ta skutečně důležitá?

Nejvyšší management obvykle neví, na co by se měl ptát, a může se příliš soustředit na prevenci a nedostatečně na zmírnění. Metriky, jako jsou průměrné náklady na reakci na incident nebo počet útoků zastavených firewallem, se zdají být smysluplné pro osobu bez znalosti zabezpečení, ale ve skutečnosti nijak nepomohu zlepšit program zabezpečení organizace.

Experti doporučují zaměřit se namísto toho na metriky, které ovlivňují chování nebo mění strategii.

„Co byste udělali teď jinak, když máte tuto metriku?“ ptá se Caroline Wongová, šéfka bezpečnostních iniciativ společnosti Cigital, která poskytuje poradenství a software pro zabezpečení.

Metriky jako průměrné náklady na zmírnění zranitelností či střední doba opravy jsou užitečné, pokud má organizace zralé a vysoce optimalizované procesy, ale to není případ 95 procent současných organizací, upozorňuje Wongová.

Metriky měřící účast, efektivitu a okno expozice však nabízejí informace, které mohou organizace použít k vytvoření plánů a zlepšení programů.

Bezpečnostní metrika č. 1: Úrovně účasti v programu

Metriky účasti sledují pokrytí v rámci organizace. Mohou zjišťovat, kolik podnikových oddělení pravidelně vykonává penetrační testy nebo kolik koncových bodů je aktualizovaných automatizovanými systémy instalace oprav.

Tyto základní informace pomáhají podle Wongové organizacím vyhodnotit úroveň zavedení bezpečnostní kontroly a zjistit potenciální mezery.

Přestože by například bylo hezké mít možnost říci, že má organizace sto procent svých systémů opravených do jednoho měsíce od dostupnosti nových aktualizací, není to realistický cíl, protože instalace oprav může v některých systémech vyvolat určité provozní riziko.

Pohled na účast pomáhá vyloučit systémy, které nepodléhají běžným pravidlům pro opravy, a zaměřit pozornost na takové, kde by se měla oprava nainstalovat.

Bezpečnostní metrika č. 2: Doba trvání útoku

Časová prodleva nebo jak dlouho je útočník v síti, je také informace poskytující cenný vhled. Informace o době trvání útoku pomáhá bezpečnostním profesionálům připravit se na hrozby, zvládnout je, kontrolovat je a minimalizovat škody.

Průzkumy ukázaly, že útočníci stráví v průměru uvnitř sítě firmy několik měsíců, než dojde k jejich odhalení. Tráví čas seznamováním se s infrastrukturou, dělají průzkumné činnosti, pohybují se v síti a kradou informace.

Cílem by mělo být maximální zkrácení doby prodlevy, aby měli útočníci menší příležitost k bočnímu pohybu a ukradení kritických dat, upozorňuje Douglas. Znalost časové prodlevy pomáhá bezpečnostním týmům zjistit, jak řešit zmírnění zranitelností a reakce na incidenty.

„Čím déle jsou útočníci ve vaší síti, tím více informací mohou získat, a tím více škody mohou způsobit,“ připomíná Douglas.

Bezpečnostní metrika č. 3: Hustota vad kódu

Hustota vad nebo počet problémů nalezených v každém tisíci (či milionu, v závislosti na kódové základně) řádků kódu pomáhají organizacím hodnotit bezpečnostní praxi vlastních vývojových týmů.

Klíčem je však kontext. Pokud je aplikace v rané fázi vývoje, potom vysoká hustota vad znamená, že se daří nalézat všechny problémy. To je dobré. Na druhou stranu v případě, že je aplikace již v režimu údržby, měla by být hustota vad nižší a měla by mít klesající tendenci, aby to ukazovalo na růst bezpečnosti aplikace v průběhu času. Pokud ne, existuje zde problém.

Bezpečnostní metrika č. 4:Okna expozice

Organizace může zjistit chyby v aplikaci, ale dokud nedojde k jejich odstranění, zůstává program zranitelný. Okno expozice udává počet dní v roce, po které zůstává aplikace zranitelná vůči vážným exploitům a problémům.

Vyděračské viry mohou napadnout klidně i televizor. Uživatelé ale bezbranní nejsou

2.1.2017 Novinky/Bezpečnost Viry
První vyděračský virus pro chytré televizory se objevil už v polovině loňského roku. Přesto tito nezvaní návštěvníci stále nepřestávají strašit, zabezpečení TV totiž řeší málokdo. Při sledování filmu tak škodlivý kód může klidně uzamknout celý televizor.
Uzamčení televizoru na vlastní kůži zažil na konci loňského roku Američan Darren Cauthon.

„Sledovali jsme film a v tom se přes celou obrazovku zobrazilo varování, že TV je uzamčena. Podvodníci se vydávali za FBI,“ prohlásil Cauthon.

Vyděračské viry označované souhrnným názvem ransomware totiž dokážou terorizovat uživatele chytrých televizorů postavených na operačním systému Android TV úplně stejně jako majitele smartphonů a klasických PC.

View image on Twitter
Follow
Darren Cauthon @darrencauthon
Family member's tv is bricked by Android malware. #lg wont disclose factory reset. Avoid these "smart tvs" like the plague.
7:59 PM - 25 Dec 2016
3,428 3,428 Retweets 2,819 2,819 likes
Takto vypadal televizor uzamčený ransomwarem
Útok tedy probíhá prakticky na chlup stejně. Virus se nejdříve uhnízdí v televizoru a pak jej zcela uzamkne. Uživatel tak s přístrojem nemůže vůbec nic dělat, maximálně jej zapnout či vypnout. Na obrazovce se neustále zobrazuje výzva k zaplacení výkupného.

To v případě Cauthona činilo 500 dolarů, tedy v přepočtu bezmála 13 000 Kč. Počítačoví piráti se jej snažili přesvědčit, že výkupné je ve skutečnosti pokuta, která byla vyměřena za nedovolené nakládání s autorsky chráněnými díly.

Kolik televizorů se vyděračskému viru podařilo za poslední půlrok výše popsaným způsobem napadnout, zatím není jasné. Jisté není ani to, zda se ransomware pro chytré televizory objevil také v Česku.

Chytrá elektronika může být zranitelná
Celá kauza nicméně jasně ukazuje, jak zranitelná mohou být zařízení připojená k internetu. Většina počítačů je totiž proti vyděračským virům chráněna pomocí antivirových programů, u televizorů ale zabezpečení řeší jen málokdo.

Výrobci přitom antiviry pro chytré televizory nabízejí již několik let. Většina uživatelů si patrně ale ani neuvědomuje, že i tato zařízení mohou být napadena.

A jak skončil příběh Cauthona? Tomu se nakonec podařilo s pomocí zákaznické linky ransomwarem napadený televizor resetovat do výchozího nastavení, čímž se nezvaného návštěvníka zbavil. Zároveň ale přišel o uložená nastavení i soubory.

V americké firmě našli program ruských hackerů

1.1.2017 Novinky/Bezpečnost Viry
V počítači dodavatele elektrické energie v americkém státě Vermont se našel typ škodlivého programu (malware), který podle americké vlády používá Rusko při hackerských útocích. Informoval o tom v sobotu list The Washington Post (WP), podle kterého se program našel v přístroji, který nebyl připojen k síti a nebyl použit k narušení provozu.
„Okamžitě jsme zahájili kroky, abychom notebook izolovali, a o nálezu jsme informovali federální úřady,“ uvedl zástupce dodavatelské společnosti Burlington Electric Departement z Vermontu. Škodlivý program se nalezl pouze v jediném přístroji.

Podle zdroje agentury Reuters z amerických tajných služeb nešlo o zásadní narušení bezpečnosti, které by způsobilo nějaké škody, a do počítače se mohl malware dostat i po návštěvě některé internetové stránky. Zařízení tak nemuselo být přímým terčem hackerského útoku.

„Bereme to ale vážně,“ dodal zdroj s tím, že energetická síť je vysoce propojená a zranitelná.

Rusko útoky odmítá
Vláda prezidenta Baracka Obamy viní Rusko z hackerských útoků na americké instituce i na soukromé osoby. Jejich cílem mělo podle ní být mimo jiné ovlivnění nedávných prezidentských voleb ve prospěch republikánského kandidáta Donalda Trumpa.

Ve čtvrtek Spojené státy vypověděly 35 ruských diplomatů a uzavřely dvě ruská pracoviště na svém území. Prezident Obama navíc vyhlásil sankce mimo jiné vůči ruské civilní tajné službě FSB a vojenské rozvědce GRU.

Rusko odmítá, že by na USA prostřednictvím hackerů útočilo. Prezident Vladimir Putin se rozhodl, že zatím v reakci na americké sankce nikoho ze země nevyhostí.

Budoucí prezident USA Donald Trump odmítá, že by na jeho vítězství ve volbách mělo Rusko nějaký podíl.

Sankce vyhlášené Obamovou administrativou nepřímo kritizoval, když po jejich ohlášení vyzval, aby se USA věnovaly „větším a lepším věcem”. Příští týden se nicméně chce setkat se zástupci amerických tajných služeb, aby získal o údajných hackerských útocích Ruska na USA bližší informace.

Ransomware, zločinecký trend roku 2017; důležitá je prevence

31.12.2016 SecurityWorld Viry
Pátého února odstartovaly problémy s přístupem k síti v Hollywoodském presbyteriánském lékařském centru v Los Angeles; během příštích dní zaměstnanci zjistili, že se stali obětí ransomware útoku, který zašifroval mnoho dokumentů v několika počítačích.

Během dalších dnů musel personál této nemocnice zapisovat a zaznamenávat informace a události pomocí tužky a papíru, přičemž vedení nemocnice se rozhodlo útočníkům vyplatit 17 000 dolarů – ekvivalent 40 bitcoinů, které internetoví vyděrači požadovali. Pro nemocnici to byla nejrychlejší cesta k obnovení svých souborů a systému.

Tím započala dlouhá série ransomware útoků nejen v USA na podniky, nemocnice, veřejné služby, dopravní podniky, a dokonce i policejní stanice. Vlna vydírání tvrdě dopadla obzvláště na zdravotnické organizace ve Spojených státech.

Jde o důkaz nového, velice nebezpečného trendu: ransomware, tedy malware, který nutí uživatele zaplatit peníze pro přístup do systému nebo ke svým souborům, není novinkou. Avšak zatímco dříve cílil na koncové uživatele, běžného spotřebitele, nyní se přeorientoval na podniky, často velké a bohaté, nebo takové, které bez svých informačních systémů nemohou normálně fungovat – jako nemocnice, které navíc mnohdy trpí na nedostatečné zabezpečení.

Během posledních dvou let se zaměření ransomwaru dramaticky změnilo, říká Ed Cabrera, ředitel kybernetické bezpečnosti v antivirové firmě Trend Micro.

Ještě v roce 2014 zahrnovalo používání ransomware útoků z 80 % tradiční metody, např. zablokování plochy počítače s tím, že uživatel musí pro její odemknutí zaplatit poplatek. V roce 2015 však již podle statistik 80 % útoků naopak zahrnovalo pokročilý krypto-ransomware, tedy nakažené programy, které šifrují soubory v počítači.

„Další evolucí ransomwaru je přesun od spotřebitelů k podnikům,“ popisuje Cabrera. „Mnoho nových typů krypto-ransomwaru v roce 2016 cílilo na podniky, a to v dříve nevídaném rozsahu.“

Nejde o tak úplně neočekávanou proměnu – podniková data jsou ostatně významně cennější než osobní soubory a společnosti si mohou dovolit zaplatit vyšší „výkupné“ než běžní uživatelé. Jejich zabezpečení se navíc silně liší – záleží na lokaci, velikosti i průmyslovém odvětví podniku.

„Začali jsme si všímat, že se ransomware soustředí spíše na malé a střední podniky, protože je pravděpodobnější, že zaplatí vyšší cenu za odblokování systému než průměrný uživatel,“ říká Liviu Arsene, analytik e-hrozeb pro antivirovou firmu Bitdefender.

Nedávný průzkum IBM, kterého se zúčastnilo 600 majitelů podniků, zjistil, že polovina z nich zažila ransomware útok a až 70 % z nich zaplatilo požadovanou částku, aby získali zpět svá data.

E-maily distribuující ransomware činily až 40 % všech e-mailových spamů za rok 2016 a zločinci z tohoto typu malwaru za letošek vydělali již téměř miliardu dolarů, píše IBM X-Force.

Nejčastějším cílem ransomware útoků jsou oddělení lidských zdrojů a finance: malware lze jednoduše skrýt jako výpis nebo resumé. Pokud je obětí kupříkladu nemocnice, dopad je obrovský i na veřejnost, takže se společnosti snaží problém vyřešit co nejrychleji – vzrůstá tak šance, že útočníkům raději zaplatí.

U ransomwaru je prevence zcela klíčová, neboť poté, co se v systému vyskytne, téměř neexistuje možnost jak se jej zbavit mimo zaplacení útočníkovi – a ani to negarantuje zpětné získání svých dat nebo přístupu.

Metody útoku

Ransomware je nejtradičněji rozesílán formou e-mailu, existují však i jiné, inovativnější metody.

Druhá nejčastějši technika je tzv. exploit kit. Jde o webové nástroje, které zneužijí zranitelnosti v prohlížečích nebo plug-inech typu Flash Player, Adobe Reader, Java či Silverlight. Takovým útokům lze hůře přecházet.

Firmy se navíc neobávají jen o své pracovní stanice, útočníci stále častěji míří také na serverový software, aby pronikli do podnikové sítě.

„Předpokládáme, že se zvyšujícím se počtem ‚podnikového ransomwaru‘ uvidíme více technik na zneužití zranitelností a získání přístupu do interní sítě,“ říká Barry Shteiman, ředitel výzkumu hrozeb v Exabeam, bezpečnostní firmy, která k detekci ransomwaru využívá strojového učení. „V podstatě každý server má zranitelnosti, které mohou vést k phishingovým útokům nebo injektování kódu – to může napomoci rozšíření ransomwaru.“

Další oblíbenou metodou distribuce ransomwaru je ukradení přihlašovacích údajů pro vzdálenou administraci, např. oblíbený Teamviewer.

Co se týče e-mailů, ransomware se skrývá ve spustitelných .exe souborech, schovaných v zipech a rarech, dále v makrech Wordových dokumentů a také v Javascriptových přílohách.

Co dělat, když ransomware zasáhne?

Nejdůležitější je co nejrychleji oddělit infikovaný systém od zbytku sítě, aby se nerozšířil. Doporučuje se rovněž pokud možno vypnout nenakažené počítače, než se situace vyřeší. Ihned na to by firmy měly kontaktovat bezpečnostní agentury nebo policii.

Dalším krokem by mělo být zálohování zašifrovaných dat a vyčištění hodnot a souborů v registrech, které si ransomware vytvořil, aby se nenačetl znovu při opětovném spuštění počítače. Dobré je rovněž změnit přístupová hesla k síťovým službám – útočníci totiž již mohou mít původní hesla ve svých rukách.

Pak přichází to nejtěžší rozhodnutí: zaplatit kriminálníkům nebo ne? Bezpečnostní odborníci a agentury ve valné většině nedoporučují výkupné platit, neboť to zločince utvrdí v jejich činnosti a navíc neexistuje garance, že dešifrovací klíč uživateli či podniku zašlou.

Dle zpráv bezpečnostní firmy Kaspersky Lab, slavné i pro svůj pokročilý antivirus, jedna z pěti společností nikdy svá data nedostane zpět – a to mluvíme o těch, které výkupné zaplatí. Někdy však organizace nemá na výběr, pokud nebyla na ransomware připravena – zaplatit zkrátka musí.

Dále jde rovněž o zhodnocení nákladů. Pokud má podnik větší ztráty z nedostupnosti dat nebo je dokonce dražší jejich samotné obnovení, pak mu nezbývá než zaplatit. Je to však až ta úplně poslední možnost, kdy všechny ostatní varianty jsou již vyčerpány, vysvětluje Shteiman.

Budoucnost ransomwaru je bohužel růžová

Podnikové sítě nejsou konečným cílem ransomwaru. Je možné, že zamíří výš: na industrální sítě, říká Guy Caspi, generální ředitel firmy zaměřené na kybernetické zabezpečení Deep Instinct. „V březnu byla pod útokem třetí největší elektrická a vodní technická infrastruktura v Michiganu – Lansing Board of Water & Light. Stala se první elektrickou veřejnou službou, kterou zasáhl ransomware.“

Podle Caspiho budou dalším krokem v evoluci ransomwaru programy, které po vytvoření kopie dat původní data smažou, místo, aby je zašifrovaly.

Arsene z firmy Bitdefender se odlišně domnívá, že s rozvojem internetu věcí budou právě tato zařízení dalším logickým cílem.

„Scénář, ve kterém vydírání probíhá pomocí chytrého zařízení není až tak nerealistický, i vzhledem k předpokládanému masivnímu nárůstů takových zařízení v několika příštích letech,“ myslí si. „Pokud útočníci shodí podnikovou síť senzorů, mohlo by to být opravdu problematické.“

Prevence infekce ransomwarem

Cvičební programy pro zaměstnance, celkové zvýšení povědomí o ransomwaru; jak rozpoznat phishing a infikované přílohy.
Silný antispamový filtr a implementace technologií typu Sender Policy Framework (SPF), Domain Message Authentication Reporting and Conformance (DMARC) a DomainKeys Identified Mail (DKIM).
Nastavení síťového zabezpečení a firewallu k blokaci známých škodlivých IP adres včetně Toru; mnoho ransomware serverů hostuje právě Tor.
Aktualizovaný software na pracovních stanicích, počítačích a serverech; je dobré mít i systém na správu aktualizací.
Dobrý antivirový program, který dokáže dlouhodobě dobře detekovat ransomware; dobré je rovněž pravidelné proskenování systému.
Co nejméně možností a privilegií pro lokální účty. Pokud uživatelé nepotřebují možnost zapisovat v síti, nedávejte jim ji.
Zrušení možnosti spouštět makra v kancelářském balíčku Office. Co nejvíce omezit spouštění skriptů typu JavaScript, Powershell a VBScript ve Windows.
Deaktivace plug-inů v prohlížeči, které nejsou nutně potřeba. Hodí se také využít EMET toolkit Microsoftu.
Zamezit programům možnost používat dočasné složky a jiná běžná umístění, které využívá malware.
Spouštět potenciálně riskantní soubory ve virtualizovaném prostředí; zauvažovat nad možnosti whitelistingu.
Pravidelně data zálohovat, ověřovat integritu zálohy a fyzické separování nejdůležitějších síťových segmentů.
Vytvořit několik záloh offline i online, například také v cloudu. Počítače by neměly být permanentně připojeny k místu zálohy.

Amerika popsala, jak v kyberprostoru útočí Rusové. Zmapovala činnost desítek vojenských hackerských skupin
30.12.2016 Živě.cz BigBrother
Americký federální úřad vyšetřování FBI a Ministerstvo vnitřní bezpečnosti na sklonku roku zveřejnily obecné postupy (PDF), které Rusové využili ke kybernetickým útokům nejen během tamních podzimních prezidentských voleb.

Dokument útoky přisuzuje útočníkovi, kterého označuje jako RIS – Russian civilian and milirary Intelligence Services. Američané jsou tedy přesvědčení, že na ně útočili vojenští hackeři a útočníci ruských tajných služeb.

Klepněte pro větší obrázek
Obecné schéma ruských útoků během amerických prezidentských voleb. Útočník (červený) útočí na oběť (modrá) vždy skrze neutrálního prostředníka (šedý), což může být botnet, nebo jiný server na internetu, který skryje stopy.

Na Demokratickou stranu podle dokumentu útočily hned dvě skupiny označované jako APT28 a APT29 a to dlouhodobě již od roku 2015, nicméně NSA monitoruje aktivitu hned několika desítek ruských státem zřízených hackerských skupin s kódovým označením v tabulce níže.

Klepněte pro větší obrázek
Kódová jména jednotlivých ruských vojenských hackerských týmů, jejichž činnost Američané monitorují

V dokumentu se dále píše o některých fingerprintech, které by mohly odhalit, že útočí právě Rusko. Jedná se třeba o kusy PHP kódu, který je velmi typický právě pro zmíněné ruské skupiny. Američané zároveň vedou seznamy IP adres, které Rusové používají, ačkoliv nikdy neútočí přímo, ale skrze prostředníka v neutrálním prostoru. Může se jednat o libovolné servery na internetu mimo ruské území, anebo i počítače nic netušících obětí, které jsou zapojené do botnetu.

Klepněte pro větší obrázek
Jeden z fingerprintů typických pro útoky, tedy úryvek PHP kódu útočníka, který se objevuje poměrně často.

Je tedy velmi pravděpodobné, že některé botnety, které na první pohled slouží jen k rozesílání spamů a další obvyklé malwarové činnosti, ve skutečnosti slouží jako anonymizační brány pro podobné státem organizované útoky, a ť už za nimi stojí Rusko, Čína, či západní země, poněvadž internet je už dávno kybernetickým bojištěm, na kterém se realizují všechny země s dostatečným technologickým know-how.

Vyděračské viry cílí na zdravotnická zařízení. Počet útoků se za tři roky ztrojnásobil

30.12.2016 Novinky/Bezpečnost Viry
Vlna kybernetických útoků na zdravotnická zařízení ve Spojených státech nebere konce. Letos se počet případů meziročně zvýšil o 63 procent, za poslední tři roky se dokonce ztrojnásobil. Dorazí tento nechvalně proslulý trend i k nám?
Zdravotnická zařízení jsou vítaným cílem tvůrců ransomwaru, vyděračských virů, které zašifrují citlivá data a za jejich odblokování žádají tučné výkupné. Obvykle se jedná o částky v několika bitcoinech, což je internetová měna, která odpovídá přibližně 20 tisícům korun. Podle americké společnosti TrapX Labs jenom v letošním roce proběhlo 93 útoků ransomwaru na zdravotnická zařízení v USA. Sofistikované kybernetické útoky stojí i za třetinou případů úniků dat od amerických zdravotních pojišťoven.

Pro srovnání: v roce 2015 byli kyberzločinci odpovědní za pětinu úniků dat zdravotních pojišťoven, v roce 2014 pak ani ne za desetinu. Nárůst počtu kybernetických útoků tak představuje závažnou hrozbu pro ochranu osobních dat pacientů, zdravotnických zařízení a v konečném důsledku vedou útoky k přímému fyzickému ohrožení samotných pacientů. K vůbec největšímu úniku dat ve zdravotnictví došlo letos v červenci v zařízení Banner Health v Phoenixu, kde se útočníci dostali ke 3,62 miliónu záznamů o pacientech.

Hackeři získali kompletní data o pacientech
Zločinci získali informace nejen ze zdravotní dokumentace, ale dokonce i o zákaznících obchodů s občerstvením. U pacientů se jim podařilo prolomit data, jako jsou jejich bydliště, datum narození, jména ošetřujících lékařů, termíny služeb, klinické informace, informace o zdravotním pojištění či čísla sociálního zabezpečení. Hackeři se dostali do kompletní sítě Banner Health, včetně platebních terminálů obchodů s občerstvením či elektronického systému, přes který komunikují lékaři a ukládají si do něj data o pacientech.

Obdobně rozsáhlý útok letos zažilo zdravotnické zařízení Newkirk Products, v němž bylo ohroženo bezmála 3,5 miliónu zdravotních záznamů. Nájezdu hackerů se nevyhnulo ani onkologické centrum 21st Century Oncology, z něhož v březnu letošního roku unikly údaje o více než dvou miliónech bývalých i současných pacientů.

V srpnu oznámili zástupci Valley Anesthesiology Consultants, že v období od 30. března do 13. června došlo k neoprávněnému průniku k 882 590 zdravotnickým záznamům. Peachtreeská ortopedická klinika v Atlantě letos v listopadu upozornila 531 tisíc pacientů, že jejich osobní data mohla být zneužita kvůli rozsáhlému kybernetickému útoku.

Expert: Nemocnice jsou lehce vydíratelné
„Zdravotnická zařízení jsou vítaným terčem útočníků, protože data, s nimiž operují, jsou velmi citlivá. Žádné zdravotnické zařízení nechce riskovat ohrožení svých pacientů a spolu s tím ztrátu důvěry. Pokud útočníci naleznou mezeru v zabezpečení, rádi ji tímto způsobem využijí, protože u organizací tohoto typu je větší pravděpodobnost, že útočníkům za odšifrování svých dat zaplatí,“ říká Miroslav Dvořák, technický ředitel antivirové společnosti ESET.

„Účinným preventivním nástrojem proti útokům tohoto typu je funkční IT bezpečnostní strategie, která kromě jiného umožňuje rychlou obnovu zašifrovaných dat ze zálohy,“ dodává Dvořák.

Zaplacením výkupného oběť automaticky nezískává jistotu, že její data budou obnovena
Miroslav Dvořák, technický ředitel antivirové společnosti ESET
Několik britských nemocnic muselo kvůli útokům ransomwaru letos v říjnu odříci plánované operace a další chirurgické zákroky, protože nechtěly riskovat komplikace s dostupností zdravotních záznamů pacientů. Zdravotní instituce jsou ochotny v takových případech raději zaplatit výkupné a zajistit si tak odšifrování dat. To však není nijak garantované.

„Zaplacením výkupného oběť automaticky nezískává jistotu, že její data budou obnovena,“ varuje Miroslav Dvořák. Zdravotnická zařízení by tedy měla pamatovat na zálohování dat a neměla by se spoléhat na to, že útočníci dodrží slovo a po zaplacení výkupného dokumenty odšifrují.

Zálohovací systémy by však neměly být trvale připojeny k počítačové síti, protože jinak hrozí, že jejich obsah bude při útoku rovněž zašifrován. Zároveň je vhodné používat prověřené bezpečnostní nástroje, z nichž mnohé již nabízejí i ochranu před ransomwarem.

Hackeři nabídli obětem ransomwaru vánoční slevu: za odšifrování si řekli polovinu

30.12.2016 Novinky/Bezpečnost Viry
Kyberzločinci si obvykle účtovali za odblokování počítače napadeného ransomwarem CryptXXX částku 1,2 bitcoinu (27 tisíc korun), během vánočních svátků zlevnili na 0,5 bitcoinu (11 tisíc korun).
Nezvyklou oslavu vánočních svátků zvolili tvůrci vyděračského viru CryptXXX. Svým obětem, jimž zašifrovali soubory v počítači, účtovali výkupné o víc než polovinu nižší než obvykle. Zatímco dříve žádali za odšifrování dokumentů částku 1,2 bitcoinu, což v přepočtu představovalo 27 tisíc korun, o vánočních svátcích slevili na 0,5 bitcoinu (11 tisíc korun). Sleva se obětem objevila ve chvíli, kdy klikli na jeden z odkazů na platební brány útočníků, informoval web Infosecurity-magazine.com.

Ransomware v současnosti patří pro uživatele mezi nejvýznamnější hrozby
Miroslav Dvořák, technický ředitel antivirové společnosti ESET
CryptXXX patří mezi jednu z mála rodin ransomwaru, u nichž se bezpečnostním expertům podařilo získat dekódovací klíče a vyvinout Decryptor. Od letošního května tak je možné zašifrované soubory odblokovat, aniž by majitelé napadených počítačů museli platit výkupné. Týká se to však pouze verzí CryptXXX, které byly v oběhu do května. Novější typy tohoto ransomwaru nelze pomocí tohoto nástroje deaktivovat, což se týká i speciální, „vánoční“ sady se slevou na výkupném.

„Ransomware v současnosti patří pro uživatele mezi nejvýznamnější hrozby. Pro útočníky se naopak jedná o pravděpodobně nejvýdělečnější typ kybernetického útoku,“ konstatuje Miroslav Dvořák, technický ředitel antivirové společnosti ESET. Firma proto vyvinula novou ochrannou vrstvu k již existujícím technologiím zabezpečení uživatelů a přidala ji zdarma ke všem svým produktům pro domácnosti a zařízení s operačním systémem Windows.

„Ochrana proti ransomwaru umožňuje pokročilé sledování a vyhodnocování všech spuštěných aplikací pomocí behaviorální analýzy. Aktivně blokuje známé typy chování, které se nápadně podobají činnosti ransomwaru. Kromě toho také může blokovat úpravy stávajících souborů, tj. jejich šifrování,“ vysvětluje Dvořák. Funkce je aktivní již ve výchozím nastavení a nevyžaduje žádnou zvláštní pozornost ani aktivitu uživatele, dokud nedojde k detekci podezřelé aktivity. V takovém případě je uživatel vyzván ke schválení nebo k jejímu zablokování.

Ransomware představuje specifickou rodinu malwaru, která se zaměřuje na soubory uživatelů. Nejčastějším typem je tzv. filecoder, který šifruje data a požaduje výkupné za jejich následné odšifrování. Ransomware se šíří především pomocí škodlivých příloh e-mailů či exploit kitů pro webový prohlížeč.

KillDisk: Atomová bomba mezi viry. Buď vám smaže PC, nebo bude chtít výkupné přes 5 milionů
30.12.2016 Živě.cz Viry
Smrtící malware KillDisk, jehož autoři se baví tím, že program po infekci na počítači spáchá hotové peklo, jej nově vybavili ještě ransomwarem. Ale takovým, který zruinuje i ty nejbohatší.

Nicméně pěkně popořadě. Původní KillDisk po napadení zničil systémové soubory, pohrál si s příponami souborů a něco smazal. Po příštím spuštění počítače pak už pochopitelně systém nenastartoval a nezbývalo, než jej znovu nainstalovat, anebo obnovit ze zálohy.

Podle Bleeping Computer se ale nyní nebezpečný zabiják dat na počítači proměnil v ransomware. To znamená, že data na PC nesmaže, ale velmi silně zašifruje a oběť klíč nedostane, dokud nezaplatí výkupné skrze anonymní bitcoin.

Klepněte pro větší obrázek
Zaplaťte nám 222 BTC, nebo se už ke svým souborům na PC nedostanete

Jenže to má háček. Zatímco u běžných ransomwarů útočníci požadují výkupné okolo 1 BTC (cca 900 USD), což podle aktuálního kurzu odpovídá asi 23 tisícům korun, KillDisk si účtuje 222 BTC!

222 BTC odpovídá asi 208 tisícům USD, což po přepočtu činí více než 5 milionů korun. K zaplacení takové částky bez špetky jistoty, že útočník opravdu pošle dešifrovací klíč, se tedy odváží asi jen málokdo.

Najděte hrozby i v šifrovaných přenosech

29.12.2016 SecurityWorld Kryptografie
K eliminaci slepé skvrny své obrany potřebujete specializovanou platformu pro kontrolu přenosů SSL.

A co více, v důsledku hnutí, jako je Let’s Encrypt (Šifrujme) – bezplatná, automatizovaná otevřená certifikační autorita (CA) zajišťovaná skupinou ISRG (Internet Security Research Group), došlo k neúmyslnému vytvoření nové řady zranitelností.

Útočníci mohou využít Let’s Encrypt k vytvoření svých vlastních zdánlivě legitimních SSL certifikátů k podepsání škodlivého kódu a k provozování škodlivých webů HTTPS.

Šifrování útočníkům umožňuje ukrýt své exploity před bezpečnostními zařízeními, jako jsou firewally, systémy prevence narušení (IPS) a platformy prevence úniku dat (DLP). Některé z těchto produktů totiž nedokážou dešifrovat přenosy SSL bez snížení svého výkonu, zatímco jiné prostě nemohou přenosy SSL dešifrovat kvůli svému umístění v síti.

Při boji s hrozbami vznikajícími šifrováním SSL by měly firmy dešifrovat a zkontrolovat příchozí a odchozí přenosy pomocí specializované platformy pro kontrolu SSL, která umožní bezpečnostním zařízením třetích stran eliminovat slepé místo korporátní obrany.

Jak proniká malware přes SSL

Tady jsou tři příklady, jak vývojáři malwaru využívají šifrování, aby unikli odhalení.

Trojský kůň Zeus. Poprvé byl odhalen v roce 2007. Trojský kůň Zeus je jedním z mnoha druhů malwaru, který plně využívá šifrování. Zároveň je i nadále jedním z nejrozšířenějších a nejnebezpečnějších existujících exemplářů finančního malwaru – jen do prosince 2014 způsobil v USA kompromitaci cca čtyř milionů počítačů.

Sadu nástrojů (toolkit) pro útok trojským koněm Zeus široce využívají nesčetné skupiny zločinců. Umožňuje jim vyvinout varianty, které jsou ještě důmyslnější.

Výsledkem byl mimo jiné vznik botnetu Gameover Zeus, který využívá šifrovanou komunikaci peer-to-peer jak pro distribuci malwaru, tak i pro řídicí komunikaci (C&C, Command and Control). FBI odhaduje, že botnet Gameover Zeus je zodpovědný za krádeže více než 100 milionů dolarů.

Aktualizace C&C z webů sociálních sítí. Některé nové druhy malwaru používají sociální sítě, jako jsou například Twitter a Facebook, a webmail pro řídicí (C&C) komunikaci.

Malware může například přijímat řídicí příkazy z účtů na Twitteru nebo z komentářů na Pinterestu, což zašifruje veškerou komunikaci. Chtějí-li organizace odhalit tyto botnetové hrozby, musejí dešifrovat a kontrolovat přenosy SSL, jinak mohou bezpečnostní analýzy mylně považovat přístup k webům sociálních sítí z klientských počítačů za neškodný.

3. Trojský kůň RAT (Remote Access Trojan)

Německá společnost G Data Software zaměřená na výzkum zabezpečení odhalila trojského koně využívajícího vzdálený přístup (typ RAT), který přijímal příkazy C&C přes e-mailovou službu Yahoo Mail, a pojmenovala ho Win32.Trojan.IcoScript.A.

Od té doby tato firma a také konzultanti společnosti Shape Security objevili další druhy malwaru Icoscript, které přijímaly aktualizace z konceptů (tj. z rozepsaných a neodeslaných) zpráv služby Gmail.

Jedna z forem tohoto malwaru využívá skript v Pythonu k přijímání příkazů a dalšího kódu ze složky konceptů, která zůstává skrytá, přestože je otevřená. Služby Gmail a Yahoo Mail šifrují přenosy a malware je schopný je využívat, aby ho systémy IDS a DLP nedokázaly odhalit.

Pokud organizace nedešifruje a nekontroluje přenosy na webmailové servery, zvyšuje se tím riziko infekce tímto typem malwaru.

Možná řešení

Šifrování dnes tvoří přibližně jednu třetinu veškerého internetového provozu a očekává se, že v příštím roce dosáhne tento poměr dvou třetin veškerých přenosů, až internetoví giganti jako Netflix přejdou na SSL.

V důsledku toho se stane šifrovaný provoz dálnicí pro distribuci malwaru a pro jednoduché provádění kybernetických útoků. Aby mohly organizace zjistit záškodnické aktivity, potřebují dešifrovat a kontrolovat přenosy SSL. V opačném případě tudy bude malware moci pronikat.

Pro vyřešení tohoto problému a získání vhledu do SSL je vhodné nasadit platformy pro kontrolu provozu SSL, které budou dešifrovat přenosy SSL a posílat je k analýze zabezpečovacím zařízením dalších dodavatelů.

Pro odchozí přenosy organizace vlastní koncové body, ale ne certifikáty a klíče SSL. Platforma pro kontrolu SSL může takové přenosy dešifrovat, když bude nakonfigurovaná jako proxy pro transparentní přeposílání nebo jako explicitní proxy.

Dešifrování příchozího provozu směrovaného na interní aplikační servery je jiné než dešifrování odchozích přenosů, protože organizace je zároveň vlastníkem SSL klíčů.

Existují dva hlavní způsoby, jak dešifrovat příchozí přenosy SSL směřující na interní servery:

Režim reverzní proxy: SSL provoz se ukončí v zařízeních kontrolujících SSL a dále už se zasílá v nešifrované podobě k inline nebo non-inline zabezpečovacím zařízením. Tento režim se někdy také označuje jako „SSL Off-load.“
Pasivní non-inline nebo inline režim: SSL provoz se dešifruje pomocí kopie klíčů SSL serveru. SSL provoz není platformou kontroly SSL modifikovaný, samozřejmě kromě případů potenciální blokace útoků.

V pasivním režimu non-inline může být platforma kontroly SSL nainstalovaná transparentně bez nutnosti aktualizovat nastavení sítě. Organizace však nebude schopná efektivně blokovat všechny útoky včetně jednopaketových útoků.

Největší slabinou však je, že pasivní režim nedokáže podporovat silné šifrovací metody, jako je například PFS (Perfect Forward Secrecy), protože se platforma kontroly SSL aktivně neúčastní dojednávání klíče SSL.

Ať už jde o sdílení škodlivého souboru přes web sociálních sítí, nebo malwarovou přílohu e-mailu či v rychlých zprávách, bude mnoho útoků zahalených právě pomocí SSL. Nastal čas, kdy by organizace měly významně investovat do ochrany dat a při tom nezapomínat na dešifrování a kontrolu veškerých SSL přenosů.

Počítačoví piráti nepolevují ani po Štědrém dnu

26.12.2016 Novinky/Bezpečnost Kriminalita
S nejrůznějšími podvody se před Vánocemi doslova roztrhnul pytel. Počítačoví piráti ve svých snahách ale nepolevují ani po Štědrém dnu. Lidé by se měli mít na pozoru například před různými elektronickými přáními a nejrůznějšími phishingovými útoky.
Mezi nejčastější podvody na síti patří v posledních dnech zavirovaná elektronická přání. Ta se šíří především prostřednictvím nevyžádané pošty. Výjimkou ale nejsou ani případy, kdy se takovéto zprávy objevovaly na sociálních sítích nebo v chatovacích programech.

Přijít mohou klidně od přátel, kterým se již nezvaný návštěvník zabydlel v počítači a nemají o tom ani potuchy.

Hrozba zavirovaných elektronických přání je stále aktuální. Lidé si totiž přejí nejen k Vánocům, ale také vše nejlepší do nového roku.

Snaží se vylákat hotovost, stejně jako citlivé údaje.
Podvodníci využívají i toho, že obchodníci ještě před koncem roku rozjedou výprodeje. Škodlivými kódy jsou zamořeny také nejrůznější nabídky na výhodné nákupy v podvodných internetových obchodech.

Do počítače kybernetickým zlodějům lidé otevřou cestu ve chvíli, kdy se nechají zlákat atraktivní cenou a kliknou na nějaký odkaz. Od uživatelů se snaží touto cestou kyberzločinci vylákat hotovost, stejně jako jejich citlivé údaje.

Většinu podobných útoků je možné na první pohled rozeznat podle špatné češtiny.

Připraven celý rok
Na útoky počítačových pirátů je vhodné být připraven celý rok. Lidé totiž na pevných discích uchovávají stále více citlivých informací. Vedle osobních fotografií také kopie občanských a řidičských průkazů, nejrůznějších smluv a samozřejmě i hesla k online účtům, a to zpravidla i včetně internetového bankovnictví.

Když se kybernetický nájezdník k takovým citlivým datům dostane, je to pro něj jako objevit poklad, na černém trhu totiž všechna data prodá za nemalé sumy. K průnikům jsou využívány viry a trojské koně.

Odhalit takové smetí pomáhají programy, z nichž každý se specializuje na něco jiného. Některé si dovedou poradit s trojskými koni či spywarem a další zase detekují takzvané keyloggery (program zaznamenávající stisk každé klávesy).

Na PC by měl být nainstalován vždy jen jeden bezpečnostní program svého druhu. Dva antiviry na disku dokážou udělat pěknou neplechu. To samé platí také o firewallech i antispywarech. Vhodné je také pravidelně sledovat statistiky antivirových společností o nejrozšířenějších hrozbách. Tak je možné poznat, na co si dávat pozor.

Chtěli slevu a šeredně se napálili. Podvodníkům naservírovali karty na zlatém podnosu

20.12.2016 Novinky/Bezpečnost Viry
Využít aktuálního shonu se snaží kybernetičtí piráti pouhých pár dní před Vánoci. Jak varovali bezpečnostní experti antivirové společnosti Eset, podvodníci se na síti vydávají za prodejce známých módních značek a z důvěřivců lákají informace o jejich platebních kartách. Snaha ušetřit při nákupu vánočních dárků se tak může krutě vymstít.
Slevové akce se objevují na různých sociálních sítích a klidně i legitimních webech. Doposud piráti lákali například na nákup kabelek Michael Kors, bot Ugg či sandálů Birkenstock s výraznými slevami.

Žádná ze jmenovaných společností ale samozřejmě nemá s falešnými weby nic společného. „Tyto podvodné stránky se šíří e-mailem nebo přes legitimní účty na Facebooku, které útočníci hacknuli buď pomocí technik sociálního inženýrství, nebo pomocí škodlivého kódu,“ uvedl Ondrej Kubovič, specialista na digitální bezpečnost ve společnosti Eset.

Zboží za nereálně nízké ceny
„Bez souhlasu skutečného majitele účtu na Facebooku sdílejí na jeho profilu fotografie propagující toto falešné zboží za nereálně nízké ceny,“ doplnil Kubovič.

Podle něj falešné obchody nepoužívají šifrovanou komunikaci. Počítačoví piráti se kvůli tomu dokážou snadno dostat například k číslu platební karty, ověřovacímu bezpečnostnímu kódu a zároveň i k osobním údajům uživatele.

„Předvánoční období představuje pro podvodníky skvělou příležitost. Jejich falešné stránky si totiž lidé ve shonu při hledání vánočních dárků velmi lehce spletou s legitimními weby. Na stránkách by si proto měli všímat jakýchkoli podezřelých znaků. Těmi jsou například extrémně nízké ceny, vysoké slevy, překlepy, gramatické chyby či absence certifikátu SSL,“ uzavřel bezpečnostní expert.

Není to poprvé
Falešné obchody, které byly pro vylákání informací o platebních kartách doposud využity, naleznete v tabulce níže. Není nicméně vyloučeno, že se kyberzločinci nebudou snažit uživatele napálit i s nějakými úplně jinými smyšlenými e-shopy.

Podobné triky počítačových pirátů nejsou nijak výjimečné. V minulém týdnu se zase tuzemské uživatele snažili napálit slevovými akcemi velkých obchodních řetězců. [celá zpráva]

Podvodné e-shopy zachycené bezpečnostními experty
Uggclassicstyle.com
Ugg-sk.com
Uggs.cz
Bk-sale.com
Uggaustraliabox.com
Michaelkorsbuy.com
Shoesfootus.com
Zdroj: Eset

Nenechte se vydírat. Nový nástroj zatočí s téměř každým ransomwarem
20.12.2016 cnews.cz Viry
Bezpečnostní experti ze společnosti Cybereason vytvořili nový nástroj RansomFree. Už název prozrazuje to hlavní – bojuje s ransomwarem. To je specifický druh malwaru, který se usadí na počítači a zablokuje část jeho funkcí nebo přístup k souborům, přičemž odblokování podmiňuje zaplacením.
Cybereason slibuje lepší ochranu, než jakou poskytují běžné antiviry. Ty většinou pouze porovnávají otisk škodlivého kódu s vlastní databází malwaru. Jenže denně vzniká nová havěť nebo existují takové typy malwaru, které pravidelně mění podobu (tedy i digitální otisk) a jsou těžko stopovatelné.

RansomFree používá behaviorální ochranu. Neporovnává škodlivý kód s databází, ale vytvoří na počítači tzv. honeypot, do kterého se chytí i nový, dosud nepopsaný, ransomware. Nástroj vytvoří náhodně vygenerované soubory a složky na disku a sleduje jejich chování. Pojmenovává je tak, aby v seznamu byly vždy nahoře.

Ochrana sleduje, které aplikace se snaží se soubory pracovat, měnit je nebo dokonce šifrovat (to dělá většina ransomwaru). Protože jsou náhodné soubory první na ráně, RansomFree po detekci zablokuje záškodnický proces v provádění další činnosti. Při podezření pochopitelně upozorní uživatele.

RansomFree generuje náhodné soubory jako vábničku pro ransomware

Nástroj si poradí také s ransomwarem, který nešifruje soubory na disku, ale využívá děr ve Flashi, prohlížečích apod., aby získal hlubší přístup do systému a zablokoval jeho části.

Cybereason sledoval chování tisíců různých ransomwarů, které ale vycházejí ze základů několika desítek různých kódů (Locky, Cryptowall, TeslaCrypt, Jigsaw, Cerber apod.). Žádná ochrana není dokonalá, ale RansomFree slibuje 99% účinnost. Ideálně by měl fungovat i s dobrou antivirovou ochranou. Na pozadí spolkne asi 50 MB RAM a nijak nezatěžuje procesor.

RansomFree zachytil hrozbu

RansomFree je (a bude) zdarma. Zatím podporuje jen Windows 7, 8, 10, 2008 R2 a 2012 R2, ale v budoucnu se možná dostane i na jiné systémy. Stáhnout si jej můžete z této stránky.

Je třeba mít na paměti dvě věci. RansomFree i další podobné nástroje slouží k prevenci. Napadený počítač nevyléčí. Pokud už ransomware zašifroval soubory, je pozdě. Vůbec nejlepší ochranou je navštěvovat jen ověřené weby a nestahovat neověřené soubory z webu ani e-mailových příloh.

Nebezpečný virus vydávají za reklamu. Ochromí celou počítačovou síť

20.12.2016 Novinky/Bezpečnost Viry
Národní bezpečnostní tým CSIRT.CZ varoval před nebezpečným virem, který se v posledních dnech šíří internetem doslova jako lavina. Škodlivý kód zvaný DNSChanger napadá výhradně routery – brány do světa internetu, prostřednictvím kterých se pak počítačoví piráti dostanou do celé počítačové sítě.
Hrozba je závažná především tím, že se lidé mohou nakazit na legitimních webech, nebo dokonce i sociálních sítích. „Útočník nejdříve ukryje škodlivý kód do obrázku, který umístí jako reklamu na populární servery,“ podotkl Pavel Bašta, bezpečnostní analytik CSIRT.CZ, který je provozován sdružením CZ.NIC.

„Kód v obrázku následně přesměruje oběti na server útočníka, kde je připraven samotný exploit kit DNSChanger. Ten se pak postará o napadení špatně zabezpečeného routeru, na kterém nastaví DNS servery útočníka,“ konstatoval Bašta.

Tím má kyberzločinec celou síť pod kontrolou. „Útočníkovi to umožňuje ovládnout síťový provoz na všech zařízeních za tímto routerem, bez ohledu na používaný operační systém,“ podotkl bezpečnostní expert.

DNSChanger může výše popsaným způsobem napadnout více než 150 různých typů routerů. Jde například o modely D-Link DSL-2740R, NetGear WNDR3400v3, Netgear R6200, COMTREND ADSL Router CT-5367 C01_R12 či Pirelli ADSL2/2+ Wireless Router P.DGA4001N.

Zablokují či přesměrují připojení
Že je router zavirovaný, mohou uživatelé poznat například podle toho, že jim přestane z připojených počítačů zcela fungovat internetové připojení, případně se při snaze o připojení na nějakou webovou stránku zobrazí úplně jiný web.

Přesně to se stalo už v minulosti kvůli zranitelnosti známé jako „rom-0“. Místo serverů, jako jsou například Seznam.cz nebo Google.com, se poškozeným zobrazila hláška o nutnosti instalace Flash playeru. Místo té se ale do PC stáhnul další virus. Útočníci tak rázem měli přístup nejen k routeru, ale i k připojenému počítači.

Na brány do světa internetu se zaměřují kyberzločinci stále častěji. Využívají toho, že zabezpečení těchto internetových zařízení uživatelé především v domácnostech velmi podceňují, někdy to ale platí i o firmách. Březnová studie Cisco Annual Security Report totiž ukázala, že devět z deseti internetových zařízení má slabá místa.

Uživatelé nejsou úplně bezbranní
Hlavní problém je podle bezpečnostních expertů v tom, že routery není možné chránit antivirovými programy, jako je tomu u počítačů. I tak ale nejsou uživatelé úplně bezbranní.

„Hlavní způsob, jak této hrozbě předejít, představuje upgrade firmwaru routeru na aktuální verzi a nepoužívat mnohdy triviální přednastavené přihlašovací jméno a heslo. Rovněž je vhodné zvážit přihlašování k routeru pouze z vnitřní sítě, a nikoliv z internetu,“ uvedl již dříve Pavel Matějíček, manažer technické podpory společnosti Eset.

Do konfigurace routerů by se nicméně neměli pouštět méně zkušení uživatelé. Mohou totiž nevhodným nastavením způsobit více škody než užitku. Paradoxně tak mohou klidně otevřít zadní vrátka pro útočníky.