Czech Articles - 0 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16
iPhone zálohuje historii hovorů do iCloudu bez vědomí uživatele a nejde to vypnout
20.11.2016 cnews.cz Apple
Ruská společnost Elcomsoft, která mimo jiné vyvíjí a prodává software pro crackování mobilů, zjistila, že Apple zálohuje historii hovorů, aniž by o tom uživatel věděl nebo mohl tuto funkci vypnout. V iCloudu jsou uloženy logy za poslední čtyři měsíce a slouží k tomu, aby se synchronizovaly napříč zařízeními.
Problém je, že uživatel nad funkcí nemá kontrolu. Zálohování funguje automaticky po přihlášení k Apple ID. Nepomůže vypnout zálohování do iCloudu ani se odpojit od Wi-Fi. Logy se pošlou přes mobilní síť a trvá to vždy maximálně v řádu hodin. Uchovávají se jen metadata, tedy informace, kdo s kým volal, kdy a jak dlouho. Samotný hovor nikoliv.
Podle Elcomsoftu se zálohují nejen hovory z mobilní sítě, ale také ty přes FaceTime nebo jiné služby, které využívají nové VoIP rozhraní CallKit v iOS 10. Jde o WhatsApp, Skype nebo Viber. Logy lze z iCloudu stáhnout (Elcomsoft už na to vytvořil nástroj) a uživatel se přitom vůbec nedozví, že si zálohu někdo stáhl. Řešení je úplně deaktivovat iCloud, ale tím se uživatel připraví o všechny užitečné výhody, které tato služba poskytuje.
Apple k tomu dodává, že veškerá data jsou šifrovaná jak po cestě na servery, tak i na samotných serverech. Pokud tedy v řetězci neudělal nějakou skulinku, logy si stejně přečte jen ten, kdo zná klíč (tj. uživatel). To je fér, byť možnost ruční vypnutí by utišila i ty největší paranoiky.
PS: Stejná metadata u nás musejí uchovávat i operátoři, a to po dobu minimálně šesti měsíců. Dostanou se pochopitelně ale jen k mobilním hovorů, ne těm z aplikací třetích stran.
Díra v Chrome umožnila napadnout 318 000 zařízení
11.11.2016 Root Zranitelnosti
Prohlížeč Chrome v Androidu obsahuje vážnou zranitelnost, která je aktivně zneužívána k instalaci bankovního trojana. Zatím podlehlo více než 300 000 zařízení.
Bezpečnostní díra v prohlížeči Google Chrome pro Android umožňuje potichu na kartu stáhnout libovolnou aplikaci ve formátu .apk, tedy mimo oficiální obchod Google Play. Uživatel přitom nemusí nic potvrzovat, vše se stane potichu a automaticky. Chyba je už nyní v praxi zneužívána.
Někteří uživatelé v posledních dnech zaznamenali, že na jejich Androidu vyskočí dialog varující před zavirovaným zařízením. Doporučuje nainstalovat aplikaci, která virus sama odstraní.
Bohužel jde o útok, který zneužívá zranitelnosti v Google Chrome a pomocí upravené webové stránky zmanipuluje uživatele, aby zapnul možnost ruční instalace aplikací z .apk souborů. Pak rovnou do systému takovou aplikaci stáhne. Bez uživatelova potvrzení, bez jeho vědomí. Prohlížeč obvykle před stahováním souboru uživatele varuje a ptá se ho, jestli chce soubor na kartu uložit. V tomto případě je ale zneužita chyba v Chrome, která dovoluje soubor zapsat bez varování.
Jde o soubor last-browser-update.apk, který obsahuje bankovního trojana pojmenovaného Trojan-Banker.AndroidOS.Svpeng.q. Ten po úspěšném nainstalování požádá o správcovská práva, aby mohl blokovat antiviry v přístroji. Poté krade bankovní data a čísla karet, zobrazuje phishingové zprávy a vykrádá další data jako kontakty, zprávy či historii prohlížení.
Škodlivý kód je možné najít na běžných webech, protože se šíří prostřednictvím reklamní sítě Google AdSense. Tu používá celá řada webů, protože přes ni automaticky prodává reklamní prostor a za to získává finance na svůj provoz. V praxi tak může být „napadena“ prakticky libovolná stránka. Trojan se pak k uživateli začne stahovat, jakmile je načtena stránka s reklamou.
Od srpna bylo takto napadeno přes 318 000 zařízení s Androidem a mechanismus napadení popisují na blogu vývojáři společnosti Kasperski Labs, Mikhail Kuzin a Nikita Buchka. Postup spočívá v rozdělení stahovaného souboru na části a stažení pomocí funkce ve třídě Blob(). V takovém případě prohlížeč nekontroluje obsah souboru a dovolí jej uložit.
Uložený soubor může mít jedno z těchto jmen:
last-browser-update.apk
WhatsApp.apk
Google_Play.apk
2GIS.apk
Viber.apk
DrugVokrug.apk
Instagram.apk
VKontakte.apk
minecraftPE.apk
Skype.apk
Android_3D_Accelerate.apk.
SpeedBoosterAndr6.0.apk
new-android-browser.apk
AndroidHDSpeedUp.apk
Android_update6.apk
WEB-HD-VIDEO-Player.apk
Asphalt7_Heat.apk
CHEAT.apk
Root_Uninstaller.apk
Mobogenie.apk
Chrome_update.apk
Trial_Xtreme.apk
Cut_the_Rope2.apk
Установка.apk
Temple_Run.apk
Jde o jména existujících regulérních aplikací a trojan pak uživateli vysvětlí, že je potřeba nainstalovat důležitou aktualizaci. Uživatel pak už jen potvrdí, že je možné balíček nainstalovat a problém je na světě.
Google o problému ví, odstranil napadené reklamy a tvrdí, že bude chybu záplatovat. Bohužel se nehovoří o konkrétním termínu, ale pokud vše půjde standardní cestou, dočkáme se další záplaty na začátku prosince, kdy po šesti týdnech vyjde nová aktualizace Chrome. Útočníci tedy budou mít ještě tři týdny čas a budou moci chybu dále zneužívat.
Microsoft opravil desítky zranitelností, některé hackeři už zneužívají
11.11.2016 SecurityWorld Zranitelnosti
Chyby, z nich některé jsou dokonce kritické, se týkají systémů Windows, Office, Edge, Internet Exploreru či SQL Serveru.
Opravu chyb pokrývá 14 aktualizací zabezpečení, tzv. security bulletinů, z čehož jeden je věnovaný přímo Adobe Flash Playeru, který se od verzí Windows 8.1 a 10 aktualizuje skrze Windows Update. Šest bulletinů je hodnoceno jako kritických a osm jako důležitých.
Administrátoři by měli jako první aplikovat MS16-135, který popravuje zranitelnost nultého dne (zero day vulnerability); tu nyní zneužívá skupina hackerů v odborných kruzích známá jako Fancy Bear, APT28 nebo Strontium.
Zranitelnost označená jako CVE-2016-7255 byla veřejně odhalena Googlem již minulý týden, pouhých 10 dní potom, co o ní informoval firmu Microsoft. To způsobilo lehké tření ve vztahu obou společností.
Google dává prodejcům jen sedm dní na opravení chyb nebo alespoň snížení důsledků, pokud se dané zranitelnosti již zneužívají. Microsoft dlouhodobě s touto strategií nesouhlasí a domnívá se, že odhalení detailů o zranitelnosti vystavilo uživatele zvýšenému riziku.
Další z klíčových bulletinů je MS16-132, označený jako kritický. Opravuje několik chyb umožňujících spuštění kódu na vzdáleném systému (RCE) včetně další zranitelnosti nultého dne, kterou, dle Microsoftu, hackeři rovněž využívají.
Zranitelnost se nachází v knihovně fontů Windows a lze jí zneužít skrze speciálně vytvořené fonty, vložené do webových stránek nebo dokumentů. Úspěšné využití chyby umožňuje útočníkům převzít kompletní kontrolu nad systémem, varuje v bulletinu Microsoft.
Zbylé tři kritické bezpečnostní aktualizace jsou v Internet Exploreru a Edge, internetových prohlížečích firmy. Jde o bulletiny MS16-142 a MS16-129. Ačkoli detaily o chybách již unikly na veřejnosti, podle Microsoftu je zatím nikdo nezneužil.
Aktualizace zabezpečení mířená na Office balíček firmy, MS16-133, je označená jako důležitá; opět záplatuje možnosti spuštění kódu na vzdáleném systému. Zranitelnosti lze zneužít pomocí účelně vytvořených dokumentů.
„Protože Office dokumenty převládají ve firemním prostředí, myslím, že by [se adminitrátoři] měli k bulletinu chovat jako ke kritickému, i když je označen jen jako důležitý,“ říká Amol Sarwate, ředitel Vulnerability Labs firmy Qualys k analýze aktualizací.
Správci Microsoft SQL Serveru by zase měli upřednostnit MSL-136 bulletin, který zahrnuje záplaty na RDBMS engine, MDS API, SQL Analysis Services a SQL Server Agenta.
„Zranitelnosti SQL Serveru jsou poměrně vzácné, a ačkoli zde nehrozí útoky spuštěním kódu na vzdáleném systému, útočníci mohou získat zvýšená práva v systému, což jim může umožnit zobrazovat, měnit nebo mazat data či vytvářet nové účty,“ dodává Sarwate.
DDoS útoků přibývá. Na vině je i laxnost uživatelů
10.11.2016 Novinky/Bezpečnost Počítačový útok
Útoky nejrůznějších botnetů – tedy sítí zotročených počítačů i mobilů – jsou stále častější. Za uplynulé čtvrtletí byly podle antivirové společnosti Kaspersky Lab napadeny tímto způsobem cíle v 67 zemích. Kyberzločincům přitom práci velmi usnadňuje i laxnost samotných uživatelů.
Co je DDoS
Útok DDoS (Distributed Denial of Service) má vždy stejný scénář. Stovky tisíc počítačů začnou přistupovat v jeden okamžik na konkrétní server. Ten zpravidla nezvládne tak vysoké množství požadavků zpracovat a spadne. Pro běžné uživatele se pak takto napadená webová stránka tváří jako nedostupná.
Ve třetím kvartále byly botnetovými útoky napadeny cíle celkem v bezmála sedmi desítkách zemí. Zatímco v Japonsku, Spojených státech a Rusku počty útoků vzrostly, počty čínských a jihokorejských obětí naopak znatelně klesly.
Zajímavé je rozhodně i to, že ve zmiňovaném čtvrtletí se poprvé mezi prvními 10 zeměmi s nejvyšším počtem zaznamenaných DDoS útoků objevily tři západoevropské státy – Itálie, Francie a Německo.
Nejčastější jsou útoky na Čínu
Nejvíce DDoS útoků bylo nicméně ve sledovaném období cíleno na Čínu, i když ve srovnání s předchozím čtvrtletím jde o pokles. Konkrétně jen na populární čínský vyhledávač Baidu bylo vedeno dohromady 19 útoků, přičemž byl tento poskytovatel zároveň vystaven nejdéle trvajícímu útoku ve třetím čtvrtletí – rekordních 184 hodin.
K podobným útokům pomáhají nevědomky počítačovým pirátům také někteří uživatelé, které si příliš nelámou hlavu se zabezpečením svých zařízení. Je nutné podotknout, že řeč není pouze o chytrých telefonech a klasických počítačích, ale například také o tzv. zařízení internetu věcí (IoT) – tedy například nejrůznější kamery, které se mohou připojovat k internetu.
Právě tato zařízení se stala součástí obřího botnetu, který využili kyberzločinci na konci října na útok na DNS servery společnosti Dyn. Ty standardně překládají webové adresy na číselné adresy fyzických počítačů (IP adresy). Právě proto se podařilo hackerům vyřadit z provozu na východním pobřeží USA hned několik velkých webů – tím, že nefungoval překladač (DNS servery), webové prohlížeče po zadání adresy nevěděly, kam se mají připojit.
Uživatelé se tak nemohli připojit například na sociální sítě Twitter a Facebook, zpravodajské servery Daily News, CNN i New York Times a hudební portály Spotify a Soundcloud.
Uživatelé by měli dbát na zabezpečení
K útokům na koncové uživatele využívají počítačoví piráti velmi často různé viry, prostřednictvím kterých mohou napadenou stanici ovládat na dálku. Tu pak přiřadí do obřího botnetu, s jehož pomocí pak v případě dostatečné velikosti mohou vyřadit z provozu prakticky libovolný cíl na internetu.
Zabránit DDoS útokům tak mohou v první řadě samotní uživatelé, když budou klást dostatečný důraz na zabezpečení svých zařízení.
Kdo zaútočil na klienty Tesco Bank? A nepřipravuje se něco podobného i v Česku?
10.11.2016 SecurityWorld Hacking
Za únik peněz z účtů dvaceti tisíc klientů Tesco Bank je podle všeho zodpovědný škodlivý kód, který se vydává za objednávku, fakturu nebo podobný dokument v e-mailu.
„Výsledkem infekce je, že škodlivý kód Retefe, který jsme detekovali, modifikuje stránku internetového bankovnictví, jež se zobrazuje klientovi banky v jeho prohlížeči, následně se pokouší sbírat přihlašovací údaje oběti,“ říká Miroslav Dvořák, technický ředitel Esetu.
„V některých případech ho naláká i na to, aby na své mobilní zařízení nainstaloval mobilní kompomentu tohoto škodlivého kódu, kterou detekujeme jako Android/Spy.Banker.EZ,“ dodává Dvořák.
Podle britských médií tímto způsobem unikly finance z účtů dvaceti tisíc klientů Tesco Bank. Instituce zároveň pozastavila všechny on-line transakce 140 tisícům zákazníků.
Malware Retefe dokáže modifikovat stránky internetového bankovnictví ve všech hlavních webových prohlížečích, včetně Google Chrome, Mozilla Firefox a Internet Exploreru. Eset upozorňuje, že klienti Tesco Bank nemusí být jediným cílem útočníků.
Autoři škodlivého kódu se zaměřili i na klienty dalších bank v Británii a německy hovořících zemích. Tyto banky aktuálně kontaktuje Eset s varováním o hrozbě, která jejich klienty může připravit o peníze.
Eset má podle svých slov podklady k analýze kódu Retefe díky aktivnímu monitoringu škodlivých kódů pomocí služby Threat Intelligence. Ta je v současnosti dostupná v České republice a na Slovensku. V nejbližších měsících ji společnost prý spustí i v jiných zemích světa.
Populární přehrávač Flash Player je děravý. Opět
9.11.2016 Novinky/Bezpečnost Zranitelnosti
Hned několik bezpečnostních chyb bylo nalezeno v programu Flash Player. Společnost Adobe, která za touto populární aplikací pro přehrávání internetových videí stojí, již vydala pro všechny trhliny záplaty. Uživatelé by s ohledem na možná rizika neměli s jejich instalací otálet.
Hned několik bezpečnostních oprav vydávala společnost Adobe v minulém týdnu. Tehdy se počítačoví piráti mohli prostřednictvím objevených chyb dostat do napadeného stroje a spustit na něm libovolný škodlivý kód.
V praxi stejnou paseku mohou kyberzločinci nadělat i s využitím nově objevených chyb, na které upozornil Národní bezpečnostní tým CSIRT.CZ.
Jak již bylo zmíněno výše, opravy jsou však již k dispozici. „Nově uvolněné bezpečnostní záplaty pro Flash Player opravují několik závažných zranitelností umožňujících spuštění libovolného kódu,“ potvrdil Pavel Bašta, bezpečnostní analytik týmu CSIRT.CZ, který je provozován sdružením CZ.NIC.
To jinými slovy znamená, že s využitím chyb mohou piráti propašovat do cizího počítače prakticky jakýkoli virus.
Další várka oprav po týdnu
Společnost Adobe je s ohledem na aktuální hrozbu nucena vydávat další várku aktualizací pouhý týden poté, co byly opraveny předchozí trhliny.
I když se situace může zdát alarmující, je to dáno tím, že Flash Player je velmi populární. Tento přehrávač videí na internetu používají po celém světě desítky miliónů lidí. Právě proto se na něj velmi často zaměřují kyberzločinci.
Stahovat záplatu je možné prostřednictvím automatických aktualizací daného programu nebo prostřednictvím stránek společnosti Adobe.
Ransomware nepřestává strašit, počet obětí vyděračských virů roste
8.11.2016 Novinky/Bezpečnost Viry
Vyděračské viry pojmenované souhrnným označením ransomware představují pro uživatele stále větší riziko. Ve třetím čtvrtletí letošního roku se počet obětí těchto škodlivých kódů dokonce výrazně zvýšil. Vyplývá to z analýzy antivirové společnosti Kaspersky Lab.
Jak probíhá útok vyděračského viru?
Útoky vyděračských virů probíhají prakticky vždy na chlup stejně. Nejprve zašifrují záškodníci všechna data uložená na pevném disku. Za jejich zpřístupnění pak útočníci požadují výkupné, a to klidně i několik tisíc korun.
Kyberzločinci se zpravidla snaží v majiteli napadeného stroje vzbudit dojem, že se ke svým souborům dostane po zaplacení pokuty. Ta byla údajně vyměřena za používání nelegálního softwaru apod. I proto jim celá řada lidí již výkupné zaplatila.
Ani po zaplacení výkupného se ale uživatelé ke svým datům nedostanou. Místo placení výkupného je totiž nutné virus z počítače odinstalovat. Zpřístupnit nezálohovaná data je už ale ve většině případů nemožné.
Počet obětí vyděračských virů vzrostl ve třetím kvartálu 2,6krát. To jinými slovy znamená, že za zmiňované tři měsíce se obětí stalo více než 821 tisíc lidí z různých koutů světa.
Poškození nejčastěji pocházejí z Japonska (4,83 %), Chorvatska (3,71 %), Jižní Koreje (3,36 %) Tuniska (3,22 %) a Bulharska (3,2 %). V předchozím kvartále bylo na prvním místě také Japonsko, ale druhé, třetí a čtvrté místo bylo obsazeno Itálií, Džibutskem a Lucemburskem.
Jaké množství z poškozených uživatelů představují Češi, analýza neuvádí.
Nejčastěji se šíří CTB-Locker
Nejvíce počítačoví piráti šíří vyděračský virus zvaný CTB-Locker, který je zodpovědný za téměř třetinu všech uskutečněných útoků (28,34 %). Ten zašifruje data uložená na pevném disku a za jejich odemčení požaduje výkupné v bitcoinech, v přepočtu jde o téměř 50 tisíc korun.
Sluší se připomenout, že výkupné by ale lidé neměli platit, protože nemají žádné záruky, že data budou skutečně zpřístupněna. Z podobných případů, které se objevovaly v minulosti, dokonce vyplývá, že nedochází k odšifrování dat prakticky nikdy. Jediným řešením je počítač odvirovat.
To platí i pro další dva vyděračské viry, které se umístily v čele žebříčku. Druhý ve třetím čtvrtletí skončil škodlivý kód Locky (9,6 %) a třetí CryptXXX (8,95 %).
Vyděračských virů jsou desetitisíce
Vyděračských virů je ale samozřejmě daleko více. „Krypto ransomware zůstává i nadále jednou z největších hrozeb jak pro koncové uživatele, tak i firmy. Současný skokový nárůst v počtu napadených uživatelů může být způsoben tím, že jsme oproti předchozímu čtvrtletí zaznamenali třiapůlkrát více modifikací ransomwaru – celkem více než 32 000 různých forem,“ podotkl Fedor Sinitsyn, expert na ransomware ve společnosti Kaspersky Lab.
„Důvodem tak vysokého počtu mohou být také značné investice do bezpečnostních řešení, která firmám umožňují co nejrychleji detekovat nové případy ransomwaru. Zločincům tak nezbývá než vytvářet stále nové modifikace svých malwarů,“ doplnil Sinitsyn.
Cisco vylepší zabezpečení koncových bodů pomocí nové cloudové služby
8.11.2016 SecurityWorld Zabezpečení
AMP for Endpoints, cloudové řešení, které podle výrobce spojuje prevenci, detekci a reakci na hrozby, představilo Cisco. Chce pomocí něj zjednodušit zabezpečení koncových bodů bez důrazu na neefektivní preventivní strategii.
Spojením prevence, detekce a reakce na hrozby do jednoho cloudového řešení poskytovaného na bázi modelu software jako služba (SaaS) prý novinka zastaví více hrozeb.
Díky cloudovému modelu navíc podle výrobc dokáže reagovat na hrozby rychleji a lépe je připraví na triky dnešních útočníků.
Vlastnosti AMP for Endpoints podle dodavatele:
Prevence nové generace kombinující osvědčené a pokročilé typy bezpečnostních funkcí, která zastaví známé i nově vzniklé hrozby. Páteř systému tvoří globální informace o hrozbách od týmu Cisco Talos. Díky tomu může novinka nabídnout zabudovanou technologii integrovaného izolovaného prostředí (tzv. sandboxu) pro oddělení a analýzu neznámých souborů.
Lepší viditelnost a rychlejší detekci díky průběžnému monitoringu a sdílení analytik pro odhalení skrytých útoků. AMP for Endpoints zaznamenává veškerou aktivitu na úrovni souborů a dokáže proto rychle detekovat škodlivé aktivity a upozornit bezpečnostní tým. Produkt disponuje největším množstvím dat o hrozbách, neboť analyzuje všechny škodlivé soubory, které se objevily u zákazníků firmy Cisco.
Účinnější odezvu postavenou na viditelnosti sítě a detailním záznamům o minulém chování různých typů malwaru – odkud se do sítě dostaly, kde byly a jak se chovaly. Produkt zrychluje proces odhalování škodlivého softwaru a cloudové rozhraní umožňuje vyhledávat napříč všemi podnikovými koncovými body a snadno zjistit indikátory, podle kterých škodlivý software lze odhalit.
Kromě toho Cisco zavádí nový způsob nákupu a nasazení svého bezpečnostního softwaru, a to přes program softwarových licencí Cisco ONE Software.
Kybernetičtí podvodníci připravili 20 000 klientů Tesco Bank o peníze
7.11.2016 Novinky/Bezpečnost Kriminalita
Terčem kybernetického útoku se tentokrát stali zákazníci britské finanční společnosti Tesco Bank. Kybernetickým podvodníkům se podařilo přesunout peníze ze zhruba 20 000 účtů bankovní divize největšího britského maloobchodního řetězce Tesco. Firma slíbila, že vzniklé finanční ztráty zákazníkům nahradí.
Tesco Bank spravuje zhruba 136 000 běžných účtů. Firma v reakci na útok zastavila veškeré internetové transakce, zákazníci nicméně mohou dál používat platební karty k nákupům i k výběru hotovosti.
Veškeré finanční ztráty plynoucí z těchto podvodných aktivit převezme banka," uvedl generální ředitel společnosti Benny Higgins. „Zákazníkům nehrozí žádné finanční riziko," dodal.
Podle Higginse firma během víkendu zaznamenala podezřelé aktivity u zhruba 40 000 účtů, peníze se útočníkům podařilo převést ze zhruba poloviny z nich. „Domníváme se, že částky, které zmizely, jsou relativně nízké, stále na tom ale pracujeme," uvedl Higgins.
Celkové náklady na odškodnění zákazníků budou podle Higginse představovat částku "velkou", ale ne "obrovskou". Agentura Reuters nicméně upozorňuje, že i v případě omezených finanční dopadů hrozí společnosti Tesco Bank výrazné poškození pověsti.
Největší kybernetické hrozby v Česku
7.11.2016 Novinky/Bezpečnost Viry
Danger, Nemucod či Fraud. To jsou jména tří počítačových virů, před kterými by se měli mít tuzemští uživatelé na pozoru. Během uplynulého měsíce šlo totiž v Česku o nejhojněji se vyskytující nákazy vůbec. Vyplývá to z pravidelné měsíční statistiky nejrozšířenějších hrozeb, kterou pravidelně sestavuje antivirová společnost Eset.
Stejně jako v září byl i v říjnu nejčastěji skloňovanou hrozbou škodlivý kód Danger, který se šíří nejčastěji prostřednictvím nevyžádaných e-mailů. V uplynulém měsíci měl podle Esetu na svědomí každý třetí útok.
Danger přitom představuje pro počítačové piráty poměrně účinnou zbraň. Tohoto nezvaného návštěvníka využívají k tomu, aby potají otevřeli zadní vrátka do cizího operačního systému. Prostřednictvím nich pak mohou propašovat do napadeného stroje další škodlivé kódy.
Nejčastěji pak šíří vyděračské viry označované souhrnným názvem ransomware. Útoky těchto záškodníků mají prakticky vždy stejný scénář. Nejprve začnou šifrovat obsah počítače a uživateli zobrazí oznámení, že za dešifrování počítače musí zaplatit, jinak se ke svým datům údajně již nikdy nedostane. Ani po zaplacení výkupného navíc nemají uživatelé jistotu, že se ke svým datům skutečně dostanou.
Virus je nutné z počítače odinstalovat a data následně pomocí speciálního programu odšifrovat. V některých případech to ale není možné.
Stejná taktika, jiný virus
Na prakticky stejném principu funguje také škodlivý kód Nemucod, který v říjnu obsadil s podílem 12,32 % druhou příčku v českých virových statistikách. Kyberzločinci jej tedy mohou využít k otevření zadních vrátek do systému a zároveň také k šíření dalších škodlivých kódů.
Třetí příčku v seznamu deseti nejčastěji odhalených nebezpečných kódů v říjnu zaujal trojský kůň PDF/Fraud. „Záměrem tvůrců je prostřednictvím tohoto malwaru přesvědčit uživatele, aby vyplnil a odeslal svoje citlivé osobní údaje,“ popsal Miroslav Dvořák, technický ředitel společnosti Eset.
K získání citlivých informací počítačoví piráti využívají celou řadu různých triků, uživatele například lákají na výhry v různých smyšlených soutěžích. I díky tomu se podařilo zmiňovanému škodlivému kódu získat ve statistikách téměř pětiprocentní podíl.
Deset nejrozšířenějších virových hrozeb v ČR – říjen 2016
1. JS/Danger.ScriptAttachment (35,02 %)
2. JS/TrojanDownloader.Nemucod (12,32 %)
3. PDF/Fraud (4,99 %)
4. Java/Adwind (3,58 %)
5. JS/TrojanDownloader.FakejQuery (3,03%)
6. DOC/Fraud (2,86 %)
7. JS/Kryptik.RE (1,95 %)
8. VBA/TrojanDownloader.Agent.BUX (1,54 %)
9. PowerShell/TrojanDownloader.Agent.Q (1,46 %)
10. JS/ProxyChanger (1,31 %)
Zdroj: Eset
Počet útoků přes botnety v Evropě raketově roste
4.11.2016 SecurityWorld BotNet
Sofistikovaných útoků řízených servery ze západní Evropy i obětí v tomto regionu rychle stoupá. Jak ukazují data firmy Kaspersky Lab, v červenci až září 2016 byly botnetovými DDoS útoky napadeny cíle celkem v 67 zemích, přičemž vysokou dynamiku je vidět právě v Evropě.
Zatímco v Japonsku, Spojených státech a Rusku počty útoků rostly, počty čínských a jihokorejských obětí naopak znatelně klesly. Ve zmiňovaném čtvrtletí se poprvé mezi prvními 10 zeměmi s nejvyšším počtem zaznamenaných DDoS útoků objevily tři západoevropské státy – Itálie, Francie a Německo.
Tento fakt souvisí se vzrůstajícím počtem aktivních kontrolních C&C serverů v západní Evropě, především ve Velké Británii, Francii a Nizozemsku.
I přes celkově nižší počet zaznamenaných útoků na Čínu bylo na tuto zemi stále cíleno nejvíce útoků – konkrétně jen na populární čínský vyhledávač bylo vedeno dohromady 19 útoků, přičemž byl tento poskytovatel zároveň vystaven nejdéle trvajícímu útoku ve třetím čtvrtletí (184 hodin).
Dnem, kdy byly DDoS útoky za poslední rok nejaktivnější, byl 3. srpen. Servery jednoho amerického poskytovatele služeb v ten den zaznamenaly 1 746 botnetových útoků.
Ve třetím čtvrtletí pokračovaly ve svém růstu počty SYN-DDoS útoků, jež činily 81 % všech registrovaných útoků, přičemž podíl TCP-DDoS a ICMP-DDoS opět klesl.
Rekordní vzestup zaznamenaly také útoky DDoS botů založené na operačním systému Linux, které dosáhly 79% podílu. Příčinou tohoto trendu by mohla být stoupající oblíbenost zařízení internetu věcí (IoT) založených na Linuxech, které jsou čím dál častěji zneužívány k DDoS útokům. Tento trend bude pravděpodobně ještě zesílený po úniku Mirai.
Analytici také zaznamenali navýšení počtu „chytrých“ útoků, které šifrují přenášená data. Typickým příkladem těchto útoků je zasílání relativně malého počtu dotazů šifrovaným spojením na „load-heavy“ části webových stránek (jako jsou vyhledávací formuláře).
Kvůli přenosu šifrovaným kanálem a své nízké intenzitě je pro mnohá speciální bezpečnostní řešení velmi těžké tyto útoky filtrovat.
Které kybernetické hrozby jsou momentálně největší?
2.11.2016 SecurityWorld Viry
Trojský kůň Fraud dokáže změnit systémové soubory a nastavení v napadeném zařízení, varují experti před stále se stupňující hrozbou v tuzemsku.
Nejrozšířenější počítačovou hrozbou současnosti v České republice je škodlivý kód Danger, který se šíří prostřednictvím příloh e-mailů. Vyplývá to z pravidelné měsíční statistiky bezpečnostní společnosti Eset za měsíc říjen.
Danger se drží v čele internetových hrozeb po většinu letošního roku, jeho podíl na detekovaných hrozbách ale začal klesat. V říjnu představoval zhruba třetinu detekcí malware (konkrétně 35,02 procenta), což je o 12 procentních bodů méně než v září. „Rozhodně se nedá říci, že by nebezpečí JS/Danger.ScriptAttachment polevovalo. Nadále zůstává s velkým náskokem největší hrozbou. Do napadeného zařízení dokáže stáhnout další škodlivé kódy, což z něj činí ještě zákeřnějšího nepřítele,“ říká Miroslav Dvořák, technický ředitel Esetu.
Na podobném principu pracuje i další downloader Nemucod, který byl v říjnu druhou nejčastěji zaznamenanou internetovou hrozbou. I jeho podíl ale oproti září viditelně klesl, a to o devět procentních bodů na hodnotu 12,32 procenta.
Třetí příčku v seznamu deseti nejčastěji odhalených nebezpečných kódů v říjnu zaujal trojský kůň PDF/Fraud. „Záměrem tvůrců je prostřednictvím tohoto malware přesvědčit uživatele, aby vyplnil a odeslal svoje citlivé osobní údaje,“ popisuje Dvořák. PDF/Fraud podle něj v říjnu představoval téměř pět procent všech zjištěných hrozeb na českém internetu.
Top 10 hrozeb v České republice za říjen 2016:
1. JS/Danger.ScriptAttachment (35,02 %)
2. JS/TrojanDownloader.Nemucod (12,32 %)
3. PDF/Fraud (4,99 %)
4. Java/Adwind (3,58 %)
5. JS/TrojanDownloader.FakejQuery (3,03%)
6. DOC/Fraud (2,86 %)
7. JS/Kryptik.RE (1,95 %)
8. VBA/TrojanDownloader.Agent.BUX (1,54 %)
9. PowerShell/TrojanDownloader.Agent.Q (1,46 %)
10. JS/ProxyChanger (1,31 %)
Kybernetické útoky jsou stále agresivnější. Británie výrazně zvýší výdaje na bezpečnost
1.11.2016 Novinky/Bezpečnost Počítačový útok
Británie posílí boj s kybernetickou kriminalitou. Na zlepšení své bezpečnosti vydá v příštích pěti letech 1,9 miliardy liber (57,2 miliardy Kč), oznámilo v úterý britské ministerstvo financí. Šéf tajné služby MI5 Andrew Parker varoval před „stále agresivnějšími” metodami Ruska, které se podle něj v soupeření se Západem spoléhá daleko častěji právě na kybernetické útoky.Investice by se měly soustředit na ochranu institucí i občanů proti útokům hackerů. Částku 1,9 miliardy liber vynaloží Londýn na boj s kybernetickým zločinem v průběhu příštích pěti let. Oproti předchozímu pětiletému období jde o zvýšení rozpočtu o polovinu.
„Nová strategie nám umožní podnikat výraznější kroky na naši obranu v kyberprostoru a odpovědět na útok, až budeme napadeni," uvedl Hammond ve zprávě ministerstva financí.
Britská vláda chce v následujících letech vytvořit také nový ústav, který se bude zabývat výzkumem kybernetické bezpečnosti. Fungovat bude paralelně s Národním střediskem kybernetické bezpečnosti (NCSC), které zahájilo svou činnost v říjnu a má zhruba 700 zaměstnanců.
Ředitel tajné služby MI5 v rozhovoru poskytnutém listu The Guardian dnes varoval, že Rusko se stává pro Británii stále větší hrozbou. K destabilizaci země podle něj Moskva používá sofistikované metody včetně kybernetických útoků. Rusko se hackerskými útoky snaží získat vojenská tajemství, informace o průmyslu a hospodářství i vládní a zahraniční politice, tvrdí Parker.
DDoS pod lupou: Co skutečně stojí za jedním z největších útoků posledních let?
28.10.2016 SecurityWorld Počítačový útok
Páteční útok na DNS poskytovatele Dyn způsobil nedostupnost mnoha významných webových stránek, mimo jiné Twitteru, Spotify, GitHubu, ale i zpravodajských portálů typu New York Times. Šlo o klasický DDoS útok s využitím mnoha hacknutých přístrojů internetu věcí.
Masivní výpadek přišel od hackerů využívajících přibližně 100 000 zařízení, infikovaných notoricky známým malwarem Mirai, schopným převzít kontrolu nad přístroji s unixovým prostředím - kamerami, DVR přehrávači apod., tvrdí Dyn.
„Můžeme potvrdit, že značné množství provozu pocházelo z botnetů hacknutých pomocí kódu Mirai,“ uvedlafirma na svém blogu.
Již předtím se mělo za to, že alespoň částečně za útoky stojí botnety vytvořené skrze Mirai; středeční zpráva však potvrzuje, že Mirai mohl za majoritní část distribuovaného DoS útoku.
Dalším, poměrně strašidelným zjištěním je, že se hackeři zřejmě drželi zpátky. Firmy vysledovaly rychlost šíření některých druhů Mirai až na více než 500 000 zařízení, a to velmi snadno díky slabým základním heslům.
Vzhledem k tomu, že za pátečními útoky stálo „jen“ 100 000 zařízení, je možné, že by hackeři zvládli ještě mnohem silnější DDoS útok, říká Ofer Gayer, bezpečnostní technik u společnosti Imperva, která se zaměřuje na zmírnění intenzity DDoS útoků.
„Možná, že šlo jen o varovný výstřel,“ popisuje. „Možná, že věděli, že takováto míra stačí a že nepotřebují nasadit svůj plný arzenál.“
Hackeři dosud využívali DDoS útoky na shození jednotlivých webových stránek, často za účelem vydírání, říká Gayer. Páteční útok na Dyn, klíčového člena internetové infrastruktury, je novinkou.
„Někdo opravdu zmáčkl spoušť,“ pokračuje Gayer. „Postavili největší botnet, se kterým mohou položit i ty největší cíle.“
Kromě pátečního incidentu si Imperva všimla nedávných útoků skrze Mirai botnety na svou vlastní webovou stránku a stránky svých klientů. Jeden srpnový byl opravdu velký s trafficem čítajícím 280 Gb/s. „Většina firem padne na 10 Gb/s. Ty největší pak na 100 Gb/s,“ vysvětluje Gayer.
Imperva si také povšimla, že mnoho z pozorovaných infikovaných zařízení šlo vysledovat na IP adresy ze 164 zemí, primárně ve Vietnamu, Brazílii a Spojených státech. Většinou šlo o CCTV kamery.
Ačkoli DDoS útoky nejsou zdaleka něčím novým, díky Mirai je jejich rozsah nevídaný. Nedávný silně medializovaný útok na novináře Briana Krebse zaměřeného na kybernetickou bezpečnost dosáhl neuvěřitelných 665 Gb/s.
Je stále nejasné, kdo stojí za pátečním útokem, podle některých bezpečnostních odborníků však jde o amaterské hackery. Na konci minulého měsíce totiž (rovněž neznámý) tvůrce malwaru Mirai uvolnil jeho zdrojový kód pro hackerskou komunitu, takže každý s alespoň minimálními základy hackingu jej může využít.
Ačkoli Mirai stojí za většinou útoku z minulého týdne, využity byly i jiné botnety, popisuje páteřní poskytovatel sítě Level 3 Communications. „Viděli jsmě alespoň jedno, možná dvě chování nekonzistentní s Mirai,“ uvedl hlavní bezpečnostní manažer firmy Dale Drew. Je podle ní možné, že hackeři v rámci ztížení vystopování využili několika botnetů.
Lidé podceňují bezpečnost domácích routerů. Mohou je ovládnout kyberzločinci
27.10.2016 Novinky/Bezpečnost Zabezpečení
Na alarmující situaci na poli domácích routerů poukazuje čerstvý průzkum antivirové společnosti Eset. Podle něj totiž lidé velmi podceňují zabezpečení těchto bran do světa internetu. Z každých sedmi testovaných routerů se podařilo napadnout alespoň jeden. To velmi nahrává kyberzločincům, kteří mohou tyto síťové prvky ovládnout na dálku.
„Test se zaměřil na kontrolu výchozích uživatelských jmen a hesel a jejich nejčastěji používaných kombinací. Je znepokojující, že v jednom případě ze sedmi byl útok úspěšný,” řekl Peter Stančík, Security Evangelist společnosti Eset.
Ten zároveň upozornil na to, jakého hlavního neduhu se lidé při konfiguraci síťových prvků dopouštějí.
„Zejména nezabezpečené služby, jako je Telnet, by rozhodně neměly být otevřené, a to ani do interních sítí, což bylo bohužel zjištěno ve 20 procentech případů,“ dodal Stančík.
Slabá hesla, nevhodné nastavení
Průzkum dále ukázal, že 15 procent uživatelů používá slabá hesla, nejčastěji v kombinaci s přednastaveným uživatelským jménem „admin“. Přibližně 7 % testovaných zařízení navíc obsahovalo zranitelnost, kterou bezpečnostní experti označili jako středně nebo vysoce vážnou. Skenování portů odhalilo, že síťové služby jsou velmi často přístupné nejen z vnitřních, ale i z externích sítí.
Více než polovina dalších zranitelností vycházela z nevhodně nastavených přístupových práv. Na pozoru by se měli mít lidé podle průzkumu, do kterého bylo zařazeno na 12 000 routerů, také před zneužitím příkazů tzv. metodou command injection.
„Ta cílí na spouštění libovolných příkazů ve vzdáleném operačním systému skrze zranitelnosti v aplikacích, které nemají dostatečně ošetřeno ověření vstupů. Bezmála 10 % softwarových zranitelností se týkalo takzvaného cross-site scriptingu (XSS), který umožňuje útočníkovi měnit konfiguraci routeru tak, aby mohl spouštět škodlivé skripty na straně klienta,“ uvádí bezpečnostní expert.
Co se stane, když se útočníkům podaří do routeru dostat? Nejčastěji se snaží přesměrovat internetový provoz. Místo serverů, jako jsou například Seznam nebo Google, se poškozeným zobrazí například hláška o nutnosti instalace flash playeru. Místo té se ale do PC stáhne další virus. Útočníci tak rázem mají přístup nejen k routeru, ale i k připojenému počítači.
Počet útoků stoupá
Na brány do světa internetu se zaměřují kyberzločinci stále častěji. Využívají toho, že zabezpečení těchto internetových zařízení uživatelé především v domácnostech velmi podceňují, někdy to ale platí i o firmách. Březnová studie Cisco Annual Security Report ukázala, že devět z deseti internetových zařízení má slabá místa.
Hlavní problém je podle bezpečnostních expertů v tom, že routery není možné chránit antivirovými programy, jako je tomu u počítačů. I tak ale nejsou uživatelé úplně bezbranní. Řešením je stahování vždy nejnovějších aktualizací a bezpečnostních záplat, stejně jako vhodná konfigurace každého síťového prvku.
Do konfigurace routerů by se nicméně neměli pouštět méně zkušení uživatelé. Mohou totiž nevhodným nastavením způsobit více škody než užitku. Paradoxně tak mohou klidně otevřít zadní vrátka pro útočníky.
Vyděračské viry na vzestupu, patří mezi nejrozšířenější hrozby na světě
26.10.2016 Novinky/Bezpečnost Viry
Škodlivé kódy z rodiny ransomware, jak jsou označovány vyděračské viry, se vůbec poprvé dostaly na přední příčky žebříčku nejrozšířenějších počítačových hrozeb. To jinými slovy znamená, že kyberzločincům se daří tyto nezvané návštěvníky propašovávat do cizích PC stále častěji. Vyplývá to z analýzy antivirové společnosti Check Point.
Nejrozšířenějším virem vůbec byl v září Conficker, jak Novinky informovaly již dříve. [celá zpráva]
Druhá příčka pak patří škodlivému kódu Satily a třetí právě vyděračskému viru. „Vůbec poprvé se v rámci výzkumu dostal ransomware do Top 3 nejrozšířenějších malwarových rodin. Ransomware Locky byl zodpovědný v průběhu září za 6 procent všech detekovaných útoků po celém světě,“ prohlásil David Řeháček, bezpečnostní odborník ze společnosti Check Point.
Celkově útoky ransomwaru za září stouply o 13 procent. Právě Locky dělá bezpečnostním expertům velké vrásky na čele. Používá totiž poměrně sofistikované šifrování. Jde o obdobu toho, jaké používají finanční instituce při zabezpečení plateb po internetu.
Výkupné neplatit
V případě Lockyho kyberzločinci infikují systém e-mailem s wordovou přílohou, která obsahuje škodlivé makro. Jakmile uživatel soubor otevře, makro spustí skript, který stáhne spustitelný škodlivý soubor, nainstaluje se na počítač oběti a vyhledává soubory, které šifruje. Uživatel potom ani neví, že útok začal právě kliknutím na e-mailovou přílohu.
Kyberzločinci se pak zpravidla snaží v majiteli napadeného stroje vzbudit dojem, že se ke svým souborům dostane po zaplacení pokuty. Ta byla údajně vyměřena za používání nelegálního softwaru apod. I proto jim celá řada lidí již výkupné zaplatila.
Ani po zaplacení výkupného se ale uživatelé ke svým datům nedostanou. Místo placení výkupného je totiž nutné virus z počítače odinstalovat. Zpřístupnit nezálohovaná data je už ale ve většině případů nemožné.
Ostražití by před vyděračskými viry neměli být pouze majitelé klasických počítačů. Loni v červnu bezpečnostní experti odhalili nezvaného návštěvníka, který požadoval výkupné i na mobilním telefonu. [celá zpráva]
Česko je v hledáčku pirátů stále častěji
Společně se statistikami nejrozšířenějších virových hrozeb zveřejnila společnost Check Point také žebříček zemí, které jsou nejčastěji terčem kyberútoků.
A pro tuzemské uživatele tato data nevyznívají ani trochu pozitivně. „Česká republika se v září umístila na 72. pozici, což je vzestup o 16 míst a posun mezi méně bezpečné země. O 16 míst se posunulo mezi méně bezpečné země i Slovensko, které je nyní na 61. pozici,“ konstatoval Řeháček.
„Naopak nejvýrazněji se mezi bezpečnější země posunul Kazachstán, který klesl o 47 míst na 55. pozici. Největší posun mezi nebezpečnější země zaznamenalo Portoriko, které se posunulo o 55 míst na 47. pozici. Na prvním místě se v Indexu hrozeb umístila Botswana, která poskočila o 19 míst,“ uzavřel.
Zjednodušte si šifrování pro mobilní komunikaci
26.10.2016 SecurityWorld Mobilní
Babelbox, miniserver pro šifrovanou komunikaci se systémy s Windows nebo MacOS a s mobilními zařízeními na platformách iOS, Android a BlackBerry, představila firma OKSystem.
Novinka se dodává jako předinstalovaná aplikace Babelnet (verze Enterprise) na mini PC HP Elite Desk 400 G2 s licencí pro 5, 10 nebo 15 uživatelů. Cena přitom začíná na 42 750 Kč.
Babelnet podle výrobce kombinuje silné kryptografické algoritmy a protokoly pro zajištění autenticity, soukromí a integrity při zasílání i uložení zpráv a dokumentů na počítačích a mobilních zařízeních.
Babelnet klient se instaluje na mobilní zařízení či počítače a okamžitě se připojí k serveru ve firemní síti, Babelboxu či cloudu. Firemní instalace umožní snadný dohled, integraci a správu uživatelů a zařízení.
Babelnet rovněž podporuje jednoduchou integraci s aplikacemi třetích stran (DMS, HR, CRM…) a zajišťuje tak automatizovaný a bezpečný přenos informací a dokumentů z firemních aplikací k uživatelům.
Podle průzkumu OKSystemu na vzorku 2 173 tuzemských právníků, manažerů, top managerů, majitelů firem, akcionářů a generálních ředitelů podniků má 80 % oslovených manažerů obavu, že někdo má zájem získávat informace z jejich pracovní, osobní nebo firemní komunikace.
„Malé firmy často nemají vlastní IT odborníky a potřebují jednoduše nasaditelné systémy nenáročné na údržbu,“ tvrdí šéf vývoje a spoluzakladatel společnosti OKsystem Ivo Rosol. Podle něj právě systém, který jejich firma představila, zajistí komunikační bezpečnost i pro nejmenší společnosti.
Funkce Babelboxu podle výrobce:
Webová admin konzole
Správa a konfigurace
Účty uživatelů a skupin
Správa zařízení
Distribuce veřejných klíčů
API pro integraci
Možnost připojení USB LTE modemu v případě nedostupnosti sítě
Přepošli mi tuhle zprávu, zkouší napálit důvěřivce na Facebooku podvodníci
25.10.2016 Novinky/Bezpečnost Sociální sítě
Česká spořitelna varovala před novou vlnou podvodů, která se šíří především prostřednictvím sociální sítě Facebook. Zprávami se podvodníci snaží vylákat autorizační kódy k transakcím provedeným přes internetové bankovnictví.
Ukázka podvodné zprávy
Na první pohled se může zdát, že žádosti o přeposlání potvrzovací SMS zprávy chodí od skutečných přátel. Ve skutečnosti však počítačoví piráti využívají napadené a podvodné účty na Facebooku. Za skutečné přátele se tedy pouze vydávají.
„Podvodník osloví klienta z profilu některého z jeho přátel, že má problém s telefonem. Následně klienta požádá, jestli si může nechat poslat autorizační SMS na jeho telefon s tím, aby mu ji klient pak přeposlal,“ varovali zástupci České spořitelny.
SMS zprávy nikomu nepřeposílat
Právě v tom je ale kámen úrazu. „Tato SMS však ve skutečnosti patří klientovi a jejím přeposláním umožní podvodníkovi autorizovat platby ze svého vlastního účtu. Skutečný majitel profilu, kterým podvodník klienta osloví, o podvodu pravděpodobně vůbec netuší,“ stojí v prohlášení banky.
Na podobné žádosti by uživatelé neměli vůbec reagovat. „Nikdy nikomu nepřeposílejte autorizační SMS kódy. Pokud jste to už ale udělali, doporučujeme vám okamžitě kontaktovat naši bezplatnou informační linku 800 207 207,“ podotkli zástupci spořitelny.
Není vyloučeno, že podvodníci se podobným způsobem budou snažit napálit také uživatele jiných finančních institucí, případně budou podobný styl útoků zkoušet také přes jiné komunikační kanály. Obezřetnost je tak namístě.
Pasti na Facebooku
Na Facebook se počítačoví piráti zaměřují celkem často. Před časem například pod hlavičkou České spořitelny lákali na nabídky, ve kterých slibovali za použití nové verze internetového bankovnictví finanční bonus ve výši 1000 Kč.
Podvodná nabídka na Facebooku
Ve skutečnosti samozřejmě o žádnou novou verzi internetového bankovnictví nejde. Kyberzločinci se pouze touto nabídkou na sociální síti snaží vylákat z důvěřivců jejich přihlašovací údaje. Poté jsou jen krůček od toho, aby lidem vybílili účet nebo si prostřednictvím něj sjednali nějakou půjčku.
V podstatě jim stačí propašovat na chytrý telefon virus, prostřednictvím kterého budou schopni odchytávat potvrzovací SMS zprávy. Nezvaných návštěvníků s touto schopností kolují internetem desítky, riziko nakažení tedy není vůbec nepravděpodobné.
Případně jim stačí o potvrzovací zprávu požádat z jiného napadeného počítače, jak bylo popsáno už v úvodu tohoto článku.
Útočníci obejdou i autorizační SMS z banky. Stačí jim k tomu Facebook
25.10.2016 Živě.cz Mobilní
Česká spořitelna varuje před útočníky, kteří využívají Facebook pro získání autorizačních kódů internetového bankovnictví. Ty jsou standardně doručovány formou textové zprávy. Pokud se například díky phishingu dostanou přes přihlašovací formulář do správy účtu, stále jim budou scházet potvrzovací kódy, které by jim umožnily přeposlat peníze na vlastní účty.
Americký úřad varuje: dvouúrovňové ověřování pomocí SMS není bezpečné
Pro jejich vylákání využívají triviálního triku na Facebooku. Uživateli napíší zprávu s tím, že jim jejich vlastní zpráva nedorazila a zda ji mohou nechat poslat na telefon oběti. Té sice autorizační SMS dorazí, nicméně s kódem k vlastnímu účtu. Pokud jej potom útočníkovi přepošle, nic mu nebrání ve vykradení účtu. Pro věrohodnější postup může útočník použít kradený účet na Facebooku, takže si oběť myslí, že opravdu komunikuje se svým kamarádem.
Ukázka zprávy na Facebooku, která má od oběti vylákat autorizační kód z SMS
(zdroj: Česká spořitelna)
Podobné podvody, které obsahují prvky sociálního inženýrství nebo znalostního hackingu ostatně v létě přiměli americký bezpečnostní úřad prohlásit ověřování pomocí SMS za nedostatečné. Náhradou by se v budoucnu měli stát autorizační aplikace nebo biometrická autentizace.
Dejte si pozor na Hicurdismos, malware, který se tváří jako Microsoft Security Essentials
25.10.2016 Živě.cz Viry
Microsoft na svém blogu upozorňuje uživatele na hrozbu, která má název Hicurdismos. Jde o škodlivý software, který je zabalený do falešného instalačního souboru bezpečnostního balíku Microsoft Security Essentials.
Vlevo instalační soubor Microsoftu, vpravo ten s malwarem
Pokud si uživatel malware stáhne a nainstaluje, začne mu zobrazovat modrou obrazovku smrti – samozřejmě také falešnou. Na té však nenajde informace o tom, že má počítač restartovat a další běžný postup, ale telefonní číslo technické podpory pro vyřešení problému. Pokud na něj neznalý uživatel opravdu zavolá, automat jej donutí ke stažení dalšího malwaru nebo rovnou bude žádat o platbu.
Obrazovka se tváří jako běžná BSoD, na konci však najdete telefonní číslo technické podpory. Ta bude žádat platbu nebo stažení dalšího malwaru
Problém se bude týkat především uživatelů ve Spojených státech či Kanadě, ty tuzemské by mělo odradit především zahraniční telefonní číslo. Pravdou však je, že balík Microsoft Security Essential není třeba ve Windows 8.1 a Windows 10 stahovat, neboť obsahuje totožný bezpečnostní software v podobě Windows Defender.
Domácí routery nejsou bezpečné, varuje Eset
25.10.2016 SecurityWorld Hrozby
Mezi nejčastější problémy patří softwarové zranitelnosti a slabá hesla – kvůli nim je každý sedmý směrovač zranitelný. Internetový router se tak může jednoduše stát doslova Achillovou patou zabezpečení.
Eset uveřejnil průzkum, který se zaměřil na jednu z nejvíce podceňovaných bezpečnostních hrozeb – domácí routery. Vyplynulo z něj, že 15 procent testovaných zařízení používá slabá hesla, nejčastěji s uživatelským jménem „admin“.
Z průzkumu dále vyplynulo, že přibližně 7 % testovaných zařízení obsahovalo zranitelnost, kterou bychom mohli označit jako středně nebo vysoce vážnou. Skenování portů odhalilo, že síťové služby jsou velmi často přístupné nejen z vnitřních, ale i z externích sítí.
„Test se zaměřil na kontrolu výchozích uživatelských jmen a hesel a jejich nejčastěji používaných kombinací. Je znepokojující, že v jednom případě ze sedmi byl útok úspěšný,” říká Peter Stančík, Security Evangelist v Esetu.
„Zejména nezabezpečené služby jako je Telnet by rozhodně neměly být otevřené a to ani do interních sítí, což bylo bohužel zjištěno ve 20 procentech případů,“ dodává Stančík.
Většina nalezených zranitelností, více než 50 %, vycházela z nevhodně nastavených přístupových práv.
Druhou nejčastější zranitelností (40 %) bylo zneužití použitých příkazů metodou „command injection“. Ta cílí na spouštění libovolných příkazů ve vzdáleném operačním systému skrze zranitelnosti v aplikacích, které nemají dostatečně ošetřeno ověření vstupů.
Bezmála 10 % softwarových zranitelností se pak týkalo takzvaného cross-site scriptingu (XSS), který umožňuje útočníkovi měnit konfiguraci routeru tak, aby mohl spouštět škodlivé skripty na straně klienta.
„Výsledky ukazují, že routery lze napadnout poměrně jednoduše zneužitím některé z nalezených zranitelností. Mohou se tak stát Achillovou patou zabezpečení domácností i malých firem,” dodává Stančík.
Výsledky se sbíraly od uživatelů řešení Esetu (Smart Security a Smart Security Premium), kde je nově implementovaná funkce ochrany domácí sítě, která umožňuje uživatelům zjistit případné zranitelnosti v podobě špatné konfigurace, potenciálně nebezpečné síťové služby či slabého hesla na jejich domácích routerech.
Do pátečního útoku na populární weby mohl zasáhnout i váš router nebo IP kamera. Zkontrolujte si je
24.10.2016 Živě.cz Počítačový útok
Internet v pátek zažil masivní DDoS útok a nefungovalo při něm množství velkých webů. Jak upozornil web Motherboard, na útoku se podílela zařízení z botnetu Mirai, který zahrnuje i zařízení tzv. internetu věcí (IoT) jako jsou routery či IP kamery.
Podle dostupných informací se do útoku zapojilo jen 10 % zařízení z botnetu, ale i to stačilo k tomu, aby byly vyřazeny z provozu populární služby jako Twitter, PlayStation Network, PayPal a další.
Chcete-li zjistit, zda může být součástí podobného botnetu i jedno z vašich síťových zařízení, vyzkoušejte webovou službu Bull Guard.
Nástroj skenuje primárně IoT zařízení v síti a zjišťuje možné zranitelnosti, případně využití defaultních, výrobcem předdefinovaných hesel. Právě ta jsou totiž velmi častým důvodem, proč se zařízení do podobného botnetu dostane.
Pokud Bull Guard taková zařízení objeví, upozorní na ně. Uživatel by měl následně přístupové údaje změnit. To by měl koneckonců udělat při koupi každého zařízení - zejména pokud bude připojeno k internetu.
Zákeřný červ děsí bezpečnostní experty i po letech
21.10.2016 Novinky/Bezpečnost Viry
První verze zákeřného červa Confickera začala internetem kolovat už v roce 2008. Přestože zabezpečení počítačových systémů od té doby prošlo značným vylepšením, nové verze této hrozby stále nepřestávají strašit. Aktuálně dokonce tento nebezpečný malware kraluje statistikám nejrozšířenějších virových hrozeb.
Ve zmiňovaném roce 2008 byl Conficker několik dlouhých měsíců nejrozšířenější hrozbou vůbec, platilo to prakticky i celý rok 2009. V uplynulých letech však o sobě tento nezvaný návštěvník nedával vůbec vědět.
Zlom nastal až v letošním roce, kdy jej kyberzločinci začali hojně využívat. V tuzemsku i v zahraničí tak podle analýzy antivirové společnosti Check Point představoval tento červ nejrozšířenější hrozbu vůbec.
„Conficker byl v září celkově zodpovědný za 14 procent všech detekovaných útoků,” upozornil David Řeháček, bezpečnostní odborník ze společnosti Check Point.
Napadl i počítače v elektrárně
Conficker využívá zranitelnost operačního systému Windows. Pro tu už dávno existuje bezpečnostní záplata, ale jak je ze statistik zřejmé, s její instalací si velká část uživatelů hlavu neláme. Na konci dubna se dokonce ukázalo, že se tento nebezpečný červ uhnízdil v počítačích v bavorské jaderné elektrárně Gundremmingen. [celá zpráva]
Autoři Confickera vybudovali po celém světě velkou síť infikovaných PC, využitelných na libovolnou úlohu, poněvadž počítače mohou díky viru ovládat na dálku. Na jeho řízení použili autoři červa inovativní způsob. Každý den se vygenerují nové náhodné domény, kam se vir hlásí a žádá instrukce.
Tím prakticky bezpečnostním expertům znemožňují, aby mohli Confickera zcela vyřadit z provozu.
Důležité jsou aktualizace
Většina antivirových programů by si nicméně i s tou nejnovější verzí měla poradit. Pokud ne, mohou pomoci s jeho vystopováním nejrůznější on-line antivirové skenery. Ty jsou zpravidla k dispozici zadarmo.
Jak zajistit, aby se červ do počítače vůbec nedostal? Bezpečnostní experti důrazně doporučují nainstalovat do počítače všechny přístupné bezpečnostní aktualizace, které jsou dostupné přes systém automatických aktualizací nebo přes stránku Windows Update.
Peníze do technologií ano, do vzdělávání lidí ne -- firmy riskují, že jim zabezpečení dat selže
24.10.2016 SecurityWorld Hrozby
Firmy v tuzemsku chápou význam zajištění bezpečnosti svých dat i aplikací a investují nemalé prostředky do technologií. Často ale zapomínají na to, že by měli investovat také do lidí, kteří s těmito technologiemi pracují.
Podle průzkumů jsou v současné době až dvě třetiny firem do značné míry závislé na IT, objemy nashromážděných dat se každoročně zvyšují o třetinu.
Zajištění bezpečnosti dat a systémů vedení firem ve valné většině vnímají jako svou prioritu, investice do zabezpečení podle informací Gartner aktuálně meziročně narostly o 3,6 %.
Často ale zapomínají na investici do lidí, kteří s těmito systémy pracují, což drasticky snižuje jejich schopnost účinně se bránit i efektivnost vynaložených prostředků. Přitom krádež nebo poškození dat, případně pokus o ně, zažilo v posledním roce téměř 70 % firem.
„Vrcholoví manažeři si v současné době uvědomují, že investice do zabezpečení firemních dat a systémů jsou nezbytné. Málokdy ale pamatují také na to, že samotné systémy bez vzdělaných odborníků, kteří si udržují povědomí o aktuálních trendech a hrozbách, jsou neúčinné,“ říká William Ischanoe, produktový manažer kurzů oblasti IT bezpečnost ve firmě Gopas.
Ta pořádá v těchto dnech svou klíčovou konferenci HackerFest 2016 zaměřenou na IT bezpečnost a etický hacking. Prezentuje se zde například to, jak útočí současní hackeři, která nebezpečí číhají v kyberprostoru, jaké jsou největší aktuální hackerské hrozby, nebo k čemu hackeři využívají ovládnuté počítače. Partnerem konference je naše vydavatelství.
Velká kartová loupež miliónů bankovních údajů. Stopy vedou do Číny
22.10.2016 Novinky/Bezpečnost Kriminalita
Prostřednictvím počítačového viru, který cílil přímo na bankomaty a platební terminály v obchodech, se kyberzločinci dostali k více než 3,2 miliónu detailních informací o platebních kartách. Snadno tak mohou získané údaje zneužít k neoprávněným platbám a výběrům z cizích účtů. Podle serveru The Hacker News jde o vůbec největší zaznamenanou krádež tohoto druhu.
Odhalit nasazení viru, prostřednictvím kterého se počítačoví piráti dostali k detailním informacím o platebních kartách, se podařilo v Indii. Kyberzločinci dokázali obelstít zabezpečení prakticky všech tamních velkých finančních institucí – Státní indické banky (SBI), HDFC, Yes Banky, ICICI a Axisu.
To nicméně neznamená, že v ohrožení jsou uživatelé pouze v Indii. Při pohledu na pečlivou práci počítačových pirátů je totiž velmi pravděpodobné, že podobným způsobem se snažili získávat informace o kartách také v dalších koutech světa.
Prostřednictvím nezvaného návštěvníka zjistili útočníci přinejmenším PIN kód, číslo karty i jméno majitele karty.
Zda škodlivý kód skenoval jen samotnou kartu, nebo se rovněž napíchnul přímo na komunikaci mezi terminálem a bankou, zatím vyšetřovatelé neprozradili. Je tedy vcelku možné, že útočníci mají k dispozici daleko více informací o odcizených kartách.
Jak se viry dostaly do bankomatů?
Server The Economic Times upozornil také na to, že vyšetřovatelům se sice podařilo nezvaného návštěvníka odhalit, doposud však nedokázali zjistit, jak se do bankomatů a platebních terminálů dostal.
Zarážející je především to, že se kyberzločincům podařilo obelstít bezpečnostní systémy různých finančních institucí.
Jediným vodítkem vyšetřovatelů je zatím použitá platební platforma. Prakticky všechny dotčené banky totiž používaly systémy od společnosti Hitachi.
Ukradeno bylo dohromady 3,2 miliónu detailních informací o platebních kartách, z toho ve 2,6 miliónu případů jde o karty od společností Visa a Mactercard. Zbylých 600 tisíc odcizených údajů pak tvoří indická platforma RuPay.
Jak dlouho měli počítačoví piráti přístup k bankovním systémům, není zatím jasné.
Stopy vedou do Číny
Stopy útoku vedou podle vyšetřovatelů do Číny. Právě v nejlidnatější zemi planety totiž byly z postižených účtů vybrány neoprávněně peníze. Rozsah škod však jednotlivé finanční domy zatím ještě nevyčíslily. S ohledem na množství odcizených karet však pravděpodobně nepůjde o žádné nízké částky.
Dotčené banky již na hrozbu zareagovaly. Některé finanční instituce doporučily uživatelům neprodleně změnit PIN kódy ke svým kartám, jiné začaly karty rovnou blokovat.
Uživatelé se tak sice ke svým penězům nedostanou tak snadno, na druhou stranu se k nim nedostanou ani počítačoví piráti. Nové karty budou uživatelům vystaveny samozřejmě zdarma.
Nově objevená zranitelnost intelovských čipů otevírá PC k útokům
21.10.2016 Zranitelnosti
Jedna z vlastností intelovských procesorů Intelu řady Haswell se může zneužít – umožní totiž překonat jeden z důležitých typů ochrany před nákazou, který nabízejí všechny nejdůležitějších operační systémy.
Techniku, objevenou třemi vědci z Newyorské státní univerzity a Kalifornské univerzity, lze zneužít k překonání ochrany ASLR (address space layout randomization). ASLR je bezpečnostní mechanismus, který umisťuje strojový kód programů, knihovny a data v operační paměti do náhodně zvolené adresy. Útočník tak neví, kam svůj škodlivý kód vložit.
Cílem ASLR je znemožnit některé druhy exploitů, jmenovitě např. stack nebo heap overflow. Ve chvíli, kdy se ASLR překoná a zranitelnost zneužije, nakažený kód se vloží na konkrétní pozici v paměti, ve kterém se daný proces nebo jádro operačního systému spouští jako běžná součást činnosti.
Ve své studii vědci popisují, že BTB (branch target buffer), což je mechanismus mezipaměti využívaný předpovídačem větvení CPU, může být využit k úniku ASLR adres vytvořením kolizí mezi rozdílnými uživatelskými procesy nebo procesy v jádru. Předpovídač větvení, branch target predictor, se u moderních procesorů využívá k optimalizaci výkonu.
„BTB ukládá cílové adresy nedávno spuštěných větvících instrukcí, takže tyto adresy mohou být získány přímo z BTB k obdržení instrukcí, začínajících v cíli příštího cyklu,“ vysvětlují vědci ve studii. „Neboť BTB je sdíleno několika aplikacemi spouštějícími se na stejném jádře, únik informace z jedné aplikace do další skrze boční kanál BTB je možný.“
Výzkumníci předvedli svůj na BTB založený bypass na počítači s Intel Haswell CPU a operačním systémem Linux s jádrem verze 4.5. Jejích útok spolehlivě zjistil ASLR jádra využitím BTB kolizí během přibližně 60 milisekund.
Samotná studie navrhuje několik jak softwarových, tak hardwarových řešení, které by BTB útokům v budoucnu zabránily; nebo lépe zabezpečily současné ASLR implementace.
Útočníci mají již dnes i jiné metody překonání ASLR, ale obvykle vyžadují nalezení dalších paměťových zranitelností a jejich propojení s původním exploitem. Díky zlepšení softwarového zabezpečení v posledních letech vyžaduje vzdálené spuštění škodlivého kódu obvykle několikastupňové exploity.
Facebook, Twitter i CNN. Terčem obřího kybernetického útoku se staly velké weby
21.10.2016 Novinky/Bezpečnost Počítačový útok
Hned několik velkých světových serverů se v pátek stalo terčem masivního útoku typu DDoS. Kyberzločinci začali webové stránky přetěžovat krátce po 12. hodině středoevropského času. Útok podle serveru Tech Crunch trval několik hodin.
Podle prvních informací se počítačoví piráti zaměřili například na sociální sítě Twitter a Facebook. Zároveň však pokusy o přetížení byly zaznamenány také na zpravodajských serverech Daily News, CNN i New York Times. Pozornosti kyberzločinců neunikly ani hudební portály Spotify a Soundcloud.
Podle ohlasů uživatelů se přinejmenším tisíce lidí nemohly v průběhu několika hodin na dotčené webové stránky připojit, napsal server RT.com. Prohlížeče jim hlásily, že jsou nedostupné.
Follow
Spotify Status ✔ @SpotifyStatus
Uh oh, we’re having some issues right now and investigating. We’ll keep you updated!
2:59 PM - 21 Oct 2016
11 11 Retweets 23 23 likes
Technické problémy, kvůli kterým se někteří uživatelé nemohli připojit, již potvrdili zástupci Spotify na Twitteru
Webové stránky však nebylo možné načíst především v USA. Například evropští uživatelé tak snahy kyberzločinců pravděpodobně ani nezaznamenali.
Pod taktovkou zotročených počítačů
Útok DDoS (Distributed Denial of Service) má vždy stejný scénář. Stovky tisíc počítačů, které většinou počítačoví piráti zotročili a mohou je tedy ovládat na dálku, začnou přistupovat v jeden okamžik na konkrétní server. Ten zpravidla nezvládne tak vysoké množství požadavků zpracovat a spadne. Pro běžné uživatele se pak takto napadená webová stránka tváří jako nedostupná.
Uživatelé se tedy nemusí u serverů obávat toho, že by byla jakkoliv v ohrožení jejich data. Jediné, čeho počítačoví piráti dosáhli, je nedostupnost služeb pro uživatele.
I přesto je ale rozsah DDoS útoku v tomto případě alarmující. Kyberzločincům se totiž podle serveru RT.com podařilo vyřadit z provozu opravdu velké množství počítačů. To nasvědčuje tomu, že útok byl veden s velkou razancí, se kterou se bezpečnostní experti zatím nesetkali.
Podle prvních odhadů tak jde o jeden z nejmasivnějších DDoS útoků v celé historii internetu.
Velké dělo děsí bezpečnostní experty
Kdo za kybernetickým nájezdem stojí, zatím není jasné. Bezpečnostní experti nicméně již několik měsíců před útokem varovali, že Číňané mají k dispozici zbraň přezdívanou Velké dělo. Ta slouží právě k DDoS útokům
Velké dělo by mělo podle dřívějších ohlasů zvládnout s ohledem na svou velikost vyřadit z provozu prakticky libovolný cíl na internetu.
Kybernetickým útokům typu DDoS čelily začátkem března roku 2013 také některé tuzemské servery. Směřovány byly nejprve na zpravodajské weby, poté na portál Seznam.cz, servery bank a telefonních operátorů. Bezpečnostní experti v této souvislosti hovořili o největším útoku v historii českého internetu.
Bezpečnostní experti upozornili na 12 let starou chybu. Uživatelé se bránit nemohou
19.10.2016 Novinky/Bezpečnost Zranitelnosti
I 12 let stará chyba dokáže udělat bezpečnostním expertům pěkné vrásky na čele. Přesně takto starou trhlinu totiž objevili v minulých dnech bezpečnostní experti, kteří zároveň zjistili, že kyberzločinci ji mohou zneužít k útokům na zařízení internetu věcí (IoT). Samotní uživatelé se přitom prakticky bránit nemohou.
Co je internet věcí?
Za zkratkou IoT (Internet of Things, česky internet věcí) se ukrývá označení pro chytré přístroje, které jsou schopny připojovat se na internet a komunikovat mezi sebou prostřednictvím této celosvětové počítačové sítě.
Typicky jde například o zařízení, která umožňují sledování či ovládání některých funkcí na dálku. Připojit se k nim je možné prostřednictvím chytrého telefonu nebo počítačového tabletu přes internet, i když je uživatel na druhém konci planety.
Celosvětovou počítačovou síť mohou tímto způsobem využívat nejrůznější rekordéry, meteorologické stanice, ale klidně také chytré žárovky, u kterých je možné upravovat teplotu světla.
Chyba se týká protokolu OpenSSH, který využívají právě zmiňovaná zařízení ze segmentu chytrých domácností. Upozornili na ní výzkumníci ze společnosti Akamai Technologies – jednoho z největších světových poskytovatelů sítí distribuovaného obsahu.
Trhlinu mohou útočníci zneužít k tomu, aby v napadených zařízeních změnili nastavení proxy. Díky tomu jsou pak schopni řídit internetový provoz dotyčných přístrojů. Se stovkami tisíc napadených strojů, které je poslechnou na slovo, jsou schopni provádět například DDoS útoky.
Při něm velké množství PC – v tomto případě zařízení internetu věcí – začne přistupovat v jeden okamžik na konkrétní server. Ten zpravidla nezvládne tak vysoké množství požadavků zpracovat a spadne. Pro běžné uživatele se takto napadená webová stránka tváří jako nedostupná.
Přes dva milióny zařízení v ohrožení
Obavy jsou v případě objevené chyby na místě. Výše popsaným způsobem totiž mohou být zotročeny kvůli chybě v OpenSSH více než dva milióny zařízení.
Lze navíc předpokládat, že počítačoví piráti se trhlinu budou snažit velmi rychle zneužít. Botnety – tedy sítě zotročených počítačů nebo zařízení schopných přístupu na internet – jsou totiž na černém trhu ceněnou zbraní.
S dostatkem zotročených počítačů jsou totiž útočníci schopni vyřadit z provozu prakticky jakoukoliv webovou stránku a její provozovatele pak následně například vydírat, žádají po nich peníze za to, že útok ustane.
Chybu v protokolu OpenSSH může opravit pouze výrobce daného zařízení, a to vydáním nového firmwaru. Na rozdíl od klasických počítačů se tak uživatelé prakticky v současnosti před novou hrozbou bránit nemohou.
Popularita internetu věcí poroste
Internet věcí představuje pro uživatele velké pohodlí, zároveň se ale ukazuje i jeho stinná stránka – slabá bezpečnost.
Do roku 2020 přitom vzroste podle expertních odhadů počet připojených zařízení k internetu z nynějších 15 miliard na 200 miliard zařízení, na jednoho člověka tak připadne 26 těchto chytrých zařízení.
Kybernetické útoky jsou sofistikovanější, experti trénují obranu
19.10.2016 Novinky/Bezpečnost Počítačový útok
Kybernetické útoky jsou stále sofistikovanější. Odborníci, kteří pečují o kritickou páteřní infrastrukturu, proto potřebují častější a realističtější trénink. Novinářům to u příležitosti cvičení v brněnském kybernetickém polygonu řekl Radim Ošťádal z Národního centra kybernetické bezpečnosti. Centrum je součástí Národního bezpečnostního úřadu.
Důležité nejsou podle expertů jen technické znalosti a vybavení, ale i takzvané měkké dovednosti, třeba dělba práce a schopnost koordinace.
"Je velmi důležité si rozdělit, co má který člen týmu na starost. Stávalo se, že se dva členové zaměřili na jednu oblast a nevěnovali pozornost nějaké jiné, možná ještě důležitější, a bylo to proto, že se na začátku nedokázali efektivně domluvit," řekl vedoucí bezpečnostního týmu Masarykovy univerzity Jan Vykopal, který vyhodnocoval výsledky dřívějších cvičení.
Podmínky, které se blíží realitě
Trénink v polygonu umožňuje navodit podmínky, které se blíží realitě. Scénářem je tentokrát obrana bezpečnostního systému chránícího železniční síť a transportu s jaderným odpadem před útoky hackerských aktivistů. Experti ze státní sféry, firem i bezpečnostních složek jsou rozdělení do šesti týmů. Musejí zvládat také simulované informování veřejnosti a komunikaci s novináři.
"Letošní scénář jsme udělali složitější, obsahuje více zařízení a služeb. Týmy musí zvládnout nejen jejich obranu, ale musí být schopny také komunikovat s okolím a mít právní povědomí o dopadech svých rozhodnutí," popsal Vykopal. V polygonu jsou pozorovatelé z Finska a Estonska.
Do kritické informační infrastruktury spadají například systémy mobilních operátorů, bank a elektráren i sítě kontrolující dopravu. Podobná cvičení zaměřená na obranu infrastruktury jsou běžná po celém světě, vysoce ceněná jsou například cvičení organizovaná NATO.
Policie zadržela v centru Prahy ruského hackera, který měl napadat cíle v USA
19.10.2016 Novinky/Bezpečnost Hacking
Čeští policisté zadrželi ve spolupráci s americkým Federálním úřadem pro vyšetřování (FBI) mezinárodně hledaného ruského hackera, který údajně napadal cíle v USA. Po zadržení muž zkolaboval a musel být hospitalizován.
„Muž byl zadržen už 12 hodin po přijetí první operativní informace,“ řekl mluvčí policejního prezidia David Schön. Hledaný byl podle mluvčího zákrokem policistů natolik překvapen, že nekladl žádný odpor.
„Bezprostředně po zadržení se u muže projevil kolapsový stav a policisté mu museli neprodleně poskytnout první pomoc a nakonec byl hospitalizován v nemocnici,“ řekl Schön.
Po Česku se pohyboval luxusním vozem v doprovodu své přítelkyně. K samotnému zadržení došlo v jednom z hotelů v centru Prahy. Městský soud v Praze rozhodl o mužově vzetí do vazby. O vydání hackera do USA boudo nyní rozhodovat justiční orgány.
Nelegálně sbíráte data o lidech, nařkl soud tajné služby
19.10.2016 SecurityWorld Kyber
S vysokou pravděpodobností sbírá data o svých občanech téměř každý stát. Je otázkou, nakolik je tato činnost transparentní; soudní rozhodnutí ve Velké Britanii se však může stát první vlaštovkou postupného přiznávání špionážní činnosti na vlastních občanech.
Soud ve Spojeném království rozhodl o tom, že letitý sběr téměř všech informací o komunikaci tamějších občanů (s výjimkou samotného obsahu komunikace) porušuje Evropskou úmluvu o lidských právech.
Po veřejném přiznání vlády k této činnosti se ale sběr informací stává legálním, tvrdí Investigatory Powers Tribunal, nezávislý útvar, který se zabývá stížnostmi na zpravodajské agentury. Útvar však ještě čeká rozhodnutí o tom, zda lze ospravedlnit šíři získávaných informací a zda jednání agentur bylo úměrné hrozbám, které se snažily eliminovat.
Na základě stížnosti sdružení Privacy International z června 2015 tribunál souhlasí, že informační služby Spojeného království skutečně po dlouhé roky porušovaly Evropskou úmluvu o lidských právech tím, jak ve velkém sbíraly osobní informace o občanech státu.
Data zahrnují informace o tom, kdo kontaktoval koho, kdy, kde a pomocí čeho, kdo platil za hovor a kolik platil. „Prakticky jediné informace, které agentury nesbíraly, jsou samotný obsah,“ popisuje ve svém verdiktu soud. Legální sběr takových informací by vyžadoval příkaz k zadržení daného subjektu.
V principu vláda může zpravodajským službám povolit sběr komunikačních dat od mobilních a internetových operátorů díky zákonu z roku 1984 (shodou okolností rok vzniku zákona koresponduje s názvem antiutopického románu George Orwella, který se zabývá mj. právě otázkou „Velkého bratra“, tedy sledování občanů státem).
Zda však byl sběr dat a jeho šíře nutná je otázka zcela jiná: když v roce 1984 zákon vznikl, podotýká tribunál, žádné mobilní telefony ani internet neexistovaly.
Mimo dat týkajících se přímo komunikace sbíraly agentury také osobní informace - databáze pasů, telefonní adresáře, bankovní záznamy. Dle vyjádření tajných služeb během soudního řízení je však majorita občanů pro potřeby agentur nezajímavá.
Pravidla pro masový sběr osobních dat britská legislativa neupřesňuje, dodává tribunál. Informace o činnosti informačních služeb vyplynuly na povrch až v březnu roku 2015, vláda se ke sledování následně přiznala v listopadu téhož roku.
Dle tribunálu se sběr dat po přiznání vlády stal legálním, neboť je „předvídatelný“. Občané mohou předvídat, že je někdo sleduje, a musí tak počítat s následky svých činů.
„Je nepřijatelné, že jen skrze občanský soudní proces započatý charitou jsme se dozvěděli rozsah moci [tajných služeb] a jak ji využívají,“ říká Millie Graham Woodová, právnička Privacy International. Zároveň vyzvala agentury k veřejnému potvrzení, že nelegálně získaná osobní data budou zničená.
O konci praktiky shromažďování dat o občanech si ale v této neklidné době můžeme nechat jedině zdát. Ba naopak - s vývojem nových technologií bude stát mít k dispozici ještě více nástrojů, pomocí kterých své občany může sledovat.
Zákeřný virus se snaží získat fotografii uživatele a informace o platební kartě
18.10.2016 Novinky/Bezpečnost Viry
Na pozoru by se měli mít uživatelé před nově objeveným škodlivým kódem, který jim může udělat čáru přes rozpočet. A to doslova – prostřednictvím nezvaného návštěvníka se totiž kyberzločinci snaží z důvěřivců vylákat citlivé údaje. Před hrozbou varovali bezpečnostní experti antivirové společnosti Kaspersky Lab.
Virus Acecard se šíří především přes sociální sítě a e-maily, ještě přesněji prostřednictvím odkazů na podvodné webové stránky obsahující nějaké zajímavé video. Na nich je uživatel vyzván k tomu, aby nainstaloval aktualizaci Adobe Flash Playeru, tedy pluginu, který je potřebný právě k přehrávání videí.
Místo updatu si však důvěřivci do svého počítače stáhnou právě nezvaného návštěvníka. Sluší se podotknout, že nově objevený nezvaný návštěvník v současnosti útočí výhradně na smartphony s operačním systémem Android.
Virus v mobilu číhá
Na nich pak virus vyčkává na svou příležitost. Aktivuje se až ve chvíli, kdy chce uživatel spustit nějakou aplikaci, která dokáže pracovat s kreditní kartou. Jde tedy o nejrůznější programy internetového bankovnictví a internetových obchodů.
Po jejich spuštění se na dotykovém displeji zobrazí informace o tom, že je nutné zadat informace o platební kartě, a to včetně ověřovacích údajů. Důvěřivci se přitom mohou mylně domnívat, že data zadávají skutečně do dobře známé aplikace, ve skutečnosti je ale podvodníkům naservírují jako na zlatém podnosu.
„Okno s žádostí o vyplnění citlivých údajů se zobrazuje přes legitimní aplikace. Méně pozorní uživatelé tak nemají moc velkou šanci zjistit, že jde o podvod,“ varoval bezpečnostní expert společnosti McAfee Bruce Snell.
Pouze s informacemi o kartě se přitom útočníci nespokojí. „Po opsání číselných kombinací z karty žádají kyberzločinci o další doplňující informace. Chtějí jméno, adresu, datum narození, a dokonce i aktuální fotku s občanským průkazem,“ doplnil Snell.
Vybílí účet, založí půjčku
Všechna tato data mohou počítačoví piráti zneužít nejen k vybílení cizího účtu, ale například i k založení půjčky na majitele účtu apod. Hrozbu tedy není vhodné podceňovat, protože kyberzločinci mohou uživatele připravit klidně i o peníze, které na účtu nemají.
Řada bank samozřejmě v dnešní době používá různé systémy ověření, které mají podobnému zneužití zamezit. Například platby kartou je nutné potvrzovat ještě SMS zprávou. Vzhledem k tomu, že se útočníci dostanou do chytrého telefonu, nebude jim činit žádný problém i potvrzovací zprávy odchytávat.
Virus Acecard se doposud šířil především na asijských počítačových sítích. Není nicméně vyloučeno, že jej kyberzločinci nasadí také v Evropě, či dokonce v České republice.
Kritické bezpečnostní chyby mají Windows, Internet Explorer i Office
17.10.2016 Novinky/Bezpečnost Zranitelnosti
Hned několik kritických chyb bylo odhaleno v softwarových produktech společnosti Microsoft. Trhliny byly nalezeny v operačním systému Windows, prohlížečích Internet Explorer i Edge a také v kancelářském balíku Office. Americký softwarový gigant již nicméně pro všechny zranitelnosti vydal opravy.
Objevené chyby jsou velmi nebezpečné, protože se podle serveru The Hacker News ukázalo, že je ještě před vydáním záplat mohli zneužít počítačoví piráti.
Ti přitom prostřednictvím nich mohli spustit na cizím počítači prakticky libovolný škodlivý kód. Stejně tak ale mohli přistupovat k nastavení napadeného stroje či k uloženým datům na pevném disku. Pro kritické zranitelnosti bylo vydáno celkem pět bezpečnostních záplat.
Administrátorský vs. uživatelský účet
Zajímavé je mimochodem také to, že útočníci skrze trhliny mohli získat pouze taková práva, jaká měl nastavená samotný uživatel. Kontrolu nad postiženým systémem tak mohli kyberzločinci převzít pouze v případě, že uživatel na stroji pracoval s administrátorskými právy.
To bohužel v praxi dělá celá řada uživatelů. Nově objevené chyby tak opět ukazují, jak nebezpečné je používat účet administrátora při běžné práci. Daleko vhodnější je vytvořit – nejen ve firmách, ale i v domácích podmínkách – na počítači více účtů a běžně používat pouze ty, které mají uživatelská oprávnění.
Účet s právy administrátora by měl být zapnut pouze v případě, kdy je to skutečně nezbytné.
Důležité opravy
Vedle oprav kritických chyb uvolnil americký počítačový gigant také několik důležitých aktualizací, které slouží především ke zlepšení funkčnosti samotného systému, ale například také kancelářského balíku Office. Ty ale nepředstavují pro uživatele žádné velké bezpečnostní riziko.
Stahovat všechny záplaty pro kritické i důležité trhliny, které vyšly společně s balíkem pravidelných běžných aktualizací, je možné prostřednictvím služby Windows Update.
V případě, že uživatelé nemají nastavenou automatickou instalaci aktualizací, neměli by s jejich stažením otálet. V opačném případě nechávají pro počítačové piráty otevřená zadní vrátka do svých počítačů.
Hackeři si nakradli milióny. Nakonec ale udělali hloupou chybu
13.10.2016 Novinky/Bezpečnost Kriminalita
Stačilo poslat SMS zprávu a bankomat vydal hackerům peníze. I když to může znít jako sci-fi, před dvěma roky hackeři opravdu přišli na způsob, jak toho docílit. Vše nejprve vypadalo, že jsou tak chytří, že se je nepodaří ani dopadnout. Nakonec ale udělali hloupou chybu a hned několik jich bylo dopadeno.
Skupina hackerů se v uplynulých dvou letech soustředila na bankomaty ve Velké Británii. Útočili především v Londýně a od roku 2014 zvládli ukrást více než 1,5 miliónu liber, tedy bezmála 45 miliónů korun.
Za útoky má být společně s dalšími kumpány zodpovědný třicetiletý rumunský hacker Emanual Leahu. Právě toho už na konci září dopadla anglická policie, informovala o tom až na konci minulého týdne.
Zapomněli na kamery
Sluší se podotknout, že ještě předtím skončila želízka také na rukách dalších dvou hackerů, kteří do kyberzločineckého gangu patřili. Pikantní na tom je, že dopadnout se je podařilo jen díky tomu, že se hned v několika případech zapomněli zahalit před kamerou bankomatu. Školácká chyba se jim stala osudnou.
V celách skončili již tři hackeři z pětičlenného týmu. Zbývající dva se podle informací policie ukrývají někde v Rumunsku.
Na celé kauze je velmi zajímavý i způsob, jakým kyberzločinci útočili. Ti přišli na to, že uvnitř na první pohled nedobytné konstrukce se ukrývá obyčejný počítač, který tehdy ještě pracoval pod operačním systémem Windows XP.
A právě ten byl pověstnou Achillovou patou celého systému – byl totiž stejně zranitelný jako běžné počítače. Hackeři tak připojili k USB portu uvnitř bankomatu mobilní telefon, prostřednictvím kterého se do operačního systému dostal záškodník – virus Ploutus.
Stačilo poslat SMS zprávu
Pro získání peněz pak stačilo odeslat na připojený mobil speciálně upravenou SMS zprávu, která byla následně předána systému. Ten pak bez jakýchkoliv námitek vydal požadovanou částku. Celý útok tak trval sotva pár sekund.
Získat přístup do útrob bankomatu přitom podle bezpečnostních expertů antivirové společnosti Symantec nebylo nijak složité. Zatímco spodní část, která uchovává bankovky, byla před dvěma lety důmyslně zabezpečena, horní díl s počítačem ochraňoval pouze jeden menší zámek.
Malware pro Macy může získat přístup k webkameře i mikrofonu. Obranou je drobná utilita i černá páska
12.10.2016 Živě Viry
Na konferenci Virus Bulletin v Denveru prezentoval specialista na bezpečnost a bývalý zaměstnanec NSA Patrick Wardle zranitelnost systému macOS, která umožňuje potenciálním útočníkům získat přístup k datům z webkamery a mikrofonu Macbooku.
Na úrovni firmwaru je provoz kamery signalizován rozsvícením zelené LED diody a její případné odstavení by tedy bylo velmi složité, případně nemožné. Útočníci se však mohou zaměřit na okamžiky, kdy je webkamera a mikrofon využíván při hovoru na Skypu nebo Facetimu. Uživatel nedostane žádnou informaci o tom, že webkameru využívá kromě komunikátoru ještě další software.
Případný malware, který by měl za úkol získání záznamu, by tedy k zachycení využil stream určený pro legitimní komunikátory a následně jej odesílal na servery útočníka. Wardle proto připravil v rámci své prezentace jednoduchou utilitu, která sleduje aplikace s přístupem k datům z webkamery a případné neautorizované pokusy o získání záznamu blokuje a oznamuje systémovou notifikací.
Aplikace OverSight monitoruje aplikace, které mají přístup k záznamovým zařízením a případně upozorňuje na nové přístupy
Ještě o něco účinnější metodou potom bude způsob, který zvolil Mark Zuckerberg, tedy černou izolační pásku. Toto opatření neobejde sebelepší hacker.
Využívání cloudů je díky bezpečnostní architektuře společnosti Fortinet naprosto bezpečné
11.10.2016 SecurityWorld Zabezpečení
Internet věcí, cloud computing, virtualizace či využívání soukromých zařízení ve firemních sítích přináší netušené možnosti rozvoje byznysu, avšak také nové hrozby a bezpečnostní rizika. Mnoho společností stále spoléhá na zastaralé bezpečnostní strategie. Aktuální problémy kybernetické bezpečnosti řeší společnost Fortinet bezpečnostní architekturou Security Fabric.
Bezpečnostní architektura Security Fabric poskytuje škálovatelnou, širokospektrou ochranu proti bezpečnostním hrozbám pomocí úzce provázané, účinné bezpečnostní infrastruktury.
„Všudypřítomná digitalizace mění zavedené obchodní modely, zatímco technologické trendy jako internet věcí a cloud computing stírají hranice dnešních sítí. Mnoho podniků naneštěstí stále spoléhá na desítky let staré bezpečnostní strategie, které neodpovídají dynamice dnešního byznysu. Na rozdíl od platforem volně propojených na úrovni řízení provazuje architektura Security Fabric jako předivo vysoce pokročilý hardware a software a umožňuje přímou komunikaci mezi jednotlivými řešeními a tedy i jednotnou a rychlou reakci na hrozby,“ vysvětluje Ken Xie, šéf společnosti Fortinet.
Integrovaná, spolupracující a adaptabilní architektura Security Fabric poskytuje korporacím distribuované zabezpečení a zajišťuje ochranu proti hrozbám ze strany internetu věcí a vzdáleně připojených zařízení, jak v jádru informační infrastruktury tak i v cloudu.
Pět základních principů Security Fabric
Bezpečnostní architektura Security Fabric propojuje dříve nezávislé systémy do jediného provázaného celku založeného na pěti základních vzájemně závislých principech – přizpůsobitelnosti, informovanosti, bezpečnosti, praktické využitelnosti a otevřenosti.
Aby bezpečnostní architektura dokázala detekovat a neutralizovat hrozby ve všech částech dnešních neohraničených sítí, musí být dynamicky přizpůsobitelná (škálovatelná) nejen z hlediska proměnlivých požadavků na objem a výkon, ale také z hlediska rozsahu a povahy sítě. Portfolio bezpečnostních technologií společnosti Fortinet zahrnuje řešení, která pokrývají každou část infrastruktury, včetně pevných a bezdrátových sítí, uživatelských koncových zařízení a zařízení internetu věcí, přístupových vrstev, veřejných, soukromých i hybridních cloudových modelů, softwarově definovaných sítí a virtualizace. Technologie zajišťují, aby funkčnost, výkon a škálovatelnost sítě nebyla bezpečnostními prvky narušena.
Rozšiřitelnost řešení společnosti Fortinet na celou infrastrukturu je základem pro další zásadní princip architektury Security Fabric – informovanost. Architektura funguje jako celek a poskytuje přehled o zařízeních, uživatelích, obsahu a datech proudících do sítě i ven z ní a o vzorcích v datovém provozu. To na jedné straně snižuje komplexitu a náklady, na druhé zvyšuje efektivitu řízení a usnadňuje zavádění nových schopností a inovativních bezpečnostních strategií.
Dokonalý přehled o infrastruktuře je zásadní pro dosažení požadované úrovně zabezpečení proti všem typům ohrožení. Jako společné rozhraní pro všechny součásti bezpečnostní architektury Fortinet Security Fabric slouží FortiOS, nejčastěji nasazovaný bezpečnostní operační systém na světě. Technologie jako Fortinet Advanced Threat Protection Framework provádí hloubkovou analýzu provozu, dynamicky generují lokální informace o hrozbách a předávají data laboratořím FortiGuard Labs, které automaticky v reálném čase distribuují aktualizace do celého systému. Šíře těchto informací spolu s propracovanou, škálovatelnou a rychlou analýzou poskytuje bezpečnostní architektuře prakticky využitelné vstupy umožňující rychlou reakci a neutralizaci hrozeb bez ohledu na místo jejich výskytu.
Aby zákazníci mohli využít stávajících investic do infrastruktury a zabezpečení, je architektura Security Fabric koncipovaná tak, aby ji bylo možno integrovat s širokou škálou řešení jiných dodavatelů. Společnost Fortinet úzce spolupracuje s partnery sdruženými v globální alianci na vývoji otevřených API pro všechny části bezpečnostní architektury. Zákazníkům to poskytuje flexibilitu při zavádění řešení společnosti Fortinet vedle stávajících nebo nových bezpečnostních technologií a integrovat je spolu pro dosažení vyšší úrovně ochrany.
Více informací naleznete na: http://demand.fortinet.com/cz-securityfabric
FortiOS | Architektura pro bezpečný přístup |
Přístupové aplikace | Pokročilé síťové aplikace na podporu konektivity Integrovaná, komplexní řešení přístupových aplikací, které umožňují přístup pro hosty, poskytují přehled o připojených zařízeních a uživatelích, zajišťují proces připojování nových zařízení atd. |
Ověřování/ koncové body | Proces připojování a zabezpečení všech uživatelů a zařízení Aplikace pro ověřování dodávané společnosti Fortinet automatizují připojování nových zařízení hostů a zaměstnanců, nabízí jednotné přihlašování, správu certifikátů a další funkce. |
Správa | Flexibilita lokální a cloudové implementace Možnost volby implementace přístupové vrstvy s kontrolérem nebo bez, cloudové, vícekanálové nebo jednokanálové. |
Zabezpečení | Zabezpečení přístupu příští generace Ucelené portfolio síťových bezpečnostní zařízení nabízí na přístupové vrstvě ochranu proti kybernetickým hrozbám na podnikové úrovni. |
Kontroléry | Centrální řízení všech bezdrátových přístupových bodů a přepínačů LAN Infrastrukturní (samostatné) a integrované kontroléry nabízí flexibilní možnosti implementace. Naše nové výkonné infrastrukturní kontroléry FortiWLC 50D, 200D a 500D, podporují 50, 200, respektive 500 přístupových bodů, splňují požadavky standardu 802.11ac Wave 2 a umožňují připojení většího počtu zařízení. |
Přepínače | Přepínače podnikové třídy pro bezpečný přístup a datová centra Široká nabídka vysoce výkonných, cenově efektivních přístupových přepínačů a přepínačů pro datová centra, včetně FortiSwitch FS-224D-FPOE nebo FS-548D-FPO, které nabízí 24, respektive 48 napájených portů (PoE) a řada 10Gb/s ethernetových přepínačů pro datová centra s univerzální správou pomocí zařízení FortiGate. |
Přístupové body | Přístupové body WLAN pro každý podnik a případ využití Možnost výběru z kompletní řady podnikových přístupových bodů podporujících standard 802.11ac Wave 2 a všechny varianty implementace včetně zapojení s kontrolérem, bez kontroléru nebo s cloudovou správou, pro venkovní i vnitřní použití. |
Bezpečnostní experti varují před zlodějským virem. K šíření nepotřebuje internet
1.4.2016 Viry
Nový škodlivý virus, který krade uživatelská data, odhalili bezpečnostní experti antivirové společnosti Eset. Nezvaný návštěvník dostal přezdívku USB Thief, protože se šíří především prostřednictvím flashek a externích pevných disků. Nakazit tak dokáže i stroje, které nejsou připojeny k internetu. Útočník jim jednoduše infikované médium podstrčí.
Nový nezvaný návštěvník se nejčastěji šíří přes USB flashky a externí disky.
USB Thief potřebuje pro svou „špinavou“ práci pouze pár volných megabajtů na výměnném médiu, které se připojuje k počítači prostřednictvím USB portu. Na něm pak číhá do doby, než bude moci napadnout nějaký počítač.
Snaží se tedy zůstat co možná nejdéle maskován, aby minimalizoval riziko odhalení. Zajímavé je, že se po připojení k počítači automaticky nespustí, jako tomu bývá zpravidla o podobných škodlivých kódů.
Společně s neškodnými programy vpustí do počítače virus USB Thief.
Místo toho se naváže na tzv. portable aplikace, které často bývají uloženy právě na flashkách a externích pevných discích. Jde v podstatě o programy, které se nemusejí instalovat – spouští se přímo z USB médií.
Uživatelé je zpravidla používají na počítačích, kde nemají oprávnění k instalování aplikací. Tím, že portable aplikace nepotřebují instalovat, mohou lidé snadno obejít restrikce administrátorů, typicky na počítačích v kanceláři. Jenže společně s neškodnými programy vpustí do počítače virus USB Thief.
Antiviry jsou prý bezradné
Ten pak automaticky začne z připojeného PC krást data a ukládat je v zašifrované podobě na externí disk. Vzhledem k tomu, jak nezvaný návštěvník opatrně pracuje, většina antivirových programů má problémy s jeho identifikací. Jeho případné odhalení zkrátka není vůbec snadné.
Aby se útočník k datům dostal, musí získat flashku nebo externí disk zase zpět. USB Thief tak nejčastěji šíří počítačoví piráti, kteří své oběti podstrčí infikované médium. Uživatelé by tak měli být ostražití před používáním USB úložišť, jejichž původ je pochybný. Tím výrazně minimalizují riziko, že je nový virus připraví o jejich data.
Je pravděpodobně ale jen otázkou času, než se začne šířit sofistikovanější obdoba tohoto záškodníka, která se také bude šířit přes USB média, ale nashromážděná data bude schopná posílat zpět útočníkovi i přes internet. Pak už útočník nebude potřebovat dostat médium zpět, ale bude jen čekat, až mu virus naservíruje uživatelská data jak na zlatém podnose i na dálku.
Nebezpečná chyba v operačním systému iOS ohrožuje milióny uživatelů
31.3.2016 Zranitelnosti
Bezpečnostní analytici společnosti Check Point odhalili novou vážnou zranitelnost v operačním systému iOS od společnosti Apple, který využívají chytré telefony iPhone i počítačové tablety iPad. Chybu mohou útočníci zneužít k tomu, aby na napadené zařízení propašovali prakticky jakýkoliv škodlivý kód.
Chyba dostala pracovní název SideStepper. Útočníkům umožňuje zneužít komunikaci mezi jablečným telefonem nebo tabletem a tzv. MDM systémem. Jde v podstatě o řešení, které je především ve firmách využíváno pro vzdálenou instalaci aplikací a správu zařízení Apple.
Právě kvůli chybě v této komunikaci si útočníci s napadeným přístrojem mohou dělat, co je napadne. „Útočníci mohou zranitelnost zneužít například ke vzdálené instalaci škodlivých aplikací a ohrozit veškerá data v zařízení. Potenciálně tak mohou být ohroženy milióny iOS uživatelů po celém světě," řekl pro Novinky.cz David Řeháček, bezpečnostní odborník ze společnosti Check Point Software Technologies.
Útočí přes SMS i sociální sítě
Případný útok by mohl podle něj vypadat následovně. „Nejdříve přesvědčí uživatele k instalaci škodlivého konfiguračního profilu, například prostřednictvím phishingové zprávy. Jedná se o jednoduchý a efektivní způsob útoku, který využívá pro šíření škodlivého odkazu osvědčené komunikační platformy, jako jsou SMS, chatovací programy nebo e-mail. Útočníci pak mohou napodobovat příkazy, kterým iOS věří, a instalovat vzdáleně další škodlivé aplikace,“ doplnil Řeháček.
Prostřednictvím nich pak mohou uživatele odposlouchávat, odchytávat přihlašovací údaje a další citlivá data. Stejně tak ale mohou na dálku aktivovat kameru či mikrofon, aby zachytili zvuky a obrazy.
Detaily o nové zranitelnosti byly ve čtvrtek odpoledne zveřejněny na bezpečnostní konferenci Black Hat Asia. Případní počítačoví piráti tak mají v rukou prakticky vše, co potřebují, aby mohli trhlinu zneužít.
Doposud však nebyl zaznamenán žádný případ zneužití nově objevené zranitelnosti.
Obezřetnost je namístě
I když oprava chyby SideStepper zatím chybí, uživatelé mohou vcelku jednoduše minimalizovat riziko napadení sami. Stačí neotvírat SMS zprávy a e-maily od neznámých lidí, to samé platí o zprávách na sociálních sítích a v nejrůznějších chatovacích programech. Právě těmito kanály totiž počítačoví piráti útočí nejčastěji.
Na mobilní platformu iOS se v poslední době zaměřují kyberzločinci stále častěji. Tento měsíc například bezpečnostní experti varovali před trojským koněm AceDeceiverem, který dokáže v jablečných zařízeních udělat poměrně velkou neplechu. Otevře totiž pirátům zadní vrátka do systému, čímž jim zpřístupní nejen nastavení, ale také uživatelská data.
Jak jste se dostali do zabijákova iPhonu? Apple si posvítí na FBI u soudu
30.3.2016 Ochrany
Americký Federální úřad pro vyšetřování (FBI) se snažil několik posledních měsíců donutit u soudu společnost Apple, aby mu zpřístupnila data z iPhonu zabijáka ze San Bernardina. Jenže karta se nyní obrátila a spolupráci po FBI vyžaduje naopak americký počítačový gigant. Vedení firmy chce zjistit, jak se vyšetřovatelé do jablečného smartphonu dostali. A obrátit se kvůli tomu podnik hodlá údajně i na soud.
Chyba v Zemanově čínském plánu – Návštěvu čínského prezidenta a její význam pro ČR komentuje Thomas Kulidakis Čtěte zde >>
Chytrý telefon od společnosti Apple byl přitom nastaven tak, aby se automaticky smazal po zadání deseti nesprávných přístupových hesel. Okamžitě se tak začaly množit otazníky nad tím, jak se vyšetřovatelům podařilo do uzamčeného přístroje dostat.
A vrásky mají kvůli tomu především bezpečnostní experti společnosti Apple. Vše totiž nasvědčuje tomu, že se v operačním systému iOS ukrývá nějaká kritická bezpečnostní chyba, o které zatím nic nevědí ani vývojáři amerického počítačového gigantu. Ta by umožňovala nejen FBI, ale i počítačovým pirátům průnik do jablečných zařízení.
Pokud by to byla pravda, v ohrožení by byly desítky miliónů chytrých telefonů iPhone a počítačových tabletů iPad. Tedy nejen ti, kdo jsou podezřelí ze spáchání nějakých trestných činů, ale i obyčejní uživatelé. [celá zpráva]
Na řadu přijdou právníci
Podle serveru Los Angeles Times již advokáti společnosti Apple vytvářejí právní taktiku, jak vládu přimět, aby prozradila všechna specifika o tom, jak se FBI podařilo proniknout do zabijákova iPhonu. Získat všechny detaily chtějí klidně i s pomocí soudu.
Vedení Applu svůj postoj a zájem získat podrobnosti prostřednictvím soudu nicméně oficiálně nepotvrdilo. Je ale vcelku pravděpodobné, že americký počítačový gigant zatím nechce z taktických důvodů odkrýt karty připravovaného právního sporu.
Bezpečnostní konzultant společnosti AVG Justin Olsson upozornil, že v sázce je důvěra zákazníků v produkty Applu. „Tak či onak, Apple potřebuje zjistit podrobnosti. Bez detailů o případné zranitelnosti nebudou vývojáři schopni zajistit soukromí svých zařízení,“ uvedl pro server Los Angeles Times Olsson.
Spor se táhne už měsíce
Celý spor mezi FBI a Applem se rozhořel kvůli tomu, že se vyšetřovatelům z FBI nepodařilo dva měsíce dostat do uzamčeného iPhonu islámského radikála. Právě kvůli neúspěchu vyšetřovatelů soud společnosti Apple nařídil, aby tuto funkci vypnula. To však vedení amerického počítačového gigantu odmítlo s tím, že to technicky není možné.
Jedinou možností je vytvoření „zadních vrátek“ do operačního systému iOS, který využívají právě chytré telefony iPhone a počítačové tablety iPad. Šéf Applu Tim Cook to ale opakovaně odmítal kvůli obavám ze zneužití. Implementací takového nástroje do zmiňované mobilní platformy by totiž byla FBI schopna obejít zabezpečení prakticky jakéhokoliv iPhonu nebo iPadu v budoucnosti.
K datům se ale nakonec FBI stejně dostala, detaily ale tají.
Útok v San Bernardinu byl nejtragičtějším od teroristických útoků v zemi v září 2001. Zradikalizovaný muslim Syed Farook a jeho žena Tashfeen Maliková tam na počátku prosince zastřelili 14 lidí. Později byli zabiti při přestřelce s policií.
Data 1,5 milionu zákazníků ukradená Verizonu jsou na prodej
30.3.2016 Incidenty
Ve Verizon Enterprise Solutions při vší té péči o firemní zákazníky zřejmě trochu zapomněli dostatečně pečovat o vlastní sítě.
KrebsonSecurity upozorňuje, že se na uzavřeném fóru objevila nabídka na prodej databáze zákazníků Verizon Enterprise za 100 tisíc dolarů, případně po kusech, 10 tisíc dolarů za 100 tisíc záznamů.
Data jsou výsledkem úniku z informačních systémů B2B jednotky amerického telekomunikačního giganta Verizone, který řeší bezpečnost zákaznických systémů, prodává bezpečnostní řešení a který také každý rok vydává velmi zajímavou ročenku o únicích dat a narušeních systémů - viz Verizon’s annual Data Breach Investigations Report (DBIR).
Verizon Brianu Krebsovi potvrdil, že útočníci využili bezpečnostní chybu, která jim umožnila získat kontaktní informace zákazníků. To vše prostřednictvím portálu, který byl určen pro firemní zákazníky Verizonu. Podle společnosti se ale útočníci měli dostat pouze k základním informacím o zákaznících, nikoliv k podstatným datům, která by byla nějak výrazně nebezpečná.
Prodejce databáze ji nabízí dokonce i ve formátu pro databázový systém MongoDB, lze se tedy dost i domnívat, že ona bezpečnostní chyba je Verizonem tak trochu zlehčována. Vypadá to totiž na to, že se útočníkovi prostě podařilo pořídit přímo dump z databáze.
Jak konkrétně se účastníkům podařilo data získat, známo není. Verizon tvrdí, že už chybu napravil, ale detaily zatím neposkytl. Celé je to ještě pikantnější s ohledem na to, že to je například i Verizon, který v čerstvé studii ukazuje, jak se hackerům podařilo dostat do systémů pro úpravu vody a ovlivnit i to, jaké množství chemikálií je do vody uvolňováno (viz Hackers Modify Water Treatment Parameters by Accident) a v řadě dalších studií a analýz ukazuje velmi konkrétní informace o únicích a narušeních.
FBI může znát chybu v iPhonu, o které neví ani Apple
29.3.2016 Ochrany
Americký Federální úřad pro vyšetřování (FBI) se v noci na úterý pochlubil, že se mu podařilo obejít zabezpečení iPhonu zabijáka ze San Bernardina. To je pro Apple velmi špatná zpráva. Vše totiž nasvědčuje tomu, že vyšetřovatelé znají nějakou kritickou bezpečnostní chybu operačního systému iOS, o které patrně nemají ještě informace ani vývojáři amerického počítačového gigantu.
Vyšetřovatelé už minulý týden v úterý informovali, že jsou pravděpodobně schopni iPhone Syeda Farooka odkódovat. [celá zpráva]
Přesně po týdnu zástupci FBI oznámili, že se jim k datům skutečně podařilo dostat. Jak to udělali, však zatím stále tají a nic nenasvědčuje tomu, že by v dohledné době svoji metodu široké veřejnosti prozradili.
Takovéto chyby mohou poskytnout úplný přístup k zařízením.
bezpečnostní konzultant Ross Schulman
Právě to ale může představovat poměrně velký problém. Jak uvedl bezpečnostní konzultant Ross Schulman pro server CNN, FBI totiž mohl objevit chybu v operačním systému iOS, který využívají právě chytré telefony iPhone a počítačové tablety iPad.
Stejným způsobem by se tak vyšetřovatelé byli schopní dostat i do dalších jablečných zařízení. „Z minulosti víme, že takovéto chyby mohou poskytnout úplný přístup k zařízením, na které se mnoho z nás spoléhá každý den,“ prohlásil Schulman.
Chyba může ohrožovat i další uživatele
Podle něj by tak měl Apple ve vlastním zájmu chtít zjistit, jak se FBI do zabijákova iPhonu dostal. Jen tak totiž budou jeho lidé schopni vyřešit případnou chybu a ochránit tak všechny ostatní uživatele.
Vyšetřovatelům pravděpodobně s prolomením zabezpečení iPhonu pomohla společnost Cellebrite se sídlem v Izraeli. Firma britské stanici BBC potvrdila, že s americkými vyšetřovateli spolupracuje, ale více nesdělila.
Na svých internetových stránkách nicméně Cellebrite prohlašuje, že jeden z jejich nástrojů umí dekódovat a extrahovat data z iPhonu 5C. [celá zpráva]
Dva měsíce neúspěšného snažení
FBI se snažil do uzamčeného iPhonu islámského radikála dostat celé dva měsíce. Útočník měl ale svůj iPhone nastavený tak, aby se po zadání deseti nesprávných přístupových hesel automaticky vymazal, s čímž si bezpečnostní experti z FBI původně nedokázali poradit.
Soud proto Applu v únoru nařídil, aby tuto funkci vypnula, což však není technicky možné. Proto vyšetřovatelé chtěli po americkém softwarovém gigantu vytvořit v operačním systému iOS „zadní vrátka“, což však vedení Applu odmítalo.
Šéf Applu Tim Cook tehdy upozorňoval na to, že implementací takového nástroje do zmiňované mobilní platformy by byla FBI schopna obejít zabezpečení prakticky jakéhokoliv iPhonu nebo iPadu v budoucnosti. A nehraje roli, zda by šlo o přístroj teroristy, nebo běžného občana.
Na nový vyděračský virus jsou antiviry krátké
29.3.2016 Viry
Internetem se začal jako lavina šířit nový vyděračský virus Petya, který dokáže zašifrovat data na pevném disku. Bezpečnostním expertům dělá vrásky na čele především proto, že je výrazně rychlejší než prakticky všichni jeho předchůdci. To může značně ztížit jeho odhalení, upozornil server PC World.
Útoky vyděračských virů jsou v posledních týdnech stále častější a mají prakticky vždy stejný scénář. Nezvaný návštěvník zašifruje uložená data na pevném disku. Útočníci se snaží v majiteli napadeného stroje vzbudit dojem, že se ke svým souborům dostane po zaplacení pokuty. Ta byla údajně vyměřena za používání nelegálního softwaru apod.
Ani po zaplacení výkupného se uživatelé ke svým datům nedostali. Místo placení výkupného je totiž nutné virus z počítače odinstalovat a data rozšifrovat, což ale nemusí být vůbec jednoduché. A ve většině případů to dokonce nejde vůbec.
Důležitá je rychlost
V čem je tedy Petya tak výjimečná? Většina vyděračských virů potřebuje k zašifrování dat na pevném disku poměrně dost času, klidně i několik hodin. Během toho může jejich práci zachytit antivirový program a zablokovat je ještě dříve, než v počítači nadělají nějakou větší neplechu.
Právě proto funguje Petya trochu odlišným způsobem. Na disku nezašifruje všechna data, ale pouze tzv. MBR. Jde o hlavní spouštěcí záznam, díky kterému se v podstatě spouští celý operační systém. K zašifrovanému záznamu pak počítač nemá přístup a místo Windows spustí jen hlášku o nutnosti zaplatit výkupné.
Na zašifrování MBR nepotřebuje nový vyděračský virus několik hodin, stačí mu pouze pár vteřin. Antiviry tak prakticky nemají šanci škodlivý kód zachytit. Hned po prvním restartu je pak problém na světě.
Za odšifrování chtějí 10 000 Kč
Vyděrači navíc nejsou žádní troškaři, za odšifrování požadují jeden bitcoin, což představuje při aktuálním kurzu více než 10 000 korun. Znovu je ale nutné zdůraznit, že zmiňovanou částku by lidé v žádném případě platit neměli. Útočníci jen shrábnou peníze a zmizí.
Petya se šíří v současnosti především v USA a sousedním Německu prostřednictvím nevyžádaných e-mailů. Je ale více než pravděpodobné, že se v dohledné době objeví také v České republice.
Petya, ransomware šifrující zaváděcí záznam disku MBR
29.3.2016 Viry
Petya, ransomware šifrující zaváděcí záznam disku MBRDnes, Milan Šurkala, aktualitaProtože zašifrování celého disku je velmi nákladná operace, nový ransomware Petay na to jde mnohem jednoduše. Zašifruje zaváděcí záznam MBR na pevném disku a ten se tak stane nečitelným. Útočníci pak vyžadují výkupné.
V dnešní době začínají být útoky ransomware (vyděračského softwaru) čím dál častější. Jde v podstatě o to, že škodlivý kód získaný obvykle otevřením nebezpečné přílohy e-mailu zašifruje celý pevný disk a pak po oběti vyžaduje výkupné za opětovné zpřístupnění dat. Nový ransomware Petya jde na věc trochu jinak. Místo celého disku zašifruje pouze jeho MBR, která říká, kde je jaký soubor. Efekt na napadený počítač je ale v podstatě stejný. Nelze vědět, kde jsou jaká data a ta jakoby ani neexistovala.
Zvláštní vlastností tohoto softwaru je právě v tom, že šifruje jen MBR, což může provést v podstatě okamžitě (MBR není zrovna obrovská struktura). Ransomware Petya vynutí kritickou chybu operačního systému a přinutí jej restartovat. Protože se MBR zašifruje, operační systém nemůže nabootovat a objeví se hláška vyžadující výkupné. Útočníci požadují necelý bitcoin, což je v dnešní době zhruba 10 tisíc korun. Ostatní ransomware metody kvůli šifrování celého disku mohou být zpozorovány, neboť tento proces zabere dlouhou dobu, je výpočetně náročný a je možné násilně vypnout počítač dříve, než zašifruje celý disk. Petya se šíří přes e-mail ohledně pracovních nabídek vybízející ke stažení přílohy uložené na Dropboxu. Zatím se tak děje zejména v Německu.
FBI nakonec hackla iPhone útočníka, pomoc Applu už nepotřebuje
29.3.2016 Ochrany Zdroj: Lupa.cz
Podivuhodný soudní spor má podivuhodný konec. Tedy – aspoň v tomto kole. Řada otázek ale pořád zůstává nezodpovězených.
„Úřadům se podařilo úspěšně proniknout k datům uloženým ve Farookově iPhonu, a proto už nevyžadují spolupráci od firmy Apple Inc., nařízenou soudním příkazem z 16. února.“ Čerstvé prohlášení amerického ministerstva spravedlnosti (PDF) potvrzuje, že se FBI nakonec podařilo proniknout ochranami Applu i bez jeho pomoci.
Úřady tak požádaly soud o zrušení příkazu. Několik měsíců se táhnoucí soudní spor, ve kterém Apple odmítl FBI pomoci a vytvořit speciální verzi systému iOS, která by pomohla obejít ochranu iPhonu, tak končí.
Tip: Mnoho povyku pro PIN. O co vlastně jde v boji mezi FBI a Applem
Ministerstvo zatím nezveřejnilo žádné podrobnosti o tom, jakým konkrétním způsobem se nakonec k datům dostalo. Připustilo jen, že s metodou přišel někdo mimo FBI – „třetí strana“. Izraelský deník Yedioth Ahronoth minulý týden napsal, že by mohlo jít o tamní firmu Cellebrite. Úřady i firma ale informaci odmítly komentovat.
Není tak jasné, jestli se dá metoda použít jen na inkriminovaném iPhonu útočníka ze San Bernardina, nebo jestli se s její pomocí dá proniknout i do jiných modelů. Farook ovšem měl starší model 5c, který neobsahuje novější bezpečnostní prvky jako je speciální kryptografický čip Secure Enclava (ten přišel s procesorem A7, který je např. v modelu 5s). Na přístroji běží iOS 9.
Úspěch FBI může znamenat, že neznámá třetí strana zná nějakou chybu v zabezpečení iPhonů, o které Apple neví. A to není pro Apple ani jeho uživatele dobrá zpráva. Firma by proto teď mohla po vládě chtít, aby jí dotyčnou chybu prozradila – ovšem je otázka, jestli by byla úspěšná.
Tip: Apple chystá lepší ochranu iPhonů, aby se do nich úřady nedostaly
Podle agentury Bloomberg by se mohla předání informací dožadovat v rámci procesu tzv. „equities review“, podle kterého americké úřady rozhodují, zda výrobcům hardwaru a softwaru prozradí chyby, na které přijdou. Pravidla mají své výjimky, které úřadům umožňují zjištěné chyby zatajit, pokud splní určité podmínky.
Nahlásit případnou chybu a umožnit ji Applu opravit by přitom FBI mohlo zkomplikovat život. Farookův mobil není jediným, do kterého se vyšetřovatelé chtějí dostat. A v současné době vedou řadu dalších soudních sporů, ve kterých od Applu požadují pomoc s odemčením iPhonů.
FBI odblokovala teroristův iPhone i bez pomoci Applu
29.3.2016 Ochrany
Američtí vyšetřovatelé se dokázali dostat k obsahu telefonu iPhone používaným jedním z pachatelů prosincového útoku v kalifornském San Bernardinu i bez pomoci společnosti Apple, která tento telefon vyrábí. Ministerstvo spravedlnosti vzápětí odvolalo svou žalobu na společnost, kterou se domáhalo, aby Apple pomohl s odblokováním telefonu. Vyplývá to z dokumentů, které ministerstvo poslalo k soudu. Spor byl ostře sledovaný, protože mohl mít širší důsledky pro ochranu osobních údajů.
Ministerstvo požadovalo od Apple, aby Federálnímu úřadu pro vyšetřování (FBI) poskytl program, které umožní odblokovat telefon iPhone 5C, který vlastnil Syed Farook. Ten spolu s manželkou v San Bernardinu postříleli 14 lidí a dalších 22 zranili. Následně v přestřelce s policií zahynuli.
FBI zkoumá možnou komunikaci Farooka a jeho manželky Tashfeen Malikové s teroristickou organizací Islámský stát. Inkriminovaný telefon by prý mohl obsahovat důkazy.
Vláda "se úspěšně dostala k údajům ve Farookově iPhonu, a tak už není pomoc Apple potřebná", praví se v dokumentech zaslaných k soudu.
Společnost Apple se k novému vývoji v případu zatím nevyjádřila. Dříve varovala před vytvářením "zadních vrátek" k obsahu mobilů, zneužitelných zločinci a vládami.
Apple pomoc odmítal
Dříve ministerstvo požádalo o odročení soudního jednání, protože se úřady chystaly vyzkoušet novou metodu, od níž si slibovaly průnik k obsahu telefonu i bez pomoci výrobce. Ministerstvo si nicméně ponechalo prostor pro případnou soudní bitvu s výrobcem. Úřady v této při podporovali pozůstalí po obětech útoku v San Bernardinu.
Apple požadavky úřadů odmítal, protože by mohly vytvořit nebezpečný precedent, ospravedlňující v budoucnu další požadavky úřadů na přístup k osobním údajům dalších občanů z nejrůznějších důvodů. V tomto sporu se za Apple postavili bezpečnostní experti, ochránci práva na soukromí a další přední technologické firmy jako Google, Facebook či Microsoft.
Pomohli Izraelci?
Jak uvedl server BBC, firmou, která FBI s dekódováním pomohla, je pravděpodobně společnost Cellebrite se sídlem v Izraeli. Firma britské stanici potvrdila, že s americkými vyšetřovateli spolupracuje, ale více nesdělila.
Na svých internetových stránkách nicméně Cellebrite prohlašuje, že jeden z jejich nástrojů umí dekódovat a extrahovat data z iPhonu 5C.
Podnikoví špióni útočí: Mohou to být uklízečka nebo poslíček s poštou
28.3.2016 Špionáž
Je mnohem snadnější proniknout do společnosti jako zaměstnanec nižší úrovně, například jako správce domu či pracovník podatelny, kde jsou nároky mnohem menší – a špión přitom stejně dostává příslovečné klíče ke království.
Někteří informační špióni procházejí náborem zaměstnanců, aby se dostali do firmy a ukradli podniková tajemství pro konkurenci nebo cizí stát. Jiní se zase obrátí proti svému zaměstnavateli, když se rozzlobí a odcházejí nebo když je zlákají jiné pracovní nabídky. Jde takové insidery včas odhalit?
Podniky se snaží vnitřní zrádce odhalit – omezit jejich přístup k citlivým údajům ale nemusí stačit. Se správnou pracovní pozicí a přístupem mohou agenti fiktivně vystupující jako uklízeči, zaměstnanci podatelny nebo IT personál obejít ochrany dat pomocí svého rozsáhlého přístupu a cenný intelektuální majetek vynést pryč.
Co mohou manažeři bezpečnosti udělat technicky i jinak k ochraně bezpečnosti cenných dat před slídily?
Vstup
Podnikoví špióni přicházející z jiných organizací zpravidla dobře splňují podmínky pro příslušné pracovní místo, ale jejich úmysly zůstávají skryté. Úplně zabránit riziku, že by někdo pracoval pro konkurenci, může být obtížné až nemožné, možná dokonce i nežádoucí, protože existuje zájem zaměstnávat personál se zkušenostmi od konkurence.
„Zaměstnanci konkurence mají schopnosti, tržní inteligenci a zkušenosti, které podnik potřebuje, takže jsou to vlastně kandidáti první volby,“ tvrdí Sol Cates, šéf zabezpečení ve společnosti Vormetric.
Konkurenti také podplácejí dříve loajální zaměstnance, aby jejich prostřednictvím získávali vaše data a přetahují je na svou stranu, aby tak získali tržní výhody.
Mnoho podniků se snaží dělat jednoduché kontroly pracovní minulosti a referencí, ale nevěnují se dostatečně odhalování případných postranních úmyslů.
„Dokonce i někteří smluvní partneři státních organizací, kteří běžně pracují s utajovanými informacemi, se spoléhají výhradně na kontrolu minulosti prostřednictvím bezpečnostní prověrky a nedělají další kontroly,“ tvrdí Philip Becnel, ředitel společnosti Dinolt, Becnel, & Wells Investigative Group.
Tato úroveň šetření ale nestačí, protože podnikoví špióni, kteří jsou loajální ke své zemi či původnímu zaměstnavateli, ne k tomu současnému, budou sdílet utajovaná data s dalšími subjekty.
Podniky mohou udělat právní kontroly minulosti uchazeče, aby ověřily, zda předchozí zaměstnavatel například nežaloval kandidáta kvůli krádeži podnikových dat a duševního vlastnictví.
„To však pomůže jen v případě, že se uchazeč už dříve dopustil podnikové špionáže a bývalý zaměstnavatel ho při ní chytil,“ vysvětluje Cates.
Jakmile podnik přijme kandidáta, měl by použít technologie řízení přístupu na fyzické i IT úrovni, skartování dokumentů a zavést dohled, který by odhalil podnikové špióny a zabezpečil se vůči nim. V této oblasti stále existuje řada nedostatků.
Pronikání k podnikovým pokladům
Agenti podnikové špionáže projdou skulinami mezi typickými součástmi většiny kontrol minulosti. Podnik zkontroluje historii zaměstnání, výpis z rejstříku trestů a záznamy o dopravních přestupcích.
To všechno se však týká toho, co kandidát už kdysi udělal, ale ne toho, co chce udělat teď. „Není to jako test na detektoru lži nebo jiná metrika, kterou by společnost mohla použít při kontrole osob kandidujících na citlivá vládní pracovní místa,“ popisuje Cates.
Pachatelé podnikové špionáže se mohou dostat blízko k datům i přes nejméně sledovaná, ale pro špionáž stále výhodná pracovní místa. „Je mnohem snadnější proniknout do společnosti jako zaměstnanec nižší úrovně, například jako správce domu či pracovník podatelny, kde jsou nároky mnohem menší a špión stále dostává příslovečné klíče ke království,“ vysvětluje Becnel.
Naverbovat někoho již pracujícího v cílové společnosti je ještě snadnější, než protlačit špióna přes proces přijímání nových pracovníků. „Pro podnik je také velmi těžké chytit někoho, kdo už je uvnitř a má už určitou důvěru,“ tvrdí Becnel.
„Je časté, že konkurenti kontaktují nespokojené zaměstnance, nabídnou jim práci za lepší plat a požádají je, aby s sebou při odchodu vzali všechna citlivá data,“ tvrdí Becnel. Ti mohou přistupovat k elektronickým datům nebo jen nahrávat pomocí chytrého telefonu interní schůzky a telefonní hovory.
Při náboru existujících zaměstnanců je často největší výhrou IT profesionál, jenž má plný přístup ke všem datům a kterého společnost nesleduje. „Některé z největších špionážních akcí vykonal personál IT,“ tvrdí Cates.
Nepustit dovnitř…
Hluboké a důkladné kontroly pracovní minulosti jsou dobrým začátkem v zabezpečení firem vůči nežádoucímu přijetí agenta, který pracuje pro konkurenci nebo cizí stát, a to i v případě nižších pracovních pozic.
Nebezpečný trojský kůň číhá na lechtivých webech. Chce ukrást úspory
27.3.2016 Viry
Chytré telefony a počítačové tablety se těší rok od roku větší popularitě, řada uživatelů je používá nejen k přístupu na internet, ale také ke sledování filmů a dalších videí. A právě toho se snaží zneužít počítačoví piráti, kteří za aktualizaci populárního přehrávače Flash Player maskují trojského koně.
Trojský kůň Marcher dokáže majitele chytrých telefonů a počítačových tabletů připravit o peníze. (Ilustrační foto)
Nezvaný návštěvník se jmenuje Marcher a zpravidla se ukrývá na webech s erotickým obsahem. Útok přitom probíhá prakticky vždy stejně. Ve chvíli, kdy se uživatel pokusí spustit video, je vyzván k aktualizaci Flash Playeru, místo ní si přitom do svého přístroje stáhne trojského koně.
Právě na pornostránkách se ukrývá Marcher nejčastěji. Stejným způsobem ale může být šířen také prostřednictvím webů pro sledování virálních videí a pro šíření nelegálních kopií nejrůznějších filmů a seriálů.
Odkazy na falešné weby jsou přitom často šířeny prostřednictvím nevyžádaných e-mailů, stejně tak ale mohou přijít na smartphone pomocí SMS zprávy.
Cílí na Android
Bezpečnostní experti ze společnosti Zscaler doposud zachytili tohoto trojského koně na zařízeních s operačním systémem Android. Není ale vyloučeno, že se bude vyskytovat také na počítačových tabletech a chytrých telefonech postavených na jiných platformách.
Uživatelé si přitom ani nevšimnou, že bylo jejich zařízení infikované, protože trojský kůň vlastně na první pohled nic nedělá a jen vyčkává na svou příležitost. Pokud se uživatel bude prostřednictvím oficiální aplikace Google Play snažit stáhnout nějakou aplikaci, vyskočí mu falešné okno se žádostí o vložení platební karty.
Problém je v tom, že Macher se takto dokáže navázat i na skutečně legitimní aplikace, které žádný škodlivý kód neobsahují. Stačí mu k tomu, aby vytvořil podvodnou stránku s žádostí o vložení údajů platební karty. Když to uživatelé udělají, dají tím podvodníkům přímou vstupenku ke svému bankovnímu účtu.
Obejde i potvrzovací SMS zprávy
Není bez zajímavosti, že tento zákeřný trojský kůň dokáže uživatele sám vyzvat k tomu, aby nějakou aplikaci nainstaloval. Odkaz na stažení může přijít například formou MMS zprávy, tu přitom vytvoří sám Macher. Doporučení na instalaci může být směřováno opět na legitimní program, nezvaný návštěvník se opět snaží pouze vylákat bezpečnostní údaje ke kartě.
Pokud se Macher uhnízdí v chytrém telefonu, dokáže odchytávat i potvrzovací SMS zprávy, které mohou být požadovány při některých on-line transakcích.
První verze trojského koně Macher byla odhalena už v roce 2013. Od té doby jej ale počítačoví piráti neustále vylepšovali až do aktuální podoby, která terorizuje uživatele chytrých telefonů a počítačových tabletů s operačním systémem Android.
Malware USB Thief, nezanechá stopy a nepotřebuje internet
27.3.2016 Viry
Malware USB Thief, nezanechá stopy a nepotřebuje internetVčera, Milan Šurkala, aktualitaSpolečnost ESET objevila nový malware, který dokáže krást data a přitom se nešíří internetem. Je totiž instalován na USB flash disku a pro počítač je v podstatě nezjistitelný. Využívá portable verzí různých aplikací.
Na světě se objevil nový nepříjemný malware pod názvem USB Thief (přesněji Win32/PSW.Stealer.NAI a Win32/TrojanDropper.Agent.RFT), který byl identifikován společností ESET. Ten totiž dokáže napadnout i počítače, které nejsou připojené k internetu, neboť ke své práci potřebuje pouze USB flash disk. Sám o sobě se nešíří, na USB disk se záměrně "instaluje" a jeho úkolem je stáhnout data z konkrétního cíleného počítače. Na rozdíl od běžných malwarů nevyužívá technik automatického spuštění, ale naroubuje se jako dynamická knihovna do portable verzí různých aplikací jako je Notepad++, Firefox nebo TrueCrypt. Pokud se z této USB flashky spustí onen program, spustí se také USB Thief.
Nebezpečnost spočívá v pokročilých technikách maskování. Některé soubory jsou zašifrovány pomocí AES-128 a klíč vzniká z kombinace některých vlastností USB flashky (jejího ID a dalších). Proto je tento klíč unikátní pro každý USB disk. Další soubory mají jména podle SHA512 hashe z prvních několika bytů daného souboru, opět tedy unikátní pro každou kopii malwaru.
Malware ví, pod kterým procesem má běžet a pokud toto neodpovídá (např. běží v debuggeru), ukončí se. Proto je těžké jej detekovat antivirovými programy a známé antiviry také detekuje. Pokud tedy vše projde, na základě konfiguračních souborů stáhne požadovaná data a uloží je na USB disk. Na počítači samotném ale malware nezanechává žádné stopy, neboť běží z flashky. Má-li tedy někdo nekalé cíle a někomu takto úmyslně podstrčí infikovaný USB flash disk, může se dostat k citlivým datům (pochopitelně útočník musí dostat disk zase zpátky). Je tedy důležité dávat si pozor, jaké USB disky člověk používá a jaký je jejich zdroj.
Reset a poslání hesla v čitelné podobě e-mailem? Nebezpečná praktika
24.3.2016 Zdroj: Lupa.cz Ochrany
Používáte-li nějaký placený servis, kde osoba s přístupem ke službě může ovlivnit kolik platíte, chcete, aby služba byla bezpečná. To je jasné.
Pokud používáte služby mediálního monitoringu od Newton Media, tak jste se asi setkali s podivným zvykem. Zhruba tak jednou za měsíc vám přijde e-mailem nové heslo. Se zdůvodněním, že jde o bezpečnostní opatření, aby někdo nemohl heslo zneužít. Proto je heslo automaticky změněno a posláno zákazníkovi.
Je to velmi zvláštní a nebezpečná praktika, která má dva zásadní problémy. Jeden menší: zbytečné měnění hesla a tím neustálá nutnost někde nové heslo evidovat, aniž by bylo umožněno používat vlastní bezpečné heslo dle vlastního uvážení. Vynucované změny hesla obvykle vedou k tomu, že lidé používají hesla nebezpečná (protože si nové a nové složité heslo nedokážou zapamatovat) nebo si hesla samotná prostě věší na lístečky na monitor.
Ten větší a zásadnější problém je ale v posílání nového hesla v čitelné podobě e-mailem. E-mail není bezpečná forma komunikace a někdo ho může přečíst nejenom cestou, ale také se může dostat do cizí poštovní schránky, k cizímu mobilu, počítači či tabletu.
Velmi zvláštní přístup Newton Media jsme chtěli vysvětlit, včetně dotazu na to, jakým způsobem ukládají hesla zákazníků. Dotaz poslaný 7. března se dočkal odpovědi až 21. března po několika upomínkách. Kompletní odpověď:
ad 1) V nových aplikacích již není heslo ukládáno v systémech NEWTON Media vůbec. Úvodní náhodně generované heslo je zasláno klientovi, který si jej musí při prvním přihlášení změnit a v NEWTON Media je uložen pouze hash (otisk) tohoto hesla sloužící k ověření hesla zadaného uživatelem při následujících přihlášeních. Nové aplikace samozřejmě již komunikují pouze přes šifrovaný protokol HTTPS.
ad 2) Ve starších aplikacích NEWTON Media (např. MediaSearch) je volitelně ukládán buď kompletní text hesla, nebo také pouze hash. Volba závisí na přání klienta. V nejstarší aplikaci IMM je ukládán kompletní text hesla. V případě ukládání kompletního textu hesla je heslo šifrováno/dešifrováno aplikací, takže je uloženo v databázi v nečitelné podobě a tudíž ani administrátor databáze nemá možnost heslo číst.
Plyne z ní to, že pokud některý z produktů (aplikací) od Newton Media používáte, je možné, že vaše heslo je uloženo v plně čitelné podobě a má ho k dispozici kdokoliv, včetně případného útočníka, který získá přístup k databázím.
Po doplňujících otázkách také víme, že použitý hash je SHA algoritmus v .NET frameworku, doplněný o salt, také pomocí náhodného generátoru z .NET. Výše zmíněné resetování hesla se týká pouze starých aplikací a prý tato funkčnost byla „zavedena na četné žádosti zákazníků“.
Což přináší zásadní otázku: je skutečně dobré řídit se nebezpečnými nápady zákazníků? V nových aplikacích ale tato potenciálně nebezpečná funkčnost již není.
Takhle by mohli v FBI vydolovat data ze zašifrovaného iPhonu
24.3.2016 Zdroj: Zive.cz Mobilní
V kauze FBI vs. Apple došlo k odložení verdiktu, jelikož v FBI prý našli způsob jak odblokovat zašifrovaný iPhone útočníka Syeda Farooka. Jediná známá informace je, že s odemykáním telefonu by měla být nápomocná třetí strana. Žádné bližší informace neznáme, a to přináší prostor pro další spekulace.
Recode přináší vyjádření Jonathana Zdziarskeho (v hackerské komunitě známý spíše jako NerveGas). Hacker naznačuje, že jedním z možných způsobů, jak zabezpečení telefonu prolomit, je metoda „brute force“ – jednoduše vyzkoušet co nejvíce možných kombinací a najít správný kód.
16320-13026-iphone5c-guts-l.jpg
FBI by při hackování iPhonu 5C prý mohla použít metodu NAND mirroring
Má to ale jeden háček, telefon je chráněn proti opakovanému zadání chybného kódu a při několikátém pokusu se smažou veškerá data. Způsob jakým by se toto dalo obejít je dle Zdziarského NAND mirroring, tedy zkopírovat obsah flash paměti na externí médium. To vyžaduje vyjmutí paměťového čipu z telefonu a jeho připojení na čtečku.
Čip by poté byl vrácen zpět a pokud by se nepodařilo trefit číselnou kombinaci pro odemknutí telefonu, paměť by byla přehrána původní zálohou a pokus by se mohl opakovat. Jedinou překážkou je zde bezpečné vyjmutí čipu z telefonu. Při pokusu o vyjmutí by mohlo dojít k jejich poškození.
Tor zlepšuje zabezpečení, dokáže odhalit špehovací kód
23.3.2016 Zabezpečení
Společnost již tři roky vylepšuje své schopnosti při odhalování podvodného softwaru.
Projekt Tor zdokonalil svůj software na takovou úroveň, že dokáže rychle detekovat, zda se s konkrétní sítí nějak manipulovalo pro sledovací účely, napsal v pondělí jeden z hlavních developerů projektu.
Panují obavy, že by Tor mohl být buď rozvrácen, či omezen soudními příkazy, což by mohlo přimět projekt předat citlivé informace vládním společnostem; tedy podobný případ, jako je současný spor Apple vs. soud Spojených států.
Vývojáři Toru tedy nyní vytváří systém takovým způsobem, aby vícero lidí mohlo zkontrolovat, zda kód nebyl pozměněn a který „eliminuje jednotlivá selhání,“ napsal také v pondělí Mike Perry, hlavní vývojář prohlížeče Tor Browser.
Během několika posledních let se Tor soustředil na to umožnit uživatelům přístup k jejich zdrojovému kódu, který si následně mohou pozměnit a vytvořit tak vlastní buildy Toru, jež se dají následně ověřit veřejnými šifrovacími klíči organizace a jinými kopiemi aplikace.
„I kdyby vláda nebo zločinci získali naše šifrovací klíče, naše sítě a její uživatelé by zvládli rychle odhalit tuto skutečnost a nahlásit ji jako bezpečnostní hrozbu,“ pokračuje Perry. „Z technického pohledu, naše revize a proces vývoje zdrojového kódu způsobují, že pravděpodobnost odhalení takového škodlivého kódu by byla vysoká, a náprava rychlá.“
Minimálně dva šifrovací klíče by byly potřeba, aby upravená verze Tor Browseru alespoň zpočátku překonala bezpečnostní opatření: SSL/TSL klíč, který zabezpečuje spojení mezi uživatelem a Torem, a klíč užívaný jako podpis softwarových aktualizací.
„Právě teď jsou potřeba dva klíče, a tyto klíče ani nemají k dispozici ti samí lidé,“ píše Perry v Q&A na konci svého příspěvku. „Také jsou oba zabezpečeny různým způsobem.“
I kdyby útočník klíče získal, teoreticky by uživatelé byli schopni prozkoumat hash sofwaru a tak přijít na to, zda nebyl škodlivě upraven.
Apple zatím bojuje s příkazem federálního soudu, aby vytvořil speciální verzi iOS 9, která by odstranila bezpečnostní opatření na iPhonu 5c, používaný Syedem Rizwanem Farookem, strůjcem masakru v San Bernardinu.
Naplnění rozsudku se obává mnoho technologických společností, neboť by vládě poskytl snadný způsob, jak podkopat šifrovací systém jejich produktů.
Americký úřad spravedlnosti v pondělí uvedl, že pátrá po jiných možnostech, jak se dostat to iPhonu Farooka. V tom případě by pomoc Applu stát nepotřeboval.
Perry dále napsal, že společnost Tor Project „stojí za Applem a jeho rozhodnutím bránit šifrování a odporovat tlaku vlády. Nikdy nevytvoříme zadní vrátka pro náš software.“
Tor, zkratka pro The Onion Router („cibulový router“) je síť, která poskytuje anonymní přístup k internetu pomocí upraveného prohlížeče Firefox. Projekt započala Laboratoř pro námořní výzkum ve Spojených státech, ale teď ji řídí nezisková organizace Tor Project.
Prohlížení webu je šifrováno a zajišťováno skrze různé proxy servery, což výrazně stěžuje možnost zjistit skutečnou IP adresu počítače. Tor je životně důležitá aplikace pro aktivisty a disidenty, neboť poskytuje silnou vrstvu soukromí a anonymity.
Některé z funkcí Toru však využili též kriminální živly, především kyberzločinci. To vyvolalo zájem u bezpečnostních agentur po celém světě. Tisíce webů běží skrytě na systému Toru a mají speciální „.onion“ URL; dá se tak na ně připojit pouze skrze upravený prohlížeč.
The Silk Road, „hedvábná stezka,“ byl undegroundový, částečně ilegální trh, zavřený FBI v říjnu 2013. Šlo o jednu z nejznámějších služeb, využívajících pro svou činnost právě Tor.
Internetové bankovnictví bylo uzamčeno, zkouší podvodníci nový trik
23.3.2016 Phishing
Nový trik zkouší podvodníci, kteří se vydávají za zaměstnance České spořitelny. Uživatelům tvrdí, že bylo jejich internetové bankovnictví uzamčeno. Snaží se je tím přimět ke kliknutí na falešný odkaz, aby z nich mohli vylákat přihlašovací údaje. Před novými phishingovými zprávami varovali zástupci České spořitelny.
FOTO: Česká spořitelna
Právě na klienty spořitelny nový podvod cílí. „Dosáhli jste maximálního počtu neúspěšných pokusů o přihlášení. Pro vaši ochranu byl přístup k on-line službě uzamčen,“ tvrdí podvodníci v nevyžádané zprávě.
Na konci textu je pak odkaz, prostřednictvím kterého je údajně možné přístup obnovit a pokračovat v procesu ověření. Tak z důvěřivců snadno vytáhnou i potvrzovací SMS zprávu, díky které pak uskuteční libovolnou platbu.
Pozornější podvod odhalí
I když grafika podvodného mailu skutečně připomíná službu Servis 24, tedy internetové bankovnictví České spořitelny, pozornější uživatelé mohou snadno odhalit, že jde o podvod. Zpráva totiž obsahuje řadu chyb, některým slovům například chybí zcela diakritika.
„Buďte k e-mailům z neznámých zdrojů velmi obezřetní. Pokud máte podezření, že jste podvodný e-mail obdrželi, v žádném případě nereagujte na jeho obsah, neklikejte na odkaz, který může být jeho součástí, a zprávu nám přepošlete na e-mailovou adresu phishing@csas.cz. Jestliže jste již na odkaz klikli a vyplnili požadované údaje, ihned kontaktujte klientskou linku České spořitelny na bezplatném telefonním čísle 800 207 207,“ poradili zástupci banky.
Stejně by lidé měli postupovat i v případě, že jim nevyžádaná zpráva přijde s hlavičkou jiné bankovní instituce. Měli by se tedy vždy obrátit na svou banku.
Metaphor – nová hrozba pro uživatele Androidů
21.3.2016 Viry
Další problém s multimediální knihovnou Androidu ohrožuje možná desítky milionů uživatelů.
Stagefright opět představuje riziko. Miliony zařízení s Androidem jsou opět v ohrožení poté, co byl objeven nový způsob jak zneužít díru v knihovně multimédií, kterou už Google v minulosti záplatoval.
Izraelská bezpečnostní společnost NorthBit slabinu pojmenovala Metaphor a zranitelná jsou podle ní všechna zařízení s Androidem 2.2, přes 4.0 až po 5.0 a 5.1. Nejvíc prý smartphony Nexus 5 se stock ROM a s určitými modifikacemi také HTC One, LG G3 a Samsung S5.
Jde přitom o podobnou chybu, jakou představovala ta s označením CVE-2015-3864, která byla poprvé objevena zkraje loňského roku bezpečnostní společností Zimperium. Google ji už dvakrát napravoval, přičemž podruhé tak s ohledem na možné ohrožení učinil relativně v tichosti.
Podle Zuka Avrahama, zakladatele Zimperia, tak aktuální report kolegů z NorthBit představuje značné riziko, jelikož jej mohou hackeři snáz zneužít. Zvlášť poté, co NorthBit postup úspěšného prolomení bezpečnostní chyby zveřejnil na videu.
Nic netušícímu uživateli stačí kliknout na škodlivý link a chvíli na dané webové stránce pobýt – společnost uvádí pár vteřin až dvě minuty – než škodlivý kód vykoná své dílo. Na zařízeních s Androidem 5.0 a 5.1 přitom zvládne prolomit i ASLR, tedy opatření, které má podobným útokům bránit.
Podle odhadů NorthBitu Android 5.0 a 5.1 v současnosti běží na zhruba 235 milionech zařízení, Android verze 2.x bez ASLR pak na 40 milionech zařízení. „Těžko ale odhadnout, kolik jich je vlastně v ohrožení,“ píše ve své zprávě.
Google loni v srpnu pod vlivem hrozby Stagefrightu přislíbil pravidelnější vydávání patchů a užší spolupráci s výrobci mobilních zařízení a i když nepřicházejí tak pravidelně, jak by někteří uživatelé očekávali, dá se předpokládat, že na aktuální problém zareaguje pohotově.
„Pro komunitu Androidářů představuje záplatování podobných chyb obzvlášť velkou výzvu. Na vývojáře i výrobce je vyvíjen velký tlak, aby takové chyby rychle napravovali,“ říká Chris Eng, viceprezident společnosti Veracode.
Nový trojský kůň terorizuje uživatele iPhonů a iPadů
21.3.2016 Viry
Počítačoví piráti se v poslední době zaměřují na uživatele Applu stále častěji. V uplynulých týdnech trápil uživatele operačního systému vyděračský virus KeRanger, nově se trojský kůň AceDeceiver zaměřuje na chytré telefony a počítačové tablety s logem nakousnutého jablka. Upozornil na to server Hot for Security.
Nový škodlivý kód objevili výzkumníci ze společnosti Palo Alto Networks. Podle nich jde mimochodem o vůbec prvního trojského koně pro platformu iOS, tedy pro mobilní operační systém společnosti Apple.
Bezpečnostní experti upozorňují na to, že nezvaný návštěvník se dokáže šířit i na zařízeních, na kterých nebyl proveden tzv. jailbreak. Jde v podstatě o odemčení chytrého telefonu nebo počítačového tabletu, aby do něj bylo možné instalovat aplikaci i z neoficiálních zdrojů.
Právě tak se totiž škodlivé kódy na iPhonech a iPadech šířily nejčastěji. Trojský kůň AceDeceiver však jailbreak nepotřebuje, zopakujme, že se dokáže šířit i na neodemčených přístrojích.
Zadní vrátka do systému
V nich pak dokáže udělat poměrně velkou neplechu. Otevře totiž kyberzločincům zadní vrátka do systému, čímž jim zpřístupní nejen nastavení, ale také uživatelská data.
Jak se tedy záškodník do mobilu nebo tabletu dostane? Počítačoví piráti spoléhají na to, že si uživatelé budou chtít stahovat aplikace nejen prostřednictvím svého mobilního telefonu, ale také prostřednictvím počítače s Windows, ke kterému se iPhone či iPad jednoduše připojí prostřednictvím aplikace iTunes.
AceDeceiver se podle výzkumníků z Palo Alto Networks šíří už od poloviny loňského roku, objeven byl však až nyní. Aktuálně mají výzkumníci k dispozici tři programy, které tohoto záškodníka obsahují a nabízely se prostřednictvím oficiálního obchodu s App Store.
Bezpečnostní experti zástupce společnosti Apple na výskyt nebezpečných aplikací upozornili ještě před zveřejněním celé kauzy. V současnosti tak již není nakažené programy možné stáhnout.
Nabízí se ale otázka, zda se výzkumníkům podařilo odhalit všechny nakažené aplikace. Nebo zda naopak ještě nějaká číhá na uživatele v obchodu App Store.
Vyděrači cílí na Mac OS X
Zkraje března se počítačoví piráti zaměřili také na majitele počítačů s operačním systémem Mac OS X. Virem KeRanger mohli uživatelé své stroje nakazit, pokud do nich nainstalovali aplikaci pro stahování torrentů Transmission. Právě v ní se nezvaný návštěvník ukrýval.
První tři dny si oběti vyděračského viru patrně ani nevšimly, že je něco v nepořádku. Zůstal totiž schovaný na pozadí a vyčkával na svou příležitost. Teprve po zmiňovaných 72 hodinách se aktivoval a začal v operačním systému Mac OS X pěknou neplechu.
Stejně jako na platformě Windows zašifruje uložená data na pevném disku. Útočníci pak za jejich zpřístupnění požadují výkupné ve výši 10 000 korun.
Ransomware TeslaCrypt 3.0.1 posouvá vydírání dále, už nepůjde prolomit
20.3.2016 Viry
Ransomware TeslaCrypt 3.0.1 posouvá vydírání dále, už nepůjde prolomitDnes, Milan Šurkala, aktualitaVyděračský malware je na vzestupu, stává se mnohem častější hrozbou než v minulosti. Nová verze TeslaCrypt 3.0.1 opravuje chyby předchozí varianty a nyní už bude bez zaplacení výkupného nemožné se dostat k původním datům.
V posledních měsících a letech zaznamenáváme výrazný nárůst ransomware, což je vyděračský software, který zašifruje veškerá data na disku oběti a požaduje výkupné za jejich odemčení. TeslaCrypt je jeden z nejzákeřnějších a jeho nová verze 3.0.1 opravila chyby těch předchozích. Dle odborníků v oblasti bezpečnosti je šifrování tak silné, že nelze prolomit žádnou metodou (brute force je díky časové náročnosti nemyslitelný).
Minulé verze softwaru uchovaly klíč k odemčení na počítači oběti a vzniklo několik aplikací, které dokázaly zašifrovaná data odemknout (TeslaCrack, TeslaDecrypt, TeslaDecoder). Nová verze vytvoří šifrovací klíč, který je jedinečný pro každý počítač, zašifruje jím data, ale poté jej odešle na server útočníka a na postiženém počítači jej smaže. Pak nezbývá než zaplatit, přičemž není zaručeno, že útočníci vaše data skutečně rozšifrují. Situace je ještě o to horší, že ransomware často proklouzne antivirovým programům. Musíte si tedy dávat pozor na přílohy v e-mailech a ideální je také si nechávat zálohy důležitých dat.
FBI by mohla špehovat lidi pomocí kamery v mobilu, varuje Apple
19.3.2016 Hrozby
O sporu mezi společností Apple a vyšetřovateli z FBI, který se týká odblokování iPhonu zabijáka ze San Bernardina, bude už příští týden rozhodovat soud v USA. Viceprezident počítačového gigantu pro software a služby Eddy Cue nyní upozornil, že konečný verdikt ve prospěch FBI by mohl vytvořit velmi nebezpečný precedens, který by mohl přinést například špehování lidí na dálku pomocí kamery v mobilu.
„Když nás donutí udělat nový systém se ‚zadními vrátky‘, jak to bude pokračovat dál?,“ prohlásil Cue podle serveru Apple Insider.
Bojí se především toho, že se budou nároky stupňovat. „Pro příklad, jednou po nás FBI bude chtít, abychom zpřístupnili fotoaparát v telefonu či mikrofon. To jsou věci, které teď dělat prostě nemůžeme,“ vysvětlil viceprezident Applu, co by mohlo přinést rozhodnutí soudu.
Celý spor se rozhořel kvůli tomu, že se vyšetřovatelům z FBI nepodařilo dostat do uzamčeného iPhonu islámského radikála. Ten měl svůj iPhone nastavený tak, aby se po zadání deseti nesprávných přístupových hesel automaticky vymazal.
Nejde jen o zabijákův iPhone
Právě kvůli neúspěchu vyšetřovatelů soud společnosti Apple nařídil, aby tuto funkci vypnula. Vedení amerického počítačového gigantu to však odmítlo s tím, že to technicky není možné. Jedinou cestou, jak iPhone zpřístupnit, je údajně vytvoření „zadních vrátek“ do operačního systému iOS. Ten využívají právě chytré telefony iPhone a počítačové tablety iPad.
To ale šéf Applu Tim Cook odmítá, protože se bojí případného zneužití. Implementací takového nástroje do zmiňované mobilní platformy by totiž byla FBI schopna obejít zabezpečení prakticky jakéhokoliv iPhonu nebo iPadu v budoucnosti.
Na začátku března se totiž ukázalo, že FBI nejde pouze o zabijákův iPhone. Jen od loňského října chtěla odemknout celkem devět zařízení. [celá zpráva]
FBI chce zdrojový kód systému
FBI se nyní snaží prostřednictvím soudu vedení Applu donutit, aby „začalo spolupracovat“. V opačném případě chtějí dosáhnout vyšetřovatelé toho, aby jim musel americký počítačový gigant vydat kompletní zdrojový kód systému. S jeho pomocí by se totiž patrně také do zabijákova iPhonu dostali.
Cook se kvůli celému sporu dokonce již obrátil na prezidenta USA Baracka Obamu. S jeho pomocí by se chtěl snažit prosadit vytvoření speciálního výboru, který by se problematikou šifrování mobilů zabýval.
Na jeho žádost však úřady zatím neodpověděly. Není tedy jasné, zda Cooka Obama přijme.
Microsoft dá sbohem šifře RC4, která chránila HTTPS a Wi-Fi
18.3.2016 Zabezpečení
Microsoft oznámil , že v dohledné době výchozím odstraní podporu pro RC4 ve svých internetových prohlížečích Edge a Internet Explorer (11). Jde o algoritmus, který se využívá například při šifrovaném přenosu u webových stránek či při zabezpečení bezdrátových sítí. Historie šifry RC4 sahá ještě do roku 1987.
RC4
Šifra široce používaná u běžně používaných protokolů SSL/TLS pro HTTPS nebo WEP a WPA u Wi-Fi sítí. Byla oblíbená pro svou rychlost, jednoduchost a snadnou implementaci. Aktuálně už je ale překonána modernějšími alternativami.
Změna se odehraje v rámci kumulativních bezpečnostních aktualizací, které budou vydány příští měsíc, konkrétně 12. dubna (čili společně s dalšími bezpečnostními záplatami pro jiné produkty).
Microsoft tím plní závazek, o kterém informoval ještě loni. Zároveň následuje konkurenční produkty jako Google Chrome, Mozilla Firefox nebo Opera. Tyto prohlížeče již podporu RC4 zakázaly v předchozích aktualizacích.
Jelikož se většina moderních webových služeb i prohlížečů od RC4 už odklonila, v principu se běžní uživatelé nemusí při surfování na zabezpečených webech obávat nějakého omezení.
FBI varuje – chytrá auta se mohou lehce stát cílem hackerů
18.3.2016 Hacking
Odpojené brzdy, vypnutá světla nebo zaseklý plyn. Noční můry řidičů už nemusí mít na svědomí jen únava materiálu, ale i hackeři.
Hacknutý firemní systém je sice nepříjemnost, ale nemusí jít v každém případě o život. V případě hacknutého auta je to horší. Americké úřady vydaly varování před rostoucím nebezpečím útoků na kamiony nebo osobní auta prostřednictvím internetu.
„Moderní auta umožňují připojit různá zařízení, která přináší třeba ekonomičtější provoz nebo větší pohodlí za jízdy. Ale za cenu toho, že auto připojené k internet představuje větší riziko,“ tvrdí zpráva.
Podle FBI by se měli majitelé připojených aut ke svým vozidlům chovat jako k počítačům – tedy aktualizovat software a nevynechávat případné svolávání automobilkou k fyzickému záplatování objevených bezpečnostních děr. Samozřejmě se nedoporučují ani neautorizované úpravy systému nebo používání neprověřených gadgetů.
Většina tipů vyplývá z loňských zkušeností, kdy hackeři Charlie Miller a Chris Valasek hackli v červenci systém Chrysleru a pro automobilku to znamenalo svolávání 1,4 milionu aut. Jen o měsíc později vědci z University of California předvedli, jak může být jednoduše hacknuta Corvetta. A to prostřednictvím donglu, který svým klientům do aut poskytuje pojišťovna.
„V textu není moc nových informací. Navíc je to s dost velkým zpožděním. Každopádně i tak se to bude hodit. Lidé berou FBI vážně,“ tvrdí časopisu Wired hacker Chris Valasek.
Podle hackera se teď mohou úřady těšit na záplavu oznámení o hacknutí auta. Podobně se to totiž stalo loni jim. „Jsme rádi, že to po nás FBI převezme,“ dodává.
Připojená auta se stala letos jedním z větších témat i na barcelonském veletrhu MWC. Kromě Samsungu se tam s novinkou pochlubil i T-Mobile. Operátor v autech vidí především další zařízení, do kterých může zapíchnout své datové SIM karty.
Trojský kůň Marcher pro Android se šíří přes pornografické weby
18.3.2016 Mobilní
Trojan Marcher využívá zájem o pornografii a proniká do mobilů zájemců o porno, aby je připravil o peníze. Musí mu ale sami uvolnit cestu.
Jak se může do telefonu s Androidem dostat trojský kůň? Většinou tak, že si ho tam dobrovolně pořídíte – což je nakonec i případ Marcheru, který využívá pornografické weby. Uživatelům porno webu pošle odkaz na stažení aplikace e-mailem nebo v SMS. Maskuje se za aktualizaci Adobe Flash Player, která má být nutná pro přístup k žádanému pornu.
Právě vydávání se za Flash nebo aktualizaci Flashe je jednou z nejčastějších cest, jak se viry a malware dostávají i do klasického počítače. V mobilu to mají těžší – je totiž nutné povolit instalaci aplikací z jiných míst než Google Play, ale porna chtiví jedinci nejspíš i tuto překážku snadno překonají. Po instalaci získá trojan správcovská práva (uživatel mu je pochopitelně udělí) a uživateli je „poslána“ MMS s odkazem naX-Video aplikaci na Google Play – ta nic škodlivého neobsahuje, je pravděpodobně použita jenom pro vyvolání zdání realističnosti.
Trojan se poté rovnou zeptá na platební údaje a tváří se jako formulář z Google Play. V některých případech si je dokáže získat z dalších platebních aplikací, které se v telefonu mohou nacházet. Umí vytvářet i falešné přihlašovací stránky bank (použije k tomu informace o tom, jaké máte v mobilu bankovní aplikace) a je vybaven řadou dalších vychytávek.
Zscaller v Android Marcher now marching via porn sites uvádějí, že Marcher vznikl už někdy v roce 2013 a původně si vystačil pouze s imitováním Google Play pro získání platebních údajů. Později přidal vytváření falešných přihlašovacích stránek bank. Pokud vás zajímají další informace o tomto trojském koni, zkuste Android.Trojan.Marcher od PhishLabs. Při čtení narazíte i na to, že mezi napadenými zeměmi je uvedená Česká republika s 11 % podílem.
Jednu věc je vhodné zdůraznit: pokud si v Androidu nepovolíte instalaci z jiných míst než z Google Play, tak se do vašeho telefonu nemá podobný virus jak dostat.
Z Google Play obvykle nic chytit nemůžete, X-Video na Google Play nic škodlivého neobsahuje. Do telefonu (či tabletu) se „aktualizace Adobe Flash Player“ dostane jedině tak, že si stáhnete apk odněkud odjinud a poté provedete sami instalaci.
Přes kompromitované inzertní sítě a velké weby v USA se šířil ransomware
17.3.2016 Viry
Útočné reklamy se dostaly i na ty největší a nejnavštěvovanější americké weby. Útočníci využili chyby ve Flashi, Silverlightu a dalším softwaru.
Pokud jste se v posledních dnech pohybovali na velkých a známých (zahraničních) webech, je velmi pravděpodobné, že jste se mohli setkat s reklamami, které ve skutečnosti zkoušejí, jestli se není možné dostat do vašeho počítače.
Využívají k tomu děravý Flash, Silverlight, Javu a další software v prohlížeči, u kterého jsou známé využitelné zranitelnosti. Po získání přístupu do počítače nasadí trojského koně a ransomware, který zašifruje data a za jejich odemčení požaduje zaplacení výkupného.
Nakažené reklamy se v posledních dnech objevily i v Česku – viz Podvodné reklamy straší virovou nákazou, šíří je i reklamní síť Googlu.
Trend Micro v Massive Malvertising Campaign in US Leads to Angler Exploit Kit/BEDEP uvádí, že útočícím kódem je starý známý Angler a samotná kampaň by měla cílit pouze na uživatele v USA. Výsledkem útoku je stažení backdooru známého pod názvem BEDEP a malwaru, který Trend Micro označuje jako TROJAN_AVRECON. Trustwave v Angler Takes Malvertising to New Heights informace potvrzuje a doplňuje některá další konkrétní fakta.
Zajímavé může být například to, že samotný útočný JavaScript má přes 12 tisíc řádek kódu a je samozřejmě napsán tak, aby bylo velmi obtížné zjistit, co vlastně dělá. Snaží se mimo jiné vyhýbat počítačům, které jsou chráněny některými antiviry či antimalware programy. Napadené inzertní sítě jsou, podle Trustwave, hlavně adnxs a taggify, přičemž pouze první z nich se k problému postavila čelem a nabídla rychlé řešení.
Malwarebytes v Large Angler Malvertising Campaign Hits Top Publishers doplňuje poměrně užitečný seznam webů, na kterých se útočné inzeráty objevily – zahrnuje MSN.com, NYTimes.com, BBC.com, AOL.COM či NewsWeek.com (ale i řadu dalších), které v návštěvnosti dosahují i stovky milionů návštěvníků měsíčně. Napadené inzertní sítě byly klasicky využity k tomu, že se reklamy dostaly do velkých inzertních sítí, včetně Googlu, AppNexus, AOL či Rubicon.
Malwarebytes také doplňují, že původní kit pro napadení byl RIG, teprve v neděli byl nahrazen Anglerem, do kterého byla doplněna i čerstvě objevená zranitelnost v Silverlightu.
Šifrovaný ProtonMail už je dostupný pro všechny. K dispozici jsou i aplikace pro smartphony
17.3.2016 Zabezpečení
ProtonMail vzniknul na začátku loňského roku jako výsledek zvýšené poptávky po zabezpečené komunikaci. Vývojáři, kteří mají pracovní zkušenosti ze Švýcarského CERNu, šifrují text zpráv pomocí OpenPGP a internetem tedy putuje jako nesmyslná změť znaků. Dekóduje se opět až na konci u příjemce. ProtonMail se nyní dostává z fáze beta do běžného provozu a zaregistrovat si účet může kdokoliv.
Schránka ProtonMailu vypadá na první pohled jako kterýkoliv jiný webmail. Zprávy jsou však zašifrovány jak při odesílání, tak při ukládání na server provozovatele
Registrace pro uživatele, kteří nebyli součástí beta testování se otevřela dnes ve 12.30 a zároveň s tím zamířily do App Store a Google Play aplikace pro mobilní zařízení. V blogpostu, kterým zakladatel společnosti oznámil ostrý start, zdůraznil vzrůstající poptávku po takto zabezpečené komunikaci i v souvislosti s aktuální kauzou, jež se kolem šifrování rozjela.
Na startu ProtonMailu stála úspěšná crowdfundingová kampaň, která tvůrcům přinesla 550 000 dolarů, tedy asi 13 milionů korun. Aktuálně je novým uživatelům k dispozici schránka s kapacitou 500 MB, přičemž rozšíření probíhá pomocí některého z placených účtů. Za 5 GB navíc zaplatíte 5 euro měsíčně a získáte možnost denně odeslat až 1 000 zpráv. V základní neplacené verzi je limit nastaven na 150 zpráv. Za příplatek si lze pořídit vlastní domény s několika aliasy nebo možnost třídit zprávy pomocí více štítků – v bezplatné verzi jich je 20.
Při registraci vás čeká volba běžného přihlašovacího hesla a potom druhého, s jehož pomocí jsou zprávy šifrovány. První z nich lze resetovat v případě, že k účtu přiřadíte ještě jeden běžný e-mail. Šifrovací heslo však není možné žádným způsobem obnovit a k předchozí poště se při jeho ztrátě již nedostanete.
Biohacking - Člověk 2.0
17.3.2016 Hacking
Již dnes existují nadšenci, kteří podstupují bolestivé procedury kvůli tomu, aby pomocí technologií vylepšili svoje tělo a stali se tak mnohem dokonalejšími kyborgy. Celé hnutí, jedno z odvětví takzvaného biohackingu, je zatím v počátcích.
Lidská fantazie, kreativita a nadšení pro experimenty zdánlivě neznají hranic. Na druhou stranu by také kreativita člověka měla mít jistá omezení. Na internetu se například v současnosti formuje skupina lidí, kteří experimentují s technologií neuronální stimulace mozku v domácích podmínkách.
Americká společnost Foc.us tvrdí, že vyvinula speciální headset, po jehož nasazení budou počítačoví hráči dosahovat lepších reakčních časů. Mnozí si od této techniky slibují povzbuzení nálady nebo vylepšení schopnosti učit se. Jistý vysokoškolák na YouTube otevřeně mluví o tom, že stimulační elektrody přiložil na hlavu „nějak tam a tady“. Namísto zlepšení svých schopností ale nejméně na jednu hodinu upadl do hluboké deprese – což ho však neodradilo od dalších experimentů.
Rozšíření psychických a tělesných schopností člověka, či pokusy vytvořit pomocí technologií jakéhosi dokonalého kyborga, nesou označení grinding. Dal by se zařadit jako podkategorie takzvaného biohackingu. V druhém odvětví tohoto poměrně nového směru lidé experimentují především s dědičným kódem DNA.
Amatérští biologové v domácích podmínkách „hackují“ DNA a vyvíjejí třeba nové druhy zeleniny. Stvořili už například jogurt, který ve tmě zeleně fluoreskuje, protože do jeho bílkoviny byl přidaný gen medúzy. Další větev biohackingu pak tvoří zmíněný grinding, kdy se pomocí moderních technických vymožeností hackeři snaží upravovat samotného člověka – grindeři to nazývají jako „self-biohacking“, nebo snad ještě výstižnějším termínem „ sebe-kustomizace“. Pojďme se podívat na to, na jaké hranice – etické, technologické a další – jejich kreativní experimentování naráží.
Čipová kontrola nad pacienty
Biohacking kódu DNA vyvolává ze zcela pochopitelných důvodů odpor veřejnosti. Je nasnadě, že domácí amatérské experimentování s kódem života se může vymstít. Naopak technologicky zaměřený grinding už takové emoce nevzbuzuje, protože lidé, kteří se ze sebe s pomocí techniky snaží udělat vylepšené kyborgy, zpravidla mohou ublížit jen sami sobě.
Technická zařízení, která se lidem snaží usnadnit život, pochopitelně existují již dnes – v medicíně to jsou například různé druhy protéz, kardiostimulátory a podobně. Pro diabetiky existuje pomoc v podobě nové technologie, kterou vyvíjí americká univerzita v Akronu. Tamní vědci pracují na kontaktní čočce, která měří hladinu cukru v krvi ze slz.
Podle nich potom čočka mění barvu, takže diabetik může informaci o hodnotě cukru v těle zjistit pohledem do zrcadla. Případně může oko vyfotografovat, a speciální software potom podle barvy čočky vypočítá hladinu cukru, podle níž si potom pacient zvolí příslušnou dávku inzulinu.
V medicíně bychom našli mnoho dalších pokusů tohoto typu jakéhosi neinvazivního, „umírněného grindingu“. Kontaktní čočka pro diabetiky nevzbuzuje žádné negativní emoce, kromě pochybností o tom, zda informace o hladině cukru v krvi má být prostřednictvím barvy čočky dostupná také všem lidem v okolí. Již spornějším případem jsou například snahy o integraci čipů do tablet s lékem.
Kyberzločinci kradli bitcoiny pomocí rozšíření v prohlížeči
17.3.2016 Hacking
Kurz bitcoinů se drží posledních pár týdnů poměrně vysoko. To je jeden z hlavních důvodů, proč tato virtuální měna láká stále více lidí po celém světě. Vysoká popularita nezůstala lhostejná ani kyberzločincům, kteří se právě na majitele bitcoinů zaměřili. Šance na jejich dopadení je prakticky nulová.
Počítačoví piráti se zaměřili na uživatele internetové stránky BitcoinWisdom.com, kterou každý měsíc navštíví milióny uživatelů z různých koutů světa. Tento server totiž nabízí v poměrně přehledné formě informace o kurzu bitcoinu a analýzy možných vývojů kurzů. Pro uživatele je tedy jakousi nápovědou, jak nakupovat nebo prodávat.
Uživatelům zmiňovaného serveru nabídli kyberzločinci rozšíření pro populární internetový prohlížeč Chrome, které dovolovalo na stránkách BitcoinWisdom.com blokovat reklamu.
Přesně to rozšíření také v praxi dělalo, takže si uživatelé prvních pár dnů používání patrně ani nevšimli, že je něco v nepořádku. Kromě blokování reklamy totiž toto rozšíření přesměrovávalo platby v bitcoinech, uvedl server Softpedia.
Poslané peníze končily na účtech pirátů
Poslané peníze tak končily na účtech podvodníků. Vzhledem k tomu, že transakce bitcoinů není prakticky možné vystopovat, je velmi nepravděpodobné, že by se podařilo kyberzločince vystopovat.
Je každopádně jasné, že byznys to byl pro počítačové piráty opravdu velký. Pouhý jeden bitcoin má při aktuálním kurzu hodnotu zhruba 10 000 korun. Slušný balík peněz tak mohli vydělat i v případě, že by se jim podařilo získat pouhých pár bitcoinů.
Kolik uživatelů se podařilo prostřednictvím rozšíření kyberzločincům okrást, zatím není známo.
Virtuální měny představují velké riziko
Virtuální měna bitcoin vznikla v roce 2009, větší popularitě se ale těší v posledních letech. Vytvořena byla tak, aby se nedala ovlivňovat žádnou vládou ani centrální bankou.
Kybernetické mince "razí" síť počítačů se specializovaným softwarem, naprogramovaným tak, aby uvolňoval nové mince stabilním, ale stále klesajícím tempem. Počet mincí v oběhu má dosáhnout nakonec 21 miliónů, což má být kolem roku 2140.
Bitcoiny se těší velké popularitě především coby prostředek pro investici. Kurzy však často kolísají. Evropský bankovní úřad kvůli tomu dokonce již dříve varoval spotřebitele, že neregulované virtuální měny představují velké riziko. Jejich vklady totiž nejsou nijak chráněny.
Podvodné reklamy straší virovou nákazou, šíří je i reklamní síť Googlu
16.3.2016 Viry
Přes některé české i zahraniční reklamní systémy se v těchto dnech šíří malvertising, který se snaží uživatele vyděsit tím, že mají napadený smartphone.
9:02 – doplněno vyjádření firmy R2B2
„Zjistili jsme, že jste nedávno navštívili pornografické stránky. 28,1% z mobilních dat je obtížné infikován škodlivými viry 4. Viry mohou poškodit SIM kartu ! Vaše soukromá data vyprší! Fotografie a kontakty jsou ztraceny!“
Lámaná čeština, hrozba, že „vaše soukromá data vyprší“, pokud nic neuděláte, a odkaz vedoucí až k webu, který po vás bude chtít telefonní číslo. Na české mobilní uživatele v uplynulých dnech zamířila vlna falešných reklam, které se šíří prostřednictvím mobilních reklamních systémů. Podobný případ ale hlásí i velké zahraniční weby.
Na aktuální malvertising nás na Facebooku upozornil Pedro Palcelloni. Falešná varování před virovou nákazou v jeho telefonu se mu zobrazila při čtení článků na iDNES.cz.
Podle projektového manažera iDNES.cz Pavla Kočičky vydavatelství o problému ví a od začátku jej řeší. Upozornění se podle něj šířila prostřednictvím falešných reklamních formátů v mobilních programatických systémech, které vydavatelství Mafra na svých webech využívá. Jedním z provozovatelů, které Mafra využívá, je podle něj Google, dalším česká síť R2B2.
„Sestřelili jsme reklamu i všechny ostatní, které vedou na doménu .click a zakázali jsme reklamy z kategorie ‚security‘. Google o tom ví od předvčerejška, že jim tam takový hnus protéká, pravidelně jim to hlásíme,“ popsal v komentáři na Facebooku.
„Podvodné reklamy jsou bohužel fenomén současných automatizovaných sítí pro prodej online reklamy. Forma s automatickým přesměrováním na telefonech s operačním systémem Android je dosud její nejagresivnější podobou. Jako vydavatel hlídáme využívání svého reklamního prostoru a podvodné nebo podezřelé reklamy ihned blokujeme. Problém zároveň řešíme v úzkém spojení s poskytovateli reklamního obsahu, kteří na potírání těchto online fraudů dedikovali celé týmy i výpočetní farmy,“ reaguje také Jan Malý, projektový manažer, který má mobilní weby v iDNES.cz na starost.
O reakci jsme požádali jak český Google, tak R2B2, ale zatím jsme od nich nedostali žádné upřesňující informace.
Doplnění 9:02 – Odpověď z R2B2 dorazila těsně po publikování tohoto textu:
„Z našich reklamních kanálu tyto zavirované reklamy nešly, nicméně z profesionálních důvodů jsme se snažili vypátrat, odkud se vir na weby Mafry dostal a dle našich zjištění šel z reklamních jednotek společnosti Google, které Mafra nasazuje na své stránky mimo naši spolupráci,“ napsal Lupě jednatel R2B2 Martin Čelikovský.
Reklama podle něj byla na první pohled podezřelá. „Už proto, že byla podivně cílená (angličtina, dovolená) a byla nasazena s omezením frekvence 1× na uživatele s velmi vysokou nabídkou v aukci. Necílenou reklamu tohoto typu se pouštět takto nemůže vyplácet, což upřelo naši pozornost na tuto reklamu a podezření jsme vzápětí potvrdili,“ dodává.
Autor: R2B2
„Na celé skutečnosti je podivné, že reklama prošla kontrolou společnosti Google. Ale jelikož to nebyl kanál v rámci spolupráce s naší společností, tak nejsme obeznámeni s podrobnostmi,“ doplňuje Čelikovský.
Jak útok funguje
Na falešná varování se samozřejmě nevyplatí klikat. Podvržené reklamy na mobilních telefonech používají taktiku falešných antivirů, která dlouhé roky „úspěšně“ funguje na počítačích. Nic netušící uživatelé se nechají snadno nachytat a v panice věří, že se jim v počítači objevil virus. A ve skutečnosti ho tam ochotně pustí.
Na počítači podobné věci mívají fatální následky – pokud máte děravý Flash nebo Javu, nebo jinou neošetřenou zranitelnost. Na iOSu či Androidu hrozí poměrně málo, tedy pokud si případné následné svinstvo nepustíte dobrovolně do systému. Ale jak uvidíme níže, ne vždy je cílem těchto aktivit dostat do mobilu či počítače malware.
Ze screenshotu to sice není vidět, ale adresa je například paly.google.com.store.apps.
deepmind.click/
3b5MBivfkif2mmhxluoImYurMuwz/cz/ a tlačítko pro „odstranění“ viru vede na cldlr.com/?a=33580&c=92366&s1=3Bcz, kde najdete pár dalších přesměrování (varm.coolsafeads.com/?kw=-1&s1= a poté 4ugzz.sexy.0367.pics se stažením REI495slmCZ.html z téže domény. A přesměrováním zdaleka není konec, dostanete se nakonec na reimageplus.com a v celém tom řetězci je otázka, kolik z těch webů je zneužitých/hacknutých. Pokud budete výše uvedené odkazy zkoumat, zjistíte, že jde navíc jenom o jednu z možných cest.
Konečná destinace každopádně je kdesi na z.dicemob.mobi (patří Zamano.com, poskytovateli mobilních/platebních služeb) a stránka tam po vás bude chtít telefonní číslo.
Pokud ho důvěřivě sdělíte, naletíte na aktuálně nejčastější způsob podvádění – posílání zpoplatněných SMS. Když se podíváte do patičky, zjistíte, že se web tváří, jako by probíhal přes vcelku jasně identifikovatelnou službu působící v Česku.
Cena za jednu SMS je 99 Kč a týdně jich dostanete až deset. Než si tedy uvědomíte, co se stalo, můžete přijít o hezkých pár set korun.
Po vyplnění telefonního čísla vám přijde SMS (případné „Klikněte zde“ otevírá odeslání SMS) a pokud na ni odpovíte, budou vám chodit další a další, které už budou zpoplatněné. Prostě si podvodem objednáte službu, která s viry a bezpečností vašeho telefonu nemá nic společného.
Zasaženy i New York Times
Podle aktuálních zpráv to vypadá, že současná kampaň není jen problémem České republiky. Podle bezpečnostní firmy Malwarebytes obdobné falešné reklamy ohrožují také uživatele velkých zahraničních webů jako je nytimes.co, bbc.com, nfl.com nebo newsweek.com.
I tady jde o podvodné reklamy šířené několika reklamními sítěmi – mezi jejich provozovatele patří Google, AppNexus, AOL či Rubicon. Podvržené reklamy se uživatelům snaží do zařízení instalovat ransomware.
Podobné útoky nejsou ojedinělé – a v Další příklad malvertisingu: na Forbes.com byl v některých reklamách malware zjistíte, že se často týká i renomovaných titulů. Potenciální nebezpečnost reklam je často jedním z argumentů, proč je na internetu blokovat.
Bez antiviru a firewallu platební kartu na internetu používat nesmíte
16.3.2016 Bezpečnost
Četli jste podmínky používání vaší platební karty? Možná budete překvapeni, co všechno podle nich musíte nebo nesmíte dělat při platbách na internetu.
Vlastně to vypadá jako docela dobrá absurdita – kdyby ovšem nešlo o tak důležitý dokument, jako jsou obchodní podmínky pro používání platebních karet. Svá pravidla nedávno aktualizovala tuzemská Fio banka (pro nové smlouvy platí od 8. března, pro dříve uzavřené začnou platit od 9. května). A když se do desetistránkového materiálu začtete, nestačíte se divit, co všechno musíte udělat, abyste jejím podmínkám vyhověli.
Podivil se i bezpečnostní expert Michal Špaček, který jinak obvykle volá po tom, aby se lidé na internetu chovali bezpečněji. „Dozvěděl jsem se například to, že když na počítači nemám antivir, tak ty obchodní podmínky porušuju. A taky bych je porušoval, kdybych nesledoval informace o virech a spyware. Ale to trochu sleduju, takže cajk. Jenže kvůli tomu občas navštěvuju i neznámé stránky, různé blogy nebo články, ostatně, takhle vlastně funguje tenhleten web, že. A tím už zase ty podmínky porušuju,“ upozornil na podmínky Fio banky na svém facebookovém profilu.
Kompletní podmínky najdete na webu banky (PDF) a novinkou v nich je zejména oddíl IVa, který si stojí za to přečíst. Začíná totiž výslovným upozorněním, že všechny v něm napsané věci jsou pro klienta povinné a musí se jimi řídit. Jenže pokud byste je vzali doslova, asi byste kartu spíš vrátili, protože se z jejího používání stává noční můra.
Firewall, antivir a anti-spyware
Některé povinnosti vypadají docela rozumně: klient třeba nesmí používat kartu na veřejně přístupných počítačích (třeba v internetových kavárnách). Jenže pak začne přituhovat: podle Fio banky má klient povinnost „legálně zabezpečit zařízení, prostřednictvím kterého se rozhodne používat platební kartu, firewallem, antivirovou a anti-spyware ochranou, a tyto ochranné prvky pravidelně aktualizovat.“ Ano, pokud nemáte na počítači, kde kartou platíte, firewall, antivir a antispyware, které pravidelně neaktualizujete, porušujete obchodní podmínky.
Ty ovšem porušujete i v případě, že na onom zařízení nemáte „legálně pořízený a pravidelně aktualizovaný operační systém“. Stačí tedy zmeškaná aktualizace a… porušujete podmínky. Máte také „povinnost pravidelně sledovat zprávy výrobce operačního systému o opravách chyb a nedostatků tohoto operačního systému a tyto opravy včas instalovat“.
Nainstalovali jste si někdy nějaký na internetu volně dostupný program? Pokud si nemůžete „…být s dostatečnou mírou jisti, že neobsahují viry nebo spyware“, porušujete podmínky. Smíte také „navštěvovat pouze známé, důvěryhodné a bezpečné stránky na internetu a neotvírat nevyžádané emaily, emaily od neznámých adresátů a emaily s podezřelým názvem nebo obsahem“. A v e-mailové schránce musíte používat spam filtr.
Povinnost mít nainstalovaný antivir, firewall a anti-spyware u Fio banky kupodivu platí i u „vyspělejších mobilních zařízení“ – tedy smartphonů a tabletů „s operačním systémem iOS, Android, Windows Phone a jiným operačním systémem“ (vypadá to, že někdo zkopíroval podmínku z části o PC, aniž by uvažoval o odlišnostech těchto zařízení). Stahovat aplikace z jiných než oficiálních obchodů je podle banky nežádoucí, ale i když se chováte žádoucím způsobem (tedy nestahujete mimo oficiální místa), Fio banka vás upozorní, že je to k ničemu, protože „klient nemůže spoléhat na kontrolu prováděnou provozovatelem operačního systému ve vztahu ke všem aplikacím.“
Zajímalo by mě také, jak si obyčejný laický uživatel poradí s následujícím odstavcem: „Klientovi se doporučuje, aby si před každým zadáním důvěryhodných údajů ověřil, že zařízení používá DNS překladače podporující DNSSEC, a prohlížeč si nastavil tak, aby sám prováděl DNSSEC ověřování.“ I když jde tady jen o doporučení, podle úvodního odstavce i tohle patří mezi povinnosti klienta. A pokud DNS nerozumí, ukládá mu Fio banka v následujícím odstavci další povinnost: doporučuje (tak je to povinnost, nebo doporučení?) „…obrátit se s požadavkem na zabezpečení zařízení a jeho případného komunikačního příslušenství na odborníka.“
Kdo zaplatí škodu
Abychom si dobře rozuměli: skoro všechna výše uvedená opatření skutečně mohou zvýšit vaše bezpečí na internetu, o tom není pochyb. A podle toho, co říká mluvčí Fio banky Zdeněk Kovář, je cílem podmínek přimět klienty chovat se obezřetně při používání platebních karet. „Domníváme se, že rozdělení odpovědnosti podle sféry vlivu je spravedlivé. Banka zajistí své systémy, servery, bankomaty atd. A klient zajistí svá zařízení. Jistě nelze od banky (a zejména od nízkonákladové banky) očekávat, že zajistí dostatečné zabezpečení všech počítačů, tabletů či mobilních telefonů, které klient využívá pro přístup do banky nebo k provádění internetových transakcí platební kartou. Toto musí zajistit sám klient. Proto naše obchodní podmínky obsahují specifikaci toho, co považujeme za dostatečné zabezpečení,“ argumentuje Kovář.
Problém je v tom, že tady nejde o tradiční bezpečnostní doporučení, jejichž dodržování záleží na klientovi. Fio banka všechna výše popsaná opatření dává klientovi jako povinnost a zahrnula je do závazných všeobecných obchodních podmínek. Kromě toho, že jde o materiál, který si málokdo přečte, takže jeho dopad na změnu chování uživatelů bude pravděpodobně limitně blízký nule, jde taky o součást smlouvy, a to, co je v něm napsané, nelze brát na lehkou váhu.
Podle sekce VII, odstavce 4, totiž „majitel účtu odpovídá za škodu způsobenou porušením svých povinností uvedených ve smlouvě nebo podmínkách, není-li stanoveno jinak.“ A v dalším odstavci se dozvíte, že „majitel účtu odpovídá za škodu z neautorizovaných platebních transakcí v plném rozsahu, pokud škodu způsobil svým podvodným jednáním nebo úmyslně či z hrubé nedbalosti porušil některou z jeho povinností vyplývající z čl. III, IV a V podmínek…“
Pokud tedy výše popisovaná opatření doslova nedodržujete a někdo vaši kartu zneužije, máte zaděláno na potenciální problém: banka se může snažit zbavit své odpovědnosti za ztrátu z neautorizovaných (čili podvodníky provedených) plateb. Není samozřejmě jisté, že by banka případný soudní spor s vámi vyhrála, ale vyloučené to také není.
Kontrola jednou denně
Podle zákona o platebním styku (284/2009 Sb.) nese klient v případě zneužití ztracené nebo ukradené karty na případné škodě spoluúčast do výše 150 eur (platí to pro všechny transakce do chvíle, než krádež nebo ztrátu karty bance oznámíte – proto je důležité podobné události nahlašovat co nejdříve).
Podle §116 odstavce 1 b) ale tento limit neplatí, pokud klient „…tuto ztrátu způsobil svým podvodným jednáním nebo tím, že úmyslně nebo z hrubé nedbalosti porušil některou ze svých povinností stanovených v § 101.“ A paragraf 101 říká, že uživatel má povinnost „používat platební prostředek v souladu s rámcovou smlouvou, zejména je povinen okamžitě poté, co obdrží platební prostředek, přijmout veškerá přiměřená opatření na ochranu jeho personalizovaných bezpečnostních prvků.“
Nové podmínky Fio banky se přitom v českém prostředí zdají být poměrně unikátní. Nezkoumali jsme všechny banky, ale v obchodních podmínkách asi desítky těch, které jsme prostudovali, na povinné používání antiviru apod. nenarazíte (Komerční banka jej doporučuje ve svém Průvodci k platebním kartám).
Doplnění 12:00: Jak nás upozornil jeden ze čtenářů, podobné požadavky na své klienty používající internetové bankovnictví ve všeobecných podmínkách klade i Equa bank (PDF).
Obvyklé jsou povinnosti chránit PIN a nikomu ho neříkat a „…zejména nepsat PIN na platební kartu, její obal nebo jiný předmět, který nosíte společně s platební kartou, chránit zadávání PIN před odpozorováním z okolí apod." (Česká spořitelna, PDF) nebo chránit kartu před krádeží a „před přímým působením magnetického pole, mechanickým a tepelným poškozením“ (ČSOB, PDF).
Banky také obvykle trvají na povinnosti, že uživatel musí pravidelně kontrolovat, že kartu pořád má a že ji nikdo nezneužil – podle Komerční banky (PDF) to má dělat „soustavně“, podle ČSOB nebo Fio banky to musí dělat minimálně jednou denně.
Jde o celou řadu požadavků, u kterých banka za normálních okolností nemá šanci ověřovat, že je skutečně děláte. „Kontrolu minimálně jednou denně považujeme za rozumný požadavek. Banka nekontroluje ani nevyžaduje, aby to držitel karty jakkoli prokazoval,“ uvádí na dotaz mluvčí Kovář. Nicméně opět ve spojení s tím, že případnou krádež karty musíte nahlásit bezodkladně, se tu rýsuje zajímavá možnost: co když na ni přijdete později a nahlásíte ji třeba až za dva dny? Banka to může považovat za porušení podmínek a tím pádem vám může zkusit upřít ochranný 150eurový limit.
Stejně tak podle něj Fio banka neověřuje, jestli její klienti dodržují zásady na ochranu svých počítačů a smartphonů. V případě, že dojde na krádež, zneužité nebo podvodné transakce, ale může být vše jinak. „Banka nemá možnost kontroly. Pokud ale fraud vyšetřuje Policie ČR, tak je možné, že v rámci vyšetřování počítač postiženého zkontroluje,“ dodává mluvčí.
Pozor: Co při útoku hackerů nedělat!
13.3.2016 Hacking
Jak zjistit, že k útoku došlo? To dnes představuje nejtěžší otázku v oblasti informační bezpečnosti. Příběhy dlouhé roky neodhalených průniků a útoků se objevují prakticky neustále. Smutné pak je, že když se o průniku dozvíme, často jednáme nejhorším možným způsobem.
„Zamkněte dveře,“ nařídil letový ředitel NASA LeRoy Cain. „Nevypínejte počítače. Nikdo neopustí své místo. Nikdo nebude telefonovat. Zazálohujte všechna dostupná data, odložte své poznámky.“
Kalendář ukazoval 1. února 2003 a letový ředitel právě čelil nejhoršímu možnému scénáři, jaký si bylo možné představit: během přistávacího manévru se nad Texasem rozpadl raketoplán Columbia.
Ač Cainovi stékaly slzy z očí – na palubě stroje bylo sedm astronautů a šance přežít rozpad raketoplánu ve výšce 65 kilometrů při rychlosti 6,5 km za sekundu a obklopeném žhavou plazmou o teplotě několika tisíc stupňů Celsia byla nulová – zachoval si chladnou hlavu.
Postupoval přesně podle předem připravených plánů a zachránil všechna data uložená v počítačích, což později významně pomohlo zrekonstruovat průběh nehody.
Samozřejmě je velmi nepravděpodobné, že by někdo z nás jednou čelil podobné situaci. Na druhé straně si z ní každý z nás může odnést ponaučení při řešení bezpečnostních incidentů.
Obvykle nedostatky
Naším nejčastějším prohřeškem ve chvíli, kdy se „něco stane“, je to, že nemáme plán reakce (Incident Response, IR). Samozřejmě v takové chvíli už je pozdě na něj myslet, ale to je o důvod víc nachystat si jej dříve, než bude pozdě.
Když je jakýmkoliv způsobem bezpečnostní problém odhalený, často se ukáže, že není jasné, co se má dělat. Není stanovená osoba nebo tým, dokonce nebývá stanovený ani postup.
Většinou je pouze vyrozuměn pracovník IT oddělení, ale to se často děje jen jaksi automaticky. V případě absence „horké linky“ nemusí být navíc k zastižení.
Stejně tak nemusí vědět, co přesně má dělat (s informatikem, který vše řeší doporučením restartu, se asi setkal každý z nás). A navíc nemusí mít vůbec zájem incident nějak důkladně šetřit: vždyť incident může (ale samozřejmě také nemusí) ukázat na jeho osobní selhání.
Ostatně to není problém pouze IT pracovníků, i na úrovni organizací je často snaha incidenty „zametat pod koberec“ a zásadně nepřiznávat chybu.
Proto je nezbytně nutné mít alespoň základní plán zvládání bezpečnostních incidentů. Ovšem pozor: plán musí být funkční. Zatímco zhruba šedesát procent organizací jej má, praxe ale ukazuje, že zhruba dvě třetiny plánů v praxi nefungují.
Často se vytvoří, aby se učinilo zadost zadání nebo aby se zaplnila mezera identifikovaná během některého z nesčetných auditů. Byť to zní vznosně, plán zvládání bezpečnostních incidentů je čas od času potřeba prověřit ostrým cvičením. To odhalí drobnosti, které jinak zůstávají přehlédnuté.
Třeba jako v případě jisté newyorské nemocnice, která si bezpečnostní audit nechala zpracovat – konstatovalo se v něm, že záložní dieselové agregáty v suterénu nejsou šťastným nápadem a že v případě velké vody nebudou plnit svoji úlohu.
Nemocnice je proto přesunula do vyšších pater. Auditor byl spokojený, problém se zdál být odstraněný. Pak ale přišel říjen 2012 a udeřil hurikán Sandy. Až v tu chvíli nemocnice s hrůzou zjistila, že agregáty sice přesunula – ale nádrže s naftou zůstaly v zaplaveném suterénu...
Jeden problém navazuje na druhý
Často na bezpečnostní incident reagujeme odstraněním nalezeného malwaru (což je nejčastější forma incidentu), a útok tím máme za ukončený. Jenže...
Tím se připravujeme o stěžejní důkazy, které nám mohou hodně napovědět o tom, kudy se útočník dostal do systému, kdy se tak stalo, jaké byly jeho záměry a co všechno vlastně získal. Druhou chybou, kterou v takové chvíli děláme, je vypnutí počítačů. Tím přicházíme o logy, nenahraditelná data v paměti apod.
Předpokládejme vždy nejhorší možný scénář: útok profesionála. Ten pak těžko použije jeden vektor, v horším případě mu dokonce sednete na vějičku: nastrčí kód, u něhož chce, aby byl nalezený. Skutečné nebezpečí se pak skrývá jinde. Dobrý útočník zkrátka bývá dobře připravený.
Samozřejmě že nikdo nechce, abyste se s rukama v klíně dívali, jak vám útočník stahuje další a další data ze sítě. Ale odstřihnout ho můžeme i jinak než vytržením elektrické šňůry ze zásuvky.
Například aktivací přísných omezení na firewallu nebo převodem veškerého provozu do uzavřené VPN sítě. Útočník sice bude výpadkem datového toku varován, ale vy nepřijdete o cenné informace.
A především: získáte čas a budete se moci rozhlédnout po informačním systému, aby bylo možné zmapovat celou šíři útoku.
Známý je například případ jedné americké banky, kdy útočník umístil do systému škodlivý kód. Po jeho odhalení následoval hloubkový bezpečnostní audit, který zjistil, že útočník ve skutečnosti zanechal v systému přes 300 druhů různého malwaru. Jinými slovy: odhalení jednoho exempláře zabránilo mnohem většímu útoku.
Zatajit, nebo nezatajit?
Kolik IR plánů tedy instrukce týkající se krizové komunikace obsahují? Tedy to, koho, kdy a jak informovat – nebo kdo má právo hovořit. Pokud nás k tomu legislativa nenutí jinak, máme tendenci bezpečnostní incidenty utajovat. Jistá logika v tom je: následná panika může natropit více škody než vlastní incident.
Na druhé straně si pak informace mohou žít svým vlastním životem. „Informovat, či neinformovat“ tak představuje jedno ze zásadních dilemat informační bezpečnosti – ale i to se však dá do značné míry ošetřit v plánech reakce.
Experti bijí na poplach. Vyděračských virů v Česku dramaticky přibylo
13.3.2016 Viry
V posledních týdnech dramaticky narostl počet škodlivých e-mailů, prostřednictvím kterých šíří počítačoví piráti viry. Nejčastěji jde o vyděračské viry z rodiny tzv. ransomwarů. Podle bezpečnostních expertů ze společnosti Eset je Česká republika jednou z nejvíce zasažených zemí, kde se tito nezvaní
Jak se bránit vyděračským virům!
:: Neotvírejte přílohy e-mailových zpráv od neznámých a podezřelých adresátů.
:: Pravidelně zálohujte svoje data. V případě nákazy se počítač jednoduše přeinstaluje a zašifrovaná data se mohou obnovit i bez placení výkupného nebo nutnosti je odšifrovat.
:: Externí disky nebo jiné úložné systémy, na které jsou data zálohována, by neměly být neustále připojeny k počítači. Minimalizuje se tím riziko, že se vyděračský virus zabydlí i u zálohovaných dat.
:: Pravidelně aktualizujte operační systém i jiné programy. Znesnadníte tak práci počítačových pirátů, kteří se snaží objevené trhliny zneužít k propašování škodlivých kódů.
:: Nutné je také pravidelně aktualizovat antivirový program, případně jiné bezpečnostní aplikace.
:: Nepoužívejte programy, pro které již výrobce ukončil podporu. Hrozba nákazy například na Windows XP je mnohonásobně vyšší než u novějších verzí tohoto operačního systému.
„Virová nákaza se šíří prostřednictvím e-mailových zpráv, které obsahují přílohu ve formátu zip. Ta je nejčastěji označena jako faktura nebo pozvání k soudu. Tímto trikem se útočníci snaží oběť navést k tomu, aby otevřela obsah přílohy,“ prohlásil Petr Šnajdr, bezpečnostní expert společnosti Eset.
Podle něj se po otevření souboru nainstaluje do počítače škodlivý kód. Jde například o virus zvaný Nemucod, který se uhnízdí v počítači a může potom stahovat další nezvané návštěvníky.
Tento škodlivý kód začne šifrovat obsah počítače a uživateli oznámí, že za dešifrování musí zaplatit.
Petr Šnajdr, bezpečnostní expert společnosti Eset
Nejčastěji stahuje právě vyděračské viry. „Aktuálně stahuje především různé typy ransomware, například známý TeslaCrypt nebo Locky. Následně tento škodlivý kód začne šifrovat obsah počítače a uživateli zobrazí oznámení, že za dešifrování počítače musí zaplatit,“ dodává Šnajdr.
Ani po zaplacení výkupného navíc nemají uživatelé jistotu, že se ke svým datům skutečně dostanou. Virus je nutné z počítače odinstalovat a data následně pomocí speciálního programu odšifrovat. V některých případech to ale není možné.
Používají stejné šifrování jako finanční instituce
Právě zmiňované dva programy totiž používají poměrně sofistikované šifrování. Jde o obdobu toho, co používají finanční instituce při zabezpečení plateb po internetu.
Právě před jedním ze zmiňovaných vyděračských virů varovala také bezpečnostní společnost Check Point. „Za pouhé dva týdny se Locky pokusil ohrozit uživatele ve více než 100 zemích,“ varoval mediální zástupce Check Pointu Petr Cícha.
„Kyberzločinci infikují systém e-mailem s wordovou přílohou, která obsahuje škodlivé makro. Jakmile uživatel soubor otevře, tak makro spustí skript, který stáhne spustitelný škodlivý soubor, nainstaluje se na počítač oběti a vyhledává soubory, které šifruje. Uživatel potom ani neví, že útok začal právě kliknutím na e-mailovou přílohu,“ doplnil Cícha.
Ostražití by před vyděračskými viry neměli být pouze majitelé klasických počítačů. Loni v červnu bezpečnostní experti odhalili nezvaného návštěvníka, který požadoval výkupné i na mobilním telefonu.
Hackerům se nepovedlo ukrást miliardu dolarů díky překlepu
13.3.2016 Incidenty
Hackerům se nepovedlo ukrást miliardu dolarů díky překlepuVčera, Milan Šurkala, aktualitaCesta k velkému bohatství může být občas ukončena velmi nepříjemným malým detailem. Hackeři dokázali nezákonně získat téměř miliardu dolarů, nicméně při stahování peněz na další účty udělali překlep, což jim naštěstí vše zkazilo.
Během 4. a 5. února 2016 se skupině hackerů patrně podařilo prolomit zabezpečení Bangladesh Bank a dostat se k téměř miliardě dolarů (hovoří se o zhruba 850-870 milionech). Tyto peníze pak převáděli přes různé banky na účty ve Filipínách a Srí Lance. Jen na Federal Reserve Bank přišly desítky žádostí na převody peněz. Povedly se jim čtyři přenosy, každý za zhruba 20 milionů dolarů. Uschovali si tedy lehce přes 80 milionů dolarů, nicméně pátý přenos jim už nevyšel.
Ten směřoval do Shalika Foundation ve Srí Lance, nicméně hackerům se povedlo splést název organizace a místo "Foundation" napsali "Fandation". Toho si všimla Deutsche Bank, přes kterou měly tyto peníze jít a zažádala o vysvětlení této podezřelé transakce, čímž se na celou záležitost přišlo. Bangladesh Bank se už povedlo některé z peněz získat zpátky a nyní chce žalovat Federal Reserve Bank za to, že dostatečně rychle nerozpoznala podezřelé transakce. Bangladesh Bank na situaci nedokázala rychle reagovat, neboť šlo o nepracovní dny.
Barack Obama chce opět backdoor v softwaru ze zákona
13.3.2016 Hrozby
Barack Obama chce opět backdoor v softwaru ze zákonaDnes, Milan Šurkala, aktualitaPoslední týdny se přetřásá kauza FBI a Applu, střídají se názory, zda má Apple odemknout mobil teroristů nebo nikoli. Americký prezident Barack Obama se v jednom rozhovoru zmínil, že zadní vrátka v softwaru by měla být povinná.
V jednom z rozhovorů s americkým prezidentem Barackem Obamou byl dotázán na názor ohledně kauzy FBI a Applu (zda má Apple odemknout mobil teroristy a zpřístupnit tak data pro FBI), ten se ale k tomuto případu nechtěl vyjadřovat. Přesto jeho reakce vcelku mířila právě na tento případ. Hovořil o tom, že nechce, aby vláda mohla prohlížet mobilní telefony, jak se jí zlíbí, ale zároveň podotknul, že neprolomitelné šifrování v uživatelském sektoru je obrovský problém.
Důvodem je např. to, jak by při neprolomitelném šifrování mohly bezpečnostní složky odhalit např. dětskou pornografii, teroristické plány nebo třeba daňové úniky. Už zde je jasné, že chce monitorování ve velkém rozsahu. Dle Obamy by software měl mít zadní vrátka (backdoor), která by umožňovala vybraným lidem dostat se do každého zařízení a chce dosáhnout nějakého kompromisu. Cílem je, aby tento klíč mělo co nejméně lidí, nicméně i tak je rozhodně docela zvláštní využívat nejpokročilejší šifrovací systémy, když víte, že venku je pár lidí, kteří znají klíč "ze zákona". Šifra s klíčem v rukou vlády ale těžko bude "kompromisní". Připomeňme, že soud Apple versus FBI bude už 22. března a už v minulém roce vydal Obama vyhlášku, která nařizuje sdílení dat s vládou.
Adobe updatuje Flash, kritická chyba dovolovala ovládnutí počítače
13.3.2016 Zranitelnosti
Adobe updatuje Flash, kritická chyba dovolovala ovládnutí počítačeDnes, Milan Šurkala, aktualitaKdysi velmi populární Flash se pomalu opouští a není divu. Vedle nepříliš dobrého výkonu má také spoustu bezpečnostních chyb. Poslední update opravuje např. chybu CVE-2016-1010, která dovolila útočníkům převzít kontrolu nad počítačem.
Adobe Flash je čím dál v menší oblibě. Prvně je nahrazován HTML5, za druhé přináší spoustu bezpečnostních děr a poslední aktualizace (např. 21.0.0.182 pro Windows a Mac OS) opravuje celkem 23 bezpečnostních chyb, z nichž mnohé byly označeny jako kritické. Např. chyba CVE-2016-1010 dovolila převzít kontrolu nad počítačem a to se týkalo i mnoha dalších. Navíc jsou známy případy, kdy tato chyba byla využita ke skutečným útokům.
Společnost Adobe tedy doporučuje urychlený update na nejnovější verze tohoto přehrávače napříč všemi platformami. Týká se to tedy Windows, Mac OS, Linuxu i verzí pro mobilní telefony a jejich operační systémy.
Biometrie na vzestupu: Co všechno vám už dnes může přinést?
13.3.2016 Zabezpečení
Biometrické zabezpečení zažívá strmý růst. Je to z velké části i kvůli tomu, že mnoha mobilním uživatelům vyhovuje pohodlnost používání nástrojů, jako je identifikace otiskem prstu. Bude však hrát biometrie významnou roli také v řešeních podnikového zabezpečení?
Bezpečnostní experti upozorňují, že biometrické technologie mají pozitiva i negativa. Na straně pozitiv je biometrie efektivním způsobem prokazování skutečné identity jednotlivých uživatelů.
„Nejviditelnější výhodou je, že se dokazuje identita osoby s větší mírou jistoty,“ tvrdí Jason Taule, ředitel zabezpečení ve firmě FEI Systems, která je poskytovatelem technologických produktů pro zdravotnictví.
„Předpokladem ovšem je, že se biometrie použije v kombinaci s něčím, co tento člověk zná. To je velmi důležité v situacích, kdy dochází k přístupu k systémům a prostředkům vyšší úrovně citlivosti,“ dodává Taule.
S využitím biometrie „víte, že jednotlivec přistupující k zabezpečeným oblastem či informacím je nejen osobou disponující odpovídajícími přihlašovacími údaji, ale je to skutečně osoba, které se přístup udělil“, říká Maxine Most, ředitel společnosti Acuity Market Intelligence. „To zlepšuje zabezpečení a poskytuje to kontrolní záznam.“
Biometrie může také poskytnout větší komfort. „Přestože existují jasné rozdíly mezi různými variantami biometrie (například otisky prstů versus skenování duhovky), výhodou využití této technologie pro autentizaci je skutečnost, že osoba nemůže tento identifikátor zapomenout, jako se to může například stát u hesla, ani ho nemůže někde nechat nebo jí ho někdo nemůže ukrást, jako se to může stát u tokenu,“ popisuje Taule.
To podle něj přináší snížení nároků na linku technické podpory a potenciálně úspory v oblasti nákladů na zaměstnance.
Na rozdíl od metod založených na heslech poskytuje biometrie „silnou autentizaci“, kterou nelze později popírat při soudním sporu, tvrdí Taule. V závislosti na způsobu implementace systému existuje možnost využít biometrii pro ověření totožnosti při vstupu do budovy nebo k autoritě, která poté umožní přístup k dalším zdrojům.
Biometrie může při správném využití „vyřešit mnoho problémů s pouhým využitím uživatelské identifikace a hesel“, tvrdí Mary Chaneyová, hlavní vedoucí týmu správy dat a reakce na incidenty ve finanční instituci GE Capital.
„Pokud použijete dynamické behaviorální biometrické rozpoznávání, jako je například dynamika úhozu do kláves, můžete získat výhodu dvoufaktorové autentizace,“ popisuje Chaneyová.
Použití dynamiky stisků kláves umožňuje organizacím měřit u každé osoby dobu stisku kláves a dobu mezi stiskem dalších kláves, říká Chaneyová a dodává: „Při tomto scénáři poskytuje pouhé zadání hesla dvoufaktorovou autentizaci.“
Kromě toho je podle ní dynamika stisků kláves velmi přesná a není pro uživatele rušivá, což jsou dva z největších problémů při používání biometrie při jakékoli implementaci zabezpečení.
Nesnadné zneužití
Dalším velkým přínosem použití biometriky je, že se velmi těžce falšuje, tvrdí Chaneyová. Při měření obou (fyziologických a dynamických) údajů se zaznamenávají informace pro každou osobu jedinečné a v průběhu času se málokdy mění.
Při správné implementaci není třeba v některých případech nic dalšího dělat, ani si pamatovat. Ztracená ID a zapomenutá hesla budou minulostí, říká Chaneyová.
Protože je osobní údaje nesmírně obtížné padělat, „mohly by se biometrické identifikátory používat k usnadnění jak fyzického přístupu, například v určitých oblastech podnikového areálu, tak i k virtuálnímu přístupu k vybraným místům v podnikovém intranetu“, uvádí Windsor Holden, šéf výzkumu v analytické firmě Juniper Research.
„Tato přihlášení lze přímo propojit s konkrétní aktivitou, takže v případě narušení bezpečnosti v rámci organizace lze rychle identifikovat odpovědnou osobu,“ říká Holden.
Biometrii lze také použít k integraci BYOD (využívání osobních zařízení pro firemní účely) do podnikových bezpečnostních strategií, „protože tak dochází k propojení osob a přístupu pomocí jejich osobních mobilních zařízení“, vysvětluje Most.
Prozatímní negativa
Na straně negativ stále figurují dvě velké nevýhody biometrie – vysoká cena a obavy o zachování soukromí, uvádějí experti...
Flash opět obsahuje kritické chyby, podle Adobe je už používají útočníci
12.3.2016 Zranitelnosti
Firma vydala mimořádné opravy více než dvacítky chyb, řada z nich je kritických, takže potenciálním útočníkům umožňují získat vládu nad systémem.
Není to velké překvapení – tím by spíš bylo, kdyby Flash vydržel delší dobu bez zásadních bezpečnostních incidentů. Adobe aktuálně doporučuje aktualizovat Flash Player na nejnovější verzi – pokud tak neučiníte, vystavujete se riziku napadení svého zařízení.
Jednu z chyb už podle firmy útočníci využívají. „Adobe má informace o tom, že chyba CVE-2016–1010 je aktivně zneužívána v omezeném počtu cílených útoků,“ přiznává na svém blogu.
Zatím neupřesněná chyba podle firmy může vést k tomu, že útočník bude schopný na zařízení spouštět svůj kód.
Adobe tak doporučuje updatovat Flash Player na verzi 21.0.0.182 (Windows a Mac), respektive 11.2.202.577 (Linux). Pokud ovšem Flash Player ve svém zařízení nutně nepotřebujete, je nejlepší jej úplně odinstalovat.
Flash je tak jako tak na ústupu. Google nedávno oznámil, že jeho reklamní systémy od léta přestanou přijímat flashové bannery, jeho podporu omezují i prohlížeče a v mobilních zařízeních si beztak ani neškrtne.
Českem se masivně šíří maily s virovou nákazou a šifrující počítač
11.3.2016 Viry
Ransomware Nemucod se distribuuje jako příloha elektronické pošty, jež se nejčastěji označuje jako faktura nebo pozvání k soudu.
Mimořádný nárůst počtu škodlivých e-mailů obsahujících virovou přílohu zaznamenal Eset. Při jejím otevření se podle jeho expertů do zařízení nainstaluje ransomware, což je škodlivý kód, který zašifruje obsah počítače a za jeho odšifrování požaduje výkupné.
Tato virová nákaza – známá jako JS/TrojanDownloader.Nemucod -- se šíří po celém světě, Česká republika je však prý jednou z nejvíce zasažených zemí.
„Virová nákaza se šíří prostřednictvím e-mailových zpráv, které obsahují přílohu ve formátu zip. Ta je nejčastěji označená jako faktura nebo pozvání k soudu. Tímto trikem se útočníci snaží oběť navést k tomu, aby otevřela obsah přílohy. V té se skrývá javascript soubor, který po otevření do počítače nainstaluje škodlivý kód Nemucod, který může do zařízení stáhnout další malware,“ vysvětluje Petr Šnajdr, bezpečnostní expert v Esetu.
„Aktuálně stahuje především různé typy ransomwaru, například známý TeslaCrypt nebo Locky. Následně tento škodlivý kód začne šifrovat obsah počítače a uživateli zobrazí oznámení, že za dešifrování počítače musí zaplatit,“ dodává Šnajdr.
Tento filecoder je nebezpečný tím, že používá kvalitní šifrování podobné nebo totožné s tím, které používají například finanční instituce při zabezpečení on-line plateb.
Ransomware je typ malwaru, který zabraňuje přístupu k osobnímu počítači či mobilnímu zařízení, či k datům zde uloženým. Pro umožnění přístupu je vyžadováno zaplacení výkupného (ransom). Šifrování je zpravidla natolik silné, že jej nelze prolomit.
Ochrana před ransomwarem podle bezpečnostních expertů:
Neotvírejte přílohy zpráv od neznámých adresátů a případně ani ty, které jste vůbec neočekávali.
Varujte kolegy v odděleních, která nejčastěji dostávají e-mailové zprávy z externího prostředí – například personální či finanční oddělení.
Pravidelně zálohujte obsah svého zařízení. I v případě úspěšné infekce se tímto způsobem budete moci dostat k svým datům. Externí disk nebo jiné úložiště však nemohou být neustále připojené k zařízení, jinak bude jejich obsah také zašifrovaný.
Pravidelně aktualizujte operační systém a ostatní programy, které používáte na svém zařízení. Pokud používáte již nepodporovaný operační systém Windows XP, vážně zvažte přechod na novější verzi Windows.
Bezpečnostní software používejte nejen s nejnovějšími aktualizacemi, ale ideálně i jeho nejnovější verzi.
Chrome i Flash Player obsahují nebezpečné trhliny
10.3.2016 Zranitelnosti
Obezřetní by měli být uživatelé internetu při prohlížení videí i webových stránek. Programy Google Chrome a Adobe Flash Player, které k této činnosti slouží, totiž obsahují nebezpečné trhliny. Záplaty jsou však naštěstí již k dispozici.
Tvůrci webového prohlížeče Chrome už minulý týden vydávali velký balík oprav, který sloužil jako záplata pro více než dvě desítky zranitelností, připomněl server Security Week.
Aktualizace z tohoto týdne opravuje pouze tři trhliny, přesto by s jejich instalací neměli uživatelé zbytečně otálet. Vývojáři totiž jejich důležitost označují jako vysokou. Takovéto chyby zpravidla mohou počítačoví piráti zneužít k propašování škodlivých virů do cizích počítačů.
Chyby jsou obsaženy v Chromu pro Windows, Linux i pro Mac OS X.
Propašovat mohou prakticky libovolný virus
Trhlinám v zabezpečení se nevyhnul ani oblíbený program Flash Player od společnosti Adobe. Ten slouží k přehrávání videí na internetu a na celém světě jej používají milióny lidí. Právě proto se na něj kyberzločinci zaměřují pravidelně a nové aktualizace vycházejí prakticky měsíc co měsíc.
Objevená zranitelnost může vést ke vzdálenému spuštění kódu, tedy k instalaci prakticky jakéhokoliv viru na cizím počítači. Ohroženi jsou přitom majitelé prakticky všech aktuálně dostupných operačních systémů.
Adobe navíc záplatovala tento týden také své další produkty – Acrobat, Reader a Digital Edition.
Chyby jsou i ve Windows a Internet Exploreru
V případě automatických aktualizací se uživatelé Chromu ani programů od Adobe nemusejí o nic starat. Pokud je však tato funkce vypnuta, je nutné navštívit webové stránky tvůrců a nejnovější záplatovanou verzi stáhnout manuálně.
Na pozoru by se měli mít také uživatelé operačního systému Windows a webových prohlížečů Internet Explorer a Edge. Také v nich byly objeveny kritické chyby. Microsoft je tento týden opravil v rámci pravidelných aktualizací, které vycházejí vždy druhé úterý v měsíci.
Čínští ISP vsouvají do stránek malware a inzerci
9.3.2016 Viry
Nejde přitom o nějaké malé poskytovatele připojení, přistiženy byly China Telecom a China Unicom, dva z největších ISP v zemi.
Podle trojice izraelských výzkumníků (viz PDF na Website-Targeted False Content Injection by Network Operators) se čínští poskytovatelé připojení k internetu věnují vsouvání obsahu do stránek, které navštíví jejich uživatelé. V systému proxy serverů do webů přidávají jak reklamy, tak odkazy na malware. Týká se to i situace, kdy návštěvník vstupuje na weby, které jsou hostované v systémech těchto ISP.
Alarmující na těchto aktivitách je, že se jí věnují i dva z největších ISP v zemi, China Telecom a China Unicom. Ty zároveň v zásadě vlastní veškerý provoz, který pochází od menších ISP a probíhá mezi nimi a zbytkem země či světa.
Celé to funguje tak, že je využíván systém detekce specifických URL, které jsou poté přesměrovány a zpracovávány. Ještě zajímavější je, že dochází ke zkoumání procházejících paketů a jejich modifikaci, ale bez zahození originálu. Spolu s originálem je pak posílán i změněný paket.
V praxi to poté znamená, že příjemce může ve finále získat jeden z těchto dvou paketů, originál nebo změněný. Využívá se i 302-Redirect místo původní 200-OK odpovědi, dojde tím k přesměrování na jiné webové stránky.
Zásah do komunikace probíhá ale pouze tam, kde je používána nezabezpečená komunikace, vyhnout se problémům lze tedy důsledným používáním https.
Outlook už e-maily nemaže. Microsoft opravil nepříjemnou chybu
9.3.2016 Zranitelnosti
Uživatelé poštovního klienta Outlook se v minulých dnech mohli setkat s nepříjemnou chybou, kvůli které se mazaly e-maily ze serveru. Díky nové opravě to však už nehrozí. Microsoft vydal aktualizaci v úterý.
Novinky.cz o chybě informovaly minulý týden po upozornění jednoho z čtenářů. [celá zpráva]
Vývojáři z Microsoftu o chybě věděli jen o několik dnů déle. To jinými slovy znamená, že na vytvoření záplaty jim stačily necelé dva týdny. Běžně se v takto krátkém čase řeší trhliny týkající se bezpečnosti uživatelů, o což v tomto konkrétním případě vůbec nešlo.
Chyba se týkala pouze protokolu POP3
Chyba se týkala pouze uživatelů Outlooku 2016, kteří používali poštovní protokol POP3. Ten funguje tak, že uživateli se do počítače nebo chytrého telefonu stáhnou všechny e-maily a bez ohledu na to, zda je časem smaže či nikoliv, zůstanou uchovány na serveru.
Problém byl ale v tom, že v nejnovější verzi poštovního klienta od společnosti Microsoft byly e-maily mazány ze serveru okamžitě. A to i v případě, že v něm bylo nastaveno, že tak má učinit až po nějaké době.
Stahovat aktualizaci je možné prostřednictvím služby Windows Update.
Triviální chyba umožňovala krádeže účtů na Facebooku opakovaným hádáním hesla
9.3.2016 Zranitelnosti
Triviální chyba umožňovala krádeže účtů na Facebooku opakovaným hádáním hesla
Indický bezpečnostní inženýr Anand Prakash objevil závažnou zranitelnost v zabezpečení největší sociální sítě. Umožňovala změnu hesla oběti jen za pomoci hrubé síly.
Zranitelnost se nacházela v mechanismu obnovy zapomenutého hesla. Uživatel má v takovém případě možnost zaslání kódu pro obnovení hesla přes e-mail nebo telefon. Šestimístné číslo následně zadá přímo na Facebooku, přičemž nastaví heslo nové.
Síť podle Prakash blokuje zadávání kódu po 10 až 12 neúspěšných pokusech. Omezení se však dalo obejít přístupem přes adresy beta.facebook.com či mbasic.beta.facebook.com, kde nebylo implementováno. Útočník tak mohl hádáním číselných kombinací získat přístup k cílenému účtu. Znamená to sice milion možností, ale pro automatický skript by to byla jednoduchá, výkonově nenáročná úloha.
Po nastavení nového hesla se hacker přihlásí do účtu za pomoci e-mailu nebo telefonního čísla dané osoby. Může jít o známé údaje zejména v případech, kdy svou oběť zná.
Facebook se o chybě dozvěděl 22. února a chybu ihned s přispěním Prakashe opravil. Ind na oplátku dostal odměnu ve výši 15 tisíc amerických dolarů (370 tisíc korun).
Bezpečnost u mobilních zařízení
9.3.2016 Mobilní
Mobilní zařízení (tablety a chytré telefony) patří k velice diskutovaným zařízením v dnešním IT prostředí, a to zejména s ohledem na masivní nárůst jejich využití, a na druhé straně k potřebám pro zajištění bezpečnosti při používání těchto zařízení v pracovním prostředí firem.
Uživatelé mobilních zařízení se samozřejmě snaží o maximální využití těchto zařízení i pro pracovní účely, firma ovšem potřebuje také zajistit, aby nedocházelo k ohrožení přístupu k ICT systémům a případnému úniku citlivých dat z firmy. Snahou firem je zavádění různých prostředků, které by měly výše uvedené hrozby eliminovat, tyto prostředky však bohužel poměrně jasně inklinují k tomu, aby se tato zařízení pro jejich uživatele víceméně „uzamkla“.
Nejde samozřejmě o uzamčení zařízení jako takového, ale spíše o limitování využití některých funkcí nebo aplikací, a tím se celkově omezuje uživatelské využití, a to i pro případ využití zařízení pro čistě soukromé účely. Bezpečnost by měla být chápána spíše jako podpůrný prvek pro využití těchto zařízení, a ne fungovat jako sada omezení, které uživateli bude nařizovat, jak může dané zařízení využívat.
Nárůst popularity mobilních zařízení samozřejmě přinesl nové příležitosti a inovační trendy, zatímco současně s tím se objevila také určitá rizika. Hlavním problémem je, že uživatel se s mobilním zařízením pohybuje kdekoli a značnou dobu je mimo dohled a prostory firmy, pro kterou pracuje. Zařízení přitom disponuje možností přihlášení do firemních systémů a možností čtení nebo stahování firemních dat přímo do zařízení. Přitom zařízení může být ukradeno či jinak zneužito, a systémy a data firmy se tak ocitají ve vážném ohrožení.
Další trend, který je v současnosti potřeba vzít do úvahy, je tzv. BYOD (Bring Your Own Device) – tedy situace, kdy si zaměstnanci firem přinášejí do zaměstnání svá vlastní mobilní zařízení (a to podle vlastního výběru a preferencí) a je jim v určité míře umožněno přistupovat k firemním systémům a aplikacím. Když si představíme, jaké operační systémy pro mobilní zařízení jsou na trhu k dispozici (Android, iOS, Windows, BlackBerry), pak je zřejmé, že úloha zajištění jejich bezpečnosti pro IT oddělení je skutečně nelehká. Přestože výrobci OS v poslední době udělali značný pokrok z hlediska možnosti centrální správy a dohledu nad mobilními zařízeními, ale některé tyto systémy se liší svými verzemi na trhu, a tím je centrální správa značně složitější.
Možná ohrožení
V důsledku snadné zranitelnosti se tak stávají mobilní zařízení centrem pozornosti hackerských aktivit více než kterákoli jiná zařízení. Podle zveřejněných statistik společnosti Gartner se očekává, že v roce 2017 bude připadat na tři útoky na mobilní zařízení jeden útok na běžný desktopový počítač.
Mezi známé typy útoků se řadí zejména phishing nebo pharming, jejichž cílem je získání a následné zneužití osobních dat nebo jiných citlivých údajů, které se následně použijí k neautorizovanému přístupu do různých systémů (typicky se může jednat o bankovní účty apod.).
Další potenciální hrozbou se mohou stát i veřejné hotspoty Wi-Fi sítí, kde se v důsledku bezpečnostních nedostatků může naskytnout útočníkům prostor pro sledování komunikace na daném mobilním zařízení, odchytávání hesel, získávání e-mailů apod.
Dalším zdrojem potenciálních problémů jsou cloudové služby, kdy uživatelé mohou z mobilního zařízení ukládat citlivá data například na privátní cloud nebo jiné nedůvěryhodné úložiště.
Velkou hrozbou jsou ale samotní uživatelé mobilních zařízení. Byť IT oddělení definuje určitá pravidla pro používání těchto zařízení a provede správnou konfiguraci přístroje, uživatelé se mnohdy snaží tyto politiky obcházet. A občas je to poměrně jednoduché, protože obchody s aplikacemi nabízejí různé drobné aplikace, které dokážou bezpečnostní funkce jednoduše odblokovat. Dalším úskalím je pak nemožnost kontroly uživatelů, kdy a jak ze svého mobilního zařízení klikají na problematické a nedůvěryhodné odkazy a zařízení si nakazí škodlivým SW (viry, malware apod.).
Přístupy při ochraně zařízení
Pojďme si nyní popsat některé možné bezpečnostní scénáře:
Blokování používání mobilního zařízení:jedním z přístupů bezpečnostní firemní politiky může být snaha o omezení použití mobilního zařízení pouze na dobu, kdy je zaměstnanec na pracovišti, po zbylou dobu by mělo být zařízení blokováno pro použití. Pro uživatele toto opatření příliš uspokojivé určitě není a spíše povede k situaci, že uživatel bude chtít pravidla obcházet anebo zařízení nebude využívat vůbec.
Snaha aplikovat tradiční bezpečnostní přístupy:Jedním z dalších přístupů zajištění bezpečnosti mobilních zařízení je snaha uplatnění stejných bezpečnostních technologií, které jsou používány pro přenosné počítače (filtrování URL adres, IPS, antimalware apod.). Tento přístup však příliš k uspokojivým výsledkům nevede. Jakmile totiž uživatel opustí perimetr firmy, ve které pracuje, nelze již technologii efektivně uplatnit (odlišné připojení k internetu apod.). U jiných technologií, které se instalují na koncová zařízení (antivirové program apod.), zase narážíme na slabý výpočetní výkon nebo výdrž baterie.
Použití softwaru pro správu mobilních zařízení: Jedná se o SW nástroj, který by měl pokrýt komplexní požadavky na správu mobilních zařízení, a to zejména instalaci, údržbu verzí a smazání aplikací, správu zabezpečení a pravidel využívání zařízení a jeho komunikačních/síťových služeb. Samozřejmostí by měla být možnost provedení vzdáleného SW auditu na daném zařízení. Takový SW nástroj by pak měl včas zachytit přítomnost nežádoucí aplikace (nebo i např. jailbreak) nebo nevhodnou konfiguraci zařízení. Na trhu je dnes skutečně široká škála produktů pro správu mobilních zařízení (obecně se tyto SW nástroje označují zkratkou MDM – Mobile Device Management). Většina z nich se obvykle specializuje na celou škálu OS mobilních zařízení. Řešení je postaveno obvykle na principu klient-server, kdy na mobilním zařízení běží agent komunikující se serverovou částí, kam odesílá relevantní informace a zpětně na mobilním telefon přijímá instrukce k provedení konkrétních operací.
Přinášíme detaily k prvnímu vyděračskému malwaru pro Macy
8.3.2016 Viry
Hackeři sice svůj plán nedotáhli do konce, dle všeho však chtěli uživatele Maců přimět k zaplacení desetitisícového výkupného.
Uživatelé Maců se ocitli v ohrožení prvním funkčním ransomwarem cílícím právě na ně. Podle bezpečnostních odborníků se jeho tvůrci snažili najít způsob, jak zašifrovat data, aby uživatele přiměli k zaplacení výkupného.
Zdá se však, že KeRanger, jak byl ransomware nazván, byl objeven o něco dřív, než tvůrci zamýšleli. Odborníci z bezpečnostní společnosti Palo Alto Networks na něj přišli v pátek, jen pár hodin poté, co se dostal do sítě.
Už v pátek odpoledne tak o svém objevu mohli zpravit Apple a společnost tak v neděli mohla anulovat digitální certifikát, který malware využíval k podepisování, a zároveň Transmission, bittorentový klient, který byl zdrojem nákazy, mohl stáhnout infikovanou verzi a vydat bezpečný update.
A i díky tomu, že KeRanger byl opatřen třídenní „inkubační dobou“, kterou potřeboval k tomu, než mohl začít škodit, znepříjemnil život jen hrstce uživatelů. Ti následně čelili rozhodnutí, zda obrečet zašifrovaná data, nebo zaplatit výkupné stanovené na jeden Bitcoin, tedy zhruba 10 tisíc korun.
mbice tvůrců KeRangeru přitom byly daleko vyšší než jen zablokování souborů aktuálně uložených na disku, ransomware měl šifrovat i data zálohovaná prostřednictvím nástroje Time Machine, který je součástí OS X a uživateli je hojně využíván. Přitom právě pravidelné zálohování je jedním z obranných mechanismů, jak se platbě výkupného vyhnout.
„Ransomware je velice výnosná záležitost,“ hodnotí Thomas Reed ze společnosti Malwarebytes. „Pro kyberzločince to je největší zdroj příjmů.“ Podle Reeda se tvůrci škodlivého softwaru na blokování záloh začali soustředit až v poslední době, přičemž zálohování prostřednictvím Time Machine je dle něj nechvalně známé svou křehkostí.
A není tak vyloučeno, že tvůrci KeRangeru měli v úmyslu zálohovaná data nejen zablokovat, ale rovnou zcela zničit. „Pokud Time Machine užíváte s rozumem, je to v pořádku. Jestliže si ale se zálohami pohráváte skrz jinou aplikaci, můžete se dostat do problémů,“ varuje. „Nejlepší variantou je mít záloh několik, ovšem k počítači mít připojenou v daný čas vždy jen jednu.“
Phishing u Seagate, útočníci získali daňové dokumenty W-2 tisíců zaměstnanců
8.3.2016 Phishing
Phishing u Seagate, útočníci získali daňové dokumenty W-2 tisíců zaměstnancůDnes, Milan Šurkala, aktualitaPhishing může někdy pěkně zatopit a občas se jediný útok může týkat tisíců lidí. To se nyní stalo společnosti Seagate, která díky chybě jednoho zaměstnance útočníkům poskytla daňové dokumenty W-2 mnoha tisíců zaměstnanců.
Společnost Seagate řeší zapeklitý problém. Firma se stala obětí phishingu, kdy útočníci poslali e-mail jménem CEO společnosti Stephena Lucza. V něm požadovali daňové dokumenty W-2 zaměstnanců společnosti. Poněvadž žádost vypadala jako pravá, jeden ze zaměstnanců odpověděl a údaje poslal. Bohužel nešlo o legitimní žádost a údaje mnoha tisíců zaměstnanců společnosti Seagate se tak dostaly do nepovolaných rukou.
Úplně stejnou techniku použili útočníci i minulý týden u Snapchatu (opět jménem CEO společnosti požadovali W-2 dokumenty zaměstnanců). Seagate nabídnul dotčeným zaměstnancům dvouleté bezplatné monitorování účtů. Je pravděpodobné, že útočníci chtějí využít tyto údaje k neoprávněnému získání peněz, které se budou vracet z daní.
Nový firewall Cisco namísto omezování uživatelů sám vyhledává hrozby
8.3.2016 Zabezpečení
Cisco přepracovalo své firewally Firepower NGFW tak, aby podle svých slov namísto zaměření na regulaci aplikací naopak omezovaly rizika. Přístup lze prý přirovnat k ochraně rodinného domu – zatímco dříve se chránilo zabezpečením oken a dveří, nově se odhalují potenciální zloději.
Firepower Next-Generation Firewall řady 4100 podle výrobce představuje jejich vůbec první plně integrovaný firewall zaměřený na hrozby. Spolu s ním začala firma nabízet i asistenční službu Security Segmentation Service, která má firmám pomoci zavádět mj. bezpečnostní opatření pro zlepšení souladu s předpisy.
Firepower NGFW například propojuje kontextuální informace o tom, jak uživatelé přistupují k aplikacím, s aktuálními informacemi o hrozbách a s vynucováním pravidel. To urychluje odhalování a potlačování hrozeb.
Produkt je prý také jedním z prvních zařízení se 40Gb ethernetovým připojením v kompaktním provedení pro jednu pozici v racku. Firewall dokáže také na základě přehledu o zranitelnostech, informačních aktivech a hrozbách automatizovat a vylaďovat nastavení bezpečnostních opatření pro rychlé posílení obrany.
Novinka spojuje technologii firewallů a služby pro odhalování hrozeb do jediného řešení. Je založená i na řešeních třetích stran, kdy se umožňuje sdílení bezpečnostních a kontextových informací mezi různými systémy – třeba Radware for Distributed Denial of Service (DDoS).
Podniky tak podle výrobce mohou efektivně propojovat dříve nesourodé informace a díky nim rychleji odhalovat a reagovat na pokročilé útoky bez ohledu na to, kde k nim dojde.
Nebezpečná chyba DROWN je na 11 miliónech webů. V Česku jsou jich tisíce
7.3.2016 Zranitelnosti
Chyba DROWN, kterou mohou počítačoví piráti zneužít k odposlouchávání šifrované komunikace, se týká 11 miliónů webových stránek po celém světě. Upozornil na to server News Factor. V České republice jsou serverů, jež mohou být takto zneužity, tisíce.
O nebezpečné chybě DROWN informovaly Novinky.cz již minulý týden. [celá zpráva]
Už tehdy se hovořilo o tom, že zranitelnost se týká třetiny internetu. Přesné vyčíslení potencionálně nebezpečných serverů však ještě nebylo k dispozici.
S ohledem na 11 miliónů serverů po celém světě, které obsahují chybu DROWN, se zranitelnost logicky dotýká také podstatné části webů v České republice.
„Podle informací, které jsme doposud obdrželi, se problém týká téměř 13 000 IP adres. Všechny provozovatele těchto adres jsme již o tomto problému informovali,“ uvedla pro Novinky.cz analytička Zuzana Duračinská z Národního bezpečnostního týmu CSIRT, který je provozován sdružením CZ.NIC.
Jakých konkrétních webů se chyba týká, však neuvedla. To je vcelku logické, protože jinak by počítačoví piráti získali přehled o tom, na jaké servery se mohou zaměřit.
Uživatelé se bránit nemohou
Duračinská zároveň připomněla, že samotní uživatelé se proti útoku nemohou bránit. „Na straně uživatelů bohužel není možné se jakkoliv bránit. Potřebná opatření musí udělat dotčení provozovatelé služeb,“ doplnila.
Jediné, co mohou uživatelé dělat, je servery obsahující chybu nepoužívat. Ověřit, zda server obsahuje chybu DROWN je možné například zde. Stačí do kolonky vepsat požadovanou adresu a kliknout na tlačítko „Check for DROWN vulnerability”. Systém během chvilky vyhodnotí, zda daný web trhlinu obsahuje, či nikoliv.
Zranitelné mohou být webové stránky, mailové servery a jiné služby.
bezpečnostní analytik týmu CSIRT Pavel Bašta
Chyba se totiž týká šifrované komunikace, konkrétně staršího protokolu SSLv2. Právě kvůli tomu mohou zranitelnost opravit pouze provozovatelé serverů, nikoliv samotní uživatelé. Při návštěvě zranitelných stránek tak uživatelé nemusejí ani vědět, že něco není v pořádku.
Pokud se přihlašují na server, který obsahuje chybu, může být komunikace odposlouchávána. Když tedy zadají na počítači například přihlašovací údaje k internetovému bankovnictví, kyberzločinci se k nim mohou dostat díky chybě DROWN v podstatě ještě dřív, než dorazí na samotný server.
„Zranitelné mohou být webové stránky, mailové servery a jiné služby, které protokol TLS využívají,“ uvedl již dříve bezpečností analytik týmu CSIRT Pavel Bašta.
Plugin pro WordPress se může změnit v hrozbu, stačí změna majitele
7.3.2016 Zdroj: Lupa Hrozby
Roky spolehlivé pluginy pro WordPress se mohou proměnit v zásadní problém. Stačí, když se v nich objeví backdoor, který umožní převzít váš web.
Custom Content Type Manager (CCTM) je poměrně populární plugin pro WordPress, který slouží pro vytváření vlastních typů příspěvků. Najdete jej nainstalovaný na více než desítce tisíc webů. Sucuri ale varuje, že se v CCTM objevil backdoor.
Přišli na něj tak, že řešili napadený web a objevili podezřelý soubor auto-update.php právě ve složce s CCTM. Ten stahuje obsah z hxxp://wordpresscore .com/plugins/cctm/update/ a uloží ho do složky s CCTM jako PHP, tedy spustitelný soubor.
Při bližším zkoumání se potvrdilo, že zadní vrátka jsou přímo součástí CCTM, že nejde o výsledek napadení odjinud. A zjistili také to, že se zadní vrátka v CCTM objevila teprve 16. února 2016 v souvislosti s novým vlastníkem pluginu.
Právě změna vlastníků, ať už tím, že někdo původní plugin koupí, či se k vlastnictví dostane jiným způsobem, bývá nejčastějším momentem, kdy se z neškodných a spolehlivých věcí stávají škodlivé. Samotné CCTM přitom před touto změnou nebylo aktualizované dobrých deset měsíců – to je také jeden z příznaků, že je třeba si dát pozor: dlouho neaktualizované věci, které náhle dostanou aktualizaci. Sucuri upozorňují, že stejný nový vlastník se objevil u Postie pluginu.
Výše zmíněné auto-update.php ale není jedinou nebezpečnou změnou. V index.php se objevil přídavek, který se postará o odeslání informace na výše uvedené wordpresscore .com pokaždé, když se někdo přihlásí do svého webu. Velmi pravděpodobně slouží k tomu, aby se útočník dozvěděl, kde všude je plugin instalovaný.
Ve When a WordPress Plugin Goes Bad je také velmi detailní popis toho, jakým způsobem bylo právě CCTM použito pro hack. Ten spočíval ve využití auto-update.php pro stažení skriptu, který se postaral o změnu (vytvoření) wp-options.php. Následovaly zásahy do dalších souborů s vytvořením nového účtu správce. Změna dalších souborů navíc přinesla to, že útočník získal kompletní přihlašovací údaje.
Což ale není všechno. Další poměrně zvláštní změnou bylo přidání aktivace jquery.js z domény donutjs.com. Ta vypadá, jako kdyby skutečně byla zdrojem pro klasické jQuery, ale má řadu velmi podezřelých příznaků. Při bližším zkoumání zjistíte, že ve skutečnosti o jQuery vůbec nejde, uvnitř najdete pouze další skript, který nahlašuje instalaci/použití CCTM.
Máte ve Wordpressu CCTM nebo Postie?
Pokud ano, pak máte značný problém a měli byste se zbavit nejenom CCTM, ale také znovu nahrát čisté soubory wp-login.php, user-edit.php a user-new.php. Poté změnit hesla všem uživatelům, zrušit uživatele support a odstranit soubor wp-options.php, který se vám objevil v kořenové složce.
Pokud se bez CCTM neobejdete, tak je potřeba jít na poslední verzi, která není postižena – tou je 0.9.8.6. A k tomu nezapomenout na to, že automatické aktualizace (pokud jste je povolili) vám ji opět přepíší na napadenou variantu.
Ransomware je už i na Macu, stačilo stáhnout Transmission
7.3.2016 Zdroj: Lupa Viry
První plně funkční ransomware pro Mac zní jako dost velká věc na to, aby internet propadal panice. A ono se to tak trochu děje.
Palo Alto Networks nabízejí kompletní analýzu ransomware pro OS X skrývajícího se v podobě infikovaného instalátoru pro Transmission bittorent klienta. „KeRanger“, jak Palo Alto Networks tento nový virus pojmenovali, je dost dobře možná druhý ransomware pro OS X v historii (prvním je teoreticky FileCoder objevený Kaspersky Lab v roce 2014).
K infikování instalátorů pro Transmission došlo 4. března a napadena byla verze 2.90. Není známo, jakým způsobem k tomu došlo. Možná je kompromitovaný web, ale žádné bližší informace k dispozici nejsou.
Napadené instalátory jsou plně podepsané vývojářským certifikátem (jiným než běžným) a instalující uživatel nemá ponětí o tom, že vedle Transmission se mu do systému dostal další program.
Ten počká tři dny a poté se spojí s ovládacím serverem s pomocí sítě Tor a zahájí šifrování některých dokumentů a datových souborů v systému. Po dokončení klasicky zobrazí žádost o výkupné (jeden bitcoin). Pokud se budete chtít spoléhat na Time Machine pro obnovení, tak špatná zpráva je, že KeRanger se pokouší zašifrovat i obsah tam uložený.
Na Transmission webu už napadené instalátory nejsou, použitý certifikát byl Applem zneplatněn a antivirová data v XProtect už k KeRangeru obsahují potřebné informace.
Ve výše odkázané kompletní analýze viru je na konci i postup, jak ověřit, zda nejste tímto virem také napadeni. Lze to poznat jak podle přítomnosti některých souborů a disku, tak podle procesů v systému běžících.
Aktualizace XProtect antiviru znamená, že napadané verze Transmission nepůjde spustit. Případně je dobré vědět, že Transmission 2.92 by měla případně také pomoci v odstranění.
Nejlepší Antivir: podle testů AV Comparatives jsou výsledky těsné
7.3.2016 Zdroj: Živě Zabezpečení
Nezávislá testovací organizace AV Comparatives každoročně publikuje zprávu se souhrnnými výsledky z celoročního průběžného testování antivirových programů. Metodika testovaní se skládá z několika kategorií, které jsou hodnoceny zvlášť, přičemž o celkovém výsledku rozhodne souhrn těch dílčích. Hodnotí se úspěšnost v odstraňování malwaru, hledání infikovaných souborů, výkonnost, ochrana v reálném nasazení a proactive test.
Z celkového počtu dvaceti jedna testovaných antivirů všechny obdržely doporučující hodnocení, přesto ale některé vynikají více. Nejlepší hodnocení (Product of the year) obdržel software od Kaspersky Lab (konkrétně Kaspersky Internet Security).
Seznam všech testovaných antivirů a jejich výsledky v jednotlivých kategoriích
K prostudování výsledků nás motivoval rozsáhlý „falešní poplach“, který způsobil software od ESETu minulý týden. Na falešná hlášení se totiž antivirové programy rovněž testují a poslední test specializující se na tuto problematiku provedli v AV Comparatives v září loňského roku. Jak si vedl ESET? Zvítězil ještě spolu s dalšími dvěma programy, protože v rámci testu nenahlásil žádnou chybnou detekci. Případ z minulého týdne byl zjevně ojedinělý.
Testované antiviry v roce 2015
V celkovém hodnocení za rok 2015 získal Kaspersky ve většině kategorií nejlepší hodnocení a obhájil tak své prvenství z předchozího roku. V těsném závěsu se ale nachází hned šestice antivirů, které si také vedly velmi dobře. Tyto antiviry získávají ocenění „Top rated products“. S tímto označením z testu vyšel Avast, AVIRA, Bitdefender, Emsisoft, eScan a ESET.
Výsledky v kategorii „Real-world protection“, zde se hodnotí úspěšnost detektece škodlivého softwaru v reálném nasazení, zohledňuje se také míra falešných poplachů
Na Macy zamířil první funkční ransomware, šířil se skrz bittorrentový klient
7.3.2016 Zdroj: Živě Viry
Ransomware je speciální typ malwaru, který má po infikaci za úkol zašifrování uživatelských dat. K jejich odemknutí je potom útočníky vyžadován poplatek, většinou v podobě bitcoinů. A zatímco v minulosti byl tento druh útoku doménou systému Windows, o víkendu se pravděpodobně poprvé rozšířil i do OS X. Zdrojem nákazy byl open-source nástroj Transmission, který slouží jako klient pro bittorrentovou síť. Šířil se přitom přes oficiální instalační balík.
Transmission pro OS X, který o víkendu šířil ransomware
I když není jasné, jak se škodlivý kus kódu nazvaný OSX.KeRanger.A dostal do instalátoru, dokázal díky podepsanému vývojářskému certifikátu obejít i ochranu Gatekeeper v OS X. Nic mu potom nezabránilo vytvořit potřebné soubory, zašifrovat uživatelská data a začít komunikovat se servery útočníků prostřednictvím sítě Tor. Tam také byli uživatelé nasměrování pro zaplacení poplatku jednoho bitcoinu, tedy asi čtyř set dolarů, což mělo vést k odemknutí souborů.
Apple zareagoval jak zneplatněním vývojářského certifikátu, takže jsou uživatelé při instalaci důrazně varování před možným rizikem, tak aktualizací antivirového systému XProtect. Na webu Transmission potom visí upozornění na nutný update na verzi 2.92, která přinesla opravu a případné odstranění malwaru z OS.
Studie: devět z deseti SSL VPN je beznadějně nebezpečných
7.3.2016 Hrozby
Používat VPN je v dnešních dnech jedna z důležitých součástí bezpečnější komunikace po internetu. Ale co když samy VPN služby nejsou bezpečné?
Devět z deseti SSL VPN je nebezpečných pro uživatele, používá zastaralé či nedostatečné formy šifrování a představuje hrozbu pro data, která skrz ně posíláte. To je výsledek testu 10 436 veřejně dostupných SSL VPN serverů (z celkového počtu asi 4 milionů náhodně vybraných adres) od těch největších výrobců jako je Cisco, Fortinet či Dell.
77 % z nich používá SSLv3 protokol, zhruba stovka dokonce SSLv2. Oba tyto protokoly jsou nejenom zastaralé, ale hlavně mohou být zneužité řadou zranitelností a útoků. Ani jeden není považován za bezpečný.
76 % používá nedůvěryhodné SSL certifikáty, což je vystavuje riziku MITM (Man in the middle) útoku. Což v praxi může znamenat, že s pomocí falešného serveru se hackeři mohou dostat ke všemu, co posíláte.
74 % má certifikáty s nebezpečným SHA-1 podpisem, 5 % dokonce používá ještě starší MD5 technologie.
41 % používá nebezpečné 1024 bitové klíče pro RSA certifikáty. Obecně se předpokládá, že cokoliv pod 2048 bitů délky není bezpečné.
10 % SSL VPN serverů je založeno na Open SSL a zároveň stále napadnutelné nyní již hodně starým Heartbleed útokem (zranitelnost objevená v dubnu 2014).
Pouze 3 % vyhovují PCI DSS požadavkům a žádné SSL VPN nevyhovují NIST pravidlům.
Podrobnější informace najdete v 90% of SSL VPNs use insecure or outdated encryption, putting your data at risk, tedy přímo u autorů studie (testu), společnosti High-Tech Bridge.
Nebezpečná chyba ohrožuje třetinu internetu. Uživatelé se bránit nemohou
6.3.2016 Zranitelnosti
Bezpečnostní experti odhalili novou nebezpečnou trhlinu zvanou DROWN, která může být zneužita k napadení šifrované komunikace na webu. Kyberzločinci tak mohou snadno odposlouchávat přístupové údaje včetně hesel, nebo například čísla kreditních karet i s ověřovacími prvky. Zranitelnost se týká třetiny internetu, uvedl Národní bezpečnostní tým CSIRT.CZ.
Hlavní problém je v tom, že uživatel se před chybou nemůže nijak bránit. Zatímco před nejrůznějšími viry a trojskými koni jej dokážou ochránit antivirové programy, na zranitelnost DROWN jsou bezpečnostní aplikace krátké.
Chyba se totiž týká šifrované komunikace, konkrétně staršího protokolu SSLv2. Právě kvůli tomu mohou zranitelnost opravit pouze provozovatelé serverů, nikoliv samotní uživatelé. Při návštěvě zranitelných stránek tak uživatelé nemusejí ani vědět, že je něco v nepořádku.
V ohrožení e-mailová komunikace i bankovnictví
„Zranitelné mohou být webové stránky, mailové servery a jiné služby, které protokol TLS využívají,“ konstatoval Pavel Bašta, bezpečnostní analytik CSIRT.CZ, který je provozován sdružením CZ.NIC.
Ten zároveň detailně popsal, jak může být chyba zneužita: „K využití DROWN zranitelnosti může dojít v případě, že služba umožňuje využívaní SSLv2 a TLS zároveň nebo je soukromý klíč využíván ještě na jiném serveru, který podporuje SSLv2. Výsledkem úspěšného zneužití zranitelnosti může být prolomení TLS komunikace mezi serverem a uživatelem.“
Co to znamená pro uživatele v praxi? I když se pohybují na zabezpečených stránkách, například v e-mailové schránce nebo v internetovém bankovnictví, neznamená to, že je jejich komunikace skutečně bezpečná.
Komunikace může být odposlouchávána
Pokud se přihlašují na server, který obsahuje chybu, může být komunikace odposlouchávána. Když tedy zadají na počítači například přihlašovací údaje k internetovému bankovnictví, kyberzločinci se k nim mohou dostat díky chybě DROWN v podstatě ještě dříve, než dorazí na samotný server.
Trhlinu přitom obsahuje nezanedbatelná část webů po celém světě. „Podle předběžných odhadů je zranitelných až 33 % stránek využívajících HTTPS protokol,“ doplnil Bašta.
Jakých konkrétních webů se zranitelnost DROWN týká, však neuvedl. Je nicméně více než pravděpodobné, že jen v České republice budou tisíce serverů obsahujících chybu.
Otázka je, jak rychle dokážou poskytovatelé jednotlivých služeb zareagovat a své systémy skutečně opravit. Bezpečnostní experti o tom vědí své, i přes závažnost Chyby krvácejícího srdce příslušnou záplatu nenainstalovala ani rok po objevení více než polovina firem po celém světě.
Kvůli Chybě krvácejícího srdce mohli útočníci disponovat například přihlašovacími uživatelskými údaji, a to včetně soukromých hesel k e-mailům, sociálním sítím, on-line bankovnictví nebo nejrůznějším internetovým obchodům. Vzhledem k tomu, že řada účtů je navázána na platební karty, byla hrozba nebezpečí o to závažnější.
Mezi postiženými byly i velké portály, jako jsou například Yahoo.com, Flickr.com či Mail.com. I proto se podle BBC jednalo o jednu z nejzávažnějších bezpečnostních trhlin v historii internetu. Chyba, která by v takovém rozsahu vystavila internet potenciálním útokům, se totiž zatím nikdy neobjevila.
Detekce důmyslných útoků pomocí analýzy chování
6.3.2016 Zabezpečení
Big data a strojové učení pomáhají téměř v reálném čase posoudit riziko aktivit uživatelů, zda ještě vyhovují normě či naopak už jsou tzv. za hranou.
Zaměstnanec denně používá během pracovní doby legitimní oprávnění pro přístup k podnikovým systémům z podnikového pracoviště. Systém zůstává v bezpečí. Najednou však dojde po půlnoci k použití stejných oprávnění pro přístup k databázovému serveru a spustí se dotazy, které uživatel nikdy předtím nezadával. Je systém stále v bezpečí?
Možná je. Správci databáze musejí koneckonců dělat údržbu a údržba se obvykle činí po pracovní době – některé operace údržby vyžadují vykonání nových dotazů. Ale možná také není. Mohlo dojít k vyzrazení přihlašovacích údajů uživatele a právě může probíhat pokus o ukradení dat.
Konvenční bezpečnostní kontroly na takovou situaci neposkytnou jednoznačnou odpověď. Statická obrana perimetru již nestačí pro svět, ve kterém se krádeže dat stále častěji vykonávají prostřednictvím ukradených přihlašovacích údajů uživatelů.
Tyto případy však nelze srovnávat se zločinnými zaměstnanci, kteří zneužijí své přihlašovací údaje. Také současná prostředí BYOD mohou zcela zničit statický perimetr, jak dochází k neustálému přidávání nových pravidel pro externí přístup.
Jedním z inovativních přístupů se označuje jako analýza chování uživatelů (UBA, User Behavior Analytics). Dokáže tuto hádanku řešit pomocí analýz big dat a algoritmů strojového učení, které téměř v reálném čase posuzují riziko aktivit uživatelů.
Co umí UBA?
UBA využívá modelování k popisu normálního chování. Toto modelování zahrnuje informace o uživatelských rolích a funkcích z aplikací personálního oddělení a z adresářů včetně přístupu, účtů a oprávnění, aktivity a geografické lokalizační údaje shromážděné ze síťové infrastruktury, upozornění od obranných bezpečnostních řešení atd.
U těchto dat se vyhodnocují souvislosti a analyzují se na základě předchozích a současných aktivit. Tyto analýzy zohledňují mimo jiné také typy transakcí, využívané zdroje, trvání relací, konektivitu a obvyklé chování jedinců ze stejné skupiny.
UBA zjišťuje, co je ještě normální chování a co už jsou nezvyklé aktivity. Jestliže původně anomální chování jedné osoby (například půlnoční databázové dotazy) následně začnou vykonávat i další jedinci z téže skupiny, přestane se to považovat za střední či vysoké riziko.
Dále UBA vykonává modelování rizik. Anomální chování se automaticky nepovažuje za riziko. Musí se nejprve vyhodnotit z perspektivy potenciálního dopadu.
Pokud anomální činnost zahrnuje zdroje, které nejsou citlivé, jako jsou například informace o využití konferenční místnosti, je potenciální dopad nízký. Naopak pokusy o přístup k citlivým souborům, jako je například duševní vlastnictví organizace, však dostávají mnohem vyšší hodnocení.
Následně se riziko pro systém, tvořené určitou transakcí, definuje pomocí vzorce Riziko = Pravděpodobnost x Dopad.
Pravděpodobnost ve vzorci souvisí s pravděpodobností, že je dotyčné chování uživatele anomální. Zjišťuje se s využitím algoritmů pro modelování chování. Dopad se odvodí z úrovně důvěrnosti a důležitosti informace, se kterou se pracuje, a z kontroly, jež se používá pro práci s těmito údaji.
Transakce a jejich vypočítaná rizika se poté mohou spojit s konkrétním uživatelem, který tyto transakce vykonává, a výsledně se určí úroveň rizika.
Výpočet uživatelského rizika obvykle zahrnuje další faktory, jako jsou stupeň důvěrnosti aktiv, oprávnění, potenciální zranitelnosti, zásady atd. Jakékoli zvýšení těchto faktorů zvýší skóre rizika tohoto uživatele.
Všechny faktory v těchto výpočtech mohou ale mít své vlastní váhové hodnoty pro automatické vyladění celkového modelu.
Nakonec UBA sbírá, koreluje a analyzuje stovky atributů včetně situačních informací a informací o hrozbách od třetích stran. Výsledkem je bohatá množina dat s velikostí v řádu petabajtů, která zohledňuje kontext.
Podpora strojového učení
Algoritmy strojového učení UBA mohou nejen odfiltrovat a eliminovat falešné poplachy a vytvořit inteligenci pro riziko, kterou lze využít pro rozhodování, ale mohou také na základě shromažďovaných informací revidovat normy, předpovědi a celkové procesy hodnocení rizik...
OpenSSH 7.2: SHA-2 a chytřejší ssh-agent
5.3.2016 Zabezpečení
Po několika rychle vydaných verzích OpenSSH, opravujících několik závažných bezpečnostních chyb, přichází opět verze s novými funkcemi.
Facebook Twitter Google+ Líbí se vám článek?
Podpořte redakci
8 NÁZORŮ
Bezpečnost (nejen posledních verzí)
Poslední verze, která přišla s novými funkcemi a prošla řádným testováním, byla verze 6.9. Následující verze 7.0p1 přinesla několik nových funkcí, ale hlavně opravovala čtyři závažné bezpečnostní chyby, primárně související s integrací PAM (CVE-2015–6563, CVE-2015–6564), špatným nastavením přístupu k TTY na serveru (CVE-2015–6565) a možností překročit povolený počet pokusů o zadání hesla při využití ChallengeResponseAuthentication (CVE-2015–5600).
Následující verze 7.1p1 vyšla deset dní po verzi 7.0 a opravovala logickou chybu ve vyhodnocování nastavení PermitRootLogin without-password, která mohla nastat v závislosti na nastavení v čase kompilace.
Roaming
Další verze, 7.1p2, přišla v polovině ledna a zakazovala funkci Roaming, která byla ve výchozím nastavení povolená a zneužitelná ze strany modifikovaného serveru (CVE-2016–0777, CVE-2016–0778, CVE-2016–1907). V posledních verzích již existovaly různé obranné mechanismy zabraňující úspěšnému zneužití, ale tato funkce existovala od verze 5.4, tedy více než 6 let a při určitých okolnostech mohla vést k odeslání části paměti s privátním klíčem zákeřnému serveru.
Aktuální verze tedy odebírá celý kód související s funkcí Roaming, který nikdy nebyl pořádně zdokumentovaný, otestovaný a mohl by být zdrojem dalších problémů. Výchozí konfigurace nově nastavuje sandbox před-autentizačního procesu (na Linuxu je dnes většinou použitý seccomp, na OpenBSD pledge) minimalizující jeho privilegia.
X11 a staré algoritmy
Nová verze opravuje další problém spojený s tunelováním X11 protokolu na dnešních systémech bez rozšíření XSECURITY, kdy výchozím chováním bylo tiché ignorování selhání požadavku na Untrusted spojení a použití neomezeného.
Aktuální verze posouvá minimální velikost akceptovaných prvočísel pro výměnu klíčů pomocí DH na 2048 bitů, která je zatím za hranicí potenciálního prolomení (Logjam).
Dále je ve výchozím nastavení klienta zakázána většina historických algoritmů ( blowfish-cbc, cast128-cbc, arcfour-*, ...) na straně klienta. Ty byly již dříve odebrány z výchozí serverové konfigurace. Stejně tak jsou nově zakázány HMAC algoritmy používající ořezané/zkrácené MD5.
Nové funkce
SHA-2
První novinkou, které se můžeme dočkat, je možnost použití SHA-2 256 a SHA-2 512 při autentizace privátním RSA nebo DSA klíčem. V původním protokolu SSH2 (rfc4253) je pevně určen hashovací algoritmus SHA-1, který již není doporučovaný. Proto došlo k rozšíření protokolu (zatím k dispozici jako návrhy, pod hlavičkou Bitvise – komerční SSH server a klient pro Windows) o tyto nové algoritmy pro podpis, o standardní možnost tyto algoritmy oznamovat druhé straně a následně používat. Pro uživatele se v tomto směru nic nemění, ale jedná se o další krok k větší flexibilitě, robustnosti a vyšší bezpečnosti samotného protokolu.
Inteligentní ssh-agent
Další užitečnou funkcí je změna procesu, jakým je možné používat ssh-agent. Dosud bylo potřeba před použitím klíče z ssh, ručně přidat klíče do agenta a klíč „odemknout“. Nyní je možnost přidávat klíče „za běhu“, v tu chvíli kdy klíč poprvé použijeme. To umožňuje omezit počet odemčených klíčů při startu systému na minimum a s vhodným nastavením životnosti klíčů v agentovi (přepínač -t), je můžeme také automaticky „zamykat“. Tato funkce je ve výchozím nastavení vypnutá, ale věřím, že si brzo najde své uživatele, až většina distribucí aktualizuje.
Příklad chování:
[me@f24 ~]$ ssh-copy-id -f -i ./rsa.pub test@f24
test@f24's password:
[me@f24 ~]$ ssh-add -l
The agent has no identities.
[me@f24 ~]$ ssh -i ./rsa -oAddKeysToAgent=yes test@f24
Enter passphrase for key './rsa':
[test@f24 ~]$ logout
Connection to localhost closed.
[me@f24 ~]$ ssh -i ./rsa -oAddKeysToAgent=yes test@f24
[test@f24 ~]$
Kromě striktních možností, které zakazují nebo povolují tuto funkci, existuje také možnost „ask“, která se před přidáním klíče zeptá pomocí dialogu ssh-askpass.
Omezení klíčů na serveru
K dalšímu zjednodušení došlo na straně serveru v možnosti přidávat omezení jednotlivým klíčům. Tato funkce je většinou použita pro skripty provádějící vzdáleně jeden určitý úkol. Dosud bylo potřeba přidávat dlouhý seznam privilegií ( no-pty,no-port-forwarding,no-agent-forwarding,no-X11-forwarding,...), kterými chceme připojujícího se uživatele omezit. Nyní je možné použít klíčové slovo restrict, které nahrazuje všechna zákazová klíčová slova, včetně těch v budoucnosti přidaných, a pokud chceme některou akci povolit, je to možné pomocí explicitního whitelistu ( restrict,pty,port-forwarding,...).
Další rozšíření dostaly také nástroje ssh-keygen a ssh-keyscan, hlavně v souvislostí se zpracováním certifikátů a otisků klíčů.
Opravy chyb
Proběhla aktualizace nástroje ssh-copy-id, který obsahoval v posledních verzích několik problémů. Možnost obměny klíčů sezení (rekey) se dočkala revize pro velké množství přenesených dat, které bylo problémové.
SFTP server vyžaduje rozšířený glob(), jehož struktury nejsou binárně kompatibilní s verzí poskytovanou Linuxem. Tato funkce a její struktury byly přejmenovány jako příprava pro podporu klíčového slovaInclude v rámci konfiguračních souborů.
Více informací naleznete v oficiálním oznámení. Pokud si chcete nové funkce OpenSSH vyzkoušet, balíčky pro aktuální Fedoru jsou již k dispozici.
Historie hackingu: Vývoj virů v dokumentech
5.3.2016 Hacking
Dlouhé roky to byla nezpochybnitelná pravda informační bezpečnosti: dokumenty nemohou obsahovat viry, zavirovat lze pouze spustitelné soubory (maximálně boot sektory disket a disků). Historie nám ovšem už mnohokrát ukázala, že věčné pravdy jen málokdy platí věčně, a v počítačové bezpečnosti zvláště.
Dlouhé roky se viry dokumentům vyhýbaly. Prostě proto, že je nešlo kam vložit: ať se autor snažil sebevíc, nikdy spustitelný kód nedostal příležitost.
Dnes s odstupem času a o desítky let zkušeností (inu, po bitvě je každý generál) můžeme říci, že jsme měli spíše štěstí: nějaká bezpečnostní chyba umožňující spuštění kódu „propašovaného“ do dokumentu by se tehdy už bezesporu našla, zvláště v době, kdy byla bezpečnost přehlíženou Popelkou. Leč nikdo se o nic podobného nepokoušel.
Pokud si odmyslíme možnost bezpečnostní chyby, pak lze konstatovat, že dokumenty škodlivé kódy obsahovat nemohou. Dokument je totiž soubor, který skutečný program (grafický či textový editor apod.) pouze zobrazí, ale nevykoná jej. Jinými slovy – kniha s návodem na výbušninu vám z principu věci v ruce také neexploduje.
MS Office mění hru
Jenže co je jednoduché v reálném světě, bývá v kyberprostoru zpravidla jinak. Stačí se podívat do osudového roku 1995, kdy na svět přišly Windows 95. A s nimi i kancelářský balík Office s netušenými možnostmi a vlastnostmi.
Jednou z nich byla i schopnost vkládat do dokumentů makra. Záměrem tvůrců bylo zjednodušit uživatelům dělání nudných, složitých nebo opakujících se operací: ty bylo možné nahradit vložením skriptu, který za ně vše vykonal.
Tvůrci konceptu ovšem dali makrům do vínku velmi silný jazyk: Visual Basic, což znamenalo, že makra mohla téměř cokoliv včetně formátování disku nebo rozesílání e-mailů.
První demonstrační makrovirus tohoto typu přišel v prosinci 1994 a měl název DMV (Document Macro Virus). Přesněji šlo o dva různé makroviry: jeden pro Word, druhý pro Excel. Šlo jen o ukázkové kódy, které měly sloužit coby varování.
V srpnu 1995 (ve stejném měsíci, kdy se začaly prodávat Windows 95) pak přišel skutečný makrovirus. Jmenoval se Concept a nad jeho původem se dodnes vznáší celá řada otazníků.
Jeho autor měl totiž výtečnou znalost prostředí maker: takovou, jakou nelze dosáhnout ani velmi důkladným studiem. Dodnes se spekuluje (ověřit to pochopitelně nelze), že Concept vytvořil některý ze zaměstnanců Microsoftu, který se na vývoji koncepce přímo podílel.
Concept se každopádně stal jedním z historicky nejrozšířenějších virů. Důvod je jednoduchý: na příchod makrovirů nebyli připraveni uživatelé ani antivirová ochrana. Ti prvně jmenovaní roky poslouchali, že dokumenty prostě nemohou obsahovat viry. Ti druzí pak na tomto předpokladu postavili své algoritmy.
Vše ale bylo třeba změnit a nebylo to vůbec jednoduché. Antivirové firmy například opakovaně (a také marně) žádaly Microsoft o zveřejnění některých funkcí či parametrů, které by jim umožnily efektivně makroviry potírat. Asi nikoho tak nepřekvapí, že podíl makrovirů na celkovém počtu škodlivých kódů skočil během jediného roku z nuly na devadesát procent.
České kotliny se tenkrát tento problém příliš netýkal, protože při překládání kancelářského balíku do češtiny si někdo dal práci a přeložil nejen hlášky, ale i vnitřní strukturu.
Makroviry psané pro anglické prostředí tak v Česku neměly šanci. Když například hledaly instrukci „Open“, nepochodily. Protože v tuzemské struktuře byl příkaz „Otevřít“.
Lotus 123 a JPG
Ale abychom nenasazovali psí hlavu jen systému Windows: makra v dokumentech existovala již dříve. Demonstrativně bylo prokázané, že pro prostředí Lotus 123 bylo možné vytvářet sebereplikační makra. Teoreticky dokonce již od roku 1989, kdy byla tato funkce do prostředí implementována.
Prakticky se ale viry v Lotusu 123 nikdy nestaly problémem. A to díky tomu, že tam implementovaný jazyk byl velmi slabý. A také třeba i proto, že aktivace makra nebyla vůbec jednoduchá a zvládl ji jen zkušený uživatel. Hypotetický makrovirus by tak vyžadoval opravdu významnou pomoc.
Pandořina skříňka se každopádně otevřela. Programátoři objevili sílu maker, takže je začali přidávat do všech možných i nemožných aplikací. Světem se tak začaly šířit makroviry pro Corel (GaLaDRieL) nebo AutoCad (ACAD.Star).
Skutečně značné nebezpečí ale představoval až škodlivý kód Perrun, jenž se objevil v roce 2002 a který byl schopný infikovat formát obrázků JPG.
Řešil to sice jistou obezličkou (do formátu JPG přidával spustitelný kód a pomocí zvláštního EXE souboru s odkazem v registrech se na něm odkazoval), ale zbořil další dogma.
Pak se objevilo ještě několik škodlivých kódů, které byly schopné JPG infikovat (například modifikací metadat), ale naštěstí se příliš neprosadily.
Důvod byl prozaický: ve stejné době vrcholila „zlatá éra e-mailových červů“. Tyto kódy byly mnohem rychlejší, cílenější a pro útočníky pohodlnější, takže tvorba nějakých virů v dokumentech hackery příliš nezajímala.
Což je možná dobře, protože kdyby se škodlivé kódy v obrázcích významně rozšířily, kybernetický svět by zřejmě dnes vypadal krapet jinak.
Návrat krále?
Po určitém útlumu každopádně viry v dokumentech zažily svůj návrat. Nejprve se jim podařilo dobýt PDF formát (před deseti lety byla významná část dokumentů v tomto formátu na webu nějakým způsobem infikovaná, důvodem byla absence záplatovacího mechanismu na straně výrobce programu).
A dnes se hojně využívají k cílovým útokům třeba v případě průmyslové špionáže.
Komplexní bezpečnostní služby včetně školení v češtině nabízí Kaspersky
4.3.2016 Zabezpečení
Služby Security Intelligence Services, které slouží především pro bezpečnostní operační střediska, korporace a poskytovatele služeb, spustil Kaspersky Lab. V jeho rámci Security Intelligence Services mají uživatelé k dispozici data o hrozbách, reporting zpravodajských informací, online a onsite školení a program zvýšení povědomí o bezpečnosti nebo specializované služby jako penetrační testování a posouzení zabezpečení aplikací.
Služby se skládají ze tří hlavních součástí – analýzy bezpečnosti, školení a zpravodajství o hrozbách. Ty jsou navrženy tak, aby splňovaly požadavky korporací, vládních agentur, poskytovatelů internetového připojení, telekomunikačních společností a poskytovatelů bezpečnostních služeb.
Novinka v podobě analýzy bezpečnosti zahrnuje penetrační testování a posouzení zabezpečení aplikací. Tyto služby umožní klientům předvídat specifika kybernetického útoku ještě před tím, než se odehraje. Podporou těchto služeb se zabývá specializovaný tým analytiků Kaspersky Lab, který může otestovat zabezpečení podniku proti široké škále napadení.
Školení kybernetické bezpečnosti uplatňuje techniky herních designů (gamifikace) a je založené na nejnovějších zpravodajských informačních službách v oblasti sociálního inženýrství a cílených útoků, čímž prý ztělesňuje princip prožitkového učení. Tento program určený zaměstnancům je možné vést i v češtině. A konečně zpravodajství nabízí přístup k datům Kaspersky Lab skrze datové kanály pro informace o hrozbách a sledování botnetů. Datové kanály pro informace o hrozbách obsahují nejaktuálnější data o škodlivých programech a URL adresách, phishingových útocích a mobilních hrozbách.
Navíc jsou kompatibilní s oblíbenými SIEM (Security Information and Event Management) řešeními třetích stran. Informace jsou dostupné také ve formě reportingu o hrozbách, který je připravován na míru na základě specifických aspektů prostředí hrozeb a zpráv o nejnovějších a nejsofistikovanějších hrozbách.
Hacknout Pentagon a dostat zaplaceno? Vojáci spouští bug bounty program
3.3.2016 Hacking
Nápady ze Silicon Valley má v rámci amerického ministerstva obrany prosazovat Eric Schmidt.
Ačkoliv plno technologií vzniká napřed pro armádu a pak se teprve dostane do běžného prodeje, v digitálním světě je situace přinejmenším vyrovnaná. Americká armáda chce posílit především v bezpečnosti. Kyberprostor je už prostě dalším bojištěm.
Eric Schmidt se stal hlavou nové pracovní skupiny s názvem Defense Innovation Advisory Board. Ta by měla pomoci Pentagonu vstřebat a nasát nápady ze Silicon Valley. Americká vláda tak zkouší to, o co se poslední dobou snaží i korporace.
Tento týden rozjely úřady vlastní bug bounty program s názvem Hack the Pentagon. V jeho rámci bude platit hackerům za objevení bezpečnostních děr v systémech ministerstva obrany. Kromě toho se často snaží naverbovat hackery, kteří by posílili jednotky pro boj v kyberprostoru.
TIP: Facebook loni hledačům chyb vyplatil skoro milion dolarů
Tím to jen začíná. Schmidtův jedenáctičlenný tým by měl podle informací CNN hledat problémy, se kterými se Pentagon potýká při používání technologií a přinášet rychlá řešení. Zároveň ale nebude mít přístup k vojenským datům.
Schmidt má s vládou dlouholeté zkušenosti. A ne zrovna pozitivní. V zásadě mu vadí, jak moc chtějí úřady strkat nos do databází firem ze Silicon Valley. Je dlouhodobým odpůrcem státního sběru dat a naposledy se připojil k Applu v kauze zablokovaného mobilu střelce ze San Bernardina.
Apple vydal záplatu záplaty. Po aktualizaci lidem přestal fungovat internet
3.3.2016 Zranitelnosti
Bezpečnostní experti uživatelům neustále radí, jak je důležité mít aktualizovaný operační systém, aby se do něj přes nalezené trhliny nedostali žádní nezvaní návštěvníci. Jenže všechny aktualizace se ne vždy povedou, jak se na vlastní kůži v minulých dnech přesvědčili uživatelé počítačů od Applu. Bezpečnostní záplata jim totiž zablokovala internetové připojení.
Problém se týkal uživatelů, kteří používají operační systém OS X El Capitan. Sluší se zmínit, že právě na této verzi funguje drtivá většina notebooků a stolních počítačů od amerického počítačového gigantu. Ten totiž vždy nejnovější verzi systémů nabízí uživatelům jako bezplatnou aktualizaci.
Na minulý týden byla pro El Capitana vydána bezpečnostní záplata, která opravovala chybu týkající se samotného jádra systému. Tu mohli kybernetičtí zločinci zneužít k propašování prakticky libovolného viru na napadený počítač, nebo jej na dálku klidně i ovládnout.
Oprava vyšla během pár dní
S instalací aktualizace tak většina uživatelů z pochopitelných důvodů neotálela. Problém však nastal po instalaci, přestalo totiž fungovat připojení k internetu prostřednictvím ethernetové zástrčky (klasického síťového rozhraní), upozornil server Security Week.
Programátoři amerického počítačového gigantu proto neváhali a během pár dní vydali záplatu záplaty. „Společnost Apple o víkendu vydala opravu bezpečnostní záplaty pro systém OS X El Capitan,“ uvedl bezpečnostní analytik Pavel Bašta z týmu Národního bezpečnostního týmu CSIRT.
Podle něj po instalaci nejnovější aktualizace začne internetové připojení opět fungovat.
Eset expanduje v západní Evropě, otevírá pobočku ve Velké Británii
3.3.2016 Zabezpečení
Během pěti let chce Eset zdvojnásobit lokální tým a výhledově se dostat mezi tři největší prodejce bezpečnostních řešení pro IT ve Velké Británii.
Otevření vlastní obchodní a distribuční pobočky ve Velké Británii navazuje na dlouholetou spolupráci s partnerskou společností DESlock. Společnost Eset provedla akvizici tohoto dodavatele šifrovacích řešení v roce 2015 a rozšířila tak své technologické portfolio.
„Věříme, že spojení lokálního týmu Eset UK s našimi globálními schopnostmi, know-how a zkušenostmi vytvoří dokonalou kombinaci, díky které posílíme naši pozici na britském trhu,“ říká Richard Marko, generální ředitel společnosti Eset. Dodavatel bezpečnostních řešení působí ve Velké Británii prostřednictvím partnerské společnosti DESlock přes deset let.
Pobočku Eset UK se sídlem v Bournemouthu na jihu Anglie povede obchodní a marketingový ředitel společnosti Eset pro region EMEA Miroslav Mikuš. Všichni zaměstnanci bývalého exkluzivního partnera se stávají zaměstnanci společnosti Eset. Ta očekává, že během následujících pěti let by se měl její tým ve Velké Británii přinejmenším zdvojnásobit.
„S týmem ve Velké Británii jsme zejména v posledních letech velmi úzce spolupracovali a velice nás těší, že můžeme tuto spolupráci posunout ještě dále, aby se značka bezpečnostních řešení od společnosti Eset stala atraktivnější jak pro domácnosti, tak pro firmy a běžné uživatele. Výhledově bychom se chtěli dostat mezi tři největší prodejce bezpečnostních řešení pro IT ve Velké Británii,“ říká Mikuš.
„Během prvního roku existence nové pobočky se zaměříme na rozšíření týmu, co nejkvalitnější technologickou podporu a komunikaci s prodejci, abychom v dlouhodobém horizontu optimalizovali naši partnerskou síť ve Velké Británii,” dodává Mikuš.
Vznik samostatné pobočky ve Velké Británii je součástí dlouhodobé strategie společnosti. Jejím cílem je posilovat pozici na tomto nejdůležitějším trhu s bezpečnostními řešeními pro IT v rámci regionu EMEA, aby si v prodejích i nadále udržela dvouciferný meziroční růst.
V Evropské unii provozuje Eset již osm poboček a výzkumných a vývojových center. Otevření britské pobočky následuje po zřízení zastoupení společnosti Eset v Německu, ke kterému došlo v roce 2013.
Apple opravuje chyby v Apple TV. Útočníci přes ni mohli tahat data
2.3.2016 Zranitelnosti
Zhruba 60 chyb opravila společnost Apple ve své chytré krabičce pro „hloupé televize“ Apple TV. Chyby se nahromadily i proto, že firma přistoupila k updatu systému poprvé od loňského dubna. Nová verze systému třetí generace má označení 7.2.1. Firma vydala i dvě záplaty pro čtvrtou generaci Apple TV, která běží na systému tvOS.
Jak píše server Security Week, některé chyby jsou tak závažné, že je mohli útočníci zneužít k spuštění závadného kódu nebo ukradení informací. Stejné chyby, jaké mají aplikace v Apple TV, přitom již firma řešila u stejných aplikací v jiných operačních systémech.
Útok DROWN využívá staré chyby v SSLv2
2.3.2016 Počítačový útok
Informace o útoku nazvaném DROWN (Decrypting RSA with Obsolete and Weakened eNcryption) zveřejnil mezinárodní výzkumný tým 1. března. Využívá 17 let staré chyby v dnes již překonaném, ale stále používaném protokolu SSLv2.
„Jde o vážnou zranitelnost, která se dotýká protokolu HTTPS a dalších služeb závisejících na SSL a TLS, tedy klíčových šifrovacích protokolů nezbytných pro zabezpečení na internetu,“ uvádí autoři studie (dostupná v PDF). „Zranitelné mohou být webové stránky, mailové servery a jiné služby, které protokol TLS využívají,“ dodává český Národní bezpečnostní tým.
Zranitelné jsou ty servery, které:
povolují zastaralý protokol SSLv2
využívají klíč, který je zároveň využit serverem povolujícím SSLv2
Princip útoku DROWN
Princip útoku DROWN: Útočník napadne server požadavky SSLv2 a získá tak údaje, které využije k dekódování dat oběti přenášených přes TLS.Ohrožené jsou servery, které využívají TLS i SSLv2 protokoly, nebo servery, které používají SSLv2 protokol a sdílí klíč s jiným TLS serverem. Celkem je tak zranitelných 33 % webových serverů.
Zobrazit galerii
Podle odhadu autorů je zasažena čtvrtina až třetina všech internetových serverů. „Tento problém je srovnatelný s chybou Heartbleed (více o Heartbleed zde). I v tomto případě může dojít k dešifrování komunikace,“ uvedla pro Technet.cz Zuzana Duračinská, bezpečnostní analytička sdružení CZ.NIC.
Po celém světě jsou zranitelné miliony serverů. V České republice jsou to tisíce. „Podle informací, které jsme včera obdrželi, se problém týká téměř třinácti tisíc IP adres,“ řekla Duračinská. „Všechny provozovatele těchto adres jsme již o tomto problému informovali.“
Řešení: okamžité i dlouhodobé
Každý provozovatel webových serverů si může ověřit, zda je jeho server napadnutelný útokem DROWN. Nejjednodušší ochranou je zakázat protokol SSLv2 na všech serverech. Některé webové servery (např. Microsoft IIS od verze 7.0) a knihovny (např. OpenSSL od verze 1.0.2g) jsou takto již nastavené, u jiných je potřeba toto nastavení upravit.
Uživatelé nemohou pro svou ochranu v tuto chvíli udělat nic, na straně klienta není proti útoku DROWN obrany. Maximálně se mohou vyhýbat serverům, které nejsou zabezpečené. To nám potvrdila i Duračinská: „Na straně uživatelů bohužel není možné se jakkoliv bránit. Potřebná opatření musí udělat dotčení provozovatelé služeb.“
Dlouhodobé řešení vidí autoři studie v pečlivém zavírání bezpečnostních chyb, odstřihávání zastaralých protokolů a knihoven a omezení opakovaného využívání bezpečnostních klíčů. V současné době ale podle nich „finanční politika certifikačních autorit povzbuzuje firmy k tomu, aby si nakoupily nejmenší možný počet bezpečnostních certifikátů.“
Hacking Team, který dodává sledovací nástroje vládám je zpět. Experti objevili nový malware pro OS X
2.3.2016 Zdroj: Živě Viry
Hacking Team je italskou společností, která mimo jiné provozuje malware-as-service. V rámci služeb tedy nabízí třeba sledování pro soukromé subjekty, ale i státní orgány. Minulý rok jsme o něm psali v souvislosti s únikem dat, který odhalil, že si služby Hacking Teamu platí i česká policie. Od té doby se zdála být činnost společnosti utlumená. Nyní však experti objevili nový vzorek malwaru pro OS X, za nímž s největší pravděpodobností rovněž stojí nechvalně proslulí Italové.
Škodlivý kód byl nalezen prostřednictvím služby VirusTotal patřící Googlu, která se stará o online kontrolu souborů. Obsahuje celkem 56 antivirových služeb, které nahraný soubor překontrolují. V době psaní článku vyhodnotilo tento soubor jako malware 19 služeb a například McAfee nebo Security Essentials od Microsoftu jej považují za bezpečný.
V infikovaném OS X se nachází složka ~/Library/Preferences/8pHbqThW/ a v ní soubor Bs-V7qIU.cYL (zdroj: Patrick Wardle)
O analýzu se postaral expert na reverzní inženýrství Pedro Vilaça. Ten našel v kódu jasné stopy vedoucí k předchozím vzorkům Hacking Teamu. Především potom ve způsobech, které jsou využité pro skrytí malwaru v systému. Samozřejmě existuje šance, že jiná skupina nebo hacker využil uniklých kódů Hacking Teamu a postavil na nich vlastní malware. Pravděpodobnost je však velmi nízká, neboť i IP adresy vedoucí z aktuálního vzorku souvisí s italskou společností.
Šifrování nechápou ani brazilské úřady. Ve vězení skončil viceprezident Facebooku/WhatsApp
2.3.2016 Zabezpečení
Zatímco se ve Spojených státech řeší kauza FBI vs. Apple, v níž odmítá technologický gigant zpřístupnit zašifrovaný obsah telefonu, v Brazílii posunuly úřady podobný spor ještě dál. Doplatil na to viceprezident Facebooku pro Latinskou Ameriku, který má na starosti komunikátor WhatsApp. V úterý jej podle Fortune zatkla policie a skončil ve vazbě.
Důvodem je podobný postoj jako v případě Applu. Provozovatelé aplikace WhatsApp, jež komunikaci šifruje, odmítli zpřístupnit policii komunikaci několika podezřelých. Vydat ji samozřejmě nemohli – na serverech služby je zašifrována. To však brazilským úřadům nezabránilo v tom, aby tento postup označili za maření vyšetřování.
Prvním zásahem bylo odstavení služby na 48 hodin loni v prosinci. Nyní to odnesl vysoký manažer, který byl zadržen při cestě do kanceláře. V prohlášení brazilské policie je uvedeno jako důvod opakované nedodržování nařízení soudu. Ten vyšetřoval několik případů obchodu s drogami.
Hackeři ISIS se netrefili, místo Googlu sestřelili web nabízející SEO
2.3.2016 Hacking
Hackerská skupina Cyber Caliphate Army (CCA) navázaná na teroristickou organizaci ISIS se nechala slyšet, že se hodlá zaútočit na samotný Google. Prostřednictvím sítě Telegram ohlásila útok na pondělí, jenže nejnavštěvovanější web zůstal pochopitelně nedotčený. Místo něj to však odnesl web Add Google Online, který se specializuje na optimalizaci stránek pro vyhledávače (SEO). Informoval o tom Newsweek.
Útok na Google odnesl web indické společnosti Add Google Online
Na napadeném webu se objevilo logo skupiny obsahující vlajku ISIS s všeříkajícím nápisem HackedBy:CCA. Ačkoliv nemá společnost registrovaná v Indii s Googlem nic společného, přesto si ji útočníci vybrali. Podobně v minulosti útočili na web společnosti zabývající se solární energií, stránky japonské tanečnice nebo firmy prodávající laminátové podlahy. Podle odborníků tím organizace napojená na ISIS chce především demonstrovat rostoucí sílu, která by mohla být v budoucnu použita k útoku na důležitější cíle.
Z napadeného webu Add Google Online se mezi tím stalo pískoviště pro další hackerské skupiny. Aktuálně ji má pod kontrolou n3far1ous a po otevření webu najdete dialogové okno s nápise Eat this ISIS.
Hacknutý web Linux Mint šířil napadenou verzi systému
2.3.2016 Hacking
Stovky lidí si stáhly Linux Mint doplněný o škodlivý kód, zadní vrátka. Útočník je chtěl využít pro vybudování botnetu.
Linux Mint měl před týdnem hacknutý web a lidé, kteří si odtamtud stáhli tuto (třetí nejpopulárnější) distribuci Linuxu, si ve skutečnosti stáhli upravený Mint obsahující backdoor. Pokud vám to připadá nemožné, tak bohužel. Stačí se podívat na Beware of hacked ISOs if you downloaded Linux Mint on February 20th!
Podstatné je, že k napadení došlo, ale velmi rychle se na něj přišlo. Hacker ovlivnil pouze Linux Mint 17.3 Cinnamon ISO a pouze 20. února 2016 (berte v úvahu US časovou zónu).
Napadenou verzi bylo možné stáhnout pouze jako ISO „odkazem z webu“, pokud jste tedy ke stahování používali torrent nebo stahovali přímo z Linuxmint.com (ne přes odkaz na něm), napadenou verzi nemáte. Ověřit si, co jste si případně stáhli, je možné pomocí MD5 kontrolního součtu (najdete je ve výše uvedeném oznámení). Případně podle přítomnosti /var/lib/man.cy v systému.
Podle hackera, který používá jméno „Peace“, si upravený Mint stáhlo několik set lidí, což je poměrně dost, celodenní počet stažení v ten den měl být něco přes tisícovku. Mimo téhle patálie hacker uvádí, že se mu podařilo dvakrát získat i kompletní kopii fóra z webu, jednu z 28. ledna, druhou z 18. února. V té jsou osobní informace uživatelů – e-maily, data narození, profilové obrázky a kódovaná hesla. Ta jsou kódována pomocí PHPass a tím pádem je možné získat jejich čitelnou podobu.
Pokud jste tedy používali fórum na Linux Mint webu, považujte raději vaše tamní heslo za veřejně dostupné. Nejenom proto, že kompletní dump se objevil na dark webu a obsahuje přes 70 tisíc údajů o účtech. Dobrá zpráva je, že haveibeenpwned.com vám umožní zjistit, zda došlo k úniku právě vašeho hesla.
Podle Hacker explains how he put „backdoor“ in hundreds of Linux Mint downloads je „Peace“ sólovým hráčem, který nemá žádné spojení s hackerskými skupinami. Na web Linux Mint se mu podařilo dostat přes zranitelnost, kterou objevil v lednu. 20. února pak nahradil ISO vlastní modifikovanou podobu (velmi pravděpodobně nikoliv ISO přímo na serveru, ale jen odkaz na něj ze stránky s odkazy na stažení, plyne z ostatních informací). Aby se pojistil, tak pozměnil i informace o kontrolních součtech (MD5). Motivací mělo být to, že si chtěl z napadených počítačů vytvořit botnet, k čemuž měl použít známý a snadno použitelný malware jménem Tsunami.
Pokud se vám podařilo v uvedený čas (sobota 20. února, s ohledem na časový posun může jít u nás až o neděli 21. února) stáhnout napadenou verzi Mintu, tak ISO zahoďte, stejně jako případné vypálené DVD. Máte-li už systém nainstalovaný, tak virtuál zlikvidujte, stejně jako případnou USB klíčenku. Instalace na počítači je také ztracená, může tam být cokoliv dalšího, takže vás čeká čistá instalace.
Chrání EU dostatečně naše data? Podle muže, který „porazil Facebook“ ne…
2.3.2016 Bezpečnost
Evropská komise zveřejnila detaily dohody o ochraně dat, uzavřené s USA, tzv. Privacy Shield. „Štít“ nahrazuje dohodu známou jako Safe Harbor, kterou loni v říjnu smetl ze stolu Soudní dvůr Evropské unie, a nastavuje rámec pro přenos osobních dat Evropanů do USA.
Dohoda má zajistit, že osobní data občanů Evropské unie budou v zámoří chráněna stejným způsobem jako v Evropě, tedy jako dle unijního práva. Než nabude platnosti, mohou se k ní ještě členské státy EU, jakož i zástupci států pro ochranu dat, vyjádřit.
Její součástí je mimo jiné závazek k vytvoření postu ombudsmana pro stížnosti občanů EU v souvislosti se sledováním jejich komunikace a internetových aktivit ze strany USA.
Na dohledu nad dodržování pravidel se přitom mají podílet i společnosti sdružené pod hlavičkou DigitalEurope, jako jsou Apple, Google či Microsoft.
„Naše společnosti se zavazují k vysokému stupni ochrany dat během zaoceánských přenosů a také k rychlému zavedení nových pravidel,“ uvedl John Higgins, generální ředitel DigitalEurope.
„Privacy Shield poskytne silnou ochranu soukromí a zákonné jistoty pro podnikatele, a zároveň prohloubí vzájemnou důvěru mezi Amerikou a Evropou,“ uvádí za „druhou stranu“ pro změnu Computer and Communications Industry Association.
Ne každého však nová dohoda uspokojuje. Výhrady má například rakouský právník Max Schrems, který ochranu osobních dat kritizuje dlouhodobě a jehož soudní bitva s Facebookem, ve finále vedla ke konci Safe Harbor.
„Evropská unie a USA se snaží zkrášlit prase vrstvami rtěnky, ovšem klíčové problémy zůstávají nevyřešené,“ nebere si servítky.
A upozorňuje například na to, že i navzdory dohodě mohou zámořské tajné služby sledovat evropské občany v celkem šesti vymezených případech, například při podezření z terorismu či špionáže.
„USA tak vlastně otevřeně přiznávají, že porušují pravidla Evropské unie přinejmenším v šesti případech,“ poukazuje Schrems.
Dokument k Privacy Shield je zatím přístupný pouze anglicky, v případě zájmu si jej však můžete přečíst zde.
Sandboxing Sophosu dokáže zablokovat i pokročilé hrozby
1.3.32016 Zabezpečení
Své řešení Email Appliance rozšířil Sophos o Sandstorm, technologii sandboxingu, která podle něj umožňuje detekci, zablokování i vyřešení i sofistikovaných a neustále se měnících hrozeb.
Sandstorm zajišťuje ochranu proti pokročilým hrozbám typu APT (advance persistent threat) i proti malwaru využívajícímu dosud nezveřejněné zranitelnosti (tedy tzv. zero-day threat).
Současný malware je podle Sophosu navržený tak, aby útočil nenápadně a pomalu a zůstal běžnými prostředky neodhalený, přičemž k zabránění, nebo alespoň oddálení detekce využívá polymorfní i maskovací techniky.
Sandstorm využívá cloudovou technologii, která tyto typy hrozeb izoluje a řeší ještě před jejich proniknutím do podnikové sítě. IT manažeři navíc mají k dispozici podrobné přehledy o chování hrozeb i výsledcích analýz, díky kterým mohou v případě potřeby dále zkoumat jednotlivé bezpečnostní incidenty a přijímat odpovídající opatření.
Technologie Sandstorm tak představuje další vrstvu pro bezprostřední detekci i ochranu. Běžné technologie jsou zpravidla velmi nákladné a pro implementaci i monitoring vyžadují další znalosti z oblasti bezpečnosti. To prý v případě nové technologie Sophosu neplatí.
Sandstorm přitom identifikuje potenciálně nebezpečné chování napříč různými operačními systémy včetně Windows, Mac i Android, a to ve fyzických i virtualizovaných prostředích, v síťové infrastruktuře, v mobilních aplikacích, v elektronické poště, v PDF i wordových dokumentech i ve více než dvou desítkách souborů dalších typů.
Novinka je k dispozici i jako rozšíření řešení pro ochranu webů Web Appliance, které kontroluje obsah webových stránek a blokuje i nejnovější webové hrozby, a také v rámci systému UTM 9.4.
Facebook a Twitter v nebezpečí? Islámský stát vyhrožuje
1.3.2016 Sociální sítě
Vedoucí pracovníci sociálních sítí se stali novým terčem bojovníků samozvaného Islamského státu. Důvodem jsou pokračující snahy o narušení jeho komunikačních a náborových kanálů.
Poprvé se teroristická skupina, zřejmě pod vlivem pokusů sociálních sítí zamezit extremistické komunikaci, odhodlala k přímým výhružkám na výkonné ředitele Facebooku a Twitteru.
V pětadvacetiminutovém videu nazvaném „Flames of the Supporters“ (Ohně přívrženců), publikovaném skrze ruský instant messaging software Telegram, se nacházejí fotografie spoluzakladatele Facebooku Marka Zuckerberga a CEO Twitteru Jacka Dorseyho s digitálně vloženými dírami od kulek. Video zveřejnila divize Sons Caliphate Army, což je domnívaná hackerská skupina Islámského státu.
Kromě toho teroristé zesměšnily snahy sociálních sítí blokovat teroristické skupiny od užívání svých služeb. Ve videu se objevují zmínění hackeři, vkládající propagandu a chlubící se, že hacknuli více než 10 000 facebookových účtů a přes 5000 twitterových profilů.
Videa si poprvé všiml časopis Vocativ, který též ohlásil, že na konci videa je učiněna přímá výhružka Zuckerbergovi a Dorseymu.
„Každý den hlásíte, že blokujete mnoho našich účtů, a k vám my říkáme: To je vše, co umíte?“ Vysmívají se islamističtí hackeři skrze text na videu. „Nedosahujete naší úrovně… když zavřete jeden účet, my si jich na oplátku deset vezmeme a brzy budou vaše jména smazána z vašich stránek, s vůlí Alláhovou, a vy poznáte, že to, co říkáme, je pravda.“
Facebook i Twitter se odmítly k videu vyjádřit. Obě společnosti však daly najevo, že i nadále budou bránit teroristickým skupinám v užívání svých služeb.
Zuckerberg se vyjádřil podobně například na letošním Mobile World Congressu v Barceloně, kdy prohlásil, že nechce, aby teroristé užívali Facebook k přilákání a výcviku nových rekrutů, ani k opěvování útoků.
Twitter zase v únorovém příspěvku na vlastním blogu sdělil, že zablokoval přes 125 tisíc účtů od poloviny roku 2015, a to jen za vyhrožování či za podporu terorismu – většinou souvisejících s Islámským státem. Společnost také vyjádřila snahu o lepší a rychlejší kontrolu oznámení o teroristech užívajících její síť.
„Odsuzujeme užívání Twitteru k podpoře terorismu a pravidla Twitteru jasně říkají, že tento druh chování, stejně jako jakékoli násilné výhružky, není na naší službě povolen,“ napsala společnost v příspěvku.
S viditelnými pokusy obou sociálních sítí o potlačení schopnosti IS fungovat na sítích není překvapivé, že teroristé vrací úder, tvrdí Dan Olds, analytik pro The Gabriel Consulting Group.
„Oba, Zuckerberg i Dorsey, vedou silné sociální sítě, které hrály důležitou roli v náborových snahách Islamského státu,“ řekl Olds. „Když se tyto společnosti snaží IS vyřadit ze hry, není překvapením, že ten odpoví výhružkami.“
Poslední výhružky ovšem zcela zavrhl a prohlásil, že nic nezmění na snahách Facebooku a Twitteru.
„Šlo by však o úplně jinou situaci, kdyby se udál fyzický, organizovaný útok na jednu ze společností nebo její zaměstnance,“ pokračuje Olds. „Úspěšný útok by bohužel mohl věci dost změnit. Ale myslím, že obě společnosti pravděpodobně zvýšily zabezpečení ve světle těchto výhružek; takže provést úspěšný útok by určitě nebylo snadné.“
Jeff Kagan, nezávislý IT analytik, řekl, že předpokládá zvýšení zabezpečení u obou společností, ale nemá dojem, že by se změnilo i něco dalšího.
„Problém je, že nevíme, co brát vážně, a co ne,“ řekl. „Domnívám se, že pokud toto je cesta, jíž se bude situace dál ubírat, nezbývá nám, než se připravit a pokračovat dál v této nové realitě.“
Analytik Zeus Kerravala souhlasí: „Jak Facebook, tak Twitter jsou velké nástroje náboru pro Islámský stát, takže Zuckerberg a Dorsey bezprostředně ohrožují jeho růst.“
Policie si došlápla na nelegální weby. Razie proběhla v sedmi zemích
1.3.2016 Bezpečnost
Rozsáhlou razii proti provozovatelům a uživatelům nelegálních internetových stránek provedla minulý týden policie v sedmi evropských zemích. Prohledala 69 bytů a firem a zadržela devět podezřelých. S odvoláním na německý Spolkový kriminální úřad (BKA) o tom informovala agentura DPA.
Koordinovaná akce se uskutečnila minulé úterý a středu kromě Německa také v Bosně a Hercegovině, Švýcarsku, Francii, Nizozemsku, Litvě a Rusku. Policisté se při akci zaměřili na obchod se zbraněmi, drogami, falšovanými penězi a dokumenty provozovaný prostřednictvím internetových platforem.
Někteří ze zadržených jsou kromě obchodování podezřelí rovněž z toho, že záměrně infikovali cizí počítače škodlivými programy, kradli důvěrná data jako například informace k bankovním účtům a že nabízeli ilegálně streamovací služby či návody na páchání trestných činů.
Hlavním podezřelým je podle německé policie 27letý občan Bosny a Hercegoviny, který je od minulé středy ve vazbě. Od roku 2012 hrál údajně klíčovou roli při provozu nelegálních stránek. Tři Němce a dva Syřany, kteří s ním spolupracovali, zadrželi policisté v Německu. Zabavili u nich množství počítačů a zbraní, celkem téměř 40 kilogramů drog a značnou hotovost.
Úřady nemohou Apple nutit, aby odkódoval iPhone, míní soudce
1.3.2016 Mobilní
Americké ministerstvo spravedlnosti nemůže nutit počítačový gigant Apple, aby Federálnímu úřadu pro vyšetřování (FBI) umožnil přístup k datům v iPhonu při vyšetřování drogového případu v Brooklynu. V pondělí to prohlásil newyorský soudce James Orenstein, uvedla agentura AP. Nedávno přitom soud v Kalifornii Applu nařídil, aby umožnil úřadu přístup k datům v kauze zabijáka ze San Bernardina.
Měl by Apple zpřístupnit data ve svých přístrojích úřadům v případě vyšetřování?
Loni v říjnu soudce Orenstein vystoupil s tím, že novelizovaný zákon z roku 1789, který úřad v souvislosti s vyšetřováním organizovaného zločinu používá, nelze na společnost Apple vztáhnout. Podle právníků od té doby počítačový gigant odmítl žádost o spolupráci v tomto smyslu už nejméně v šesti případech v Kalifornii, Illinois, Massachusetts a v New Yorku.
Orenstein pak podle svého přesvědčení postupuje i v dalších případech, z nichž jeden se týká i rutinního vyšetřování dealera metamfetaminu.
Přístup Applu je jeho příznivci v hojné míře podporován, kvůli kauze odblokování iPhonu střelce ze San Bernardina dokonce uspořádali několik demonstrací. Stanovisko počítačového gigantu se totiž podle nich úzce dotýká svobody každého z nich, která by byla prolomením zabezpečení kvůli získání přístupu k datům ze strany úřadů porušena.
FBI se snažila do uzamčeného iPhonu dostat celé dva měsíce. Útočník ze San Bernardina měl ale svůj iPhone nastavený tak, aby se po zadání deseti nesprávných přístupových hesel automaticky vymazal, s čímž si bezpečnostní experti z FBI evidentně nedokázali poradit.
Vyšetřovatelé proto chtějí nyní po Applu, aby jim udělal „zadní vrátka“ do systému iOS. Ten využívají nejen chytré telefony iPhone, ale také počítačové tablety iPad.
Problém je ale v tom, že implementací takového nástroje do zmiňované mobilní platformy by byla FBI schopna obejít zabezpečení prakticky jakéhokoliv iPhonu nebo iPadu v budoucnosti. A nehraje roli, zda by šlo o přístroj teroristy nebo běžného občana.
Apple TV je děravá jako ementál. Odhaleny byly desítky nebezpečných chyb
29.2.2016 Zranitelnosti
Více než šest desítek bezpečnostních trhlin bylo objeveno v multimediálním centru Apple TV. Některé z objevených trhlin mohli počítačoví piráti zneužít k průniku do zmiňovaného zařízení. Opravy trhlin jsou však již k dispozici.
Nebezpečné chyby se týkají multimediálních center, ve kterých běží starší operační systém tvOS, než je verze 7.2.1. Právě toto vydání obsahuje záplaty pro všechny odhalené zranitelnosti.
Trhliny se týkaly takřka dvou desítek předinstalovaných aplikací, ale například i samotného jádra této televizní platformy, uvedl server Security Week.
Piráti mohli uživatele klidně i odposlouchávat, aniž by si toho všiml
Chyby mohli kybernetičtí nájezdníci zneužít k tomu, aby se dostali k uloženým citlivým informacím, aby způsobili pád určitých aplikací, případně aby spustili libovolný škodlivý kód. To jinými slovy znamená, že mohli uživatele klidně i odposlouchávat, aniž by si toho všiml.
Žádné zneužití chyb ze strany počítačových pirátů však zatím nebylo prokázáno. Přesto bezpečnostní experti upozorňují, že riziko nebylo malé.
Aktualizace přišly až po roce
Problém byl podle bezpečnostních expertů především v tom, že Apple nezáplatoval nebezpečné díry průběžně.
Předchozí verze vyšla loni v dubnu, tedy v podstatě téměř před rokem. Proti tomu například aktualizace pro iPhony a iPady jsou vydávány skoro každý měsíc. Kyberzločinci díky tomu nemají tolik času si systém pořádně „proklepnout“.
Apple TV je v podstatě malá krabička, která je vybavena wi-fi modulem, ethernetovým portem a HDMI výstupem. U televizoru nahrazuje funkce multimediálního centra, do nejnovější verze je ale navíc možné instalovat i aplikace. Nechybí v ní ani virtuální asistentka Siri.
Za ukradená data platí oběti hackerů i miliony dolarů
29.2.2016 Hacking
Pokud by citlivá data firem unikla na internet, mohlo by je to snadno zničit. V minulém roce se mohutně rozšířil nový, znepokojivý trend u kyberútoků: vydírání.
Jen za poslední rok zaplatily některé společnosti přes milion dolarů jako úplatek za mlčení. Kyberútočníci si navykli ukrást citlivá data a hrozit, že je zveřejní online v případě nezaplacení, říká Charles Carmakal, viceprezident skupiny Mandiant, spadající pod protimalwarovou bezpečnostní firmu FireEye.
„Jsme svědky situace, kdy si zloděj úmyslně vybere konkrétní společnost, ukradne její data, zkontroluje je a zná jejich hodnotu,“ pokračuje Carmakal. „Viděli jsme sedmimístné platby od firem, které se bojí uveřejnění svých citlivých údajů.“
Skupina Mandiant ve čtvrteční zprávě zběžně popsala praktiky útočníků, s tím, že manažeři firem jsou někdy hackery dokonce zesměšňováni.
Vydírací útoky jsou ještě sofistikovanější než tzv. ransomware, jako je např. Ctryptolocker: Malware, který zašifruje soubory v počítači a pro jejich zpřístupnění musí majitel zaplatit danou cenu v bitcoinech.
Ač ransomware útoky mohou být zdrcující ve své přímočarosti, obvykle je nutno zaplatit „pouze“ několik stovek dolarů. I tak se ovšem několikrát povedlo hackerům získat vyšší částky.
Součásné vyděračské útoky jsou však mnohem propracovanější a mohou být velice nebezpečné, obzvláště pro velké firmy. Carmakal soudí, že pokud by hackeři zveřejnili některé z ukradených dat, mohli by společnost zcela vyřadit ze hry.
„Realita je, že hodně lidí zaplatí,“ říká.
Pro skupinu jako Mandiant, která zkoumala velké úniky dat u společností jako Target, Home Depot nebo Anthem, může být dost těžké firmám poradit, co v dané situaci udělat, pokračuje Carmakal.
Útočníci často nedávají dostatek času, aby se ověřilo, jestli hackeři blafují, nebo ne. A jsou tací, kteří ve skutečnosti daná data nemají a jen takto shání peníze.
„Co potřebujeme je důkaz, že někdo skutečně má přístup k těm datům,“ říká Carmakal. „Přesvědčíme je, aby nám poslali vzorek, nebo provedeme co nejrychlejší možné vyšetřování.“
Pokud skupina odhalí, že někdo skutečně slídil okolo a s největší pravděpodobností data má, přichází velice těžké a složité rozhodnutí: Protože i když firma zaplatí, nikdo negarantuje, že útočníci přesto data nevypustí do světa.
„Rozhodně existuje riziko v nezaplacení, ovšem stejně tak riziko v zaplacení,“ dodává Carmakal. „Cíl každého je, že firma zaplatí a útočníci smažou ukradená data; ale to, že tak skutečně učinili, vám nikdo nepotvrdí.“
V srpnu se roztrhl pytel s ransomwarem
1.10.2016 SecurityWorld Viry
Check Point Software Technologies zveřejnil nejnovější Index hrozeb, podle kterého došlo v srpnu k nárůstu variant ransomwaru a počtu malwarových útoků na podnikové sítě.
Zároveň byl zveřejněn i žebříček zemí, které jsou nejčastěji terčem kyberútoků. Česká republika se v srpnu umístila na 88. pozici, což je pokles o 12 míst a posun mezi bezpečnější země. Slovensko se umístilo stejně jako v červenci na 77. pozici. Například Litva se naopak posunula mezi nebezpečnější země z 81. na 39. pozici. Na prvním místě se v Indexu hrozeb umístila druhý měsíc za sebou Paraguay.
Během srpna rostl počet aktivních ransomwarových rodin o 12 procent a počet detekovaných pokusů o ransomwarové útoky se zvýšil dokonce o 30 procent. Dvě třetiny všech zachycených ransomwarových rodin se během srpna posunuly žebříčkem hrozeb, většina z nich nejméně o 100 pozic. Podle Check Pointu je nárůst ransomwaru příznakem relativně snadného masového nasazení jakmile je nějaká varianta vytvořena, a důvodem nárůstu je také počet organizací, které za uvolnění důležitých dat radši zaplatí výkupné.
Pro kyberzločince se tak jedná o lukrativní a atraktivní způsob útoku. Pátý měsíc za sebou byl HummingBad nejběžněji používaným malwarem k útokům na mobilní zařízení, ale počet detekovaných incidentů klesl o více než 50 procent.
Check Point zjistil, že počet unikátních a aktivních malwarových rodin byl podobný jako v předchozím měsíci, takže použití škodlivého kódu zůstává na velmi vysoké úrovni. Conficker byl v srpnu zodpovědný za 14 procent všech detekovaných útoků. Malwarová rodina JBossjmx byla zodpovědná za 9 procent zaznamenaných útoků a Sality také za 9 procent. Celkově bylo Top 10 malwarových rodin zodpovědných za 57 procent všech identifikovaných útoků:
↔ Conficker: Červ umožňuje vzdálené operace a stahování malwaru. Infikovaný počítač je pod kontrolou botnetu a je ve spojení s C&C serverem, aby mohl přijímat další pokyny.
↔JBossjmx: Červ, který se zaměřuje na systémy s nainstalovanou zranitelnou verzí JBoss Application Server. Malware vytváří nebezpečnou JSP stránku na zranitelném systému, která vykoná libovolné příkazy. Navíc jsou vytvořena další zadní vrátka, která přijímají příkazy ze vzdáleného IRC serveru.
↔Sality – Vir, který umožňuje útočníkům vzdálené ovládání, stahování a instalování dalších škodlivých kódů do infikovaných systémů. Sality se snaží maskovacími technikami vyhnout detekci a působit tak v systému co nejdéle.
Mobilní malwarové rodiny představovaly i v srpnu významnou hrozbu pro podniková mobilní zařízení. Tři nejrozšířenější mobilní malwarové rodiny byly:
↔ HummingBad: Malware se zaměřuje na zařízení se systémem Android a vytváří trvalý rootkit na zařízení, instaluje podvodné aplikace a umožňuje další škodlivé aktivity, jako například instalace keyloggeru, krádež přihlašovacích údajů a obcházení šifrování e-mailů pro lepší zachycení podnikových dat.
↔ Ztorg: Trojan, který využívá root oprávnění ke stažení a instalaci aplikací na mobilním telefonu bez vědomí uživatele.
↑Triada: Modulární backdoor pro Android, který poskytuje práva superuživatele pro stažení malwaru a jeho vložení do systémových procesů. Triada také umí vkládat falešné URL odkazy do webového prohlížeče.
„Společnosti čelí v souvislosti s ransomwarem absurdní situaci. Pokud výkupné nezaplatí, mohou přijít o důležitá data a cenná aktiva. A pokud zaplatí, jen povzbudí kyberzločince, aby dále využívali tuto lukrativní útočnou metodu,“ říká Nathan Shuchami, ředitel prevence hrozeb ve společnosti Check Point. „Počet aktivních malwarových rodin je i nadále velmi vysoký, protože útočníci cílí na cenná podniková data. Rozsah problému, kterému organizace čelí při ochraně sítě před kyberzločinci, umocňuje šíře útočných metod používaných různými ransomwarovými rodinami.“
Check Point analyzoval i malware v České republice a znovu je na prvním místě Conficker.
Top 10 malwarových rodin v ČR – srpen 2016
Malwarová rodina
Popis
Conficker
Conficker je počítačový červ, který se zaměřuje na operační systém Windows. Využívá zranitelnosti v operačním systému a zkouší odhadnout administrátorské heslo pro další šíření a vytvoření botnetu. Infekce umožňuje útočníkovi získat přístup k osobním údajům uživatelů, jako jsou bankovní údaje, čísla kreditních karet nebo hesla. Červ původně cílil na uživatele komunikačních stránek, jako jsou Facebook, Skype a e-mailové stránky.
Cryptowall
Cryptowall je hlavní ransomwarový trojan, který šifruje soubory na infikovaném počítači a pak žádá po uživatelích zaplacení výkupného za dešifrování. Šíří se prostřednictvím škodlivých reklamních a phishingových kampaní. Cryptowall se poprvé objevil v roce 2014.
Zeus
Zeus je široce rozšířený trojan zaměřený na Windows a nejčastěji je používá ke krádežím bankovních přihlašovacích údajů. Je-li stroj infikován, malware posílá informace, například přihlašovací údaje k účtu, útočníkům pomocí řetězce C&C serverů. Trojan je také používán k distribuci ransomwaru.
Zeus byl poprvé identifikován v červenci 2007, kdy byl použit ke krádeži informací ze United States Department of Transportation. V průběhu několika příštích let malware infikoval stovky tisíc strojů a stal se jedním z největších světových botnetů. Malware byl distribuován především prostřednictvím e-mailů.
V říjnu 2010 zatkla FBI více než sto lidí na základě obvinění ze spiknutí za účelem spáchání bankovních podvodů a praní špinavých peněz, včetně předpokládaného „mozku“ za celým botnetem - Hamza Bendelladjiho, který byl zatčen v roce 2013. V současné době mnoho kyberzločinců využívá vlastní varianty malwaru Zeus, které se obvykle šíří prostřednictvím phishingu a drive-by downloadem.
Locky
Locky je ransomware, který se zaměřuje na platformu Windows. Malware posílá systémové informace na vzdálený server a přijímá šifrovací klíč pro zašifrování souborů v infikovaném systému. Malware požaduje jako výkupné za odemčení souborů platbu ve formě digitální měny bitcoin. Navíc přidává informaci i do registru, aby jej nebylo možné odstranit restartováním systému.
HackerDefender
HackerDefender je rootkit pro Windows 2000 a Windows XP a může fungovat i na pozdějších verzích Windows NT. Rootkit upravuje různé funkce ve Windows a API, aby se vyhnul detekci bezpečnostním softwarem. HackerDefender je široce rozšířený, protože je volně k dispozici na internetu a lze snadno nainstalovat.
RookieUA
RookieUA je určen ke krádežím informací. Získává informace o uživatelských účtech, jako jsou přihlašovací jména a hesla, a odesílá je na vzdálený server. HTTP komunikace probíhá pomocí neobvyklého uživatelského agenta RookIE/1.0.
CTB-Locker
CTB-Locker je ransomware, který se zaměřuje na platformu Windows. Zašifruje všechna uživatelská data a za dešifrování požaduje platbu. Malware se obvykle šíří jako spam s nebezpečnou přílohou ZIP nebo CAB. Malware je s největší pravděpodobností vyvíjen a distribuován ruskými kyberzločinci a je prodáván většinou také ruským subjektům. Jako označení se používají i další názvy, například Critroni nebo Onion. Písmena CTB ve jméně znamenají „Curve-Tor-Bitcoin“. Elliptic Curve pro šifrování a Tor a Bitcoin pro anonymitu výkupného.
Magnitude
Magnitude EK poprvé plnil titulní stránky novin v říjnu 2013, kdy byli php.net návštěvníky přesměroval na svou stránku. Je aktivní dodnes.
Infekce začíná přesměrováním na stránku malwaru Magnitude.
Vstupní stránka obsahuje maskovaný JavaScript, který zjišťuje zranitelné plug-iny a snaží se je zneužít.
Magnitude zneužívá zranitelnosti ve Flash, Silverlight, PDF a Internet Explorer.
Hotbar
Bepush
Bepush je malwarová rodina, která se skládá ze škodlivých rozšíření pro prohlížeče a nejčastěji se zaměřuje na Google Chrome a Mozilla Firefox. Tato rozšíření se šíří prostřednictvím URL adres na webových stránkách sociálních sítí, které přesměrují prohlížeč na škodlivé stránky obsahující falešný Adobe Flash video plug-iny nebo aktualizace, které infikují oběti malwarem. Rozšíření mohou sledovat, které stránky uživatel navštívil, přesměrovat na nebezpečné webové stránky a zveřejňovat informace na sociálních sítích jménem uživatele.
Útočníci na Facebooku kradou přihlašovací údaje administrátorů stránek a čísla platebních karet
30.9.2016 SecurityWorld Sociální sítě
Podle zjištění společnosti Eset se podvodná aktivita dotkla facebookových stránek v Česku i na Slovensku.
Analytici společnosti Eset zaznamenali podvodné aktivity na Facebooku, které cílí na administrátory stránek. Útočníci se zaměřují na české i slovenské firemní a fanouškovské facebookové profily. Jejich správci jsou varováni, že účet byl ostatními uživateli označen za podezřelý a musí jej obnovit. Falešné varování však obsahuje zároveň odkaz na formulář, díky němuž útočník sbírá přihlašovací údaje a čísla platebních karet svých obětí.
„Pokud na tento odkaz administrátor stránky na Facebooku klikne, čeká ho série kroků, během nichž se ho útočníci snaží přimět k vložení svých přihlašovacích údajů, zodpovězení bezpečnostní otázky a zadání údajů o platební kartě. Po jejich odeslání však veškerá data putují přímo k útočníkovi,“ vysvětluje Miroslav Dvořák, technický ředitel společnosti Eset. „To všechno dělá útočník pod hlavičkou facebookové skupiny nazvané Security, která u oběti vyvolává dojem, že jde o oficiální varování,“ dodává Dvořák.
Útočníci kontaktují administrátory tak, že sdílí statusy vybraných stránek, ke kterým přidají varovný text. Tuto informaci vidí jen administrátoři daných stránek v upozorněních, že jejich status někdo sdílel. Běžní fanoušci vytipovaných stránek proto prvotním cílem útočníka nejsou.
„Motivací útočníka mohou být finanční prostředky z platebních karet nebo prodej získané facebookové stránky s vysokým počtem fanoušků, ke které administrátor ztratil přístup. Prostřednictvím skupin s velkým počtem členů je možné šířit spam, reklamu či hoax, tedy poplašné zprávy, jak jsme informovali už v případě falešných reklam na zlevněné brýle Ray-Ban,“ uzavírá Dvořák.
Jak by se měli chránit administrátoři firemních a fanouškovských stránek na Facebooku:
Neklikejte na podezřelé odkazy ve facebookových zprávách, komentářích a sdíleních příspěvcích. Pokud už jste na takový odkaz klikli, nezadávejte do něj přístupová hesla, osobní údaje nebo údaje o platební kartě. Snažte se používat zdravý rozum.
Administrátoři sociální sítě Facebook mohou mít různé úrovně pravomocí. Pokud je skupina lidí spravujících vaši facebookovou stránku větší, omezte jejím členům tyto pravomoci.
Nezapomínejte chránit všechna zařízení, jejichž prostřednictvím spravujete svoji facebookovou stránku. Pokud jste už nad facebookovou stránkou ztratili kontrolu, kontaktujte Facebook prostřednictvím stránky facebook.com/hacked.
Yahoo hledá viníka za únik dat obřích rozměrů: cizí státy?
29.9.2016 SecurityWorld Kriminalita
Firma svalila vinu za nedávný masivní únik dat (500 milionů zasažených uživatelů) na „státem sponzorovanou akci“. Neřekla však, jak k podobnému závěru došla, ani neposkytla žádné důkazy.
Někteří bezpečnostní odborníci uvažují, proč Yahoo k úniku osobních informací neposkytuje detaily, a ani příliš neodpovídá na dotazy.
„Děje se tu něco divného,“ říká Michael Lipinski, hlavní bezpečnostní analytik ve firmě Securonix.
Na žádost o komentář Yahoo neodpovědělo. Společnost vlastní protokoly, které mohou detekovat státem sponzorovaný hacking uživatelských účtů. V příspěvku na blogu z prosince 2015 firma naznačila svou bezpečnostní politiku a napsala, že v takové situaci bude své uživatele varovat.
„Abychom zamezili útočníkům objevit naše detekční metody, veřejně neposkytneme žádné detaily o těchto útocích,“ napsal v té době hlavní bezpečnostní manažer firmy Bob Lord. Dodal, že společnost pošle uživatelům varování o možném útoku pouze „když budeme mít prakticky jistotu.“
Takříkajíc hodit vinu během silně medializovaného úniku dat na státem sponzorované hackery však může být jen pohodlnou a neověřitelnou metodou, jak se chránit před právními kroky i před poškozením pověsti.
„Pokud bych si chtěl ohlídat záda a vypadat, že mám uvěřitelnou výmluvu, státem placení hackeři by mě napadli jako první,“ myslí si Chase Cunningham, ředitel kybernetických operací u bezpečnostní firmy A10 Networks.
Na státem placené hackery je totiž takový pohled, že jsou nezastavitelní a patří k nejlepším na světě, dodal. Cunningham sám hledá vinu spíše u kybernetických zločinců než u elitní skupiny státem podporovaných hackerů.
„Z tohoto prostě není cítit státní aktivita,“ tvrdí. „Vlády zajímá duševní vlastnictví. Emaily a hesla uživatelů Yahoo jim jsou k ničemu.“
Yahoo ovšem může zadržovat informace i kvůli Verizonu, který jej odsouhlasil za 4,8 miliard amerických dolarů odkoupit.
„Nejsem si jistý, zda teď akvizice proběhne,“ říká Lipinski. Verizon by trasakce mohla stát více peněz, když se bude muset postarat i o následky úniku dat.
„Shodit to na státem sponzorovaného hráče jim (Yahoo) může pomoci,“ domnívá se. „Mohou říct ‘není to naše vina, pojištění to pokryje.‘“
Ačkoli Yahoo neposkytlo mnoho důkazů, někteří bezpečnostní odborníci jeho tvrzením věří. Státem sponzorované hackery považují za dosti reálné útočníky; některou z vlád by mohly zajímat např. emailové účty bojovníků za lidská práva.
Další možností je, že za únik dat může zaměstnanec či blízký spolupracovník firmy, který je ve skutečnosti špionem jiné organizace.
Existuje vícero možných důvodu, proč Yahoo zadržuje informace, dodává Vitali Kremez, analytik kyberkriminality u bezpečnostní firmy Flashpoint.
„Bezpečnostní složky státu mohou na věci pracovat a Yahoo nechce ohrozit vyšetřování,“ říká. „Také může připravovat právní kroky.“
Dle vlastních slov se Yahoo o úniku dozvědělo teprve nedávno – ačkoli samotný hack se udál již na konci roku 2014, tedy před téměř dvěma lety. Strůjci útoky tedy měli spoustu času na zneužití, či prodej, dat.
Pokud státem sponzorování hackeři skutečně Yahoo napadli, Kremez se obává, že poškozené mohly být i další firmy – jen o tom nevědí.
„Potřebujeme větší transparentnost,“ dodává. „Všichni bychom rádi věděli, zda toto nezapadá do nějakého většího vzorce.“
Hackeři napadli mobilní telefony amerických demokratů
28.9.2016 Novinky/Bezpečnost Mobilní
Zahraniční hackeři pravděpodobně napadli mobilní telefony některých představitelů americké Demokratické strany. Je o tom přesvědčen Federální úřad pro vyšetřování (FBI), který kvůli tomu požádal demokraty o umožnění přístupu k jejich telefonům, napsala agentura Reuters.
Hackerský útok proti představitelům demokratů, z nichž někteří podle zdrojů Reuters zastávají i volené pozice, se uskutečnil během posledního měsíce. Podle informací z vyšetřování zřejmě za útokem stojí hackeři z Ruska, které američtí představitelé obviňovali i z dřívější krádeže e-mailů z vedení Demokratické strany.
FBI v souvislosti s útokem žádá politiky, jejichž telefon se stal terčem útoku, aby umožnili vyšetřovatelům přístup ke svým zařízením. Chtějí tak zjistit rozsah škod, které mohli hackeři způsobit.
Hackeři v minulých měsících vykradli e-mailové schránky představitelů Demokratické strany. Korespondence, kterou následně zveřejnil server WikiLeaks, vyplynulo, že vedení demokratů dávalo ve stranických primárkách přednost nynější kandidátce na prezidentku Hillary Clintonové před jejím soupeřem Berniem Sandersem. U mnoha Sandersových stoupenců to vyvolalo pobouření.
V srpnu americká média uvedla, že se terčem hackerského útoku stali i republikáni. Útočníci podle médií umístili škodlivý software do počítačů pracovníků kampaně republikánského kandidáta na prezidenta Donalda Trumpa.
Spamu zase přibývá, je ho nejvíc od roku 2010
26.9.2016 Root.cz Spam
Počet rozesílaného spamu se od začátku roku zněkolikanásobil. Důvody nejsou úplně zřejmé. Může jít o změnu techniky i zvýšenou aktivitu botnetů. Past na spam denně pochytá kolem 270 miliónů e-mailů. Talos, výzkumná bezpečnostní divize společnosti Cisco, informuje o zajímavém trendu, který už bychom v roce 2016 asi nečekali. Od jara do léta letošního roku byl zaznamenán opětovný nárůst množství e-mailového spamu. A to až na hodnoty, které byly naposledy zaznamenány v roce 2010. Např. Composite Block List, respektovaná past na spam, v létě přijímala více než tři tisíce spamových e-mailů za sekundu. Ještě na přelomu roku to přitom bylo cca sedmkrát méně. Viz následující graf.
Že nejde o nějakou anomálii nebo chybu měření, ukazují i další statistiky. Data služby SpamCop ukazují, že počet IP adres zapojených v masivním rozesíláním spamu vzrostl na cca 400 tisíc, což představuje přibližně pětinásobek hodnot zaznamenaných na přelomu roku.
Poslat co nejvíc spamu za pár minut
Vysvětlit tento jev není úplně snadné. Podle výzkumníků z Cisco Talos by ho ale, poněkud paradoxně, částečně mohla způsobovat čím dál větší úspěšnost a sofistikovanost spamových filtrů. Ty totiž nový spam obvykle detekují v řádech několika málo minut a spamer má po srandě. Proto se stává efektivnější rozeslání co nejvíce e-mailů v co nejkratším časovém horizontu.
Místo toho, aby spameři své e-maily lépe cílovali nebo používali sněžnicové techniky, aby zůstali pod radarem, z toho udělali závod. Vyšlou co nejvíce e-mailů, jak je jen technicky možné, v co nejkratším čase, a tak po krátkou chvíli mohou úspěšně doručit nevyžádanou poštu do schránek svých obětí, píše Jaeson Schultz, technický šéf Cisco Talos.
Tuto teorii podporuje také fakt, že kolem poloviny denního objemu spamu tvoří vysokoobjemové kampaně, které rozesílají mnoho miliónů e-mailů. Není výjimkou, že e-mail v jednom znění tvoří třeba deset nebo i více procent celkového denního objemu spamu. Také stojí za pozornost, že během víkendů se objem spamu propadne třeba na 20–30 % hodnot pracovního týdne.
Můžou za to botnety?
Je ale nepravděpodobné, že by zmíněné faktory měly na tak vysoký nárůst spamu až takový vliv. V Cisco Talos dále tipují, že jde do jisté míry o práci obrovského botnetu Necurs. Botnety totiž nejsou úplně hloupé a lidé za nimi trochu využívají i techniky sociálního inženýrství.
Aby Necurs skryl skutečnou velikost botnetu, posílá spam pouze z menší části ovládnutých strojů. Napadený stroj může být použit dva nebo tři dny a poté dva nebo tři týdny zase ne. To značně komplikuje práci lidí, kteří reagují na spamové útoky. Mohou si totiž myslet, že daný infikovaný stroj byl nalezen a vyčištěn, ale ve skutečnosti si darebáci z Necursu jen nechávají čas, než zaútočí znovu a znovu, vysvětluje Schultz.
Růst objemu spamu však stále nemá jasné vysvětlení. A i když odpovíme na otázku jak se to děje, tak to ještě neznamená, že budeme znát i odpověď na otázku proč. Důležité je, že spamové filtry fungují dobře a uživatelé nárůst spamu v doručené poště asi příliš neznamenali. Jen provoz filtrů je teď poněkud nákladnější.
Největší DDoS útok v historii, internet věcí útočí
27.9.2016 SecurityWorld Počítačový útok
Soustředit se na zabezpečení internetu věcí by se nyní mělo stát prioritou; pro jeden z největších distribuovaných DoS útoků v historii útočník využil botnet až milionu infikovaných počítačů a zařízení internetu věcí.
Botnet obřích rozměrů, tvořený hacknutými, k internetu připojenými chytrými zařízeními typu kamery, žárovky a termostaty, zaútočil na účet bezpečnostního bloggera, spadajícího pod velkou americkou IT firmu Akamai. Ta mu nakonec musela účet zrušit, neboť jeho obrana zabrala příliš mnoho zdrojů.
Nebylo to tak, že by se firma nepokoušela útoku bránit – tři dny tak činila – ale nakonec se vlivem vysokých finančních nákladů vzdala a zákazníkovi musela účet zrušit, popisuje Andy Ellis, hlavní bezpečnostní manažer firmy.
Akamai tedy zrušila ochranu blogu Briana Krebse „Krebs on Security“, který zůstává nedostupný. Provoz v době útoků činil 665 Gb/s a web zcela zahltil. Velikost útoku je téměř dvojnásobná oproti jakémukoli jinému, který kdy firma zažila.
Analýza botnetu internetu věcí generujícího takový datový provoz podle Ellise zabere určitý čas, ale mohl by vést k lepším obranným nástrojům na zmírnění následků útoku.
Dopad je podobný jako v roce 2010, kdy Anonymous útočili pomocí open-source programu LOIC nebo jako v roce 2014, kdy DDoS útoky dočasně poškodily servery hostingových služeb Joomla a Wordpress.
Lekce pro podniky dle Ellise spočívá v tom, že současné formy ochrany proti DDoS útokům se musí zlepšit, aby se weby zvládly ubránit i vyšším objemům dat.
Internet věcí musí zapracovat na zabezpečení
Podle firmy Akamai stojí za útokem na web Briana Krebse velký botnet, složený primárně ze zařízení internetu věcí. Použito dokonce bylo takové množství zařízení, že útočník ani nemusel využívat běžné taktiky, využívané na zvýšení efektivity jednotlivých přístrojů, sdělil Ellis.
Přesný počet zařízení zneužitých k útoku zatím není znám, ale mohl by snadno dosahovat jednoho milionu.
„Stále se snažíme odhadnout velikost,“ říká Ellis. „Myslíme si, že jde o přehnaný odhad, ale nakonec se může ukázat, že není daleko od pravdy.“
S předpokládaným množstvím zařízení internetu věcí dosahujícího 21 miliard v roce 2020 by velikost botnetů, tvořených těmito relativně nechráněnými přístroji, mohla dosáhnout gigantických rozměrů, myslí si Dave Lewis, významný bezpečnostní odborník Akamai. Sdělil to během čtvrteční konference Security of Things Forum v Cambridgi v Massachussetts.
„Co když útočník do zařízení vpraví kód, aby vytvořil Fitbit botnet?“ Naráží na slavné fitness náramky Lewis. Výzkumníci prokázali, že bezdrátově nahrát do Fitbitu malware jde do 10 sekund, takže nejde o přehánění. Zabezpečení zařízení internetu věcí je skutečně chabé, pokud vůbec existuje.
Některé z přístrojů zjištěné během útoku využívaly klienty, které standardně běží na kamerách.
„Možná jde o podvod, ale možná do útoku opravdu zasáhly kamery,“ věří Lewis. „Jsou tu náznaky, že se v botnetu nacházela zařízení internetu věcí, a ne v malém množství.“
Útočník ani nevyužil klasické metody zesílení distribuovaného DoS útoku typu odražení, takže šlo o legitimní http requesty, potvrdil Ellis.
Mnoho informací o útoku je stále nejasných nebo neznámých. Kdo útočil nebo jaké metody útočník použil k ovládnutí jednotlivých zombie, se lze jen domnívat.
Akamai kontaktovali i jiní poskytovatelé, kteří zažili podobné útoky v menším rozsahu. Z části šlo o herní stránky, o útocích na něž Krebs psal; dle Ellise zde může existovat souvislost.
Firma útok zanalyzuje a vyvine nástroje pro boj s podobnými útoky, dodává.
Poškozený blogger Krebs po útoku o vynuceném smazání jeho účtu tweetnul:
„Nemohu Akamai vinit z jejich rozhodnutí. Asi jsem je dnes stál hodně peněz. Sbohem všichni. Bylo to fajn.“
Podnikovou síť ochrání NetShield
27.9.2016 SecurityWorld Zabezpečení
Produkt NetShield společnosti SnoopWall, který podle dodavatele poskytuje zabezpečení vnitřní sítě, jež nejsou schopné nabídnout současné firewally a antivirové programy, uvedl na náš trh VUMS Datacom.
NetShield představuje novou generaci řešení pro řízení přístupu mobilních i pevných zařízení. Firma pomocí něj získá přehled a kontrolu nad nedůvěryhodnými síťovými aktivitami prostřednictvím dynamického řízení pevných, mobilních a virtuálních koncových zařízení.
Bez-agentová podoba ochrany usnadňuje integraci do stávající podnikové infrastruktury, a navíc je řešení prý snadno spravovatelné, flexibilní, nákladově efektivní a škálovatelné. Navíc se může připojit kdekoliv -- a odhalit či zajistit problém odkudkoliv.
NetShield přináší sadu funkcí Network Access Control (NAC). Implementovaná funkce Pre-Cognition Engine zajišťuje, aby karanténa koncového bodu předcházela infekci. Tento mechanismus tak podle dodavatele zajišťuje umístění do karantény s nulovým výskytem false-positive chyb.
Vlastnosti řešení NetShield podle výrobce:
NAC – aby se ke korporátním sítím připojily pouze důvěryhodné zdroje
Zero-hour malware a phishing karanténa – prevence ransomwaru s nulovou false positive chybou
Vulnerability assessment a patch management
Vykazování shody s bezpečnostními standardy
TLD blokování & Detekce MAC spoof
Internetová bezpečnost: Flash vs. HTML5
25.9.2016 SecurityWorld Bezpečnost
Jste už znechuceni z bezpečnostních děr v řešeních postavených na technologii Flash? Pak vězte, že i HTML5 má své zranitelnosti.
Technologie HTML5 se propagovala jako přirozený a na standardech založený nástupce proprietárních modulů plug-in, jako jsou například přehrávače Adobe Flash Player, pro poskytování bohatých multimediálních služeb na webu. Pokud však jde o bezpečnost, která je jednou z hlavních slabin technologie Flash, ani HTML5 není všelékem.
Ve skutečnosti má HTML5 své vlastní bezpečnostní problémy. Julien Bellanger, výkonný ředitel společnosti Prevoty, která se zabývá monitorováním zabezpečení aplikací, prohlašuje že HTML5 složitost zabezpečení nesnižuje, ale naopak zvyšuje. Upozorňuje, že nad bezpečností HTML5 visel mnoho let otazník a za tu dobu se situace nijak nezlepšila.
Bellanger uvádí následující rizika přinášená technologií HTML5:
Exploity vykreslování obrazu pozadí (canvas image), které mohou způsobit přetečení zásobníku využitelné hackerem k injektáži kódu do relace.
Skriptování mezi weby (XSS), při němž mohou narušitelé ukrást informace z relace v prohlížeči.
SQL injection – záškodnický dotaz se v prohlížeči použije k získání informací z databáze.
CSRF nebo také XSRF (Cross-Site Request Forgeries) s převzetím tokenu uživatele a jeho následným použitím k vydávání se za dotyčného uživatele na webu.
Použití HTML5 také odhaluje více toho, co je k dispozici v počítači či mobilním zařízení, jako jsou například místní úložiště a poloha zařízení. „Aplikace HTML5 mohou přistupovat k těmto platformám, existuje zde možnost zneužití,“ upozorňuje Dan Cornell, technologický ředitel společnosti Denim Group, která poskytuje poradenství v oblasti kybernetické bezpečnosti.
Nezabezpečené prohlížeče
„Problém spočívá v tom, že prohlížeče jsou ve své podstatě nezabezpečené,“ vysvětluje Kevin Johnson, výkonný ředitel konzultační firmy Secure Ideas. Poznamenává, že HTML5 například neposkytuje žádnou ochranu prostřednictvím tzv. sandboxu, jako může poskytnout Flash v prohlížeči Chrome.
„Dalším problémem je, že do HTML5 přidáváme významnou složitost, aniž přidáváme stejnou úroveň kontroly pro uživatele,“ upozorňuje Johnson. Flash si alespoň mohou uživatelé vypnout. HTML5 ale vypnout nelze.
Stále slibující
Navzdory chmurným vyhlídkám nabízí HTML5 naději pro lepší bezpečnost, pokud tvůrci prohlížečů udělají správnou věc, tvrdí Cornell z Denim Group. „Dodavatelé browserů musejí přemýšlet o svých plánech podpory HTML5 a integrovat zabezpečení do svých implementací již od začátku,“ vysvětluje Cornell.
Podle něj mnoho nových funkcí představených v jazyce HTML5 aplikacím poskytuje přístup k citlivému vybavení, takže je potřebné to odpovídajícím způsobem ošetřit.“
A Johnson dodává, že dodavatelé prohlížečů by měli poskytnout uživatelům možnost vypínat funkce, které nechtějí nebo jim nevěří.
Počet používaných prohlížečů také přináší určitou bezpečnost, protože zranitelnosti přítomné v jednom prohlížeči nemusejí existovat v ostatních browserech, uvádí Cornell. To snižuje riziko univerzálně zneužitelné chyby, jaké existuje v případě technologie Flash.
Vývojáři prohlížečů rovněž pracují na celkovém zlepšení zabezpečení, tvrdí Richard Barnes, vedoucí zabezpečení Firefoxu v Mozille. Konkurence mezi Googlem, Microsoftem, Mozillou a Applem znamená ohrožení jejich pověsti v případě problémů se zabezpečením. Všichni hlavní tvůrci prohlížečů proto mají silné bezpečnostní týmy, poznamenává Barnes.
Existuje také celooborové úsilí s cílem zlepšit zabezpečení pro všechny, zmiňuje Barnes. Například ve vývoji je univerzální metoda šifrování a tvůrci prohlížečů se snaží poskytovat uživatelům více informací a kontroly nad tím, co o nich web ví.
Na cestě je také pomoc standardizačního orgánu. Konsorcium W3C (World Wide Web Consortium), které dohlíželo na vývoj HTML5, má svůj návrh specifikace CSP (Content Security Policy, zásady zabezpečení obsahu).
Wendy Seltzerová z W3C uvádí, že nabízí jazyk zásad pro autory webů k omezení aktivního obsahu na jejich webech a ochranu proti injektáži skriptů. Existuje také snaha o vytvoření specifikace bezpečného obsahu (Secure Content), která by měla zajistit, aby výkonné webové funkce pracovaly jen v zabezpečených a ověřených kontextech.
Bezpečnost však nakonec musejí zajistit zejména aplikace, ať už běží v prohlížeči nebo v operačním systému. Bellanger ze společnosti Prevoty doporučuje, aby vývojáři používali návod vytvořený Microsoftem pro životní cyklus bezpečného vývoje, který je určený k zesílení odolnosti aplikací vůči narušením.
„Vývoj aplikace, tak aby byla co nejbezpečnější, je stále odpovědností samotných vývojářů,“ uzavírá Bellanger.
Dějiny psané rootkity
24.9.2016 SecurityWorld Viry
Rootkity představují noční můru všech bezpečnostních specialistů. Jde o aplikace, které nahrazují standardní administrátorské nástroje a umožňují skrývat své aktivity před legitimním uživatelem/správcem. A jejich odhalení je proto velmi komplikované.
Složitost detekce rootkitů je způsobená mimo jiné tím, že když už si někdo dá s vytvořením a instalací rootkitu práci, zpravidla mu na průniku do systému a následném skrytí svých aktivit docela záleží – jak o tom svědčí případ v lednu 2015 uvězněného IT specialisty Eddieho Raymonda Tiptona (51), který býval ředitelem informační bezpečnosti v Multi-State Lottery Association.
Tipton využil své znalosti fungování loterií a ochranných mechanismů k tomu, aby získal přístup k počítači, na kterém se losovala vítězná čísla. Ten je pochopitelně přísně střežený a není napojený na internet. Tipton však dokázal ostrahu obejít přeprogramováním monitorovacích kamer – a do počítače následně skrze Flash disk instaloval právě rootkit, který zajistil vylosování „těch správných“ čísel.
Když se tak stalo, rootkit sám sebe smazal. Tipton podal výpověď a vybral si výhru (což byla právě ona chyba, protože jako bývalý zaměstnanec společnosti byl ihned v hledáčku bezpečnostních procesů – kdyby použil nějakého „bílého koně“, dost možná by se na jeho podvod nikdy nepřišlo).
Název rootkitů je odvozen od „root“ (základ) – což je označení superuživatele na unixové rodině operačních systémů. Rootkit je pak označení programů, které slouží útočníkům k získávání nejvyšších práv v operačním systému (resp. jsou jim v mnoha případech dokonce nadřazené).
Operační systém zajišťuje pro počítač celou řadu základních úkonů počínaje otevíráním souborů až třeba po síťová připojení. Jde o rozhraní API (Application Programmer Interface).
Jak funguje rootkit
Rootkit je přitom aplikace, která nekompromisně zasahuje do této vlastnosti operačního systému a nahrazuje specifické API funkce, takže jejich volání je modifikované. Jinými slovy: rootkit mění způsob, jakým operační systém pracuje.
Uveďme si to na velmi zjednodušeném příkladu. Máme v počítači dvě zcela samostatné aplikace. Dejme tomu, že jedna z nich je textový editor, druhá špionážní program (spyware) zaznamenávající stisknuté klávesy.
Za normálních okolností spustíte textový editor a píšete. Pokud ale do počítače dokáže proniknout útočník, může na spuštění textového editoru navázat právě spuštění druhého programu. V praxi tedy spouštíte textový editor, na úrovni operačního systému je ale zavolaný spyware a následně se kontrola znovu vrátí textovému editoru.
Že to není nic zvláštního? Že něco podobného lze udělat i bez rootkitu? To samozřejmě jde, ale s jedním velkým omezením: pokud modifikujete registry nebo spouštíte spyware, jste zpravidla varovaní antivirovým programem.
Ovšem při použití rootkitu tomu tak není – tato aplikace totiž dokáže onen mezistupeň skrýt (pokud chce). Prostě pro všechny nástroje na nižších úrovních (souborové editory, antivirové programy aj.) žádný mezistupeň není.
Rootkit postavený na nejvyšší úrovni zkrátka „ukazuje“ ostatním aplikacím jen to, co jim chce ukázat. A ty nemají možnost si podávané informace jakkoliv ověřit právě proto, že rootkit hlídá poskytování informací.
Takže i v případě vznesení dotazu to jde přes operační systém (a tedy i přes rootkit), čili opět je vidět jen to, co chce autor rootkitu. Dnešní bezpečnostní aplikace jsou zkrátka založeny na tom, že informace podávané na úrovni operačního systému jsou důvěryhodné. Rootkit ale zcela mění způsob, jakým celý operační systém pracuje.
Rootkit tak může skrýt sám sebe, může se navázat na určité funkce, může skrýt další aplikace, soubory, adresáře, registry, procesy apod. S trochou nadsázky lze říci, že o čem rootkit prohlásí, že neexistuje – tak navenek opravdu neexistuje. Ve skutečnosti to je ale samozřejmě reálné, jen rootkit ví, kde.
Jak šel čas
Rootkity byly teoreticky rozpracované v roce 1983, kdy Ken Thompson z Bell Labs (mj. jeden z tvůrců Unixu) představil koncept modifikovaného kompilátoru, který akceptoval nejen regulérní heslo, ale také heslo „tajného administrátora“. To se nedalo běžnými prostředky zjistit – stejně jako jeho prostá existence.
Trvalo ale několik let, než se celá myšlenka dočkala praktické realizace. Stalo se tak v roce 1990, kdy Lane Davis a Steven Dake vytvořili rootkit pro SunOS Unix. V devadesátých letech byly rootkity používané jako administrátorské nástroje – i jako prostředky k pronikání do systémů. Až v roce 1999 vstoupily na novou půdu, kdy vznikl první rootkitový malware: NTRootkit pro Windows NT (uživatelé Mac OS X si museli ještě deset let počkat).
Největší slávu – byť pochybnou – si rootkity „užily“ v roce 2005, kdy začala společnost Sony BMG chránit některá svá CD protikopírovací ochranou XCP. Po prvním vložení CD s hudbou do počítače se zobrazila EULA.
Do počítače se pak instaloval speciální program, který umožňoval vypálení pouze určitého množství záložních kopií (pro osobní potřebu) a blokoval třeba spouštění hudby přes jiné přehrávače než přes přehrávač dodávaný od firmy Sony.
Problém byl v tom, že docházelo do počítače k instalaci nejen avizovaného softwaru, ale i rootkitu, který jej skryl. A potíž tkvěla i v tom, že tento rootkit bylo možné zneužít k dalším útokům: objeven byl například také v počítačích amerického Pentagonu.
Inteligentní virus pro Android zneužíval popularity Pokémon Go
22.9.2016 Žive.cz Viry
Více než pět set tisíc obětí si na sklonku léta nainstalovalo aplikaci pro Android jménem Guide For Pokémon Go New. Na tom by nebyl nic zvláštního, kdyby se ovšem nejednalo o sofistikovaný malware, který poté telefon oběti zapojil do botnetu.
Specialisté z Kaspersky Lab nyní virus analyzovali a je to docela nepříjemné čtení – především z pohledu toho, jak se malware chová.
Návod na pokémony měl na Play Storu poměrně důvěryhodné hodnocení, přesto obsahoval zákeřný malware
Program totiž po instalaci nezačal okamžitě útočit, ale vyčkával i několik hodin, během kterých analyzoval, jestli skutečně běží na telefonu a nikoliv třeba ve virtuálním prostředí. Tím se snažil vyvarovat odhalení ze strany Googlu a antivirových společností.
Teprve když si byl program jistý, že je na reálném telefonu (sledoval například, jestli uživatel instaluje i další aplikace), spojil se se serverem operátora a zaslal mu informaci o typu telefonu, poloze a tak dále.
Operátor se poté rozhodl, jestli mu daný telefon vyhovuje a dal mu zelenou k samotné instalaci viru, který se pokusil zneužit zranitelností z posledních let k tomu, aby získal práva root a plnou kontrolou nad systémem.
Inteligentní virus tedy útočil pouze tam, kde se mu to vyplatilo a na ostatních telefonech byl potichu, což ještě více znesnadnilo jeho odhalení. Právě tento způsob chování a šifrování části kódu s virem, kterou obslužná aplikace rozbalí a spustí, jen když se ji to hodí, může obalamutit mnohé automatické systémy na její včasné odhalení. A takový malware pak může přežívat i na oficiálním Play Storu dostatečně dlouho k tomu, aby nakazil tisíce zařízení jako v tomto případě.
To naštve. Lidé instalovali antivirus, a přitom to byl ransomware, který jim zašifroval data
21.9.2016 Zive.cz Viry
Ransomware je jedním z nejnebezpečnějších typů malwaru, se kterým se může surfař setkat. Zatímco zapojení do spamovacího botnetu oběť fakticky nebolí, protože útočník zneužívá jen její výpočetní výkon a konektivitu, ransomware je vyděračský vir, který vám zašifruje data a klíč získáte až po zaslání určitého obnosu na anonymní bitcoinový účet.
Klepněte pro větší obrázek
Virus se vydával za antivirus, zašifroval data a požadoval výkupné
A tak lidé instalují antiviry, aby je před ransomwarem ochránily. Autoři virů si toho jsou samozřejmě vědomi, proto se pokoušejí situace využít. Před pár dny prolétla internetem zpráva, že jeden z takových virů, DetoxCrypto, se vydával přímo za zbraň, která s ním měla zatočit – za antivirový software Malwarebytes.
Oběti si tedy v dobré víře instalovali antivirový program, ve skutečnosti to však byl ransomware, který jim poté zašifroval data a požadoval výkupné 2 BTC, což po přepočtu činí skoro 30 tisíc Kč.
Klepněte pro větší obrázek
Dokud nezadáte správný klíč, data nezískáte
Podobné platby jsou přitom vždy určitou sázkou do loterie, není totiž vůbec jisté, jestli má ransomware ještě nějakého aktivního operátora, který na platbu opravdu zareaguje. Obrana před tímto typem malwaru je přitom snadná – zálohovat opravdu klíčová data, o která nechceme přijít.
Nový ransomware šifruje autonomně, bez komunikace se zločinci
21.9.2016 ComputerWorld Viry
Novou verzi ransomwaru RAA objevili experti společnosti Kaspersky Lab. Aktualizovaná verze je schopná zašifrovat data off-line, aniž by potřebovala heslo příkazového serveru.
Nový trojan se ke svým obětem dostává e-mailem, ke kterému se připojuje nebezpečný soubor s příponou .js. Experti se domnívají, že díky této verzi malwaru budou podvodníci častěji útočit na podniky.
Ransomware RAA se objevil v červnu 2016 a je prvním ransomwarem, který je kompletně napsaný v JScriptu. Nová verze je ze srpna. Tentokrát je ale škodlivý kód ukrytý v heslem chráněné příloze, kterou je zazipovaný soubor. Kybernetičtí zločinci zavedli toto opatření především proto, aby oklamali AV řešení, pro které je těžší prozkoumat obsah zaheslovaného archivu.
Experti analyzovali e-maily a došli k závěru, že podvodníci raději cílí na společnosti než na běžné uživatele, a to pomocí nebezpečných e-mailů, které informují o nezaplacených platbách dodavatelům.
Podvodníci dodávají komunikaci důvěryhodnost zmínkou, že z bezpečnostních důvodů je přiložený soubor zaheslovaný (heslo je poskytnuté na konci e-mailu) a navíc je chráněný asymetrickým šifrováním. Toto prohlášení může znít uživatelům, kteří se zajímají o bezpečnost, směšně, důvěřivé oběti se ale nechají přesvědčit.
Další postup útoku je podobný tomu u předchozí verze RAA ransomwaru. Oběť otevře soubor .js, který spustí celý škodlivý proces. Trojan ukazuje podvodný textový dokument, který obsahuje náhodnou kombinaci písmen.
Tím se mu podaří zmást svou oběť. Zatímco se napadený uživatel snaží přijít na to, o co jde, RAA na pozadí kóduje soubory uložené v počítači. Nakonec ransomware na ploše vytvoří poznámku o výkupném a všem zašifrovaným souborům dá novou příponu .locked.
V případě šifrovaní dat v počítači oběti nyní RAA vůbec nepotřebuje komunikovat s C&C serverem. To je hlavní rozdíl od předchozí verze. Místo, aby trojan požadoval „master key“ od serveru, generuje, šifruje a ukládá jej přímo v napadeném počítači.
Kybernetičtí zločinci mají k dispozici soukromý klíč, který dokáže rozšifrovat unikátní „master key“. Jakmile oběť zaplatí výkupné, podvodníci ji požádají o zaslání „master key“, který jí vrátí rozšifrovaný společně s částí dešifrovacího softwaru.
Tento postup byl zavedený z důvodu, aby malware mohl počítač zašifrovat nehledě na to, zda je připojený k internetu.
Horší je, že oběti společně s ransomwarem RAA obdrží i trojan Pony. Ten je schopný ukrást hesla všech e-mailových klientů včetně těch korporátních a poslat je útočníkovi. Podvodníci pak mohou díky těmto heslům šířit malware jménem napadeného uživatele. Oběti je pak snadnější přesvědčit, že je e-mail legální.
Z korporátního e-mailu oběti tak může být malware rozšířený celé řadě firemních kontaktů. Podvodníci z nich mohou vybrat určité kontakty, které je zajímají, a provést na ně cílený útok.
Vyděračské viry ještě neřekly poslední slovo. Nová verze straší neuhrazenými pohledávkami
20.9.2016 Novinky/Bezpečnost Viry
Různé verze vyděračských virů, které jsou souhrnně označovány jako ransomware, terorizují uživatele už několik let. Na řadu z nich sice bezpečnostní experti našli lék, kyberzločinci však stále vytvářejí nové a nové verze. Škodlivé kódy, které tahají z uživatelů nemalé peníze, tak rozhodně ještě neřekly poslední slovo.
Ukazuje to například vylepšená verze ransomwaru RAA, před kterou v úterý varovali bezpečnostní experti antivirové společnosti Kaspersky Lab.
Tento nezvaný návštěvník začal kolovat internetem už v polovině letošního roku. Jeho nová verze je však výrazně schopnější. Dokáže totiž zašifrovat data i na počítačích, které nemají přístup k internetu. Dříve přitom museli samotný útok spustit kyberzločinci na dálku – přednastaveným příkazem uloženým na serveru.
Vylepšená varianta se zároveň snaží oklamat různé bezpečnostní aplikace v počítači. Šíří se totiž nejčastěji jako příloha nevyžádaného e-mailu. Tu útočníci zaheslují a uživatel ji musí sám otevřít pomocí přístupového kódu, který je napsán v samotné zprávě. Na zaheslované archivy je totiž většina antivirových programů krátká.
Nezaplacené pohledávky
Kvůli heslu se mohou příjemci nevyžádané zprávy navíc milně domnívat, že nejde o žádný podvod. Zaheslované archivy jsou totiž například v podnicích běžně používány k tomu, aby se k datům nedostal nikdo neoprávněný.
Právě na podniky nová verze ransomwaru RAA cílí. Příjemce nevyžádaných e-mailů se totiž snaží vyděsit tím, že mají nezaplacené platby dodavatelům. Dokument v příloze má dokazovat, že je tomu skutečně tak.
Pokud archiv uživatelé skutečně otevřou, pustí si tím nevědomky do svého počítače nezvaného návštěvníka. Samotný útok pak již probíhá podle tradičního scénáře. Nejprve začne RAA šifrovat obsah počítače a uživateli zobrazí oznámení, že za dešifrování dat musí zaplatit, jinak se ke svým datům údajně již nikdy nedostane.
Ani po zaplacení výkupného ale nemají uživatelé jistotu, že se ke svým datům skutečně dostanou. Virus je nutné z počítače odinstalovat a data následně pomocí speciálního programu odšifrovat. V některých případech to ale není možné.
Za odšifrování chtějí 14 000 Kč
Vyděrači navíc nejsou žádní troškaři, za odšifrování požadují jeden bitcoin, což představuje při aktuálním kurzu více než 14 000 korun. Znovu je ale nutné zdůraznit, že zmiňovanou částku by lidé v žádném případě platit neměli. Útočníci jen shrábnou peníze a pak zmizí.
Kromě vyděračského viru RAA se v archivu ukrývá zároveň také trojský kůň Pony. Ten dokáže krást hesla prakticky ze všech e-mailových klientů. Podvodníci se pak s pomocí tohoto nezvaného návštěvníka snaží šířit vyděračský virus jménem postiženého uživatele i na další jeho známé.
Z řádků výše vyplývá, že před strašícím e-mailem o nezaplacených pohledávkách by se měli mít uživatelé na pozoru i v případě, kdy přijde od skutečně známých uživatelů. Ve skutečnosti se za něj totiž mohou vydávat počítačoví piráti.
Podvodníci se vydávají za pracovníky ČNB. Z důvěřivců lákají informace i peníze
19.9.2016 Novinky/Bezpečnost Phishing
Kyberzločinci v posledních dnech zkoušejí nový trik, jak vylákat z důvěřivců citlivé informace a v některých případech dokonce i peníze. Vydávají se za zástupce České národní banky (ČNB) a prostřednictvím nevyžádaných e-mailů oslovují náhodné uživatele. Před tzv. phishingovými zprávami varovali v pondělí zástupci ČNB.
Podobný trik přitom podvodníci nezkoušejí poprvé. Podvodné phishingové zprávy, které byly rozesílány pod hlavičkou ČNB, se objevily již v minulosti.
„V této souvislosti zdůrazňujeme, že se nejedná o autentickou komunikaci České národní banky, ale o phishingové útoky směřující k vylákání osobních údajů dané osoby. Na jejich základě pak mohou být z bankovních účtů daných osob zcizeny finanční prostředky,“ stojí v prohlášení ČNB.
S ohledem na možné riziko by na podobné e-mailové zprávy neměli uživatelé vůbec reagovat. Samozřejmostí by mělo být, že lidé nebudou nikomu sdělovat autentizační údaje, jako jsou například přihlašovací hesla či PIN.
„Dále rozhodně doporučujeme neotvírat případné přílohy podezřelých e-mailových zpráv ani nespouštět v nich uvedené odkazy na webové stránky,“ konstatovali zástupci banky.
Číhají i na sociálních sítích
Podobné nebezpečí nečíhá na důvěřivce pouze v e-mailové schránce. Vylákat z důvěřivců přihlašovací údaje a potažmo i finanční prostředky se počítačoví piráti snaží také prostřednictvím sociálních sítí. [celá zpráva]
Podvodná nabídka na Facebooku
Například v minulém týdnu varovala Česká spořitelna před falešnými nabídky na Facebooku. V nich podvodníci slibují za použití nové verze internetového bankovnictví finanční bonus ve výši 1000 Kč. Pokud ale na to uživatelé přistoupí, zadělají si na velké problémy.
Ve skutečnosti totiž samozřejmě o žádnou novou verzi internetové bankovnictví nejde. Kyberzločinci se pouze touto nabídkou na sociální síti snaží vylákat z důvěřivců jejich přihlašovací údaje. Poté jsou jen krůček od toho, aby lidem vybílili účet nebo si jeho prostřednictvím sjednali nějakou půjčku.
Lovci chyb se mohou stát milionáři. Stačí najít jen jednu kritickou trhlinu
19.9.2016 Novinky/Bezpečnost Zranitelnosti
V minulém týdnu odstartovala soutěž zvaná Project Zero. V ní mohou změřit síly hackeři z celého světa, kteří se specializují na operační systém Android. Za nalezení chyb v této platformě totiž mohou získat v přepočtu několik miliónů korun. Upozornil na to server Tech Crunch.
Soutěž se týká výhradně chytrých telefonů Nexus 6P a Nexus 5X, na kterých běží čistá verze operačního sytému Android. Právě v tom je soutěž pro jednotlivé účastníky složitější, nemohou totiž využít trhlin v programech třetích stran, aby se do přístrojů snadno dostali.
Podle pravidel musí hackeři objevit kritickou bezpečnostní chybu, kterou bude možné zneužít na dálku. V praxi to tedy znamená, že musejí být schopni proniknout do přístroje například pomocí textové zprávy nebo e-mailu, a následně v něm spustit libovolný škodlivý kód.
Útočníci mohou znát pouze telefonní čísla a e-mailové adresy uživatelů.
Natalie Silvanovichová, organizátorka soutěže
„Cílem této soutěže je najít zranitelnosti a chyby, které umožňují vzdálené spuštění kódu na zařízeních se systémem Android. Útočníci v tomto případě mohou znát pouze telefonní čísla a e-mailové adresy uživatelů,“ prohlásila Natalie Silvanovichová, která má celou soutěž na starosti.
Kdo takový způsob objeví jako první, získá odměnu 200 000 dolarů, tedy v přepočtu více než 4,8 miliónu korun. Druhý úspěšný řešitel se pak může těšit na pomyslný honorář ve výši 100 000 dolarů (2,4 miliónu korun). Třetí v pořadí pak získá 50 000 dolarů, tedy více než 1,2 miliónu korun.
Zmiňované částky skutečně platí pro objevení jedné jediné chyby. Honorář za práci úspěšného lovce chyb je tak doslova pohádkový.
Velké firmy lákají také na odměny
Lákat na podobné odměny se snaží hackery i řada dalších společností. Stejnou strategii již například několik let razí společnosti Facebook a Microsoft. Letos začala odměňovat lovce chyb také společnost Apple, i u ní si hackeři mohou vydělat klidně několik miliónů korun.
Odměny u Applu jsou odstupňované podle závažnosti a podle toho, jakého operačního systému se týkají. Hledat trhliny totiž hackeři mohou například v mobilní platformě iOS, ale stejně tak v operačním systému Mac OS X.
Americký počítačový gigant slibuje odměny ve výši až 200 tisíc dolarů v případě těch nejkritičtějších chyb, které budou vystavovat velké množství uživatelů útokům. V přepočtu na koruny si tak bezpečnostní experti budou schopni vydělat bezmála pět miliónů korun za odhalení jedné jediné chyby.
Zero day pro MySQL
19.9.2016 Root.cz Zranitelnosti
Dawid Golunski objevil dvě kritické chyby v MySQL (a jeho klonech: MariaDB, PerconaDB) umožňující změnu konfiguračního souboru a tím vzdálené spuštění kódu a eskalaci oprávnění. Postižené jsou verze <= 5.7.14, 5.6.32, 5.5.51 a Dawid informoval projekty o zranitelnostech již 29. července. CVE-2016–6662 umožňuje vzdálenou změnu konfigurace MySQL (my.cnf). K tomu vám stačí oprávněný účet, nebo využití SQL Injection chyby webové aplikace používající postiženou verzi MySQL. Využitím této chyby je možné spustit vlastní kód s oprávněním roota. Před zneužitím chyby vás neochrání ani standardní politiky SELinux, či AppArmor.
Každá instalace MySQL obsahuje mysqld_safe script sloužící pro inicializaci databáze a aktivaci základních bezpečnostních prvků. Tento script ale obsahuje SUID (Set owner User ID up on execution) bit a kdokoliv script spustí, tak běží s oprávněním roota. To není nic neobvyklého, ale je dobrým zvykem držet počet takových programů na naprostém minimu. Sami si to můžete ověřit na vlastním systému a odebrat SUID/SGID s root oprávněním kde je to jen možné.
find / ! \( -wholename '/proc/*' -prune \) -perm -u=s -o -perm -g=s ! -type d
Script dále obsahuje parametr umožňující načíst knihovnu před spuštěním MySQL daemona a to je ta kritická část, protože pak tato knihovna bude spuštěna s oprávněním roota při dalším restartu databáze/systému. Cílem je spuštění mysqld_safe s parametrem –malloc-lib nebo změnit jeden z konfiguračních souborů a přidat parametr malloc_lib s cestou ke knihovně útočníka. Pokud tedy útočník bude mít dostatečné oprávnění (FILE) v MySQL prostředí a bude schopen vložit do systému vlastní kód, tak mu tato chyba umožní plně ovládnout celý systém. První omezení oprávnění by měla řešit druhá chyba (CVE-2016–6663), která se týká zmíněné eskalace oprávnění. Detaily nejsou známy, ale Dawid by je měl (včetně PoC kódu) zveřejnit během několika dnů.
Jeden z příkladů změny konfiguračního souboru:
mysql> set global general_log_file = '/var/lib/mysql/my.cnf';
mysql> set global general_log = on;
mysql> select '
'>
'> ; injected config entry
'>
'> [mysqld]
'> malloc_lib=/var/lib/mysql/mysql_hookandroot_lib.so
'>
'> [separator]
'>
'> ';
1 row in set (0.00 sec)
mysql> set global general_log = off;
Podobná chyba se objevila již v roce 2003 a tento vektor útoku od té doby neměl být možný, avšak Dawid svým PoC kódem dokázal, že tato zranitelnost stále existuje. Především na sdíleném webhostingu je pravděpodobnost zneužití a ovládnutí celých serverů velmi vysoká.
MariaDB a PerconaDB již vydali opravu, Oracle (MySQL) však stále ne (očekává se až 18. října). Dawid doporučuje jako dočasnou ochranu změnit vlastníka konfiguračních souborů MySQL na roota a vytvořit prázdné my.cnf konfigurační soubory ve všech cestách kde je MySQL očekává při startu. Vzhledem ke kompatibilitě klonů s MySQL, jednoduché migraci, použití nejmodernějších technologií, rychlejšímu vydávání oprav, otevřenosti a mnohem vyššímu výkonu (např. XtraDB, Galera) možná bude nejlepším doporučením přejít z MySQL na Mariu, či Perconu.
Nezvaný návštěvník vydělává kyberzločincům peníze. Zobrazuje reklamu a volá na prémiové linky
14.9.2016 Novinky/Bezpečnost Android
Velký pozor by si uživatelé měli dát na nový škodlivý kód zvaný CallJam, který objevili bezpečnostní experti společnosti Check Point. Tento nezvaný návštěvník totiž dokáže z chytrého telefonu volat na placená čísla a tím uživateli pěkně prodražit pravidelné vyúčtování. Navíc zobrazuje reklamu na displeji přístroje, díky čemuž útočníci inkasují další peníze.
Výzkumníci odhalili škodlivý kód ve hře Gems Chest for Clash Royale, kterou bylo možné stahovat pro zařízení s operačním systémem Android v Google Play od letošního května. Od té doby si ji stáhly stovky tisíc lidí.
„CallJam přesměruje oběti na nebezpečné webové servery, které útočníkům generují podvodné příjmy. Aplikace zobrazuje na těchto webových stránkách podvodné reklamy namísto jejich zobrazení přímo na zařízení,“ varoval David Řeháček, bezpečnostní odborník ze společnosti Check Point.
Virus CallJam se maskoval za hru Gems Chest for Clash Royale.
FOTO: Check Point
Podle něj si nicméně hned po stažení aplikace mohli zběhlejší uživatelé všimnout, že je něco v nepořádku. „Ještě než malware zneužije infikované zařízení k volání na prémiová čísla, požádá aplikace o udělení oprávnění. Bohužel jak jsme často viděli i u podobných předchozích útoků, většina uživatelů udělí oprávnění dobrovolně a často bez čtení nebo plného pochopení možných následků,“ doplnil Řeháček.
Přístroj pak vytáčí předem vytipovaná čísla, která útočníkům vytvářejí zisk. Peníze jim mimochodem vydělává i reklama, kterou dokáže CallJam také zobrazovat.
„Hra dosáhla relativně vysokého hodnocení, protože uživatelé byli požádáni o ohodnocení hry ještě před spuštěním škodlivých aktivit pod falešnou záminkou a slibem dalších herních bonusů. Je to další příklad, jak mohou útočníci získat pro svou aplikaci vysoké hodnocení a distribuovat ji na oficiálním obchodu s aplikacemi a ohrožovat zařízení a citlivá data,“ konstatoval bezpečnostní odborník.
Objevená hra Gems Chest for Clash Royale, která zákeřný virus obsahovala, byla určena pro operační systém Android. Není nicméně vyloučeno, že CallJam budou útočníci maskovat za úplně jinou aplikaci, případně že se s ním pokusí napálit také uživatele jiných mobilních platforem.
Uzamkne displej mobilu
Na operační systém Android před nedávnem cílila také falešná verze hry Pokémon Go. Šlo o tzv. lockscreen, který uzamkne displej telefonu a tím jej zcela zablokuje. I tohoto záškodníka se počítačovým pirátům podařilo propašovat do oficiálního obchodu Google Play.
„Pokemon GO Ultimate je první zaznamenanou falešnou aplikací v Google Play s funkčností lockscreen. Ve skutečnosti není příliš škodlivá, jejím cílem je skryté klikání na porno reklamy,“ uvedl Petr Šnajdr, bezpečnostní expert společnosti Eset.
Záměr útočníků je tedy zřejmý. Nesnaží se uživatele nějak poškodit nebo odcizit jeho data. Pouze se snaží prostřednictvím umělého navýšení kliků na bannery zvýšit příjmy daných webů z reklamy. Zamčený displej nejde žádným způsobem odemknout.
V mnoha případech je jediným řešením tzv. tvrdý restart zařízení, který se dělá jednoduše vyndáním baterie nebo kombinací určitých kláves. I po restartu ale zvládne nezvaný návštěvník klikat na porno stránky na pozadí a tím ukrajovat výkon smarpthonu.
Aktualizace platformy iOS mění telefony a tablety v nefunkční cihly
14.9.2016 Novinky/Bezpečnost Apple
Na velmi nepříjemnou chybu mohou narazit uživatelé počítačových tabletů iPad a chytrých telefonů iPhone. Velká aktualizace operačního systému iOS 10 totiž obsahuje chybu, kvůli které se z mobilního přístroje může stát doslova nefunkční cihla.
Aktualizaci vydala firma Apple v noci na středu. A už pouhých pár hodin poté sociální sítě zaplavily stížnosti uživatelů, kteří ostatní upozorňovali na to, že s updatem nemusí být vše v pořádku.
Po neúspěšné aktualizaci na displeji telefonu zůstane hláška o tom, že přístroj je nutné připojit k počítači. Následně se však uživatel dozví, že přišel o svá data, pokud neprovedl dopředu zálohu.
View image on Twitter
View image on Twitter
Follow
PATJEM @patjem
Looks like an iPhone brick after iOS 10 OTA update @iCulture @MacRumors
7:40 PM - 13 Sep 2016
36 36 Retweets 7 7 likes
Jeden z uživatelů si stěžuje na chybu aktualizace na Twitteru.
Zástupci amerického počítačového gigantu zatím oficiálně chybu nepotvrdili. Postižených uživatelů jsou však přinejmenším desítky.
Jen při aktualizaci z telefonu a tabletu
Zatím nejí jasné, jakých konkrétních modelových řad s logem nakousnutého jablka se chyba týká. Zaznamenána totiž byla u novějších i starších iPadů a iPhonů. Jisté je nicméně to, že k problémům došlo vždy při aktualizaci přímo z chytrého telefonu nebo počítačového tabletu.
Tedy jinými slovy – pokud uživatelé update prováděli prostřednictvím počítače, k chybě podle zatím dostupných informací nedošlo.
View image on Twitter
Follow
Seth Weintraub ✔ @llsethj
Wow. iPad pro update failed. I don't even know if I have iTunes or a free USB port!
U: Have to do clean install wtf
7:35 PM - 13 Sep 2016
55 55 Retweets 31 31 likes
Chyba se týká iPhonů i iPadů
Se zablokovaným přístrojem po neúspěšné aktualizaci se údajně nedá nic dělat. Zprovoznit jej je možné pouze uvedením do továrního nastavení. Jak již bylo uvedeno výše, v takovém případě však uživatelé přijdou o uložená data, pokud před instalací neprovedli zálohu.
Stejný problém jako přes kopírák
Podobné případy nejsou nijak výjimečné. V nefunkční cihly proměnila iPhony a iPady také aktualizace, která vyšla v roce 2011.
Tehdy problém tvůrci vyřešili vydáním opravené verze iOS, která již podobné zablokování přístroje nezpůsobovala. Lze tedy předpokládat, že i v tomto případě se problémy vyřeší v některém z dalších updatů.
Kdy by však další aktualizace mohla vyjít, zatím není jasné.
Nový antimalware Kaspersky lépe zabezpečí spojení na citlivé stránky
14.9.2016 SecurityWorld Zabezpečení
Novou verzi Kaspersky Internet Security – multi-device, plně v češtině, uvedl na náš trh Kaspersky Lab. Uživatelům nabízí několik dalších možností, jak zabezpečit svá data na platformách Windows, Mac i Android.
Například verze pro Windows nově zahrnuje například funkci Secure Connection zajistí, že uživatelská data se nemohou během připojení k internetu zachycovat podvodníky. Doplňky Software Updater a Software Cleaner zase mohou pomoci opravit potenciální mezery v zabezpečení zařízení.
Kromě toho je nové řešení vybavené dalšími technologiemi, jako je několikaúrovňová ochrana finančních transakcí (Safe Money), prevence proti instalaci nevyžádaných aplikací (Application Manager, který byl dříve součástí doplňku Change Control) či blokování reklamních bannerů v prohlížeči (Anti-Banner).
Co se týče Secure Connection, tato funkce umožňuje pomocí kódování všech v rámci sítě poslaných i přijatých dat bezpečně se připojit k internetu. To je obzvlášť důležité při realizaci finančních operací, autorizace na webových stránkách nebo přesunu důvěrných informací.
Užitečná je hlavně během cestování, kdy se mnoho lidí častěji připojuje k nezabezpečeným Wi-Fi sítím, aby zůstali ve spojení. Secure Connection se může spouštět jak z hlavní nabídky produktu, tak i automaticky při připojení k veřejné Wi-Fi síti nebo vkládání důvěrných informací například na webové stránky bank, do online úložišť, platebních systémů, e-mailů, na sociální sítě, atd.
Cleaner zase monitoruje všechny aplikace nainstalované v počítači a upozorňuje na ty, které mohou představovat potenciální riziko. Uživatele upozorní v případě, že do jejich zařízení přibyl program bez jejich vědomí (například přídavný software během instalace jiné aplikace) nebo pokud nějaký program zpomaluje jejich zařízení, poskytuje neúplné nebo nesprávné informace o jeho funkcích, funguje na pozadí, zobrazuje bannery a zprávy bez povolení (reklama) nebo je využíván jen zřídka.
Danger je nejrozšířenější virovou hrozbou v Česku, šíří se přes nevyžádané e-maily
14.9.2016 Novinky/Bezpečnost Viry
Na pozoru by se měli mít uživatelé před počítačovým virem zvaným Danger. Tento nezvaný návštěvník se totiž v Česku šíří doslova jako lavina, a to především skrze nevyžádané e-maily. V žebříčku nejrozšířenějších hrozeb antivirové společnosti Eset mu aktuálně patří absolutní prvenství.
Nebezpečný virus, plným názvem JS/Danger.ScriptAttachment, je velmi nebezpečný. Otevírá totiž zadní vrátka do operačního systému. Útočníci pak díky němu mohou propašovat do napadeného počítače další škodlivé kódy, nejčastěji tak šíří vyděračské viry z rodiny ransomware.
Tyto škodlivé kódy začnou šifrovat obsah počítače a uživateli zobrazí oznámení, že za dešifrování počítače musí zaplatit, jinak se ke svým datům údajně již nikdy nedostane. Ani po zaplacení výkupného navíc nemají uživatelé jistotu, že se ke svým datům skutečně dostanou.
Virus je nutné z počítače odinstalovat a data následně pomocí speciálního programu odšifrovat. V některých případech to ale není možné.
Útočníci mohou zařízení ovládat na dálku
Druhou nejrozšířenější hrozbou je škodlivý kód Nemucod. „Společnost Eset v srpnu zaznamenala jeho novou verzi, která šíří do infikovaných zařízení tzv. backdoor, jenž umožňuje útočníkovi toto zařízení ovládat na dálku a bez vědomí jeho majitele,“ uvedl Miroslav Dvořák, technický ředitel společnosti Eset.
Přestože malwaru Nemucod patří ve statistikách hned druhá příčka, jeho podíl mezi zachycenými hrozbami byl pouze 5,4 procenta. I to dosvědčuje, jak velkou hrozbu představuje škodlivý kód Danger, který aktuálně statistikám vévodí.
Třetí místo pak patří viru Java/Adwind. Ten funguje také jako zadní vrátka do systému a je nejčastěji zneužíván pro napadání bankovních účtů. „Celkově představoval 3,8 procenta detekovaných případů,“ doplnil Dvořák.
Seznam deseti nejrozšířenějších hrozeb za měsíc srpen naleznete v tabulce níže:
Deset nejrozšířenějších počítačových hrozeb – srpen 2016
1. JS/Danger.ScriptAttachment (45,26 %)
2. JS/TrojanDownloader.Nemucod (5,4 %)
3. Java/Adwind (3,8 %)
4. PDF/Fraud (3,57 %)
5. VBA/TrojanDownloader.Agent.BOB (2,7 %)
6. VBA/TrojanDownloader.Agent.BRC (2,22 %)
7. VBA/TrojanDownloader.Agent.BPQ (2,06 %)
8. VBA/TrojanDownloader.Agent.BOJ (1,8 %)
9. VBA/TrojanDownloader.Agent.BNH (1,77 %)
10. VBA/TrojanDownloader.Agent.BPB (1,62 %)
Zdroj: Eset
Vir dokáže napíchnout webkameru a poté vydírat oběť kompromitujícími záběry
6.9.2016 Novinky/Bezpečnost Viry
První malware, který dokáže zneužít webkameru na monitoru počítače nebo notebooku a pořizuje citlivé či kompromitující záběry jeho uživatele, aby jej pak útočník mohl vydírat, objevila izraelská bezpečnostní společnost Diskin Advanced Technologies (DAT).
Podle analytičky společnosti Gartner Avivah Litan jde o trojského koně pojmenovaného Delilah, který se šíří prostřednictvím webových stránek s pornografickým obsahem a herních webů. Zatím však není zcela jasné, zda útočníci využívají spíše technické nebo softwarové zranitelnosti obětí.
Mnoho lidí si přelepuje webkamery neprůhlednou páskou.
Delilah je velmi sofistikovaný malware, který vyžaduje vysokou úroveň zapojení lidských operátorů, aby mohl vybrat nejvhodnější „kandidáty“ pro útok. „Jde o malware, který se připojuje k webkameře oběti, aby mohla být natočena bez jejího vědomí. Po instalaci shromažďuje velké množství osobních informací, takže později může uživatele počítače vydírat, nebo jím manipulovat. Ve hře jsou také informace o rodině nebo pracovišti oběti,“ upozorňuje Avivah Litan. Vydíraná oběť pak může na příkaz útočníka provádět činnosti, které poškozují jeho zaměstnavatele.
Pro komunikaci s napadenými uživateli využívají útočníci šifrované kanály jako například VPN nebo TOR. Analytická společnost Gartner zaznamenala podle analytičky Avivah Litan obavy řady svých klientů, kteří se domnívají, že jejich zaměstnanci jsou vydíráni těmito útočníky a působí v jejich prospěch.
„Potenciál zneužití webových kamer je opravdu velký. Mnoho lidí, včetně známých osobností, si proto webkamery na monitorech a laptopech přelepuje neprůhlednou páskou. Mediálně známý je například případ zakladatele Facebooku Marka Zuckerberga,“ říká Petr Šnajdr, bezpečnostní expert společnosti ESET. Přelepenou webkameru má i ředitel americké federální bezpečnostní služby FBI James Comey, který o tom promluvil na dubnovém setkání se studenty Kenyon Colledge v Ohiu. „Viděl jsem to ve zprávách, tak jsem to okopíroval,“ vysvětlil. „Nalepil jsem si kus pásky přes kameru svého osobního notebooku, protože jsem to viděl u někoho chytřejšího.“
Technologie, která dokáže na počítači spustit webkameru a nerozsvítit přitom kontrolku nahrávání, je na světě už dlouho. Nazývá se Remote Administration Tool (RAT). Je to software, který dokáže na dálku ovládat systém, a to i bez vědomí uživatele počítače. Nahrané video umí následně automaticky poslat přes internet kamkoli na světě.
Tenhle web prozradí, jestli se vaše jména a hesla nacházejí v hacknutých databázích
6.9.2016 cnews.cz Hacking
Dropbox otočil a přiznal, že jej v roce 2012 skutečně hackli. Nešlo jen o spárování účtů Dropboxu a skutečně napadeného LinkedInu, jak ještě tvrdil nedávno. Firma to potvrdila magazínu Motherboard s tím, že uniklá databáze obsahovala údaje 68 680 741 účtů. Útočníci se dostali k e-mailům, ale také zahashované podobě hesel. Zhruba polovinu chránil starý algoritmus SHA-1, druhou půlku pak bezpečnější bcrypt. Všechny hashe prý byly solené, takže měly další stupeň ochrany.
Útočníci se tak nedostali ke skutečnému heslu, ale zároveň není nereálné jej rozlousknout. Bezpečnostní expert Troy Hunt ověřil, že uniklá databáze je skutečná. Otestoval na ni svůj i manželčin účet. Na cracknutí hesel použil Hashcat a prý to ani moc dlouho netrvalo.
Troy Hunt mimochodem provozuje užitečný web haveibeenpwned.com, na kterém si může každý ověřit, jestli se jeho uživatelské jméno nebo heslo někdy objevilo v podobných hackerských úlovcích. Aktuálně eviduje téměř 1,4 miliardy účtů ze 130 stránek. „Vede“ MySpace s 359 miliony ohroženými účty, pak následuje LinkedIn (164 milionů) a Adobe (152 milionů). Databáze Dropboxu je šestá největší.
Můžete stránce důvěřovat? Spíš ano. Troy Hunt je veřejně známá osoba a zaměstnanec Microsoftu. Do jeho vyhledávače navíc nezadáváte hesla, ale pouze e-maily nebo uživatelská jména. Ta lze samozřejmě zneužít k zasílání spamu, ale Hunt údaje neprodává a útočníci už tyto údaje z napadených účtů stejně znají. Jen pozor, vyhledávač je často nedostupný a napíše vám chybu „Oh no - catastrophic failure!“ Nezbývá než počkat.
Únik z Last.fm byl rozsáhlejší, než se zdálo. Opět čas měnit hesla
6.9.2016 Lupa Hacking
Vypadá to, že co se týká bezpečnosti, nemůžete nikomu věřit. A pokud tvrdí, že se skoro nic nestalo, tak to skoro vždy znamená ve skutečnosti kolosální malér.
V roce 2012 z Last.fm uniklo 43 milionů hesel, ale jak velký a nebezpečný únik to byl, se dozvídáme až teď, když jsou všechny e-maily i k nimi patřící hesla dostupná.
Last.fm před léty problém zveřejnil, ale oznámení se tradičně zabývalo hlavně zlehčováním a zametáním pod koberec. Navíc se ukázalo, že hesla jsou čistě MD5, takže bezproblémově rozlousknutelná. Což prakticky znamená, že níže uvedení Leaked Sources všechna hesla získali za dvě hodiny práce.
TIP: Takže opět, vaše heslo je kompromitované a je čas ověřit ho přes www.haveibeenpwned.com a www.leakedsource.com . A nezapomeňte i na to, že únik (taky 2012) z Dropboxu je také veřejný a podobně velký.
Tradičně platí, že lidé v roce 2012 používali stále stejná chronicky známá hesla. Podíváte-li se na deset nejpoužívanějších, najdete totéž, co v ostatních únicích: oblíbené číselné kombinace, heslo „heslo“, ale také ukázku zvrácené logiky lidí, kteří si jako heslo dávají název služby či slovo bezprostředně se službou související („music“).
Heslo Počet použití
123456 255 319
password 92 652
lastfm 66 857
123456789 63 984
qwerty 46 201
abc123 36 367
abcdefg 34 050
12345 33 785
1234 30 938
music 27 975
Uniklá databáze uživatelů z Last.fm navíc obsahuje nejenom e-maily a MD5 hesel, ale také uživatelská jména, datum založení účtu a data týkající se reklamy. V databázi je 43 570 999 účtů. Pokud vás zajímá další žebříček, stavte se u Leaked Source.
Nejvíce e-mailů pochází z @hotmail.com (9,3 milionu), ale těsně následuje Gmail (8,3 milionu). Ze Seznam.cz je zde 70 697 účtů.
Únik 68 milionů hesel z Dropboxu v roce 2012 potvrzen
6.9.2016 Lupa Hacking
Pokud ještě stále neberete vážně e-mail od Dropboxu o nutnosti změnit heslo, tak byste měli. Hesla z roku 2012 skutečně unikla.
V úniku (hacku) hesel z Dropboxu je možné získat informace o celkem 68 680 741 účtů. Hesla samotná nejsou v čitelné podobě a jakkoliv je u řady použit bcrypt, neznamená to, že byste se mohli spolehnout na to, že vaše prastaré heslo nikdo nerozlouskne.
Autenticitu hesel potvrzuje i Troy Hunt, v datech našel jak své staré heslo z roku 2012, tak heslo k účtu jeho manželky. Vedle hesel přes bcrypt je ale řada hesel jen přes SHA1 – což odpovídá i tomu, že zhruba v době úniku Dropbox přecházel právě na podstatně bezpečnější bcrypt. A také opouštěl původní SHA1 podobu bez saltu - nové uložení přes bcrypt je saltované (některé zdroje ale uvádí, že i SHA1 je saltované).
Dropbox na zpřístupnění uniklé databáze zareagoval tím, že v uplynulém týdnu všem účtům, které mohou být postižené, poslal upozornění, že je nutné, aby si nastavily nové heslo, a to staré jim zneplatnil. Pokud vám tedy takovýto e-mail došel, jste mezi těmi, jejichž heslo uniklo. Nevěříte-li, stačí si to ověřit klasicky přes www.haveibeenpwned.com nebo www.leakedsource.com.
Už v roce 2012 se Dropbox zachoval správně, únik dat ohlásil a uživatelům, u kterých měl podezření na únik, už tehdy heslo resetoval. Bohužel až dodnes se nevědělo, kolik hesel přesně se útočníkům (či útočníkovi) podařilo získat.
Zajímavé na úniku je, že se hovoří o tom, že za ním stojí poměrně základní bezpečnostní chyba jednoho z tehdejších zaměstnanců Dropbopxu – používal stejné heslo na více místech a útočníkům se podařilo k němu dostat. A poté se nějak dostali k výše uvedeným datům. Z toho plyne dobré poučení, že by hesla používaná lidmi „ve firmě“ měla být zásadně odlišná od těch, které používají „na internetu“. Nezbývá než doufat, že tohle si firmy typu Dropboxu dokáží uhlídat – nakonec technická řešení v podobě správců hesel pro firmy a týmy by tomu mohla napomáhat více než dostatečně.
TIP: Pokud vy sami používáte Dropbox a ukládáte tam cokoliv jiného než nějaké náhodné hlouposti, tak je dobré vědět, že už poměrně dlouho umožňuje dvoufaktorové ověření a je velmi jednoduché si ho pořídit – potřebné kódy si můžete generovat třeba přes Google Authenticator.
Heslo z LinkedIn stejné jako k Dropbox účtu
Samotný hack Dropboxu podle všeho neproběhl tak, že by se snad útočníci dostali přímo do systému Dropboxu, celé to vypadá na ještě další zanedbání pravidel – tedy uložení dat někam, kde uložena být nemají. To ale Dropbox přiznal už v roce 2012, kdy v oznámení o hacku uvedl, že se útočníkovi v zásadě podařilo dostat na účet u Dropboxu, kam si zaměstnanec firmy uložil data související s projektem – dost dobře možná právě projektem "migrace ze SHA1 na bcrypt.
Jediná vada na kráse oznámení z roku 2012 byla, že Dropbox problém asi přeci jenom trochu zlehčil. Tehdy tvrdil, že vlastně šlo o únik e-mailů zákazníků, který by mohl vést tak maximálně ke spamu. O tom, že unikla i hesla, se tehdy nějak mírně zapomněli zmínit. V roce 2012 se navíc nepředpokládalo, že by mohlo jít o tolik účtů (60 milionů účtů znamenalo zhruba 60 % všech uživatelů, které Dropbox v roce 2012 měl).
Ještě absurdnější je to, že útočníci získali heslo zaměstnance Dropboxu pro LinkedIn, které se shodovalo s jeho heslem u Dropboxu. Z LinkedIn se k účtu navíc dostali tak, že se objevil v úniku tamních hesel. Jde tedy o podobný problém jako při nedávném hacknutí řady účtů na Twitteru. Postiženo bylo dost poměrně prominentních lidí, včetně Marka Zuckerberga.
Přichází nová generace ochrany koncových bodů
3.9.2016 Zabezpečení
Platformy nové generace ochrany koncových bodů (Next Generation Endpoint Protection, NGEPP) spíše, než by hledaly signatury malwaru, jak to dělá tradiční antivirový software, analyzují procesy, změny a připojení, aby tak rozpoznaly aktivitu, která naznačuje nečestné chování. Přestože je tento přístup lepší při zachytávání exploitů nultého dne, i zde existují problémy.
Potíže s novou generací ochrany mohou být různé. Například zprávy o činnosti zařízení lze shromažďovat pomocí klientského softwaru i bez něj.
Podniky se tedy rozhodují, zda použít řešení bez klienta a získávat méně podrobné informace o hrozbách, nebo shromažďovat bohaté podrobnosti, ale s nutností řešit problémy s nasazením, správou a aktualizací, spojené s instalací agentů.
Potom nastává volba, jak zjistit důkazy, že probíhá invaze, a jak se přitom neutopit v záplavě shromážděných dat. Jakmile dojde k odhalení útoků, musejí organizace najít způsob jejich nejrychlejšího zablokování.
Mezi dodavatele, kteří se snaží vyřešit tyto problémy, patří i společnosti se širokou řadou produktů, jako jsou například Cisco nebo EMC, zavedení dodavatelé zabezpečení, jako jsou Bit9+Carbon Black FireEye, ForeScout, Guidance Software, Trend Micro a další, a také novější firmy zaměřené na zabezpečení koncových bodů, jako firmy Cylance, Light Cyber, Outlier Security nebo Tanium.
Je to jen malý vzorek, protože je toto pole přeplněné a konkurenti přicházejí s různými způsoby, jak problémy zvládnout.
Hodnota platforem pro ochranu koncových bodů je v tom, že dokážou identifikovat specifické útoky a urychlit reakci na ně poté, co dojde k jejich detekci. Dělají to tak, že shromažďují informace o komunikaci mezi koncovými body a ostatními zařízeními v síti stejně jako změny vykonané v koncovému bodu samotném, které mohou znamenat ohrožení.
Databáze této telemetrie koncových bodů se potom stává forenzním nástrojem pro zkoumání útoků, mapování jejich rozvoje, zjišťování zařízení, která potřebují nápravu, a případnou predikci možných budoucích hrozeb.
Agent, nebo ne?
Hlavní averze vůči agentům obecně spočívá v tom, že jsou dalším softwarem, který je nutné nasadit, spravovat a aktualizovat. V případě nové generace ochrany koncových bodů poskytují obrovské množství jinak nezískatelných dat o koncových bodech, ale to může být také nevýhoda.
Agenti koncových bodů nashromáždí tolik informací, že může být obtížné odlišit útoky od tzv. šumu pozadí, takže je důležité, aby se práce těchto agentů podpořila analytickým strojem, který dokáže takový objem dat zvládnout, upozorňuje Lawrence Pingree, analytik Gartneru. Množství generovaných dat se liší podle agentů a typů koncových bodů.
Bez agenta mohou platformy ochrany koncových bodů stále shromažďovat cenná data o činnosti zařízení napojením se na přepínač nebo směrovač a sledováním síťových služeb Windows (Windows Network Services) a WMI (Windows Management Instrumentation).
Tyto údaje mohou zahrnovat informace, kdo je přihlášen k zařízení, co uživatel dělá, úrovně oprav, zda běží další agenti zabezpečení, zda jsou připojena USB zařízení, jaké běží procesy a podobně.
Analýza může odhalit, zda zařízení vytvářejí připojení mimo očekávaný rámec, což je možným příznakem bočního pohybu útočníků, kteří hledají způsoby napadení dalších počítačů a eskalace privilegií.
Použití agentů může znamenat nutnost mít další konzoli pro správu, což představuje větší složitost a potenciálně vyšší náklady, upozorňuje Randy Abrams, ředitel výzkumu ve společnosti NSS Labs, která zkoumá platformy NGEPP.
„V určitém bodě to povede i k rozdílu v počtu pracovníků,“ vysvětluje Abrams a dodává: Pro správu všech konzolí může být třeba větší množství personálu, a to se promítá do vyšších nákladů.
Je to také záležitost kompatibility, tvrdí Rob Ayoub, také jeden ze šéfů výzkumu ve společnosti NSS Labs. „Jak zajistíte, aby libovolní dva agenti spolupracovali, a komu zavoláte, pokud kooperovat nebudou?“
Bezpečnost řízení a správy těchto platforem by se měla kontrolovat také, upozorňuje Pingree, aby se minimalizovalo ohrožení platforem samotných od interních útočníků.
Podniky by měly hledat produkty ochrany koncových bodů s nástroji, které umožňují různé úrovně přístupu pro personál IT, jenž má rozdílné role. Bylo by například užitečné povolit omezený přístup pro správce, zatímco inženýři reagující na incidenty by měli větší přístup, vysvětluje Pingree.
Analytické stroje
Analýza je nezbytná, ale také složitá, a to natolik, že to může být samostatná služba, jako je například ta, kterou nabízí společnost Red Canary.
Namísto shromažďování dat z koncových klientů pomocí vlastních agentů využívá senzory dodávané společností Bit9+CarbonBlack. Red Canary tato data obohatí o zpravodajské informace o hrozbách, získané od různých dalších komerčních bezpečnostních firem, vše analyzuje a generuje varování o narušeních, která najde v sítích svých zákazníků.
Tento analytický stroj označí potenciální problémy, ale kontrolu označených událostí vykonávají lidé – analytici, aby ověřili, zda jde o skutečné hrozby. To analytikům podnikového zabezpečení pomáhá omezit počet varování, na která musejí reagovat.
Nově vytvořená společnost Barkly zase uvádí, že pracuje na agentovi pro koncové body, který místně analyzuje situaci koncového bodu a automaticky blokuje škodlivé aktivity. O vykonaných akcích také informuje příslušného správce.
Tyto stroje potřebují připojení k větším zdrojům zpráv o hrozbách, kde jsou informace o charakteristice útoků z hlediska jejich šíření a o aktivitách vedoucích k narušení bez použití kódu, který by bylo možné označit jako malware, uvádí Abrams.
Většina z toho, co se ví o funkcích detekce v rámci koncového bodu a nástrojích reakce, je to, co o jejich schopnostech říkají ti, kdo je i vytvářejí. Pokud je to tedy možné, měli by potenciální zájemci použít zkušební verze, aby si funkce a efektivitu osobně ověřili ještě před nákupem. „Nevýhodou vznikajících technologií je, že nejsou dostatečně otestované,“ upozorňuje i Pingree.
Náprava
Nástroje detekce v koncovém bodu sbírají velké množství dat, která lze takticky použít k zastavení útoků, ale také k podpoře forenzního vyšetřování vývoje událostí – od průniků až po exploity. To může pomoci zjistit, jaká zařízení potřebují ošetření, a někteří dodavatelé se snaží tento proces zautomatizovat...
Experti z CZ.NIC objevili díky routerům Turris potenciální botnet, který útočí na stařičký Telnet
2.9.2016 Zive.cz BotNet
Majitelé experimentálních routerů Turris si na nich mohou aktivovat vábničky, které otevřou TCP porty pro komunikaci skrze terminály SSH a Telnet. Útočník ale ve skutečnosti nebude kompromitovat váš router, ten jej totiž mezi tím už dávno přesměroval na serveru CZ.NIC.
Pokud máte router Turris a zapojíte jej do systému vábniček (honeypotů) CZ.NIC, sami se můžete podívat, kdo se pokouší dostat na SSH skrze port 22 na vaší IP adrese a jaké příkazy zkouší. Zpravidla jsou stejné, protože je řídí nějaký botnet/automat.
V každém případě platí, že CZ.NIC, který routery Turris provozuje, má k dispozici zajímavá čísla, ke kterým se ostatně dostanou i ostatní členové komunity.
Experti na jaře objevili obrovský skok v útocích na stařičký Telnet, který je přitom spíše na ústupu. Objem útoků byl natolik velký a náhlý, že začali zkoumat zákeřné IP adresy a s pomocí Shodanu zjistili, že se ve velké míře jedná o všemožná zařízení IoT počínaje bezpečnostními kamerami připojenými k internetu a konče multimediálními přehrávači a domácími Wi-Fi routery.
Roboti zdaleka neútočí jen na SSH, zájem o stařičký Telnet je stále obrovský (graf vlevo má logaritmické měřítko). V květnu se nejspíše ozval botnet, který zneužil internet věcí.
Zdá se tedy, že na jaře začal aktivně útočit na stařičký Telnet některý z velkých botnetů, který zneužívá zranitelností v síťových krabičkách, dostane se do jejich nitra a pokouší se skrze ně přihlašovat na Telnet napříč celým spektrem IP adres, do kterého se dostali i majitelé routerů Turris.
Pokud provozujete zařízení připojené k internetu, můžete si bezpečnost jeho IP adresy ověřit pomocí tohoto nástroje od CZ.NICu. Zjistíte, jestli IP adresa náhodou nefiguruje na seznamu útočníků, který ale pochopitelně nemusí být kompletní.
Ransomware jako služba
27.8.2016 SecurityWorld Viry
Experti bezpečnostní firmy odhalují, jak funguje Cerber, jeden z ransomwaru, který funguje na bázi služby, a jak snadné je využít jej pro své nekalé účely.
V 60stránkové zprávě zveřejnil Check Point Threat Intelligence and Research Team ve spolupráci s partnerskou výzkumnou organizací IntSights Cyber Intelligence nové podrobnosti a informace o technickém a obchodním pozadí ransomwaru Cerber.
Z reportu vyplývá, že ze všech ransomwarů má Cerber výrazně vyšší míru infekce a je ziskovější. Cerber v současné době využívá více než 160 aktivních kampaní po celém světě a předpokládané celkové roční příjmy jsou ve výši přibližně 2,3 milionů dolarů.
Každý den je v průměru spuštěno osm nových kampaní. Jen v červenci výzkum odhalil přibližně 150 tisíc obětí v 201 zemích a teritoriích. V České republice byla v červenci infikována zařízení více než 700 uživatelů.
Affiliates program Cerber je také úspěšnou pračkou peněz. Cerber používá bitcoinovou měnu, aby se vyhnul sledování a vytváří pro každou ze svých obětí unikátní peněženku pro příjem finančních prostředků.
Po zaplacení výkupného (obvykle jeden bitcoin, který má ale v současné době hodnotu 590 dolarů) obdrží oběť dešifrovací klíč. Bitcoin je přesunutý k vývojáři malwaru přes službu, která zahrnuje desetitisíce bitcoinových peněženek, takže je téměř nemožné je jednotlivě vysledovat. Na konci tohoto procesu získá vývojář peníze a partneři obdrží svůj podíl.
Cerber také otevírá dveře dalším rádoby hackerům. Umožňuje totiž i netechnickým jednotlivcům a skupinám podílet se na vysoce výnosném obchodu a spouštět nezávislé kampaně s využitím speciálních kontrolních a řídících (C&C) serverů a pohodlného ovládacího panelu, který je k dispozici v 12 různých jazycích.
Expert detailně mapovali od června 2016 komplexní systém vytvořený kolem ransomwaru Cerber a celou globální distribuční infrastrukturu. Byli schopní obnovit virtuální peněženky obětí, což týmu umožnilo sledovat platby a transakce a analyzovat pohyb zisků z malwaru a finanční toky.
Navíc tyto informace prý umožňují vytvořit dešifrovací nástroj, který může opravit infikované systémy, aniž by uživatelé nebo organizace museli kyberzločincům platit výkupné.
Cerber report
Počítače terorizuje nový vyděračský virus. Bezpečnostní experti už mají řešení
27.8.2016 Novinky/Bezpečnost Viry
Internetem se bez nadsázky jako lavina začal šířit nový vyděračský virus zvaný Alma. Tento nezvaný návštěvník zamkne data v počítači a požaduje výkupné. Vrásky na čele nicméně uživatelům příliš dělat nemusí, protože bezpečnostním expertům se na něj podařilo již vyzrát.
Na nového člena z rodiny ransomware, jak jsou souhrnně označovány vyděračské viry, upozornili výzkumníci ze společnosti PhishLabs. Ta se zabývá hledáním a analyzováním nových bezpečnostních hrozeb.
Škodlivý kód Alma útočí prakticky úplně stejně jako ostatní vyděračské viry. Nejprve začne šifrovat obsah počítače a uživateli zobrazí oznámení, že za dešifrování dat musí zaplatit, jinak se ke svým datům údajně již nikdy nedostane.
Výkupné neplatit
Ani po zaplacení výkupného ale nemají uživatelé jistotu, že se ke svým datům skutečně dostanou. Virus je nutné z počítače odinstalovat a data následně pomocí speciálního programu odšifrovat. V některých případech to ale není možné.
To však naštěstí o škodlivém kódu Alma již neplatí. Bezpečnostní experti dokázali v rekordně krátkém čase tohoto nezvaného návštěvníka analyzovat a vyvinout dekryptovací program.
S touto bezplatnou utilitou se uživatelé dostanou zpět ke všem svým datům, aniž by museli vyděračům zaplatit byť jen jedinou korunu. Samotný program i návod k jeho použití je možné stahovat ze stránek tvůrců, k dispozici je však pouze v anglickém jazyce.
Nový virus pro Android je vychytralý, útočníci ho ovládají přes Twitter
27.8.2016 Živě.cz Viry
Populární sociální síť Twitter nemusí sloužit pouze pro sdílení krátkých příspěvků mezi lidmi. Kyberzločinci totiž dokážou přes Twitter ovládat i své viry.
Bezpečnostní experti odhalili nový škodlivý kód, jehož cílem jsou zařízení s operačním systémem Android. Slouží jako vstupní brána pro další viry, přičemž ho útočníci dokážou nenápadně ovládat přes Twitter. Informace o hrozbě zveřejnila společnost Eset na svém webu.
Malware čeká na příkazy z Twitteru
Malware označený názvem Android / Twitoor se šíří prostřednictvím pochybných internetových stránek s aplikacemi. Byly však zaznamenány i případy, kdy byl odkaz na jeho stažení rozesílán prostřednictvím SMS či MMS zpráv.
Po úspěšném nainstalování zůstane ukrytý v operačním systému, přičemž vyčkává na řídicí příkazy. Na rozdíl od běžných virů, které v mnoha případech komunikují přímo se serverem útočníků a jsou tak odhalitelné na základě datového provozu, tato varianta zneužívá sociální síť Twitter.
V pravidelných intervalech probíhá kontrola předem definovaného twitterového účtů. Na něm autoři zanechávají tweety obsahující zašifrované řetězce. Software je dešifruje a provede příkaz. Řídící twitterový kanál lze samozřejmě průběžně měnit a mezi přijímanými příkazy je například možnost stažení a instalace libovolné aplikace.
Může přijít vydírání
Na základě těchto vlastností dokážou kyberzločinci vytvořit rozsáhlou síť složenou z infikovaných chytrých telefonů. Následné využití takového botnetu může být různé. Lze provádět DDoS útoky, těžit virtuální měny či globálně infikovat stovky telefonů a tabletů malwarem či spamem.
Prostřednictvím Android / Twitoor se v současnosti šíří různé verze bankovních virů. Jak však experti zdůrazňují, útočníci mohou přes botnet kdykoli začít distribuovat jakýkoli jiný typ virů, včetně vyděračského ransomwaru.
Uvedená hrozba sice nebyla nalezena v žádném oficiálním obchodě s aplikacemi, přesto jde o zajímavý obrat ve vývoji škodlivých kódů určených pro chytré telefony. Ovládání infikovaných zařízení přes Twitter přitom není žádnou novinkou. Již v roce 2009 se objevily první botnety zneužívající Twitter. V té době však šlo o počítače s operačním systémem Windows.
Opera pod útokem. Raději resetovala hesla všem svým uživatelům
27.8.2016 cnews.cz Počítačový útok
Norská Opera právě oznámila, že resetovala hesla svých uživatelů ke službě Opera Sync. Ta slouží k synchronizaci záložek, nastavení, historie i hesel. Důvodem pro tento krok bylo detekování útoku na některé své servery, při kterých zřejmě unikla některá uživatelská data (hesla prý ale jen v zašifrované podobě). Opera přesto raději resetovala hesla všem uživatelům této služby. Pro obnovení stačí kliknout na obnovení hesla a zadání nového.
Počet uživatelů služby Opera Link činí 1,7 milionu, což je ani ne půl procenta všech uživatelů Opery. Přitom Opera Sync je jednou z nejdůležitějších služeb prohlížeče, stejně jako obdobné služby u ostatních prohlížečů. Nedávno měli o koupi Opery zájem Číňané, které se ale (možná naštěstí) nakonec neuskutečnilo.
Druhý Snowden? Hacker dělá NSA vrásky na čele
26.8.2016 Novinky/Bezpečnnost Hacking
Americká tajná služba NSA, jež si díky odhalením Edwarda Snowdena vysloužila pověst světového slídila, teď zažívá horké chvíle. Na digitální aukci se totiž ocitají její vlastní hackerské nástroje, což potvrzují znalci.
„Určitě to vypadá jako nástroje použité NSA,“ citoval server Yahoo francouzského experta Matta Suicheho. Zásluhu na „vykradení“ obávané NSA si připsala hackerská skupina The Shadow Brokers, a slíbila, že zveřejní ještě víc.
Krátce nato se ozval hacker s twitterovým účtem 1x0123 a oznámil, že hodlá nástroje NSA prodat na digitální aukci za osm tisíc dolarů. Z jeho ne zcela jasného vyjádření vyplývá, že je ukradl skupině The Shadow Brokers.
Twitterový účet hackera, který vystupuje pod přezdívkou 1x0123.
FOTO: repro Twitter
Nebylo by to poprvé, kdy by něco podobného udělal, a jeho šikovnost před několika měsíci na Twitteru ocenil z ruského azylu i Snowden. „Běžná podezření znovu začínají u Ruska, ačkoli se zdá, že je málo důkazů, jež by taková obvinění doložila,“ napsala agentura Reuters.
Pokud by totiž podle ní nástroje NSA skutečně ukradli Rusové, nemělo by smysl to zveřejňovat, natož je nabízet k prodeji. „Logičtější vysvětlení by byla krádež zevnitř,“ domnívá se agentura, čímž nadhodila možnost, že uvnitř NSA může pracovat další Snowden.
Pokud to tak je, je o důvod víc pochybovat o užitečnosti služby, která tajně shromažďuje soukromé informace miliónů Američanů, ale nedokáže zabránit odcizení svých nejcennějších dat.
Ruský hacker Selezňov byl v USA odsouzen za krádeže karetních dat
26.8.2016 Novinky/Bezpečnnost Hacking
Soud v americkém Seattlu ve čtvrtek uznal ruského hackera Romana Selezňova vinným z krádeže čísel téměř dvou miliónů kreditních karet. Muž, jehož předloňské zadržení na Maledivách označilo Rusko za únos, je podle soudu vinen ve 38 bodech obžaloby zahrnujících mimo jiné počítačové pirátství a podvod, informovala agentura AP. Hrozí mu až 34 let vězení.
Selezňov si podle žalobců přišel na bezmála 17 miliónů dolarů (více než 407 miliónů Kč) tím, že na nelegálních webech prodával identifikační čísla kreditních karet. Ta získával z počítačových systémů pizzerií a restaurantů většinou ve státě Washington na severozápadě USA. Prokuratura uvedla, že takto získal citlivé údaje o 1,7 miliónu karet.
Follow
112 News @112NewsFeed
#US court finds #Russian #hacker #Seleznev guilty of #cybercrimehttp://goo.gl/VqGWGV
10:24 PM - 25 Aug 2016
Retweets likes
Roman Selezňov
Jeho obhájci tvrdili, že žaloba přesvědčivě neprokázala spojitost mezi útoky na počítače podniků a Selezňovem. Rovněž napadli věrohodnost důkazů získaných z jeho laptopu, s nímž podle obhajoby nedovoleně manipulovali příslušníci tajné služby.
Soud dal však za pravdu prokuratuře a o výši trestu se bude rozhodovat 2. prosince.
Selezňov tuto činnost provozoval od roku 2010 až do svého zadržení. Americká justice jej obvinila už v roce 2011, ale v Rusku ho zadržet nemohla. Když v roce 2014 Selezňov odjel na dovolenou na Maledivy, požádal Washington tamní úřady o spolupráci. Podle Ruska šlo o organizovaný únos a porušení mezinárodního práva.
Lidé podceňují zabezpečení. Každý dvanáctý Čech čelil v zahraničí útoku hackerů
22.8.2016 Novinky/ Bezpečnost Zabezpečení
Útoky hackerů nejsou ničím výjimečným, a to ani v době dovolených. V zahraničí se s nimi setkal každý 12. Čech. Vyplývá to z průzkumu antivirové společnosti Kaspersky Lab, podle kterého celkem 15 procent Čechů přišlo někdy v zahraničí o peníze, 12 procent se setkalo s on-line podvodem a osmi procentům někdo zneužil jejich platební karty.
Vzhledem k chování Čechů na cestách nejsou tyto údaje podle Kaspersky Lab překvapující. Průzkum ukázal, že tři čtvrtiny dotázaných se připojují k jakýmkoli veřejným Wi-Fi sítím, které mohou být zneužity kybernetickými zločinci. Přes potenciálně nebezpečná připojení pak téměř polovina českých respondentů používá internetové bankovnictví a více než třetina nakupuje on-line.
Bezpečnou VPN při připojení k veřejným sítím používá pouze 26 procent Čechů. Téměř čtvrtina v průzkumu přiznala, že se při připojování k internetu nijak nechrání.
"Připojit se k internetu pomocí nezabezpečené Wi-Fi sítě v zahraničí je jednoduché. Lidé pak automaticky pokračují v rutinních činnostech, jako je použití internetového bankovnictví nebo nakupování. Nepřemýšlí už ale, jaké následky může jejich chování mít," uvedl analytik Kaspersky Lab David Emm.
Uživatelé by se měli při cestování a připojování k internetu v zahraničí dostatečně chránit. Nikdy by neměli spustit z dohledu své platební karty a k internetu by se měli připojovat pouze pomocí zabezpečeného VPN připojení.
Nebezpečné triky počítačových pirátů
19.8.2016 Securityworld Kriminalita
Kyberzločinci se snaží neustále hledat nové cesty, jak se dostat lidem do PC. V posledních měsících jejich snahy stále častěji směřují také k chytrým telefonům. Často jim přitom nejde pouze o získání citlivých dat, důmyslné podvody jim vydělávají velké peníze.
Jednou z hlavních motivací k šíření nebezpečných virů je relativně snadný zisk. Například díky vyděračskému viru zvanému TeslaCrypt si počítačoví piráti jen za první čtvrtletí letošního roku vydělali podle odhadů FBI více než 200 miliónů dolarů, tedy v přepočtu bezmála pět miliard korun.
Na napadeném stroji dokáže tento nezvaný návštěvník udělat pěkný nepořádek. Nejprve zašifruje všechna data uložená na pevném disku. Za jejich zpřístupnění pak útočníci požadují výkupné, a to klidně i několik tisíc korun. Zmiňované miliardy tak útočníkům zaplatili skutečně samotní uživatelé.
Prostřednictvím dalších virů mohou kyberzločinci zase počítač doslova zotročit, získají tedy nad ním absolutní nadvládu.
Mobily jsou zlatý důl
Podobný nezvaný návštěvník se ale nemusí zabydlet pouze v počítači, v dnešní době dokážou kyberzločinci zotročit i chytrý telefon. Takový úlovek je pak pro piráty doslova zlatý důl.
Většina bankovních účtů je totiž jištěna proti neoprávněnému čerpání financí právě prostřednictvím mobilů – pomocí SMS zpráv. Když se dostanou kyberzločinci do chytrého telefonu, mají bankovní účet doslova na dosah ruky.
Útočníci vyzvou například prostřednictvím nevyžádané pošty klienty internetového bankovnictví k instalaci bezpečnostní aplikace do mobilního telefonu.
Ve skutečnosti se však nejedná o bezpečnostní aplikaci, ale hlášku vygenerovanou virem v počítači.
Před podobnými nezvanými hosty dokážou počítače, tablety i chytré telefony ochránit speciální programy. Kromě klasických antivirů jde například o aplikace, které se soustředí pouze na špionážní software a hledání trojských koní.
Škodlivý kód HummingBad se šíří jako lavina
Bezpečnostním expertům dělá v posledních měsících vrásky na čele škodlivý kód HummingBad, který se zaměřuje na telefony a tablety s operačním systémem Android. Tento nezvaný návštěvník totiž nakazil za pouhých pár měsíců na deset miliónů mobilních zařízení. Vyplývá to z analýzy bezpečnostní společnosti Check Point.
Severokorejský chytrý mobil Arirang
Nezvaný návštěvník dovoluje počítačovému pirátovi převzít nad napadeným strojem absolutní kontrolu. „Tento malware se zaměřuje na zařízení se systémem Android. Vytváří trvalý rootkit na zařízení,“ upozornil David Řeháček, bezpečnostní odborník ze společnosti Check Point. Schopnost škodlivého kódu se v zařízení maskovat – tedy zmiňovaný rootkit – značně znesnadňuje možnost jeho odhalení na napadeném zařízení.
Ve chvíli, kdy se HummingBad na mobilním zařízení zahnízdí, začne dál škodit. „Instaluje podvodné aplikace a umožňuje další škodlivé aktivity, jako například instalace keyloggerů, krádeže přihlašovacích údajů a obcházení šifrování e-mailů pro lepší zachycení podnikových dat,“ konstatoval Řeháček.
Jinými slovy počítačoví piráti převezmou nad napadeným přístrojem naprostou kontrolu. Mohou jen vyčkávat a sledovat aktivitu uživatele, stejně tak ale dovedou odchytávat zprávy týkající se internetového bankovnictví. Teoreticky tedy mohou uživatele připravit o peníze.
HummingBad se šíří zatím výhradně v prostředí platformy Android, a to zpravidla jako součást aplikací z neoficiálních zdrojů. Stejně tak se ale do přístroje může dostat prostřednictvím nevyžádaného e-mailu.
Falešná hra Pokémon Go uzamkne displej mobilu
Hra Pokémon Go je celosvětovým fenoménem. Toho se snaží využít také počítačoví piráti, kteří prostřednictvím falešných verzí šíří škodlivé kódy. Jedním z nich je i nový virus – tzv. lockscreen, který uzamkne displej telefonu a tím jej zcela zablokuje. Upozornili na něj experti antivirové společnosti Eset.
Doposud kyberzločinci šířili škodlivé kódy výhradně prostřednictvím neoficiálních verzí aplikace, které se objevovaly na různých webech. Nikoliv tedy prostřednictvím oficiálních internetových obchodů s aplikacemi.
U nového viru, který se maskuje za hru Pokémon Go, je tomu ale jinak. „Pokemon GO Ultimate je první zaznamenanou falešnou aplikací v Google Play s funkčností lockscreen. Ve skutečnosti není příliš škodlivá, jejím cílem je skryté klikání na porno reklamy,“ uvedl Petr Šnajdr, bezpečnostní expert společnosti Eset.
Záměr útočníků je tedy zřejmý. Nesnaží se uživatele nějak poškodit, nebo odcizit jeho data. Pouze se snaží prostřednictvím umělého navýšení kliků na bannery zvýšit příjmy daných webů z reklamy. Zamčený displej nejde žádným způsobem odemknout.
V mnoha případech je jediným řešením tzv. tvrdý restart zařízení, který se dělá jednoduše vyndáním baterie nebo kombinací určitých kláves. I po restartu ale zvládne nezvaný návštěvník klikat na porno stránky na pozadí a tím ukrajovat výkon smarpthonu.
Virus Keydnap krade hesla
Na pozoru by se měli mít uživatelé počítačů od společnosti Apple. V prostředí operačního systému Mac OS X se totiž šíří nebezpečný virus zvaný Keydnap. Ten dokáže na napadeném stroji udělat pěknou neplechu, především krade hesla k různým službám.
Mac Pro
Podle bezpečnostních expertů se škodlivý kód šíří především v souborech s koncovkou .zip, přičemž se pomocí jiné ikony snaží maskovat za textový dokument nebo obrázek. Nezvaný návštěvník se tak logicky nejčastěji šíří prostřednictvím nevyžádaných e-mailů. V počítači s operačním systémem Mac OS X se pak Keydnap snaží získat přístup k části systému, do které se ukládají hesla. Zároveň se snaží napadený stroj zařadit do tzv. botnetu, tedy do sítě zotročených počítačů.
Počítačoví piráti díky tomu pak mohou z napadeného stroje rozesílat další nevyžádané e-maily, případně je mohou zneužít k útokům typu DDoS. Při něm stovky až tisíce počítačů začnou přistupovat v jeden okamžik na konkrétní server. Ten zpravidla nezvládne tak vysoké množství požadavků zpracovat a spadne. Pro běžné uživatele se takto napadená webová stránka tváří jako nedostupná.
Podle bezpečnostních expertů jsou v bezpečí uživatelé, kteří mají nastavenou funkci Gatekeeper tak, aby umožňovala spouštění pouze aplikací digitálně podepsaných pomocí vývojářského ID přiděleného společností Apple.
Přes Facebook šíří poplašné zprávy
Facebookem se začal šířit nový podvod, prostřednictvím kterého se snaží počítačoví piráti vylákat přihlašovací údaje jednotlivých uživatelů. Kyberzločinci tvrdí, že se Praha stala terčem teroristického útoku. Na poplašnou zprávu se podle bezpečnostních expertů antivirové společnosti Eset nechalo nachytat již několik tisíc Čechů a Slováků.
Útok má poměrně jednoduchý scénář. Na Facebooku některého z přátel se objeví odkaz na falešný zpravodajský článek pojednávající o údajném teroristickém útoku s větším množstvím obětí.
Zpráva má už na první pohled podezřelý titulek „30 minut před: 1 teroristického útoku došlo v Praze, při kterých nejméně 187 lidí bylo zabi”. Je navíc doplněna o fotografii z údajného místa útoku, která však zcela evidentně nepochází z hlavního města České republiky. Pořízena byla při útoku v Bagdádu v roce 2010, další varianta zase používá snímek z nedávného útoku v Nice.
V některých případech navíc kyberzločinci podvodné zprávy ještě více specifikují, aby nalákali co možná nejvíce důvěřivců. Jeden z odkazů, které bezpečnostní experti zachytili, tvrdil, že český prezident Miloš Zeman byl zavražděn ve vlastním domě. K šíření podvodných zpráv útočníci využívají účty na Facebooku, které se jim již podařilo napadnout. Právě proto se mohou podobné zprávy objevovat i pod hlavičkou skutečných přátel.
Smartphone dokážou ovládnout kyberzločinci na dálku
Bezpečnostní experti bijí na poplach. Objevili totiž hned čtyři zranitelnosti, jejichž prostřednictvím mohou počítačoví piráti ovládnout cizí smartphone na dálku. Podle prvních odhadů je v ohrožení více než 900 miliónů chytrých telefonů. Trhliny se týkají výhradně přístrojů postavených na platformě Android.
Celkem čtyři chyby nicméně neobsahuje samotný operační systém, ale ovladače čipsetu od společnosti Qualcomm. Nutno podotknout, že tuto čipovou sadu používá drtivá většina aktuálně nabízených smartphonů. Záplaty pro tři zranitelnosti jsou již k dispozici, na čtvrtou se však stále čeká. Tato chyba je přitom kritická, kyberzločinci ji mohou zneužít k napadení prakticky jakéhokoli přístroje s operačním systém Android 6 a všech dřívějších verzí.
Na přístroj stačí propašovat škodlivou aplikaci, jejímž prostřednictvím počítačoví piráti získají práva administrátora. Pak mohou libovolně přistupovat ke všem datům uloženým v telefonu, případně měnit jeho nastavení. Vše přitom probíhá v tichosti, uživatel si nemusí žádné nekalé aktivity všimnout. Uživatelé by se měli mít na pozoru před instalací programů z neznámých zdrojů. Právě tam se nejčastěji ukrývají nezvaní návštěvníci, které mohou kyberzločinci zneužít.
LOGmanager ve verzi 2.0 nabídne lepší práci s parsery i alerty
19.8.2016 Securityworld Zabezpečení
Novou verze svého řešení LOGmanager, systému pro log management a SIEM, uvedla na náš trh tuzemská firma Sirwisa.
LOGmanager ve verzi 2.0 nabídne lepší práci s parsery i alerty
Hlavní inovací varianty 2.0 jsou podle výrobce uživatelsky definované parsery přes grafické rozhraní, dále klasifikátory parserů podle zdrojů a nová podoba systému varovných hlášení s velmi detailní definicí podmínek.
V nové variantě LOGmanageru se uživatelé mohou setkat rovněž s přepracovaným uživatelským prostředím GUI, který přináší výrazně rychlejší odezvu webového rozhraní.
Doplněná byla podpora pro správu přidání vlastních certifikátů a aktualizovaný je také Windows Event Sender, agent pro sběr logů z prostředí Windows, který v nové verzi podporuje šifrovaný režim přenosu a ověřování validity certifikátů.
Produkt na našem trhu distribuuje firma Veracomp.
Eset vylepšuje NOD32 i Smart Security
19.8.2016 Securityworld Zabezpečení
Nové verze – varianty 10 -- svých bezpečnostních řešení NOD32 a Smart Security představil Eset. Nabízejí mj. ochranu před skriptovými útoky či zabránění zneužití webové kamery.
Eset zahájil prodej nové řady produktů pro SOHO a domácnosti. Nabízejí řadu nových funkcí, mezi které patří například ochrana před skriptovými útoky, která je součástí antivirové ochrany NOD32 Antivirus.
Smart Security navíc nově obsahuje ochranu webové kamery - uživatel může jednoduše povolit nebo zablokovat aplikace (dočasně i trvale), které se snaží webkameru použít.
Nové funkce v bezpečnostních řešeních Esetu podle výrobce
Ochrana před skriptovými útoky detekuje útoky škodlivých skriptů, které se snaží zneužít prostředí Windows PowerShell, a Javascriptové útoky ve všech běžných internetových prohlížečích. Funkce je obsažena ve všech uváděných produktech.
Ochrana domácí sítě umožňuje otestovat domácí router na různé zranitelnosti, jako je slabé heslo nebo neaktuální firmware. Poskytuje seznam aktuálně připojených zařízení a uživatel je může pro lepší přehlednost řadit do různých kategorií. Funkce je obsažena v produktu Smart Security.
Ochrana webkamery monitoruje všechny procesy a aplikace běžící na počítači a upozorní uživatele na nestandardní použití webové kamery. Funkce je obsažena v produktu Smart Security.
Hackeři napadli i počítače amerických republikánů
19.8.2016 Novinky/Bezpečnost Hacking
Hackeři napadli počítače americké Republikánské strany i pracovníků kampaně jejího kandidáta na prezidenta Donalda Trumpa. S odvoláním na zdroje z vyšetřování to ve čtvrtek napsala agentura Reuters. Už dříve americká média oznámila, že hackeři napadli i konkurenční Demokratickou stranu.
Republikánský kandidát Donald Trump
Podle Reuters hackeři umístili škodlivý software do napadených republikánských počítačů v loňském roce. Trumpova kampaň poté najala bezpečnostní firmu CrowdStrike, která pomáhá i Demokratické straně řešit následky hackerského útoku proti ní. Republikáni se k záležitosti nevyjádřili.
Za útoky na Demokratickou stranu podle amerických vyšetřovatelů stáli hackeři z Ruska. E-maily získané hackery od demokratických představitelů ukázaly, že vedení Demokratické strany dávalo v primárkách přednost Clintonové před jejím soupeřem Berniem Sandersem. Kvůli aféře podala demisi předsedkyně demokratů Debbie Wassermanová Schultzová.
Tajné služby jdou po zranitelnostech v hardwaru
19.8.2016 Root.cz Hacking
bulletin Cisco exploit Hack hacker Hacking kyberbezpečnost NSA zranitelnost
Minulý týden, v pátek, jsme psali o zranitelnosti vzdáleného spuštění kódu v D-link routerech, postihující 11 modelů zařízení.
Nedávný hack Equation Group (úzce spojený s NSA) zveřejnil informaci o exploitech proti síťovému zařízení, vyrobeném největšími americkými výrobci: Cisco, Juniper a Fortinet.
Jen dnes jsme zjistili několik bezpečnostních bulletinů popisujících dvě zero-day zranitelnosti v CISCO ASA Appliances (CVE-2016–6366, CVE-2016–6367), vzdálené spuštění kódu ve FortiOS (SB2016081801) a velmi nepříjemný problém s výchozím veřejným ssh-key ve VMWare Photon OS (CVE-2016–5332).
Cisco potvrdilo EXTRABACON a EPICBANANA exploity, avšak nejsou žádné informace od dalších dodavatelů. Fortinet neudělal oficiální prohlášení, jen uvolnil bulletiny popisující zranitelnost vzdáleného spuštění kódu ve FortiOS. Není známo, zda je problém spojený s únikem.
Začátkem letošního roku musel Juniper čelit backdooru v ScreenOS zdrojovém kódu, který byl přítomen v bezpečnostním řešení minimálně od roku 2009.
Je zřejmé, že takový zájem o zranitelnosti v síťových zařízeních je kvůli nedostatku implementovaných ochranných mechanismů. Zatímco pracovní stanice a servery jsou často aktualizovány a jsou vybaveny firewally a antivirovými softwary, zařízení určené k poskytnutí základní ochrany zklamalo. Proces aktualizace firmwaru pro většinu síťových zařízení je komplikovaný a často vyžaduje dodatečné úsilí od pracovníků IT, anebo může způsobit výpadek.
Situace se zranitelnosmi v hardwaru je velmi znepokojujíci. Zařízení, která by měla poskytovat alespoň nejzákladnější stupeň ochrany pro vaše síťové prostředky, můhou být jednoduše zkompromitována, jako každý jiný hostitel. Už není vůbec bezpečené, spoléhat se jen na zařízení od vašeho dodavatele. A i když máte tucet firewallů, neznamená to, že nemají vadnou implementaci některých síťových protokolů.
Každopádně vám doporučujeme omezit přístup ke službám, které čelí internetu přímo. Můžete použít náš Online scanner zranitelností zdarma k prozkoumání otevřených portů a přítomnosti zranitelného softwaru ve vašem systému.
By Cybersecurity Help =)
anchors in page */ $(document).ready(function() { $('div[class*="rs-img-"] a') //only .filter(function(i) { return $(this).children('img').length > 0; }) .addClass('lightbox') .append('') .filter(function(i) { if(this.nodeName == 'A' && this.href.match(/-orig.[a-z]+$/)) { $(this).addClass('orig'); return false; } else { return true; } }) .attr('rel', 'clanek-img') .fancybox({ 'titleShow' : false, 'transitionIn' : 'elastic', 'transitionOut' : 'elastic' }); });
Terčem hackerů se stala nadace Clintonových. Stopy vedou do Ruska
18.8.2016 Hacking
Nadace Billa a Hillary Clintonové si najala bezpečnostní společnost FireEye, aby po známkách hackerského útoku prověřila její datové systémy. S odvoláním na dva nejmenované zdroje o tom v noci na čtvrtek informovala agentura Reuters. Na veřejnost podle nich zatím neunikl žádný dokument, u kterého by bylo jasně patrné, že se tam dostal prostřednictvím hackerů.
Američtí činitelé pod podmínkou zachování anonymity sdělili, že hackeři použili stejnou techniku jako ruské zpravodajské služby nebo jejich zprostředkovatelé během kybernetického útoku proti institucím z americké Demokratické strany, za kterou Clintonová kandiduje na prezidentku Spojených států. To by prý mohlo naznačovat, že Rusové zaútočili také na nadaci Clintonových.
Jeden z těchto zdrojů a dva američtí činitelé uvedli, že hackeři využili takzvaný cílený phishing. Součástí této techniky bylo podle zdrojů vytváření podvodných internetových stránek a e-mailů, kterými se počítačoví piráti chtěli vlomit do e-mailů pracovníků nadace Clintonových a později do nadace samotné.
Terčem nedávného hackerského útoku na instituce Demokratické strany se staly počítače jejího vedení (DNS) a stranický výbor pro získávání finančních prostředků pro kandidáty do Sněmovny reprezentantů. Americké úřady Moskvu s útokem na tyto počítače oficiálně nespojují a Rusko účast na akci odmítá.
Hackeři se dostali k heslům desítek miliónů lidí. Jsou mezi nimi i Češi
18.8.2016 Novinky/Bezpečnost Hacking
Na pozoru by se měli mít uživatelé, kteří používali internetovou službu iMesh. Počítačoví piráti se totiž dostali k desítkám miliónů uživatelských účtů z tohoto serveru. Kromě přihlašovacích jmen znají také přístupová hesla. Upozornil na to server Leaked Source.
Služba iMesh v současnosti už nefunguje. Únik hesel přesto představuje pro uživatele riziko.
Hackerům se podařilo získat hesla k více než 53 miliónům účtů na službě iMesh. Nejvíce postižených uživatelů je z USA, kyberzločinci se totiž zmocnili bezmála 14 miliónů přihlašovacích údajů Američanů.
Nezanedbatelné procento z úniku nicméně tvoří také Češi. Podle informací serveru Leaked Source, který uniklá hesla analyzoval, bylo kompromitováno přinejmenším 168 tisíc hesel tuzemských uživatelů.
Jak k úniku došlo, zatím není jasné. Služba iMesh totiž oficiálně ukončila svou činnost už zkraje června, v současnosti je tedy nedostupná. Otazník visí také nad tím, zda se databáze počítačoví piráti zmocnili ještě před koncem fungování serveru, nebo až poté.
Ukradená hesla jsou stále hrozbou
Odcizená hesla nicméně představují velkou hrozbu i poté, co služba přestala oficiálně existovat. Celá řada uživatelů totiž používá stejná hesla na různých serverech – na e-mailu, sociálních sítích či například v internetových obchodech. V případě, že stejné přihlašovací údaje používají uživatelé také na jiných službách, měli by neprodleně změnit hesla i tam.
Přímo server Leaked Source již stihl databázi odcizených hesel analyzovat. Na zmiňovaných webových stránkách si tedy uživatelé mohou ověřit, zda se sami stali obětí útoku. Do příslušného okna na úvodní stránce stačí zadat svou e-mailovou adresu, načež uživatel bude upozorněn, zda si má změnit heslo.
Při hledání přitom server Leaked Source neprochází pouze hesla z útoku na službu iMesh, ale také z dalších úniků. V databázi má bezmála dvě miliardy odcizených hesel.
Za únik informací o 1,5 milionu zákazníků přišla pokuta 3,5 milionu korun. Tak dopadl T-Mobile
18.8.2016 Živě Kriminalita
Úřad pro ochranu osobních údajů (ÚOOÚ) vyčíslil pokutu za červnový únik citlivých dat zákazníků T-Mobilu. Operátor podle úřadu databázi dostatečně nezabezpečil a dopustil se tak správního deliktu, za který má zaplatit pokutu ve výši 3,6 milionu korun. Jde o jednu z nejvyšších pokut, kterou ÚOOÚ kdy udělil. Maximální výše sankce je v tomto případě až 10 milionů korun.
Úřad také odhalil přesnější údaje o zcizených datech. Šlo o osobní údaje zhruba pětiny všech klientů operátora (cca 1,2 milionu zákazníků), přičemž databáze obsahovala jména, příjmení, data narození, adresy, telefonní čísla i čísla účtů zákazníků. Z databáze je ukradl bývalý zaměstnanec operátora.
ÚOOÚ sankci udělil 10. srpna. T-Mobile se proti pokutě může odvolat do 15 dní od rozhodnutí úřadu. Operátor ale této možnosti podle svého vyjádření nevyužije, i když se mu pokuta zdá vysoká:
„Udělený postih akceptujeme, byť se nám pokuta, s ohledem na okolnosti, zdá nepřiměřená. V daném případě šlo o fatální selhání bývalého zaměstnance, který je již trestně stíhán. Ihned po zjištění incidentu jsme zpřísnili bezpečnostní opatření a věříme, že ve spolupráci s ÚOOÚ nastavíme standardy vedoucí k dalšímu zkvalitnění bezpečnosti dat zákazníků.“
Gartner: výdaje na bezpečnost dosáhnou 81,6 miliard USD
17.8.2016 securityworld Bezpečnost
Celosvětové výdaje v oblasti informační bezpečnosti v letošním roce podle analytiků společnosti Gartner porostou o 7,9 %. Největší část peněz půjde do oblasti konzultací a IT outsourcingu, v následujících letech nicméně nejvíce poroste oblast bezpečnostního testování, společně s outsourcingem a prevencí ztráty dat (DLP).
Oblast bezpečnostní prevence bude nadále vykazovat silný růst, neboť řada manažerů bezpečnosti preferuje právě pořizování preventivních opatření. Nicméně řešení jako je správa bezpečnostních informací a událostí (SIEM) či bezpečné webové brány (SWG) nabízejí stále více možností jak bezpečnostní hrozby detekovat a reagovat na ně.
Oblast SWG podle analytiků tak do roku 2020 poroste tempem 5 až 10 procent ročně s tím, jak se organizace budou stále více zaměřovat na detekci a reakci na útoky.
„Rostoucí zájem o řešení pro detekci a odražení útoků je důsledkem neúspěšnosti preventivních opatření při ochraně před agresivními útočníky,“ vysvětluje analytička společnosti Gartner Elizabeth Kimové. „Jednoznačně proto organizacím doporučujeme, aby rovnoměrně investovaly do obou oblastí.“
Podle Kimové budou výdaje na bezpečnost stále více inklinovat směrem ke službám, zejména v důsledku nedostatku vhodných odborníků na pracovním trhu. Objevují se služby jako řízená detekce a odražení útoků (MDR), o něž je zájem zejména mezi organizacemi, které bojují s efektivním nasazením a správou řešení v této oblasti – zejména v případě pokročilých cílených útoků nebo interních hrozeb.
Stále více poskytovatelů MDR se zaměřuje také na středně velké organizace a analytici proto očekávají, že právě tato oblast přispěje k růstu výdajů na bezpečnost jak u velkých, tak u středních a menších podniků.
Naopak růst výdajů v oblastech, jako je bezpečnostní software a řešení pro koncové zákazníky, zabezpečení emailových bran nebo ochrana koncových zařízení, postupně zpomaluje zejména kvůli jejich komoditizaci.
Analytici Gartneru vydali pro oblast informační bezpečnosti také několik předpovědí:
Průměrná prodejní cena firewallů poroste v následujících dvou letech o 2-3 % ročně. Souvisí to zejména s vyšší poptávkou po špičkových modelech ze strany poskytovatelů cloudových i jiných služeb.
Do roku 2018 nasadí 90 procent organizací (tedy o polovinu více než dnes) alespoň jeden typ integrovaného řešení typu DLP. Tato řešení byla doposud nasazována zejména proto, že je vyžadovala legislativa či předpisy, případně pro ochranu duševního vlastnictví, monitoring a zvýšení viditelnosti dat. Nová generace DLP nicméně nabízí analýzu uživatelských entit a chování, analýzu obrazu, strojové učení či techniky pro porovnávání dat.
Rostoucí využívání veřejného cloudu v nejbližších třech letech výrazně neovlivní výdaje na nákup firewallů, následně se ale začne výrazněji projevovat. V minulém roce byly služby SaaS „první“ volbou jen pro 16 % dotazovaných CIO. Přesun do cloudu bude tedy probíhat pozvolna - oblast bezpečnosti SaaS (ale také IaaS a PaaS) budou postupně pokrývat poskytovatelé služeb CASB (zprostředkovatelé zabezpečeného přístupu do cloudu). Výrobci firewallů budou také muset vyřešit otázku „masivního“ dešifrování SSL.
Polovina středních a větších organizací bude do roku 2019 u svých firewallů požadovat pokročilé funkce monitorování provozu. Požadavky na výkon a propustnost už nebudou pro velkou část zákazníků jediným kritériem: mezi stále častěji požadované funkce budou patřit nejen filtrování webových paketů či prevence průniku, ale také izolace (sandboxing) malware.
Virus nakazil statisíce mobilů. Kyberzločinci zneužívají populární aplikaci Prisma
16.8.2016 Novinky/bezpečnost Viry
Prisma je bezesporu jednou z nejpopulárnějších mobilních aplikací letošního léta. Toho si všimli také počítačoví piráti, kteří začali internetem šířit její podvodné verze. Nachytat se nechaly statisíce lidí, uvedli bezpečnostní experti antivirové společnosti Eset.
Zachycené podvodné aplikace byly určeny výhradně pro operační systém Android. Tak velké množství telefonů – dohromady více než 1,5 miliónu – se kyberzločincům podařilo nakazit především proto, že falešné programy propašovali také na oficiální obchod Google Play.
„Většina falešných aplikací Prisma detekovaných na Google Play neměla žádnou funkci pro úpravu fotografií. Místo toho zobrazovaly pouze reklamy, varování nebo falešné průzkumy a nabádaly uživatele, aby poskytli své osobní údaje, nebo si zaplatili falešné a drahé služby prostřednictvím prémiových SMS,“ uvedl Petr Šnajdr, bezpečnostní expert společnosti Eset.
Některé verze obsahují downloader
Některé verze podvodných aplikací nicméně obsahují downloader, prostřednictvím kterého jsou počítačoví piráti schopni do zařízení dostat další nezvané návštěvníky. „Za nejnebezpečnější falešnou verzi aplikace Prisma, jež se vyskytla na Google Play předtím, než byla uvolněna pravá aplikace, považuje společnost Eset aplikaci, která obsahuje malware detekovaný jako Android/TrojanDownloader.Agent.GY,“ konstatoval Šnajdr.
„Ten po infiltraci odesílá informace o napadeném zařízení svému řídícímu serveru a na základě vzdálených příkazů stahuje další moduly a aktivuje je,“ doplnil bezpečnostní expert s tím, že v současnosti již byla tato nebezpečná aplikace z Google Play stažena.
Podvodné aplikace obsahující downloader se nicméně v současnosti mohou šířit přes neoficiální zdroje.
Se snahou podvodníků o šíření podvodných aplikací se mohou uživatelé setkat také u dalších populárních programů. „V podobných případech je třeba být obezřetnější než obvykle. Nad rámec základních doporučení si důkladně zkontrolujte například název dané aplikace a jméno vývojáře. Vše musí přesně souhlasit, nikoli se jen podobat skutečným názvům,“ uzavřel Šnajdr.
Co umí aplikace Prisma?
Aplikace Prisma dovede proměnit obyčejné fotky doslova v umění. Umělá inteligence prý dovede v chytrém telefonu analyzovat jednotlivé aspekty fotografie a pomocí přednastavených algoritmů je převede do umělecké podoby. Samoučící neuronová síť, která malby vytváří, pracuje v cloudovém prostředí.
Ukázka aplikace Prisma.
FOTO: archív tvůrců
Zní to poměrně složitě, v praxi je to ale naopak jednoduché. Prisma dokáže například obyčejný portrét převést tak, jako kdyby jej nakreslil nějaký slavný světový malíř.
V aplikaci si uživatelé mohou nastavit, do jakého stylu nebo uměleckého žánru chtějí svoji fotografii přemalovat. Vybírat je přitom možné i z konkrétních malířů a grafiků. V některých případech se přitom momentky změní doslova k nepoznání.
Vedení amerického Kongresu vědělo o ruských hackerských útocích
13.8.2016 Novinky/Bezpečnost Hacking
Americké tajné služby již před rokem informovaly vedení Kongresu USA o ruských hackerských útocích na počítače Demokratické strany. Podle agentury Reuters to v pátek uvedly nejmenované zdroje z prostředí zpravodajských služeb. Hackeři, kteří i podle vysokých představitelů demokratů pocházeli z Ruska, ukradli straně desetitisíce důvěrných e-mailů. Terčem útoků byla i prezidentská kandidátka Hillary Clintonová.
Američtí zpravodajci podle zdrojů Reuters věděli o ruských aktivitách namířených proti demokratům a dlouhodobě je monitorovali. Před rokem pak o nich podle pravidel informovali vedení zákonodárného sboru.
V osmičlenné skupině politiků, kteří se o tom dozvěděli, byli čtyři republikáni včetně šéfa Sněmovny reprezentantů Johna Boehnera a čtyři demokraté. Mezi nimi figuroval i šéf senátní menšiny Harry Reid nebo kongresmanka Nancy Pelosiová.
Právě ona ve středu přišla s obviněním, že za útokem stála Moskva. Pelosiová prohlásila, že útok byl rozsáhlý a škody jsou stále vyšetřovány. Rusku již dříve akci připsala i Clintonová. [celá zpráva]
Veřejnost se o útoku dozvěděla až v červenci během sjezdu demokratů. Podle listu The New York Times zasáhl více než 100 stranických představitelů a skupin spojených s demokraty. Americký činitel obeznámený s vyšetřováním uvedl, že zatím nejsou důkazy, že by hackeři pronikli do osobního serveru Clintonové nebo do utajovaných systémů.
Administrativa prezidenta Baracka Obamy veřejně Rusko za strůjce útoku neoznačila. Vyšetřovatelé ale podle Reuters došli k závěru, že útočníky řídily ruská vojenská rozvědka GRU a kontrarozvědka FSB. Rusko svou účast na útoku popřelo.
Weby Wedosu jsou pod palbou. Firma hlásí plošný DDoS
13.8.2016 Root.cz Počítačový útok
Tuzemská hostingová firma se ocitla pod palbou útoku. Podle hlášení čtenářů jde o akci, která zlobí servery společnosti celý tento týden.
Firma chce vybudovat v jihočeské Hluboké jedno z nejbezpečnějších datacenter v Česku. Tento týden se jí ale nedařilo a ještě v pátek odpoledne bojovala s masivním DDoS útokem.
Sledovat
Hosting WEDOS.cz @WEDOS_cz
Momentálně je na nás veden velmi silný plošný útok. Na vyřešení situace pracujeme. Omlouváme se za komplikace.
Podle čtenáře Jana Nejmana jde tento týden o několikátý útok. „Útok je zřejmě opravdu plošný, Wedos má kompletní výpadek,“ tvrdí Nejman. To potvrzují i dotazy na Twitteru, které kromě dneška zmiňují výpadek osmého, desátého srpna.
Pro webhostingovou firmu to není nic nového. S útoky se setkává pravidelně. Pokaždé ale připomíná, že se na DDoS připravuje a zesiluje obranu.
Wedos dnes webhosting a virtuální servery živí. Za normálních okolností aktivních hostingů hlásí firma 80 tisíc. Za rok 2014 zaznamenal růst obratu o více než 47 procent. „Za rok 2015 bude růst o něco málo menší, protože nemáme IP adresy verze 4, a tak uměle brzdíme prodej virtuálních serverů. Zároveň jsme část sil věnovali přípravě datacentra a hodně úsilí i ochraně proti DDoS útokům,“ tvrdil loni na podzim šéf firmy Josef Grill s tím, že s novou datovou budovou je zaděláno na další růst.
Microsoftu unikl univerzální zavaděč, obchází UEFI Secure Boot
12.8.2016 Root.cz Incidenty
Objevená mezera ve spolupráci Windows a secure boot (UEFI) sice může ohrozit bezpečnost zařízení, ale také umožní instalaci alternativních systémů na zamčená zařízení od Microsoftu.
Dvojice bezpečnostních výzkumníků, kteří si říkají MY123 a Slipstream, zveřejnila informaci, že operační systém Windows obsahuje mezeru umožňující obejít zabezpečení Secure Boot. V tomto případě hovoříme o pomyslném zlatém klíči, protože podle všeho Microsoft tuto mezeru zřídil záměrně, aby mohl takto chráněná zařízení odemknout. O zlatém klíči by se samozřejmě neměl dozvědět nikdo nepověřený. To se ale nepovedlo.
Než se pustíme do popisu samotného problému, upřesněme, co je vlastně secure boot. Jedná se o vlastnost UEFI (nástupce BIOSu), která umožňuje na daném počítači zavést pouze patřičně podepsaný operační systém. Většina prodávaných počítačů sice má secure boot aktivní, nicméně uživatel ho může bez problémů vypnout. To sice omezí zabezpečení, ale zase si potom můžeme snadno instalovat různé linuxové distribuce atp.
Část zařízení má však secure boot nastavený tak, aby UEFI zavádělo pouze systémy podepsané Microsoftem. Mezi ně nepřekvapivě patří hlavně hardware od Microsoftu – chytré telefony, tablety nebo brýle HoloLens. Není to ale problém pouze těchto zařízení. Přestože domácí uživatelé považují secure boot spíš za otravnou omezující věc, některé firmy ho třeba používají a počítají s ním v bezpečnostní strategii.
Chyba v systému pravidel
Výzkumníci svůj objev popsali na speciální stránce (pozor, je trochu hyperaktivní), zde se to pokusíme jednodušeji shrnout. Pravidla secure boot jsou obsažena v binárním blobu ASN.1, který rovněž musí být podepsán Microsoftem a který je načten v rané fázi bootování. Pravidla také obsahují číslo zařízení DeviceID, které se musí shodovat s DeviceID Windows Boot Manager (bootmgr). V opačném případě použije výchozí pravidla.
Problém je v tom, že v jedné z vývojových verzí výroční aktualizace Windows 10, pracovně označované jako Redstone, byla přidána tzv. dodatková pravidla. Ve stručnosti jde o to, že dodatková pravidla, které v Microsoftu zapomněli dát pryč, lze bez další kontroly aplikovat na výchozí pravidla a změnit nastavení. Včetně aktivace testsigningu – to znamená, že se načte jakýkoliv podepsaný systém, je úplně jedno kým. Čili je to v podstatě totéž jako žádné ověření.
Nejde o nějaký backdoor v negativním slova smyslu jako spíš chybu v návrhu řešení, které mělo usnadnit testování vývojových verzí systému bez nutnosti každé sestavení podepisovat. Také je nutné dodat, že Microsoftu neunikl podpisový klíč, jak by se podle označení zlatý klíč mohlo naznačovat. Ohrožena nejsou ani zašifrovaná data v zařízení. Jde zkrátka o mezeru ve Windows Boot Manager.
Řešení a důsledky
Nálezci chybu nahlásili už v březnu tohoto roku. Zpočátku se s nimi Microsoft moc nechtěl bavit, ale nakonec chybu uznal a nálezce finančně odměnil. Ti však opravy považovali za nedostatečné a proto šli s informacemi o chybě na veřejnost. Chyba v bootmgr byla opravena s výroční aktualizací Windows 10. Znamená to, že jsou počítače s touto verzí Windows v bezpečí a nelze na nich spustit Microsoftem nepodepsaný systém? Nikoliv.
Stačí totiž bootmgr nahradit starší problémovou verzí, což je možné, a opět můžete chybu využít a spustit na zařízení v podstatě jakýkoliv systém. Možným řešením by samozřejmě bylo omezení na konkrétní verze bootmgr, ale to by přineslo další velké problémy. Pro Microsoft je prakticky nemožné zablokovat všechny starší verze bootmgr, protože by to rozbilo instalační média, obnovovací oddíly, zálohy a další, píšou výzkumníci.
Chyba je určitě nepříjemná pro všechny, kdo na secure boot spoléhali, ale pravděpodobně se nejedná o kritický bezpečnostní problém. Pro instalaci pozměněné verze systému s bootkitem či rootkitem by útočník zřejmě potřeboval fyzický přístup k zařízení a ne úplně malé množství času.
Jak to ale často bývá, všechno zlé je pro něco dobré. Pro mobily a tablety s Windows se zřejmě začnou vytvářet různé alternativní systémy, linuxové distribuce, androidí ROM atd. A tak zájemci z řad uživatelů budou mít možnost zařízení, kterým už brzy bude končit podpora, znovu oživit. Určitě bude zajímavé sledovat, jak moc se komunita moderů/hackerů bezpečnostní mezery chytne a co všechno vytvoří.
Zadní vrátka nejsou vhodné řešení
Nálezci chyby v prohlášení věnovali i odstaveček FBI, které by tento případ měl ukázat, že backdoory či jiné cílené omezení bezpečnosti rozhodně nejsou dobrý nápad. O tom se čím dál častěji hovoří v souvislosti s možným omezením šifrování, které navrhují někteří američtí polici a často také zástupci bezpečnostních složek. Velmi medializovaná byla kauza odemčení iPhonu teroristů, které požadovala FBI, ale Apple odmítl.
Každá mezera, vytvořená s dobrým či špatným úmyslem, jednou může být zneužita, a to může způsobit dalekosáhlé problémy. Pro příklad nemusíme chodit daleko. Americká TSA (úřad pro bezpečnost v dopravě) certifikovala kufry, ke kterým měla zlatý klíč (ve skutečnosti jich bylo několik), aby mohla rychle prověřovat zavazadla cestujících. Design klíčů unikl na veřejnost a dnes si takový univerzální klíč, který padne do každého zámku schváleného kufru, může vyrobit každý.
V tomto případu nejde o klasický backdoor, ale jasně vidíme, že chyby dělají i v těch největších společnostech. A také vidíme, že zadní vrátka vždy není možné okamžitě zavřít.
Stali jste se obětí hackerského útoku? Tato stránka vám to řekne
12.8.2016 Živě.cz Hacking
Internetoví útočníci několikrát do roka překonají zabezpečení mnoha velkých internetových služeb a na veřejnost se dostanou obrovské seznamy plné e-mailů, hesel a dalších citlivých údajů o jejich uživatelích. Možná i o vás!
Jenže jak zjistit, jestli nejste mezi obětmi i vy? Podobných útoků se totiž v posledních letech odehrálo takové množství, že se v tom už nikdo nevyzná.
Naštěstí existují speciální vyhledávače, kam stačí zadat váš e-mail, který používáte při registraci na internetu. Tyto vyhledávače evidují všechny podobné krádeže dat a váš e-mail poté zkontrolují ve své databázi až stovek milionů uniklých účtů. K nejlepším patří LeakedSource a Hacked-db.
Na webu LeakedSource stačí ve formuláři vybrat e-mail nebo třeba uživatelské jméno, vyplnit jej a počkat si. Služba se podívá do obří databáze dvou miliard uniklých účtů v minulosti, jestli se tam tyto údaje nacházejí. Služba je placená, základní vyhledání je ale zdarma.
To je špatné, zadaný e-mail figuruje hned v několika únicích na obří služby Adobe, Linkedin a další. Pokud se vám to také stane a neměnili jste hesla, raději to zvažte.
Ačkoliv jsou podobné vyhledávače zpravidla placené, zdarma vám alespoň vypíšou, jestli je e-mailová adresa také na seznamu některého z minulých útoků. A pokud ano, raději zvažte změnu hesla na internetu, pakliže jste tak už tedy v minulosti neučinili. A zvláště to platí pro ty případy, pokud používáte jen jedno heslo napříč Facebookem a dalšími oblíbenými weby.
Tajné služby USA prý rok sledovaly hackerské útoky Rusů
12.8.2016 Novinky/Bezpečnost Hacking
Americké zpravodajské služby věděly už před rokem, že ruští hackeři útočí na servery Demokratické strany. Agentuře Reuters to ve čtvrtek řekly zdroje obeznámené se situací. Informace ale prý byla tak tajná, že se o útoku nemohli dozvědět ani poslanci Kongresu.
Informace o ruských útocích se dostaly na veřejnost minulý měsíc, kdy Federální úřad pro vyšetřování (FBI) oznámil, že se zabývá útokem na servery stranického ústředí demokratů. O ruském podílu na útoku se ale žádná oficiální zpráva nezmiňuje. Moskva podíl na útoku popřela.
Zpráva o sledování údajného ruského útoku byla přísně tajná, protože jejím vyzrazením by vyšlo najevo, že americké tajné služby hackerský útok monitorují a odhalen by mohl být i způsob, jak to dělají a jakých zdrojů využívají. Na útočné akci se prý podílely dvě ruské zpravodajské služby.
Nový poradní sbor pro kybernetickou bezpečnost
Materiál o sledování „ruské stopy“ byl zakódován a přístup k němu měla jen malá skupina expertů, napsal Reuters. Z veřejných činitelů byla informována jen malá skupina osmi čelných poslanců Kongresu, nazývaná v USA „gang osmi“.
Tvoří ji šéfové obou komor Mitch McConnell a Paul Ryan, předsedové demokratů v obou komorách Nancy Pelosiová a Harry Reid a čtyři členové branných a bezpečnostních výborů Kongresu.
Úřadující šéfka Demokratické strany Donna Brazileová ve čtvrtek oznámila, že vytváří poradní sbor pro kybernetickou bezpečnost, který má „zabránit budoucím útokům a zajistit prvotřídní ochranu serverů Demokratické strany“.
Chyba ohrožuje stovky miliónů uživatelů Windows. Oprava je v nedohlednu
11.8.2016 Novinky/Bezpečnost Zranitelnosti
Poslední generace Windows zavedly úplně nový způsob spouštění samotného operačního systému. Díky tomu by se měla minimalizovat šance, že se během spouštění uhnízdí na pevném disku nějaké viry. Jak se ale nyní ukázalo, tento standard má kritickou bezpečnostní chybu, kterou mohou zneužít počítačoví piráti. V ohrožení jsou stovky miliónů uživatelů.
Jak funguje UEFI a Secure Boot?
Drtivá většina moderních počítů používá UEFI. To se stalo běžně používaným standardem už v době operačního systému Windows 7, samozřejmostí je tedy pochopitelně i v novější verzích operačního systému od Microsoftu.
Výrobci začali na UEFI houfně přecházet, protože tento standard podporoval funkci zvanou Secure Boot. Jak už samotný název napovídá, jejím hlavním úkolem je chránit pevný disk před nezvanými návštěvníky v době, kdy samotný počítač startuje.
Tedy ve chvíli, kdy uložená data ještě nechrání antivirový program. Ten se totiž spouští až po startu samotného systému. V minulosti se totiž objevilo hned několik škodlivých kódů, které dokázaly útočit ještě před startem počítače, viry se jednoduše uhnízdily v zavaděči systému.
Objevená chyba se týká tzv. jednotného rozšiřitelného firmwarového rozhraní (UEFI), které využívá drtivá většina moderních počítačů a notebooků.
Trhlina dává – zjednodušeně řečeno – útočníkům absolutní kontrolu nad spouštěním operačního systému.
Co to znamená v praxi? Ať má uživatel zabezpečen počítač sebelepším antivirovým programem, útočník do něj může kvůli chybě propašovat škodlivý kód ještě před startem operačního systému.
Může totiž prostřednictvím trhliny ovládnout celý spouštěcí proces a jednoduše mu nařídit, aby bezpečnostní kontrolu ignoroval. Účinná obrana proti případnému útoku tak v podstatě nexistuje.
Je to stejné, jako kdyby měli zloději klíče od bytu a jednoduše si odemkli.
S trochou nadsázky se dá říci, že je to stejné, jako kdyby měli zloději klíče od bytu a jednoduše si odemkli. Úplně stejně totiž tímto „klíčem“ dokážou obejít tzv. Secure Boot a propašovat virus na pevný disk. Pokud se nezvaný návštěvník uhnízdí právě v zavaděči, je jeho odstranění velmi složité.
„Zranitelnost UEFI Secure bootu u zařízení s Windows umožňuje hackerům spuštění bootkitů/rootkitů na zařízeních s tímto operačním systémem,“ vysvětlil technickou stránku věci bezpečnostní analytik Pavel Bašta z Národního bezpečnostního týmu CSIRT.CZ.
Na trhlinu upozornili bezpečnostní experti, kteří vystupují na internetu pod přezdívkami My123 a Slipstrea. Ti zjistili, že celý systém je podobným způsobem napadnutelný přinejmenším několik posledních měsíců.
Microsoft problém řeší
My123 a Slipstream amerického softwarového giganta na toto obří riziko, které se týká stovek miliónů uživatelů po celém světě, upozornili již na jaře. „Microsoft se sice pokouší tuto chybu opravit, avšak doposud ne zcela úspěšně,“ konstatoval Bašta.
Některé hlasy zahraničních expertů navíc naznačují, že 100% oprava prakticky není možná. Po důkladnějším zkoumání to tvrdí dokonce i My123 a Slipstream.
„Bezpečnostní analytici se domnívají, že tento bezpečnostní problém nemůže být zcela eliminován,“ uzavřel Bašta.
Zástupci amerického softwarového gigantu se zatím oficiálně k možnému ohrožení uživatelů nevyjádřili.
Secure Boot má chránit Windows před viry. Kvůli chybě ale otevře zadní vrátka útočníkům
11.8.2016 Živě Zranitelnosti
S příchodem nových verzí Windows a UEFI, které postupně vystřídalo starý BIOS na zánovních počítačích, je start operačního systému mnohem bezpečnější, protože se o něj stará systém Secure Boot, který kontroluje, jestli je vše digitálně podepsané – jak samotný operační systém, tak všechny fáze startu.
Principem Secure Bootu je ochrana před malwarem, který by se chtěl usadit přímo v oblasti zavaděče a načítat viry ve chvíli, kdy je operační systém poměrně bezbranný.
Startování Windows 10
Bezpečnostní specialisté My123 a Slipstream se však nyní pochlubili (via The Register) se zjištěním, podle kterého byl celý systém nejméně posledních několik měsíců kriticky děravý – chyba pravděpodobně vznikla během vývoje čerstvého Anniversary Updatu.
Oč jde? Aby mohli v Redmondu na desítkách a stovkách modelů notebooků testovat Windows co možná nejflexibilněji, mohou systému Secure Boot přikázat, aby kontrolu startu OS jednoduše ignoroval. Slouží k tomu speciální politika, která se aktivuje hned na začátku celého procesu, takže vývojář poté může spustit jakýkoliv kód i operační systém a zavaděč si bude myslet, že je vše v pořádku.
Pokud by se tato politika dostala do nesprávných rukou, případný útočník by ji mohl použít pro svůj malware, který by poté infikoval počítač na úplném startu OS, kdy je prakticky bezbranný. Nový rootkit/bootkit by rázem mohl ovládnout celá Windows.
A přesně toto se během jara opravdu stalo, dvojice specialistů totiž objevila speciální božskou politiku i v sestaveních Windows, která se dostala k běžným smrtelníkům. Poté informovali Microsoft, který však údajně problém zpočátku ignoroval. Teprve poté, co připravili funkční test zneužití, začali v Redmondu problém řešit a postupně připravili několik záplat Windows, které se v posledních týdnech skutečně nainstalovaly a díru částečně řeší.
Proof-of-concept s aktivátorem politiky, která zablokuje kontroly v Secure Bootu
Podle My123 a Slipstreama jsou však opravy zatím nedostatečné a Microsoft bude muset ještě zapracovat.
Případ zároveň ukazuje na principiální bezpečnostní chybu, kdy se může celý bezpečnostní systém zhroutit jako domeček z karet, pokud existuje nějaký master klíč, který vše odemkne – v tomto případě ona politika, která vypne veškeré kontroly během startu Windows.
Přesně po takovém „božském klíči“ přitom touží třeba všemožné státní instituce, americká FBI a další, kteří se dušují, potřebují kvůli odhalování trestných činů a teroristických hrozeb tu odemknout zašifrovaný iPhone, tu nahlédnout do šifrované komunikace na WhatsAppu a tak dále. Pokud by jim nějakým master heslem výrobci skutečně vyšli vstříc, riziko vzniku podobné bezpečnostní díry jako v případě Secure Bootu vzroste doslova exponenciálně.
Milióny škodovek a volkswagenů jdou otevřít odposlechnutým kódem
11.8.2016 Zive.cz Hacking
Pokud odemykáte auto dálkovým ovládáním, vždy hrozí, že někdo odposlechne přenášený kód. Proto jsou tato data šifrovaná, aby byl přenos kódů bezpečný.
Nyní se ale ukazuje, že v případě vozů z koncernu Volkswagen není to zabezpečení na tak skvělé úrovni. Jak upozornil Wired, výzkumníci z univerzity v Birminghamu a německé firmy Kasper & Oswald našli chybu v zabezpečení (PDF), kterou otevřou téměř 100 miliónů automobilů. Jedna chyba otevře cokoli od Volkswagenu za posledních dvacet let, druhá chyba se týká dalších výrobců jako Alfa Romeo, Citroen, Fiat, Ford, Mitsubishi, Nissan, Opel a Peugeot.
Tučně označená auta výzkumníci úspěšně otestovali a otevřeli, kvůli sdíleným modulům je ale postižených mnohem více vozů
Vážnější je ten útok proti Volkswagenu, protože se zjistilo, že pouhé čtyři privátní klíče stačí k otevření 100 miliónů aut. Výzkumníkům se totiž podařilo z vnitřního počítače auta získat privátní klíče. Nezměněné zabezpečení z roku 1995 nebylo pro dnešní prostředky výraznou překážkou.
Odposlech kódů zajistí klidně malé zařízení schované v kapse
Potom stačí odposlechnout rádiový signál z klíče při otevírání a při znalosti hlavního klíče získat šifrovací klíč pro konkrétní vůz. Odposlech signálu zajistí klidně krabička z Arduina, antény a pár pomocných obvodů.
Druhá chyba cílí na šifrování HiTag2, které je už 18 let staré a najdete jej v miliónech vozů. Tady není ani potřeba znalost hlavního klíče, je ale potřeba odposlechnout alespoň osm signálů pro otevření nebo zavření. To se dá urychlit tak, že budete rušit signál a majitel vozu bude opakovaně zkoušet auto zamknout nebo odemknout. Se znalostí sekvence kódů je pak prolomení šifry s dnešními prostředky otázkou minuty.
Tyto zranitelnosti pouze otevřou automobil. Neřeší obejití imobilizéru, na který se musí používat jiný útok. Ale i na imobilizér už existují hacky.
Už dříve se se ukázala zranitelnost bezklíčových systémů, kdy pro otevření stačí mít klíč v kapse a přiblížit se k autu. Pomocí zesilovačů a opakovačů signálu může útočník zaměřit klíč daleko v domě a otevřít jeho signálem automobil.
Opět se tedy potvrzuje, že pomalý cyklus vývoje počítačů v automobilech a spoléhání se na staré principy zabezpečení dělá z aut snadnou oběť technologicky zdatných zlodějů. Dříve sice stačil zahnutý drát a dnes potřebujete chytrou krabičku s anténami, pokud si ale zloděj vytipuje nějaké auto, základní zabezpečení od výrobce málokdy poskytne těžko překonatelnou překážku.
Hackeři napadli fórum Doty 2, získali téměř 2 miliony loginů
11.8.2016 Zive.cz Hacking
Dota 2 aktuálně patří k nejhranějším hrám vůbec. Není proto divu, že hack oficiálního vývojářského fóra (dev.dota2.com) znamenal nemalý počet účtů, které byly odcizeny. Podle webu LeakedSource.com jde o 1,92 milionů záznamů obsahující uživatelská jména, e-maily, IP adresy a šifrované heslo.
Útočníci získali do databáze diskuzního fóra přístup 10. července a vystačili si s technikou SQL Injection. Proti té nebylo zabezpečeno fórum, které využívalo starší sytém vBulletin. Hesla jsou šifrována pomocí MD5, které není považováno za bezpečné – podle LeakedSource je možné 80 % získaných záznamů konvertovat do čitelného stavu.
Statistika nejpoužívanějších mailů v odcizené databázi (zdroj: LeakedSource)
Pokud se váš účet nachází v databázi, což lze ověřit na LeakedSource, změňte svoje heslo nejen na fóru, ale také na ostatních stránkách, kde byl využíván stejný login.
Nigerijští weboví podvodníci se nakazili vlastními viry
11.8.2016 Zive.cz Kriminalita
Skupina nigerijských webových podvodníků nedobrovolně odhalila svoji identitu a ilegální práci. Infikovala totiž sama sebe svým malwarem.
Podvodníci byli nalezeni při útoků jménem wire-wire, který jim umožnil získat velké množství peněz od podniků z celého světa. Uvádí to zpráva serveru IEEE Spectrum. Na případ narazili bezpečnostní experti Joe Stewart a James Bettke.
Typickou podvodnou metodou je v Africe technika známá pod názvem Business Email Compromise (BEC). Spočívá v tom, že kriminálníci pomocí interních podnikových emailů vykonávají podvodné transakce. Wire-wire je sofistikovanější BEC a je tězší jí odhalit. Stewart a Bettke na ni narazili v únoru, jelikož pět podvodníků si infikovalo počítače pomocí stejného malwaru, který používali ke krádežím od jiných.
Malware totiž nepřetržitě posílal screenshoty a úhozy klávesnice z infikovaných počítačů do otevřené webové databáze, kterou Stewart a Bettke našli pomocí nástroje na prohlížení emailových příloh. Zjistili dokonce, že podvodníci trénují nové členy, což více odhalilo jak technika funguje. S každou transakcí Nigerijci získali od 30 000 do 60 000 dolarů. Skupina čítala 30 lidí. Ročně měla na svědomí krádeže v hodnotě 3 milionů dolarů.
Bezpečnostní experti okamžitě postižené společnosti kontaktovali a o podvodu jim řekli. Případ již vyšetřují příslušné nigerijské úřady.
Další zranitelnosti v Androidu, Qualcomm přispěchal s opravami
10.8.2016 Zdroj: SecurityWorld Zranitelnosti
Miliony zařízení s čipovými sadami od firmy Qualcomm, na kterých zároveň běží Android, jsou vystaveny minimálně jedné z čtyř kritických zranitelností. Ty umožní aplikacím i bez patřičných oprávnění převzít nad přístrojem kontrolu.
Všechny čtyři chyby odhalil bezpečnostní analytik Adam Donenfeld z Check Point Software Technologies; nález oznámil v neděli na hackerské konferenci DEF CON v Las Vegas. Qualcommu byly oznámeny již během února a dubna, výrobce na to zareagoval patřičnými opravami, poté, co zranitelnosti shledal vysoce rizikovými.
Bohužel to neznamená, že jsou všechna zařízení chráněna. Z důvodu velké roztříštěnosti ekosystému Androidu běží mnoho mobilů a tabletů na starších verzích operačního systému a již nedostávají aktualizace firmwaru, nebo je získávají až s několikaměsíčním zpožděním. Takovým zařízením pak nebezpečí stále hrozí.
Dokonce ani Google, který vydává bezpečnostní záplaty pro svou Nexus řadu chytrých telefonů a tabletů každý měsíc, ještě neopravil všechny chyby.
Zranitelnostem se jako celku říká QuadRooter, protože při zneužití dávají útočníkovi root pravomoce – tedy nejvyšší možné pravomoce na Linuxu založených systémech, mezi které Android patří. Individuálně se zranitelnosti označují jako CVE-2016-2059, CVE-2016-2503, CVE-2016-2504 a CVE-2016-5340. Nachází se v různých ovladačích, jež Qualcomm dodává výrobcům zařízení.
Během dubna a července Qualcomm vydal aktualizace, které tyto chyby opravují, tvrdí v e-mailu Alex Gantman, viceprezident strojírenské sekce Qualcomm Product Security Initiative.
Google zatím pro svá Nexus zařízení opravil jen tři ze čtyř chyb; vlastní opravy předem sdílí s výrobci a také je publikuje na Android Open Source Project (AOSP), dostanou se k nim tedy téměř všichni.
Zařízení běžící na Androidu 6.0 a více (Marshmallow buildy) s aktualizacemi z 5. května by již měli být chráněny proti všem zranitelnostem s výjimkou CVE-2016-5340. Androidy s oblíbenou verzí 4.4.4 (KitKat) či 5.0.2 a 5.1.1 (Lollipop) s aktualizacemi z 5. května jsou prozatím chráněny jen před dvěmi objevenými chybami, a to CVE-2016-2503 a CVE-2016-2504. V jejich případě je CVE-2016-2059 zneužitelný, Google jej však označil jen jako mírně nebezpečný, vzhledem k existující ochraně systému.
Čtvrtá zranitelnost, CVE-2016-5340, zůstává Googlem neopravena úplně. Výrobci by však mohli získat záplatu přímo od Qualcommu, skrze jeho open-source projekt Code Aurora.
„Této chybě se budeme věnovat v našem nadcházejícím bezpečnostním bulletinu. Partneři Androidu však mohou reagovat rychleji a využít možností veřejné opravy, jíž Qualcomm poskytl,“ popsal mluvčí Googlu skrze e-mail. Zneužití kterékoli z těchto čtyř zranitelností by uživatele vystavilo stažení infikovaných aplikací, řekl dále k věci Google.
„Naše Verify App a SafetyNet ochrany pomáhají identifikovat, zablokovat a odstranit aplikace, které takovéto zranitelnosti zneužívají,“ dodal mluvčí.
Je pravda, že ohrozit přístroje těmito chybami je možné jen skrze závadné aplikace. Přímé způsoby útoku jako prohlížení webu, přiložené soubory v e-mailu nebo SMS v tomto případě nelze aplikovat. Aplikace však dle tvrzení Check Pointu nepotřebují žádná zvýšená oprávnění, což jejich nebezpečí výrazně zvyšuje.
Výzkumníci Check Pointu a Google se mezitím neshodli na nebezpečnosti zranitelnosti CVE-2016-2059. Zatímco Qualcomm ji společně se zbytkem chyb označil jako vysoce rizikovou, Google ji posuzuje jen jako mírně nebezpečnou, neboť podle vyjádření firmy lze rizika zmírnit pomocí nástavby SELinux.
SELinux je rozšíření jádra, které činí zneužití některých chyb výrazně složitější pomocí vynucování přístupu. Mechanismus byl využíván k vynucení sandboxových hranic aplikacím již od verze 4.3 (Jelly Bean).
Check Point ovšem s postojem Googlu nesouhlasí. Během Donenfeldova projevu na DEF CONu ukázal, jak CVE-2016-2059 dokáže „přecvaknout“ SELinux z vynucovacího do liberálního módu, čímž efektivně vyřadí jeho ochranu.
Je těžké identifikovat, která konkrétní zařízení jsou zranitelná, neboť někteří výrobci mohou s aktualizacemi čekat na Google, zatímco jiní již mohli opravu převzít přímo od Qualcommu. Aby si uživatelé sami mohli svůj přístroj otestovat, vydal Check Point aplikaci zdarma zvanou QuadRoot Scanner, dostupnou z obchodu Google Play. Ta uživatelům umožní svá zařízení na tyto čtyři zneužití otestovat.
Tisíce Čechů a Slováků naletěly na status o útoku v Praze. Podvodníci jim ukradli hesla
9.8.2016 Zdroj:Novinky/Bezpečnost Sociální sítě
Jako lavina se českým a slovenským internetem začal šířit nový podvod, prostřednictvím kterého se snaží počítačoví piráti vylákat přihlašovací údaje jednotlivých uživatelů. Kyberzločinci tvrdí, že se Praha stala terčem teroristického útoku. Fiktivní zprávou se však z důvěřivců snaží pouze vytáhnout přihlašovací údaje.
Před novou hrozbou varovali v úterý bezpečnostní experti antivirové společnosti Eset. Ti zároveň upozornili, že na tento trik se nechalo nachytat již několik tisíc Čechů a Slováků.
Útok má poměrně jednoduchý scénář. Na Facebooku některého z přátel se objeví odkaz na falešný zpravodajský článek pojednávající o údajném teroristickém útoku s větším množstvím obětí. Zpráva má už na první pohled podezřelý titulek „30 minut před: 1 teroristického útoku došlo v Praze, při kterých nejméně 187 lidí bylo zabi”. Je navíc doplněna o fotografii z údajného místa útoku, která však zcela evidentně nepochází z hlavního města České republiky. Pořízena byla při útoku v Bagdádu v roce 2010, další varianta zase používá snímek z nedávného útoku v Nice.
Využívají napadené účty
K šíření podvodných zpráv tak útočníci využívají účty na Facebooku, které se jim již podařilo napadnout. Právě proto se mohou podobné zprávy objevovat na zmiňované sociální síti i pod hlavičkou skutečných přátel.
„Pokud na tento link klikne další oběť, neotevře se jí zpravodajský článek, ale falešná verze přihlašovací stránky k Facebooku. Zadáním přihlašovacích údajů je oběť nevědomě předá útočníkovi a ztrácí tím kontrolu nad svým facebookovým účtem. Mezitím mohou útočníci podvodné stránky šířit dál skrze profil nové oběti,“ vysvětlil Pavel Matějíček, manažer technické podpory společnosti Eset.
Podvodníci tedy využívají zájmu lidí o aktuální dění. „Oběť vyplní přihlašovací údaje, protože se domnívá, že se tím dostane ke zpravodajskému článku o velké tragédii, která se měla odehrát geograficky blízko. Útočník proto využívá nejen její zvědavosti, ale i strachu,“ doplnil Matějíček.
Český prezident Miloš Zeman byl zavražděn ve vlastním domě.
Podvodná zpráva na Faceboooku
V některých případech navíc kyberzločinci podvodné zprávy ještě více specifikují, aby nalákali co možná nejvíce důvěřivců. Jeden z odkazů, které bezpečnostní experti zachytili, tvrdil, že český prezident Miloš Zeman byl zavražděn ve vlastním domě.
„V jiných případech útočník přes profil napadeného uživatele okomentuje informaci o teroristickém útoku s tím, že ve svém komentáři označí kontakty této oběti, čímž se snaží nalákat více lidí. Útočníkem ovládaný profil sdílí škodlivý link i do facebookových skupin, jejichž členem je podvedená oběť. Útočník přitom ke sběru používá několik desítek falešných stránek, které Eset pro své uživatele z bezpečnostních důvodů blokuje,“ podotkl manažer technické podpory společnosti Eset.
„Lidé by měli zbystřit vždy, když si od nich nějaká stránka vyžádá přihlašovací údaje k účtu na sociální síti a i v případě, že vypadá jako Facebook, Twitter nebo Instagram. V tom případě oběti stačí zkontrolovat adresu samotné stránky, která se názvu Facebooku či jiné sociální sítě vůbec nepodobá,“ uzavřel Matějíček.
Podvodů na Facebooku přibývá
Facebook využívají počítačoví piráti k útokům stále častěji. Loni se například snažili důvěřivce nalákat na výhru chytrého telefonu iPhone od společnosti Apple. Ve skutečnosti je však zaregistrovali k odběru placených SMS zpráv.
Prostřednictvím této sociální sítě se počítačoví piráti snaží často vylákat také přihlašovací údaje k internetovému bankovnictví. Z nich pak následně odčerpají peníze, případně si přímo na uživatele zřídí úvěr. Připravit tak klienty mohou o daleko více peněz, než kolik mají naspořeno na účtu.
Hacknout jde i monitor
9.8.2016 Zdroj: SecurityWorlds Hacking
Nevěřte všemu, co vidíte – jak se přesvědčili účastníci každoroční hackerské konference Def Con, hacknout jde i monitor.
V pátek výzkumníci ukázali cestu, jakou lze manipulovat přímo s pixely na displeji monitoru. Odpovědní za tento objev jsou Ang Cui a Jatin Kataria z Red Balloon Security, které zajímalo, jak fungují monitory od firmy Dell a podařilo se jim pomocí reverzního inženýrství dosáhnout zajímavých výsledků.
Rozebrali Dell U2410 na jednotlivé díly a zjistili, že řadič displeje uvnitř může být použit ke změně či záznamu pixelů, které se na obrazovce objevují.
Během své prezentace na Def Conu ukázali, jak mohl jejich hacknutý monitor zdánlivě měnil detaily na webových stránkách. V jednom příkladu vyměnili zůstatek na PayPal účtu z 0 dolarů na 1 milion dolarů, ačkoli ve skutečnosti šlo pouze o rekonfiguraci pixelů na monitoru.
Nejde o zrovna jednoduchý hack – přesněji řečeno, oběma pánům zabral dva roky jejich volného času. Porozumět technologii, provést výzkum a objevit zranitelnost nebylo snadné.
Nezaměřili se však výhradně na značku Dell – prohlíželi též monitory jiných značek, včetně např. Samsungu, Aceru nebo HP, a zjistili, že podobný postup je teoreticky možný u každého z nich.
Kámen úrazu leží ve firmwaru monitorů, respektive softwaru v nich zabudovaném.
„V aktualizacích firmwaru monitorů neexistuje zabezpečení a jsou velmi otevřené,“ popisoval Cui, který je zároveň generálním ředitelem firmy Red Balloon.
Zneužití chyby vyžaduje přímý přístup do monitoru, ať už skrze HDMI nebo USB. Pokud se povede, otevírá dveře jiným útokům, včetně v poslední době všudypřítomného ransomwaru.
Kybernetičtí zločinci by například mohli z pixelů na monitor vyskládat trvalou zprávu a žádat peníze za její odstranění, popisuje Kataria. Nebo by mohli sledovat činnost uživatelé skrze zaznamenávání pixelů – to je potenciálně ještě nebezpečnější.
Oba výzkumníci svůj výzkum prováděli z osvětových důvodů. Jejich objevy jsou dostupné online.
„Je zabezpečení monitoru důležité? Myslím, že ano,“ uzavírá Cui.
Hackeři napadli bitcoinovou burzu Bitfinex. Klienti přijdou o třetinu vkladů
9.8.2016 Zdroj: Novinky/Bezpečnost Hacking
Bitcoinová burza Bitfinex, která přišla při hackerském útoku o bitcoiny za více než 70 miliónů USD (1,7 miliardy Kč), rozdělí ztrátu mezi všechny své klienty. Burza o víkendu oznámila zákazníkům, že přijdou o 36 procent aktiv na svých účtech u burzy. Tyto ztráty jim však chce burza kompenzovat poukázkami.
Ztráty z krádeže při hackerském útoku burza přenese na všechny své klienty a aktiva, tedy nejen na ty klienty, z jejichž účtů se bitcoiny ztratily. Po přihlášení do platformy všichni klienti burzy uvidí pokles hodnoty svého majetku o 36,067 procenta.
Všichni klienti také obdrží poukázky, které jim mají kompenzovat ztráty. Poukázky bude moci burza odkoupit nebo je bude možné vyměnit za akcie společnosti iFinex, která je mateřskou firmou burzy. Bitfinex uvedl, že svoji metodiku vysvětlí později a že o kompenzaci zákazníkům jednal s investory.
Hackeři při útoku ukradli z burzy Bitfinex celkem 119 756 bitcoinů, což byla druhá největší krádež v historii této měny. Ukradený počet bitcoinů představuje zhruba 0,75 procenta z celkového počtu bitcoinů v oběhu.
Bitfinex patří mezi největší bitcoinové burzy na světě. Obchoduje se zde však i s dalšími kryptoměnami. Podle prohlášení burzy přijdou o své peníze nejen ti, kteří mají bitcoinový účet, ale majitelé všech účtů, tedy i účtů s jinými digitálními měnami, napsala agentura Reuters.
Virtuální měny představují velké riziko
Virtuální měna bitcoin vznikla v roce 2009, větší popularitě se ale těší v posledních letech. Vytvořena byla tak, aby se nedala ovlivňovat žádnou vládou ani centrální bankou.
Kybernetické mince "razí" síť počítačů se specializovaným softwarem naprogramovaným tak, aby uvolňoval nové mince stabilním, ale stále klesajícím tempem. Počet mincí v oběhu má dosáhnout nakonec 21 miliónů, což má být kolem roku 2140.
Bitcoiny se těší velké popularitě především coby prostředek pro investici. Kurzy však často kolísají. Evropský bankovní úřad kvůli tomu dokonce varoval spotřebitele, že neregulované virtuální měny představují velké riziko. Jejich vklady totiž nejsou nijak chráněny.
Bruce Schneier: Internet věcí přinese útoky, které si neumíme představit
9.8.2016 Zdroj: Lupa Hacking
Propojení produktů a zařízení reálného světa s internetem zadělává na katastrofu. Tvrdí to známý bezpečnostní odborník Bruce Schneier.
Divíte se Bruce Schneierovi, že varuje před bezpečnostními problémy přicházejícími s nástupem tzv. Internetu věcí (IoT)? Ono se vlastně nejde nedivit. Stačí se podívat na čerstvý případ závažných bezpečnostních děr v „chytrých“ žárovkách od společnosti Osram. Jsou plné zásadních chyb a některé z nich se Osram ani nechystá opravit. Jsou přitom zneužitelné k útoku na domácí či firemní sítě, získávání hesla k bezdrátovým sítím a děravý je i protokol (ZigBee), který používají žárovky pro komunikaci.
Pokud bude výroba internetově připojených produktů neřízeně ponechána v rukou ignorantů, nelze očekávat nic jiného, než před čím Schneier ve svém článku pro magazín Motherboard varuje. Říká, že útočníci mohou s daty dělat tři zásadní věci – krást je, měnit je nebo zabraňovat vlastníkům v přístupu k nim. Právě poslední dva druhy útoků se s příchodem IoT mohou podle Schneiera stát extrémně účinné.
Je rozdíl mezím tím, jestli někdo použije váš chytrý zámek ke zjištění, jestli je někdo doma, a tím, když útočník může zámek odemknout a dveře otevřít, nebo, ještě hůře, když vám dokáže znemožnit dveře otevřít. „Útočník, který vám může zabránit řídit vaše auto či jej dokáže ovládnout, je nebezpečnější než někdo, kdo odposlouchává vaši konverzaci či sleduje, kde se vaše auto nachází,“ říká Schneier.
Manipulace při volbách
Něco na Schneierově tvrzení, že IOT přinese útoky, „které si ještě ani nedokážeme představit“, bude. Pokud seriózní a velké firmy přistupují k bezpečnosti IoT natolik laxně jako Osram, jak asi bude vypadat trh zaplavený levnými IoT senzory a zařízeními z Číny? Stačí se podívat, jak na tom jsou s bezpečností dětské chůvičky. Coby předzvěst stavu zařízení Internetu věcí je to dostatečně vypovídající.
Nakonec už loni hackeři předvedli, jak mohou na dálku ovládat auto. Stejně jako v případě žárovek se zde ukázalo, že Chrysler a jejich UConnect jsou hackerům pro srandu. Od té doby se ukázalo, že podobně laxní přístup k bezpečnosti je v automobilovém průmyslu běžný. Ukázalo se ale také to, že místo zabezpečení se automobiloví výrobci spíše starají o to, jak právně znemožnit zveřejňování informací o jejich mizerné práci.
Schneier pochopitelně upozorňuje, že nástup IoT může znamenat, že někdo ovládne nejen auto, ale dokonce i letadlo. Ale také může zaútočit na medicínská zařízení či prostým ovládáním termostatu způsobit zásadní zvýšení či snížení teploty.
Postupující elektronizace voleb navíc podle Schneiera znamená, že v budoucnosti budeme muset více a více řešit manipulace s hlasováním. A nejde jen o útoky hackerů, ale také o možné zásahy vlád samotných. Poukazuje přitom na čerstvý případ, kdy ruští hackeři pronikli do systému DNC (Democratic National Commitee) a přes WikiLeaks vypustili tisíce interních e-mailů.
Nedostatek zkušeností, ale také povědomí
Už dříve se řešilo, že IoT si bude muset projít stejnou cestou jako každá jiná kategorie zařízení. Počítače i mobily byly před mnoha lety ve stejné situaci, do které se vzápětí dostaly webové aplikace a informační systémy vůbec. Dodnes je možné narazit na děravé weby, na absurdní začátečnické chyby, nedodržování pravidel a postupů, o kterých víme řadu let.
Počítačový i mobilní hardware i software, stejně jako internet, má dnes vybudované tolik potřebné bezpečné architektury, postupy, pravidla. Internet věcí prozatím nic takového nemá. Miniaturnost zařízení a jejich hardware, ale i rozdílné komunikační metody a protokoly, znamenají, že je vše nevyzkoušené. Stejně jako v dřívějších případech i tady navíc občas platí, že se firky snaží některé produkty uvádět na trh co nejrychleji – bez ohledu na to, zda jsou dokončené a bezpečné.
IoT je podobné BYOD, tedy situaci, kdy se do firem přinášejí vlastní zařízení a správci firemních informačních systémů a sítí si s tím moc neví rady. Stejně jako si s tím v zásadě neví rady tvůrci těchto zařízení, protože s nějakým použitím ve firemním prostředí nepočítají.
Jak asi dopadne svět, když podle Gartnerů máme už tento rok využívat 6,4 miliardy zařízení spadajících do IoT. Za další čtyři roky by to mělo být 20,8 miliardy zařízení. Řada z těchto zařízení navíc bude mít oproti běžnému životnímu cyklu mobilních telefonů, tabletů či laptopů podstatně delší životnost. Jak bude výrobce automobilů schopen chránit bezpečnost modelu z roku 2020 o deset let později? Nebo ledničky, která vám doma může stát i dobrých patnáct let? Jak dlouho trvalo, než se Microsoft naučil, jak aktualizovat vlastní operační systém?
Dokud nezemřou první lidé
„Příští prezident bude pravděpodobně nucen řešit rozsáhlé internetové neštěstí, které usmrtí řadu lidí,“ píše Schneier. Můžete si o něm sice říkat, že maluje čerty na zeď a je zbytečně negativní, ale to, co říká, je logické a odpovídá to tomu, že se dnes kdejaká hloupost stává počítačem.
To samotné by až tak velkou hrozbou nebylo, ale vzájemná propojitelnost a ovladatelnost (i na dálku) znamená, že cokoliv takového se může stát terčem útočníků. Nakonec samořiditelná auta sice určitě budou jednou běžně jezdit po silnicích, ale než k nim dojdeme, bude zde ještě mnoho případů, kdy nebude jasné, zda za smrt člověka může auto nebo člověk v něm. Nemluvě o situacích, kdy se má auto rozhodnout, koho obětovat.
Nezbytné ale bude nakonec i to, aby se do celé téhle patálie vložily vlády. Je více než jisté, že bez jasných zákonů, dohledu a tlaku se nic „samo“ nevyřeší. Výrobci IoT zařízení mají nakonec jenom stále stejnou motivaci: co nejdříve uvést na trh a co nejvíce prodat.
Nová chyba Qualcommu ukazuje naplno bezpečnostní problém Androidu
8.82016 Zdroj: Živě Zranitelnosti
Proběhla bezpečnostní konference Def Con a na světě je rázem několik nově oznámených bezpečnostních problémů. Pro mobilní telefony s Androidem to jsou čtyři bezpečnostní chyby.
Problém je konkrétně v ovladačích Qualcommu, které do mobilního telefonu instaluje výrobce. Tři ze čtyř chyb již mají dostupné opravy a čtvrtá bude brzy následovat. Chyba umožňuje bez upozornění systémem získat větší práva na Androidu 6 a dřívějším. V lepším případě to pomůže k dobrovolnému rootu telefonu, v tom horším získá podvodná aplikace kompletní přístup k vašim datům a nic se nedozvíte.
Když uvidíte obrázek vlevo, máte problém. Pravý uvidíte s procesory Mediatek, Kirin, Exynos a dalšími
V současnosti jsou opravené akorát telefony Nexus 5X, 6 a 6P. Ostatní stále čekají na opravu od výrobce. Každý telefon s procesorem Snapdragon potřebuje opravu. Zda jste postižení, můžete zkontrolovat nástrojem QuadRooter Scanner od tvůrce antivirů Check Point Software.
Bezpečnostní aktualizace pro telefony ale vydává jen velmi málo výrobců. Google se to snaží sice zjednodušit oddělením záplat od větších aktualizací systému, vždy je ale nutná aktivita ze strany výrobce mobilního telefonu. Pokud pro něj zájem o bezpečnost uživatelů končí v okamžiku prodeje telefonu, hrozí tu milióny telefonů se známými, dobře zdokumentovanými, ale neopravenými chybami.
Pokud bude váš telefon zranitelný, měli byste se vyvarovat instalacím aplikací z neznámých zdrojů. Paradoxně může pomoci root telefonu. Pak bude mít uživatel opravdu kompletní kontrolu nad telefonem. Pro neznalého uživatele je ale pochopitelně případný root telefonu spojený s mnoha dalšími bezpečnostními riziky.
Microsoft má problém, uživatelům zamrzá Windows 10 po instalaci Anniversary update
8.82016 Zdroj: Živě Hrozby
po instalaci výroční aktualizace některým uživatelům zamrzne systém
Závažná chyba znemožní další práci, její odstranění zpravidla obnáší přeinstalování systému nebo návrat na předchozí sestavení
Microsoft má problém, uživatelům zamrzá Windows 10 po instalaci Anniversary update
Microsoft uvolnil výroční aktualizaci Anniversary Update teprve minulý týden a postupně ji distribuuje mezi další uživatele. Podobně jako každý větší update však i tento letní přinesl části uživatelů také velké starosti – systém jim totiž konstantě zamrzá.
Na problém upozornil web Neowin, který čerpá z dlouhého vlákna na Redditu. V tom se sešlo několik stovek komentářů od uživatelů, kterým systém zamrzne ihned po startu či krátce po něm. Aplikace často zobrazí svoje okna, nicméně zůstávají ve stále stejném nečinném stavu. Následně dojde k jejich zčernání a chybové hlášce, že Windows přestal pracovat.
Ačkoliv se ve vláknu objevilo několik možných řešení, ani jedno z nich se nezdá být univerzálním. Někteří z uživatelů vyřešili problém odpojením druhého disku, přeinstalací systému z obrazu ISO, objevil se také krátký návod na úpravu registrů, která může pomoci. U každého řešení však velký počet diskutérů píše, že na situaci nic nezměnilo.
Chyba se objevuje u uživatelů s mnoha různými konfiguracemi – bez ohledu na to, zda se jedná o desktop či notebook a nezáleží ani na konfiguraci samotných komponent. Na fóru Microsoftu pak najdeme popsaný stejný problém, zatím zde však objevíme pouze reakci jednoho ze zaměstnanců podpory v podobě univerzální odpovědi.
Pokud se setkáte s podobným problémem, pak je zatím jediné možné řešení – návrat ke staršímu buildu.
Google: Adware napadá miliony zařízení a poškozuje inzerenty, weby i uživatele
8.8.2016 Mobilní
S pochybnými společnostmi produkujícími podvodné pluginy i aplikace navíc spolupracují i firmy jako Opera, Skype či Yahoo.
Amonetize, InstallMonetizer, OpenCandy a Outbrowse jsou čtyři jména velkých firem, které se specializují na „placení za instalaci“ (PPI, pay per install). Projevují se záplavou aktivit vedoucích k instalaci add-onů či dalšího nechtěného softwaru, který (v tom nejméně škodlivém případě) v tichosti a bez vědomí uživatelů vyměňuje reklamy ve webových stránkách, případně je vkládá tam, kde žádné reklamy na webu nejsou.
V průběhu ročního výzkumu (PDF) Google zjistil, že tyto podvodné aktivity vedly k více než třem miliardám pokusů o stažení a následným desítkám milionů instalací. Nutno dodat, že nechtěných instalací, tedy takových, které uživatel nejen nechtěl, ale ani neschválil. Vedle manipulace s inzercí se adware pokouší i o manipulaci s výsledky vyhledávání nebo sledování chování uživatelů. Ve všech případech jsou tyto aktivity monetizovány.
Ze čtyř výše jmenovaných příkladů už dnes nenajdete InstallMonetizer, který ukončil činnost (ale nepochybně se brzy někde objeví pod jiným jménem), a Outbrowse má momentálně nedostupný web. Další stále fungují.
Některé z dalších ani nijak neskrývají to, že jejich software zasahuje do prohlížečů uživatelů. A chlubí se až zázračnou mírou konverze 95 % (což je vcelku logické, pokud instalují automaticky bez vědomí uživatele).
Co na tom, že ve Wikipedii i na stovkách dalších míst je najdete jasně zařazené mezi malware (viz například adware od Amonetize, malware od OpenCandy, shrnutí o InstallMonetizer na HackerNews) a Google je zaplaven návody, jak tyhle nechtěné věci dostávat z počítačů. Sám Google také při hledání na OpenCandy přímo zobrazí rámeček s upozorněním na to, že OpenCandy je řazeno mezi malware.
Celý model PPI je postaven na tom, že ti, kdo tyto služby nabízejí, neberou žádné ohledy na to, jestli uživatel něco chce instalovat. Za každou instalaci dostávají až 1,50 USD, je tedy více než jisté, že podvodné a automatické instalace jsou zásadním prvkem jejich „obchodního modelu“.
Velmi často se s adwarem a malwarem tohoto typu setkáte v instalačních programech, kde si buď nevšimnete nenápadného varování, nebo žádné varování nedostanete. A zároveň s instalací softwaru, který chcete, se do počítače dostane něco, co nechcete.
Alarmující na analýze od Googlu je, že zjistili využití těchto způsobů šíření softwaru u firem jako je Opera, Skype a Yahoo. Prvně jmenovaná společnost využívala služeb všech čtyř výše uvedených služeb, Skype aktivně využíval OpenCandy a Yahoo služeb Outbrowse, které používaly k instalaci jejich vyhledávání do prohlížečů uživatelů.
Ve spojitosti s výše uvedenou čtveřicí šiřitelů malwaru a adwaru navíc zjistíte, že řada z nich byla klasickými startupy, které se těšily mimořádné pozornosti a obdivu médií. Bez ohledu na to, že miliony uživatelů se marně snažily jejich software dostat z počítačů a nikdo z nich si nelámal hlavu s tím, co vlastně do počítačů napadených jejich softwarem dodávají.
Největší internetové hrozby letošního léta
5.8.2016 Zdroj: Novinky/Bezpečnost Viry
Hned před několika různými škodlivými kódy by se měli mít na pozoru tuzemští uživatelé. Podle analýzy společnosti Eset se nezvaní návštěvníci šíří především prostřednictvím souborů v nevyžádaných e-mailech – to je případ i škodlivého kódu JS/Danger.ScriptAttachment, který je aktuálně nejrozšířenější internetovou hrozbou.
Ještě v červnu stál malware JS/Danger.ScriptAttachment za čtvrtinou všech odhalených útoků. V červenci to však bylo už více než 45 procent. Jde tedy o téměř dvojnásobný meziměsíční nárůst.
„Škodlivý kód JS/Danger.ScriptAttachment je zákeřný především v tom, že nemusí škodit sám o sobě, ale může do napadeného zařízení stáhnout další druhy malwaru. Nejčastěji jde o ransomware, který zařízení zašifruje a za jeho opětovné zpřístupnění požaduje po oběti výkupné,“ vysvětlil Miroslav Dvořák, technický ředitel společnosti Eset.
Ransomware je souhrnný název pro rodinu vyděračských virů, jako jsou například známí záškodníci TeslaCrypt či Locky. Tyto škodlivé kódy začnou šifrovat obsah počítače a uživateli zobrazí oznámení, že za dešifrování počítače musí zaplatit, jinak se ke svým datům údajně již nikdy nedostane.
Ani po zaplacení výkupného navíc nemají uživatelé jistotu, že se ke svým datům skutečně dostanou. Virus je nutné z počítače odinstalovat a data následně pomocí speciálního programu odšifrovat. V některých případech to ale není možné.
Pozor na bankovní účty
Druhým nejrozšířenějším škodlivým kódem se stal Java/Adwind, přestože jeho podíl byl výrazně nižší – 3,23 procenta. V počítači dovede tento škodlivý kód napáchat velkou neplechu. Otevírá totiž útočníkům zadní vrátka do počítače, prostřednictvím kterých se pak kyberzločinci snaží vysát lidem bankovní účet.
Vrásky na čele dělá bezpečnostním expertům také škodlivý kód Nemucod, který ještě v květnu představoval druhou nejrozšířenější hrozbu. Aktuálně mu díky podílu 3,16 % však patří až třetí příčka.
Nemucod útočí prakticky úplně stejně jako JS/Danger.ScriptAttachment. Uhnízdí se tedy v počítači a může potom stahovat další nezvané návštěvníky.
10 nejrozšířenějších počítačových hrozeb – červenec 2016
1. JS/Danger.ScriptAttachment (45,46 %)
2. Java/Adwind (3,23 %)
3. JS/TrojanDownloader.Nemucod (3,16 %)
4. VBA/TrojanDownloader.Agent.BJL (3,06 %)
5. VBA/TrojanDownloader.Agent.BJQ (2,81 %)
6. VBA/TrojanDownloader.Agent.BKP (2,72 %)
7. VBA/TrojanDownloader.Agent.BJG (2,71 %)
8. VBA/TrojanDownloader.Agent.BJC (1,99 %)
9. VBA/TrojanDownloader.Agent.BJU (1,98 %)
10. VBA/TrojanDownloader.Agent.BKW (1,98 %)
Zdroj: Eset
Hackeři se vydávají za Anonymous a hrozí útokem českým firmám
3.8.2016 Zdroj: Lupa.cz Hacking
Poplatek činí 0,17 bitcoinu. Pod akcí jsou podepsány tři skupiny, v podpisu se vydávají za Anonymous.
Český národní kyberbezpečnostní tým CSIRT.CZ, který na základě spolupráce s Národním bezpečnostním úřadem provozuje sdružení CZ.NIC, v průběhu pondělí zaznamenal ve firmách v celé České republice vyděračský e-mail. Ten po společnostech požaduje zaplacení 0,17 bitcoinu, jinak hrozí „masivním DDoS útokem“.
„Sestřelíme jakoukoliv stránku na české a zahraniční doméně. Dokážeme projít přes CloudFare za pomocí serveru uvnitř ČR. Pokud nezaplatíš, vykucháme tvojí síť. Máš pouze pět dnů na zaplacení na účet bitcoin 14KmxKrAUJFMaL1S9tv22×iuJFpdCvrp5X. Zaplať a tvá IP adresa bude odstraněna ze seznamu. Známe tvou IP a e-mail,“ píše se v dopisech.
TIP: Anonymous shodili web Agrofertu. Chtějí útočit na další firmy a zaměstnance
Útočníci vyhrožují, že ukradnou identitu, napadnou síť a zneužijí data z počítačů. To každopádně trochu nekoresponduje s tím, že hrozí „pouze“ DDoS útokem. Mail obsahuje také vzkaz bezpečnostnímu týmu („Fuck you lamers CSIRT.CZ“) a hlášky „začneme, když to nebudeš čekat“ a „vždy vyhrajeme, ať chceš nebo ne“.
Vydávání se za Anonymous
Pod vzkazem jsou podepsány tři skupiny: TeaMp0isoN, Metasploit Hackers a Russian666. TeaMp0ison byla známá v letech 2011 a 2012, kdy útočila na NATO, OSN, NASA nebo Facebook. Poté se po zatčení dvou členů rozpadla. Nyní se zdá být zase aktivní, i v letošním roce už provedla několik akcí.
Zajímavé je, že je vyděračský e-mail podepsaný sloganem hacktivistického hnutí Anonymous, tedy „We Are Anonymous, We Are Legion, We don‘t Forgive, We don‘t Forget“. Je ovšem pravděpodobné, že se útočníci za Anonymous pouze vydávají. Toto hnutí, které je sice volné a může se do něj v podstatě zapojit kdokoliv, se totiž vyznačuje aktivismem a nikoliv útoky za účelem zisku.
NBÚ a CSIRT.CZ zároveň podle informací Lupy nespojují vyděračský e-mail s akcí, která proběhla v pondělí, kdy Anonymous rovněž pomocí DDoS útoků shodili web Agrofertu a některých dalších firem ze skupiny.
Podle zjištění Lupy se ale na pondělní akci Anonymous měla podílet i skupina Cyber Phantoms. Ta se podle všeho nelegální činností zabývá. Nabízí například hacknutí e-mailu za 30 eur, prolomení Facebooku dělá za 70 eur, stránku hackne za 30 eur, za 24hodinový DDoS útok si účtuje 20 eur. Získává i údaje o kreditních kartách.
Zaplaťte, nebo vás odstřelíme. Kybezločinci straší DDoS útokem
3.8.2016 Zdroj: Novinky/Bezpečnost Hacking
Počítačoví piráti začali v tomto týdnu šířit nevyžádané e-maily, ve kterých vyhrožují příjemcům DDoS útokem. Tedy jinými slovy, že jsou schopni odstřelit jejich webové stránky a servery. Za odvrácení hrozby požadují výkupné. Útok je cílen především na firmy, upozornil Národní bezpečnostní tým CSIRT.CZ.
Výhružný e-mail, ve kterém kyberzločinci vyhrožují DDos útokem
„Do e-mailových schránek různých společností se začaly šířit zprávy vyhrožující DDoS útokem,“ uvedl Pavel Bašta, bezpečnostní analytik CSIRT.CZ, který je provozován sdružením CZ.NIC.
Při DDoS útoku stovky až tisíce počítačů začnou přistupovat v jeden okamžik na konkrétní server. Ten zpravidla nezvládne tak vysoké množství požadavků zpracovat a spadne. Pro běžné uživatele se takto napadená webová stránka tváří jako nedostupná.
Platba v bitcoinech
Za odvrácení útoku požadují kyberzločinci výkupné. „Autoři této výhružné zprávy požadují od uživatelů zaplacení 0,17 bitcoinu za to, že na danou síť neprovedou útok,“ konstatoval Bašta.
I když se požadovaná částka může zdát nízká, opak je pravdou. Jeden bitcoin má totiž v současnosti hodnotu zhruba 13 000 Kč. V přepočtu na koruny tak útočníci chtějí zaplatit více než 2200 Kč. Zaplatit je prý nutné do pěti dnů, jinak bude útok proveden.
Bitcoiny přitom kyberzločinci nevolí náhodou. Tato virtuální měna se totiž prakticky nedá vystopovat, což znesnadňuje odhalení počítačových pirátů.
Krádež identity i dat
Kromě DDoS útoku počítačoví piráti ve zprávě tvrdí, že jsou schopni ukradnout identitu z napadeného počítače a zneužít uložená data. Zatím nicméně není znám žádný případ, kdy by počítačoví piráti po zaslání podobných e-mailů skutečně útok provedli. „Pokud byl na vaši společnost tento DDoS útok proveden, kontaktujte nás na adrese abuse@csirt.cz,“ uzavřel Bašta.
Bitcoinová směnárna Bitfinex hlásí útok hackerů a ztrátu skoro 120 tisíc BTC
3.8.2016 Zdroj: Živě Hacking
Bitcoinovou směnárnu Bitfinex nejspíše někdo vykradl, píše o tom sama služba na svých stránkách a je dočasně mimo provoz. Škody přitom mohou být poměrně vysoké, podle diskuze na Redditu totiž služba přišla o částku okolo 120 000 BTC, což při současném kurzu odpovídá 65 milionům dolarů.
Krádež na Redditu potvrdil jeden z manažerů služby Zane Tackett
Bitfindex útok hackerů řeší, podle svých slov spolupracuje s policií a případ pouze ukazuje, že bitcoinový ekosystém – respektive podobné koncové služby – má oproti klasickému finančnímu systému ještě své mouchy, nejedná se totiž ani zdaleka o první případ.
Další oběť kybernetických útoků na slabě zabezpečené bitcoinové transakční služby.
Yahoo řeší, jestli má hacker opravdu údaje o 200 milionech účtů
3.8.2016 Zdroj: Lupa Hacking
Hacker spojený s únikem přihlašovacích údajů z MySpace a LinkedIn nabízí na prodej 200 milionů přihlašovacích údajů k účtům do Yahoo!
Za 200 milionů přihlašovacích údajů k účtům v Yahoo! byste museli zaplatit tři bitcoiny. Jejich zdroj, hacker vystupující pod jménem Peace, tvrdí, že pocházejí z roku 2012. S dovětkem „velmi pravděpodobně“. Samotné Yahoo celou záležitost bere velmi vážně a snaží se přijít na to, o co opravdu jde.
Hesla spojená s přihlašovacím identifikátorem jsou hashovaná pomocí MD5, je tedy snadné získat většinu hesel zpět do čitelné podoby. Jako u řady úniků z poslední doby je ale na místě skepse a opatrnost. Nebylo by to poprvé, co se za „únik“ někdo snažil vydávat kompilát přihlašovacích údajů z předchozích úniků.
Brát má přitom kde, k dispozici jsou stovky milionů přihlašovacích údajů z desítek větších úniků z dřívější doby.
Vedle přihlašovacích údajů obsahuje únik i data narození a v některých případech i záložní e-mail.
Motherboard, který zprávu o úniku přinesl jako první, se na vzorku zhruba pěti tisíc přihlašovacích údajů pokoušel ověřit pravost. Jakkoliv se mu podařilo najít řadu údajů, které odpovídají existujícím účtům v Yahoo, pro další se zjistilo pouze to, že jde o již zrušené nebo zablokované účty.
Pokud to chcete hrát na jistotu, tak můžete vaše heslo v Yahoo! považovat za kompromitované a pokračovat obvyklou cestou – změnit heslo u Yahoo! na nové unikátní a silné. A pokud totéž heslo používáte kdekoliv jinde, tak provést změny i tam.
Ověřit si, zda vaše heslo vázané k určitému e-mailu není v některém z dřívějších úniků, je přitom velmi snadné. Na haveibeenpwned.com a www.leakedsource.com stačí zadat váš e-mail, zjistíte, kde se objevil, tedy ve kterém úniku. Druhé jmenované umí vyhledávat i telefonní čísla, jména a příjmení i uživatelská jména.
Prague Hacks – hackathon zaměřený na otevřená data startuje na konci září
3.8.2016 Zdroj: Lupa Kongresy
Víkendový programovací maraton se bude už podruhé zabývat daty, která poskytuje Praha, a to včetně třeba zoologické zahrady.
Jako Londýn nebo Leeds. Fond Otakara Motejla chce v rámci hackathonu na přelomu září a října naplnit „pražský dashboard“, tedy platformu, která bude ukazovat, co všechno lze s otevřenými daty v rámci města dělat. Přihlášky se otevírají dnes.
Loni na prvním ročníku hackathonu vzniklo 13 prototypů aplikací. Šlo třeba o platformu pro sdílení informací o kvalitě škol, model aplikace sledující pohyb prostředků hromadné dopravy v reálném čase nebo prototyp aplikace pro chytré hodinky sledující bezpečnost v ulicích.
Letos by měli během třídenní akce vývojáři v prostorech Node5 pracovat na widgetech a aplikacích, které budou popisovat život v metropoli ve čtyřech tematických oblastech. Těmi by měla být mobilita a obyvatelstvo, volný čas a vzdělávání, dobré vládnutí a transparentnost, a konečně i životní prostředí & sociální služby. Všechny aplikace budou pak zapojeny do výsledného dashboardu. „Dashboard a jeho výstupy budou v otevřeném kódu, aby bylo možné je upravovat a doplňovat i v budoucnu,“ tvrdí Michal Tošovský z Fondu Otakara Motejla.
K dispozici budou data z pražského katalogu otevřených dat, tedy třeba mapové podklady Prahy, jízdní řády MHD, ekonomická data některých městských částí, data pražské ZOO, Technické správy komunikací a plno dalších.
"Na projektech a aktivitách Fondu Otakara Motejla spolupracujeme dlouhodobě. I v případě této akce jsme se rozhodli podpořit ji a to jak finančně, tak především formou poskytnutí konzultací odborníků ze sdružení CZ.NIC. Naše participace na Prague Hacks 2016 bude spočívat ve zprostředkování vybraných dat z projektu Netmetr. V rámci akce budou také kolegové vystupovat jako mentoři, kteří pomohou účastníkům se v datech z toho projektu zorientovat a ukáží jim, jak s nimi vhodně pracovat,“ tvrdí šéf CZ.NIC Ondřej Filip.
Nový Firefox se zaměří na bezpečnost, bude upozorňovat na neobvyklé a nebezpečné soubory při stahování
2.1.2016 Zdroj: Zive.cz Zabezpečení
Firefox aktuálně umí při stahování varovat uživatele, pokud stahuje nebezpečný obsah z internetu. Ve verzi 48 však bude tento systém rozšířen a nově se naučí rozpoznávat další typy potenciálně nebezpečných souborů. Na novinku upozornil Tom's Hardware.
Firefox bude uživatele nově informovat o potenciálně nechtěném obsahu. V tomto případě se bude jednat o soubory, které nejsou malwarem, ale mohou například po instalaci sbírat osobní informace uživatele.
unwanted-software.PNG
Nové varování před nechtěným a neobvyklým obsahem (zdroj: Tom's hardware)
Dalším novým typem upozornění budou neobvyklé soubory. Prohlížeč zde bude informovat uživatele o tom, že soubor není často stahován a tudíž může být nebezpečný. Tím chce Mozilla ochránit uživatele před podvrženými instalačními soubory. Pokud uživatel bude stahovat nový Flash, který však bude upravenou verzí, Firefox jej může zablokovat na základě toho, že originální Flash bude stahovaný mnohem častěji.
fx48_security_options.png
Funkci bezpečného stahování bude možné zcela vypnout v nastavení prohlížeče
(zdroj: Tom's hardware)
Firefox na oba typy obsahu bude upozorňovat malým symbolem nad ikonou stahování. Pokud se bude jednat o nechtěný či neobvyklý obsah, zobrazí se žlutý vykřičník. V případě, že Firefox detekuje malware, ikona stahování bude doplněna o červený vykřičník.
Vědci prolomili čtečku otisku prstu na telefonu. Stačila jim inkoustovka a vodivý papír
2.1.2016 Zdroj: Živě.cz Zabezpečení
V posledních letech se na mnoha telefonech vyšší třídy rozšířily čtečky otisku prstu, které nahrazují běžný PIN a jiné formy zabezpečení. Analýza Michiganské státní univerzity však ukazuje, že i tato biometrická ochrana má své limity.
Michigan State University
Výzkumníky z tamního kybernetického oddělení v červnu požádala policie, aby ji pomohli v přístupu do telefonu oběti, který byl chráněný kontrolou otisku prostu. Vědci získali od policie fotografii otisku a na jeho základě vytvořili speciální vodivý 3D model povrchu prstu.
Jenže to nefungovalo, samotný policejní otisk totiž nebyl úplně dokonalý. Výzkumníci se ale nevzdali a pomocí softwaru obraz opravili – dopočítali chybějící místa, zvýraznili linky a tak dále.
Co je však nejpodstatnější, namísto velmi drahé a specializované 3D tiskárny použili v druhém experimentu běžnou inkoustovou tiskárnu a vodivý papír.
A podařilo se! Pomohl jim v tom především samotný telefon oběti Samsung Galaxy S6, který při chybném skenu nevyžadoval zadání kontrolního kódu, takže mohli výzkumníci zkoušet jeden tisk za druhým, dokud se jim to nepodařilo a telefon skutečně neodemkli.
Vlastní postup poté dokázali zopakovat i na telefonu Honor 7 od Huaweie, nicméně (prozatím) neprolomili ochranu iPhonu a některých dalších výrobců.
Podstatné je však to, že k tomu nepotřebovali žádné sofistikované zařízení, ale vystačili s běžnými instrumenty – jedinou specialitou byl vodivý papír.
Česko v datech: Kybernetické útoky v energetice
2.1.2016 Zdroj: SecurityWorld Počítačový útok
Je hrozba útoku na energetické sítě skutečná? Co může znamenat pro koncového odběratele? A jak se proti útokům bráníme v Česku? Podívejte se na názory odborníků a případy z minulosti, které pro vás Česko v datech shromáždilo.
Odpověď na první otázku je jednoduchá a zároveň poněkud znepokojující. Ano, s kybernetickými útoky na společnosti energetického sektoru se dnes odborníci už nesetkávají jen v rovině teoretických úvah, ale i ve skutečnosti. A přizpůsobovat tomu samozřejmě musí i svou práci, stejně jako u jiných útoku, i u hrozeb pro energetické sítě je třeba identifikovat případná rizika a připravit scénáře pro minimalizaci případných škod.
„V současnosti už v podstatě neexistuje složitější energetický systém, který by byl řízený bez využití informačních technologií. Zejména u ovládacích systémů klíčových prvků sice stále existuje velká snaha o striktní oddělení od veřejné sítě, ne vždy je to z provozních důvodů možné,“ vysvětluje Libor Šup, Solutions Architect ze společnosti Unicorn Systems.
Kybernetickým útokem v energetice se míní situace, kdy se hacker nebo skupina hackerů pokusí získat přístup ke klíčovým informacím či prvkům infrastruktury (např. elektrárnám, rozvodným soustavám či řídícím centrům), s cílem ovládat je nebo do nich nahrát škodlivý kód, který bude vykonávat určené příkazy. Motivací pro útočníky může být osobní zisk, zničení vybraného cíle, vyvolání paniky a napáchání dodatečných škod nebo prostě „jen“ chuť ukázat, že něco takového dokáží.
„Podle statistik britského serveru hackmageddon.com byl v roce 2015 celkový počet kybernetických útoků výrazně vyšší než v roce předchozím, a to i navzdory neustále se vyvíjející obraně proti podobným případům. Zhruba za pětinou zaznamenaných útoků stáli nejrůznější aktivisté a skupiny, 10 % útoků je dílem špionáže a jen asi 24 případů z tisíce pak připadá na tzv. kybernetickou válku. Na průmyslové podniky včetně oblasti energetiky mířila celá čtvrtina útoků, daleko za nimi jsou pak vlády, zdravotnická zařízení nebo finanční instituce,” přibližuje strukturu současné kyberkriminalityZuzana Lhotáková, Marketing manager SAS Institute ČR.
„Útočníky můžou být jednotlivci, ale i organizované skupiny aktivistů, teroristé, vládní organizace nebo armáda. Mezi takové skupiny patří například Energetic Bear, která je podle zpráv z několika nezávislých zdrojů zapojena do kybernetické špionáže v oblasti energetiky a škodlivý software z jejich dílny – Havex – je rozšířen po celém světě. Havex se v současnosti nezaměřuje jen na kybernetickou špionáž, ale je schopen také sabotovat infikované systémy. To je velmi závažné zjištění, protože jeho cílem jsou primárně SCADA (Supervisory Control and Data Acquisition) systémy využívané energetickými společnostmi. Energetic Bear mají nejpravděpodobněji sídlo ve východní Evropě a jejich malware se objevil mimo jiné i v Česku. Z činnosti skupiny je patrné, že pracuje v běžném pracovním týdnu, a dá se tedy usuzovat, že se nejedná o nadšence, ale členy nějaké organizace, která bude mít silné finanční zázemí,“ dodává Libor Šup z Unicorn Systems.
Kde už hackeři na energetické systémy zaútočili?
Zpoždění při spouštění íránské jaderné elektrárny
Už v roce 2010 byl zaznamenán kybernetický útok, který měl za úkol oddálit nebo zastavit spuštění jaderné elektrárny v Iránu. Cílem ochromení tehdy nebyla samotná jaderná elektrárna, ale závod na obohacování uranu. Červ Stuxnet vyřadil z činnosti a následně zničil několik stovek centrifug na obohacování uranu tím, že změnil frekvenci jejich otáček.
Nejprve je roztočil nad povolenou hranici a poté jejich otáčky naopak snížil na velmi pomalé. Tím způsobil finanční ztráty i zpoždění při zprovoznění samotné elektrárny. Vzhledem k architektonické složitosti tohoto červa se muselo jednat o experty s obrovským finančním potenciálem.
Stuxnet je natolik kvalitní a modulární systém, že je možné jej u průmyslových systémů využít pro téměř libovolnou podobnou činnost. I proto byly z útoku podezřívány tajné služby USA a Izraele, avšak bez jasných důkazů.
Převzetí kontroly nad vodním dílem v USA
Pravděpodobně jako odvetu za útok proti jaderné elektrárně v roce 2013 podnikla íránská skupina SOBH Cyber Jihad, která se k útoku sama přihlásila, úspěšný kybernetický útok na malou přehradu (přesněji větší stavidlo) poblíž New Yorku. Podařilo se jim na krátkou dobu převzít kontrolu nad ovládacím zařízením a i když se tentokrát jednalo o malé vodní dílo o výšce několika metrů, i tento útok ukázal možné následky plynoucí z nedostatečného zabezpečení.
Únik informací v Jižní Koreji
V prosinci 2014 došlo k útoku na servery společnosti Korea Hydro & Nuclear Power, která v Jižní Koreji provozuje několik jaderných elektráren a hydroelektráren. Došlo k úniku dat, která ovšem podle vyjádření společnosti nepatřila mezi klíčová. Podobné informace však mohou být cenné při plánování dalšího útoku. Možná spojitost s KLDR nebyla potvrzena ani vyvrácena.
Masivní výpadek dodávky elektrického proudu na Ukrajině
V prosinci roku 2015 došlo k rozsáhlému výpadku dodávek elektrické energie v Ivanofrankivské oblasti na Ukrajině. Bez elektřiny tehdy zůstalo po dobu několika hodin až 700 tisíc lidí. Z následných analýz útoku vyplynulo, že se nejednalo o náhodný výpadek, ale koordinovanou součinnost skupiny hackerů. Ti pomocí trojského koně BlackEnergy pronikli do jednotlivých komponent distribučních sítí a následně ji poškodili nebo ochromili. Kromě klasických funkcí destruktivního malware (odstranění systémových souborů, které znemožní spustit systém) se tato varianta speciálně zaměřila na sabotáže v průmyslových systémech. Jednalo se tedy o konkrétní aplikaci běžného malware pro potřeby útoků na podobné cíle. I když konkrétní útočník nebyl odhalen (spekuluje se o jeho napojení na ruské vládní složky), jedná se o první jasně potvrzený útok na rozvodnou elektrickou síť v tomto rozsahu. Podobný trojský kůň byl využit i pro útok na ukrajinská média po volbách nedlouho předtím a spekulovalo se i o hrozbě pro kyjevské letiště, kterou se však údajně podařilo včas zastavit.
„Kybernetické útoky bychom neměli řadit jenom jako problematiku IT. Pro sofistikovaný útok totiž útočník používá více různých prostředků, přičemž nejčastěji využívá psychologický aspekt zranitelnosti uživatele. Oklamáním uživatele totiž útočník umístí do vnitřní sítě organizace falešnou bránu, malware, která pak simuluje interního uživatele. Pak už bezpečnostní brány, firewally, nerozliší komunikace útočníka pod ukradenou identitou oproti oprávněnému uživateli. Ale i proti takovýmto útokům se lze bránit pojetím bezpečnosti multidisciplinárně,” vysvětluje Adrian Demeter, senior manažer Deloitte Security.
Kybernetické útoky a český spotřebitel
Běžnému spotřebiteli nebo firmě se podobné útoky mohou zdát vzdálené a málo pravděpodobné. Ale s nástupem tzv. ‚chytrých domácností‘ a internetu věcí se začíná riziko kybernetických útoků přibližovat i jim.
Reálná je například situace, kdy útočník přepíše údaje na elektroměru se vzdálenou správou nebo vzdáleně zapne v domácnosti spotřebič – například topení – s cílem uměle navyšovat spotřebu energií. Na podobném principu může fungovat převzetí řízení jaderné elektrárny, regulace výpustě přehrady nebo manipulace s přenosovou soustavou či zásobníky plynu.
V současnosti v ČR dochází k pomalému posunu ve vnímání kybernetických hrozeb nejen pro energetický sektor. Děje se tak na základě platného kybernetického či krizového zákona, případně z vůle jednotlivých subjektů.
V neposlední řadě probíhají kybernetická cvičení, která pomáhají hledat možná rizika a nabízet jejich řešení – například v říjnu 2015 proběhlo v Brně pod záštitou Národního centra kybernetické bezpečnosti cvičení simulující útok na elektrárnu i obranu před ním, ve kterém proti sobě stály týmy „útočníků“ a „obránců“.
Podvody na internetu si počítačový pirát vydělal více než 60 miliónů dolarů
2.8.2016 Zdroj: Novinky/Bezpečnost Podvod
V Nigérii byl zatčen muž, který je podezřelý, že pomocí podvodů na internetu obral stovky obětí po celém světě o celkem více než 60 miliónů dolarů (1,45 miliardy Kč). Oznámila to v pondělí podle agentury AFP v nigerijském městě Lagos mezinárodní policejní organizace Interpol. Počítačovému pirátovi pomáhalo v různé míře nejméně 40 lidí v Nigérii, Malajsii a Jihoafrické republice.
"Čtyřicetiletý Nigerijec, známý pod jménem Mike, je podle všeho za podvody v celkové výši přes 60 miliónů dolarů. Po světě jsou stovky obětí," uvedla organizace.
Upřesnila, že podezřelý se především dostával do elektronických pošt malých a středních podniků, a to hlavně v Austrálii, Kanadě, Indii, Malajsii, Rumunsku, Jihoafrické republice, Thajsku a Spojených státech. Podvody prováděl i na webech seznamek a pral špinavé peníze v Číně, Evropě a USA.
Agenti Interpolu dopadli podezřelého a rozbili jeho síť s pomocí nigerijské vládní agentury proti korupci a s pomocí nigerijského výboru EFCC proti ekonomické a finanční zločinnosti v této africké zemi, dodala policejní organizace v prohlášení. V jakém období zadržený své zločiny páchal, neupřesnila.
Pirátství kvete především v Evropě, Česko je na tom však překvapivě dobře
2.8.2016 Zdroj: Živě.cz Podvod
Organizace MUSO se primárně zabývá ochranou autorského obsahu, zároveň však vytváří analýzy, které se pirátství týkají. Ta nejnovější je globální zprávou o pirátství v celkem padesáti zemích světa. S výsledky, které vyplynuli z posbíraných 141 miliard záznamů o návštěvách na pirátských a streamovacích webech, se MUSO podělilo s TorrentFreakem.
Pohled na žebříček je jasný – pirátství je nejrozšířenější v Evropě a mezi prvními desíti zeměmi nenajdeme jiný než evropský stát. Rekordmanem je Lotyšsko, kde stránky s pirátským obsahem navštěvuje 46 % uživatelů internetu. Následují země jako Bulharsko, Litva, Chorvatsko nebo Španělsko.
Warezu se naopak nedaří ve Vietnamu, Německu, Mexiku nebo Thajsku. V těchto zemích pirátské stránky navštěvuje do tří procent uživatelů:
(zdroj: TorrentFreak)
Relativně dobře je na tom také Česko, i když se v žebříčku umístilo až ve třetí desítce. Konkrétně pirátské weby navštěvuje 8,56 % uživatelů. Těsně před námi je Francie, za námi o půl procentního bodu Švýcarsko. V