Czech Articles - 0 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16
Viry terorizují počítače i mobily
22.4.2016 Bezpečnost
S novými viry se v posledních týdnech doslova roztrhl pytel. Tyto škodlivé kódy se přitom již nezaměřují pouze na klasické počítače, stále častěji se je kyberzločinci snaží propašovat také do chytrých telefonů.
Důvod je jasný. Zatímco na zabezpečení počítačů si většina uživatelů dává již velký pozor, u mobilů řeší riziko kybernetických útoků málokdo. A to platí i o počítačových tabletech.
Přitom právě na zmiňovaných zařízeních uživatelé velmi často uchovávají citlivé osobní údaje, přístupová hesla a v neposlední řadě je používají také k obsluze svých bankovních účtů. Právě poslední zmiňovaná činnost je pro počítačové piráty patrně nejatraktivnější.
Pokud se počítačoví piráti dostanou k přihlašovacím údajům do internetového bankovnictví, jsou jen krůček od vybílení účtu. Stačí, aby se jim podařilo na telefon propašovat dalšího nezvaného návštěvníka, který dovede odchytávat SMS zprávy pro potvrzení plateb.
Důležitá je prevence
Před podobnými nezvanými hosty dokážou počítače, tablety i chytré telefony ochránit speciální programy. Kromě klasických antivirů jde například o aplikace, které se soustředí pouze na špionážní software a hledání trojských koňů.
Jiné programy zase dokážou v operačním systému nalézt tzv. keyloggery, které jsou schopné zaznamenávat stisk každé klávesy a nasbíraná data odesílat útočníkovi.
Na PC i mobilu by měl být nainstalován vždy jen jeden bezpečnostní program svého druhu. Dva antiviry na disku dokážou udělat pěknou neplechu. Samotný antivirus ale zárukou bezpečí není.
Velmi důležité jsou také aktualizace, protože právě chyby v operačním systému a nejrůznějších programech počítačoví piráti velmi často zneužívají k tomu, aby do přístroje propašovali nezvané návštěvníky.
Nebezpečný trojský kůň číhá na lechtivých webech
Řada uživatelů používá tablety a chytré telefony nejen k přístupu na internet, ale také ke sledování filmů a dalších videí. A právě toho se snaží zneužít počítačoví piráti, kteří za aktualizaci populárního přehrávače Flash Player schovají trojského koně.
Nezvaný návštěvník se jmenuje Marcher a zpravidla se ukrývá na webech s erotickým obsahem. Útok přitom probíhá prakticky vždy stejně. Ve chvíli, kdy se uživatel pokusí spustit video, je vyzván k aktualizaci Flash Playeru, místo ní si přitom do svého přístroje stáhne trojského koně.
Právě na pornostránkách se ukrývá Marcher nejčastěji. Stejným způsobem ale může být šířen také prostřednictvím webů pro sledování virálních videí a pro šíření nelegálních kopií nejrůznějších filmů a seriálů.
Bezpečnostní experti ze společnosti Zscaler doposud zachytili tohoto trojského koně na zařízeních s operačním systémem Android. Není ale vyloučeno, že se bude vyskytovat také na počítačových tabletech a chytrých telefonech postavených na jiných platformách.
Uživatelé si přitom ani nevšimnou, že bylo jejich zařízení infikováno, protože trojský kůň vlastně na první pohled nic nedělá a jen vyčkává na svou příležitost. Pokud se uživatel bude prostřednictvím oficiální aplikace Google Play snažit stáhnout nějakou aplikaci, vyskočí mu falešné okno se žádostí o vložení platební karty. Tak se podvodníci poté dostanou k cizím penězům.
Útočí přes SMS zprávy, pak vybílí účet
Nový trik začali v posledních dnech zkoušet počítačoví piráti na tuzemské uživatele. Vylákat přihlašovací údaje k internetovému bankovnictví se snaží prostřednictvím SMS zpráv. Poté jim už zpravidla nic nebrání v tom, aby lidem vybílili účet. Před novou hrozbou varovali zástupci České spořitelny.
SMS zprávy se snaží vzbudit dojem, že je odesílá Česká spořitelna. Ta přitom s klientem skutečně touto formou v některých případech komunikuje. I jinak velmi ostražití uživatelé se mohou nechat relativně snadno napálit.
Jedna z podvodných zpráv informuje o zablokování internetového bankovnictví, tedy služby Servis 24. „Vážení kliente České spořitelny, dosáhli jste maximálního možného počtu pokusů o přihlášení do služby Servis 24. Pro odblokování Vašeho účtu se přihlaste zde. Vaše Česká spořitelna,“ tvrdí podvodníci.
Pod slovem zde se přitom ukrývá odkaz na podvodné webové stránky, kde chtějí počítačoví piráti po uživateli zadat přihlašovací údaje k internetovému bankovnictví. Pokud to důvěřivci skutečně udělají, dají kyberzločincům přímý přístup ke svému bankovnímu účtu.
Nová hrozba se logicky týká pouze majitelů chytrých telefonů. Starší mobily bez webových prohlížečů a přístupu k internetu totiž nedovedou odkazy v SMS zprávách otevírat.
Flash Player nahrává vyděračským virům
Oblíbený program Flash Player od společnosti Adobe, který slouží k přehrávání videí na internetu, má kritickou bezpečnostní chybu. Tu už začali zneužívat počítačoví piráti k šíření vyděračských virů. Vývojáři z Adobe už naštěstí vydali aktualizaci na opravu nebezpečné trhliny.
Chyba se týká operačních systémů Windows, Mac OS X či Chrome OS. K infiltraci škodlivého kódu stačí, aby uživatel navštívil podvodné stránky, na kterých mu bude nabídnuto video k přehrání. Právě prostřednictvím něj se na pevný disk dostane vyděračský virus zvaný Cerber.
Na napadeném stroji tento nezvaný návštěvník zašifruje všechna data. Za jejich zpřístupnění pak útočníci požadují výkupné, a to klidně i několik tisíc korun.
Ani po zaplacení výkupného se uživatelé ke svým datům nedostanou. Místo placení výkupného je totiž nutné virus z počítače odinstalovat. Zpřístupnit nezálohovaná data je už ale ve většině případů nemožné.
Na routery – brány do světa internetu – se zaměřují kyberzločinci stále častěji. Využívají toho, že zabezpečení těchto internetových zařízení uživatelé především v domácnostech velmi podceňují, někdy to ale platí i o firmách. Na routery například cílí nový virus Kaiten, před kterým varovala antivirová společnost Eset.
„Kaiten představuje hrozbu pro všechny, kdo mají router či jiný přístupový bod, na který se dá připojit z internetu. Během samotného útoku virus hledá skulinu, kde je firmware hardwaru zranitelný. Pokud uspěje, stáhne škodlivý kód shodný pro všechny platformy a snaží se jej spustit,“ uvedl Pavel Matějíček, manažer technické podpory společnosti Eset.
Právě s pomocí staženého škodlivého kódu pak útočníci dokážou router na dálku ovládnout a dělat si s ním prakticky cokoliv, co je napadne. Mohou například odposlouchávat komunikaci nebo přesměrovávat internetové adresy.
Přesně to udělali už v minulosti díky zranitelnosti známé jako „rom-0“. Místo serverů, jako jsou například Seznam.cz nebo Google.com, se poškozeným zobrazila hláška o nutnosti instalace flash playeru. Místo té se ale do PC stáhl další virus. Útočníci tak rázem měli přístup nejen k routeru, ale i k připojenému počítači. Hlavní problém je v tom, že routery není možné chránit antivirovými programy, jako je tomu u počítačů.
Ověřte e-mailovou schránku, hlásá nevyžádaný e-mail
Platnost vaší e-mailové schránky brzy vyprší, je potřeba ji ověřit. Nevyžádané e-maily podobného znění kolují v poslední době internetem, podvodníci se tak snaží z důvěřivců vylákat citlivé osobní údaje. S jejich pomocí pak mohou osnovat další útoky.
V anglicky psaném e-mailu podvodníci tvrdí, že schránka přestane do 24 hodin fungovat. „Doporučujeme vám ověřit a aktualizovat vaši schránku, jinak dojde k její deaktivaci,“ stojí v nevyžádané zprávě.
Snaží se tak uživatele vystrašit, aby klikl na odkaz ve zprávě. Ten směřuje na podvodné webové stránky, kde uživatelé mají vyplnit informace týkající se jejich účtu. Kyberzločinci chtějí název e-mailu, heslo, a dokonce i telefonní číslo.
Lidem nemusí na první pohled přijít ani divné, že po nich někdo chce zadat takto citlivé údaje. Vždyť k e-mailu se normálně připojují prostřednictvím hesla a pomocí mobilu se internetové účty běžně zabezpečují.
Nevědomky tak útočníkům dají do rukou vše, co potřebují. Na e-mail jsou totiž velmi často navázány různé další služby na webu – například sociální sítě, seznamky či cloudová úložiště, kam si lidé ukládají svá data. Právě pomocí poštovní schránky mohou piráti zpravidla všechna tato hesla restartovat a získat tak přístup k dalším citlivým údajům.
Odemčení zabijákova iPhonu stálo FBI přes 31 miliónů korun
22.4.2016 Zabezpečení
Americký Federální úřad pro vyšetřování (FBI) zaplatil za odemčení iPhonu teroristy Syeda Farooka ze San Bernardina přes 1,3 miliónu dolarů, tedy v přepočtu přes 31 miliónů korun. Ve čtvrtek to podle agentury Reuters naznačil šéf FBI James Comey. Detaily o průniku však vyšetřovatelé stále tají.
Spor o „zadní vrátka”
Vyšetřovatelé z FBI se do uzamčeného iPhonu islámského radikála nemohli dostat dlouhé dva měsíce. Jeho iPhone 5C byl nastaven tak, aby se po zadání deseti nesprávných kódů automaticky vymazal, s čímž si bezpečnostní experti z FBI původně nedokázali poradit.
Soud proto Applu v únoru nařídil, aby tuto funkci vypnula, což však není technicky možné. Proto vyšetřovatelé chtěli po americkém softwarovém gigantu vytvořit v operačním systému iOS „zadní vrátka“, což však vedení Applu odmítalo.
Vyšetřovatelům z FBI se nakonec podařilo do uzamčeného zařízení dostat. Detaily o průniku však nezveřejnili.
Útok v San Bernardinu byl nejtragičtějším od teroristických útoků v zemi v září 2001. Zradikalizovaný muslim Syed Farook a jeho žena Tashfeen Maliková tam na počátku prosince zastřelili 14 lidí. Později byli zabiti při přestřelce s policií.
Comey se o zabijákově iPhonu rozpovídal na akci Aspen Security Forum, která se konala ve čtvrtek v Londýně. Jeden z přítomných novinářů se jej tam zeptal, na kolik FBI vyšlo prolomení zabezpečení iPhonu.
Přesnou částku šéf FBI sice neprozradil, ale je možné ji z jeho slov odvodit. „Opravdu hodně. Je to víc, než si zvládnu u FBI vydělat do konce svého funkčního období. Tedy za sedm let a čtyři měsíce,“ přiblížil Comey.
Pomohli Izraelci?
Vzhledem k tomu, že jeho roční plat činí 183 300 dolarů (4,3 miliónu korun), není těžké spočítat úplatu za odblokování jablečného smartphonu. Celková částka musela dělat minimálně 1,3 miliónu dolarů (přes 31 miliónů korun).
Více nechtěl na dotazy týkající se celé kauzy odpovídat. Doposud tedy není jasné, jak přesně se podařilo vyšetřovatelům do uzamčeného iPhonu dostat a jaká společnost jim s odblokováním zařízení pomohla.
Podle dřívějších informací je to však práce společnosti Cellebrite se sídlem v Izraeli. Firma britské stanici BBC potvrdila, že s americkými vyšetřovateli spolupracuje, ale více nesdělila. Na svých internetových stránkách nicméně Cellebrite prohlašuje, že jeden z jejích nástrojů umí dekódovat a extrahovat data z iPhonu 5C.
Nástroj na odemčení FBI ještě poslouží
Odemčení zabijákova iPhonu nicméně vyšetřovatelům příliš nepomohlo, jak informoval na konci minulého týdne server CBS News. Nebyla totiž odhalena žádná data, díky nimž by se vyšetřování posunulo nějak dopředu.
Zdroj serveru nicméně zdůraznil, že veškerá získaná data z chytrého telefonu budou ještě několik dní nebo dokonce týdnů podrobně analyzována. Vše nicméně nasvědčuje tomu, že ani důkladnější prohledávání nepřinese žádné kloudné výsledky.
I tak ale nebyly vynaložené milióny zbytečné. Získaný nástroj totiž dokáže FBI využít k odemčení i dalších jablečných přístrojů. Konkrétně by mělo jít o iPhone 5C a starší modely, na ty nové jsou vyšetřovatelé krátcí.
„Máme nástroj, který však nepracuje na všech iPhonech,“ prohlásil již dříve Comey. Ani tehdy však žádné bližší informace nechtěl prozradit.
Let's Encrypt už není beta, zůstávají však nesplněné sliby
21.4.2016 Zabezpečení
Bezplatná automatizovaná certifikační autorita nedávno odstranila nálepku „beta“ ze svého názvu. Kdysi slibované bezpečnostní prvky ale byly zrušeny, nebo zůstávají neimplementované.
Certifikační autorita Let's Encrypt měla být revolucí v bezpečnosti na internetu. Jejím cílem bylo zpřístupnit snadné šifrování pro všechny a udělat to bezpečněji, než je stávající praxe. Zatímco první cíl se zajisté splnit povedlo, z druhého vidíme po čase spíše ústupky směrem ke snazší použitelnosti za cenu nižší bezpečnosti.
Domain Control Validation – validace, která moc nevaliduje
Z reakcí na předchozí články a přednášky o Let's Encrypt pozoruji, že spousta lidí až do příchodu Let's Encrypt měla jen velmi zkreslenou představu o tom, jak málo stačí k vydání důvěryhodného certifikátu pro webový (i jiný) server. Zřejmě i na základě samotného pojmu často mylně usuzují, že k jeho získání je potřeba nějaká certifikace. Když se pak dozví, že stačí vystavit správný soubor na webovém serveru, často neskrývají zděšení.
Tato nejnižší forma validace je přitom k dispozici již mnoho let a podporuje ji naprostá většina veřejných certifikačních autorit. O žádnou certifikaci ve smyslu ověření totožnosti držitele ale nejde. Autorita jen potvrdí, že v nějaké době před vystavením certifikátu ovládal doménové jméno ten, kdo o certifikát požádal. Pokud od té doby doména změnila majitele, nebo byla IP adresa přidělena jinému zákazníkovi, nebo někdo po cestě odklonil provoz, může se snadno stát, že certifikát ve skutečnosti nepatří držiteli doménového jména, ale někomu jinému. Jinými slovy, ani ten základní a jediný účel, pro který certifikáty existují, tedy prokázání identity komunikujících stran, DV certifikát řádně nesplňuje.
Nízké důvěryhodnosti si samozřejmě jsou vědomi i lidé ze Let's Encrypt, na druhou stranu je to jediný způsob validace, který je možné plně automatizovat. Proto přišli s vlastními nápady, jak validaci držitele domény co nejvíce zabezpečit proti případnému zneužití.
Ochrana před náhodným vystavením autentizační výzvy
Jedním z nejběžnějších způsobů validace držení doménového jména je vystavení určitého souboru na webserveru, který běží na daném doménovém jméně. Funguje takto:
klient požádá autoritu o vystavení certifikátu
autorita požádá klienta, aby vystavil konkrétní soubor na konkrétní cestě
klient vystaví soubor a požádá o validaci
autorita soubor zkontroluje a vystaví certifikát
Jedním z problémů, ke kterému zde může dojít, je vystavení autentizační výzvy někým jiným, než držitelem příslušného doménového jména. Jde-li o webový server, na který nahrávají data v nějaké formě uživatelé (např. diskuzní fórum, cloudové uložiště a pod.), může nepříjemnou shodou okolností dojít k tomu, že se autentizační soubor podaří uložit některému z uživatelů.
Původní implementace Let's Encrypt proti tomuto bojovala nejen speciální cestou /.well-known/acme-challenge/, ale i požadavkem na vystavení ověřovacího souboru se speciálním MIME typem application/jose+json. Vzhledem k tomu, že validační soubor nemá žádnou příponu, bylo nutné tohoto docílit zásahem do konfigurace webserveru, což sloužilo jako dostatečný důkaz toho, že soubor skutečně vystavuje administrátor webserveru a nikoli náhodný uživatel webové služby.
Tento požadavek byl z ostré verze Let's Encrypt odstraněn ještě před spuštěním beta programu. Podle všeho bylo takový požadavek příliš složité splnit na IIS. Má se za to, že ochrana umístěním ověřovacích souborů do podadresáře .well-known plní účel dostatečně.
Ochrana před manipulací s DNS
Specifikace protokolu ACME v tomto ohledu požadovala a stále požaduje, aby autorita prováděla validaci DNSSEC dat. To skutečně také dělá, jak jsem se přesvědčil při pokusu ověřit doménové jméno se záměrně rozbitým DNSSEC podpisem:
Verifying:www.rhybar.cz
www.rhybar.cz:Verify error:DNS problem: SERVFAIL looking up A for www.rhybar.cz
Ovšem, i tady je prostor ke zlepšení. Když jsem stejným způsobem požádal o vystavení certifikátu pro doménové jméno se záměrně rozbitým DNSSEC podpisem používajícím ECDSA algoritmus, certifikát jsem dostal. Jedná se zřejmě o zastaralý software DNSSEC validátoru, který ECDSA algoritmům dosud nerozumí. Problém jsem nahlásil bezpečnostnímu týmu ISRG, přislíbili, že se jím budou zabývat.
Ochrana před únosem adres
Další riziko, kterému DV validace čelí, je únos IP provozu na cestě mezi autoritou a serverem domény, která žádá o certifikát. K řešení tohoto problému se vyjadřoval Peter Eckersley na loňském DebConfu. Přislíbil dva základní prostředky snížení rizika.
Prvním má být ověřování validačních výzev z více pozorovacích bodů. Jsou-li body dostatečně síťově vzdálené, je pro případného útočníka obtížnější unést provoz mezi autoritou a klientem – útočník pak musí být buď na společné části cesty, nebo musí ovládat všechny cesty k danému klientovi. Na stejném principu ostatně funguje třeba známé rozšíření Firefoxu Perspectives, které pomocí skupiny notářských serverů po celém světě ověřuje, zda vidí všichni stejný certifikát.
Jaká je realita ostrého Let's Encrypt? Podle logu webserveru byly všechny mé validační výzvy kontrolovány pouze jednou a to z IP adresy 66.133.109.36 (doménové jméno outbound1.letsencrypt.org). Pohled na traceroute ukazuje, že kritická cesta, na které se kdekoli může vyskytovat útočník, je opravdu velmi dlouhá:
traceroute to 66.133.109.36 (66.133.109.36), 30 hops max, 60 byte packets
1 cat58-gw.cesnet.cz (195.113.134.129) 0.482 ms 0.521 ms 0.606 ms
2 195.113.179.141 (195.113.179.141) 1.931 ms 1.939 ms 1.939 ms
3 195.113.235.109 (195.113.235.109) 5.309 ms 5.337 ms 5.318 ms
4 prag-b3-pos4-0.telia.net (213.248.77.117) 1.993 ms 2.290 ms 2.247 ms
5 win-bb2-link.telia.net (62.115.117.100) 7.643 ms 7.782 ms 7.782 ms
6 ffm-bb2-link.telia.net (62.115.113.108) 20.126 ms 18.862 ms 18.852 ms
7 ash-bb4-link.telia.net (80.91.246.62) 115.515 ms prs-bb2-link.telia.net (62.115.143.81) 31.927 ms hbg-bb4-link.telia.net (62.115.112.47) 26.704 ms
8 ash-b1-link.telia.net (62.115.115.154) 118.382 ms ash-b1-link.telia.net (62.115.113.213) 116.098 ms ash-bb4-link.telia.net (80.91.251.247) 110.192 ms
9 206.111.0.225.ptr.us.xo.net (206.111.0.225) 116.656 ms 117.380 ms 117.374 ms
10 206.111.0.225.ptr.us.xo.net (206.111.0.225) 111.686 ms 111.445 ms 116.614 ms
11 207.88.14.162.ptr.us.xo.net (207.88.14.162) 178.180 ms 171.673 ms vb6.rar3.chicago-il.us.xo.net (207.88.12.33) 173.453 ms
12 te-4-1-0.rar3.denver-co.us.xo.net (207.88.12.22) 169.670 ms 173.880 ms vb6.rar3.chicago-il.us.xo.net (207.88.12.33) 185.601 ms
13 ae0d0.mcr1.saltlake-ut.us.xo.net (216.156.0.2) 169.649 ms 169.179 ms 169.169 ms
14 ip65-46-61-22.z61-46-65.customer.algx.net (65.46.61.22) 173.020 ms ae0d0.mcr1.saltlake-ut.us.xo.net (216.156.0.2) 164.528 ms ip65-46-61-22.z61-46-65.customer.algx.net (65.46.61.22) 172.705 ms
15 ip65-46-61-22.z61-46-65.customer.algx.net (65.46.61.22) 183.939 ms teng-04-02.crrt02.slc07.viawest.net (66.51.2.169) 174.316 ms 174.453 ms
16 66.133.111.222 (66.133.111.222) 250.284 ms teng-04-02.crrt02.slc07.viawest.net (66.51.2.169) 169.295 ms 66.133.111.222 (66.133.111.222) 228.521 ms
17 66.133.111.222 (66.133.111.222) 228.496 ms outbound1.letsencrypt.org (66.133.109.36) 172.651 ms 66.133.111.222 (66.133.111.222) 342.482 ms
Vizualiace cesty k autoritě Let's Encrypt pomocí systému <a href="https://atlas.ripe.net/measurements/3678977/">RIPE Atlas</a>.
Vizualiace cesty k autoritě Let's Encrypt pomocí systému RIPE Atlas.
Nerealizovaný důkaz držení předchozího klíče
Druhá pojistka proti zneužití DV validace měla být zároveň bezpečnostní killer feature projektu Let's Encrypt. Myšlenka byla taková, že žádá-li kdokoli o vydání certifikátu na doménové jméno, pro které již existuje vydaný a platný certifikát některé veřejné certifikační autority (tato skutečnost se dá dohledat například v databázi SSL Observatory, nebo Certificate Transparency), je třeba pro úspěšné ověření provést také důkaz držení privátního klíče k původnímu certifikátu. Takový důkaz může proběhnout například tak, že se privátní klíč použije k podpisu autoritou předepsané zprávy.
Tímto způsobem by bylo možné elegantně eliminovat zneužití autority odkloněním provozu, neboť samotný fakt disponování doménovým jménem by v tomto případě nestačil. Bohužel, ani tento bezpečnostní mechanizmus nebyl implementován a pravděpodobně tomu tak ani v dohledné době nebude. Tiket k dané funkci byl těsně před koncem beta období uzavřen. Osobně se domnívám, že k jeho realizaci nedojde také proto, že spoustu klientů a řešení, které už Let's Encrypt rutinně používají, by bylo nutné zásadním způsobem změnit.
Transparentnost s trhlinami
Další oblast, ve které se autorita Let's Encrypt měla odlišovat od konkurence, byla naprostá transparentnost procesu. V praxi to mělo být zajištěno:
sekvenčním číslováním sériových číslel certifikátů
posíláním všech certifikátů do veřejných logů Certificate Transparency
zveřejňováním záznamů ACME komunikace
veřejným blacklistem doménových jmen
Ze všech těchto bodů zůstalo v platnosti pouze posílání certifikátu do Certificate Transparency. Sekvenční číslování bylo zrušeno ještě před veřejnou betou s odůvodněním, že výrazným způsobem komplikuje kód autority boulder a přitom jen nedokonale provádí totéž co Certificate Transparency.
Zveřejnění ACME logů by mohlo představovat dobrý důkazní materiál pro vyšetřování případného zneužití. Bylo by možné prozkoumat, jakým způsobem validace proběhla, jakou IP adresu server měl v době validace a další důležité podrobnosti. Podle vyjádření z listopadu 2015 je funkce stále plánována, avšak nebyl čas ji zprovoznit do zahájení beta programu. S odstupem času můžeme říct, že se to bohužel nepovedlo ani do ukončení beta programu.
A konečně, Let's Encrypt používá, ve shodě s jinými autoritami, blacklist speciálních a/nebo hodnotných doménových jmen, pro která certifikát za žádných okolností nevydává. V průběhu vývoje byl tento seznam součástí otevřených zdrojových kódů autority. Od té doby však došlo k refaktoringu, kdy byl blacklist přesunut nejprve do databáze a později do samostatných datových souborů. Tyto však již nejsou hostovány na GitHubu, takže není možné snadno zkontrolovat, která doména na blacklistu je a která ne.
Rate-limiting stále v akci
Koncem března byly drobně uvolněny rate limity. Nyní je možné v rámci jednoho doménového jména vystavit:
20 různých certifikátů týdně
5 certifikátů s totožnou sadou jmen týdně
neomezené množství obnovených certifikátů (se stejnou sadou jmen, jako již vydaný certifikát)
I když se limity zdají být velkorysé, jsou pro některé účely hluboce nedostačující. Příkladem mohou být nejrůznější bezplatné DNS hostingy, kde pod jedním doménovým jménem existují tisíce samostaných uživatelů, kteří by rádi měli každý svůj certifikát. Stejný problém trápí také třeba velké univerzity, které mají pod společným doménovým jménem mnoho fakult a také třeba kolejní sítě.
Předčasně ukončená beta
Autoritě Let's Encrypt se toho povedlo opravdu hodně, o tom není pochyb. Více než půl druhého milionu platných certifikátů během půlročního provozu svědčí o tom, že projekt má smysl a zájem o podobně fungující autoritu je. Bohužel, z plánovaných bezpečnostních vlastností, které měly DV certifikáty od Let's Encrypt odlišovat od obyčejných DV certifikátů ostatních autorit postupně sešlo. Teď, když už autorita ztratila označení beta, se nedá očekávat, že by byly v dohledné době doplněny.
Pozitivní však je, že nástup Let's Encrypt rozhýbal trh komerčních certifikačních autorit. Známá autorita StartSSL například převlékla svůj web do trošku modernějšího kabátu a uvolnila limit počtu doménových jmen v bezplatném certifikátu. Symantec zase oznámil program Encryption Everywhere, který je v zásadě klonem Let's Encrypt, ale zaměřeným na provozovatele webhostingů místo na koncové uživatele. Obchod The SSL Store zase vysvětluje, jaká má Let's Encrypt omezení a proč se tedy v určitých případech stále vyplatí zakoupit si certifikát od nich.
Tradiční certifikační autority své místo na trhu nepochybně mají, ale jejich místo je především v provádění řádné validace, tak aby vystavené certifikáty zaručovaly aspoň nějakou úroveň jistoty, že patří, komu patřit mají. DV certifikát je sice mnohonásobně lepší než nešifrovaný přístup, rozhodně se ale nehodí pro službu, která jakýmkoli způsobem zpracovává například osobní nebo platební údaje uživatelů.
Pirátský program napadl desítky tisíc počítačů, hacker dostal 9,5 roku vězení
21.4.2016 Kriminalita
K devíti a půl roku vězení odsoudil ve středu soud v americké Atlantě ruského hackera Alexandra Panina, který vytvořil a rozšiřoval program pro vykrádání bankovních účtů. Sedmadvacetiletý zločinec se k činu přiznal v rámci dohody s vyšetřovateli. Jeho software podle odhadu způsobil škody za miliardu dolarů.
Hacker Alexander Panin
Paninův pirátský program zvaný SpyEye podle americké policie napadl až 50 000 počítačů. Program byl na prodej v kriminálních komunitních sítích po celém světě za částky od 500 do 10 000 dolarů (až 240 000 korun). Koupilo si ho podle americké FBI nejméně 150 zákazníků.
Panin byl dopaden díky agentům FBI, kteří se vydávali za hackery a program zakoupili. Rus byl zatčen v lednu 2013 na atlantském mezinárodním letišti.
Centrum pro boj s kyberzločinem zprovoznilo O2
19.4.2016 Bezpečnost
Nové centrum kybernetické bezpečnosti, tzv. Security Expert Center (SEC), otevřela ve svém sídle v Praze firma O2. Má firmám i státním organizacím pomocí eliminovat rizika spojená s kybernetickými hrozbami. Novinka podle provozovatelů odpovídá potřebám zákona o kybernetické bezpečnosti závazného pro firmy a státní instituce pracující s citlivými daty.
Služby SEC umožňují podle provozovatele identifikovat klíčová aktiva společnosti (např. informační aktiva, lidské zdroje, procesy nebo systémy) a nastavit vhodný model jejich ochrany.
SEC vykonává bezpečnostní dohled, který umožní identifikovat zranitelnost IT infrastruktury. Potenciální kybernetické hrozby rozpozná SEC na základě anomálií chování jednotlivých infrastrukturních prvků. Služba zároveň zajišťuje komplexní nasazení bezpečnostních nástrojů, dohledových zařízení a ochrany včetně průběžného reportingu, analýz a návrhů nápravných opatření.
Službu si lze objednat jako jednorázovou nebo dlouhodobou. Na základě požadavků a potřeb zákazníka je možné implementovat celé řešení, nebo jen některou z částí, která je pro zákazníka kritická.
Jen v loňském roce podle O2 kybernetické útoky způsobily evropským firmám ztráty ve výši 62 miliard dolarů. Průměrný kybernetický útok přitom stojí firmu asi 1,2 procenta jejich příjmů.
Podle Jiřího Sedláka, ředitele SEC v O2 ITS, mají firmy a organizace často nasazené nástroje, vypracované postupy a bezpečnostní politiky, ale přesto účinnost ochrany nenaplňuje jejich představy. Důvodů je mnoho - od chybně nastavených cílů, nesprávné architektury, špatné implementace, chybějících zdrojů a know-how až po chybné časování nebo neschopnost kontrolovat a vymáhat tato opatření.
Česká spořitelna varovala před podvodníky na Facebooku
18.4.2016 Podvod
Sociální síť Facebook se snaží znovu zneužít počítačoví piráti k šíření škodlivých kódů. Tentokrát si dokonce vytvořili rovnou celou podvodnou stránku, která na první pohled vypadá, jako by skutečně patřila České spořitelně. Právě zástupci této banky před novým podvodem varovali.
Podvodná stránka na Facebooku
FOTO: Česká spořitelna
„Upozorňujeme na podvodný profil na Facebooku, který jsme v posledních dnech zaznamenali a který se snaží vzbudit dojem, že patří České spořitelně. Podvodníci na tomto profilu nabízejí ‚nové internetové bankovnictví SERVIS 24‘,“ uvedli zástupci České spořitelny.
Falešný profil se jmenuje Ceska Sporitelna a odkaz na něm samozřejmě směřuje na podvodné stránky, jejichž prostřednictvím se snaží kyberzločinci vylákat od důvěřivců přihlašovací údaje k internetovému bankovnictví.
Tisícovka za přihlášení
Uživatele navíc motivují ke kliknutí na falešné stránky finanční odměnou. Každý, kdo se prostřednictvím uveřejněného linku do bankovnictví přihlásí, získá údajně odměnu tisíc korun.
Nejenže lidé žádné peníze nedostanou, ale prozrazením přihlašovacích údajů si zadělávají na pěkný problém. Počítačoví piráti jsou totiž už jen kousek od toho, aby jim mohli vybílit účet – stačí, aby propašovali virus na jejich chytrý telefon. Prostřednictvím něj pak budou schopni odchytávat potvrzovací SMS zprávy pro platby, jako tomu bylo už v minulosti.
Ukázka jedné z podvodných SMS zpráv, jejímž prostřednictvím se dokážou podvodníci dostat do chytrého telefonu.
FOTO: Česká spořitelna
„Důrazně varujeme před jakoukoli reakcí na výzvy uvedené na tomto profilu. V žádném případě neklikejte na nabízený odkaz a svoje údaje nevyplňujte nikam jinam než na oficiální stránky www.servis24.cz. Podvodníci by se pak jejím prostřednictvím mohli dostat k Vašim penězům! V případě jakýchkoliv pochybností nás kontaktujte na bezplatném telefonním čísle 800 207 207,“ konstatovali zástupci banky.
Obezřetní by tedy uživatelé měli být i v případě, že narazí na Facebooku či jiné sociální síti na podobné stránky, které ale ponesou jiný název. Není totiž vyloučeno, že škodlivé kódy budou počítačoví piráti šířit prostřednictvím jiného profilu. Vydávat se klidně mohou i za úplně jinou bankovní instituci.
Certifikáty pro HTTPS zdarma: Komunitní autorita Let's Encrypt spouští ostrý provoz
18.4.2016 Zdroj: Živě Zabezpečení
Projekt bezplatných certifikátů pro webové servery Let’s Encrypt po několikaměsíčním zkušebním provozu opouští betatestování a spouští ostrý provoz.
Beta program autoři spustili loni v září a od té doby vydali 1,7 milionů certifikátů, které jsou díky sponzorům důvěryhodné ve většině moderních webových prohlížečů. Nyní se pochlubili, že na svou stranu získali další dva silné partnery: Cisco a Akamai.
O Let's Encrypt je zájem
Cílem Let’s Encrypt není zničit současný trh s certifikáty, ale spíše umožnit základní důvěryhodné šifrování webových stránek a masové nasazení HTTPS:// napříč internetem. To je doposud problém, protože bez důvěryhodného certifikátu prohlížeče zobrazují varovná hlášení a autoři malých webů zpravidla nechtějí platit vedle domény a hostingu ještě za certifikát od důvěryhodné autority. Let’s Encrypt by tento základní problém mohl vyřešit, nabízí totiž přesně tento typ nejjednodušších certifikátů.
Jedinou šmouhou na kráse je ovšem to, že nasazení certifikátů není úplně nejjednodušší úkon a vyžaduje alespoň základní znalosti administrátorské práce a znalosti, jak vlastně certifikáty fungují. A o Let’s Encrypt to platí dvojnásob.
V ideálním případě by nájemce domény získal certifikát automaticky v rámci platby za doménu a jeho instalace na webovém serveru by proběhla maximálně automatizovaně v rámci standardizovaného API.
WordPress spustil šifrované HTTPS na všech doménách, které poskytuje
17.4.2016 Zabezpečení
WordPress již od roku 2014 podporuje bezpečnější HTTPS, zatím ale pouze na stránkách s poddoménou wordpress.com (např. https://barry.wordpress.com). Nově se ale podpora rozšiřuje i pro všechny ostatní weby, které jsou u WordPressu registrovány.
Veškeré weby registrované na WordPress.com nyní podporují HTTPS
Změna proběhne automaticky a není potřeba žádných úprav na straně zákazníka. Nyní by už měly všechny weby běžet na šifrovaném protokolu, což lze na první pohled poznat podle ikony zámku vedle adresy webu v prohlížeči.
Takový přechod rozhodně přispívá k bezpečnému pohybu na internetu a doufejme, že se stejnou cestou vydají i další velké společnosti. Zvýšená bezpečnosti není jediným přínosem HTTPS. Weby, které mají tento protokol implementován, jsou v třídícím žebříčku vyhledávače Google automaticky řazeny na vyšším pozice. Podrobnější informace o proběhlých změnách lze nalézt na stránkách WordPress.
Apple končí s QuickTime pro Windows, už ani neopraví známé bezpečnostní chyby
17.4.2016 Zranitelnosti
Apple končí s QuickTime pro Windows, už ani neopraví známé bezpečnostní chybyVčera, Milan Šurkala, aktualitaApple QuickTime pro Windows už má patrně své dny sečteny. Společnost Trend Micro upozornila Apple na dvě bezpečnostní chyby v QuickTime. Podpora této verze aplikace ale má být ukončena a chyby nebudou opraveny.
QuickTime už zdaleka není tak populární jak kdysi a jeho verze pro operační systém Windows má již své dny sečteny. Společnost Trend Micro totiž v 11. listopadu 2015 informovala společnost Apple o dvou kritických bezpečnostních chybách aplikace QuickTime pro Windows, jenž byly označeny jako ZDI-16-241 a ZDI-16-242. Apple dostal 120 dní na reakci, ale v podstatě se nic nedělo. Až ke konci této lhůty, 9. března 2015, na výzvu Apple prohlásil, že QuickTime pro Windows už nebude dále vyvíjen.
To ale současně znamená, že tyto dvě bezpečnostní chyby nebudou nikdy opraveny, půjde o tzv. zero-day problémy a Apple akorát doporučuje majitelům počítačů s operačním systémem Windows QuickTime odinstalovat. Návštěva nebezpečné webové stránky tak může být s nebezpečnou verzí QuickTime nepříjemným zážitkem, zatím ale není znám žádný útok, který by tyto zranitelnosti využil. Problém se netýká QuickTime ve verzi pro Mac OS X a Apple se rozhodl podporu ukončit např. proto, že dnes se ve velké míře využívá HTML5, které je obecně bezpečnější než pluginy instalované do prohlížečů.
Trojský kůň připravil banky o desítky miliónů korun
16.4.2016 Viry
Pouhých pár dní stačilo na to, aby kyberzločinci připravili hned několik bank o čtyři milióny dolarů, tedy v přepočtu o více než 95 miliónů korun. Použili k tomu sofistikovaného trojského koně, uvedl server Info Security.
Nový trojský kůň se jmenuje GozNym a objevili jej bezpečnostní výzkumníci společnosti IBM. Ti zároveň zjistili, že prostřednictvím zmiňovaného škodlivého kódu dokázali počítačoví piráti vysát peníze z více než dvou desítek finančních institucí.
Kromě bank jde například o družstevní záložny a nejrůznější platformy pro on-line platby. Většina poškozených institucí je v Americe a Kanadě, konkrétní firmy však výzkumníci s ohledem na probíhající vyšetřování jmenovat nechtěli.
Není tak vyloučeno, že se problémy netýkají také některé z finančních institucí, která působí na tuzemském trhu.
Zkřížili již existující hrozby
Jisté je nicméně to, že trojský kůň byl velmi sofistikovaný. Šlo totiž o kombinaci již existujících hrozeb, známých jako Nymaim a Gozi, ze kterých kyberzločinci vyrobili nového křížence. Na toho evidentně finanční instituce připraveny nebyly.
Právě křížení virů dělá bezpečnostním expertům v poslední době vrásky na čele. „Počítačoví zločinci se naučili kombinovat různé kousky škodlivých kódů. Tím dokážou vytvořit novou hrozbu daleko dříve, než tomu bylo v minulosti,“ upozornil bezpečnostní analytik Travis Smith ze společnosti Tripwire.
Obrana je daleko komplikovanější
„Nemusí tedy psát celý kód od začátku, čímž dokážou značně snížit čas potřebný k vytvoření nové hrozby,“ zdůraznil Smith s tím, že obrana proti takovým hrozbám je logicky daleko komplikovanější.
Jak se kyberzločincům podařilo propašovat trojského koně GozNym do tak velkého množství finančních institucí, zatím není jasné.
Na finanční instituce se hackeři zaměřili už loni. Tehdy se jim podařilo od více než 100 bank v 30 zemích světa ukrást dohromady na 300 miliónů dolarů (7,2 miliardy korun).
Malware z Facebooku vám ukradne hesla, míří na prohlížeče Chrome
16.4.2016 Viry
Podvodnou kampaň, která uživatele nutí, aby si stáhli infikované rozšíření internetového browseru Google Chrome, popsali experti Esetu. Varují, že tak lidé mohou lehce přijít o svá hesla.
Kampaň běží na sociální síti Facebook. Jeho základem je škodlivý plugin do prohlížeče Google Chrome, který je ve skutečnosti upravenou verzí jinak legitimního doplňku pro tvorbu obrázků ve formátu GIF. Pokud si jej uživatel stáhne, může ztratit kontrolu nad svým profilem.
Eset v dubnu tuto hrozbu, kterou eviduje pod označením JS/Kilim.SO a JS/Kilim.RG, detekoval v desítkách zemí včetně České republiky.
„Útočníci se pomocí technik sociálního inženýrství snaží přesvědčit uživatele Facebooku, aby si přehrál video, které je nejčastěji nazváno My first video, My video či Privat video. Po kliknutí na odkaz se otevře falešná internetová stránka podobná YouTube, která místo přehrání videa žádá o instalaci infikovaného pluginu ‚My Gif‘, neboť jinak nebude údajné video možné přehrát,“ vysvětluje Miroslav Dvořák, technický ředitel Esetu.
Pokud si oběť nainstaluje škodlivý plugin, dojde k nákaze internetového prohlížeče a infiltrace pokračuje i dále. Jeho profil na sociální síti Facebook začne velmi rychle šířit odkaz na falešnou stránku s video obsahem mezi jeho přátele, změní přístupové heslo k jeho profilu na Facebooku a začne přidávat nové přátele, vytvářet facebookové stránky, měnit a skrývat příspěvky. Tato funkcionalita ale aktuálně není využívána.
Škodlivá kampaň se přitom šíří přes spam a infikované účty na Facebooku a je při tom podle Esetu velmi úspěšná.
V tuto chvíli cílí útoky pouze na uživatele internetového prohlížeče Google Chrome, ale neexistuje žádná záruka, že se v budoucnu nerozšíří i do dalších prohlížečů. Proto existuje riziko, že by se v budoucnu mohla stát mnohem nebezpečnější, pokud jejím prostřednictvím bude šířen i zákeřnější malware s novými schopnostmi, dodává Dvořák.
Jak se zachovat při nákaze?
Odinstalujte škodlivý plugin „Make a GIF“ z prohlížeče Chrome.
Zkontrolujte počítač spolehlivým antivirovým programem či on-line scannerem.
Po kontrole a vyčištění počítače si změňte heslo do Facebooku, případně tak učiňte prostřednictvím jiného bezpečného zařízení. Heslo si neměňte na zařízení s infikovaným internetovým prohlížečem.
Nový virus se šíří Facebookem jako lavina
15.4.2016 Viry
Doslova jako lavina se Facebookem šíří nový virus, před kterým v pátek varovala antivirová společnost Eset. Je velmi zákeřný, protože dokáže krást na této sociální síti uživatelské profily. Pak se automaticky šíří mezi další přátele. Virus se maskuje za doplněk pro internetový prohlížeč Google Chrome.
„Útočníci se pomocí technik sociálního inženýrství snaží přesvědčit uživatele Facebooku, aby si přehrál video, které je nejčastěji nazváno My first video, My video či Privat video. Po kliknutí na odkaz se otevře falešná internetová stránka podobná YouTube, která místo přehrání videa žádá o instalaci infikovaného pluginu My Gif, neboť jinak nebude údajné video možné přehrát,“ vysvětlil Miroslav Dvořák, technický ředitel společnosti Eset.
Útok je zákeřný především proto, že doplněk My Gif skutečně existuje a s počítačovými piráty nemá nic společného. V internetovém prohlížeči standardně slouží ke snadnému vytváření obrázků. Název si kyberzločinci vypůjčili pravděpodobně kvůli tomu, aby uživatele zmátli povědomým jménem.
Převezme kontrolu nad profilem
Pokud jim důvěřivci na trik skočí, dojde k nakažení internetového prohlížeče. Škodlivý kód převezme kontrolu nad profilem na sociální síti Facebook, změní heslo a prakticky okamžitě začne šířit mezi přátele odkaz na podvodné stránky. Na nich se samozřejmě ukrývá opět video, prostřednictvím kterého chtějí do cizích počítačů kyberzločinci propašovat opět falešnou aplikaci My Gif.
Nezvaný návštěvník zároveň zvládne přidávat nové přátele, vytvářet facebookové stránky a dokonce i měnit a skrývat již existující příspěvky. Podle bezpečnostních expertů zatím ale tyto funkcionality nejsou počítačovými piráty využívány.
Zotročené účty na Facebooku mohou samozřejmě počítačoví piráti zneužít k šíření dalších škodlivých kódů, které mohou být ještě sofistikovanější. Může jít například o vyděračské viry, jež zašifrují data na pevném disku, či nebezpečný bankovní malware, který má za úkol vybílit lidem účty.
V Česku i na Slovensku
Kromě již infikovaných účtů na Facebooku se falešný doplněk My Gif šíří také přes nevyžádané e-maily. „V tuto chvíli cílí útoky pouze na uživatele internetového prohlížeče Google Chrome, ale neexistuje žádná záruka, že se v budoucnu nerozšíří i do dalších prohlížečů. Proto existuje riziko, že by se v budoucnu mohl stát mnohem nebezpečnější,“ doplnil Dvořák.
Bezpečnostní experti společnosti Eset již nový virus, který se maskuje za doplněk pro internetový prohlížeč, zachytili v České republice. Dále pak také v Americe, Kanadě, Austrálii, Velké Británii, Rusku, Německu či například na Slovensku.
Pokud byl počítač škodlivým doplňkem My Gif infikován, je nutné jej nejprve odinstalovat z internetového prohlížeče Chrome. Dále je pak nezbytné zkontrolovat počítač antivirovým programem.
Uživatelé by nakonec neměli zapomenout ani na změnu hesla na Facebooku, aby se kyberzločinci nemohli na jejich profily znovu připojit.
Máte ve Windows QuickTime od Applu? Odinstalujte jej co nejdřív
15.4.2016 Zdroj: Živě Zranitelnosti
Přehrávač QuickTime byl v minulosti používán především pro zobrazení videoobsahu v kontejneru MOV. To však lépe zvládne i další konkurence a původní přehrávač Appu tak není třeba. Odinstalace je však na místě především kvůli jeho zranitelnosti. Na blogu bezpečnostní společnosti Trend Micro si můžete přečíst o dvou kritických chybách, které mohou vést k napadení systému.
whatis-hero-windowsxp-20100203.jpg
QuickTime měl smysl možná v době Windows XP, dnes jej pohodlně nahradí kvalitnější konkurence
Zpráva je důležitá především proto, že Apple s velkou pravděpodobností nebude vydávat pro QuickTime pod Windows další záplaty. Ta poslední zamířila k uživatelům v průběhu ledna a postarala se například o automatické odinstalování doplňku pro prohlížeče. Ačkoliv si QuickTime pod Windows společně s iTunes nevybudoval příliš dobrou pověst, jistě se najdou mnozí, kteří jej v systému (třeba nevědomky) stále mají.
Problém se týká Windows 7 a starších systémů. Apple nikdy QuickTime pro Windows 8 či Windows 10 nevydal. A pokud byste snad nevěděli, jak odinstalaci provést, Apple dokonce připravil stručný návod jak na to.
Skončila podpora pro SQL Server 2005, jeho provozování může být nebezpečné
14.4.2016 Hrozby
Včera skončila rozšířená podpora všech edic databázového systému SQL Server 2005, oznámil Microsoft. V praxi to znamená, že na tento systém již nebudou vydávány žádné bezpečnostní opravy a aktualizace.
Využívání nepodporovaného řešení s sebou samozřejmě nese možné komplikace souladu s potřebnými předpisy a normami daného odvětví a vyšší náklady na údržbu teď už zastaralého systému.
Zákazníci mají podle Microsoftu možnost přejít na řešení SQL Server 2014 nebo na cloudové řešení Azure SQL Database (pokud samozřejmě chtějí zůstat na platformě ohoto dodavatele).
V březnu byly také představené klíčové funkce nadcházející verze SQL Server 2016, jež zákazníkům přinese zvýšenou bezpečnost dat i poměrně výrazné zvýšení výkonu (30-100krát).
S novou verzí SQL Serveru navíc podle výrobce půjde využívat BI řešení na jakémkoliv zařízení či se bude možné propojit s cloudovými službami pro snížení nákladů či lepší škálovatelnost.
Microsoft pomocí hardwaru výrazně vylepší zabezpečení Windows 10
14.4.2016 Zabezpečení
Od konce července 2016 budou muset všechny nové počítače, tablety a smartphony s Windows 10 splňovat standard TPM 2.0. Microsoft tímto způsobem chce výrazně zvýšit zabezpečení těchto zařízení.
Snaha Microsoftu o vylepšení ochrany dat systémů s Windows 10 tentokrát dopadla na samotné výrobce hardwaru. Dodavatel operačního systému totiž bude využívat hardwarově koncipovanou funkci TPM (Trusted Platform Module) 2.0 a stanovil i minimální požadavky na zařízení s Windows 10 – a ty požadují, aby výrobci osadili svá zařízení příslušným čipem či firmwarem.
Čipy TPM jsou už dostupné řadu let, a to především v podnikových verzích osobních počítačů. Verze 2.0 ale nabídne hardwarovou vrstvu pro ochranu uživatelských dat, a to tak, že bude sama spravovat a ukládat kryptografické klíče v důvěryhodném úložišti (kontejneru).
„Požadavek na TPM se bude vynucovat prostřednictvím našeho programu Windows Hardware Certification," tvrdí Microsoft v blogu na svých stránkách.
Výrobci hardwaru tak budou muset do svých zařízení implementovat TPM 2.0, a to buď formou speciálního čipu, anebo prostřednictvím firmwaru. Funkce TPM přitom musí být defaultně aktivovaná, i když zatím není úplně jasné, zda tuto funkcionalitu budou moci uživatelé dodatečně zrušit.
TPM by mělo podle expertů vést ve Windows 10 k širšímu využívání dvoufaktorové autentizace pro zalogování do PC, aplikací či webových služeb. Například Windows Hello, což je biometrický autentizací systém Microsoft využívající tvář, otisk prstu či rozpoznání oční duhovky, bude nově možné spolu se šifrovanými klíči v TPM spolehlivě využívat k plnohodnotné autentizaci uživatelů.
Spousta firemních notebooků či tabletů s procesory od Intelu už TPM 2.0 zahrnuje, levnější PC ale zpravidla TPM nenabízejí, což se od 28. července musí změnit. A podobně jsou na tom i smartphony. TPM ale i nadále nebude muset být v mini-počítačích typu Raspberry Pi 3.
„Jendoznačným cílem je vytvořit z PC mnohem zabezpečenější platformu,“ tvrdí Kevin Krewell, analytik Tirias Research. Windows podle něj totiž dnes představuje jeden z nejméně chráněných operačních systémů.
Bezpečnostní experti vyzráli na vyděračský virus. K datům se dostanou i bez výkupného
14.4.2016 Viry
Na konci března začali počítačoví piráti hojně šířit nový vyděračský virus Petya. Na něj byla většina antivirových programů krátká, protože tento škodlivý kód byl v šifrování dat na pevném disku daleko rychlejší než jeho předchůdci. Bezpečností experti však nyní přišli na způsob, jak uživatelům data neporušená vrátit.
Vyděračských virů existuje nepočítaně, prakticky všechny ale pracují stejným způsobem. Poté, co se škodlivý kód uhnízdí v cizím počítači, zašifruje všechna uložená data na pevném disku a vyděrači za jejich zpřístupnění chtějí pod různými záminkami zaplatit výkupné.
To přitom nebývá vůbec nízké, zpravidla chtějí jeden bitcoin, tedy v přepočtu víc než deset tisíc korun. Zmiňovanou virtuální měnu nevolí náhodou, prakticky se totiž nedá vystopovat, což značně znesnadňuje odhalení počítačových pirátů.
Výkupné neplatit. Nikdy
Výkupné by ale lidé rozhodně platit neměli. Protože ani po odeslání peněz útočníkům se zpravidla ke svým datům nedostanou. Kyberzločinci jednoduše shrábnou peníze a už se neozvou.
Místo placení výkupného je nutné virus z počítače odinstalovat. Problém ale představují zašifrovaná data, ke kterým se většinou uživatelé už nedostanou.
V případě vyděračského viru Petya nicméně bezpečnostní experti ze serveru Heroku udělali průlom. Prolomili šifrování, které tento nezvaný návštěvník používá. Uživatelům tak dokážou uložená data rozkódovat, respektive opět zpřístupnit. A nechtějí za to ani korunu.
Klíč k odšifrování dat zveřejnili na svých stránkách. Do dekódování dat by se nicméně pro jistotu neměli pouštět méně zkušení uživatelé. Vhodnější je tuto činnost svěřit do rukou odborníků.
Na rychlosti záleží
Petya dělala bezpečnostních expertům vrásky na čele, protože pracovala daleko rychleji než podobné vyděračské viry. Ty potřebují na zakódování všech uložených dat poměrně dost času, klidně i několik hodin. Během toho může jejich práci zachytit antivirový program a zablokovat je ještě dřív, než v počítači nadělají nějakou větší neplechu.
Petya však nešifrovala všechna data, ale pouze tzv. MBR. Jde o hlavní spouštěcí záznam, díky kterému se v podstatě spouští celý operační systém. K zašifrovanému záznamu pak počítač nemá přístup a místo Windows spustí jen hlášku o nutnosti zaplatit výkupné.
Na zašifrování MBR přitom Petya potřebovala pouze pár sekund, proto antiviry prakticky neměly šanci škodlivý kód zachytit, jak Novinky.cz informovaly již dříve.
Microsoft opravoval závažné chyby, stáhněte si záplaty
14.4.2016 Zdroj: Živě Zranitelnosti
Microsoft opět uvolnil nadílku bezpečnostních záplat, kterými opravoval závažné i méně závažné chyby ve svých produktech.
Prostor opět dostaly oba internetové prohlížeče, kterými Microsoft disponuje. V obou případech jde o kritické aktualizace. Záplata, která se týká Microsoft Edge, řeší několik chyb, viz Microsoft Security Bulletin MS16-038 (další informace k záplatě).
V případě prohlížeče Internet Explorer se muselo mimo jiné korigovat, jakým způsobem prohlížeč validuje vstupy před nahráváním DLL knihoven i způsob nakládání s objekty v paměti. Záplata je označena jako kritická pro verzi 9 a vyšší je blíže popsána zde: Microsoft Security Bulletin MS16-037.
Problém s fonty i Office
Několik závažných bezpečnostních chyb bylo také třeba záplatovat v grafické komponentě Windows. Kvůli chybě ve způsobu, jakým se zpracovávají upravené vložené fonty však může dojít až ke spuštění škodlivého kódu na počítači nebo jeho ovládnutí. Typicky tak, že uživatel otevře dokument nebo webovou stránku obsahující speciálně upravené vložené fonty. Záplata je kritická nejen pro všechny podporované vydání Windows, ale i .NET Framework, Skype for Business 2016, Microsoft Lync 2013 a Microsoft Lync 2010, viz Microsoft Security Bulletin MS16-039.
Kritickou záplatu si vyžádal i problém odhalený a opravený v Microsoft XML Core Services v rámci Windows. Záplata je kritická pro Microsoft XML Core Services 3.0 na všech podporovaných verzích Windows. Koriguje se jí způsob, jakým MSXML parser zpracovává uživatelské vstupy (Microsoft Security Bulletin MS16-040).
V dubnu byly vydány ještě dvě důležité aktualizace. Jedna se týká kancelářského balíku Office (Microsoft Security Bulletin MS16-042). Záplata, která se týká celého spektra Office produktů upravuje způsob, jakým balíček zachází s objekty v paměti.
Záplatovaný Flash Player i .NET Framework
Dále byla ještě vydána aktualizace pro Adobe Flash Player, přičemž se týká i Windows 10. Onou záplatou se aktualizují (opravují) všechny problematické knihovny Adobe Flashe v rámci prohlížečů Internet Explorer 10, Internet Explorer 11 i Microsoft Edge - Microsoft Security Bulletin MS16-050.
Zbývající záplaty od Microsoftu mají maximální stupeň důležitý. Najdeme mezi nimi například záplatu, která opravuje problém v Microsoft .NET Frameworku. Je důležitá pro Microsoft .NET Framework 4.6 a Microsoft .NET Framework 4.6.1 -Microsoft Security Bulletin MS16-041.
S dalšími záplatami se řešil například problém ve Windows OLE (nekorektně fungující validace uživatelských vstupů) - Microsoft Security Bulletin MS16-044, ve Windows Hyper-V - především na 64-bitových platformách (Microsoft Security Bulletin MS16-045) i ve Client-Server run-time Subsystem (Csrss) v rámci Windows. K zneužití chyby je však třeba, aby se útočník přihlásil na dané zařízení a spustil na něm speciálně upravenou aplikaci - Microsoft Security Bulletin MS16-048.
Zároveň vyšla i nová verze bezplatného bezpečnostního funkce Microsoft Malicious Software Removal Tool. Pro tento měsíc je dostupné vydání s označením 5.35.
Hackeři nepotřebují znát heslo, jednoduše ho smažou
13.4.2016 Zranitelnosti
Bezpečnostní experti kladou uživatelům neustále na srdce, že mají používat sofistikovaná hesla a nikomu je nesdělovat. Jenže občas ochrana heslem nestačí, jak ukazuje nově objevená chyba. Počítačoví piráti se díky ní dostanou do cizí sítě celkem jednoduše, heslo prostě smažou. V ohrožení je podle serveru The Hacker News více než 135 miliónů uživatelů.
Novou trhlinu objevil bezpečnostní výzkumník David Longeneck v zařízení Arris SURFboard SB6141. Jde o modem, který slouží k připojení k internetu přes kabelovou televizi. Hojně je využíván především v USA, není ale vyloučeno, že stejný model využívají také někteří tuzemští uživatelé.
Chyba se týká modemu Arris SURFboard SB6141
Chybu mohou počítačoví piráti zneužít dvěma různými způsoby. V první řadě mohou na dálku restartovat zařízení, a tím odpojit všechny připojené počítače od internetu až na tři minuty. A to samozřejmě opakovaně.
Daleko horší ale je, že trhlina jim dovoluje také obnovit na dálku tovární nastavení této brány do světa internetu. Co to znamená v praxi? Je jedno, jak má uživatel sofistikované přístupové heslo, tímto krokem jej kyberzločinci jednoduše smažou. Pak už jen stačí naťukat přednastavené defaultní hodnoty, které klidně vyčtou z volně dostupných návodů na internetu.
Jediný způsob, jak se mohou lidé bránit, je odpojit modem od internetu.
Swati Khandelwal ze serveru The Hacker News
„Chyba je velmi nešťastná. Jediný způsob, jak se mohou lidé bránit, je odpojit modem od internetu,“ uvedl Swati Khandelwal ze serveru The Hacker News. Podle něj totiž v současnosti neexistuje pro trhlinu žádná oprava.
Výrobce routeru – společnost Arris – se zatím k problému oficiálně nevyjádřil. Není tedy jasné ani to, zda pracuje na aktualizaci firmwaru, která by zjednala nápravu.
Nabízí se také otázka, zda podobnou chybu neobsahují i další síťové prvky tohoto výrobce.
Útoků na síťové prvky přibývá
Právě na síťové prvky, jako jsou modemy a routery, se počítačoví piráti v poslední době zaměřují stále častěji. A není se čemu divit. Březnová studie Cisco Annual Security Report ukázala, že devět z deseti internetových zařízení má slabá místa.
Když kyberzločinci získají přístup k routeru nebo modemu, dokážou napáchat daleko větší neplechu, než kdyby propašovali nezvaného návštěvníka jen do počítače. S pomocí škodlivých kódů, jež do těchto síťových prvků nahrají, mohou například odposlouchávat komunikaci nebo přesměrovávat internetové adresy.
Přesně to udělali už v minulosti díky zranitelnosti známé jako „rom-0“. Místo serverů, jako jsou například Seznam.cz nebo Google.com, se poškozeným zobrazila hláška o nutnosti instalace flash playeru. Místo té se ale do PC stáhnul další virus. Útočníci tak rázem měli přístup nejen k routeru, ale i k připojenému počítači.
Na Českou spořitelnu míří další vlna phishingu. Tentokrát i s SMS
12.4.2016 Zrdroj: Živě Phishing
Na klienty České spořitelny míří další phishingový útok. A zatímco v březnu se jednalo o běžný e-mail, který obsahoval odkaz na podvodnou přihlašovací stránku, tentokrát útočníci použili o kus sofistikovanější metodu. Rozesílají totiž SMS zprávy, kde je identifikace podvodu složitější.
Možné podoby podvodné SMS zprávy (zdroj: ČS)
Zprávy mají hned několik podob – některé upozorňují na neoprávněnou platbu, další na možnost cizího přihlášení do bankovnictví a nechybí ani předstírané technické potíže s nutností kontroly údajů. Všechny však končí stejně – odkazují na weby s podvodným přihlašovacím formulářem. Tam potenciální oběť zadá přihlašovací údaje, které jsou uloženy do databáze útočníků.
Nebezpečnost spočívá především v tom, že se zprávy tváří jako z běžné SMS brány, kterou podobné instituce používají. Podvod tak lze rozpoznat především díky pomlčkovým kombinacím v doméně a případně podle chybějícího HTTPS zabezpečení na přihlašovací stránce.
Windows bude na BSOD zobrazovat i QR kód. Ulehčí hledání chyby
12.4.2016 Zrdroj: Živě Bezpečnost
Modré obrazovky smrti se největší změny dočkaly s příchodem Windows 8, kdy je Microsoft převlékl do modernějšího vzhledu a přidal smutného smajlíka. Vyhledání problému, který pád systému způsobil, stále spočívá v ručním vyhledání chybového kódu. To by se mohlo v budoucích sestaveních Windows 10 změnit. V testovacím buildu se objevila funkce QR kódů, které by mohly odkazovat na řešení.
Podoba QR kódu na modré obrazovce smrti (zdroj: Reddit)
Informaci o nové možnosti modrých obrazovek poprvé zveřejnil web MicrosoftInsider.es, následně ji potvrdili i uživatelé Redditu. QR kód zatím odkazuje na stejnou stránku windows.com/stopcode. Snadno si však můžeme představit, že by odkaz vedl na web Microsoftu s popisem a řešením konkrétního problému.
Zádrhelem však mohou být nepřipravení uživatelé, kteří nemají v telefonech nainstalované čtečky QR. Těm nezbyde nic jiného než rychlé opsání kódu chyby.
Při velkém hacku unikly údaje o všech voličích z Filipín
12.4.2016 Zrdroj: Lupa Incidenty
Filipínská volební komise (COMELEC) neochránila data o voličích a údaje o 55 milionech lidí jsou k dispozici na internetu.
Útočníci, kteří se označují za Anonymous Phlippines, 27. března napadli webové stránky Filipínské volební komise (COMELEC) a o několik dní později LulzSec umístili databázi voličů online.
Podle zahraničních zdrojů bylo důvodem hacku vyvolat tlak na zlepšení zabezpečení hlasovacích přístrojů ještě před volbami, které se budou na Filipínách konat 9. května.
COMELEC tvrdí, že v hacknutých datech nejsou „žádné citlivé informace“ a hackeři „nezískali nic hodnotného“. Trend Micro je ale jiného názoru, takže to vypadá na klasickou PR taktiku zamlčování a vymýšlení si.
V uniklých datech se mají nacházet citlivé osobní informace, včetně hesel a digitálních otisků prstů. S ohledem na velikost úniku může jít o největší únik vládních dat v historii. Doposud prvenství držel nejspíš únik dat z OPM v loňském roce s údaji o 20 milionech amerických občanů.
Média upozorňují, že uniklá data se dají využít ke krádežím identit a podvodům, protože obsahují mnohem více informací, než pouze data o voličích, která jsou (nebo by měla být) dostupná přímo na webu Filipínské volební komise.
V celém rozsahu úniku jde o šestnáct databází a 355 tabulek – některé z nich mají vztah k obsahu webu a mechanismu voleb jako takovému, ale část obsahuje přímo údaje voličů – z nich jméno, příjmení, datum narození a voličské identifikační číslo jsou v šifrované podobě, ale další údaje nikoliv, ať už jde například o adresu bydliště nebo místo narození. V některých tabulkách jsou ale i jména a příjmení, jména rodičů, data narození, čísla pasů a další data nešifrovaná.
Mezi údaji jsou podle všeho i ty, které zadávali samotní voliči v rámci plánování schůzek při registraci k volbám. Je jich méně, ale obsahují i další osobní údaje – například e-mailový kontakt, plná jména obou rodičů, daňový identifikátor a další.
Jako u každého úniku i zde pochopitelně platí, že není jisté, nakolik jsou zveřejněná data autentická, zda do nich někdo nezasáhl a podobně.
Filipínská volební komise také zdůrazňuje, že samotné volby a volební systém nemají s hacknutým webem (a z něj získanými databázemi) žádné spojení a jde o zcela rozdílné systémy. Ale jako všechno, i toto je potřeba brát s rezervou.
Vyděračské viry se šíří skrze Flash Player. Používají jej stovky miliónů lidí
11.4.2016 Viry
Oblíbený program Flash Player od společnosti Adobe, který slouží k přehrávání videí na internetu, má kritickou bezpečnostní chybu. Tu už začali zneužívat počítačoví piráti k šíření vyděračských virů. Vývojáři z Adobe už naštěstí vydali aktualizaci na opravu nebezpečné trhliny.
Chyba se týká všech podporovaných platforem, tedy operačních systémů Windows, Mac OS X či Chrome OS, uvedl server iDigital Times. Podle něj stačí, aby uživatel navštívil podvodné stránky, na kterých mu bude nabídnuto video k přehrání.
Právě prostřednictvím něj se na pevný disk dostane nezvaný návštěvník. Uživatel přitom nemusí vůbec nic stahovat, stačí, když prostě spustí přehrávání. Kvůli chybě tím otevře zadní vrátka do svého operačního systému. V něm se pak uhnízdí vyděračský virus zvaný Cerber.
Požaduje výkupné
Na napadeném stroji dokáže virus Cerber udělat pěkný nepořádek. Nejprve zašifruje všechna data uložená na pevném disku. Za jejich zpřístupnění pak útočníci požadují výkupné, a to klidně i několik tisíc korun.
Kyberzločinci se zpravidla snaží v majiteli napadeného stroje vzbudit dojem, že se ke svým souborům dostane po zaplacení pokuty. Ta byla údajně vyměřena za používání nelegálního softwaru apod. I proto jim celá řada lidí již výkupné zaplatila.
Zaplatit zpravidla chtějí v bitcoinech, protože pohyby této virtuální měny se prakticky nedají vystopovat. A tím logicky ani nelegální aktivita počítačových pirátů.
Ani po zaplacení výkupného se uživatelé ke svým datům nedostanou. Místo placení výkupného je totiž nutné virus z počítače odinstalovat. Zpřístupnit nezálohovaná data je už ale ve většině případů nemožné.
S aktualizací neotálet
Právě kvůli závažnosti nově objevené trhliny vydali prakticky okamžitě vývojáři společnosti Adobe aktualizaci, která ji opravuje. Stahovat ji je možné buď prostřednictvím automatických aktualizací, nebo přímo z webových stránek společnosti Adobe.
S ohledem na závažnost chyby, by uživatelé s aktualizací neměli v žádném případě otálet.
Flash Player používají k přehrávání videí na internetu stovky miliónů lidí. Právě kvůli velké popularitě se na něj často soustředí počítačoví piráti. Těm se například minulý měsíc podařilo objevit jinou kritickou chybu, kvůli které mohli do počítače propašovat prakticky libovolný škodlivý kód.
Na odblokování nových iPhonů jsme krátcí, přiznali vyšetřovatelé z FBI
9.4.2016 Ochrany
Vedení společnosti Apple si může oddechnout. Americký Federální úřad pro vyšetřování (FBI) patrně neví o žádné kritické chybě v operačním systému iOS, která by ohrožovala desítky miliónů uživatelů po celém světě. Zpřístupnit data z iPhonu teroristy ze San Bernardina se vyšetřovatelům podařilo prostřednictvím speciálního nástroje, který stačí pouze na starší iPhony.
Se zmiňovaným nástrojem se FBI dokáže dostat pouze do iPhonu 5C a starších jablečných smartphonů. Na iPhone 5S a novější přístroje je prý metoda vyšetřovatelů krátká. Potvrdil to šéf FBI James Comey na konferenci o šifrovacích technologiích, která se konala tuto středu v Ohiu.
„Máme nástroj, který však nepracuje na všech iPhonech,“ prohlásil podle agentury Reuters Comey. Žádné bližší informace však prozradit nechtěl.
Vyšetřovatelům pravděpodobně s prolomením zabezpečení iPhonu pomohla společnost Cellebrite se sídlem v Izraeli. Firma britské stanici BBC potvrdila, že s americkými vyšetřovateli spolupracuje, ale více nesdělila.
Na svých internetových stránkách nicméně Cellebrite prohlašuje, že jeden z jejích nástrojů umí dekódovat a extrahovat data z iPhonu 5C.
Apple pomoc odmítal
Vyšetřovatelé z FBI se do uzamčeného iPhonu islámského radikála nemohli dostat dlouhé dva měsíce. Jeho iPhone 5C byl nastaven tak, aby se po zadání deseti nesprávných kódů automaticky vymazal, s čímž si bezpečnostní experti z FBI původně nedokázali poradit.
Soud proto Applu v únoru nařídil, aby tuto funkci vypnula, což však není technicky možné. Proto vyšetřovatelé chtěli po americkém softwarovém gigantu vytvořit v operačním systému iOS „zadní vrátka“, což však vedení Applu odmítalo.
Vyšetřovatelům z FBI se nakonec podařilo do uzamčeného zařízení dostat. Detaily o průniku však nezveřejnili.
Chyba prý neexistuje
Tím rozpoutali vášnivou diskusi mezi bezpečnostními experty. Vše totiž nasvědčovalo původně tomu, že FBI ví o kritické bezpečnostní chybě v operačním systému iOS, který využívají právě chytré telefony iPhone a počítačové tablety iPad. O té neměli mít potuchy ani vývojáři z Applu.
Čerstvé prohlášení šéfa FBI však nyní nasvědčuje tomu, že uživatelé v ohrožení nejsou. Jinými slovy vyšetřovatelé neznají žádnou chybu, díky níž by byli schopni zpřístupnit libovolné zařízení s logem nakousnutého jablka.
Útok v San Bernardinu byl nejtragičtějším od teroristických útoků v zemi v září 2001. Zradikalizovaný muslim Syed Farook a jeho žena Tashfeen Maliková tam na počátku loňského prosince zastřelili 14 lidí. Později byli zabiti při přestřelce s policií.
FBI: naše metoda pro odemknutí telefonu bude fungovat jen na iPhonu 5C
8.4.2016 Ochrany
Spor mezi FBI a Applem o asistenci při odemknutí iPhonu 5C skončil tím, že federální služba našla způsob pro obejití ochrany. Veřejnost a především Apple potom zajímá, jakým způsobem se k datům v zamknutém telefonu dostala. V rozhovoru pro CNN se jeden ze zástupců FBI nechal slyšet, že způsob odemknutí Applu nesdělí, protože by mohl chybu opravit. Zároveň však dodal, že tato metoda funguje jen u modelu iPhone 5C či starších.
Apple | Právo | Bezpečnost
FBI už Apple nepotřebuje. K datům z iPhonu se dostala svépomocí a spor končí
S velkou pravděpodobností se tak jedná o potvrzení způsobu, s nímž přišel třeba Edward Snowden. Ten spočívá ve zkopírování flash paměti a pokusy o prolomení bezpečnostního zámku provádět na tomto klonu. Metoda však může fungovat pouze u iPhonů s čipsetem Apple A6 a staršími. To znamená právě model 5C, případně 5. Od verze 5S s čipsetem A7 integroval Apple do svých telefonů bezpečnostní koprocesor obsahující část zvanou Secure Enclave. Ta ověřuje integritu hardwaru a v případě, že zaregistruje jeho změny, odstaví část systému nebo hardwaru z provozu. To je mimo jiné důvod nedávného rozhořčení nad nemožností svépomocí vyměňovat čtečku otisků prstů Touch ID.
Neaktualizované aplikace bývají příčinou napadení, české firmy to ale podceňují
8.4.2016 Zabezpečení
Až 85 % českých menších a středních podniků podceňuje softwarové aktualizace, tvrdí průzkum GFI. Většina podniků prý má dobře ošetřené updaty softwaru Microsoftu, nicméně podceňuje „záplatování“ softwaru třetích stran, jako Adobe, Google či Mozilla.
Podle organizace National Vulnerability Database, která sleduje globální zranitelnosti softwarových systémů, jsou dlouhodobě nejzranitelnější aplikace, několikanásobně více než operační systémy či hardwarové systémy.
K nejzranitelnějším aplikacím se podle ní řadí webové prohlížeče, Java a aplikace zdarma od Adobe jako Flash Player, Reader, Shockwave Player či AIR. A právě na tento software se soustřeďuje pozornost hackerů, kteří se snaží prostřednictvím bezpečnostních děr napadnout počítače a podnikovou síť.
Firma GFI nedávno vykonala lokální průzkum, kde zjišťovala, jak se k tomuto problému staví tuzemské firmy. A zjištění jsou podle ní alarmující. Například s problémy nedostatečně dělaných softwarových aktualizací se často setkává 23 % českých SMB společností, ojediněle 62 %.
Hlavními překážkami správně prováděného patch managementu ve firmách jsou přitom nedostatečné povědomí o problematice (54 %), obavy, že po aktualizaci nebude něco fungovat (46 %) a vysoká cena specializovaných nástrojů (41 %).
Z nástrojů pro patch management, které se v českých fimách používají, jde převážně o služby WSUS (46 %) a Windows Update (43 %)
„Tam, kde dobře fungují automatizované aktualizace, jako například u operačních systémů, je úroveň zranitelnosti nižší,“ říká Zdeněk Bínek, zodpovědný za prodej řešení GFI Software v ČR a na Slovensku a dodává: „Problém nastává u aplikací třetích stran, kde uživatelé často aktualizaci manuálně zamítnou a tím vystaví svůj počítač a celou firemní síť možným útokům.“
Podle něj může být vhodným přístupem využít centralizované nástroje, které dokážou jednak s pomocí simulovaných útoků vyhodnotit zranitelnost infrastruktury a jednak dovolí automaticky instalovat aktualizace na jednotlivé počítače bez potřeby zásahu uživatele.
FBI: Náš odblokovací nástroj na iPhony nefunguje na nové modely
8.4.2016 Zabezpečení
V kauze zašifrovaného iPhonu střelce ze San Bernardina je jasno. FBI si sehnala člověka, který telefon odblokuje. Univerzální řešení ale úřady nemají.
Dnes 8:56 Jan Beránek
Sdílet na Facebooku Odeslat na Twitter Sdílet na Google+
Nálepky: Apple Bezpečnost iPhone Šifrování WhatsApp
Prolomili zabezpečení u iPhonu 5C, ale dál se zatím nedostali. Podle agentury Reuters to přiznal šéf FBI James Comey. „Máme nástroj, který funguje jen na některých telefonech,“ tvrdil na šifrovací konferenci v Kenyon College v Ohiu. Podle agenta jejich technika nefunguje u modelů od verze 5S výše.
Ačkoliv nejde technologie vyšetřovatelů použít pro novější modely, FBI to nevzdává. Zkouší se k univerzálnímu klíči dostat za pomoci soudů. Přístup k zašifrovaným iPhonům by se agentům totiž hodil i v jiných případech než jen u přestřelky v San Bernardinu.
A je to právě otázka, jestli má výrobce telefonů poskytovat úřadům nástroj na odemykání zašifrovaných mobilů, nebo ne, která která poslední měsíce lomcuje Silicon Valley.
"Potěšila nás podpora celé Ameriky. Vydržíme. Věříme tomu, že máme zodpovědnost za ochranu vašich dat a vašeho soukromí. Dlužíme to našim zákazníkům a dlužíme to i této zemi,“ dokončil Tim Cook svůj proslov na prezentaci nových produktů.
Každopádně šifrování začalo být zase sexy. Kompletní šifrování veškeré komunikace třeba ohlásil WhasApp. Komunikační aplikace posbírala zatím miliardu uživatelů. A všichni budou teď mít šifrované nejen zprávy, ale i videa nebo obrázky.
Podle vyjádření firmy, i hlasové hovory. Koneckonců, majitel WhatsAppu, Facebook, si bere ochranu soukromí za jeden ze svých cílů, ať už to může znít jakkoliv paradoxně.
Podvodníci to zkouší přes SMS, pak důvěřivcům vybílí účet
8.4.2016 Podvod
Nový trik začali v posledních dnech zkoušet počítačoví piráti na tuzemské uživatele. Vylákat přihlašovací údaje k internetovému bankovnictví se snaží prostřednictvím SMS zpráv. Poté jim už zpravidla nic nebrání v tom, aby lidem vybílili účet. Před novou hrozbou varovali zástupci České spořitelny.
SMS zprávy se snaží vzbudit dojem, že je odesílá Česká spořitelna. Ta přitom s klientem skutečně touto formou v některých případech komunikuje. I jinak velmi ostražití uživatelé se mohou nechat relativně snadno napálit.
Jedna z podvodných zpráv informuje o zablokování internetového bankovnictví, tedy služby Servis 24. „Vážení kliente České spořitelny, dosáhli jste maximálního možného počtu pokusů o přihlášení do služby Servis 24. Pro odblokování Vašeho účtu se přihlaste zde. Vaše Česká spořitelna,“ tvrdí podvodníci.
Pod slovem zde se přitom ukrývá odkaz na podvodné webové stránky, kde chtějí počítačoví piráti po uživateli zadat přihlašovací údaje k internetovému bankovnictví. Pokud to důvěřivci skutečně udělají, dají kyberzločincům přímý přístup ke svému bankovnímu účtu.
Ukázka jedné z podvodných SMS zpráv
Na odkaz se snaží uživatele přinutit kliknout i další zpráva: „Vážený kliente, právě Vám na Váš účet dorazila neoprávněná platba. Zkontrolujte Váš účet na stránce ceskasporitelna-servis24.cz.“ SMS zprávy na náhodně vybraná telefonní čísla, mohou přitom přijít i lidem, kteří účet u spořitelny vůbec nemají.
Nová hrozba se logicky týká pouze majitelů chytrých telefonů. Starší mobily bez webových prohlížečů a přístupu k internetu totiž nedovedou odkazy v SMS zprávách otevírat.
Útočníci se zaměří na potvrzovací zprávy
Pokud se počítačoví piráti dostanou k přihlašovacím údajům do internetového bankovnictví, jsou jen krůček od vybílení účtu. Stačí, aby se jim podařilo na chytrý telefon propašovat dalšího nezvaného návštěvníka, který dovede odchytávat SMS zprávy pro potvrzení plateb.
To by přitom pro ně nemělo být kdovíjak složité. Číslo své oběti díky první podvodné SMS zprávě s odkazem na falešné stránky spořitelny už mají.
Na podobné zprávy by proto lidé neměli vůbec reagovat. „Důrazně varujeme před jakoukoliv reakcí na tyto výzvy! V žádném případě neklikejte na odkaz v SMS zprávě. Podvodníci by se tak totiž mohli dostat k vašim penězům! V případě jakýchkoliv pochybností nás kontaktujte na bezplatném telefonním čísle 800 207 207,“ varovali zástupci České spořitelny.
Podobně by lidé měli postupovat i v případě, že jim přijde SMS zpráva, ve které se podvodníci budou vydávat za jiný finanční institut. V případě neobvyklého chování chytrého telefonu nebo internetového bankovnictví, by se měli obrátit na svou banku.
Google opravil 39 chyb v Androidu, 15 kritických
7.4.2016 Zranitelnosti
Uživatelé Androidu se mohou cítit bezpečněji, Google vydal rozsáhlou bezpečnostní aktualizaci systému.
Google vydal jednu z největších měsíčních aktualizací Androidu, opravující 39 chyb, z nichž 15 bylo vyhodnoceno jako kritických a 4 mohly vést až k úplné ztrátě kontroly nad systémem.
Součástí je i oprava chyby označované jako CVE-2015-1805, na kterou Google upozornil před dvěma týdny a které lze zneužít i prostřednictvím veřejně dostupné rootingové aplikace.
Jak se v posledních měsících ukazuje, komponenty, jejichž prostřednictvím Android zpracovává média, jsou častým zdrojem závažných mezer – aktuální aktualizace obsahuje rovnou devět patchů pro chyby související s media codecem, mediaserverem nebo knihovnou pro práci s multimédii (Stagefright), jichž byl schopný hacker zneužít k úplnému ovládnutí přístroje.
Další komponenty, kterých se nápravná aktualizace týká, zahrnují Android Kernel, DHCP klient či moduly Qualcomm. Patchování se však týká i méně závažných chyb, které však například prostřednictvím Bluetoothu či nejrůznějších ovladačů, mohly aplikacím dávat větší práva, než jaká vyžadovaly oficiálně.
Podle Googlu však žádná z těchto chyb, vyjma CVE-2015-1805, zneužita nebyla nebo alespoň o tom společnost nemá žádné informace.
Na chybovost systému dohlíží takzvaný Android Security Team, a to prostřednictvím bezpečnostních systémů Verify Apps a SafetyNet – první skenuje zařízení na hrozby pramenící z aplikací stažených na Google Play, druhý z aplikací stažených mimo Google Play.
Samotný Android je však ve svých novějších verzích čím dál tím bezpečnější a jestliže s aktualizací přijde některý z výrobců, uživatelé jsou vyzýváni k tomu, aby ji instalovali pokud možno co nejdříve.
Hacking Team přišel o licenci, v Evropě už nemůže prodávat špionážní software
7.4.2016 Hacking
Společnost Hacking Team, která dodává vládám a tajným službám po celém světě software pro sledování telefonní a internetové komunikace, musela loni řešit problémy týkající se uniklé databáze svých klientů. Nyní má tento italský podnik další velký problém – v Evropě už nebude moci prodávat svůj špionážní software.
Z kauzy týkající se uniklé databáze, která obsahovala stovky gigabajtů dat o klientech společnosti Hacking Team a která kolovala od poloviny loňského roku internetem, se italský podnik po několika měsících vzpamatoval. V letošním roce se tak podle serveru The Hacker News již naplno rozjela výroba špionážního softwaru na zakázku.
Právě kvůli tomu se ale společnost Hacking Team na domovském trhu stala trnem v oku italskému ministerstvu pro hospodářský rozvoj (MISE). To zrušilo těmto bezpečnostním expertům oprávnění vyvážet programy do celé Evropy. Pro své podnikání tak budou muset nyní lidé z Hacking Teamu žádat o udělení individuální licence pro každý trh, což nemusí být zas tak snadné.
Teoreticky tedy může vedení italského podniku dál podnikat mimo USA, možnosti šíření špionážního softwaru se ale značně zkomplikují.
Ukradená databáze prozradila téměř vše
Hacking Team je jednou z největších společností svého druhu. Špionážní software a další bezpečnostní programy nabízí tato italská firma prakticky do celého světa, svou vlastní bezpečnost přesto v loňském roce podcenila. Hackerům se tak podařilo dostat k databázi klientů a zakázek.
Z ní bylo možné snadno získat prakticky všechny nástroje, které byly používány ke šmírování a sledování lidí snad ve všech koutech světa. Společnost Hacking Team nabízela hned několik různých „bezpečnostních“ produktů.
Hlavní obchodovatelnou surovinou ale byl program Remote Code System. Ten dovoluje snadnou infiltraci do chytrých telefonů i počítačových tabletů, aby je bylo možné odposlouchávat. Využívá k tomu chyby v operačních systémech a dalších programech.
Miliónový byznys
Na seznamu klientů požadujících tvorbu virů budila v našich končinách největší pozornost česká společnost Bull, která v době úniku databáze vystupovala už pod jménem Atos IT Solutions and Services. Ta podle všeho nakupovala šmírovací programy pro českou policii, konkrétně pro Útvar zvláštních činností.
Ze zveřejněných e-mailů vyplývalo, že jen během letošního a minulého roku policisté poptávali u italských vývojářů možnost infikovat zařízení potenciálního návštěvníka mnoha dalších internetových stránek včetně velkých bank.
Na seznamu klientů byly kromě České republiky také Saúdská Arábie, Kazachstán, Omán, Jižní Korea, Libanon či Mongolsko. Jen za loňský rok si společnost Hacking Team měla přijít na několik desítek miliónů eur. Z České republiky mělo plynout údajně 690 000 eur, tedy více než 18,6 miliónu korun.
Personalisovaný ransomware: příloha obsahuje jméno i pracovní pozici oběti
7.4.2016 Zdroj: Živě.cz Viry
Bezpečnostní společnost Proofpoint upozorňuje na další typ malwaru, kteří se začíná šířit pomocí e-mailových příloh. Zajímavý je však tentokrát především způsob, kterým chtějí útočníci donutit oběť k otevření přílohy. Zprávy proto rozesílají s osobními údaji nejen v předmětu zprávy - jméno cíle se objevuje také v textu e-mailu a především potom v názvu přiloženého dokumentu. Jak je vidět na screenshotu níže, může se jednat třeba o zinscenované řešení konfliktu na pracovišti.
Ukázka sofistikovaného e-mailu cíleného na konkrétní obět (zdroj: Proofpoint)
Podle Proofpointu se přiložený soubor nejčastěji stará o instalaci tzv. ransomware – tedy malwaru, který zašifruje uživatelská data a dešifrovací klíč je možné získat až po zaplacení tučného výkupného. To však bez záruky, že bude opravdu fungovat a uživatel se ke svým datům dostane. Podobným způsobem však mohou útočníci instalovat i další typy malwaru jako je ten s názvem Ursnif ISFB, který se snaží získat bankovní údaje.
Útoky jsou cíleny nejčastěji na management firem – jejich pracovní pozice nejčastěji nesou označení jako finanční ředitel či viceprezident. Informace mohou útočníci snadno získat třeba z profesní sítě LinkedIn, kde je snadno spojí i s fyzickou adresou firmy, případně mohou do e-mailu zahrnout i jména skutečných kolegů.
Německá policie si došlápla na hackery. Zátahy probíhaly také v Nizozemsku či Kanadě
7.4.2016 Hacking
Německá policie podnikla v celé zemi rozsáhlý zátah proti počítačovým pirátům. Ve všech 16 spolkových zemích provedla prohlídky ve 175 bytech a firmách namířené proti 170 podezřelým osobám. Podobné zátahy se konaly také v Nizozemsku, Lucembursku, Francii a Kanadě, sdělily ve středu podle agentury DPA generální státní zastupitelství a policejní prezidium v Koblenzi.
Zadrženi byli dva muži podezřelí z trestné činnosti spojené s počítači. Hlavní podezřelý podle sdělení orgánů činných v trestním řízení pochází z Porýní-Falce. Druhý zadržený je ze Sárska a při domovní prohlídce u něj byly nalezeny drogy a také zbraně.
Mezinárodně koordinované akce se zúčastnilo na 700 policistů, kteří zajistili více než 300 počítačů a nosičů dat. Podle poskytnutých informací zadržený hacker působil po celém světě a na internetu poskytoval jiným počítačovým pirátům nástroje pro trestnou činnost.
„K nabízeným službám patřil například speciální software, který maskoval cizí škodlivé programy (jako jsou viry či trojské koně) před antivirovými programy," uvedly státní zastupitelství a policie. Tento takzvaný malware byl pak využíván například ke zjišťování přístupových hesel a bankovních informací a následně k okrádání a vydírání.
Jaká škoda byla takto způsobena, nelze podle generálního státního zástupce Jürgena Brauera zatím říci. Nejprve je třeba projít rozsáhlé datové soubory, které byly zadrženy. To zřejmě potrvá delší dobu.
AMERIČTÍ HACKEŘI SE ZAMĚŘILI NA PRESTIŽNÍ ADVOKÁTNÍ KANCELÁŘE
6.4.2016 Incidenty
Koordinovaný útok na počítačové sítě tří nejprestižnějších advokátních kanceláří ve Spojených státech vyšetřuje Federální úřad pro vyšetřování (FBI).
Agenti se domnívají, že pachatelům šlo o důvěrná data klientů napadených kanceláří, s nimiž chtěli obchodovat. Mezi poškozenými jsou advokátní kanceláře Cravath Swaine & Moore LLP a Weil Gotshal & Manges LLP, které zastupují banky na Wall Street a společnosti zařazené do žebříčku Fortune 500. Advokátní skupina Cravath následně vydala prohlášení, podle něhož k útokům došlo již loni v létě a kancelář při nich nepřišla o žádná důvěrná data.
Tomu však někteří bezpečnostní experti příliš nevěří a varují, že advokátní kanceláře jsou velmi lákavým cílem kyberútoků. „Zatímco většina firem si vytváří a ukládá důvěrná data interně, advokátní kanceláře mají tendenci získávat a shromažďovat velmi cenná data od svých klientů, která jednotliví advokáti sdílí po celou dobu kontraktu. To představuje velkou výzvu pro IT a bezpečnostní týmy těchto firem: na jednu stranu musí být taková data přístupná advokátům a zaměstnancům kanceláře odkudkoli zvenčí, ovšem na druhou stranu je potřeba s takto shromážděnými daty nakládat velmi opatrně,“ míní bezpečnostní specialista společnosti Rapid7 Tod Beardsley.
Ochránit taková data je o to těžší, že nejrespektovanější advokátní kanceláře mají jejich část uloženu ve starších systémech. „Cravath Swaine & Moore, ale i mnoho jejich vrstevníků, nepočítá svou historii na léta, nýbrž na staletí,“ upozorňuje Beardsley. „Tyto firmy musely archivovat důvěrná data po celá desetiletí a zároveň inovovat svoje komunikační technologie a IT infrastrukturu, ale také současně držet krok s rychle se měníním nebezpečním kybernetických hrozeb,“ uzavřel expert.
DALŠÍ TŘI AMERICKÉ NEMOCNICE CÍLEM RANSOMWARE ÚTOKU
6.4.2016 Viry
Americká FBI vyšetřuje tři případy napadení IT systémů nemocnic ve Spojených státech škodlivým ransomware. Takzvaný vyděračský vir šifruje počítače a jejich obsah, načež útočník požaduje za jejich odblokování výkupné.
Nejnovější útoky se soustředily na zdravotnická zařízení v Kalifornii a Kentucky, konkrétně na kentuckou Methodist Hospital a kalifornské Chino Valley Medical Center a Valley Hospital Desert. Podle dosavadních informací žádná z nemocnic nezaplatila výkupné a všem se podařilo obnovit jejich systémy, aniž by útočník narušil chod zařízení a ohrozil citlivá data pacientů.
Metodistická nemocnice v Kentucky však musela vyřadit z provozu všechny své počítače a aktivovat záložní systém.
„Methodist Hospital momentálně funguje ve stavu nouze z důvodu napadení počítačovým virem, který omezil využívání elektronických služeb. Na odstranění tohoto problému pracujeme, do té doby budou naše internetové služby a elektronická komunikace omezeny,“ uvedla nemocnice na svých internetových stránkách.
Fred Ortega, mluvčí kalifornských zařízení Chino Valley Medical Center a Valley Hospital Desert, rovněž potvrdil napadení IT infrastruktury obou nemocnic. „Nicméně většina systémů kritické infrastruktury byla již uvedena zpět do režimu online,“ ujistil.
K útokům došlo několik týdnů poté, co ransomware vyřadil z provozu počítače v jiném zdravotnickém zařízení - Hollywood Presbyterian Medical Centre v Los Angeles. Představitelé nemocnice útočníkovi za odblokování počítačů zaplatili. V případě kentucké Methodist Hospital útočil známý ransomware Locky, který zašifroval soubory, včetně obrázků, a přidal jim příponu „.locky“. Tento vir se nejčastěji dostane do systému elektronickou poštou jako příloha nevyžádané zprávy a požaduje od příjemce, aby povolil makra, jinak si nebude moci přílohu přečíst. Jakmile dojde k infiltraci počítače oběti, zobrazí se na displeji zpráva s pokyny, jak zaplatit výkupné za odblokování počítače.
BANKOVNÍ TROJAN PRO ANROID DOKÁŽE OBEJÍT 2FA
6.4.2016 Mobilní
Android/Spy.Agent.SI krade přihlašovací údaje do mobilního bankovnictví z více než 20 aplikací známých bank. Malware se maskuje jako Flash Player, včetně legitimně vypadající ikony. Díky schopnosti zachytávání SMS komunikace překoná i dvoufaktorové ověření identity uživatele.
Malware se stahuje z několika serverů, které byly registrovány na konci ledna a začátku února. Zajímavostí je, že URL adresy ke škodlivému APK balíčku se mění každou hodinu. Jde o klasickou metodu, jak co nejdéle odolávat detekčním mechanismům antivirových programů.
Po stažení a instalaci aplikace požádá uživatele o přístup do zařízení s administrátorskými právy. Po udělení oprávnění škodlivou aplikaci nejde klasickou cestou odinstalovat. Ikona aplikace, která se vydává za Flash Player, se v uživatelském rozhraní skryje, takže na první pohled to vypadá, že k instalaci vůbec nedošlo, malware však už na pozadí provádí svou činnost.
Android/Spy.Agent.SI komunikuje se vzdáleným serverem. V pravidelných intervalech 25 sekund odesílá na server informace o infikovaném zařízení – model, IMEI, jazyk, verze SDK a instalovaných aplikacích. Z těch ho nejvíce zajímají bankovní aplikace. Pokud dojde ke shodě s cílovými aplikacemi, dojde k útoku.
Nejde o nic složitého. Při zapnutí legitimní aplikace malware zablokuje otevření aplikace a požaduje zadání přístupových údajů v podvodném okně. Samozřejmě v reálu k žádnému ověření zadaných údajů nedochází, místo toho Android/Spy.Agent.SI získaná data ihned odesílá na vzdálený server. Podobný způsobem se snaží získat přístup i do Google účtu.
Výměna informací mezi zařízení a serverem je kódována. Vše kromě ukradených přihlašovacích údajů, které se odesílají v plain textu.
Pak už při podvodné platbě zbývá jen obejít ověření pomocí SMS zprávy. Opět jde o jednoduchý proces. Malware odešle text smsky na server a zároveň zamaskuje, že by nějaká SMS na zařízení vůbec přišla. Útočník tak může nepozorovaně okrádat uživatele a převádět peníze na vlastní účty.
Android/Spy.Agent.SI prozatím útočí jen v Austrálii, Novém Zélandě a Turecku.
TÝDNY OD OBJEVENÍ MALWARE LOCKY STÁLE NAPADÁ A ŠIFRUJE INFIKOVANÉ POČÍTAČE. JAK TO DĚLÁ A JAK SE BRÁNIT?
6.4.2016 Viry
Win32/Filecoder.Locky.A je ramsonware, který šifruje více než 100 typů souborů (od obrázků až po databáze) na pevných, vyměnitelných i síťových discích. Po spuštění se nakopíruje do lokace %temp%\svchost.exe a přidá do registrů záznam, který zajistí spuštění při každém startu infikovaného počítače.
K infekci dochází při otevření infikované přílohy e-mailu. Příloha se většinou „tváří“ jako Word nebo Excel soubor, která však obsahuje škodlivé makro. Pamětníci si jistě pamatují, že ze makroviry nejsou nic nového, jen na nějaký čas téměř zcela vyklidily pole. Společnost ESET zaznamenala variantu, která v infikované příloze nemá Locky přímo, ale stahuje jej pomocí trojanu Nemucod.
Po infekci počítače Locky zašifruje soubory a na pozadí plochy zobrazí výzvu k zaplacení výpalného. Všechny instrukce ohledně platby odkazují na TOR a platba probíhá v bitcoinech.
Jaká je obrana?
Na ransomware platí jedině pravidelná záloha. Vzhledem k faktu, že Locky dokáže šifrovat i síťové disky, musí jít o offline úložiště. Pak není problém počítač zformátovat a použít zálohy. Druhou variantou je samozřejmě virtuální prostředí, u kterého se dá vrátit do některého z předchozích stavů operačního systému.
Důležitou úlohu hraje i pravidelně aktualizovaný antivirový program (nejlépe se zapnutým systémem včasného varování) a operační systém, včetně programů třetích stran (Adobe, Java apod.)
PŘEHLEDNĚ: Aféra Panama Papers
6.4.2016 Incidenty
Kauza Panama Papers v posledních dnech otřásá světovou politickou a obchodní scénou a dotýká se i České republiky. O co přesně jde a jaké jsou technické detaily?
O co jde: Únik dat advokátní kanceláře Mossack Fonseca je považován za vůbec největší v historii, alespoň co se týče samotného objemu informací. Hacknuté emaily obsahovaly 2,6 TB dat a to včetně 4,8 milionů emailových zpráv a 2,2 milionů PDF.
Počet osob zasažených kauzou neustále stoupá, a zřejmě jen tak nepřestane. Panama Papers obsahují informace o desítkách vlivných politiků napříč světem, z minimálně 40 zemí včetně Velké Británie, Francie, Ruska, Číny, Indie nebo České republiky.
Poukazují také na společnosti, ve kterých si politici, jejich blízcí příbuzní či spolupracovníci schovávali finance, aby z nich nemuseli odvádět daně. Od neděle se zpráva nezastavitelně šíří médii a rozhodně nehodlá ustat.
Čísla: Úniky, dle předběžných zpráv, zahrnují 11,5 milionu důvěrných dokumentů z let 1970 až 2015. 2,6 terabytů dat zahrnuje 4,8 milionů emailů, 3 miliony databázových souborů, 2,2 miliony PDF souborů, 1,1 milion obrázků a 320 000 textových dokumentů.
Jak se to stalo: Detaily nejsou úplně jasné, ale zástupce advokátní kanceláře Mossack Fonseca potvrdil zprávy kolující médii, že únik pochází z hacknutého emailu. Není jisté, jak útok přesně proběhl, ale testy externích bezpečnostních vyšetřovatelů naznačují, že firma Mossack Fonseca neměla zašifrované emaily standardními TLS protokoly.
Takový emailový útok mohl proběhnout „mnoha způsoby,“ říká Zak Maples, starší bezpečnostní konzultant ve firmě MWR InfoSecurity, kyberbezpečnostní agentuře. Zdá se, že byl napaden samotný server společnosti namísto jednotlivých emailových schránek, a to především kvůli množství ukradených informací, napsal dále v emailu.
„Tento únik je pravděpodobně součástí pokusu o zkompromitování společnosti,“ dodává Maples. „Útočníci možná napadli Mossack Fonseca skrze server a zvýšili oprávnění administrátorovi domény nebo emailovému administrátorovi, a díky těmto oprávněním pak zpřístupnili a postahovali všechna data, nacházející se na serveru emailů.“
Kdo jsou útočníci: Stručně? Nikdo neví. Zdroj je neznámý, a to pravděpodobně i pro ty zpravodajské agentury, které o uniklých datech informovaly jako první. Dle zpráv komunikoval hacker skrze bezpečně šifrovaný chat a email.
Postoj společnosti: Mossack Fontesa odmítá jakákoli pochybení. Říká, že pouze asistovala svým klientům v zakládání regulérních společností. „Ač jsme mohli být obětí úniku dat, nic v tomto nelegálně získaném balíku dokumentů nenaznačuje, že bychom provedli cokoli špatného nebo nezákonného, což sedí k naší 40 let pečlivě budované reputaci dělat byznys tím správným způsobem,“ uvedla advokátní kancelář v prohlášení. „Nikdo samozřejmě nemá rád, když je jejich majetek ukraden, a my uděláme cokoli, co bude v našich silách, aby byli viníci přivedeni před spravedlnost.“
Česko: 283 jmen Čechů a Češek figuruje v Panama Papers. V Česku má data k dispozici pouze jediná instituce, a to České centrum pro investigativní žurnalistiku. Slibuje, že do měsíce se lidé dozví všechna jména Čechů v listech obsažená.
Budoucnost: Zatím prvním velkým ohlasem je zmatečné odstoupení Islandského premiéra, který je do kauzy zapleten. Jak se bude situace vyvíjet dál, není zcela jisté, avšak na další otřesy na politické i podnikatelské scéně stačí jen počkat. Rozhodně se též bude probírat stav zabezpečení emailových schránek a serverů velkých podniků, které si podobné datové úniky zkrátka nemohou dovolit.
Miliardový WhatsApp je nyní kompletně šifrovaný. Soudy i NSA mají prý smůlu
6.4.2016 Zabezpečení
Letos v zimě WhatsApp oznámil, že jej používá již více než miliarda surfařů a o dva měsíce později přispěchala s přelomovou zprávou i společnost Open Whisper Systems, které komunikátoru poslední dva roky pomáhá v nasazování vlastní šifrovací technologie Signal Protocol.
Všechny části WhatsAppu jsou nyní podle bezpečnostních specialistů šifrované způsobem end-to-end a to včetně hlasové komunikace, takže službu nemůže nikdo snadno odposlouchávat a žádná státní autorita nemůže po provozovateli požadovat dešifrovací klíč, protože ten jej prostě nemá.
WhatsApp je nyní kompletně end-to-end šifrovaný, takže se k obsahu žádným způsobem nedostane ani provozovatel a to třeba i po soudní žádosti, naléhání NSA aj.
Vzhledem k tomu že je WhatsApp pravděpodobně nejpoužívanějším komunikátorem na světě (jeho hlavním konkurentem bude nejspíše Messenger od Facebooku), silné zabezpečení kritizují některé země, jejichž bezpečnostní agentury se děsí, že nebudou moci nikoho snadno odposlouchávat.
Komunikační službu před dvěma lety koupi Facebook, který ze ni zaplatil okolo 19 miliard amerických dolarů.
Kyberzločinci mají na mušce routery, uživatelé jejich zabezpečení podceňují
6.4.2016 Viry
Na routery – brány do světa internetu – se zaměřují kyberzločinci stále častěji. Využívají toho, že zabezpečení těchto internetových zařízení uživatelé především v domácnostech velmi podceňují, někdy to ale platí i o firmách. Na routery například cílí nový virus Kaiten, před kterým varovala ve středu antivirová společnost Eset.
Záškodník Kaiten, který bývá někdy pojmenován také jako KTN-Remastered nebo KTN-RM, kombinuje funkcionality již známých škodlivých kódů. Přesto podle bezpečnostních expertů představuje pro uživatele poměrně velké riziko.
Březnová studie Cisco Annual Security Report totiž ukázala, že devět z deseti internetových zařízení má slabá místa.
Během samotného útoku virus hledá skulinu, kde je firmware hardwaru zranitelný.
Pavel Matějíček, manažer technické podpory společnosti Eset
A právě to nahrává počítačovým pirátům. „Kaiten představuje hrozbu pro všechny, kdo mají router či jiný přístupový bod, na který se dá připojit z internetu. Během samotného útoku virus hledá skulinu, kde je firmware hardwaru zranitelný. Pokud uspěje, stáhne škodlivý kód shodný pro všechny platformy a snaží se jej spustit,“ uvedl Pavel Matějíček, manažer technické podpory společnosti Eset.
Právě s pomocí staženého škodlivého kódu pak útočníci dokážou router na dálku ovládnout a dělat si s ním prakticky cokoliv, co je napadne. Mohou například odposlouchávat komunikaci nebo přesměrovávat internetové adresy.
Přesně to udělali už v minulosti díky zranitelnosti známé jako „rom-0“. Místo serverů, jako jsou například Seznam.cz nebo Google.com, se poškozeným zobrazila hláška o nutnosti instalace flash playeru. Místo té se ale do PC stáhnul další virus. Útočníci tak rázem měli přístup nejen k routeru, ale i k připojenému počítači.
Jak se bránit
Hlavní problém je v tom, že routery není možné chránit antivirovými programy, jako je tomu u počítačů. I tak ale nejsou uživatelé úplně bezbranní. „Hlavní způsob, jak této hrozbě předejít, představuje upgrade firmwaru routeru na aktuální verzi a nepoužívat mnohdy triviální přednastavené přihlašovací jméno a heslo. Rovněž je vhodné zvážit přihlašování k routeru pouze z vnitřní sítě a nikoliv z internetu,“ dodal Matějíček.
Do konfigurace routerů by se nicméně neměli pouštět méně zkušení uživatelé. Mohou totiž nevhodným nastavením způsobit více škody než užitku. Paradoxně tak mohou klidně otevřít zadní vrátka pro útočníky.
PŘEHLEDNĚ: Jak probíhá útok na router?
1. Internetem se šíří virus, který cílí na routery. Napadnout tyto brány do světa internetu může buď přímo při procházení zavirovaných webů, nebo prostřednictvím některého počítače v dané síti, který je již zavirován.
2. Ve chvíli, kdy se virus zabydlí v routeru, dokáže zcela zablokovat internetové připojení na všech počítačích, a to i chytrých mobilech a tabletech zapojených v síti.
3. U většiny doposud zaznamenaných útoků virus začal následně zobrazovat výzvu k instalaci aktualizace flash playeru. Snaží se tak vzbudit dojem, že stránky nejdou spustit právě kvůli neaktuálnosti pluginů.
4. Výzva se zobrazovala i v případech, kdy byly do adresního řádku zadány regulérní weby, které ve skutečnosti k zobrazování obsahu flash player nepotřebují – například Seznam.cz nebo Google.com.
5. Místo aktualizace si lidé stáhnou do počítače virus. Zobrazování hlášek i na regulérních webech je možné právě kvůli tomu, že kyberzločinci ovládají přímo samotný router. Ve skutečnosti tedy žádné ze zadaných serverů vir neobsahují.
6. I když antiviry z napadeného počítače virus odstraní, stále nemají uživatelé vyhráno. Zdroj dalších hrozeb se totiž ukrývá přímo v samotném routeru. A k němu nemá drtivá většina bezpečnostních aplikací vůbec žádný přístup.
7. Řešením je uvést router do továrního nastavení. Jak na to, to se lidé dozvědí z návodů dodávaných k zařízení. Pokud si nejsou uživatelé jisti, jak správně router nastavit, je vhodné tuto činnost přenechat odborníkovi.
8. Není vyloučeno, že chování viru útočníci upraví. Tím, že se nachází přímo v routerech, může totiž i přesměrovávat stránky na podvodné weby. V takovém případě pak kyberzločinci mohou získat přístup ke všem on-line účtům.
9. Pokud pozorujete ve své síti podobné problémy, můžete zjistit velmi snadno pomocí chytrého telefonu, zda je router zavirován. Místo wi-fi se stačí připojit k webu prostřednictvím mobilního připojení. Pokud se výzva k instalaci aktualizace nezobrazí, je router zavirován.
Nebezpečný virus jde po penězích. Maskuje se za aktualizaci Facebooku
5.4.2016 Viry
Na pozoru by se měli mít uživatelé Facebooku. Internetem totiž již od minulého týdne koluje falešná mobilní aplikace, která se vydává za oficiálního klienta zmiňované sociální sítě. Ta je poměrně nebezpečná, protože ve smartphonu dokáže odchytávat SMS zprávy z bank pro potvrzování jednotlivých plateb. Počítačoví piráti tak mohou důvěřivcům relativně snadno vybílit účet.
Nový virus se maskuje za aktualizaci Facebooku. (Ilustrační foto)
Před novým nezvaným návštěvníkem v chytrých telefonech varovali zástupci Air Banky: „Pokusy útočníků nás nepřestávají překvapovat. Nově to zkouší tak, že vám s pomocí viru zablokují mobilní aplikaci pro přístup na Facebook a nabídnou vám instalaci nové.“
„Pokud se vám něco takového stane, rozhodně nic neinstalujte. Jinak by útočníci mohli získat přístup k vašim ověřovacím SMS, které vám chodí pro potvrzování plateb. Místo toho raději rovnou celý telefon resetujte do továrního nastavení,“ stojí v doporučení banky.
Podle zkušeností uživatelů se nový virus maskovaný za oficiální aplikaci Facebooku šíří na platformě Android. Není ale vyloučeno, že podobný škodlivý virus nenapadá také konkurenční mobilní operační systémy.
V ohrožení i klienti jiných bank
Nová hrozba necílí pouze na klienty Air Banky. Teoreticky může odchytávat přihlašovací údaje prakticky jakékoliv bankovní instituce v Česku.
Pokud tedy uživatelé zaznamenali podivné chování aplikace Facebook na svém smartphonu, případně byli v posledních dnech vyzváni k instalaci nějaké aktualizace a skutečně ji provedli, měli by se co nejdříve obrátit na svou banku. Tím minimalizují riziko neoprávněného odčerpání peněz ze svého účtu.
Právě na chytré telefony se zaměřují počítačoví piráti v poslední době stále častěji. Minulý měsíc například bezpečnostní experti varovali před trojským koněm nazývaným Macher. Ten také dokáže odchytávat potvrzovací SMS zprávy, díky čemuž mohou počítačoví piráti snadno vybílit lidem účty.
Pentagon si nechá hackovat systémy, vyplatí stovky tisíc dolarů
5.4.2016 Zabezpečení
Korporace jako je Microsoft, Facebook, ale i Mozilla pravidelně vyplácí odměny hackerům, kteří objeví bezpečnostní díry v jejich produktech a místo zneužití je nahlásí. O něco podobného se chce pokusit i americké Ministerstvo obrany a vyhlásilo proto program Hack the Pentagon.
Podle The Next Web je to vůbec poprvé, kdy se některá z vládních institucí odhodlala k tomuto typu prověření svých bezpečnostních systémů. Na rozdíl od běžných společností, jako je Google, které umožňují zapojení do programu komukoliv, si Pentagon bude hackery vybírat.
Samotné schválení přihlášky bude záviset na ochotě pracovat ve Spojených státech, trestní bezúhonnost a zájemce také nesmí žít v zemi, na které americká vláda uvalila obchodní sankce. Pro každého přijatého uchazeče je vyhrazena částka minimálně 150 tisíc dolarů, přičemž sumy se budou zvyšovat podle úspěšnosti.
Najděte zranitelnost ve Windows a dostanete až 100 000 dolarů
Pro pilotní program se Ministerstvo obrany spojilo s odborníky ze společnosti HackerOne, která se specializuje právě na tento typ testování. Zájemci se mohou hlásit do pilotního programu, který bude probíhat od 18. dubna do 12. května.
Hackeři prý získali osobní údaje téměř 50 miliónů Turků
5.4.2016 Incidenty
Skupina hackerů umístila na internet databázi, která prý zahrnuje osobní údaje o téměř 50 miliónech tureckých občanů. Informovala o tom v pondělí agentura AP. Dodala, že se jí v několika případech podařilo autentičnost údajů potvrdit.
Databáze údajně obsahuje přes 49,6 miliónu záznamů a prozrazuje důležité osobní informace. Lidem zahrnutým v této databázi tak může hrozit, že se stanou terčem krádeže totožnosti a podvodů.
Podle agentury AP jde o jeden z největších úniků informací tohoto druhu.
Loni v dubnu americké úřady oznámily, že hackeři získali přístup k osobním údajům více než 22 miliónů současných a bývalých vládních zaměstnanců, dodavatelů a uchazečů o zaměstnání.
Únik roku? Hackeři zveřejnili státní databázi 50 milionů občanů Turecka
5.4.2016 Incidenty
Hackeři vystavili na Torrent obří databázi čítající záznamy 49 611 709 obyvatelů Turecka. Údajně se jedná o únik ze státní IT struktury, což by pro Turecko znamenalo velkou ostudu a problém. Únik je zatím poměrně čerstvý a pravost dat se prověřuje, ale podle prvních reakcí na Twitteru to vypadá, že se skutečně jedná o soupis většiny obyvatel Turecka.
Průvodní stránka na adrese http://185.100.87.84/ a ukázka ze získané databáze
Problém není jen to, že databáze unikla, ale že nebyla dostatečně silně zašifrovaná. Podle hackerů, kteří k úniku připravili i malý informační web, se ani o plnohodnotné šifrování nejednalo a databáze byla vůbec ve velmi špatném technickém stavu.
Databáze obsahuje o každém občanovi základní údaje zahrnující jméno, příjmení, pohlaví, bydliště, rodné jméno, jména otce a matky, datum a místo narození a místo registrace. Celá databáze má 6,6 GB a zatím se přesně neví, co vlastně pokrývá. Záznamů je sice bezmála 50 milionů, ale evidovaných obyvatelů Turecka téměř 75 milionů. Databáze všech obyvatel to tedy zjevně není.
Jak píše The Register, čin je pravděpodobně politicky motivovaný a míří proti kontroverznímu tureckému prezidentovi. Tvůrci si rovněž rýpli do aktuálního kandidáta na post amerického prezidenta Donalda Trumpa, který je podle nich ještě méně schopný vést zemi než turecký prezident Recep Tayyip Erdoğan.
Tipy pro zastavení Ransomware
2.4.2016 Viry
V posledních několika týdnech, rychlost Ransomware útoků dramaticky zvýšil. Dokonce i v populárním zprávách, které jsme viděli několik nemocnic nahlásit hlavní infekce a jak Spojené státy a Kanada vydávání varování. Zde je několik rychlých tipů, aby se zabránilo Ransomware infekcí.
Zabránit spuštění souborů v% AppData% Adresáře
Obecně platí, že většina ransomware běží ve velkém měřítku spoléhat buď na využití souprav nebo spam motory. V obou případech je pro malware vykonat to obvykle zdržuje v různých dočasných adresářů v systému Windows (% AppDada%). Je možné zakázat možnost spouštět binární soubory v těchto adresářích pomocí zásad skupiny nebo bezpečnostní politiky, což znamená, když uživatel poklepe na Invoice.exe, malware nebude možné spustit. Toho se dosahuje pomocí zásad omezení softwaru a příklad je uveden na tomto blogu v tom, jak umožnit toto.
Výhodou tohoto postupu je, že se také může zabránit některé jiné formy škodlivého softwaru z provádění také.
Plně záplatované Systems, Java, Shockwave, Flash (kol)
Exploit soupravy spoléhají na zranitelná místa v klientském počítači se dostat malware vykonat. Obvykle se jedná o zranitelnosti v Javě, Shockwave, Flash a Adobe Reader. S Windows Update, mnoho systémy jsou nyní automaticky nakonfigurován tak, aby získat aktualizace. To nebylo až do nedávné doby, například, že Flash integrované auto-updater. Ujistěte se, jsou tyto aktualizace zabrání zneužití stavebnic ze úspěch. Jak již bylo řečeno, občas využívají soupravy se používají 0 jednodenní využije, ale jedná se o poměrně vzácný jev.
Zakázat e-maily se spustitelným Přílohy
Mnoho ransomware e-maily pomocí nástavce s spustitelné soubory, jednoduše zakázání e-maily s spustitelné soubory budou uživatelům zabránit přijímání. Podívejte se také na e-maily s "dvojitými přípon". Dalším častým trikem je příloh s názvem souboru zip, který může obsahovat spustitelný soubor nebo html dokumentu (s použitím jiných triků stáhnout spustitelný). Naučí uživatele, aby na místě těchto abnormálních e-mailů, takže nemají jejich vyřízení je klíčové.
Udržení silné zálohy
V neposlední řadě je důležité silných záloh je klíčové. Je-li Ransomware infekce stane, existují jen dvě možnosti pro organizaci: Obnovení ze zálohy nebo zaplatit výkupné. Jsou-li k dispozici zálohy, může to být hádka, ale nároky výkupné zarážející již nejsou jedinou cestou k úplné uzdravení.
Použití "vakcíny"
Všechny ransomware rodiny potřebují nějaký mechanismus, který zajistí, že oběť stroj není šifrována pomocí více klíčů. Typickým mechanismem je uložit veřejný klíč v registru (nebo jiných artefaktů), tak následných infekcí (nebo popravy stejné malware binární) používat pouze originální získané klíč. Tam byly pokusy o vytvoření vakcíny, které zneužívají tuto potřebu útočníků jinak naočkovat napadených počítačů. Ty mohou vést k šetření na případ od případu, aby zjistili, zda poskytují hodnotu.
Přizvukovat s komentáře, pokud tam jsou jiné techniky jste použili, aby pomohl zastavit šíření ve svých organizacích.
Bezpečnostní experti varují před zlodějským virem. K šíření nepotřebuje internet
1.4.2016 Viry
Nový škodlivý virus, který krade uživatelská data, odhalili bezpečnostní experti antivirové společnosti Eset. Nezvaný návštěvník dostal přezdívku USB Thief, protože se šíří především prostřednictvím flashek a externích pevných disků. Nakazit tak dokáže i stroje, které nejsou připojeny k internetu. Útočník jim jednoduše infikované médium podstrčí.
Nový nezvaný návštěvník se nejčastěji šíří přes USB flashky a externí disky.
USB Thief potřebuje pro svou „špinavou“ práci pouze pár volných megabajtů na výměnném médiu, které se připojuje k počítači prostřednictvím USB portu. Na něm pak číhá do doby, než bude moci napadnout nějaký počítač.
Snaží se tedy zůstat co možná nejdéle maskován, aby minimalizoval riziko odhalení. Zajímavé je, že se po připojení k počítači automaticky nespustí, jako tomu bývá zpravidla o podobných škodlivých kódů.
Společně s neškodnými programy vpustí do počítače virus USB Thief.
Místo toho se naváže na tzv. portable aplikace, které často bývají uloženy právě na flashkách a externích pevných discích. Jde v podstatě o programy, které se nemusejí instalovat – spouští se přímo z USB médií.
Uživatelé je zpravidla používají na počítačích, kde nemají oprávnění k instalování aplikací. Tím, že portable aplikace nepotřebují instalovat, mohou lidé snadno obejít restrikce administrátorů, typicky na počítačích v kanceláři. Jenže společně s neškodnými programy vpustí do počítače virus USB Thief.
Antiviry jsou prý bezradné
Ten pak automaticky začne z připojeného PC krást data a ukládat je v zašifrované podobě na externí disk. Vzhledem k tomu, jak nezvaný návštěvník opatrně pracuje, většina antivirových programů má problémy s jeho identifikací. Jeho případné odhalení zkrátka není vůbec snadné.
Aby se útočník k datům dostal, musí získat flashku nebo externí disk zase zpět. USB Thief tak nejčastěji šíří počítačoví piráti, kteří své oběti podstrčí infikované médium. Uživatelé by tak měli být ostražití před používáním USB úložišť, jejichž původ je pochybný. Tím výrazně minimalizují riziko, že je nový virus připraví o jejich data.
Je pravděpodobně ale jen otázkou času, než se začne šířit sofistikovanější obdoba tohoto záškodníka, která se také bude šířit přes USB média, ale nashromážděná data bude schopná posílat zpět útočníkovi i přes internet. Pak už útočník nebude potřebovat dostat médium zpět, ale bude jen čekat, až mu virus naservíruje uživatelská data jak na zlatém podnose i na dálku.
Nebezpečná chyba v operačním systému iOS ohrožuje milióny uživatelů
31.3.2016 Zranitelnosti
Bezpečnostní analytici společnosti Check Point odhalili novou vážnou zranitelnost v operačním systému iOS od společnosti Apple, který využívají chytré telefony iPhone i počítačové tablety iPad. Chybu mohou útočníci zneužít k tomu, aby na napadené zařízení propašovali prakticky jakýkoliv škodlivý kód.
Chyba dostala pracovní název SideStepper. Útočníkům umožňuje zneužít komunikaci mezi jablečným telefonem nebo tabletem a tzv. MDM systémem. Jde v podstatě o řešení, které je především ve firmách využíváno pro vzdálenou instalaci aplikací a správu zařízení Apple.
Právě kvůli chybě v této komunikaci si útočníci s napadeným přístrojem mohou dělat, co je napadne. „Útočníci mohou zranitelnost zneužít například ke vzdálené instalaci škodlivých aplikací a ohrozit veškerá data v zařízení. Potenciálně tak mohou být ohroženy milióny iOS uživatelů po celém světě," řekl pro Novinky.cz David Řeháček, bezpečnostní odborník ze společnosti Check Point Software Technologies.
Útočí přes SMS i sociální sítě
Případný útok by mohl podle něj vypadat následovně. „Nejdříve přesvědčí uživatele k instalaci škodlivého konfiguračního profilu, například prostřednictvím phishingové zprávy. Jedná se o jednoduchý a efektivní způsob útoku, který využívá pro šíření škodlivého odkazu osvědčené komunikační platformy, jako jsou SMS, chatovací programy nebo e-mail. Útočníci pak mohou napodobovat příkazy, kterým iOS věří, a instalovat vzdáleně další škodlivé aplikace,“ doplnil Řeháček.
Prostřednictvím nich pak mohou uživatele odposlouchávat, odchytávat přihlašovací údaje a další citlivá data. Stejně tak ale mohou na dálku aktivovat kameru či mikrofon, aby zachytili zvuky a obrazy.
Detaily o nové zranitelnosti byly ve čtvrtek odpoledne zveřejněny na bezpečnostní konferenci Black Hat Asia. Případní počítačoví piráti tak mají v rukou prakticky vše, co potřebují, aby mohli trhlinu zneužít.
Doposud však nebyl zaznamenán žádný případ zneužití nově objevené zranitelnosti.
Obezřetnost je namístě
I když oprava chyby SideStepper zatím chybí, uživatelé mohou vcelku jednoduše minimalizovat riziko napadení sami. Stačí neotvírat SMS zprávy a e-maily od neznámých lidí, to samé platí o zprávách na sociálních sítích a v nejrůznějších chatovacích programech. Právě těmito kanály totiž počítačoví piráti útočí nejčastěji.
Na mobilní platformu iOS se v poslední době zaměřují kyberzločinci stále častěji. Tento měsíc například bezpečnostní experti varovali před trojským koněm AceDeceiverem, který dokáže v jablečných zařízeních udělat poměrně velkou neplechu. Otevře totiž pirátům zadní vrátka do systému, čímž jim zpřístupní nejen nastavení, ale také uživatelská data.
Jak jste se dostali do zabijákova iPhonu? Apple si posvítí na FBI u soudu
30.3.2016 Ochrany
Americký Federální úřad pro vyšetřování (FBI) se snažil několik posledních měsíců donutit u soudu společnost Apple, aby mu zpřístupnila data z iPhonu zabijáka ze San Bernardina. Jenže karta se nyní obrátila a spolupráci po FBI vyžaduje naopak americký počítačový gigant. Vedení firmy chce zjistit, jak se vyšetřovatelé do jablečného smartphonu dostali. A obrátit se kvůli tomu podnik hodlá údajně i na soud.
Chyba v Zemanově čínském plánu – Návštěvu čínského prezidenta a její význam pro ČR komentuje Thomas Kulidakis Čtěte zde >>
Chytrý telefon od společnosti Apple byl přitom nastaven tak, aby se automaticky smazal po zadání deseti nesprávných přístupových hesel. Okamžitě se tak začaly množit otazníky nad tím, jak se vyšetřovatelům podařilo do uzamčeného přístroje dostat.
A vrásky mají kvůli tomu především bezpečnostní experti společnosti Apple. Vše totiž nasvědčuje tomu, že se v operačním systému iOS ukrývá nějaká kritická bezpečnostní chyba, o které zatím nic nevědí ani vývojáři amerického počítačového gigantu. Ta by umožňovala nejen FBI, ale i počítačovým pirátům průnik do jablečných zařízení.
Pokud by to byla pravda, v ohrožení by byly desítky miliónů chytrých telefonů iPhone a počítačových tabletů iPad. Tedy nejen ti, kdo jsou podezřelí ze spáchání nějakých trestných činů, ale i obyčejní uživatelé. [celá zpráva]
Na řadu přijdou právníci
Podle serveru Los Angeles Times již advokáti společnosti Apple vytvářejí právní taktiku, jak vládu přimět, aby prozradila všechna specifika o tom, jak se FBI podařilo proniknout do zabijákova iPhonu. Získat všechny detaily chtějí klidně i s pomocí soudu.
Vedení Applu svůj postoj a zájem získat podrobnosti prostřednictvím soudu nicméně oficiálně nepotvrdilo. Je ale vcelku pravděpodobné, že americký počítačový gigant zatím nechce z taktických důvodů odkrýt karty připravovaného právního sporu.
Bezpečnostní konzultant společnosti AVG Justin Olsson upozornil, že v sázce je důvěra zákazníků v produkty Applu. „Tak či onak, Apple potřebuje zjistit podrobnosti. Bez detailů o případné zranitelnosti nebudou vývojáři schopni zajistit soukromí svých zařízení,“ uvedl pro server Los Angeles Times Olsson.
Spor se táhne už měsíce
Celý spor mezi FBI a Applem se rozhořel kvůli tomu, že se vyšetřovatelům z FBI nepodařilo dva měsíce dostat do uzamčeného iPhonu islámského radikála. Právě kvůli neúspěchu vyšetřovatelů soud společnosti Apple nařídil, aby tuto funkci vypnula. To však vedení amerického počítačového gigantu odmítlo s tím, že to technicky není možné.
Jedinou možností je vytvoření „zadních vrátek“ do operačního systému iOS, který využívají právě chytré telefony iPhone a počítačové tablety iPad. Šéf Applu Tim Cook to ale opakovaně odmítal kvůli obavám ze zneužití. Implementací takového nástroje do zmiňované mobilní platformy by totiž byla FBI schopna obejít zabezpečení prakticky jakéhokoliv iPhonu nebo iPadu v budoucnosti.
K datům se ale nakonec FBI stejně dostala, detaily ale tají.
Útok v San Bernardinu byl nejtragičtějším od teroristických útoků v zemi v září 2001. Zradikalizovaný muslim Syed Farook a jeho žena Tashfeen Maliková tam na počátku prosince zastřelili 14 lidí. Později byli zabiti při přestřelce s policií.
Data 1,5 milionu zákazníků ukradená Verizonu jsou na prodej
30.3.2016 Incidenty
Ve Verizon Enterprise Solutions při vší té péči o firemní zákazníky zřejmě trochu zapomněli dostatečně pečovat o vlastní sítě.
KrebsonSecurity upozorňuje, že se na uzavřeném fóru objevila nabídka na prodej databáze zákazníků Verizon Enterprise za 100 tisíc dolarů, případně po kusech, 10 tisíc dolarů za 100 tisíc záznamů.
Data jsou výsledkem úniku z informačních systémů B2B jednotky amerického telekomunikačního giganta Verizone, který řeší bezpečnost zákaznických systémů, prodává bezpečnostní řešení a který také každý rok vydává velmi zajímavou ročenku o únicích dat a narušeních systémů - viz Verizon’s annual Data Breach Investigations Report (DBIR).
Verizon Brianu Krebsovi potvrdil, že útočníci využili bezpečnostní chybu, která jim umožnila získat kontaktní informace zákazníků. To vše prostřednictvím portálu, který byl určen pro firemní zákazníky Verizonu. Podle společnosti se ale útočníci měli dostat pouze k základním informacím o zákaznících, nikoliv k podstatným datům, která by byla nějak výrazně nebezpečná.
Prodejce databáze ji nabízí dokonce i ve formátu pro databázový systém MongoDB, lze se tedy dost i domnívat, že ona bezpečnostní chyba je Verizonem tak trochu zlehčována. Vypadá to totiž na to, že se útočníkovi prostě podařilo pořídit přímo dump z databáze.
Jak konkrétně se účastníkům podařilo data získat, známo není. Verizon tvrdí, že už chybu napravil, ale detaily zatím neposkytl. Celé je to ještě pikantnější s ohledem na to, že to je například i Verizon, který v čerstvé studii ukazuje, jak se hackerům podařilo dostat do systémů pro úpravu vody a ovlivnit i to, jaké množství chemikálií je do vody uvolňováno (viz Hackers Modify Water Treatment Parameters by Accident) a v řadě dalších studií a analýz ukazuje velmi konkrétní informace o únicích a narušeních.
FBI může znát chybu v iPhonu, o které neví ani Apple
29.3.2016 Ochrany
Americký Federální úřad pro vyšetřování (FBI) se v noci na úterý pochlubil, že se mu podařilo obejít zabezpečení iPhonu zabijáka ze San Bernardina. To je pro Apple velmi špatná zpráva. Vše totiž nasvědčuje tomu, že vyšetřovatelé znají nějakou kritickou bezpečnostní chybu operačního systému iOS, o které patrně nemají ještě informace ani vývojáři amerického počítačového gigantu.
Vyšetřovatelé už minulý týden v úterý informovali, že jsou pravděpodobně schopni iPhone Syeda Farooka odkódovat. [celá zpráva]
Přesně po týdnu zástupci FBI oznámili, že se jim k datům skutečně podařilo dostat. Jak to udělali, však zatím stále tají a nic nenasvědčuje tomu, že by v dohledné době svoji metodu široké veřejnosti prozradili.
Takovéto chyby mohou poskytnout úplný přístup k zařízením.
bezpečnostní konzultant Ross Schulman
Právě to ale může představovat poměrně velký problém. Jak uvedl bezpečnostní konzultant Ross Schulman pro server CNN, FBI totiž mohl objevit chybu v operačním systému iOS, který využívají právě chytré telefony iPhone a počítačové tablety iPad.
Stejným způsobem by se tak vyšetřovatelé byli schopní dostat i do dalších jablečných zařízení. „Z minulosti víme, že takovéto chyby mohou poskytnout úplný přístup k zařízením, na které se mnoho z nás spoléhá každý den,“ prohlásil Schulman.
Chyba může ohrožovat i další uživatele
Podle něj by tak měl Apple ve vlastním zájmu chtít zjistit, jak se FBI do zabijákova iPhonu dostal. Jen tak totiž budou jeho lidé schopni vyřešit případnou chybu a ochránit tak všechny ostatní uživatele.
Vyšetřovatelům pravděpodobně s prolomením zabezpečení iPhonu pomohla společnost Cellebrite se sídlem v Izraeli. Firma britské stanici BBC potvrdila, že s americkými vyšetřovateli spolupracuje, ale více nesdělila.
Na svých internetových stránkách nicméně Cellebrite prohlašuje, že jeden z jejich nástrojů umí dekódovat a extrahovat data z iPhonu 5C. [celá zpráva]
Dva měsíce neúspěšného snažení
FBI se snažil do uzamčeného iPhonu islámského radikála dostat celé dva měsíce. Útočník měl ale svůj iPhone nastavený tak, aby se po zadání deseti nesprávných přístupových hesel automaticky vymazal, s čímž si bezpečnostní experti z FBI původně nedokázali poradit.
Soud proto Applu v únoru nařídil, aby tuto funkci vypnula, což však není technicky možné. Proto vyšetřovatelé chtěli po americkém softwarovém gigantu vytvořit v operačním systému iOS „zadní vrátka“, což však vedení Applu odmítalo.
Šéf Applu Tim Cook tehdy upozorňoval na to, že implementací takového nástroje do zmiňované mobilní platformy by byla FBI schopna obejít zabezpečení prakticky jakéhokoliv iPhonu nebo iPadu v budoucnosti. A nehraje roli, zda by šlo o přístroj teroristy, nebo běžného občana.
Na nový vyděračský virus jsou antiviry krátké
29.3.2016 Viry
Internetem se začal jako lavina šířit nový vyděračský virus Petya, který dokáže zašifrovat data na pevném disku. Bezpečnostním expertům dělá vrásky na čele především proto, že je výrazně rychlejší než prakticky všichni jeho předchůdci. To může značně ztížit jeho odhalení, upozornil server PC World.
Útoky vyděračských virů jsou v posledních týdnech stále častější a mají prakticky vždy stejný scénář. Nezvaný návštěvník zašifruje uložená data na pevném disku. Útočníci se snaží v majiteli napadeného stroje vzbudit dojem, že se ke svým souborům dostane po zaplacení pokuty. Ta byla údajně vyměřena za používání nelegálního softwaru apod.
Ani po zaplacení výkupného se uživatelé ke svým datům nedostali. Místo placení výkupného je totiž nutné virus z počítače odinstalovat a data rozšifrovat, což ale nemusí být vůbec jednoduché. A ve většině případů to dokonce nejde vůbec.
Důležitá je rychlost
V čem je tedy Petya tak výjimečná? Většina vyděračských virů potřebuje k zašifrování dat na pevném disku poměrně dost času, klidně i několik hodin. Během toho může jejich práci zachytit antivirový program a zablokovat je ještě dříve, než v počítači nadělají nějakou větší neplechu.
Právě proto funguje Petya trochu odlišným způsobem. Na disku nezašifruje všechna data, ale pouze tzv. MBR. Jde o hlavní spouštěcí záznam, díky kterému se v podstatě spouští celý operační systém. K zašifrovanému záznamu pak počítač nemá přístup a místo Windows spustí jen hlášku o nutnosti zaplatit výkupné.
Na zašifrování MBR nepotřebuje nový vyděračský virus několik hodin, stačí mu pouze pár vteřin. Antiviry tak prakticky nemají šanci škodlivý kód zachytit. Hned po prvním restartu je pak problém na světě.
Za odšifrování chtějí 10 000 Kč
Vyděrači navíc nejsou žádní troškaři, za odšifrování požadují jeden bitcoin, což představuje při aktuálním kurzu více než 10 000 korun. Znovu je ale nutné zdůraznit, že zmiňovanou částku by lidé v žádném případě platit neměli. Útočníci jen shrábnou peníze a zmizí.
Petya se šíří v současnosti především v USA a sousedním Německu prostřednictvím nevyžádaných e-mailů. Je ale více než pravděpodobné, že se v dohledné době objeví také v České republice.
Petya, ransomware šifrující zaváděcí záznam disku MBR
29.3.2016 Viry
Petya, ransomware šifrující zaváděcí záznam disku MBRDnes, Milan Šurkala, aktualitaProtože zašifrování celého disku je velmi nákladná operace, nový ransomware Petay na to jde mnohem jednoduše. Zašifruje zaváděcí záznam MBR na pevném disku a ten se tak stane nečitelným. Útočníci pak vyžadují výkupné.
V dnešní době začínají být útoky ransomware (vyděračského softwaru) čím dál častější. Jde v podstatě o to, že škodlivý kód získaný obvykle otevřením nebezpečné přílohy e-mailu zašifruje celý pevný disk a pak po oběti vyžaduje výkupné za opětovné zpřístupnění dat. Nový ransomware Petya jde na věc trochu jinak. Místo celého disku zašifruje pouze jeho MBR, která říká, kde je jaký soubor. Efekt na napadený počítač je ale v podstatě stejný. Nelze vědět, kde jsou jaká data a ta jakoby ani neexistovala.
Zvláštní vlastností tohoto softwaru je právě v tom, že šifruje jen MBR, což může provést v podstatě okamžitě (MBR není zrovna obrovská struktura). Ransomware Petya vynutí kritickou chybu operačního systému a přinutí jej restartovat. Protože se MBR zašifruje, operační systém nemůže nabootovat a objeví se hláška vyžadující výkupné. Útočníci požadují necelý bitcoin, což je v dnešní době zhruba 10 tisíc korun. Ostatní ransomware metody kvůli šifrování celého disku mohou být zpozorovány, neboť tento proces zabere dlouhou dobu, je výpočetně náročný a je možné násilně vypnout počítač dříve, než zašifruje celý disk. Petya se šíří přes e-mail ohledně pracovních nabídek vybízející ke stažení přílohy uložené na Dropboxu. Zatím se tak děje zejména v Německu.
FBI nakonec hackla iPhone útočníka, pomoc Applu už nepotřebuje
29.3.2016 Ochrany Zdroj: Lupa.cz
Podivuhodný soudní spor má podivuhodný konec. Tedy – aspoň v tomto kole. Řada otázek ale pořád zůstává nezodpovězených.
„Úřadům se podařilo úspěšně proniknout k datům uloženým ve Farookově iPhonu, a proto už nevyžadují spolupráci od firmy Apple Inc., nařízenou soudním příkazem z 16. února.“ Čerstvé prohlášení amerického ministerstva spravedlnosti (PDF) potvrzuje, že se FBI nakonec podařilo proniknout ochranami Applu i bez jeho pomoci.
Úřady tak požádaly soud o zrušení příkazu. Několik měsíců se táhnoucí soudní spor, ve kterém Apple odmítl FBI pomoci a vytvořit speciální verzi systému iOS, která by pomohla obejít ochranu iPhonu, tak končí.
Tip: Mnoho povyku pro PIN. O co vlastně jde v boji mezi FBI a Applem
Ministerstvo zatím nezveřejnilo žádné podrobnosti o tom, jakým konkrétním způsobem se nakonec k datům dostalo. Připustilo jen, že s metodou přišel někdo mimo FBI – „třetí strana“. Izraelský deník Yedioth Ahronoth minulý týden napsal, že by mohlo jít o tamní firmu Cellebrite. Úřady i firma ale informaci odmítly komentovat.
Není tak jasné, jestli se dá metoda použít jen na inkriminovaném iPhonu útočníka ze San Bernardina, nebo jestli se s její pomocí dá proniknout i do jiných modelů. Farook ovšem měl starší model 5c, který neobsahuje novější bezpečnostní prvky jako je speciální kryptografický čip Secure Enclava (ten přišel s procesorem A7, který je např. v modelu 5s). Na přístroji běží iOS 9.
Úspěch FBI může znamenat, že neznámá třetí strana zná nějakou chybu v zabezpečení iPhonů, o které Apple neví. A to není pro Apple ani jeho uživatele dobrá zpráva. Firma by proto teď mohla po vládě chtít, aby jí dotyčnou chybu prozradila – ovšem je otázka, jestli by byla úspěšná.
Tip: Apple chystá lepší ochranu iPhonů, aby se do nich úřady nedostaly
Podle agentury Bloomberg by se mohla předání informací dožadovat v rámci procesu tzv. „equities review“, podle kterého americké úřady rozhodují, zda výrobcům hardwaru a softwaru prozradí chyby, na které přijdou. Pravidla mají své výjimky, které úřadům umožňují zjištěné chyby zatajit, pokud splní určité podmínky.
Nahlásit případnou chybu a umožnit ji Applu opravit by přitom FBI mohlo zkomplikovat život. Farookův mobil není jediným, do kterého se vyšetřovatelé chtějí dostat. A v současné době vedou řadu dalších soudních sporů, ve kterých od Applu požadují pomoc s odemčením iPhonů.
FBI odblokovala teroristův iPhone i bez pomoci Applu
29.3.2016 Ochrany
Američtí vyšetřovatelé se dokázali dostat k obsahu telefonu iPhone používaným jedním z pachatelů prosincového útoku v kalifornském San Bernardinu i bez pomoci společnosti Apple, která tento telefon vyrábí. Ministerstvo spravedlnosti vzápětí odvolalo svou žalobu na společnost, kterou se domáhalo, aby Apple pomohl s odblokováním telefonu. Vyplývá to z dokumentů, které ministerstvo poslalo k soudu. Spor byl ostře sledovaný, protože mohl mít širší důsledky pro ochranu osobních údajů.
Ministerstvo požadovalo od Apple, aby Federálnímu úřadu pro vyšetřování (FBI) poskytl program, které umožní odblokovat telefon iPhone 5C, který vlastnil Syed Farook. Ten spolu s manželkou v San Bernardinu postříleli 14 lidí a dalších 22 zranili. Následně v přestřelce s policií zahynuli.
FBI zkoumá možnou komunikaci Farooka a jeho manželky Tashfeen Malikové s teroristickou organizací Islámský stát. Inkriminovaný telefon by prý mohl obsahovat důkazy.
Vláda "se úspěšně dostala k údajům ve Farookově iPhonu, a tak už není pomoc Apple potřebná", praví se v dokumentech zaslaných k soudu.
Společnost Apple se k novému vývoji v případu zatím nevyjádřila. Dříve varovala před vytvářením "zadních vrátek" k obsahu mobilů, zneužitelných zločinci a vládami.
Apple pomoc odmítal
Dříve ministerstvo požádalo o odročení soudního jednání, protože se úřady chystaly vyzkoušet novou metodu, od níž si slibovaly průnik k obsahu telefonu i bez pomoci výrobce. Ministerstvo si nicméně ponechalo prostor pro případnou soudní bitvu s výrobcem. Úřady v této při podporovali pozůstalí po obětech útoku v San Bernardinu.
Apple požadavky úřadů odmítal, protože by mohly vytvořit nebezpečný precedent, ospravedlňující v budoucnu další požadavky úřadů na přístup k osobním údajům dalších občanů z nejrůznějších důvodů. V tomto sporu se za Apple postavili bezpečnostní experti, ochránci práva na soukromí a další přední technologické firmy jako Google, Facebook či Microsoft.
Pomohli Izraelci?
Jak uvedl server BBC, firmou, která FBI s dekódováním pomohla, je pravděpodobně společnost Cellebrite se sídlem v Izraeli. Firma britské stanici potvrdila, že s americkými vyšetřovateli spolupracuje, ale více nesdělila.
Na svých internetových stránkách nicméně Cellebrite prohlašuje, že jeden z jejich nástrojů umí dekódovat a extrahovat data z iPhonu 5C.
Podnikoví špióni útočí: Mohou to být uklízečka nebo poslíček s poštou
28.3.2016 Špionáž
Je mnohem snadnější proniknout do společnosti jako zaměstnanec nižší úrovně, například jako správce domu či pracovník podatelny, kde jsou nároky mnohem menší – a špión přitom stejně dostává příslovečné klíče ke království.
Někteří informační špióni procházejí náborem zaměstnanců, aby se dostali do firmy a ukradli podniková tajemství pro konkurenci nebo cizí stát. Jiní se zase obrátí proti svému zaměstnavateli, když se rozzlobí a odcházejí nebo když je zlákají jiné pracovní nabídky. Jde takové insidery včas odhalit?
Podniky se snaží vnitřní zrádce odhalit – omezit jejich přístup k citlivým údajům ale nemusí stačit. Se správnou pracovní pozicí a přístupem mohou agenti fiktivně vystupující jako uklízeči, zaměstnanci podatelny nebo IT personál obejít ochrany dat pomocí svého rozsáhlého přístupu a cenný intelektuální majetek vynést pryč.
Co mohou manažeři bezpečnosti udělat technicky i jinak k ochraně bezpečnosti cenných dat před slídily?
Vstup
Podnikoví špióni přicházející z jiných organizací zpravidla dobře splňují podmínky pro příslušné pracovní místo, ale jejich úmysly zůstávají skryté. Úplně zabránit riziku, že by někdo pracoval pro konkurenci, může být obtížné až nemožné, možná dokonce i nežádoucí, protože existuje zájem zaměstnávat personál se zkušenostmi od konkurence.
„Zaměstnanci konkurence mají schopnosti, tržní inteligenci a zkušenosti, které podnik potřebuje, takže jsou to vlastně kandidáti první volby,“ tvrdí Sol Cates, šéf zabezpečení ve společnosti Vormetric.
Konkurenti také podplácejí dříve loajální zaměstnance, aby jejich prostřednictvím získávali vaše data a přetahují je na svou stranu, aby tak získali tržní výhody.
Mnoho podniků se snaží dělat jednoduché kontroly pracovní minulosti a referencí, ale nevěnují se dostatečně odhalování případných postranních úmyslů.
„Dokonce i někteří smluvní partneři státních organizací, kteří běžně pracují s utajovanými informacemi, se spoléhají výhradně na kontrolu minulosti prostřednictvím bezpečnostní prověrky a nedělají další kontroly,“ tvrdí Philip Becnel, ředitel společnosti Dinolt, Becnel, & Wells Investigative Group.
Tato úroveň šetření ale nestačí, protože podnikoví špióni, kteří jsou loajální ke své zemi či původnímu zaměstnavateli, ne k tomu současnému, budou sdílet utajovaná data s dalšími subjekty.
Podniky mohou udělat právní kontroly minulosti uchazeče, aby ověřily, zda předchozí zaměstnavatel například nežaloval kandidáta kvůli krádeži podnikových dat a duševního vlastnictví.
„To však pomůže jen v případě, že se uchazeč už dříve dopustil podnikové špionáže a bývalý zaměstnavatel ho při ní chytil,“ vysvětluje Cates.
Jakmile podnik přijme kandidáta, měl by použít technologie řízení přístupu na fyzické i IT úrovni, skartování dokumentů a zavést dohled, který by odhalil podnikové špióny a zabezpečil se vůči nim. V této oblasti stále existuje řada nedostatků.
Pronikání k podnikovým pokladům
Agenti podnikové špionáže projdou skulinami mezi typickými součástmi většiny kontrol minulosti. Podnik zkontroluje historii zaměstnání, výpis z rejstříku trestů a záznamy o dopravních přestupcích.
To všechno se však týká toho, co kandidát už kdysi udělal, ale ne toho, co chce udělat teď. „Není to jako test na detektoru lži nebo jiná metrika, kterou by společnost mohla použít při kontrole osob kandidujících na citlivá vládní pracovní místa,“ popisuje Cates.
Pachatelé podnikové špionáže se mohou dostat blízko k datům i přes nejméně sledovaná, ale pro špionáž stále výhodná pracovní místa. „Je mnohem snadnější proniknout do společnosti jako zaměstnanec nižší úrovně, například jako správce domu či pracovník podatelny, kde jsou nároky mnohem menší a špión stále dostává příslovečné klíče ke království,“ vysvětluje Becnel.
Naverbovat někoho již pracujícího v cílové společnosti je ještě snadnější, než protlačit špióna přes proces přijímání nových pracovníků. „Pro podnik je také velmi těžké chytit někoho, kdo už je uvnitř a má už určitou důvěru,“ tvrdí Becnel.
„Je časté, že konkurenti kontaktují nespokojené zaměstnance, nabídnou jim práci za lepší plat a požádají je, aby s sebou při odchodu vzali všechna citlivá data,“ tvrdí Becnel. Ti mohou přistupovat k elektronickým datům nebo jen nahrávat pomocí chytrého telefonu interní schůzky a telefonní hovory.
Při náboru existujících zaměstnanců je často největší výhrou IT profesionál, jenž má plný přístup ke všem datům a kterého společnost nesleduje. „Některé z největších špionážních akcí vykonal personál IT,“ tvrdí Cates.
Nepustit dovnitř…
Hluboké a důkladné kontroly pracovní minulosti jsou dobrým začátkem v zabezpečení firem vůči nežádoucímu přijetí agenta, který pracuje pro konkurenci nebo cizí stát, a to i v případě nižších pracovních pozic.
Nebezpečný trojský kůň číhá na lechtivých webech. Chce ukrást úspory
27.3.2016 Viry
Chytré telefony a počítačové tablety se těší rok od roku větší popularitě, řada uživatelů je používá nejen k přístupu na internet, ale také ke sledování filmů a dalších videí. A právě toho se snaží zneužít počítačoví piráti, kteří za aktualizaci populárního přehrávače Flash Player maskují trojského koně.
Trojský kůň Marcher dokáže majitele chytrých telefonů a počítačových tabletů připravit o peníze. (Ilustrační foto)
Nezvaný návštěvník se jmenuje Marcher a zpravidla se ukrývá na webech s erotickým obsahem. Útok přitom probíhá prakticky vždy stejně. Ve chvíli, kdy se uživatel pokusí spustit video, je vyzván k aktualizaci Flash Playeru, místo ní si přitom do svého přístroje stáhne trojského koně.
Právě na pornostránkách se ukrývá Marcher nejčastěji. Stejným způsobem ale může být šířen také prostřednictvím webů pro sledování virálních videí a pro šíření nelegálních kopií nejrůznějších filmů a seriálů.
Odkazy na falešné weby jsou přitom často šířeny prostřednictvím nevyžádaných e-mailů, stejně tak ale mohou přijít na smartphone pomocí SMS zprávy.
Cílí na Android
Bezpečnostní experti ze společnosti Zscaler doposud zachytili tohoto trojského koně na zařízeních s operačním systémem Android. Není ale vyloučeno, že se bude vyskytovat také na počítačových tabletech a chytrých telefonech postavených na jiných platformách.
Uživatelé si přitom ani nevšimnou, že bylo jejich zařízení infikované, protože trojský kůň vlastně na první pohled nic nedělá a jen vyčkává na svou příležitost. Pokud se uživatel bude prostřednictvím oficiální aplikace Google Play snažit stáhnout nějakou aplikaci, vyskočí mu falešné okno se žádostí o vložení platební karty.
Problém je v tom, že Macher se takto dokáže navázat i na skutečně legitimní aplikace, které žádný škodlivý kód neobsahují. Stačí mu k tomu, aby vytvořil podvodnou stránku s žádostí o vložení údajů platební karty. Když to uživatelé udělají, dají tím podvodníkům přímou vstupenku ke svému bankovnímu účtu.
Obejde i potvrzovací SMS zprávy
Není bez zajímavosti, že tento zákeřný trojský kůň dokáže uživatele sám vyzvat k tomu, aby nějakou aplikaci nainstaloval. Odkaz na stažení může přijít například formou MMS zprávy, tu přitom vytvoří sám Macher. Doporučení na instalaci může být směřováno opět na legitimní program, nezvaný návštěvník se opět snaží pouze vylákat bezpečnostní údaje ke kartě.
Pokud se Macher uhnízdí v chytrém telefonu, dokáže odchytávat i potvrzovací SMS zprávy, které mohou být požadovány při některých on-line transakcích.
První verze trojského koně Macher byla odhalena už v roce 2013. Od té doby jej ale počítačoví piráti neustále vylepšovali až do aktuální podoby, která terorizuje uživatele chytrých telefonů a počítačových tabletů s operačním systémem Android.
Malware USB Thief, nezanechá stopy a nepotřebuje internet
27.3.2016 Viry
Malware USB Thief, nezanechá stopy a nepotřebuje internetVčera, Milan Šurkala, aktualitaSpolečnost ESET objevila nový malware, který dokáže krást data a přitom se nešíří internetem. Je totiž instalován na USB flash disku a pro počítač je v podstatě nezjistitelný. Využívá portable verzí různých aplikací.
Na světě se objevil nový nepříjemný malware pod názvem USB Thief (přesněji Win32/PSW.Stealer.NAI a Win32/TrojanDropper.Agent.RFT), který byl identifikován společností ESET. Ten totiž dokáže napadnout i počítače, které nejsou připojené k internetu, neboť ke své práci potřebuje pouze USB flash disk. Sám o sobě se nešíří, na USB disk se záměrně "instaluje" a jeho úkolem je stáhnout data z konkrétního cíleného počítače. Na rozdíl od běžných malwarů nevyužívá technik automatického spuštění, ale naroubuje se jako dynamická knihovna do portable verzí různých aplikací jako je Notepad++, Firefox nebo TrueCrypt. Pokud se z této USB flashky spustí onen program, spustí se také USB Thief.
Nebezpečnost spočívá v pokročilých technikách maskování. Některé soubory jsou zašifrovány pomocí AES-128 a klíč vzniká z kombinace některých vlastností USB flashky (jejího ID a dalších). Proto je tento klíč unikátní pro každý USB disk. Další soubory mají jména podle SHA512 hashe z prvních několika bytů daného souboru, opět tedy unikátní pro každou kopii malwaru.
Malware ví, pod kterým procesem má běžet a pokud toto neodpovídá (např. běží v debuggeru), ukončí se. Proto je těžké jej detekovat antivirovými programy a známé antiviry také detekuje. Pokud tedy vše projde, na základě konfiguračních souborů stáhne požadovaná data a uloží je na USB disk. Na počítači samotném ale malware nezanechává žádné stopy, neboť běží z flashky. Má-li tedy někdo nekalé cíle a někomu takto úmyslně podstrčí infikovaný USB flash disk, může se dostat k citlivým datům (pochopitelně útočník musí dostat disk zase zpátky). Je tedy důležité dávat si pozor, jaké USB disky člověk používá a jaký je jejich zdroj.
Reset a poslání hesla v čitelné podobě e-mailem? Nebezpečná praktika
24.3.2016 Zdroj: Lupa.cz Ochrany
Používáte-li nějaký placený servis, kde osoba s přístupem ke službě může ovlivnit kolik platíte, chcete, aby služba byla bezpečná. To je jasné.
Pokud používáte služby mediálního monitoringu od Newton Media, tak jste se asi setkali s podivným zvykem. Zhruba tak jednou za měsíc vám přijde e-mailem nové heslo. Se zdůvodněním, že jde o bezpečnostní opatření, aby někdo nemohl heslo zneužít. Proto je heslo automaticky změněno a posláno zákazníkovi.
Je to velmi zvláštní a nebezpečná praktika, která má dva zásadní problémy. Jeden menší: zbytečné měnění hesla a tím neustálá nutnost někde nové heslo evidovat, aniž by bylo umožněno používat vlastní bezpečné heslo dle vlastního uvážení. Vynucované změny hesla obvykle vedou k tomu, že lidé používají hesla nebezpečná (protože si nové a nové složité heslo nedokážou zapamatovat) nebo si hesla samotná prostě věší na lístečky na monitor.
Ten větší a zásadnější problém je ale v posílání nového hesla v čitelné podobě e-mailem. E-mail není bezpečná forma komunikace a někdo ho může přečíst nejenom cestou, ale také se může dostat do cizí poštovní schránky, k cizímu mobilu, počítači či tabletu.
Velmi zvláštní přístup Newton Media jsme chtěli vysvětlit, včetně dotazu na to, jakým způsobem ukládají hesla zákazníků. Dotaz poslaný 7. března se dočkal odpovědi až 21. března po několika upomínkách. Kompletní odpověď:
ad 1) V nových aplikacích již není heslo ukládáno v systémech NEWTON Media vůbec. Úvodní náhodně generované heslo je zasláno klientovi, který si jej musí při prvním přihlášení změnit a v NEWTON Media je uložen pouze hash (otisk) tohoto hesla sloužící k ověření hesla zadaného uživatelem při následujících přihlášeních. Nové aplikace samozřejmě již komunikují pouze přes šifrovaný protokol HTTPS.
ad 2) Ve starších aplikacích NEWTON Media (např. MediaSearch) je volitelně ukládán buď kompletní text hesla, nebo také pouze hash. Volba závisí na přání klienta. V nejstarší aplikaci IMM je ukládán kompletní text hesla. V případě ukládání kompletního textu hesla je heslo šifrováno/dešifrováno aplikací, takže je uloženo v databázi v nečitelné podobě a tudíž ani administrátor databáze nemá možnost heslo číst.
Plyne z ní to, že pokud některý z produktů (aplikací) od Newton Media používáte, je možné, že vaše heslo je uloženo v plně čitelné podobě a má ho k dispozici kdokoliv, včetně případného útočníka, který získá přístup k databázím.
Po doplňujících otázkách také víme, že použitý hash je SHA algoritmus v .NET frameworku, doplněný o salt, také pomocí náhodného generátoru z .NET. Výše zmíněné resetování hesla se týká pouze starých aplikací a prý tato funkčnost byla „zavedena na četné žádosti zákazníků“.
Což přináší zásadní otázku: je skutečně dobré řídit se nebezpečnými nápady zákazníků? V nových aplikacích ale tato potenciálně nebezpečná funkčnost již není.
Takhle by mohli v FBI vydolovat data ze zašifrovaného iPhonu
24.3.2016 Zdroj: Zive.cz Mobilní
V kauze FBI vs. Apple došlo k odložení verdiktu, jelikož v FBI prý našli způsob jak odblokovat zašifrovaný iPhone útočníka Syeda Farooka. Jediná známá informace je, že s odemykáním telefonu by měla být nápomocná třetí strana. Žádné bližší informace neznáme, a to přináší prostor pro další spekulace.
Recode přináší vyjádření Jonathana Zdziarskeho (v hackerské komunitě známý spíše jako NerveGas). Hacker naznačuje, že jedním z možných způsobů, jak zabezpečení telefonu prolomit, je metoda „brute force“ – jednoduše vyzkoušet co nejvíce možných kombinací a najít správný kód.
16320-13026-iphone5c-guts-l.jpg
FBI by při hackování iPhonu 5C prý mohla použít metodu NAND mirroring
Má to ale jeden háček, telefon je chráněn proti opakovanému zadání chybného kódu a při několikátém pokusu se smažou veškerá data. Způsob jakým by se toto dalo obejít je dle Zdziarského NAND mirroring, tedy zkopírovat obsah flash paměti na externí médium. To vyžaduje vyjmutí paměťového čipu z telefonu a jeho připojení na čtečku.
Čip by poté byl vrácen zpět a pokud by se nepodařilo trefit číselnou kombinaci pro odemknutí telefonu, paměť by byla přehrána původní zálohou a pokus by se mohl opakovat. Jedinou překážkou je zde bezpečné vyjmutí čipu z telefonu. Při pokusu o vyjmutí by mohlo dojít k jejich poškození.
Tor zlepšuje zabezpečení, dokáže odhalit špehovací kód
23.3.2016 Zabezpečení
Společnost již tři roky vylepšuje své schopnosti při odhalování podvodného softwaru.
Projekt Tor zdokonalil svůj software na takovou úroveň, že dokáže rychle detekovat, zda se s konkrétní sítí nějak manipulovalo pro sledovací účely, napsal v pondělí jeden z hlavních developerů projektu.
Panují obavy, že by Tor mohl být buď rozvrácen, či omezen soudními příkazy, což by mohlo přimět projekt předat citlivé informace vládním společnostem; tedy podobný případ, jako je současný spor Apple vs. soud Spojených států.
Vývojáři Toru tedy nyní vytváří systém takovým způsobem, aby vícero lidí mohlo zkontrolovat, zda kód nebyl pozměněn a který „eliminuje jednotlivá selhání,“ napsal také v pondělí Mike Perry, hlavní vývojář prohlížeče Tor Browser.
Během několika posledních let se Tor soustředil na to umožnit uživatelům přístup k jejich zdrojovému kódu, který si následně mohou pozměnit a vytvořit tak vlastní buildy Toru, jež se dají následně ověřit veřejnými šifrovacími klíči organizace a jinými kopiemi aplikace.
„I kdyby vláda nebo zločinci získali naše šifrovací klíče, naše sítě a její uživatelé by zvládli rychle odhalit tuto skutečnost a nahlásit ji jako bezpečnostní hrozbu,“ pokračuje Perry. „Z technického pohledu, naše revize a proces vývoje zdrojového kódu způsobují, že pravděpodobnost odhalení takového škodlivého kódu by byla vysoká, a náprava rychlá.“
Minimálně dva šifrovací klíče by byly potřeba, aby upravená verze Tor Browseru alespoň zpočátku překonala bezpečnostní opatření: SSL/TSL klíč, který zabezpečuje spojení mezi uživatelem a Torem, a klíč užívaný jako podpis softwarových aktualizací.
„Právě teď jsou potřeba dva klíče, a tyto klíče ani nemají k dispozici ti samí lidé,“ píše Perry v Q&A na konci svého příspěvku. „Také jsou oba zabezpečeny různým způsobem.“
I kdyby útočník klíče získal, teoreticky by uživatelé byli schopni prozkoumat hash sofwaru a tak přijít na to, zda nebyl škodlivě upraven.
Apple zatím bojuje s příkazem federálního soudu, aby vytvořil speciální verzi iOS 9, která by odstranila bezpečnostní opatření na iPhonu 5c, používaný Syedem Rizwanem Farookem, strůjcem masakru v San Bernardinu.
Naplnění rozsudku se obává mnoho technologických společností, neboť by vládě poskytl snadný způsob, jak podkopat šifrovací systém jejich produktů.
Americký úřad spravedlnosti v pondělí uvedl, že pátrá po jiných možnostech, jak se dostat to iPhonu Farooka. V tom případě by pomoc Applu stát nepotřeboval.
Perry dále napsal, že společnost Tor Project „stojí za Applem a jeho rozhodnutím bránit šifrování a odporovat tlaku vlády. Nikdy nevytvoříme zadní vrátka pro náš software.“
Tor, zkratka pro The Onion Router („cibulový router“) je síť, která poskytuje anonymní přístup k internetu pomocí upraveného prohlížeče Firefox. Projekt započala Laboratoř pro námořní výzkum ve Spojených státech, ale teď ji řídí nezisková organizace Tor Project.
Prohlížení webu je šifrováno a zajišťováno skrze různé proxy servery, což výrazně stěžuje možnost zjistit skutečnou IP adresu počítače. Tor je životně důležitá aplikace pro aktivisty a disidenty, neboť poskytuje silnou vrstvu soukromí a anonymity.
Některé z funkcí Toru však využili též kriminální živly, především kyberzločinci. To vyvolalo zájem u bezpečnostních agentur po celém světě. Tisíce webů běží skrytě na systému Toru a mají speciální „.onion“ URL; dá se tak na ně připojit pouze skrze upravený prohlížeč.
The Silk Road, „hedvábná stezka,“ byl undegroundový, částečně ilegální trh, zavřený FBI v říjnu 2013. Šlo o jednu z nejznámějších služeb, využívajících pro svou činnost právě Tor.
Internetové bankovnictví bylo uzamčeno, zkouší podvodníci nový trik
23.3.2016 Phishing
Nový trik zkouší podvodníci, kteří se vydávají za zaměstnance České spořitelny. Uživatelům tvrdí, že bylo jejich internetové bankovnictví uzamčeno. Snaží se je tím přimět ke kliknutí na falešný odkaz, aby z nich mohli vylákat přihlašovací údaje. Před novými phishingovými zprávami varovali zástupci České spořitelny.
FOTO: Česká spořitelna
Právě na klienty spořitelny nový podvod cílí. „Dosáhli jste maximálního počtu neúspěšných pokusů o přihlášení. Pro vaši ochranu byl přístup k on-line službě uzamčen,“ tvrdí podvodníci v nevyžádané zprávě.
Na konci textu je pak odkaz, prostřednictvím kterého je údajně možné přístup obnovit a pokračovat v procesu ověření. Tak z důvěřivců snadno vytáhnou i potvrzovací SMS zprávu, díky které pak uskuteční libovolnou platbu.
Pozornější podvod odhalí
I když grafika podvodného mailu skutečně připomíná službu Servis 24, tedy internetové bankovnictví České spořitelny, pozornější uživatelé mohou snadno odhalit, že jde o podvod. Zpráva totiž obsahuje řadu chyb, některým slovům například chybí zcela diakritika.
„Buďte k e-mailům z neznámých zdrojů velmi obezřetní. Pokud máte podezření, že jste podvodný e-mail obdrželi, v žádném případě nereagujte na jeho obsah, neklikejte na odkaz, který může být jeho součástí, a zprávu nám přepošlete na e-mailovou adresu phishing@csas.cz. Jestliže jste již na odkaz klikli a vyplnili požadované údaje, ihned kontaktujte klientskou linku České spořitelny na bezplatném telefonním čísle 800 207 207,“ poradili zástupci banky.
Stejně by lidé měli postupovat i v případě, že jim nevyžádaná zpráva přijde s hlavičkou jiné bankovní instituce. Měli by se tedy vždy obrátit na svou banku.
Metaphor – nová hrozba pro uživatele Androidů
21.3.2016 Viry
Další problém s multimediální knihovnou Androidu ohrožuje možná desítky milionů uživatelů.
Stagefright opět představuje riziko. Miliony zařízení s Androidem jsou opět v ohrožení poté, co byl objeven nový způsob jak zneužít díru v knihovně multimédií, kterou už Google v minulosti záplatoval.
Izraelská bezpečnostní společnost NorthBit slabinu pojmenovala Metaphor a zranitelná jsou podle ní všechna zařízení s Androidem 2.2, přes 4.0 až po 5.0 a 5.1. Nejvíc prý smartphony Nexus 5 se stock ROM a s určitými modifikacemi také HTC One, LG G3 a Samsung S5.
Jde přitom o podobnou chybu, jakou představovala ta s označením CVE-2015-3864, která byla poprvé objevena zkraje loňského roku bezpečnostní společností Zimperium. Google ji už dvakrát napravoval, přičemž podruhé tak s ohledem na možné ohrožení učinil relativně v tichosti.
Podle Zuka Avrahama, zakladatele Zimperia, tak aktuální report kolegů z NorthBit představuje značné riziko, jelikož jej mohou hackeři snáz zneužít. Zvlášť poté, co NorthBit postup úspěšného prolomení bezpečnostní chyby zveřejnil na videu.
Nic netušícímu uživateli stačí kliknout na škodlivý link a chvíli na dané webové stránce pobýt – společnost uvádí pár vteřin až dvě minuty – než škodlivý kód vykoná své dílo. Na zařízeních s Androidem 5.0 a 5.1 přitom zvládne prolomit i ASLR, tedy opatření, které má podobným útokům bránit.
Podle odhadů NorthBitu Android 5.0 a 5.1 v současnosti běží na zhruba 235 milionech zařízení, Android verze 2.x bez ASLR pak na 40 milionech zařízení. „Těžko ale odhadnout, kolik jich je vlastně v ohrožení,“ píše ve své zprávě.
Google loni v srpnu pod vlivem hrozby Stagefrightu přislíbil pravidelnější vydávání patchů a užší spolupráci s výrobci mobilních zařízení a i když nepřicházejí tak pravidelně, jak by někteří uživatelé očekávali, dá se předpokládat, že na aktuální problém zareaguje pohotově.
„Pro komunitu Androidářů představuje záplatování podobných chyb obzvlášť velkou výzvu. Na vývojáře i výrobce je vyvíjen velký tlak, aby takové chyby rychle napravovali,“ říká Chris Eng, viceprezident společnosti Veracode.
Nový trojský kůň terorizuje uživatele iPhonů a iPadů
21.3.2016 Viry
Počítačoví piráti se v poslední době zaměřují na uživatele Applu stále častěji. V uplynulých týdnech trápil uživatele operačního systému vyděračský virus KeRanger, nově se trojský kůň AceDeceiver zaměřuje na chytré telefony a počítačové tablety s logem nakousnutého jablka. Upozornil na to server Hot for Security.
Nový škodlivý kód objevili výzkumníci ze společnosti Palo Alto Networks. Podle nich jde mimochodem o vůbec prvního trojského koně pro platformu iOS, tedy pro mobilní operační systém společnosti Apple.
Bezpečnostní experti upozorňují na to, že nezvaný návštěvník se dokáže šířit i na zařízeních, na kterých nebyl proveden tzv. jailbreak. Jde v podstatě o odemčení chytrého telefonu nebo počítačového tabletu, aby do něj bylo možné instalovat aplikaci i z neoficiálních zdrojů.
Právě tak se totiž škodlivé kódy na iPhonech a iPadech šířily nejčastěji. Trojský kůň AceDeceiver však jailbreak nepotřebuje, zopakujme, že se dokáže šířit i na neodemčených přístrojích.
Zadní vrátka do systému
V nich pak dokáže udělat poměrně velkou neplechu. Otevře totiž kyberzločincům zadní vrátka do systému, čímž jim zpřístupní nejen nastavení, ale také uživatelská data.
Jak se tedy záškodník do mobilu nebo tabletu dostane? Počítačoví piráti spoléhají na to, že si uživatelé budou chtít stahovat aplikace nejen prostřednictvím svého mobilního telefonu, ale také prostřednictvím počítače s Windows, ke kterému se iPhone či iPad jednoduše připojí prostřednictvím aplikace iTunes.
AceDeceiver se podle výzkumníků z Palo Alto Networks šíří už od poloviny loňského roku, objeven byl však až nyní. Aktuálně mají výzkumníci k dispozici tři programy, které tohoto záškodníka obsahují a nabízely se prostřednictvím oficiálního obchodu s App Store.
Bezpečnostní experti zástupce společnosti Apple na výskyt nebezpečných aplikací upozornili ještě před zveřejněním celé kauzy. V současnosti tak již není nakažené programy možné stáhnout.
Nabízí se ale otázka, zda se výzkumníkům podařilo odhalit všechny nakažené aplikace. Nebo zda naopak ještě nějaká číhá na uživatele v obchodu App Store.
Vyděrači cílí na Mac OS X
Zkraje března se počítačoví piráti zaměřili také na majitele počítačů s operačním systémem Mac OS X. Virem KeRanger mohli uživatelé své stroje nakazit, pokud do nich nainstalovali aplikaci pro stahování torrentů Transmission. Právě v ní se nezvaný návštěvník ukrýval.
První tři dny si oběti vyděračského viru patrně ani nevšimly, že je něco v nepořádku. Zůstal totiž schovaný na pozadí a vyčkával na svou příležitost. Teprve po zmiňovaných 72 hodinách se aktivoval a začal v operačním systému Mac OS X pěknou neplechu.
Stejně jako na platformě Windows zašifruje uložená data na pevném disku. Útočníci pak za jejich zpřístupnění požadují výkupné ve výši 10 000 korun.
Ransomware TeslaCrypt 3.0.1 posouvá vydírání dále, už nepůjde prolomit
20.3.2016 Viry
Ransomware TeslaCrypt 3.0.1 posouvá vydírání dále, už nepůjde prolomitDnes, Milan Šurkala, aktualitaVyděračský malware je na vzestupu, stává se mnohem častější hrozbou než v minulosti. Nová verze TeslaCrypt 3.0.1 opravuje chyby předchozí varianty a nyní už bude bez zaplacení výkupného nemožné se dostat k původním datům.
V posledních měsících a letech zaznamenáváme výrazný nárůst ransomware, což je vyděračský software, který zašifruje veškerá data na disku oběti a požaduje výkupné za jejich odemčení. TeslaCrypt je jeden z nejzákeřnějších a jeho nová verze 3.0.1 opravila chyby těch předchozích. Dle odborníků v oblasti bezpečnosti je šifrování tak silné, že nelze prolomit žádnou metodou (brute force je díky časové náročnosti nemyslitelný).
Minulé verze softwaru uchovaly klíč k odemčení na počítači oběti a vzniklo několik aplikací, které dokázaly zašifrovaná data odemknout (TeslaCrack, TeslaDecrypt, TeslaDecoder). Nová verze vytvoří šifrovací klíč, který je jedinečný pro každý počítač, zašifruje jím data, ale poté jej odešle na server útočníka a na postiženém počítači jej smaže. Pak nezbývá než zaplatit, přičemž není zaručeno, že útočníci vaše data skutečně rozšifrují. Situace je ještě o to horší, že ransomware často proklouzne antivirovým programům. Musíte si tedy dávat pozor na přílohy v e-mailech a ideální je také si nechávat zálohy důležitých dat.
FBI by mohla špehovat lidi pomocí kamery v mobilu, varuje Apple
19.3.2016 Hrozby
O sporu mezi společností Apple a vyšetřovateli z FBI, který se týká odblokování iPhonu zabijáka ze San Bernardina, bude už příští týden rozhodovat soud v USA. Viceprezident počítačového gigantu pro software a služby Eddy Cue nyní upozornil, že konečný verdikt ve prospěch FBI by mohl vytvořit velmi nebezpečný precedens, který by mohl přinést například špehování lidí na dálku pomocí kamery v mobilu.
„Když nás donutí udělat nový systém se ‚zadními vrátky‘, jak to bude pokračovat dál?,“ prohlásil Cue podle serveru Apple Insider.
Bojí se především toho, že se budou nároky stupňovat. „Pro příklad, jednou po nás FBI bude chtít, abychom zpřístupnili fotoaparát v telefonu či mikrofon. To jsou věci, které teď dělat prostě nemůžeme,“ vysvětlil viceprezident Applu, co by mohlo přinést rozhodnutí soudu.
Celý spor se rozhořel kvůli tomu, že se vyšetřovatelům z FBI nepodařilo dostat do uzamčeného iPhonu islámského radikála. Ten měl svůj iPhone nastavený tak, aby se po zadání deseti nesprávných přístupových hesel automaticky vymazal.
Nejde jen o zabijákův iPhone
Právě kvůli neúspěchu vyšetřovatelů soud společnosti Apple nařídil, aby tuto funkci vypnula. Vedení amerického počítačového gigantu to však odmítlo s tím, že to technicky není možné. Jedinou cestou, jak iPhone zpřístupnit, je údajně vytvoření „zadních vrátek“ do operačního systému iOS. Ten využívají právě chytré telefony iPhone a počítačové tablety iPad.
To ale šéf Applu Tim Cook odmítá, protože se bojí případného zneužití. Implementací takového nástroje do zmiňované mobilní platformy by totiž byla FBI schopna obejít zabezpečení prakticky jakéhokoliv iPhonu nebo iPadu v budoucnosti.
Na začátku března se totiž ukázalo, že FBI nejde pouze o zabijákův iPhone. Jen od loňského října chtěla odemknout celkem devět zařízení. [celá zpráva]
FBI chce zdrojový kód systému
FBI se nyní snaží prostřednictvím soudu vedení Applu donutit, aby „začalo spolupracovat“. V opačném případě chtějí dosáhnout vyšetřovatelé toho, aby jim musel americký počítačový gigant vydat kompletní zdrojový kód systému. S jeho pomocí by se totiž patrně také do zabijákova iPhonu dostali.
Cook se kvůli celému sporu dokonce již obrátil na prezidenta USA Baracka Obamu. S jeho pomocí by se chtěl snažit prosadit vytvoření speciálního výboru, který by se problematikou šifrování mobilů zabýval.
Na jeho žádost však úřady zatím neodpověděly. Není tedy jasné, zda Cooka Obama přijme.
Microsoft dá sbohem šifře RC4, která chránila HTTPS a Wi-Fi
18.3.2016 Zabezpečení
Microsoft oznámil , že v dohledné době výchozím odstraní podporu pro RC4 ve svých internetových prohlížečích Edge a Internet Explorer (11). Jde o algoritmus, který se využívá například při šifrovaném přenosu u webových stránek či při zabezpečení bezdrátových sítí. Historie šifry RC4 sahá ještě do roku 1987.
RC4
Šifra široce používaná u běžně používaných protokolů SSL/TLS pro HTTPS nebo WEP a WPA u Wi-Fi sítí. Byla oblíbená pro svou rychlost, jednoduchost a snadnou implementaci. Aktuálně už je ale překonána modernějšími alternativami.
Změna se odehraje v rámci kumulativních bezpečnostních aktualizací, které budou vydány příští měsíc, konkrétně 12. dubna (čili společně s dalšími bezpečnostními záplatami pro jiné produkty).
Microsoft tím plní závazek, o kterém informoval ještě loni. Zároveň následuje konkurenční produkty jako Google Chrome, Mozilla Firefox nebo Opera. Tyto prohlížeče již podporu RC4 zakázaly v předchozích aktualizacích.
Jelikož se většina moderních webových služeb i prohlížečů od RC4 už odklonila, v principu se běžní uživatelé nemusí při surfování na zabezpečených webech obávat nějakého omezení.
FBI varuje – chytrá auta se mohou lehce stát cílem hackerů
18.3.2016 Hacking
Odpojené brzdy, vypnutá světla nebo zaseklý plyn. Noční můry řidičů už nemusí mít na svědomí jen únava materiálu, ale i hackeři.
Hacknutý firemní systém je sice nepříjemnost, ale nemusí jít v každém případě o život. V případě hacknutého auta je to horší. Americké úřady vydaly varování před rostoucím nebezpečím útoků na kamiony nebo osobní auta prostřednictvím internetu.
„Moderní auta umožňují připojit různá zařízení, která přináší třeba ekonomičtější provoz nebo větší pohodlí za jízdy. Ale za cenu toho, že auto připojené k internet představuje větší riziko,“ tvrdí zpráva.
Podle FBI by se měli majitelé připojených aut ke svým vozidlům chovat jako k počítačům – tedy aktualizovat software a nevynechávat případné svolávání automobilkou k fyzickému záplatování objevených bezpečnostních děr. Samozřejmě se nedoporučují ani neautorizované úpravy systému nebo používání neprověřených gadgetů.
Většina tipů vyplývá z loňských zkušeností, kdy hackeři Charlie Miller a Chris Valasek hackli v červenci systém Chrysleru a pro automobilku to znamenalo svolávání 1,4 milionu aut. Jen o měsíc později vědci z University of California předvedli, jak může být jednoduše hacknuta Corvetta. A to prostřednictvím donglu, který svým klientům do aut poskytuje pojišťovna.
„V textu není moc nových informací. Navíc je to s dost velkým zpožděním. Každopádně i tak se to bude hodit. Lidé berou FBI vážně,“ tvrdí časopisu Wired hacker Chris Valasek.
Podle hackera se teď mohou úřady těšit na záplavu oznámení o hacknutí auta. Podobně se to totiž stalo loni jim. „Jsme rádi, že to po nás FBI převezme,“ dodává.
Připojená auta se stala letos jedním z větších témat i na barcelonském veletrhu MWC. Kromě Samsungu se tam s novinkou pochlubil i T-Mobile. Operátor v autech vidí především další zařízení, do kterých může zapíchnout své datové SIM karty.
Trojský kůň Marcher pro Android se šíří přes pornografické weby
18.3.2016 Mobilní
Trojan Marcher využívá zájem o pornografii a proniká do mobilů zájemců o porno, aby je připravil o peníze. Musí mu ale sami uvolnit cestu.
Jak se může do telefonu s Androidem dostat trojský kůň? Většinou tak, že si ho tam dobrovolně pořídíte – což je nakonec i případ Marcheru, který využívá pornografické weby. Uživatelům porno webu pošle odkaz na stažení aplikace e-mailem nebo v SMS. Maskuje se za aktualizaci Adobe Flash Player, která má být nutná pro přístup k žádanému pornu.
Právě vydávání se za Flash nebo aktualizaci Flashe je jednou z nejčastějších cest, jak se viry a malware dostávají i do klasického počítače. V mobilu to mají těžší – je totiž nutné povolit instalaci aplikací z jiných míst než Google Play, ale porna chtiví jedinci nejspíš i tuto překážku snadno překonají. Po instalaci získá trojan správcovská práva (uživatel mu je pochopitelně udělí) a uživateli je „poslána“ MMS s odkazem naX-Video aplikaci na Google Play – ta nic škodlivého neobsahuje, je pravděpodobně použita jenom pro vyvolání zdání realističnosti.
Trojan se poté rovnou zeptá na platební údaje a tváří se jako formulář z Google Play. V některých případech si je dokáže získat z dalších platebních aplikací, které se v telefonu mohou nacházet. Umí vytvářet i falešné přihlašovací stránky bank (použije k tomu informace o tom, jaké máte v mobilu bankovní aplikace) a je vybaven řadou dalších vychytávek.
Zscaller v Android Marcher now marching via porn sites uvádějí, že Marcher vznikl už někdy v roce 2013 a původně si vystačil pouze s imitováním Google Play pro získání platebních údajů. Později přidal vytváření falešných přihlašovacích stránek bank. Pokud vás zajímají další informace o tomto trojském koni, zkuste Android.Trojan.Marcher od PhishLabs. Při čtení narazíte i na to, že mezi napadenými zeměmi je uvedená Česká republika s 11 % podílem.
Jednu věc je vhodné zdůraznit: pokud si v Androidu nepovolíte instalaci z jiných míst než z Google Play, tak se do vašeho telefonu nemá podobný virus jak dostat.
Z Google Play obvykle nic chytit nemůžete, X-Video na Google Play nic škodlivého neobsahuje. Do telefonu (či tabletu) se „aktualizace Adobe Flash Player“ dostane jedině tak, že si stáhnete apk odněkud odjinud a poté provedete sami instalaci.
Přes kompromitované inzertní sítě a velké weby v USA se šířil ransomware
17.3.2016 Viry
Útočné reklamy se dostaly i na ty největší a nejnavštěvovanější americké weby. Útočníci využili chyby ve Flashi, Silverlightu a dalším softwaru.
Pokud jste se v posledních dnech pohybovali na velkých a známých (zahraničních) webech, je velmi pravděpodobné, že jste se mohli setkat s reklamami, které ve skutečnosti zkoušejí, jestli se není možné dostat do vašeho počítače.
Využívají k tomu děravý Flash, Silverlight, Javu a další software v prohlížeči, u kterého jsou známé využitelné zranitelnosti. Po získání přístupu do počítače nasadí trojského koně a ransomware, který zašifruje data a za jejich odemčení požaduje zaplacení výkupného.
Nakažené reklamy se v posledních dnech objevily i v Česku – viz Podvodné reklamy straší virovou nákazou, šíří je i reklamní síť Googlu.
Trend Micro v Massive Malvertising Campaign in US Leads to Angler Exploit Kit/BEDEP uvádí, že útočícím kódem je starý známý Angler a samotná kampaň by měla cílit pouze na uživatele v USA. Výsledkem útoku je stažení backdooru známého pod názvem BEDEP a malwaru, který Trend Micro označuje jako TROJAN_AVRECON. Trustwave v Angler Takes Malvertising to New Heights informace potvrzuje a doplňuje některá další konkrétní fakta.
Zajímavé může být například to, že samotný útočný JavaScript má přes 12 tisíc řádek kódu a je samozřejmě napsán tak, aby bylo velmi obtížné zjistit, co vlastně dělá. Snaží se mimo jiné vyhýbat počítačům, které jsou chráněny některými antiviry či antimalware programy. Napadené inzertní sítě jsou, podle Trustwave, hlavně adnxs a taggify, přičemž pouze první z nich se k problému postavila čelem a nabídla rychlé řešení.
Malwarebytes v Large Angler Malvertising Campaign Hits Top Publishers doplňuje poměrně užitečný seznam webů, na kterých se útočné inzeráty objevily – zahrnuje MSN.com, NYTimes.com, BBC.com, AOL.COM či NewsWeek.com (ale i řadu dalších), které v návštěvnosti dosahují i stovky milionů návštěvníků měsíčně. Napadené inzertní sítě byly klasicky využity k tomu, že se reklamy dostaly do velkých inzertních sítí, včetně Googlu, AppNexus, AOL či Rubicon.
Malwarebytes také doplňují, že původní kit pro napadení byl RIG, teprve v neděli byl nahrazen Anglerem, do kterého byla doplněna i čerstvě objevená zranitelnost v Silverlightu.
Šifrovaný ProtonMail už je dostupný pro všechny. K dispozici jsou i aplikace pro smartphony
17.3.2016 Zabezpečení
ProtonMail vzniknul na začátku loňského roku jako výsledek zvýšené poptávky po zabezpečené komunikaci. Vývojáři, kteří mají pracovní zkušenosti ze Švýcarského CERNu, šifrují text zpráv pomocí OpenPGP a internetem tedy putuje jako nesmyslná změť znaků. Dekóduje se opět až na konci u příjemce. ProtonMail se nyní dostává z fáze beta do běžného provozu a zaregistrovat si účet může kdokoliv.
Schránka ProtonMailu vypadá na první pohled jako kterýkoliv jiný webmail. Zprávy jsou však zašifrovány jak při odesílání, tak při ukládání na server provozovatele
Registrace pro uživatele, kteří nebyli součástí beta testování se otevřela dnes ve 12.30 a zároveň s tím zamířily do App Store a Google Play aplikace pro mobilní zařízení. V blogpostu, kterým zakladatel společnosti oznámil ostrý start, zdůraznil vzrůstající poptávku po takto zabezpečené komunikaci i v souvislosti s aktuální kauzou, jež se kolem šifrování rozjela.
Na startu ProtonMailu stála úspěšná crowdfundingová kampaň, která tvůrcům přinesla 550 000 dolarů, tedy asi 13 milionů korun. Aktuálně je novým uživatelům k dispozici schránka s kapacitou 500 MB, přičemž rozšíření probíhá pomocí některého z placených účtů. Za 5 GB navíc zaplatíte 5 euro měsíčně a získáte možnost denně odeslat až 1 000 zpráv. V základní neplacené verzi je limit nastaven na 150 zpráv. Za příplatek si lze pořídit vlastní domény s několika aliasy nebo možnost třídit zprávy pomocí více štítků – v bezplatné verzi jich je 20.
Při registraci vás čeká volba běžného přihlašovacího hesla a potom druhého, s jehož pomocí jsou zprávy šifrovány. První z nich lze resetovat v případě, že k účtu přiřadíte ještě jeden běžný e-mail. Šifrovací heslo však není možné žádným způsobem obnovit a k předchozí poště se při jeho ztrátě již nedostanete.
Biohacking - Člověk 2.0
17.3.2016 Hacking
Již dnes existují nadšenci, kteří podstupují bolestivé procedury kvůli tomu, aby pomocí technologií vylepšili svoje tělo a stali se tak mnohem dokonalejšími kyborgy. Celé hnutí, jedno z odvětví takzvaného biohackingu, je zatím v počátcích.
Lidská fantazie, kreativita a nadšení pro experimenty zdánlivě neznají hranic. Na druhou stranu by také kreativita člověka měla mít jistá omezení. Na internetu se například v současnosti formuje skupina lidí, kteří experimentují s technologií neuronální stimulace mozku v domácích podmínkách.
Americká společnost Foc.us tvrdí, že vyvinula speciální headset, po jehož nasazení budou počítačoví hráči dosahovat lepších reakčních časů. Mnozí si od této techniky slibují povzbuzení nálady nebo vylepšení schopnosti učit se. Jistý vysokoškolák na YouTube otevřeně mluví o tom, že stimulační elektrody přiložil na hlavu „nějak tam a tady“. Namísto zlepšení svých schopností ale nejméně na jednu hodinu upadl do hluboké deprese – což ho však neodradilo od dalších experimentů.
Rozšíření psychických a tělesných schopností člověka, či pokusy vytvořit pomocí technologií jakéhosi dokonalého kyborga, nesou označení grinding. Dal by se zařadit jako podkategorie takzvaného biohackingu. V druhém odvětví tohoto poměrně nového směru lidé experimentují především s dědičným kódem DNA.
Amatérští biologové v domácích podmínkách „hackují“ DNA a vyvíjejí třeba nové druhy zeleniny. Stvořili už například jogurt, který ve tmě zeleně fluoreskuje, protože do jeho bílkoviny byl přidaný gen medúzy. Další větev biohackingu pak tvoří zmíněný grinding, kdy se pomocí moderních technických vymožeností hackeři snaží upravovat samotného člověka – grindeři to nazývají jako „self-biohacking“, nebo snad ještě výstižnějším termínem „ sebe-kustomizace“. Pojďme se podívat na to, na jaké hranice – etické, technologické a další – jejich kreativní experimentování naráží.
Čipová kontrola nad pacienty
Biohacking kódu DNA vyvolává ze zcela pochopitelných důvodů odpor veřejnosti. Je nasnadě, že domácí amatérské experimentování s kódem života se může vymstít. Naopak technologicky zaměřený grinding už takové emoce nevzbuzuje, protože lidé, kteří se ze sebe s pomocí techniky snaží udělat vylepšené kyborgy, zpravidla mohou ublížit jen sami sobě.
Technická zařízení, která se lidem snaží usnadnit život, pochopitelně existují již dnes – v medicíně to jsou například různé druhy protéz, kardiostimulátory a podobně. Pro diabetiky existuje pomoc v podobě nové technologie, kterou vyvíjí americká univerzita v Akronu. Tamní vědci pracují na kontaktní čočce, která měří hladinu cukru v krvi ze slz.
Podle nich potom čočka mění barvu, takže diabetik může informaci o hodnotě cukru v těle zjistit pohledem do zrcadla. Případně může oko vyfotografovat, a speciální software potom podle barvy čočky vypočítá hladinu cukru, podle níž si potom pacient zvolí příslušnou dávku inzulinu.
V medicíně bychom našli mnoho dalších pokusů tohoto typu jakéhosi neinvazivního, „umírněného grindingu“. Kontaktní čočka pro diabetiky nevzbuzuje žádné negativní emoce, kromě pochybností o tom, zda informace o hladině cukru v krvi má být prostřednictvím barvy čočky dostupná také všem lidem v okolí. Již spornějším případem jsou například snahy o integraci čipů do tablet s lékem.
Kyberzločinci kradli bitcoiny pomocí rozšíření v prohlížeči
17.3.2016 Hacking
Kurz bitcoinů se drží posledních pár týdnů poměrně vysoko. To je jeden z hlavních důvodů, proč tato virtuální měna láká stále více lidí po celém světě. Vysoká popularita nezůstala lhostejná ani kyberzločincům, kteří se právě na majitele bitcoinů zaměřili. Šance na jejich dopadení je prakticky nulová.
Počítačoví piráti se zaměřili na uživatele internetové stránky BitcoinWisdom.com, kterou každý měsíc navštíví milióny uživatelů z různých koutů světa. Tento server totiž nabízí v poměrně přehledné formě informace o kurzu bitcoinu a analýzy možných vývojů kurzů. Pro uživatele je tedy jakousi nápovědou, jak nakupovat nebo prodávat.
Uživatelům zmiňovaného serveru nabídli kyberzločinci rozšíření pro populární internetový prohlížeč Chrome, které dovolovalo na stránkách BitcoinWisdom.com blokovat reklamu.
Přesně to rozšíření také v praxi dělalo, takže si uživatelé prvních pár dnů používání patrně ani nevšimli, že je něco v nepořádku. Kromě blokování reklamy totiž toto rozšíření přesměrovávalo platby v bitcoinech, uvedl server Softpedia.
Poslané peníze končily na účtech pirátů
Poslané peníze tak končily na účtech podvodníků. Vzhledem k tomu, že transakce bitcoinů není prakticky možné vystopovat, je velmi nepravděpodobné, že by se podařilo kyberzločince vystopovat.
Je každopádně jasné, že byznys to byl pro počítačové piráty opravdu velký. Pouhý jeden bitcoin má při aktuálním kurzu hodnotu zhruba 10 000 korun. Slušný balík peněz tak mohli vydělat i v případě, že by se jim podařilo získat pouhých pár bitcoinů.
Kolik uživatelů se podařilo prostřednictvím rozšíření kyberzločincům okrást, zatím není známo.
Virtuální měny představují velké riziko
Virtuální měna bitcoin vznikla v roce 2009, větší popularitě se ale těší v posledních letech. Vytvořena byla tak, aby se nedala ovlivňovat žádnou vládou ani centrální bankou.
Kybernetické mince "razí" síť počítačů se specializovaným softwarem, naprogramovaným tak, aby uvolňoval nové mince stabilním, ale stále klesajícím tempem. Počet mincí v oběhu má dosáhnout nakonec 21 miliónů, což má být kolem roku 2140.
Bitcoiny se těší velké popularitě především coby prostředek pro investici. Kurzy však často kolísají. Evropský bankovní úřad kvůli tomu dokonce již dříve varoval spotřebitele, že neregulované virtuální měny představují velké riziko. Jejich vklady totiž nejsou nijak chráněny.
Podvodné reklamy straší virovou nákazou, šíří je i reklamní síť Googlu
16.3.2016 Viry
Přes některé české i zahraniční reklamní systémy se v těchto dnech šíří malvertising, který se snaží uživatele vyděsit tím, že mají napadený smartphone.
9:02 – doplněno vyjádření firmy R2B2
„Zjistili jsme, že jste nedávno navštívili pornografické stránky. 28,1% z mobilních dat je obtížné infikován škodlivými viry 4. Viry mohou poškodit SIM kartu ! Vaše soukromá data vyprší! Fotografie a kontakty jsou ztraceny!“
Lámaná čeština, hrozba, že „vaše soukromá data vyprší“, pokud nic neuděláte, a odkaz vedoucí až k webu, který po vás bude chtít telefonní číslo. Na české mobilní uživatele v uplynulých dnech zamířila vlna falešných reklam, které se šíří prostřednictvím mobilních reklamních systémů. Podobný případ ale hlásí i velké zahraniční weby.
Na aktuální malvertising nás na Facebooku upozornil Pedro Palcelloni. Falešná varování před virovou nákazou v jeho telefonu se mu zobrazila při čtení článků na iDNES.cz.
Podle projektového manažera iDNES.cz Pavla Kočičky vydavatelství o problému ví a od začátku jej řeší. Upozornění se podle něj šířila prostřednictvím falešných reklamních formátů v mobilních programatických systémech, které vydavatelství Mafra na svých webech využívá. Jedním z provozovatelů, které Mafra využívá, je podle něj Google, dalším česká síť R2B2.
„Sestřelili jsme reklamu i všechny ostatní, které vedou na doménu .click a zakázali jsme reklamy z kategorie ‚security‘. Google o tom ví od předvčerejška, že jim tam takový hnus protéká, pravidelně jim to hlásíme,“ popsal v komentáři na Facebooku.
„Podvodné reklamy jsou bohužel fenomén současných automatizovaných sítí pro prodej online reklamy. Forma s automatickým přesměrováním na telefonech s operačním systémem Android je dosud její nejagresivnější podobou. Jako vydavatel hlídáme využívání svého reklamního prostoru a podvodné nebo podezřelé reklamy ihned blokujeme. Problém zároveň řešíme v úzkém spojení s poskytovateli reklamního obsahu, kteří na potírání těchto online fraudů dedikovali celé týmy i výpočetní farmy,“ reaguje také Jan Malý, projektový manažer, který má mobilní weby v iDNES.cz na starost.
O reakci jsme požádali jak český Google, tak R2B2, ale zatím jsme od nich nedostali žádné upřesňující informace.
Doplnění 9:02 – Odpověď z R2B2 dorazila těsně po publikování tohoto textu:
„Z našich reklamních kanálu tyto zavirované reklamy nešly, nicméně z profesionálních důvodů jsme se snažili vypátrat, odkud se vir na weby Mafry dostal a dle našich zjištění šel z reklamních jednotek společnosti Google, které Mafra nasazuje na své stránky mimo naši spolupráci,“ napsal Lupě jednatel R2B2 Martin Čelikovský.
Reklama podle něj byla na první pohled podezřelá. „Už proto, že byla podivně cílená (angličtina, dovolená) a byla nasazena s omezením frekvence 1× na uživatele s velmi vysokou nabídkou v aukci. Necílenou reklamu tohoto typu se pouštět takto nemůže vyplácet, což upřelo naši pozornost na tuto reklamu a podezření jsme vzápětí potvrdili,“ dodává.
Autor: R2B2
„Na celé skutečnosti je podivné, že reklama prošla kontrolou společnosti Google. Ale jelikož to nebyl kanál v rámci spolupráce s naší společností, tak nejsme obeznámeni s podrobnostmi,“ doplňuje Čelikovský.
Jak útok funguje
Na falešná varování se samozřejmě nevyplatí klikat. Podvržené reklamy na mobilních telefonech používají taktiku falešných antivirů, která dlouhé roky „úspěšně“ funguje na počítačích. Nic netušící uživatelé se nechají snadno nachytat a v panice věří, že se jim v počítači objevil virus. A ve skutečnosti ho tam ochotně pustí.
Na počítači podobné věci mívají fatální následky – pokud máte děravý Flash nebo Javu, nebo jinou neošetřenou zranitelnost. Na iOSu či Androidu hrozí poměrně málo, tedy pokud si případné následné svinstvo nepustíte dobrovolně do systému. Ale jak uvidíme níže, ne vždy je cílem těchto aktivit dostat do mobilu či počítače malware.
Ze screenshotu to sice není vidět, ale adresa je například paly.google.com.store.apps.
deepmind.click/
3b5MBivfkif2mmhxluoImYurMuwz/cz/ a tlačítko pro „odstranění“ viru vede na cldlr.com/?a=33580&c=92366&s1=3Bcz, kde najdete pár dalších přesměrování (varm.coolsafeads.com/?kw=-1&s1= a poté 4ugzz.sexy.0367.pics se stažením REI495slmCZ.html z téže domény. A přesměrováním zdaleka není konec, dostanete se nakonec na reimageplus.com a v celém tom řetězci je otázka, kolik z těch webů je zneužitých/hacknutých. Pokud budete výše uvedené odkazy zkoumat, zjistíte, že jde navíc jenom o jednu z možných cest.
Konečná destinace každopádně je kdesi na z.dicemob.mobi (patří Zamano.com, poskytovateli mobilních/platebních služeb) a stránka tam po vás bude chtít telefonní číslo.
Pokud ho důvěřivě sdělíte, naletíte na aktuálně nejčastější způsob podvádění – posílání zpoplatněných SMS. Když se podíváte do patičky, zjistíte, že se web tváří, jako by probíhal přes vcelku jasně identifikovatelnou službu působící v Česku.
Cena za jednu SMS je 99 Kč a týdně jich dostanete až deset. Než si tedy uvědomíte, co se stalo, můžete přijít o hezkých pár set korun.
Po vyplnění telefonního čísla vám přijde SMS (případné „Klikněte zde“ otevírá odeslání SMS) a pokud na ni odpovíte, budou vám chodit další a další, které už budou zpoplatněné. Prostě si podvodem objednáte službu, která s viry a bezpečností vašeho telefonu nemá nic společného.
Zasaženy i New York Times
Podle aktuálních zpráv to vypadá, že současná kampaň není jen problémem České republiky. Podle bezpečnostní firmy Malwarebytes obdobné falešné reklamy ohrožují také uživatele velkých zahraničních webů jako je nytimes.co, bbc.com, nfl.com nebo newsweek.com.
I tady jde o podvodné reklamy šířené několika reklamními sítěmi – mezi jejich provozovatele patří Google, AppNexus, AOL či Rubicon. Podvržené reklamy se uživatelům snaží do zařízení instalovat ransomware.
Podobné útoky nejsou ojedinělé – a v Další příklad malvertisingu: na Forbes.com byl v některých reklamách malware zjistíte, že se často týká i renomovaných titulů. Potenciální nebezpečnost reklam je často jedním z argumentů, proč je na internetu blokovat.
Bez antiviru a firewallu platební kartu na internetu používat nesmíte
16.3.2016 Bezpečnost
Četli jste podmínky používání vaší platební karty? Možná budete překvapeni, co všechno podle nich musíte nebo nesmíte dělat při platbách na internetu.
Vlastně to vypadá jako docela dobrá absurdita – kdyby ovšem nešlo o tak důležitý dokument, jako jsou obchodní podmínky pro používání platebních karet. Svá pravidla nedávno aktualizovala tuzemská Fio banka (pro nové smlouvy platí od 8. března, pro dříve uzavřené začnou platit od 9. května). A když se do desetistránkového materiálu začtete, nestačíte se divit, co všechno musíte udělat, abyste jejím podmínkám vyhověli.
Podivil se i bezpečnostní expert Michal Špaček, který jinak obvykle volá po tom, aby se lidé na internetu chovali bezpečněji. „Dozvěděl jsem se například to, že když na počítači nemám antivir, tak ty obchodní podmínky porušuju. A taky bych je porušoval, kdybych nesledoval informace o virech a spyware. Ale to trochu sleduju, takže cajk. Jenže kvůli tomu občas navštěvuju i neznámé stránky, různé blogy nebo články, ostatně, takhle vlastně funguje tenhleten web, že. A tím už zase ty podmínky porušuju,“ upozornil na podmínky Fio banky na svém facebookovém profilu.
Kompletní podmínky najdete na webu banky (PDF) a novinkou v nich je zejména oddíl IVa, který si stojí za to přečíst. Začíná totiž výslovným upozorněním, že všechny v něm napsané věci jsou pro klienta povinné a musí se jimi řídit. Jenže pokud byste je vzali doslova, asi byste kartu spíš vrátili, protože se z jejího používání stává noční můra.
Firewall, antivir a anti-spyware
Některé povinnosti vypadají docela rozumně: klient třeba nesmí používat kartu na veřejně přístupných počítačích (třeba v internetových kavárnách). Jenže pak začne přituhovat: podle Fio banky má klient povinnost „legálně zabezpečit zařízení, prostřednictvím kterého se rozhodne používat platební kartu, firewallem, antivirovou a anti-spyware ochranou, a tyto ochranné prvky pravidelně aktualizovat.“ Ano, pokud nemáte na počítači, kde kartou platíte, firewall, antivir a antispyware, které pravidelně neaktualizujete, porušujete obchodní podmínky.
Ty ovšem porušujete i v případě, že na onom zařízení nemáte „legálně pořízený a pravidelně aktualizovaný operační systém“. Stačí tedy zmeškaná aktualizace a… porušujete podmínky. Máte také „povinnost pravidelně sledovat zprávy výrobce operačního systému o opravách chyb a nedostatků tohoto operačního systému a tyto opravy včas instalovat“.
Nainstalovali jste si někdy nějaký na internetu volně dostupný program? Pokud si nemůžete „…být s dostatečnou mírou jisti, že neobsahují viry nebo spyware“, porušujete podmínky. Smíte také „navštěvovat pouze známé, důvěryhodné a bezpečné stránky na internetu a neotvírat nevyžádané emaily, emaily od neznámých adresátů a emaily s podezřelým názvem nebo obsahem“. A v e-mailové schránce musíte používat spam filtr.
Povinnost mít nainstalovaný antivir, firewall a anti-spyware u Fio banky kupodivu platí i u „vyspělejších mobilních zařízení“ – tedy smartphonů a tabletů „s operačním systémem iOS, Android, Windows Phone a jiným operačním systémem“ (vypadá to, že někdo zkopíroval podmínku z části o PC, aniž by uvažoval o odlišnostech těchto zařízení). Stahovat aplikace z jiných než oficiálních obchodů je podle banky nežádoucí, ale i když se chováte žádoucím způsobem (tedy nestahujete mimo oficiální místa), Fio banka vás upozorní, že je to k ničemu, protože „klient nemůže spoléhat na kontrolu prováděnou provozovatelem operačního systému ve vztahu ke všem aplikacím.“
Zajímalo by mě také, jak si obyčejný laický uživatel poradí s následujícím odstavcem: „Klientovi se doporučuje, aby si před každým zadáním důvěryhodných údajů ověřil, že zařízení používá DNS překladače podporující DNSSEC, a prohlížeč si nastavil tak, aby sám prováděl DNSSEC ověřování.“ I když jde tady jen o doporučení, podle úvodního odstavce i tohle patří mezi povinnosti klienta. A pokud DNS nerozumí, ukládá mu Fio banka v následujícím odstavci další povinnost: doporučuje (tak je to povinnost, nebo doporučení?) „…obrátit se s požadavkem na zabezpečení zařízení a jeho případného komunikačního příslušenství na odborníka.“
Kdo zaplatí škodu
Abychom si dobře rozuměli: skoro všechna výše uvedená opatření skutečně mohou zvýšit vaše bezpečí na internetu, o tom není pochyb. A podle toho, co říká mluvčí Fio banky Zdeněk Kovář, je cílem podmínek přimět klienty chovat se obezřetně při používání platebních karet. „Domníváme se, že rozdělení odpovědnosti podle sféry vlivu je spravedlivé. Banka zajistí své systémy, servery, bankomaty atd. A klient zajistí svá zařízení. Jistě nelze od banky (a zejména od nízkonákladové banky) očekávat, že zajistí dostatečné zabezpečení všech počítačů, tabletů či mobilních telefonů, které klient využívá pro přístup do banky nebo k provádění internetových transakcí platební kartou. Toto musí zajistit sám klient. Proto naše obchodní podmínky obsahují specifikaci toho, co považujeme za dostatečné zabezpečení,“ argumentuje Kovář.
Problém je v tom, že tady nejde o tradiční bezpečnostní doporučení, jejichž dodržování záleží na klientovi. Fio banka všechna výše popsaná opatření dává klientovi jako povinnost a zahrnula je do závazných všeobecných obchodních podmínek. Kromě toho, že jde o materiál, který si málokdo přečte, takže jeho dopad na změnu chování uživatelů bude pravděpodobně limitně blízký nule, jde taky o součást smlouvy, a to, co je v něm napsané, nelze brát na lehkou váhu.
Podle sekce VII, odstavce 4, totiž „majitel účtu odpovídá za škodu způsobenou porušením svých povinností uvedených ve smlouvě nebo podmínkách, není-li stanoveno jinak.“ A v dalším odstavci se dozvíte, že „majitel účtu odpovídá za škodu z neautorizovaných platebních transakcí v plném rozsahu, pokud škodu způsobil svým podvodným jednáním nebo úmyslně či z hrubé nedbalosti porušil některou z jeho povinností vyplývající z čl. III, IV a V podmínek…“
Pokud tedy výše popisovaná opatření doslova nedodržujete a někdo vaši kartu zneužije, máte zaděláno na potenciální problém: banka se může snažit zbavit své odpovědnosti za ztrátu z neautorizovaných (čili podvodníky provedených) plateb. Není samozřejmě jisté, že by banka případný soudní spor s vámi vyhrála, ale vyloučené to také není.
Kontrola jednou denně
Podle zákona o platebním styku (284/2009 Sb.) nese klient v případě zneužití ztracené nebo ukradené karty na případné škodě spoluúčast do výše 150 eur (platí to pro všechny transakce do chvíle, než krádež nebo ztrátu karty bance oznámíte – proto je důležité podobné události nahlašovat co nejdříve).
Podle §116 odstavce 1 b) ale tento limit neplatí, pokud klient „…tuto ztrátu způsobil svým podvodným jednáním nebo tím, že úmyslně nebo z hrubé nedbalosti porušil některou ze svých povinností stanovených v § 101.“ A paragraf 101 říká, že uživatel má povinnost „používat platební prostředek v souladu s rámcovou smlouvou, zejména je povinen okamžitě poté, co obdrží platební prostředek, přijmout veškerá přiměřená opatření na ochranu jeho personalizovaných bezpečnostních prvků.“
Nové podmínky Fio banky se přitom v českém prostředí zdají být poměrně unikátní. Nezkoumali jsme všechny banky, ale v obchodních podmínkách asi desítky těch, které jsme prostudovali, na povinné používání antiviru apod. nenarazíte (Komerční banka jej doporučuje ve svém Průvodci k platebním kartám).
Doplnění 12:00: Jak nás upozornil jeden ze čtenářů, podobné požadavky na své klienty používající internetové bankovnictví ve všeobecných podmínkách klade i Equa bank (PDF).
Obvyklé jsou povinnosti chránit PIN a nikomu ho neříkat a „…zejména nepsat PIN na platební kartu, její obal nebo jiný předmět, který nosíte společně s platební kartou, chránit zadávání PIN před odpozorováním z okolí apod." (Česká spořitelna, PDF) nebo chránit kartu před krádeží a „před přímým působením magnetického pole, mechanickým a tepelným poškozením“ (ČSOB, PDF).
Banky také obvykle trvají na povinnosti, že uživatel musí pravidelně kontrolovat, že kartu pořád má a že ji nikdo nezneužil – podle Komerční banky (PDF) to má dělat „soustavně“, podle ČSOB nebo Fio banky to musí dělat minimálně jednou denně.
Jde o celou řadu požadavků, u kterých banka za normálních okolností nemá šanci ověřovat, že je skutečně děláte. „Kontrolu minimálně jednou denně považujeme za rozumný požadavek. Banka nekontroluje ani nevyžaduje, aby to držitel karty jakkoli prokazoval,“ uvádí na dotaz mluvčí Kovář. Nicméně opět ve spojení s tím, že případnou krádež karty musíte nahlásit bezodkladně, se tu rýsuje zajímavá možnost: co když na ni přijdete později a nahlásíte ji třeba až za dva dny? Banka to může považovat za porušení podmínek a tím pádem vám může zkusit upřít ochranný 150eurový limit.
Stejně tak podle něj Fio banka neověřuje, jestli její klienti dodržují zásady na ochranu svých počítačů a smartphonů. V případě, že dojde na krádež, zneužité nebo podvodné transakce, ale může být vše jinak. „Banka nemá možnost kontroly. Pokud ale fraud vyšetřuje Policie ČR, tak je možné, že v rámci vyšetřování počítač postiženého zkontroluje,“ dodává mluvčí.
Pozor: Co při útoku hackerů nedělat!
13.3.2016 Hacking
Jak zjistit, že k útoku došlo? To dnes představuje nejtěžší otázku v oblasti informační bezpečnosti. Příběhy dlouhé roky neodhalených průniků a útoků se objevují prakticky neustále. Smutné pak je, že když se o průniku dozvíme, často jednáme nejhorším možným způsobem.
„Zamkněte dveře,“ nařídil letový ředitel NASA LeRoy Cain. „Nevypínejte počítače. Nikdo neopustí své místo. Nikdo nebude telefonovat. Zazálohujte všechna dostupná data, odložte své poznámky.“
Kalendář ukazoval 1. února 2003 a letový ředitel právě čelil nejhoršímu možnému scénáři, jaký si bylo možné představit: během přistávacího manévru se nad Texasem rozpadl raketoplán Columbia.
Ač Cainovi stékaly slzy z očí – na palubě stroje bylo sedm astronautů a šance přežít rozpad raketoplánu ve výšce 65 kilometrů při rychlosti 6,5 km za sekundu a obklopeném žhavou plazmou o teplotě několika tisíc stupňů Celsia byla nulová – zachoval si chladnou hlavu.
Postupoval přesně podle předem připravených plánů a zachránil všechna data uložená v počítačích, což později významně pomohlo zrekonstruovat průběh nehody.
Samozřejmě je velmi nepravděpodobné, že by někdo z nás jednou čelil podobné situaci. Na druhé straně si z ní každý z nás může odnést ponaučení při řešení bezpečnostních incidentů.
Obvykle nedostatky
Naším nejčastějším prohřeškem ve chvíli, kdy se „něco stane“, je to, že nemáme plán reakce (Incident Response, IR). Samozřejmě v takové chvíli už je pozdě na něj myslet, ale to je o důvod víc nachystat si jej dříve, než bude pozdě.
Když je jakýmkoliv způsobem bezpečnostní problém odhalený, často se ukáže, že není jasné, co se má dělat. Není stanovená osoba nebo tým, dokonce nebývá stanovený ani postup.
Většinou je pouze vyrozuměn pracovník IT oddělení, ale to se často děje jen jaksi automaticky. V případě absence „horké linky“ nemusí být navíc k zastižení.
Stejně tak nemusí vědět, co přesně má dělat (s informatikem, který vše řeší doporučením restartu, se asi setkal každý z nás). A navíc nemusí mít vůbec zájem incident nějak důkladně šetřit: vždyť incident může (ale samozřejmě také nemusí) ukázat na jeho osobní selhání.
Ostatně to není problém pouze IT pracovníků, i na úrovni organizací je často snaha incidenty „zametat pod koberec“ a zásadně nepřiznávat chybu.
Proto je nezbytně nutné mít alespoň základní plán zvládání bezpečnostních incidentů. Ovšem pozor: plán musí být funkční. Zatímco zhruba šedesát procent organizací jej má, praxe ale ukazuje, že zhruba dvě třetiny plánů v praxi nefungují.
Často se vytvoří, aby se učinilo zadost zadání nebo aby se zaplnila mezera identifikovaná během některého z nesčetných auditů. Byť to zní vznosně, plán zvládání bezpečnostních incidentů je čas od času potřeba prověřit ostrým cvičením. To odhalí drobnosti, které jinak zůstávají přehlédnuté.
Třeba jako v případě jisté newyorské nemocnice, která si bezpečnostní audit nechala zpracovat – konstatovalo se v něm, že záložní dieselové agregáty v suterénu nejsou šťastným nápadem a že v případě velké vody nebudou plnit svoji úlohu.
Nemocnice je proto přesunula do vyšších pater. Auditor byl spokojený, problém se zdál být odstraněný. Pak ale přišel říjen 2012 a udeřil hurikán Sandy. Až v tu chvíli nemocnice s hrůzou zjistila, že agregáty sice přesunula – ale nádrže s naftou zůstaly v zaplaveném suterénu...
Jeden problém navazuje na druhý
Často na bezpečnostní incident reagujeme odstraněním nalezeného malwaru (což je nejčastější forma incidentu), a útok tím máme za ukončený. Jenže...
Tím se připravujeme o stěžejní důkazy, které nám mohou hodně napovědět o tom, kudy se útočník dostal do systému, kdy se tak stalo, jaké byly jeho záměry a co všechno vlastně získal. Druhou chybou, kterou v takové chvíli děláme, je vypnutí počítačů. Tím přicházíme o logy, nenahraditelná data v paměti apod.
Předpokládejme vždy nejhorší možný scénář: útok profesionála. Ten pak těžko použije jeden vektor, v horším případě mu dokonce sednete na vějičku: nastrčí kód, u něhož chce, aby byl nalezený. Skutečné nebezpečí se pak skrývá jinde. Dobrý útočník zkrátka bývá dobře připravený.
Samozřejmě že nikdo nechce, abyste se s rukama v klíně dívali, jak vám útočník stahuje další a další data ze sítě. Ale odstřihnout ho můžeme i jinak než vytržením elektrické šňůry ze zásuvky.
Například aktivací přísných omezení na firewallu nebo převodem veškerého provozu do uzavřené VPN sítě. Útočník sice bude výpadkem datového toku varován, ale vy nepřijdete o cenné informace.
A především: získáte čas a budete se moci rozhlédnout po informačním systému, aby bylo možné zmapovat celou šíři útoku.
Známý je například případ jedné americké banky, kdy útočník umístil do systému škodlivý kód. Po jeho odhalení následoval hloubkový bezpečnostní audit, který zjistil, že útočník ve skutečnosti zanechal v systému přes 300 druhů různého malwaru. Jinými slovy: odhalení jednoho exempláře zabránilo mnohem většímu útoku.
Zatajit, nebo nezatajit?
Kolik IR plánů tedy instrukce týkající se krizové komunikace obsahují? Tedy to, koho, kdy a jak informovat – nebo kdo má právo hovořit. Pokud nás k tomu legislativa nenutí jinak, máme tendenci bezpečnostní incidenty utajovat. Jistá logika v tom je: následná panika může natropit více škody než vlastní incident.
Na druhé straně si pak informace mohou žít svým vlastním životem. „Informovat, či neinformovat“ tak představuje jedno ze zásadních dilemat informační bezpečnosti – ale i to se však dá do značné míry ošetřit v plánech reakce.
Experti bijí na poplach. Vyděračských virů v Česku dramaticky přibylo
13.3.2016 Viry
V posledních týdnech dramaticky narostl počet škodlivých e-mailů, prostřednictvím kterých šíří počítačoví piráti viry. Nejčastěji jde o vyděračské viry z rodiny tzv. ransomwarů. Podle bezpečnostních expertů ze společnosti Eset je Česká republika jednou z nejvíce zasažených zemí, kde se tito nezvaní
Jak se bránit vyděračským virům!
:: Neotvírejte přílohy e-mailových zpráv od neznámých a podezřelých adresátů.
:: Pravidelně zálohujte svoje data. V případě nákazy se počítač jednoduše přeinstaluje a zašifrovaná data se mohou obnovit i bez placení výkupného nebo nutnosti je odšifrovat.
:: Externí disky nebo jiné úložné systémy, na které jsou data zálohována, by neměly být neustále připojeny k počítači. Minimalizuje se tím riziko, že se vyděračský virus zabydlí i u zálohovaných dat.
:: Pravidelně aktualizujte operační systém i jiné programy. Znesnadníte tak práci počítačových pirátů, kteří se snaží objevené trhliny zneužít k propašování škodlivých kódů.
:: Nutné je také pravidelně aktualizovat antivirový program, případně jiné bezpečnostní aplikace.
:: Nepoužívejte programy, pro které již výrobce ukončil podporu. Hrozba nákazy například na Windows XP je mnohonásobně vyšší než u novějších verzí tohoto operačního systému.
„Virová nákaza se šíří prostřednictvím e-mailových zpráv, které obsahují přílohu ve formátu zip. Ta je nejčastěji označena jako faktura nebo pozvání k soudu. Tímto trikem se útočníci snaží oběť navést k tomu, aby otevřela obsah přílohy,“ prohlásil Petr Šnajdr, bezpečnostní expert společnosti Eset.
Podle něj se po otevření souboru nainstaluje do počítače škodlivý kód. Jde například o virus zvaný Nemucod, který se uhnízdí v počítači a může potom stahovat další nezvané návštěvníky.
Tento škodlivý kód začne šifrovat obsah počítače a uživateli oznámí, že za dešifrování musí zaplatit.
Petr Šnajdr, bezpečnostní expert společnosti Eset
Nejčastěji stahuje právě vyděračské viry. „Aktuálně stahuje především různé typy ransomware, například známý TeslaCrypt nebo Locky. Následně tento škodlivý kód začne šifrovat obsah počítače a uživateli zobrazí oznámení, že za dešifrování počítače musí zaplatit,“ dodává Šnajdr.
Ani po zaplacení výkupného navíc nemají uživatelé jistotu, že se ke svým datům skutečně dostanou. Virus je nutné z počítače odinstalovat a data následně pomocí speciálního programu odšifrovat. V některých případech to ale není možné.
Používají stejné šifrování jako finanční instituce
Právě zmiňované dva programy totiž používají poměrně sofistikované šifrování. Jde o obdobu toho, co používají finanční instituce při zabezpečení plateb po internetu.
Právě před jedním ze zmiňovaných vyděračských virů varovala také bezpečnostní společnost Check Point. „Za pouhé dva týdny se Locky pokusil ohrozit uživatele ve více než 100 zemích,“ varoval mediální zástupce Check Pointu Petr Cícha.
„Kyberzločinci infikují systém e-mailem s wordovou přílohou, která obsahuje škodlivé makro. Jakmile uživatel soubor otevře, tak makro spustí skript, který stáhne spustitelný škodlivý soubor, nainstaluje se na počítač oběti a vyhledává soubory, které šifruje. Uživatel potom ani neví, že útok začal právě kliknutím na e-mailovou přílohu,“ doplnil Cícha.
Ostražití by před vyděračskými viry neměli být pouze majitelé klasických počítačů. Loni v červnu bezpečnostní experti odhalili nezvaného návštěvníka, který požadoval výkupné i na mobilním telefonu.
Hackerům se nepovedlo ukrást miliardu dolarů díky překlepu
13.3.2016 Incidenty
Hackerům se nepovedlo ukrást miliardu dolarů díky překlepuVčera, Milan Šurkala, aktualitaCesta k velkému bohatství může být občas ukončena velmi nepříjemným malým detailem. Hackeři dokázali nezákonně získat téměř miliardu dolarů, nicméně při stahování peněz na další účty udělali překlep, což jim naštěstí vše zkazilo.
Během 4. a 5. února 2016 se skupině hackerů patrně podařilo prolomit zabezpečení Bangladesh Bank a dostat se k téměř miliardě dolarů (hovoří se o zhruba 850-870 milionech). Tyto peníze pak převáděli přes různé banky na účty ve Filipínách a Srí Lance. Jen na Federal Reserve Bank přišly desítky žádostí na převody peněz. Povedly se jim čtyři přenosy, každý za zhruba 20 milionů dolarů. Uschovali si tedy lehce přes 80 milionů dolarů, nicméně pátý přenos jim už nevyšel.
Ten směřoval do Shalika Foundation ve Srí Lance, nicméně hackerům se povedlo splést název organizace a místo "Foundation" napsali "Fandation". Toho si všimla Deutsche Bank, přes kterou měly tyto peníze jít a zažádala o vysvětlení této podezřelé transakce, čímž se na celou záležitost přišlo. Bangladesh Bank se už povedlo některé z peněz získat zpátky a nyní chce žalovat Federal Reserve Bank za to, že dostatečně rychle nerozpoznala podezřelé transakce. Bangladesh Bank na situaci nedokázala rychle reagovat, neboť šlo o nepracovní dny.
Barack Obama chce opět backdoor v softwaru ze zákona
13.3.2016 Hrozby
Barack Obama chce opět backdoor v softwaru ze zákonaDnes, Milan Šurkala, aktualitaPoslední týdny se přetřásá kauza FBI a Applu, střídají se názory, zda má Apple odemknout mobil teroristů nebo nikoli. Americký prezident Barack Obama se v jednom rozhovoru zmínil, že zadní vrátka v softwaru by měla být povinná.
V jednom z rozhovorů s americkým prezidentem Barackem Obamou byl dotázán na názor ohledně kauzy FBI a Applu (zda má Apple odemknout mobil teroristy a zpřístupnit tak data pro FBI), ten se ale k tomuto případu nechtěl vyjadřovat. Přesto jeho reakce vcelku mířila právě na tento případ. Hovořil o tom, že nechce, aby vláda mohla prohlížet mobilní telefony, jak se jí zlíbí, ale zároveň podotknul, že neprolomitelné šifrování v uživatelském sektoru je obrovský problém.
Důvodem je např. to, jak by při neprolomitelném šifrování mohly bezpečnostní složky odhalit např. dětskou pornografii, teroristické plány nebo třeba daňové úniky. Už zde je jasné, že chce monitorování ve velkém rozsahu. Dle Obamy by software měl mít zadní vrátka (backdoor), která by umožňovala vybraným lidem dostat se do každého zařízení a chce dosáhnout nějakého kompromisu. Cílem je, aby tento klíč mělo co nejméně lidí, nicméně i tak je rozhodně docela zvláštní využívat nejpokročilejší šifrovací systémy, když víte, že venku je pár lidí, kteří znají klíč "ze zákona". Šifra s klíčem v rukou vlády ale těžko bude "kompromisní". Připomeňme, že soud Apple versus FBI bude už 22. března a už v minulém roce vydal Obama vyhlášku, která nařizuje sdílení dat s vládou.
Adobe updatuje Flash, kritická chyba dovolovala ovládnutí počítače
13.3.2016 Zranitelnosti
Adobe updatuje Flash, kritická chyba dovolovala ovládnutí počítačeDnes, Milan Šurkala, aktualitaKdysi velmi populární Flash se pomalu opouští a není divu. Vedle nepříliš dobrého výkonu má také spoustu bezpečnostních chyb. Poslední update opravuje např. chybu CVE-2016-1010, která dovolila útočníkům převzít kontrolu nad počítačem.
Adobe Flash je čím dál v menší oblibě. Prvně je nahrazován HTML5, za druhé přináší spoustu bezpečnostních děr a poslední aktualizace (např. 21.0.0.182 pro Windows a Mac OS) opravuje celkem 23 bezpečnostních chyb, z nichž mnohé byly označeny jako kritické. Např. chyba CVE-2016-1010 dovolila převzít kontrolu nad počítačem a to se týkalo i mnoha dalších. Navíc jsou známy případy, kdy tato chyba byla využita ke skutečným útokům.
Společnost Adobe tedy doporučuje urychlený update na nejnovější verze tohoto přehrávače napříč všemi platformami. Týká se to tedy Windows, Mac OS, Linuxu i verzí pro mobilní telefony a jejich operační systémy.
Biometrie na vzestupu: Co všechno vám už dnes může přinést?
13.3.2016 Zabezpečení
Biometrické zabezpečení zažívá strmý růst. Je to z velké části i kvůli tomu, že mnoha mobilním uživatelům vyhovuje pohodlnost používání nástrojů, jako je identifikace otiskem prstu. Bude však hrát biometrie významnou roli také v řešeních podnikového zabezpečení?
Bezpečnostní experti upozorňují, že biometrické technologie mají pozitiva i negativa. Na straně pozitiv je biometrie efektivním způsobem prokazování skutečné identity jednotlivých uživatelů.
„Nejviditelnější výhodou je, že se dokazuje identita osoby s větší mírou jistoty,“ tvrdí Jason Taule, ředitel zabezpečení ve firmě FEI Systems, která je poskytovatelem technologických produktů pro zdravotnictví.
„Předpokladem ovšem je, že se biometrie použije v kombinaci s něčím, co tento člověk zná. To je velmi důležité v situacích, kdy dochází k přístupu k systémům a prostředkům vyšší úrovně citlivosti,“ dodává Taule.
S využitím biometrie „víte, že jednotlivec přistupující k zabezpečeným oblastem či informacím je nejen osobou disponující odpovídajícími přihlašovacími údaji, ale je to skutečně osoba, které se přístup udělil“, říká Maxine Most, ředitel společnosti Acuity Market Intelligence. „To zlepšuje zabezpečení a poskytuje to kontrolní záznam.“
Biometrie může také poskytnout větší komfort. „Přestože existují jasné rozdíly mezi různými variantami biometrie (například otisky prstů versus skenování duhovky), výhodou využití této technologie pro autentizaci je skutečnost, že osoba nemůže tento identifikátor zapomenout, jako se to může například stát u hesla, ani ho nemůže někde nechat nebo jí ho někdo nemůže ukrást, jako se to může stát u tokenu,“ popisuje Taule.
To podle něj přináší snížení nároků na linku technické podpory a potenciálně úspory v oblasti nákladů na zaměstnance.
Na rozdíl od metod založených na heslech poskytuje biometrie „silnou autentizaci“, kterou nelze později popírat při soudním sporu, tvrdí Taule. V závislosti na způsobu implementace systému existuje možnost využít biometrii pro ověření totožnosti při vstupu do budovy nebo k autoritě, která poté umožní přístup k dalším zdrojům.
Biometrie může při správném využití „vyřešit mnoho problémů s pouhým využitím uživatelské identifikace a hesel“, tvrdí Mary Chaneyová, hlavní vedoucí týmu správy dat a reakce na incidenty ve finanční instituci GE Capital.
„Pokud použijete dynamické behaviorální biometrické rozpoznávání, jako je například dynamika úhozu do kláves, můžete získat výhodu dvoufaktorové autentizace,“ popisuje Chaneyová.
Použití dynamiky stisků kláves umožňuje organizacím měřit u každé osoby dobu stisku kláves a dobu mezi stiskem dalších kláves, říká Chaneyová a dodává: „Při tomto scénáři poskytuje pouhé zadání hesla dvoufaktorovou autentizaci.“
Kromě toho je podle ní dynamika stisků kláves velmi přesná a není pro uživatele rušivá, což jsou dva z největších problémů při používání biometrie při jakékoli implementaci zabezpečení.
Nesnadné zneužití
Dalším velkým přínosem použití biometriky je, že se velmi těžce falšuje, tvrdí Chaneyová. Při měření obou (fyziologických a dynamických) údajů se zaznamenávají informace pro každou osobu jedinečné a v průběhu času se málokdy mění.
Při správné implementaci není třeba v některých případech nic dalšího dělat, ani si pamatovat. Ztracená ID a zapomenutá hesla budou minulostí, říká Chaneyová.
Protože je osobní údaje nesmírně obtížné padělat, „mohly by se biometrické identifikátory používat k usnadnění jak fyzického přístupu, například v určitých oblastech podnikového areálu, tak i k virtuálnímu přístupu k vybraným místům v podnikovém intranetu“, uvádí Windsor Holden, šéf výzkumu v analytické firmě Juniper Research.
„Tato přihlášení lze přímo propojit s konkrétní aktivitou, takže v případě narušení bezpečnosti v rámci organizace lze rychle identifikovat odpovědnou osobu,“ říká Holden.
Biometrii lze také použít k integraci BYOD (využívání osobních zařízení pro firemní účely) do podnikových bezpečnostních strategií, „protože tak dochází k propojení osob a přístupu pomocí jejich osobních mobilních zařízení“, vysvětluje Most.
Prozatímní negativa
Na straně negativ stále figurují dvě velké nevýhody biometrie – vysoká cena a obavy o zachování soukromí, uvádějí experti...
Flash opět obsahuje kritické chyby, podle Adobe je už používají útočníci
12.3.2016 Zranitelnosti
Firma vydala mimořádné opravy více než dvacítky chyb, řada z nich je kritických, takže potenciálním útočníkům umožňují získat vládu nad systémem.
Není to velké překvapení – tím by spíš bylo, kdyby Flash vydržel delší dobu bez zásadních bezpečnostních incidentů. Adobe aktuálně doporučuje aktualizovat Flash Player na nejnovější verzi – pokud tak neučiníte, vystavujete se riziku napadení svého zařízení.
Jednu z chyb už podle firmy útočníci využívají. „Adobe má informace o tom, že chyba CVE-2016–1010 je aktivně zneužívána v omezeném počtu cílených útoků,“ přiznává na svém blogu.
Zatím neupřesněná chyba podle firmy může vést k tomu, že útočník bude schopný na zařízení spouštět svůj kód.
Adobe tak doporučuje updatovat Flash Player na verzi 21.0.0.182 (Windows a Mac), respektive 11.2.202.577 (Linux). Pokud ovšem Flash Player ve svém zařízení nutně nepotřebujete, je nejlepší jej úplně odinstalovat.
Flash je tak jako tak na ústupu. Google nedávno oznámil, že jeho reklamní systémy od léta přestanou přijímat flashové bannery, jeho podporu omezují i prohlížeče a v mobilních zařízeních si beztak ani neškrtne.
Českem se masivně šíří maily s virovou nákazou a šifrující počítač
11.3.2016 Viry
Ransomware Nemucod se distribuuje jako příloha elektronické pošty, jež se nejčastěji označuje jako faktura nebo pozvání k soudu.
Mimořádný nárůst počtu škodlivých e-mailů obsahujících virovou přílohu zaznamenal Eset. Při jejím otevření se podle jeho expertů do zařízení nainstaluje ransomware, což je škodlivý kód, který zašifruje obsah počítače a za jeho odšifrování požaduje výkupné.
Tato virová nákaza – známá jako JS/TrojanDownloader.Nemucod -- se šíří po celém světě, Česká republika je však prý jednou z nejvíce zasažených zemí.
„Virová nákaza se šíří prostřednictvím e-mailových zpráv, které obsahují přílohu ve formátu zip. Ta je nejčastěji označená jako faktura nebo pozvání k soudu. Tímto trikem se útočníci snaží oběť navést k tomu, aby otevřela obsah přílohy. V té se skrývá javascript soubor, který po otevření do počítače nainstaluje škodlivý kód Nemucod, který může do zařízení stáhnout další malware,“ vysvětluje Petr Šnajdr, bezpečnostní expert v Esetu.
„Aktuálně stahuje především různé typy ransomwaru, například známý TeslaCrypt nebo Locky. Následně tento škodlivý kód začne šifrovat obsah počítače a uživateli zobrazí oznámení, že za dešifrování počítače musí zaplatit,“ dodává Šnajdr.
Tento filecoder je nebezpečný tím, že používá kvalitní šifrování podobné nebo totožné s tím, které používají například finanční instituce při zabezpečení on-line plateb.
Ransomware je typ malwaru, který zabraňuje přístupu k osobnímu počítači či mobilnímu zařízení, či k datům zde uloženým. Pro umožnění přístupu je vyžadováno zaplacení výkupného (ransom). Šifrování je zpravidla natolik silné, že jej nelze prolomit.
Ochrana před ransomwarem podle bezpečnostních expertů:
Neotvírejte přílohy zpráv od neznámých adresátů a případně ani ty, které jste vůbec neočekávali.
Varujte kolegy v odděleních, která nejčastěji dostávají e-mailové zprávy z externího prostředí – například personální či finanční oddělení.
Pravidelně zálohujte obsah svého zařízení. I v případě úspěšné infekce se tímto způsobem budete moci dostat k svým datům. Externí disk nebo jiné úložiště však nemohou být neustále připojené k zařízení, jinak bude jejich obsah také zašifrovaný.
Pravidelně aktualizujte operační systém a ostatní programy, které používáte na svém zařízení. Pokud používáte již nepodporovaný operační systém Windows XP, vážně zvažte přechod na novější verzi Windows.
Bezpečnostní software používejte nejen s nejnovějšími aktualizacemi, ale ideálně i jeho nejnovější verzi.
Chrome i Flash Player obsahují nebezpečné trhliny
10.3.2016 Zranitelnosti
Obezřetní by měli být uživatelé internetu při prohlížení videí i webových stránek. Programy Google Chrome a Adobe Flash Player, které k této činnosti slouží, totiž obsahují nebezpečné trhliny. Záplaty jsou však naštěstí již k dispozici.
Tvůrci webového prohlížeče Chrome už minulý týden vydávali velký balík oprav, který sloužil jako záplata pro více než dvě desítky zranitelností, připomněl server Security Week.
Aktualizace z tohoto týdne opravuje pouze tři trhliny, přesto by s jejich instalací neměli uživatelé zbytečně otálet. Vývojáři totiž jejich důležitost označují jako vysokou. Takovéto chyby zpravidla mohou počítačoví piráti zneužít k propašování škodlivých virů do cizích počítačů.
Chyby jsou obsaženy v Chromu pro Windows, Linux i pro Mac OS X.
Propašovat mohou prakticky libovolný virus
Trhlinám v zabezpečení se nevyhnul ani oblíbený program Flash Player od společnosti Adobe. Ten slouží k přehrávání videí na internetu a na celém světě jej používají milióny lidí. Právě proto se na něj kyberzločinci zaměřují pravidelně a nové aktualizace vycházejí prakticky měsíc co měsíc.
Objevená zranitelnost může vést ke vzdálenému spuštění kódu, tedy k instalaci prakticky jakéhokoliv viru na cizím počítači. Ohroženi jsou přitom majitelé prakticky všech aktuálně dostupných operačních systémů.
Adobe navíc záplatovala tento týden také své další produkty – Acrobat, Reader a Digital Edition.
Chyby jsou i ve Windows a Internet Exploreru
V případě automatických aktualizací se uživatelé Chromu ani programů od Adobe nemusejí o nic starat. Pokud je však tato funkce vypnuta, je nutné navštívit webové stránky tvůrců a nejnovější záplatovanou verzi stáhnout manuálně.
Na pozoru by se měli mít také uživatelé operačního systému Windows a webových prohlížečů Internet Explorer a Edge. Také v nich byly objeveny kritické chyby. Microsoft je tento týden opravil v rámci pravidelných aktualizací, které vycházejí vždy druhé úterý v měsíci.
Čínští ISP vsouvají do stránek malware a inzerci
9.3.2016 Viry
Nejde přitom o nějaké malé poskytovatele připojení, přistiženy byly China Telecom a China Unicom, dva z největších ISP v zemi.
Podle trojice izraelských výzkumníků (viz PDF na Website-Targeted False Content Injection by Network Operators) se čínští poskytovatelé připojení k internetu věnují vsouvání obsahu do stránek, které navštíví jejich uživatelé. V systému proxy serverů do webů přidávají jak reklamy, tak odkazy na malware. Týká se to i situace, kdy návštěvník vstupuje na weby, které jsou hostované v systémech těchto ISP.
Alarmující na těchto aktivitách je, že se jí věnují i dva z největších ISP v zemi, China Telecom a China Unicom. Ty zároveň v zásadě vlastní veškerý provoz, který pochází od menších ISP a probíhá mezi nimi a zbytkem země či světa.
Celé to funguje tak, že je využíván systém detekce specifických URL, které jsou poté přesměrovány a zpracovávány. Ještě zajímavější je, že dochází ke zkoumání procházejících paketů a jejich modifikaci, ale bez zahození originálu. Spolu s originálem je pak posílán i změněný paket.
V praxi to poté znamená, že příjemce může ve finále získat jeden z těchto dvou paketů, originál nebo změněný. Využívá se i 302-Redirect místo původní 200-OK odpovědi, dojde tím k přesměrování na jiné webové stránky.
Zásah do komunikace probíhá ale pouze tam, kde je používána nezabezpečená komunikace, vyhnout se problémům lze tedy důsledným používáním https.
Outlook už e-maily nemaže. Microsoft opravil nepříjemnou chybu
9.3.2016 Zranitelnosti
Uživatelé poštovního klienta Outlook se v minulých dnech mohli setkat s nepříjemnou chybou, kvůli které se mazaly e-maily ze serveru. Díky nové opravě to však už nehrozí. Microsoft vydal aktualizaci v úterý.
Novinky.cz o chybě informovaly minulý týden po upozornění jednoho z čtenářů. [celá zpráva]
Vývojáři z Microsoftu o chybě věděli jen o několik dnů déle. To jinými slovy znamená, že na vytvoření záplaty jim stačily necelé dva týdny. Běžně se v takto krátkém čase řeší trhliny týkající se bezpečnosti uživatelů, o což v tomto konkrétním případě vůbec nešlo.
Chyba se týkala pouze protokolu POP3
Chyba se týkala pouze uživatelů Outlooku 2016, kteří používali poštovní protokol POP3. Ten funguje tak, že uživateli se do počítače nebo chytrého telefonu stáhnou všechny e-maily a bez ohledu na to, zda je časem smaže či nikoliv, zůstanou uchovány na serveru.
Problém byl ale v tom, že v nejnovější verzi poštovního klienta od společnosti Microsoft byly e-maily mazány ze serveru okamžitě. A to i v případě, že v něm bylo nastaveno, že tak má učinit až po nějaké době.
Stahovat aktualizaci je možné prostřednictvím služby Windows Update.
Triviální chyba umožňovala krádeže účtů na Facebooku opakovaným hádáním hesla
9.3.2016 Zranitelnosti
Triviální chyba umožňovala krádeže účtů na Facebooku opakovaným hádáním hesla
Indický bezpečnostní inženýr Anand Prakash objevil závažnou zranitelnost v zabezpečení největší sociální sítě. Umožňovala změnu hesla oběti jen za pomoci hrubé síly.
Zranitelnost se nacházela v mechanismu obnovy zapomenutého hesla. Uživatel má v takovém případě možnost zaslání kódu pro obnovení hesla přes e-mail nebo telefon. Šestimístné číslo následně zadá přímo na Facebooku, přičemž nastaví heslo nové.
Síť podle Prakash blokuje zadávání kódu po 10 až 12 neúspěšných pokusech. Omezení se však dalo obejít přístupem přes adresy beta.facebook.com či mbasic.beta.facebook.com, kde nebylo implementováno. Útočník tak mohl hádáním číselných kombinací získat přístup k cílenému účtu. Znamená to sice milion možností, ale pro automatický skript by to byla jednoduchá, výkonově nenáročná úloha.
Po nastavení nového hesla se hacker přihlásí do účtu za pomoci e-mailu nebo telefonního čísla dané osoby. Může jít o známé údaje zejména v případech, kdy svou oběť zná.
Facebook se o chybě dozvěděl 22. února a chybu ihned s přispěním Prakashe opravil. Ind na oplátku dostal odměnu ve výši 15 tisíc amerických dolarů (370 tisíc korun).
Bezpečnost u mobilních zařízení
9.3.2016 Mobilní
Mobilní zařízení (tablety a chytré telefony) patří k velice diskutovaným zařízením v dnešním IT prostředí, a to zejména s ohledem na masivní nárůst jejich využití, a na druhé straně k potřebám pro zajištění bezpečnosti při používání těchto zařízení v pracovním prostředí firem.
Uživatelé mobilních zařízení se samozřejmě snaží o maximální využití těchto zařízení i pro pracovní účely, firma ovšem potřebuje také zajistit, aby nedocházelo k ohrožení přístupu k ICT systémům a případnému úniku citlivých dat z firmy. Snahou firem je zavádění různých prostředků, které by měly výše uvedené hrozby eliminovat, tyto prostředky však bohužel poměrně jasně inklinují k tomu, aby se tato zařízení pro jejich uživatele víceméně „uzamkla“.
Nejde samozřejmě o uzamčení zařízení jako takového, ale spíše o limitování využití některých funkcí nebo aplikací, a tím se celkově omezuje uživatelské využití, a to i pro případ využití zařízení pro čistě soukromé účely. Bezpečnost by měla být chápána spíše jako podpůrný prvek pro využití těchto zařízení, a ne fungovat jako sada omezení, které uživateli bude nařizovat, jak může dané zařízení využívat.
Nárůst popularity mobilních zařízení samozřejmě přinesl nové příležitosti a inovační trendy, zatímco současně s tím se objevila také určitá rizika. Hlavním problémem je, že uživatel se s mobilním zařízením pohybuje kdekoli a značnou dobu je mimo dohled a prostory firmy, pro kterou pracuje. Zařízení přitom disponuje možností přihlášení do firemních systémů a možností čtení nebo stahování firemních dat přímo do zařízení. Přitom zařízení může být ukradeno či jinak zneužito, a systémy a data firmy se tak ocitají ve vážném ohrožení.
Další trend, který je v současnosti potřeba vzít do úvahy, je tzv. BYOD (Bring Your Own Device) – tedy situace, kdy si zaměstnanci firem přinášejí do zaměstnání svá vlastní mobilní zařízení (a to podle vlastního výběru a preferencí) a je jim v určité míře umožněno přistupovat k firemním systémům a aplikacím. Když si představíme, jaké operační systémy pro mobilní zařízení jsou na trhu k dispozici (Android, iOS, Windows, BlackBerry), pak je zřejmé, že úloha zajištění jejich bezpečnosti pro IT oddělení je skutečně nelehká. Přestože výrobci OS v poslední době udělali značný pokrok z hlediska možnosti centrální správy a dohledu nad mobilními zařízeními, ale některé tyto systémy se liší svými verzemi na trhu, a tím je centrální správa značně složitější.
Možná ohrožení
V důsledku snadné zranitelnosti se tak stávají mobilní zařízení centrem pozornosti hackerských aktivit více než kterákoli jiná zařízení. Podle zveřejněných statistik společnosti Gartner se očekává, že v roce 2017 bude připadat na tři útoky na mobilní zařízení jeden útok na běžný desktopový počítač.
Mezi známé typy útoků se řadí zejména phishing nebo pharming, jejichž cílem je získání a následné zneužití osobních dat nebo jiných citlivých údajů, které se následně použijí k neautorizovanému přístupu do různých systémů (typicky se může jednat o bankovní účty apod.).
Další potenciální hrozbou se mohou stát i veřejné hotspoty Wi-Fi sítí, kde se v důsledku bezpečnostních nedostatků může naskytnout útočníkům prostor pro sledování komunikace na daném mobilním zařízení, odchytávání hesel, získávání e-mailů apod.
Dalším zdrojem potenciálních problémů jsou cloudové služby, kdy uživatelé mohou z mobilního zařízení ukládat citlivá data například na privátní cloud nebo jiné nedůvěryhodné úložiště.
Velkou hrozbou jsou ale samotní uživatelé mobilních zařízení. Byť IT oddělení definuje určitá pravidla pro používání těchto zařízení a provede správnou konfiguraci přístroje, uživatelé se mnohdy snaží tyto politiky obcházet. A občas je to poměrně jednoduché, protože obchody s aplikacemi nabízejí různé drobné aplikace, které dokážou bezpečnostní funkce jednoduše odblokovat. Dalším úskalím je pak nemožnost kontroly uživatelů, kdy a jak ze svého mobilního zařízení klikají na problematické a nedůvěryhodné odkazy a zařízení si nakazí škodlivým SW (viry, malware apod.).
Přístupy při ochraně zařízení
Pojďme si nyní popsat některé možné bezpečnostní scénáře:
Blokování používání mobilního zařízení:jedním z přístupů bezpečnostní firemní politiky může být snaha o omezení použití mobilního zařízení pouze na dobu, kdy je zaměstnanec na pracovišti, po zbylou dobu by mělo být zařízení blokováno pro použití. Pro uživatele toto opatření příliš uspokojivé určitě není a spíše povede k situaci, že uživatel bude chtít pravidla obcházet anebo zařízení nebude využívat vůbec.
Snaha aplikovat tradiční bezpečnostní přístupy:Jedním z dalších přístupů zajištění bezpečnosti mobilních zařízení je snaha uplatnění stejných bezpečnostních technologií, které jsou používány pro přenosné počítače (filtrování URL adres, IPS, antimalware apod.). Tento přístup však příliš k uspokojivým výsledkům nevede. Jakmile totiž uživatel opustí perimetr firmy, ve které pracuje, nelze již technologii efektivně uplatnit (odlišné připojení k internetu apod.). U jiných technologií, které se instalují na koncová zařízení (antivirové program apod.), zase narážíme na slabý výpočetní výkon nebo výdrž baterie.
Použití softwaru pro správu mobilních zařízení: Jedná se o SW nástroj, který by měl pokrýt komplexní požadavky na správu mobilních zařízení, a to zejména instalaci, údržbu verzí a smazání aplikací, správu zabezpečení a pravidel využívání zařízení a jeho komunikačních/síťových služeb. Samozřejmostí by měla být možnost provedení vzdáleného SW auditu na daném zařízení. Takový SW nástroj by pak měl včas zachytit přítomnost nežádoucí aplikace (nebo i např. jailbreak) nebo nevhodnou konfiguraci zařízení. Na trhu je dnes skutečně široká škála produktů pro správu mobilních zařízení (obecně se tyto SW nástroje označují zkratkou MDM – Mobile Device Management). Většina z nich se obvykle specializuje na celou škálu OS mobilních zařízení. Řešení je postaveno obvykle na principu klient-server, kdy na mobilním zařízení běží agent komunikující se serverovou částí, kam odesílá relevantní informace a zpětně na mobilním telefon přijímá instrukce k provedení konkrétních operací.
Přinášíme detaily k prvnímu vyděračskému malwaru pro Macy
8.3.2016 Viry
Hackeři sice svůj plán nedotáhli do konce, dle všeho však chtěli uživatele Maců přimět k zaplacení desetitisícového výkupného.
Uživatelé Maců se ocitli v ohrožení prvním funkčním ransomwarem cílícím právě na ně. Podle bezpečnostních odborníků se jeho tvůrci snažili najít způsob, jak zašifrovat data, aby uživatele přiměli k zaplacení výkupného.
Zdá se však, že KeRanger, jak byl ransomware nazván, byl objeven o něco dřív, než tvůrci zamýšleli. Odborníci z bezpečnostní společnosti Palo Alto Networks na něj přišli v pátek, jen pár hodin poté, co se dostal do sítě.
Už v pátek odpoledne tak o svém objevu mohli zpravit Apple a společnost tak v neděli mohla anulovat digitální certifikát, který malware využíval k podepisování, a zároveň Transmission, bittorentový klient, který byl zdrojem nákazy, mohl stáhnout infikovanou verzi a vydat bezpečný update.
A i díky tomu, že KeRanger byl opatřen třídenní „inkubační dobou“, kterou potřeboval k tomu, než mohl začít škodit, znepříjemnil život jen hrstce uživatelů. Ti následně čelili rozhodnutí, zda obrečet zašifrovaná data, nebo zaplatit výkupné stanovené na jeden Bitcoin, tedy zhruba 10 tisíc korun.
mbice tvůrců KeRangeru přitom byly daleko vyšší než jen zablokování souborů aktuálně uložených na disku, ransomware měl šifrovat i data zálohovaná prostřednictvím nástroje Time Machine, který je součástí OS X a uživateli je hojně využíván. Přitom právě pravidelné zálohování je jedním z obranných mechanismů, jak se platbě výkupného vyhnout.
„Ransomware je velice výnosná záležitost,“ hodnotí Thomas Reed ze společnosti Malwarebytes. „Pro kyberzločince to je největší zdroj příjmů.“ Podle Reeda se tvůrci škodlivého softwaru na blokování záloh začali soustředit až v poslední době, přičemž zálohování prostřednictvím Time Machine je dle něj nechvalně známé svou křehkostí.
A není tak vyloučeno, že tvůrci KeRangeru měli v úmyslu zálohovaná data nejen zablokovat, ale rovnou zcela zničit. „Pokud Time Machine užíváte s rozumem, je to v pořádku. Jestliže si ale se zálohami pohráváte skrz jinou aplikaci, můžete se dostat do problémů,“ varuje. „Nejlepší variantou je mít záloh několik, ovšem k počítači mít připojenou v daný čas vždy jen jednu.“
Phishing u Seagate, útočníci získali daňové dokumenty W-2 tisíců zaměstnanců
8.3.2016 Phishing
Phishing u Seagate, útočníci získali daňové dokumenty W-2 tisíců zaměstnancůDnes, Milan Šurkala, aktualitaPhishing může někdy pěkně zatopit a občas se jediný útok může týkat tisíců lidí. To se nyní stalo společnosti Seagate, která díky chybě jednoho zaměstnance útočníkům poskytla daňové dokumenty W-2 mnoha tisíců zaměstnanců.
Společnost Seagate řeší zapeklitý problém. Firma se stala obětí phishingu, kdy útočníci poslali e-mail jménem CEO společnosti Stephena Lucza. V něm požadovali daňové dokumenty W-2 zaměstnanců společnosti. Poněvadž žádost vypadala jako pravá, jeden ze zaměstnanců odpověděl a údaje poslal. Bohužel nešlo o legitimní žádost a údaje mnoha tisíců zaměstnanců společnosti Seagate se tak dostaly do nepovolaných rukou.
Úplně stejnou techniku použili útočníci i minulý týden u Snapchatu (opět jménem CEO společnosti požadovali W-2 dokumenty zaměstnanců). Seagate nabídnul dotčeným zaměstnancům dvouleté bezplatné monitorování účtů. Je pravděpodobné, že útočníci chtějí využít tyto údaje k neoprávněnému získání peněz, které se budou vracet z daní.
Nový firewall Cisco namísto omezování uživatelů sám vyhledává hrozby
8.3.2016 Zabezpečení
Cisco přepracovalo své firewally Firepower NGFW tak, aby podle svých slov namísto zaměření na regulaci aplikací naopak omezovaly rizika. Přístup lze prý přirovnat k ochraně rodinného domu – zatímco dříve se chránilo zabezpečením oken a dveří, nově se odhalují potenciální zloději.
Firepower Next-Generation Firewall řady 4100 podle výrobce představuje jejich vůbec první plně integrovaný firewall zaměřený na hrozby. Spolu s ním začala firma nabízet i asistenční službu Security Segmentation Service, která má firmám pomoci zavádět mj. bezpečnostní opatření pro zlepšení souladu s předpisy.
Firepower NGFW například propojuje kontextuální informace o tom, jak uživatelé přistupují k aplikacím, s aktuálními informacemi o hrozbách a s vynucováním pravidel. To urychluje odhalování a potlačování hrozeb.
Produkt je prý také jedním z prvních zařízení se 40Gb ethernetovým připojením v kompaktním provedení pro jednu pozici v racku. Firewall dokáže také na základě přehledu o zranitelnostech, informačních aktivech a hrozbách automatizovat a vylaďovat nastavení bezpečnostních opatření pro rychlé posílení obrany.
Novinka spojuje technologii firewallů a služby pro odhalování hrozeb do jediného řešení. Je založená i na řešeních třetích stran, kdy se umožňuje sdílení bezpečnostních a kontextových informací mezi různými systémy – třeba Radware for Distributed Denial of Service (DDoS).
Podniky tak podle výrobce mohou efektivně propojovat dříve nesourodé informace a díky nim rychleji odhalovat a reagovat na pokročilé útoky bez ohledu na to, kde k nim dojde.
Nebezpečná chyba DROWN je na 11 miliónech webů. V Česku jsou jich tisíce
7.3.2016 Zranitelnosti
Chyba DROWN, kterou mohou počítačoví piráti zneužít k odposlouchávání šifrované komunikace, se týká 11 miliónů webových stránek po celém světě. Upozornil na to server News Factor. V České republice jsou serverů, jež mohou být takto zneužity, tisíce.
O nebezpečné chybě DROWN informovaly Novinky.cz již minulý týden. [celá zpráva]
Už tehdy se hovořilo o tom, že zranitelnost se týká třetiny internetu. Přesné vyčíslení potencionálně nebezpečných serverů však ještě nebylo k dispozici.
S ohledem na 11 miliónů serverů po celém světě, které obsahují chybu DROWN, se zranitelnost logicky dotýká také podstatné části webů v České republice.
„Podle informací, které jsme doposud obdrželi, se problém týká téměř 13 000 IP adres. Všechny provozovatele těchto adres jsme již o tomto problému informovali,“ uvedla pro Novinky.cz analytička Zuzana Duračinská z Národního bezpečnostního týmu CSIRT, který je provozován sdružením CZ.NIC.
Jakých konkrétních webů se chyba týká, však neuvedla. To je vcelku logické, protože jinak by počítačoví piráti získali přehled o tom, na jaké servery se mohou zaměřit.
Uživatelé se bránit nemohou
Duračinská zároveň připomněla, že samotní uživatelé se proti útoku nemohou bránit. „Na straně uživatelů bohužel není možné se jakkoliv bránit. Potřebná opatření musí udělat dotčení provozovatelé služeb,“ doplnila.
Jediné, co mohou uživatelé dělat, je servery obsahující chybu nepoužívat. Ověřit, zda server obsahuje chybu DROWN je možné například zde. Stačí do kolonky vepsat požadovanou adresu a kliknout na tlačítko „Check for DROWN vulnerability”. Systém během chvilky vyhodnotí, zda daný web trhlinu obsahuje, či nikoliv.
Zranitelné mohou být webové stránky, mailové servery a jiné služby.
bezpečnostní analytik týmu CSIRT Pavel Bašta
Chyba se totiž týká šifrované komunikace, konkrétně staršího protokolu SSLv2. Právě kvůli tomu mohou zranitelnost opravit pouze provozovatelé serverů, nikoliv samotní uživatelé. Při návštěvě zranitelných stránek tak uživatelé nemusejí ani vědět, že něco není v pořádku.
Pokud se přihlašují na server, který obsahuje chybu, může být komunikace odposlouchávána. Když tedy zadají na počítači například přihlašovací údaje k internetovému bankovnictví, kyberzločinci se k nim mohou dostat díky chybě DROWN v podstatě ještě dřív, než dorazí na samotný server.
„Zranitelné mohou být webové stránky, mailové servery a jiné služby, které protokol TLS využívají,“ uvedl již dříve bezpečností analytik týmu CSIRT Pavel Bašta.
Plugin pro WordPress se může změnit v hrozbu, stačí změna majitele
7.3.2016 Zdroj: Lupa Hrozby
Roky spolehlivé pluginy pro WordPress se mohou proměnit v zásadní problém. Stačí, když se v nich objeví backdoor, který umožní převzít váš web.
Custom Content Type Manager (CCTM) je poměrně populární plugin pro WordPress, který slouží pro vytváření vlastních typů příspěvků. Najdete jej nainstalovaný na více než desítce tisíc webů. Sucuri ale varuje, že se v CCTM objevil backdoor.
Přišli na něj tak, že řešili napadený web a objevili podezřelý soubor auto-update.php právě ve složce s CCTM. Ten stahuje obsah z hxxp://wordpresscore .com/plugins/cctm/update/ a uloží ho do složky s CCTM jako PHP, tedy spustitelný soubor.
Při bližším zkoumání se potvrdilo, že zadní vrátka jsou přímo součástí CCTM, že nejde o výsledek napadení odjinud. A zjistili také to, že se zadní vrátka v CCTM objevila teprve 16. února 2016 v souvislosti s novým vlastníkem pluginu.
Právě změna vlastníků, ať už tím, že někdo původní plugin koupí, či se k vlastnictví dostane jiným způsobem, bývá nejčastějším momentem, kdy se z neškodných a spolehlivých věcí stávají škodlivé. Samotné CCTM přitom před touto změnou nebylo aktualizované dobrých deset měsíců – to je také jeden z příznaků, že je třeba si dát pozor: dlouho neaktualizované věci, které náhle dostanou aktualizaci. Sucuri upozorňují, že stejný nový vlastník se objevil u Postie pluginu.
Výše zmíněné auto-update.php ale není jedinou nebezpečnou změnou. V index.php se objevil přídavek, který se postará o odeslání informace na výše uvedené wordpresscore .com pokaždé, když se někdo přihlásí do svého webu. Velmi pravděpodobně slouží k tomu, aby se útočník dozvěděl, kde všude je plugin instalovaný.
Ve When a WordPress Plugin Goes Bad je také velmi detailní popis toho, jakým způsobem bylo právě CCTM použito pro hack. Ten spočíval ve využití auto-update.php pro stažení skriptu, který se postaral o změnu (vytvoření) wp-options.php. Následovaly zásahy do dalších souborů s vytvořením nového účtu správce. Změna dalších souborů navíc přinesla to, že útočník získal kompletní přihlašovací údaje.
Což ale není všechno. Další poměrně zvláštní změnou bylo přidání aktivace jquery.js z domény donutjs.com. Ta vypadá, jako kdyby skutečně byla zdrojem pro klasické jQuery, ale má řadu velmi podezřelých příznaků. Při bližším zkoumání zjistíte, že ve skutečnosti o jQuery vůbec nejde, uvnitř najdete pouze další skript, který nahlašuje instalaci/použití CCTM.
Máte ve Wordpressu CCTM nebo Postie?
Pokud ano, pak máte značný problém a měli byste se zbavit nejenom CCTM, ale také znovu nahrát čisté soubory wp-login.php, user-edit.php a user-new.php. Poté změnit hesla všem uživatelům, zrušit uživatele support a odstranit soubor wp-options.php, který se vám objevil v kořenové složce.
Pokud se bez CCTM neobejdete, tak je potřeba jít na poslední verzi, která není postižena – tou je 0.9.8.6. A k tomu nezapomenout na to, že automatické aktualizace (pokud jste je povolili) vám ji opět přepíší na napadenou variantu.
Ransomware je už i na Macu, stačilo stáhnout Transmission
7.3.2016 Zdroj: Lupa Viry
První plně funkční ransomware pro Mac zní jako dost velká věc na to, aby internet propadal panice. A ono se to tak trochu děje.
Palo Alto Networks nabízejí kompletní analýzu ransomware pro OS X skrývajícího se v podobě infikovaného instalátoru pro Transmission bittorent klienta. „KeRanger“, jak Palo Alto Networks tento nový virus pojmenovali, je dost dobře možná druhý ransomware pro OS X v historii (prvním je teoreticky FileCoder objevený Kaspersky Lab v roce 2014).
K infikování instalátorů pro Transmission došlo 4. března a napadena byla verze 2.90. Není známo, jakým způsobem k tomu došlo. Možná je kompromitovaný web, ale žádné bližší informace k dispozici nejsou.
Napadené instalátory jsou plně podepsané vývojářským certifikátem (jiným než běžným) a instalující uživatel nemá ponětí o tom, že vedle Transmission se mu do systému dostal další program.
Ten počká tři dny a poté se spojí s ovládacím serverem s pomocí sítě Tor a zahájí šifrování některých dokumentů a datových souborů v systému. Po dokončení klasicky zobrazí žádost o výkupné (jeden bitcoin). Pokud se budete chtít spoléhat na Time Machine pro obnovení, tak špatná zpráva je, že KeRanger se pokouší zašifrovat i obsah tam uložený.
Na Transmission webu už napadené instalátory nejsou, použitý certifikát byl Applem zneplatněn a antivirová data v XProtect už k KeRangeru obsahují potřebné informace.
Ve výše odkázané kompletní analýze viru je na konci i postup, jak ověřit, zda nejste tímto virem také napadeni. Lze to poznat jak podle přítomnosti některých souborů a disku, tak podle procesů v systému běžících.
Aktualizace XProtect antiviru znamená, že napadané verze Transmission nepůjde spustit. Případně je dobré vědět, že Transmission 2.92 by měla případně také pomoci v odstranění.
Nejlepší Antivir: podle testů AV Comparatives jsou výsledky těsné
7.3.2016 Zdroj: Živě Zabezpečení
Nezávislá testovací organizace AV Comparatives každoročně publikuje zprávu se souhrnnými výsledky z celoročního průběžného testování antivirových programů. Metodika testovaní se skládá z několika kategorií, které jsou hodnoceny zvlášť, přičemž o celkovém výsledku rozhodne souhrn těch dílčích. Hodnotí se úspěšnost v odstraňování malwaru, hledání infikovaných souborů, výkonnost, ochrana v reálném nasazení a proactive test.
Z celkového počtu dvaceti jedna testovaných antivirů všechny obdržely doporučující hodnocení, přesto ale některé vynikají více. Nejlepší hodnocení (Product of the year) obdržel software od Kaspersky Lab (konkrétně Kaspersky Internet Security).
Seznam všech testovaných antivirů a jejich výsledky v jednotlivých kategoriích
K prostudování výsledků nás motivoval rozsáhlý „falešní poplach“, který způsobil software od ESETu minulý týden. Na falešná hlášení se totiž antivirové programy rovněž testují a poslední test specializující se na tuto problematiku provedli v AV Comparatives v září loňského roku. Jak si vedl ESET? Zvítězil ještě spolu s dalšími dvěma programy, protože v rámci testu nenahlásil žádnou chybnou detekci. Případ z minulého týdne byl zjevně ojedinělý.
Testované antiviry v roce 2015
V celkovém hodnocení za rok 2015 získal Kaspersky ve většině kategorií nejlepší hodnocení a obhájil tak své prvenství z předchozího roku. V těsném závěsu se ale nachází hned šestice antivirů, které si také vedly velmi dobře. Tyto antiviry získávají ocenění „Top rated products“. S tímto označením z testu vyšel Avast, AVIRA, Bitdefender, Emsisoft, eScan a ESET.
Výsledky v kategorii „Real-world protection“, zde se hodnotí úspěšnost detektece škodlivého softwaru v reálném nasazení, zohledňuje se také míra falešných poplachů
Na Macy zamířil první funkční ransomware, šířil se skrz bittorrentový klient
7.3.2016 Zdroj: Živě Viry
Ransomware je speciální typ malwaru, který má po infikaci za úkol zašifrování uživatelských dat. K jejich odemknutí je potom útočníky vyžadován poplatek, většinou v podobě bitcoinů. A zatímco v minulosti byl tento druh útoku doménou systému Windows, o víkendu se pravděpodobně poprvé rozšířil i do OS X. Zdrojem nákazy byl open-source nástroj Transmission, který slouží jako klient pro bittorrentovou síť. Šířil se přitom přes oficiální instalační balík.
Transmission pro OS X, který o víkendu šířil ransomware
I když není jasné, jak se škodlivý kus kódu nazvaný OSX.KeRanger.A dostal do instalátoru, dokázal díky podepsanému vývojářskému certifikátu obejít i ochranu Gatekeeper v OS X. Nic mu potom nezabránilo vytvořit potřebné soubory, zašifrovat uživatelská data a začít komunikovat se servery útočníků prostřednictvím sítě Tor. Tam také byli uživatelé nasměrování pro zaplacení poplatku jednoho bitcoinu, tedy asi čtyř set dolarů, což mělo vést k odemknutí souborů.
Apple zareagoval jak zneplatněním vývojářského certifikátu, takže jsou uživatelé při instalaci důrazně varování před možným rizikem, tak aktualizací antivirového systému XProtect. Na webu Transmission potom visí upozornění na nutný update na verzi 2.92, která přinesla opravu a případné odstranění malwaru z OS.
Studie: devět z deseti SSL VPN je beznadějně nebezpečných
7.3.2016 Hrozby
Používat VPN je v dnešních dnech jedna z důležitých součástí bezpečnější komunikace po internetu. Ale co když samy VPN služby nejsou bezpečné?
Devět z deseti SSL VPN je nebezpečných pro uživatele, používá zastaralé či nedostatečné formy šifrování a představuje hrozbu pro data, která skrz ně posíláte. To je výsledek testu 10 436 veřejně dostupných SSL VPN serverů (z celkového počtu asi 4 milionů náhodně vybraných adres) od těch největších výrobců jako je Cisco, Fortinet či Dell.
77 % z nich používá SSLv3 protokol, zhruba stovka dokonce SSLv2. Oba tyto protokoly jsou nejenom zastaralé, ale hlavně mohou být zneužité řadou zranitelností a útoků. Ani jeden není považován za bezpečný.
76 % používá nedůvěryhodné SSL certifikáty, což je vystavuje riziku MITM (Man in the middle) útoku. Což v praxi může znamenat, že s pomocí falešného serveru se hackeři mohou dostat ke všemu, co posíláte.
74 % má certifikáty s nebezpečným SHA-1 podpisem, 5 % dokonce používá ještě starší MD5 technologie.
41 % používá nebezpečné 1024 bitové klíče pro RSA certifikáty. Obecně se předpokládá, že cokoliv pod 2048 bitů délky není bezpečné.
10 % SSL VPN serverů je založeno na Open SSL a zároveň stále napadnutelné nyní již hodně starým Heartbleed útokem (zranitelnost objevená v dubnu 2014).
Pouze 3 % vyhovují PCI DSS požadavkům a žádné SSL VPN nevyhovují NIST pravidlům.
Podrobnější informace najdete v 90% of SSL VPNs use insecure or outdated encryption, putting your data at risk, tedy přímo u autorů studie (testu), společnosti High-Tech Bridge.
Nebezpečná chyba ohrožuje třetinu internetu. Uživatelé se bránit nemohou
6.3.2016 Zranitelnosti
Bezpečnostní experti odhalili novou nebezpečnou trhlinu zvanou DROWN, která může být zneužita k napadení šifrované komunikace na webu. Kyberzločinci tak mohou snadno odposlouchávat přístupové údaje včetně hesel, nebo například čísla kreditních karet i s ověřovacími prvky. Zranitelnost se týká třetiny internetu, uvedl Národní bezpečnostní tým CSIRT.CZ.
Hlavní problém je v tom, že uživatel se před chybou nemůže nijak bránit. Zatímco před nejrůznějšími viry a trojskými koni jej dokážou ochránit antivirové programy, na zranitelnost DROWN jsou bezpečnostní aplikace krátké.
Chyba se totiž týká šifrované komunikace, konkrétně staršího protokolu SSLv2. Právě kvůli tomu mohou zranitelnost opravit pouze provozovatelé serverů, nikoliv samotní uživatelé. Při návštěvě zranitelných stránek tak uživatelé nemusejí ani vědět, že je něco v nepořádku.
V ohrožení e-mailová komunikace i bankovnictví
„Zranitelné mohou být webové stránky, mailové servery a jiné služby, které protokol TLS využívají,“ konstatoval Pavel Bašta, bezpečnostní analytik CSIRT.CZ, který je provozován sdružením CZ.NIC.
Ten zároveň detailně popsal, jak může být chyba zneužita: „K využití DROWN zranitelnosti může dojít v případě, že služba umožňuje využívaní SSLv2 a TLS zároveň nebo je soukromý klíč využíván ještě na jiném serveru, který podporuje SSLv2. Výsledkem úspěšného zneužití zranitelnosti může být prolomení TLS komunikace mezi serverem a uživatelem.“
Co to znamená pro uživatele v praxi? I když se pohybují na zabezpečených stránkách, například v e-mailové schránce nebo v internetovém bankovnictví, neznamená to, že je jejich komunikace skutečně bezpečná.
Komunikace může být odposlouchávána
Pokud se přihlašují na server, který obsahuje chybu, může být komunikace odposlouchávána. Když tedy zadají na počítači například přihlašovací údaje k internetovému bankovnictví, kyberzločinci se k nim mohou dostat díky chybě DROWN v podstatě ještě dříve, než dorazí na samotný server.
Trhlinu přitom obsahuje nezanedbatelná část webů po celém světě. „Podle předběžných odhadů je zranitelných až 33 % stránek využívajících HTTPS protokol,“ doplnil Bašta.
Jakých konkrétních webů se zranitelnost DROWN týká, však neuvedl. Je nicméně více než pravděpodobné, že jen v České republice budou tisíce serverů obsahujících chybu.
Otázka je, jak rychle dokážou poskytovatelé jednotlivých služeb zareagovat a své systémy skutečně opravit. Bezpečnostní experti o tom vědí své, i přes závažnost Chyby krvácejícího srdce příslušnou záplatu nenainstalovala ani rok po objevení více než polovina firem po celém světě.
Kvůli Chybě krvácejícího srdce mohli útočníci disponovat například přihlašovacími uživatelskými údaji, a to včetně soukromých hesel k e-mailům, sociálním sítím, on-line bankovnictví nebo nejrůznějším internetovým obchodům. Vzhledem k tomu, že řada účtů je navázána na platební karty, byla hrozba nebezpečí o to závažnější.
Mezi postiženými byly i velké portály, jako jsou například Yahoo.com, Flickr.com či Mail.com. I proto se podle BBC jednalo o jednu z nejzávažnějších bezpečnostních trhlin v historii internetu. Chyba, která by v takovém rozsahu vystavila internet potenciálním útokům, se totiž zatím nikdy neobjevila.
Detekce důmyslných útoků pomocí analýzy chování
6.3.2016 Zabezpečení
Big data a strojové učení pomáhají téměř v reálném čase posoudit riziko aktivit uživatelů, zda ještě vyhovují normě či naopak už jsou tzv. za hranou.
Zaměstnanec denně používá během pracovní doby legitimní oprávnění pro přístup k podnikovým systémům z podnikového pracoviště. Systém zůstává v bezpečí. Najednou však dojde po půlnoci k použití stejných oprávnění pro přístup k databázovému serveru a spustí se dotazy, které uživatel nikdy předtím nezadával. Je systém stále v bezpečí?
Možná je. Správci databáze musejí koneckonců dělat údržbu a údržba se obvykle činí po pracovní době – některé operace údržby vyžadují vykonání nových dotazů. Ale možná také není. Mohlo dojít k vyzrazení přihlašovacích údajů uživatele a právě může probíhat pokus o ukradení dat.
Konvenční bezpečnostní kontroly na takovou situaci neposkytnou jednoznačnou odpověď. Statická obrana perimetru již nestačí pro svět, ve kterém se krádeže dat stále častěji vykonávají prostřednictvím ukradených přihlašovacích údajů uživatelů.
Tyto případy však nelze srovnávat se zločinnými zaměstnanci, kteří zneužijí své přihlašovací údaje. Také současná prostředí BYOD mohou zcela zničit statický perimetr, jak dochází k neustálému přidávání nových pravidel pro externí přístup.
Jedním z inovativních přístupů se označuje jako analýza chování uživatelů (UBA, User Behavior Analytics). Dokáže tuto hádanku řešit pomocí analýz big dat a algoritmů strojového učení, které téměř v reálném čase posuzují riziko aktivit uživatelů.
Co umí UBA?
UBA využívá modelování k popisu normálního chování. Toto modelování zahrnuje informace o uživatelských rolích a funkcích z aplikací personálního oddělení a z adresářů včetně přístupu, účtů a oprávnění, aktivity a geografické lokalizační údaje shromážděné ze síťové infrastruktury, upozornění od obranných bezpečnostních řešení atd.
U těchto dat se vyhodnocují souvislosti a analyzují se na základě předchozích a současných aktivit. Tyto analýzy zohledňují mimo jiné také typy transakcí, využívané zdroje, trvání relací, konektivitu a obvyklé chování jedinců ze stejné skupiny.
UBA zjišťuje, co je ještě normální chování a co už jsou nezvyklé aktivity. Jestliže původně anomální chování jedné osoby (například půlnoční databázové dotazy) následně začnou vykonávat i další jedinci z téže skupiny, přestane se to považovat za střední či vysoké riziko.
Dále UBA vykonává modelování rizik. Anomální chování se automaticky nepovažuje za riziko. Musí se nejprve vyhodnotit z perspektivy potenciálního dopadu.
Pokud anomální činnost zahrnuje zdroje, které nejsou citlivé, jako jsou například informace o využití konferenční místnosti, je potenciální dopad nízký. Naopak pokusy o přístup k citlivým souborům, jako je například duševní vlastnictví organizace, však dostávají mnohem vyšší hodnocení.
Následně se riziko pro systém, tvořené určitou transakcí, definuje pomocí vzorce Riziko = Pravděpodobnost x Dopad.
Pravděpodobnost ve vzorci souvisí s pravděpodobností, že je dotyčné chování uživatele anomální. Zjišťuje se s využitím algoritmů pro modelování chování. Dopad se odvodí z úrovně důvěrnosti a důležitosti informace, se kterou se pracuje, a z kontroly, jež se používá pro práci s těmito údaji.
Transakce a jejich vypočítaná rizika se poté mohou spojit s konkrétním uživatelem, který tyto transakce vykonává, a výsledně se určí úroveň rizika.
Výpočet uživatelského rizika obvykle zahrnuje další faktory, jako jsou stupeň důvěrnosti aktiv, oprávnění, potenciální zranitelnosti, zásady atd. Jakékoli zvýšení těchto faktorů zvýší skóre rizika tohoto uživatele.
Všechny faktory v těchto výpočtech mohou ale mít své vlastní váhové hodnoty pro automatické vyladění celkového modelu.
Nakonec UBA sbírá, koreluje a analyzuje stovky atributů včetně situačních informací a informací o hrozbách od třetích stran. Výsledkem je bohatá množina dat s velikostí v řádu petabajtů, která zohledňuje kontext.
Podpora strojového učení
Algoritmy strojového učení UBA mohou nejen odfiltrovat a eliminovat falešné poplachy a vytvořit inteligenci pro riziko, kterou lze využít pro rozhodování, ale mohou také na základě shromažďovaných informací revidovat normy, předpovědi a celkové procesy hodnocení rizik...
OpenSSH 7.2: SHA-2 a chytřejší ssh-agent
5.3.2016 Zabezpečení
Po několika rychle vydaných verzích OpenSSH, opravujících několik závažných bezpečnostních chyb, přichází opět verze s novými funkcemi.
Facebook Twitter Google+ Líbí se vám článek?
Podpořte redakci
8 NÁZORŮ
Bezpečnost (nejen posledních verzí)
Poslední verze, která přišla s novými funkcemi a prošla řádným testováním, byla verze 6.9. Následující verze 7.0p1 přinesla několik nových funkcí, ale hlavně opravovala čtyři závažné bezpečnostní chyby, primárně související s integrací PAM (CVE-2015–6563, CVE-2015–6564), špatným nastavením přístupu k TTY na serveru (CVE-2015–6565) a možností překročit povolený počet pokusů o zadání hesla při využití ChallengeResponseAuthentication (CVE-2015–5600).
Následující verze 7.1p1 vyšla deset dní po verzi 7.0 a opravovala logickou chybu ve vyhodnocování nastavení PermitRootLogin without-password, která mohla nastat v závislosti na nastavení v čase kompilace.
Roaming
Další verze, 7.1p2, přišla v polovině ledna a zakazovala funkci Roaming, která byla ve výchozím nastavení povolená a zneužitelná ze strany modifikovaného serveru (CVE-2016–0777, CVE-2016–0778, CVE-2016–1907). V posledních verzích již existovaly různé obranné mechanismy zabraňující úspěšnému zneužití, ale tato funkce existovala od verze 5.4, tedy více než 6 let a při určitých okolnostech mohla vést k odeslání části paměti s privátním klíčem zákeřnému serveru.
Aktuální verze tedy odebírá celý kód související s funkcí Roaming, který nikdy nebyl pořádně zdokumentovaný, otestovaný a mohl by být zdrojem dalších problémů. Výchozí konfigurace nově nastavuje sandbox před-autentizačního procesu (na Linuxu je dnes většinou použitý seccomp, na OpenBSD pledge) minimalizující jeho privilegia.
X11 a staré algoritmy
Nová verze opravuje další problém spojený s tunelováním X11 protokolu na dnešních systémech bez rozšíření XSECURITY, kdy výchozím chováním bylo tiché ignorování selhání požadavku na Untrusted spojení a použití neomezeného.
Aktuální verze posouvá minimální velikost akceptovaných prvočísel pro výměnu klíčů pomocí DH na 2048 bitů, která je zatím za hranicí potenciálního prolomení (Logjam).
Dále je ve výchozím nastavení klienta zakázána většina historických algoritmů ( blowfish-cbc, cast128-cbc, arcfour-*, ...) na straně klienta. Ty byly již dříve odebrány z výchozí serverové konfigurace. Stejně tak jsou nově zakázány HMAC algoritmy používající ořezané/zkrácené MD5.
Nové funkce
SHA-2
První novinkou, které se můžeme dočkat, je možnost použití SHA-2 256 a SHA-2 512 při autentizace privátním RSA nebo DSA klíčem. V původním protokolu SSH2 (rfc4253) je pevně určen hashovací algoritmus SHA-1, který již není doporučovaný. Proto došlo k rozšíření protokolu (zatím k dispozici jako návrhy, pod hlavičkou Bitvise – komerční SSH server a klient pro Windows) o tyto nové algoritmy pro podpis, o standardní možnost tyto algoritmy oznamovat druhé straně a následně používat. Pro uživatele se v tomto směru nic nemění, ale jedná se o další krok k větší flexibilitě, robustnosti a vyšší bezpečnosti samotného protokolu.
Inteligentní ssh-agent
Další užitečnou funkcí je změna procesu, jakým je možné používat ssh-agent. Dosud bylo potřeba před použitím klíče z ssh, ručně přidat klíče do agenta a klíč „odemknout“. Nyní je možnost přidávat klíče „za běhu“, v tu chvíli kdy klíč poprvé použijeme. To umožňuje omezit počet odemčených klíčů při startu systému na minimum a s vhodným nastavením životnosti klíčů v agentovi (přepínač -t), je můžeme také automaticky „zamykat“. Tato funkce je ve výchozím nastavení vypnutá, ale věřím, že si brzo najde své uživatele, až většina distribucí aktualizuje.
Příklad chování:
[me@f24 ~]$ ssh-copy-id -f -i ./rsa.pub test@f24
test@f24's password:
[me@f24 ~]$ ssh-add -l
The agent has no identities.
[me@f24 ~]$ ssh -i ./rsa -oAddKeysToAgent=yes test@f24
Enter passphrase for key './rsa':
[test@f24 ~]$ logout
Connection to localhost closed.
[me@f24 ~]$ ssh -i ./rsa -oAddKeysToAgent=yes test@f24
[test@f24 ~]$
Kromě striktních možností, které zakazují nebo povolují tuto funkci, existuje také možnost „ask“, která se před přidáním klíče zeptá pomocí dialogu ssh-askpass.
Omezení klíčů na serveru
K dalšímu zjednodušení došlo na straně serveru v možnosti přidávat omezení jednotlivým klíčům. Tato funkce je většinou použita pro skripty provádějící vzdáleně jeden určitý úkol. Dosud bylo potřeba přidávat dlouhý seznam privilegií ( no-pty,no-port-forwarding,no-agent-forwarding,no-X11-forwarding,...), kterými chceme připojujícího se uživatele omezit. Nyní je možné použít klíčové slovo restrict, které nahrazuje všechna zákazová klíčová slova, včetně těch v budoucnosti přidaných, a pokud chceme některou akci povolit, je to možné pomocí explicitního whitelistu ( restrict,pty,port-forwarding,...).
Další rozšíření dostaly také nástroje ssh-keygen a ssh-keyscan, hlavně v souvislostí se zpracováním certifikátů a otisků klíčů.
Opravy chyb
Proběhla aktualizace nástroje ssh-copy-id, který obsahoval v posledních verzích několik problémů. Možnost obměny klíčů sezení (rekey) se dočkala revize pro velké množství přenesených dat, které bylo problémové.
SFTP server vyžaduje rozšířený glob(), jehož struktury nejsou binárně kompatibilní s verzí poskytovanou Linuxem. Tato funkce a její struktury byly přejmenovány jako příprava pro podporu klíčového slovaInclude v rámci konfiguračních souborů.
Více informací naleznete v oficiálním oznámení. Pokud si chcete nové funkce OpenSSH vyzkoušet, balíčky pro aktuální Fedoru jsou již k dispozici.
Historie hackingu: Vývoj virů v dokumentech
5.3.2016 Hacking
Dlouhé roky to byla nezpochybnitelná pravda informační bezpečnosti: dokumenty nemohou obsahovat viry, zavirovat lze pouze spustitelné soubory (maximálně boot sektory disket a disků). Historie nám ovšem už mnohokrát ukázala, že věčné pravdy jen málokdy platí věčně, a v počítačové bezpečnosti zvláště.
Dlouhé roky se viry dokumentům vyhýbaly. Prostě proto, že je nešlo kam vložit: ať se autor snažil sebevíc, nikdy spustitelný kód nedostal příležitost.
Dnes s odstupem času a o desítky let zkušeností (inu, po bitvě je každý generál) můžeme říci, že jsme měli spíše štěstí: nějaká bezpečnostní chyba umožňující spuštění kódu „propašovaného“ do dokumentu by se tehdy už bezesporu našla, zvláště v době, kdy byla bezpečnost přehlíženou Popelkou. Leč nikdo se o nic podobného nepokoušel.
Pokud si odmyslíme možnost bezpečnostní chyby, pak lze konstatovat, že dokumenty škodlivé kódy obsahovat nemohou. Dokument je totiž soubor, který skutečný program (grafický či textový editor apod.) pouze zobrazí, ale nevykoná jej. Jinými slovy – kniha s návodem na výbušninu vám z principu věci v ruce také neexploduje.
MS Office mění hru
Jenže co je jednoduché v reálném světě, bývá v kyberprostoru zpravidla jinak. Stačí se podívat do osudového roku 1995, kdy na svět přišly Windows 95. A s nimi i kancelářský balík Office s netušenými možnostmi a vlastnostmi.
Jednou z nich byla i schopnost vkládat do dokumentů makra. Záměrem tvůrců bylo zjednodušit uživatelům dělání nudných, složitých nebo opakujících se operací: ty bylo možné nahradit vložením skriptu, který za ně vše vykonal.
Tvůrci konceptu ovšem dali makrům do vínku velmi silný jazyk: Visual Basic, což znamenalo, že makra mohla téměř cokoliv včetně formátování disku nebo rozesílání e-mailů.
První demonstrační makrovirus tohoto typu přišel v prosinci 1994 a měl název DMV (Document Macro Virus). Přesněji šlo o dva různé makroviry: jeden pro Word, druhý pro Excel. Šlo jen o ukázkové kódy, které měly sloužit coby varování.
V srpnu 1995 (ve stejném měsíci, kdy se začaly prodávat Windows 95) pak přišel skutečný makrovirus. Jmenoval se Concept a nad jeho původem se dodnes vznáší celá řada otazníků.
Jeho autor měl totiž výtečnou znalost prostředí maker: takovou, jakou nelze dosáhnout ani velmi důkladným studiem. Dodnes se spekuluje (ověřit to pochopitelně nelze), že Concept vytvořil některý ze zaměstnanců Microsoftu, který se na vývoji koncepce přímo podílel.
Concept se každopádně stal jedním z historicky nejrozšířenějších virů. Důvod je jednoduchý: na příchod makrovirů nebyli připraveni uživatelé ani antivirová ochrana. Ti prvně jmenovaní roky poslouchali, že dokumenty prostě nemohou obsahovat viry. Ti druzí pak na tomto předpokladu postavili své algoritmy.
Vše ale bylo třeba změnit a nebylo to vůbec jednoduché. Antivirové firmy například opakovaně (a také marně) žádaly Microsoft o zveřejnění některých funkcí či parametrů, které by jim umožnily efektivně makroviry potírat. Asi nikoho tak nepřekvapí, že podíl makrovirů na celkovém počtu škodlivých kódů skočil během jediného roku z nuly na devadesát procent.
České kotliny se tenkrát tento problém příliš netýkal, protože při překládání kancelářského balíku do češtiny si někdo dal práci a přeložil nejen hlášky, ale i vnitřní strukturu.
Makroviry psané pro anglické prostředí tak v Česku neměly šanci. Když například hledaly instrukci „Open“, nepochodily. Protože v tuzemské struktuře byl příkaz „Otevřít“.
Lotus 123 a JPG
Ale abychom nenasazovali psí hlavu jen systému Windows: makra v dokumentech existovala již dříve. Demonstrativně bylo prokázané, že pro prostředí Lotus 123 bylo možné vytvářet sebereplikační makra. Teoreticky dokonce již od roku 1989, kdy byla tato funkce do prostředí implementována.
Prakticky se ale viry v Lotusu 123 nikdy nestaly problémem. A to díky tomu, že tam implementovaný jazyk byl velmi slabý. A také třeba i proto, že aktivace makra nebyla vůbec jednoduchá a zvládl ji jen zkušený uživatel. Hypotetický makrovirus by tak vyžadoval opravdu významnou pomoc.
Pandořina skříňka se každopádně otevřela. Programátoři objevili sílu maker, takže je začali přidávat do všech možných i nemožných aplikací. Světem se tak začaly šířit makroviry pro Corel (GaLaDRieL) nebo AutoCad (ACAD.Star).
Skutečně značné nebezpečí ale představoval až škodlivý kód Perrun, jenž se objevil v roce 2002 a který byl schopný infikovat formát obrázků JPG.
Řešil to sice jistou obezličkou (do formátu JPG přidával spustitelný kód a pomocí zvláštního EXE souboru s odkazem v registrech se na něm odkazoval), ale zbořil další dogma.
Pak se objevilo ještě několik škodlivých kódů, které byly schopné JPG infikovat (například modifikací metadat), ale naštěstí se příliš neprosadily.
Důvod byl prozaický: ve stejné době vrcholila „zlatá éra e-mailových červů“. Tyto kódy byly mnohem rychlejší, cílenější a pro útočníky pohodlnější, takže tvorba nějakých virů v dokumentech hackery příliš nezajímala.
Což je možná dobře, protože kdyby se škodlivé kódy v obrázcích významně rozšířily, kybernetický svět by zřejmě dnes vypadal krapet jinak.
Návrat krále?
Po určitém útlumu každopádně viry v dokumentech zažily svůj návrat. Nejprve se jim podařilo dobýt PDF formát (před deseti lety byla významná část dokumentů v tomto formátu na webu nějakým způsobem infikovaná, důvodem byla absence záplatovacího mechanismu na straně výrobce programu).
A dnes se hojně využívají k cílovým útokům třeba v případě průmyslové špionáže.
Komplexní bezpečnostní služby včetně školení v češtině nabízí Kaspersky
4.3.2016 Zabezpečení
Služby Security Intelligence Services, které slouží především pro bezpečnostní operační střediska, korporace a poskytovatele služeb, spustil Kaspersky Lab. V jeho rámci Security Intelligence Services mají uživatelé k dispozici data o hrozbách, reporting zpravodajských informací, online a onsite školení a program zvýšení povědomí o bezpečnosti nebo specializované služby jako penetrační testování a posouzení zabezpečení aplikací.
Služby se skládají ze tří hlavních součástí – analýzy bezpečnosti, školení a zpravodajství o hrozbách. Ty jsou navrženy tak, aby splňovaly požadavky korporací, vládních agentur, poskytovatelů internetového připojení, telekomunikačních společností a poskytovatelů bezpečnostních služeb.
Novinka v podobě analýzy bezpečnosti zahrnuje penetrační testování a posouzení zabezpečení aplikací. Tyto služby umožní klientům předvídat specifika kybernetického útoku ještě před tím, než se odehraje. Podporou těchto služeb se zabývá specializovaný tým analytiků Kaspersky Lab, který může otestovat zabezpečení podniku proti široké škále napadení.
Školení kybernetické bezpečnosti uplatňuje techniky herních designů (gamifikace) a je založené na nejnovějších zpravodajských informačních službách v oblasti sociálního inženýrství a cílených útoků, čímž prý ztělesňuje princip prožitkového učení. Tento program určený zaměstnancům je možné vést i v češtině. A konečně zpravodajství nabízí přístup k datům Kaspersky Lab skrze datové kanály pro informace o hrozbách a sledování botnetů. Datové kanály pro informace o hrozbách obsahují nejaktuálnější data o škodlivých programech a URL adresách, phishingových útocích a mobilních hrozbách.
Navíc jsou kompatibilní s oblíbenými SIEM (Security Information and Event Management) řešeními třetích stran. Informace jsou dostupné také ve formě reportingu o hrozbách, který je připravován na míru na základě specifických aspektů prostředí hrozeb a zpráv o nejnovějších a nejsofistikovanějších hrozbách.
Hacknout Pentagon a dostat zaplaceno? Vojáci spouští bug bounty program
3.3.2016 Hacking
Nápady ze Silicon Valley má v rámci amerického ministerstva obrany prosazovat Eric Schmidt.
Ačkoliv plno technologií vzniká napřed pro armádu a pak se teprve dostane do běžného prodeje, v digitálním světě je situace přinejmenším vyrovnaná. Americká armáda chce posílit především v bezpečnosti. Kyberprostor je už prostě dalším bojištěm.
Eric Schmidt se stal hlavou nové pracovní skupiny s názvem Defense Innovation Advisory Board. Ta by měla pomoci Pentagonu vstřebat a nasát nápady ze Silicon Valley. Americká vláda tak zkouší to, o co se poslední dobou snaží i korporace.
Tento týden rozjely úřady vlastní bug bounty program s názvem Hack the Pentagon. V jeho rámci bude platit hackerům za objevení bezpečnostních děr v systémech ministerstva obrany. Kromě toho se často snaží naverbovat hackery, kteří by posílili jednotky pro boj v kyberprostoru.
TIP: Facebook loni hledačům chyb vyplatil skoro milion dolarů
Tím to jen začíná. Schmidtův jedenáctičlenný tým by měl podle informací CNN hledat problémy, se kterými se Pentagon potýká při používání technologií a přinášet rychlá řešení. Zároveň ale nebude mít přístup k vojenským datům.
Schmidt má s vládou dlouholeté zkušenosti. A ne zrovna pozitivní. V zásadě mu vadí, jak moc chtějí úřady strkat nos do databází firem ze Silicon Valley. Je dlouhodobým odpůrcem státního sběru dat a naposledy se připojil k Applu v kauze zablokovaného mobilu střelce ze San Bernardina.
Apple vydal záplatu záplaty. Po aktualizaci lidem přestal fungovat internet
3.3.2016 Zranitelnosti
Bezpečnostní experti uživatelům neustále radí, jak je důležité mít aktualizovaný operační systém, aby se do něj přes nalezené trhliny nedostali žádní nezvaní návštěvníci. Jenže všechny aktualizace se ne vždy povedou, jak se na vlastní kůži v minulých dnech přesvědčili uživatelé počítačů od Applu. Bezpečnostní záplata jim totiž zablokovala internetové připojení.
Problém se týkal uživatelů, kteří používají operační systém OS X El Capitan. Sluší se zmínit, že právě na této verzi funguje drtivá většina notebooků a stolních počítačů od amerického počítačového gigantu. Ten totiž vždy nejnovější verzi systémů nabízí uživatelům jako bezplatnou aktualizaci.
Na minulý týden byla pro El Capitana vydána bezpečnostní záplata, která opravovala chybu týkající se samotného jádra systému. Tu mohli kybernetičtí zločinci zneužít k propašování prakticky libovolného viru na napadený počítač, nebo jej na dálku klidně i ovládnout.
Oprava vyšla během pár dní
S instalací aktualizace tak většina uživatelů z pochopitelných důvodů neotálela. Problém však nastal po instalaci, přestalo totiž fungovat připojení k internetu prostřednictvím ethernetové zástrčky (klasického síťového rozhraní), upozornil server Security Week.
Programátoři amerického počítačového gigantu proto neváhali a během pár dní vydali záplatu záplaty. „Společnost Apple o víkendu vydala opravu bezpečnostní záplaty pro systém OS X El Capitan,“ uvedl bezpečnostní analytik Pavel Bašta z týmu Národního bezpečnostního týmu CSIRT.
Podle něj po instalaci nejnovější aktualizace začne internetové připojení opět fungovat.
Eset expanduje v západní Evropě, otevírá pobočku ve Velké Británii
3.3.2016 Zabezpečení
Během pěti let chce Eset zdvojnásobit lokální tým a výhledově se dostat mezi tři největší prodejce bezpečnostních řešení pro IT ve Velké Británii.
Otevření vlastní obchodní a distribuční pobočky ve Velké Británii navazuje na dlouholetou spolupráci s partnerskou společností DESlock. Společnost Eset provedla akvizici tohoto dodavatele šifrovacích řešení v roce 2015 a rozšířila tak své technologické portfolio.
„Věříme, že spojení lokálního týmu Eset UK s našimi globálními schopnostmi, know-how a zkušenostmi vytvoří dokonalou kombinaci, díky které posílíme naši pozici na britském trhu,“ říká Richard Marko, generální ředitel společnosti Eset. Dodavatel bezpečnostních řešení působí ve Velké Británii prostřednictvím partnerské společnosti DESlock přes deset let.
Pobočku Eset UK se sídlem v Bournemouthu na jihu Anglie povede obchodní a marketingový ředitel společnosti Eset pro region EMEA Miroslav Mikuš. Všichni zaměstnanci bývalého exkluzivního partnera se stávají zaměstnanci společnosti Eset. Ta očekává, že během následujících pěti let by se měl její tým ve Velké Británii přinejmenším zdvojnásobit.
„S týmem ve Velké Británii jsme zejména v posledních letech velmi úzce spolupracovali a velice nás těší, že můžeme tuto spolupráci posunout ještě dále, aby se značka bezpečnostních řešení od společnosti Eset stala atraktivnější jak pro domácnosti, tak pro firmy a běžné uživatele. Výhledově bychom se chtěli dostat mezi tři největší prodejce bezpečnostních řešení pro IT ve Velké Británii,“ říká Mikuš.
„Během prvního roku existence nové pobočky se zaměříme na rozšíření týmu, co nejkvalitnější technologickou podporu a komunikaci s prodejci, abychom v dlouhodobém horizontu optimalizovali naši partnerskou síť ve Velké Británii,” dodává Mikuš.
Vznik samostatné pobočky ve Velké Británii je součástí dlouhodobé strategie společnosti. Jejím cílem je posilovat pozici na tomto nejdůležitějším trhu s bezpečnostními řešeními pro IT v rámci regionu EMEA, aby si v prodejích i nadále udržela dvouciferný meziroční růst.
V Evropské unii provozuje Eset již osm poboček a výzkumných a vývojových center. Otevření britské pobočky následuje po zřízení zastoupení společnosti Eset v Německu, ke kterému došlo v roce 2013.
Apple opravuje chyby v Apple TV. Útočníci přes ni mohli tahat data
2.3.2016 Zranitelnosti
Zhruba 60 chyb opravila společnost Apple ve své chytré krabičce pro „hloupé televize“ Apple TV. Chyby se nahromadily i proto, že firma přistoupila k updatu systému poprvé od loňského dubna. Nová verze systému třetí generace má označení 7.2.1. Firma vydala i dvě záplaty pro čtvrtou generaci Apple TV, která běží na systému tvOS.
Jak píše server Security Week, některé chyby jsou tak závažné, že je mohli útočníci zneužít k spuštění závadného kódu nebo ukradení informací. Stejné chyby, jaké mají aplikace v Apple TV, přitom již firma řešila u stejných aplikací v jiných operačních systémech.
Útok DROWN využívá staré chyby v SSLv2
2.3.2016 Počítačový útok
Informace o útoku nazvaném DROWN (Decrypting RSA with Obsolete and Weakened eNcryption) zveřejnil mezinárodní výzkumný tým 1. března. Využívá 17 let staré chyby v dnes již překonaném, ale stále používaném protokolu SSLv2.
„Jde o vážnou zranitelnost, která se dotýká protokolu HTTPS a dalších služeb závisejících na SSL a TLS, tedy klíčových šifrovacích protokolů nezbytných pro zabezpečení na internetu,“ uvádí autoři studie (dostupná v PDF). „Zranitelné mohou být webové stránky, mailové servery a jiné služby, které protokol TLS využívají,“ dodává český Národní bezpečnostní tým.
Zranitelné jsou ty servery, které:
povolují zastaralý protokol SSLv2
využívají klíč, který je zároveň využit serverem povolujícím SSLv2
Princip útoku DROWN
Princip útoku DROWN: Útočník napadne server požadavky SSLv2 a získá tak údaje, které využije k dekódování dat oběti přenášených přes TLS.Ohrožené jsou servery, které využívají TLS i SSLv2 protokoly, nebo servery, které používají SSLv2 protokol a sdílí klíč s jiným TLS serverem. Celkem je tak zranitelných 33 % webových serverů.
Zobrazit galerii
Podle odhadu autorů je zasažena čtvrtina až třetina všech internetových serverů. „Tento problém je srovnatelný s chybou Heartbleed (více o Heartbleed zde). I v tomto případě může dojít k dešifrování komunikace,“ uvedla pro Technet.cz Zuzana Duračinská, bezpečnostní analytička sdružení CZ.NIC.
Po celém světě jsou zranitelné miliony serverů. V České republice jsou to tisíce. „Podle informací, které jsme včera obdrželi, se problém týká téměř třinácti tisíc IP adres,“ řekla Duračinská. „Všechny provozovatele těchto adres jsme již o tomto problému informovali.“
Řešení: okamžité i dlouhodobé
Každý provozovatel webových serverů si může ověřit, zda je jeho server napadnutelný útokem DROWN. Nejjednodušší ochranou je zakázat protokol SSLv2 na všech serverech. Některé webové servery (např. Microsoft IIS od verze 7.0) a knihovny (např. OpenSSL od verze 1.0.2g) jsou takto již nastavené, u jiných je potřeba toto nastavení upravit.
Uživatelé nemohou pro svou ochranu v tuto chvíli udělat nic, na straně klienta není proti útoku DROWN obrany. Maximálně se mohou vyhýbat serverům, které nejsou zabezpečené. To nám potvrdila i Duračinská: „Na straně uživatelů bohužel není možné se jakkoliv bránit. Potřebná opatření musí udělat dotčení provozovatelé služeb.“
Dlouhodobé řešení vidí autoři studie v pečlivém zavírání bezpečnostních chyb, odstřihávání zastaralých protokolů a knihoven a omezení opakovaného využívání bezpečnostních klíčů. V současné době ale podle nich „finanční politika certifikačních autorit povzbuzuje firmy k tomu, aby si nakoupily nejmenší možný počet bezpečnostních certifikátů.“
Hacking Team, který dodává sledovací nástroje vládám je zpět. Experti objevili nový malware pro OS X
2.3.2016 Zdroj: Živě Viry
Hacking Team je italskou společností, která mimo jiné provozuje malware-as-service. V rámci služeb tedy nabízí třeba sledování pro soukromé subjekty, ale i státní orgány. Minulý rok jsme o něm psali v souvislosti s únikem dat, který odhalil, že si služby Hacking Teamu platí i česká policie. Od té doby se zdála být činnost společnosti utlumená. Nyní však experti objevili nový vzorek malwaru pro OS X, za nímž s největší pravděpodobností rovněž stojí nechvalně proslulí Italové.
Škodlivý kód byl nalezen prostřednictvím služby VirusTotal patřící Googlu, která se stará o online kontrolu souborů. Obsahuje celkem 56 antivirových služeb, které nahraný soubor překontrolují. V době psaní článku vyhodnotilo tento soubor jako malware 19 služeb a například McAfee nebo Security Essentials od Microsoftu jej považují za bezpečný.
V infikovaném OS X se nachází složka ~/Library/Preferences/8pHbqThW/ a v ní soubor Bs-V7qIU.cYL (zdroj: Patrick Wardle)
O analýzu se postaral expert na reverzní inženýrství Pedro Vilaça. Ten našel v kódu jasné stopy vedoucí k předchozím vzorkům Hacking Teamu. Především potom ve způsobech, které jsou využité pro skrytí malwaru v systému. Samozřejmě existuje šance, že jiná skupina nebo hacker využil uniklých kódů Hacking Teamu a postavil na nich vlastní malware. Pravděpodobnost je však velmi nízká, neboť i IP adresy vedoucí z aktuálního vzorku souvisí s italskou společností.
Šifrování nechápou ani brazilské úřady. Ve vězení skončil viceprezident Facebooku/WhatsApp
2.3.2016 Zabezpečení
Zatímco se ve Spojených státech řeší kauza FBI vs. Apple, v níž odmítá technologický gigant zpřístupnit zašifrovaný obsah telefonu, v Brazílii posunuly úřady podobný spor ještě dál. Doplatil na to viceprezident Facebooku pro Latinskou Ameriku, který má na starosti komunikátor WhatsApp. V úterý jej podle Fortune zatkla policie a skončil ve vazbě.
Důvodem je podobný postoj jako v případě Applu. Provozovatelé aplikace WhatsApp, jež komunikaci šifruje, odmítli zpřístupnit policii komunikaci několika podezřelých. Vydat ji samozřejmě nemohli – na serverech služby je zašifrována. To však brazilským úřadům nezabránilo v tom, aby tento postup označili za maření vyšetřování.
Prvním zásahem bylo odstavení služby na 48 hodin loni v prosinci. Nyní to odnesl vysoký manažer, který byl zadržen při cestě do kanceláře. V prohlášení brazilské policie je uvedeno jako důvod opakované nedodržování nařízení soudu. Ten vyšetřoval několik případů obchodu s drogami.
Hackeři ISIS se netrefili, místo Googlu sestřelili web nabízející SEO
2.3.2016 Hacking
Hackerská skupina Cyber Caliphate Army (CCA) navázaná na teroristickou organizaci ISIS se nechala slyšet, že se hodlá zaútočit na samotný Google. Prostřednictvím sítě Telegram ohlásila útok na pondělí, jenže nejnavštěvovanější web zůstal pochopitelně nedotčený. Místo něj to však odnesl web Add Google Online, který se specializuje na optimalizaci stránek pro vyhledávače (SEO). Informoval o tom Newsweek.
Útok na Google odnesl web indické společnosti Add Google Online
Na napadeném webu se objevilo logo skupiny obsahující vlajku ISIS s všeříkajícím nápisem HackedBy:CCA. Ačkoliv nemá společnost registrovaná v Indii s Googlem nic společného, přesto si ji útočníci vybrali. Podobně v minulosti útočili na web společnosti zabývající se solární energií, stránky japonské tanečnice nebo firmy prodávající laminátové podlahy. Podle odborníků tím organizace napojená na ISIS chce především demonstrovat rostoucí sílu, která by mohla být v budoucnu použita k útoku na důležitější cíle.
Z napadeného webu Add Google Online se mezi tím stalo pískoviště pro další hackerské skupiny. Aktuálně ji má pod kontrolou n3far1ous a po otevření webu najdete dialogové okno s nápise Eat this ISIS.
Hacknutý web Linux Mint šířil napadenou verzi systému
2.3.2016 Hacking
Stovky lidí si stáhly Linux Mint doplněný o škodlivý kód, zadní vrátka. Útočník je chtěl využít pro vybudování botnetu.
Linux Mint měl před týdnem hacknutý web a lidé, kteří si odtamtud stáhli tuto (třetí nejpopulárnější) distribuci Linuxu, si ve skutečnosti stáhli upravený Mint obsahující backdoor. Pokud vám to připadá nemožné, tak bohužel. Stačí se podívat na Beware of hacked ISOs if you downloaded Linux Mint on February 20th!
Podstatné je, že k napadení došlo, ale velmi rychle se na něj přišlo. Hacker ovlivnil pouze Linux Mint 17.3 Cinnamon ISO a pouze 20. února 2016 (berte v úvahu US časovou zónu).
Napadenou verzi bylo možné stáhnout pouze jako ISO „odkazem z webu“, pokud jste tedy ke stahování používali torrent nebo stahovali přímo z Linuxmint.com (ne přes odkaz na něm), napadenou verzi nemáte. Ověřit si, co jste si případně stáhli, je možné pomocí MD5 kontrolního součtu (najdete je ve výše uvedeném oznámení). Případně podle přítomnosti /var/lib/man.cy v systému.
Podle hackera, který používá jméno „Peace“, si upravený Mint stáhlo několik set lidí, což je poměrně dost, celodenní počet stažení v ten den měl být něco přes tisícovku. Mimo téhle patálie hacker uvádí, že se mu podařilo dvakrát získat i kompletní kopii fóra z webu, jednu z 28. ledna, druhou z 18. února. V té jsou osobní informace uživatelů – e-maily, data narození, profilové obrázky a kódovaná hesla. Ta jsou kódována pomocí PHPass a tím pádem je možné získat jejich čitelnou podobu.
Pokud jste tedy používali fórum na Linux Mint webu, považujte raději vaše tamní heslo za veřejně dostupné. Nejenom proto, že kompletní dump se objevil na dark webu a obsahuje přes 70 tisíc údajů o účtech. Dobrá zpráva je, že haveibeenpwned.com vám umožní zjistit, zda došlo k úniku právě vašeho hesla.
Podle Hacker explains how he put „backdoor“ in hundreds of Linux Mint downloads je „Peace“ sólovým hráčem, který nemá žádné spojení s hackerskými skupinami. Na web Linux Mint se mu podařilo dostat přes zranitelnost, kterou objevil v lednu. 20. února pak nahradil ISO vlastní modifikovanou podobu (velmi pravděpodobně nikoliv ISO přímo na serveru, ale jen odkaz na něj ze stránky s odkazy na stažení, plyne z ostatních informací). Aby se pojistil, tak pozměnil i informace o kontrolních součtech (MD5). Motivací mělo být to, že si chtěl z napadených počítačů vytvořit botnet, k čemuž měl použít známý a snadno použitelný malware jménem Tsunami.
Pokud se vám podařilo v uvedený čas (sobota 20. února, s ohledem na časový posun může jít u nás až o neděli 21. února) stáhnout napadenou verzi Mintu, tak ISO zahoďte, stejně jako případné vypálené DVD. Máte-li už systém nainstalovaný, tak virtuál zlikvidujte, stejně jako případnou USB klíčenku. Instalace na počítači je také ztracená, může tam být cokoliv dalšího, takže vás čeká čistá instalace.
Chrání EU dostatečně naše data? Podle muže, který „porazil Facebook“ ne…
2.3.2016 Bezpečnost
Evropská komise zveřejnila detaily dohody o ochraně dat, uzavřené s USA, tzv. Privacy Shield. „Štít“ nahrazuje dohodu známou jako Safe Harbor, kterou loni v říjnu smetl ze stolu Soudní dvůr Evropské unie, a nastavuje rámec pro přenos osobních dat Evropanů do USA.
Dohoda má zajistit, že osobní data občanů Evropské unie budou v zámoří chráněna stejným způsobem jako v Evropě, tedy jako dle unijního práva. Než nabude platnosti, mohou se k ní ještě členské státy EU, jakož i zástupci států pro ochranu dat, vyjádřit.
Její součástí je mimo jiné závazek k vytvoření postu ombudsmana pro stížnosti občanů EU v souvislosti se sledováním jejich komunikace a internetových aktivit ze strany USA.
Na dohledu nad dodržování pravidel se přitom mají podílet i společnosti sdružené pod hlavičkou DigitalEurope, jako jsou Apple, Google či Microsoft.
„Naše společnosti se zavazují k vysokému stupni ochrany dat během zaoceánských přenosů a také k rychlému zavedení nových pravidel,“ uvedl John Higgins, generální ředitel DigitalEurope.
„Privacy Shield poskytne silnou ochranu soukromí a zákonné jistoty pro podnikatele, a zároveň prohloubí vzájemnou důvěru mezi Amerikou a Evropou,“ uvádí za „druhou stranu“ pro změnu Computer and Communications Industry Association.
Ne každého však nová dohoda uspokojuje. Výhrady má například rakouský právník Max Schrems, který ochranu osobních dat kritizuje dlouhodobě a jehož soudní bitva s Facebookem, ve finále vedla ke konci Safe Harbor.
„Evropská unie a USA se snaží zkrášlit prase vrstvami rtěnky, ovšem klíčové problémy zůstávají nevyřešené,“ nebere si servítky.
A upozorňuje například na to, že i navzdory dohodě mohou zámořské tajné služby sledovat evropské občany v celkem šesti vymezených případech, například při podezření z terorismu či špionáže.
„USA tak vlastně otevřeně přiznávají, že porušují pravidla Evropské unie přinejmenším v šesti případech,“ poukazuje Schrems.
Dokument k Privacy Shield je zatím přístupný pouze anglicky, v případě zájmu si jej však můžete přečíst zde.
Sandboxing Sophosu dokáže zablokovat i pokročilé hrozby
1.3.32016 Zabezpečení
Své řešení Email Appliance rozšířil Sophos o Sandstorm, technologii sandboxingu, která podle něj umožňuje detekci, zablokování i vyřešení i sofistikovaných a neustále se měnících hrozeb.
Sandstorm zajišťuje ochranu proti pokročilým hrozbám typu APT (advance persistent threat) i proti malwaru využívajícímu dosud nezveřejněné zranitelnosti (tedy tzv. zero-day threat).
Současný malware je podle Sophosu navržený tak, aby útočil nenápadně a pomalu a zůstal běžnými prostředky neodhalený, přičemž k zabránění, nebo alespoň oddálení detekce využívá polymorfní i maskovací techniky.
Sandstorm využívá cloudovou technologii, která tyto typy hrozeb izoluje a řeší ještě před jejich proniknutím do podnikové sítě. IT manažeři navíc mají k dispozici podrobné přehledy o chování hrozeb i výsledcích analýz, díky kterým mohou v případě potřeby dále zkoumat jednotlivé bezpečnostní incidenty a přijímat odpovídající opatření.
Technologie Sandstorm tak představuje další vrstvu pro bezprostřední detekci i ochranu. Běžné technologie jsou zpravidla velmi nákladné a pro implementaci i monitoring vyžadují další znalosti z oblasti bezpečnosti. To prý v případě nové technologie Sophosu neplatí.
Sandstorm přitom identifikuje potenciálně nebezpečné chování napříč různými operačními systémy včetně Windows, Mac i Android, a to ve fyzických i virtualizovaných prostředích, v síťové infrastruktuře, v mobilních aplikacích, v elektronické poště, v PDF i wordových dokumentech i ve více než dvou desítkách souborů dalších typů.
Novinka je k dispozici i jako rozšíření řešení pro ochranu webů Web Appliance, které kontroluje obsah webových stránek a blokuje i nejnovější webové hrozby, a také v rámci systému UTM 9.4.
Facebook a Twitter v nebezpečí? Islámský stát vyhrožuje
1.3.2016 Sociální sítě
Vedoucí pracovníci sociálních sítí se stali novým terčem bojovníků samozvaného Islamského státu. Důvodem jsou pokračující snahy o narušení jeho komunikačních a náborových kanálů.
Poprvé se teroristická skupina, zřejmě pod vlivem pokusů sociálních sítí zamezit extremistické komunikaci, odhodlala k přímým výhružkám na výkonné ředitele Facebooku a Twitteru.
V pětadvacetiminutovém videu nazvaném „Flames of the Supporters“ (Ohně přívrženců), publikovaném skrze ruský instant messaging software Telegram, se nacházejí fotografie spoluzakladatele Facebooku Marka Zuckerberga a CEO Twitteru Jacka Dorseyho s digitálně vloženými dírami od kulek. Video zveřejnila divize Sons Caliphate Army, což je domnívaná hackerská skupina Islámského státu.
Kromě toho teroristé zesměšnily snahy sociálních sítí blokovat teroristické skupiny od užívání svých služeb. Ve videu se objevují zmínění hackeři, vkládající propagandu a chlubící se, že hacknuli více než 10 000 facebookových účtů a přes 5000 twitterových profilů.
Videa si poprvé všiml časopis Vocativ, který též ohlásil, že na konci videa je učiněna přímá výhružka Zuckerbergovi a Dorseymu.
„Každý den hlásíte, že blokujete mnoho našich účtů, a k vám my říkáme: To je vše, co umíte?“ Vysmívají se islamističtí hackeři skrze text na videu. „Nedosahujete naší úrovně… když zavřete jeden účet, my si jich na oplátku deset vezmeme a brzy budou vaše jména smazána z vašich stránek, s vůlí Alláhovou, a vy poznáte, že to, co říkáme, je pravda.“
Facebook i Twitter se odmítly k videu vyjádřit. Obě společnosti však daly najevo, že i nadále budou bránit teroristickým skupinám v užívání svých služeb.
Zuckerberg se vyjádřil podobně například na letošním Mobile World Congressu v Barceloně, kdy prohlásil, že nechce, aby teroristé užívali Facebook k přilákání a výcviku nových rekrutů, ani k opěvování útoků.
Twitter zase v únorovém příspěvku na vlastním blogu sdělil, že zablokoval přes 125 tisíc účtů od poloviny roku 2015, a to jen za vyhrožování či za podporu terorismu – většinou souvisejících s Islámským státem. Společnost také vyjádřila snahu o lepší a rychlejší kontrolu oznámení o teroristech užívajících její síť.
„Odsuzujeme užívání Twitteru k podpoře terorismu a pravidla Twitteru jasně říkají, že tento druh chování, stejně jako jakékoli násilné výhružky, není na naší službě povolen,“ napsala společnost v příspěvku.
S viditelnými pokusy obou sociálních sítí o potlačení schopnosti IS fungovat na sítích není překvapivé, že teroristé vrací úder, tvrdí Dan Olds, analytik pro The Gabriel Consulting Group.
„Oba, Zuckerberg i Dorsey, vedou silné sociální sítě, které hrály důležitou roli v náborových snahách Islamského státu,“ řekl Olds. „Když se tyto společnosti snaží IS vyřadit ze hry, není překvapením, že ten odpoví výhružkami.“
Poslední výhružky ovšem zcela zavrhl a prohlásil, že nic nezmění na snahách Facebooku a Twitteru.
„Šlo by však o úplně jinou situaci, kdyby se udál fyzický, organizovaný útok na jednu ze společností nebo její zaměstnance,“ pokračuje Olds. „Úspěšný útok by bohužel mohl věci dost změnit. Ale myslím, že obě společnosti pravděpodobně zvýšily zabezpečení ve světle těchto výhružek; takže provést úspěšný útok by určitě nebylo snadné.“
Jeff Kagan, nezávislý IT analytik, řekl, že předpokládá zvýšení zabezpečení u obou společností, ale nemá dojem, že by se změnilo i něco dalšího.
„Problém je, že nevíme, co brát vážně, a co ne,“ řekl. „Domnívám se, že pokud toto je cesta, jíž se bude situace dál ubírat, nezbývá nám, než se připravit a pokračovat dál v této nové realitě.“
Analytik Zeus Kerravala souhlasí: „Jak Facebook, tak Twitter jsou velké nástroje náboru pro Islámský stát, takže Zuckerberg a Dorsey bezprostředně ohrožují jeho růst.“
Policie si došlápla na nelegální weby. Razie proběhla v sedmi zemích
1.3.2016 Bezpečnost
Rozsáhlou razii proti provozovatelům a uživatelům nelegálních internetových stránek provedla minulý týden policie v sedmi evropských zemích. Prohledala 69 bytů a firem a zadržela devět podezřelých. S odvoláním na německý Spolkový kriminální úřad (BKA) o tom informovala agentura DPA.
Koordinovaná akce se uskutečnila minulé úterý a středu kromě Německa také v Bosně a Hercegovině, Švýcarsku, Francii, Nizozemsku, Litvě a Rusku. Policisté se při akci zaměřili na obchod se zbraněmi, drogami, falšovanými penězi a dokumenty provozovaný prostřednictvím internetových platforem.
Někteří ze zadržených jsou kromě obchodování podezřelí rovněž z toho, že záměrně infikovali cizí počítače škodlivými programy, kradli důvěrná data jako například informace k bankovním účtům a že nabízeli ilegálně streamovací služby či návody na páchání trestných činů.
Hlavním podezřelým je podle německé policie 27letý občan Bosny a Hercegoviny, který je od minulé středy ve vazbě. Od roku 2012 hrál údajně klíčovou roli při provozu nelegálních stránek. Tři Němce a dva Syřany, kteří s ním spolupracovali, zadrželi policisté v Německu. Zabavili u nich množství počítačů a zbraní, celkem téměř 40 kilogramů drog a značnou hotovost.
Úřady nemohou Apple nutit, aby odkódoval iPhone, míní soudce
1.3.2016 Mobilní
Americké ministerstvo spravedlnosti nemůže nutit počítačový gigant Apple, aby Federálnímu úřadu pro vyšetřování (FBI) umožnil přístup k datům v iPhonu při vyšetřování drogového případu v Brooklynu. V pondělí to prohlásil newyorský soudce James Orenstein, uvedla agentura AP. Nedávno přitom soud v Kalifornii Applu nařídil, aby umožnil úřadu přístup k datům v kauze zabijáka ze San Bernardina.
Měl by Apple zpřístupnit data ve svých přístrojích úřadům v případě vyšetřování?
Loni v říjnu soudce Orenstein vystoupil s tím, že novelizovaný zákon z roku 1789, který úřad v souvislosti s vyšetřováním organizovaného zločinu používá, nelze na společnost Apple vztáhnout. Podle právníků od té doby počítačový gigant odmítl žádost o spolupráci v tomto smyslu už nejméně v šesti případech v Kalifornii, Illinois, Massachusetts a v New Yorku.
Orenstein pak podle svého přesvědčení postupuje i v dalších případech, z nichž jeden se týká i rutinního vyšetřování dealera metamfetaminu.
Přístup Applu je jeho příznivci v hojné míře podporován, kvůli kauze odblokování iPhonu střelce ze San Bernardina dokonce uspořádali několik demonstrací. Stanovisko počítačového gigantu se totiž podle nich úzce dotýká svobody každého z nich, která by byla prolomením zabezpečení kvůli získání přístupu k datům ze strany úřadů porušena.
FBI se snažila do uzamčeného iPhonu dostat celé dva měsíce. Útočník ze San Bernardina měl ale svůj iPhone nastavený tak, aby se po zadání deseti nesprávných přístupových hesel automaticky vymazal, s čímž si bezpečnostní experti z FBI evidentně nedokázali poradit.
Vyšetřovatelé proto chtějí nyní po Applu, aby jim udělal „zadní vrátka“ do systému iOS. Ten využívají nejen chytré telefony iPhone, ale také počítačové tablety iPad.
Problém je ale v tom, že implementací takového nástroje do zmiňované mobilní platformy by byla FBI schopna obejít zabezpečení prakticky jakéhokoliv iPhonu nebo iPadu v budoucnosti. A nehraje roli, zda by šlo o přístroj teroristy nebo běžného občana.
Apple TV je děravá jako ementál. Odhaleny byly desítky nebezpečných chyb
29.2.2016 Zranitelnosti
Více než šest desítek bezpečnostních trhlin bylo objeveno v multimediálním centru Apple TV. Některé z objevených trhlin mohli počítačoví piráti zneužít k průniku do zmiňovaného zařízení. Opravy trhlin jsou však již k dispozici.
Nebezpečné chyby se týkají multimediálních center, ve kterých běží starší operační systém tvOS, než je verze 7.2.1. Právě toto vydání obsahuje záplaty pro všechny odhalené zranitelnosti.
Trhliny se týkaly takřka dvou desítek předinstalovaných aplikací, ale například i samotného jádra této televizní platformy, uvedl server Security Week.
Piráti mohli uživatele klidně i odposlouchávat, aniž by si toho všiml
Chyby mohli kybernetičtí nájezdníci zneužít k tomu, aby se dostali k uloženým citlivým informacím, aby způsobili pád určitých aplikací, případně aby spustili libovolný škodlivý kód. To jinými slovy znamená, že mohli uživatele klidně i odposlouchávat, aniž by si toho všiml.
Žádné zneužití chyb ze strany počítačových pirátů však zatím nebylo prokázáno. Přesto bezpečnostní experti upozorňují, že riziko nebylo malé.
Aktualizace přišly až po roce
Problém byl podle bezpečnostních expertů především v tom, že Apple nezáplatoval nebezpečné díry průběžně.
Předchozí verze vyšla loni v dubnu, tedy v podstatě téměř před rokem. Proti tomu například aktualizace pro iPhony a iPady jsou vydávány skoro každý měsíc. Kyberzločinci díky tomu nemají tolik času si systém pořádně „proklepnout“.
Apple TV je v podstatě malá krabička, která je vybavena wi-fi modulem, ethernetovým portem a HDMI výstupem. U televizoru nahrazuje funkce multimediálního centra, do nejnovější verze je ale navíc možné instalovat i aplikace. Nechybí v ní ani virtuální asistentka Siri.
Za ukradená data platí oběti hackerů i miliony dolarů
29.2.2016 Hacking
Pokud by citlivá data firem unikla na internet, mohlo by je to snadno zničit. V minulém roce se mohutně rozšířil nový, znepokojivý trend u kyberútoků: vydírání.
Jen za poslední rok zaplatily některé společnosti přes milion dolarů jako úplatek za mlčení. Kyberútočníci si navykli ukrást citlivá data a hrozit, že je zveřejní online v případě nezaplacení, říká Charles Carmakal, viceprezident skupiny Mandiant, spadající pod protimalwarovou bezpečnostní firmu FireEye.
„Jsme svědky situace, kdy si zloděj úmyslně vybere konkrétní společnost, ukradne její data, zkontroluje je a zná jejich hodnotu,“ pokračuje Carmakal. „Viděli jsme sedmimístné platby od firem, které se bojí uveřejnění svých citlivých údajů.“
Skupina Mandiant ve čtvrteční zprávě zběžně popsala praktiky útočníků, s tím, že manažeři firem jsou někdy hackery dokonce zesměšňováni.
Vydírací útoky jsou ještě sofistikovanější než tzv. ransomware, jako je např. Ctryptolocker: Malware, který zašifruje soubory v počítači a pro jejich zpřístupnění musí majitel zaplatit danou cenu v bitcoinech.
Ač ransomware útoky mohou být zdrcující ve své přímočarosti, obvykle je nutno zaplatit „pouze“ několik stovek dolarů. I tak se ovšem několikrát povedlo hackerům získat vyšší částky.
Součásné vyděračské útoky jsou však mnohem propracovanější a mohou být velice nebezpečné, obzvláště pro velké firmy. Carmakal soudí, že pokud by hackeři zveřejnili některé z ukradených dat, mohli by společnost zcela vyřadit ze hry.
„Realita je, že hodně lidí zaplatí,“ říká.
Pro skupinu jako Mandiant, která zkoumala velké úniky dat u společností jako Target, Home Depot nebo Anthem, může být dost těžké firmám poradit, co v dané situaci udělat, pokračuje Carmakal.
Útočníci často nedávají dostatek času, aby se ověřilo, jestli hackeři blafují, nebo ne. A jsou tací, kteří ve skutečnosti daná data nemají a jen takto shání peníze.
„Co potřebujeme je důkaz, že někdo skutečně má přístup k těm datům,“ říká Carmakal. „Přesvědčíme je, aby nám poslali vzorek, nebo provedeme co nejrychlejší možné vyšetřování.“
Pokud skupina odhalí, že někdo skutečně slídil okolo a s největší pravděpodobností data má, přichází velice těžké a složité rozhodnutí: Protože i když firma zaplatí, nikdo negarantuje, že útočníci přesto data nevypustí do světa.
„Rozhodně existuje riziko v nezaplacení, ovšem stejně tak riziko v zaplacení,“ dodává Carmakal. „Cíl každého je, že firma zaplatí a útočníci smažou ukradená data; ale to, že tak skutečně učinili, vám nikdo nepotvrdí.“