Czech Articles - 0  1  2  3  4  5  6  7  8  9  10  11  12  13  14  15  16


 


Viry terorizují počítače i mobily

22.4.2016 Bezpečnost
S novými viry se v posledních týdnech doslova roztrhl pytel. Tyto škodlivé kódy se přitom již nezaměřují pouze na klasické počítače, stále častěji se je kyberzločinci snaží propašovat také do chytrých telefonů.

Důvod je jasný. Zatímco na zabezpečení počítačů si většina uživatelů dává již velký pozor, u mobilů řeší riziko kybernetických útoků málokdo. A to platí i o počítačových tabletech.

Přitom právě na zmiňovaných zařízeních uživatelé velmi často uchovávají citlivé osobní údaje, přístupová hesla a v neposlední řadě je používají také k obsluze svých bankovních účtů. Právě poslední zmiňovaná činnost je pro počítačové piráty patrně nejatraktivnější.

Pokud se počítačoví piráti dostanou k přihlašovacím údajům do internetového bankovnictví, jsou jen krůček od vybílení účtu. Stačí, aby se jim podařilo na telefon propašovat dalšího nezvaného návštěvníka, který dovede odchytávat SMS zprávy pro potvrzení plateb.

Důležitá je prevence
Před podobnými nezvanými hosty dokážou počítače, tablety i chytré telefony ochránit speciální programy. Kromě klasických antivirů jde například o aplikace, které se soustředí pouze na špionážní software a hledání trojských koňů.

Jiné programy zase dokážou v operačním systému nalézt tzv. keyloggery, které jsou schopné zaznamenávat stisk každé klávesy a nasbíraná data odesílat útočníkovi.

Na PC i mobilu by měl být nainstalován vždy jen jeden bezpečnostní program svého druhu. Dva antiviry na disku dokážou udělat pěknou neplechu. Samotný antivirus ale zárukou bezpečí není.

Velmi důležité jsou také aktualizace, protože právě chyby v operačním systému a nejrůznějších programech počítačoví piráti velmi často zneužívají k tomu, aby do přístroje propašovali nezvané návštěvníky.

Nebezpečný trojský kůň číhá na lechtivých webech
Řada uživatelů používá tablety a chytré telefony nejen k přístupu na internet, ale také ke sledování filmů a dalších videí. A právě toho se snaží zneužít počítačoví piráti, kteří za aktualizaci populárního přehrávače Flash Player schovají trojského koně.

Nezvaný návštěvník se jmenuje Marcher a zpravidla se ukrývá na webech s erotickým obsahem. Útok přitom probíhá prakticky vždy stejně. Ve chvíli, kdy se uživatel pokusí spustit video, je vyzván k aktualizaci Flash Playeru, místo ní si přitom do svého přístroje stáhne trojského koně.

Právě na pornostránkách se ukrývá Marcher nejčastěji. Stejným způsobem ale může být šířen také prostřednictvím webů pro sledování virálních videí a pro šíření nelegálních kopií nejrůznějších filmů a seriálů.

Bezpečnostní experti ze společnosti Zscaler doposud zachytili tohoto trojského koně na zařízeních s operačním systémem Android. Není ale vyloučeno, že se bude vyskytovat také na počítačových tabletech a chytrých telefonech postavených na jiných platformách.

Uživatelé si přitom ani nevšimnou, že bylo jejich zařízení infikováno, protože trojský kůň vlastně na první pohled nic nedělá a jen vyčkává na svou příležitost. Pokud se uživatel bude prostřednictvím oficiální aplikace Google Play snažit stáhnout nějakou aplikaci, vyskočí mu falešné okno se žádostí o vložení platební karty. Tak se podvodníci poté dostanou k cizím penězům.

Útočí přes SMS zprávy, pak vybílí účet
Nový trik začali v posledních dnech zkoušet počítačoví piráti na tuzemské uživatele. Vylákat přihlašovací údaje k internetovému bankovnictví se snaží prostřednictvím SMS zpráv. Poté jim už zpravidla nic nebrání v tom, aby lidem vybílili účet. Před novou hrozbou varovali zástupci České spořitelny.

SMS zprávy se snaží vzbudit dojem, že je odesílá Česká spořitelna. Ta přitom s klientem skutečně touto formou v některých případech komunikuje. I jinak velmi ostražití uživatelé se mohou nechat relativně snadno napálit.

Jedna z podvodných zpráv informuje o zablokování internetového bankovnictví, tedy služby Servis 24. „Vážení kliente České spořitelny, dosáhli jste maximálního možného počtu pokusů o přihlášení do služby Servis 24. Pro odblokování Vašeho účtu se přihlaste zde. Vaše Česká spořitelna,“ tvrdí podvodníci.

Pod slovem zde se přitom ukrývá odkaz na podvodné webové stránky, kde chtějí počítačoví piráti po uživateli zadat přihlašovací údaje k internetovému bankovnictví. Pokud to důvěřivci skutečně udělají, dají kyberzločincům přímý přístup ke svému bankovnímu účtu.

Nová hrozba se logicky týká pouze majitelů chytrých telefonů. Starší mobily bez webových prohlížečů a přístupu k internetu totiž nedovedou odkazy v SMS zprávách otevírat.

Flash Player nahrává vyděračským virům
Oblíbený program Flash Player od společnosti Adobe, který slouží k přehrávání videí na internetu, má kritickou bezpečnostní chybu. Tu už začali zneužívat počítačoví piráti k šíření vyděračských virů. Vývojáři z Adobe už naštěstí vydali aktualizaci na opravu nebezpečné trhliny.

Chyba se týká operačních systémů Windows, Mac OS X či Chrome OS. K infiltraci škodlivého kódu stačí, aby uživatel navštívil podvodné stránky, na kterých mu bude nabídnuto video k přehrání. Právě prostřednictvím něj se na pevný disk dostane vyděračský virus zvaný Cerber.

Na napadeném stroji tento nezvaný návštěvník zašifruje všechna data. Za jejich zpřístupnění pak útočníci požadují výkupné, a to klidně i několik tisíc korun.

Ani po zaplacení výkupného se uživatelé ke svým datům nedostanou. Místo placení výkupného je totiž nutné virus z počítače odinstalovat. Zpřístupnit nezálohovaná data je už ale ve většině případů nemožné.

Na routery – brány do světa internetu – se zaměřují kyberzločinci stále častěji. Využívají toho, že zabezpečení těchto internetových zařízení uživatelé především v domácnostech velmi podceňují, někdy to ale platí i o firmách. Na routery například cílí nový virus Kaiten, před kterým varovala antivirová společnost Eset.

„Kaiten představuje hrozbu pro všechny, kdo mají router či jiný přístupový bod, na který se dá připojit z internetu. Během samotného útoku virus hledá skulinu, kde je firmware hardwaru zranitelný. Pokud uspěje, stáhne škodlivý kód shodný pro všechny platformy a snaží se jej spustit,“ uvedl Pavel Matějíček, manažer technické podpory společnosti Eset.

Právě s pomocí staženého škodlivého kódu pak útočníci dokážou router na dálku ovládnout a dělat si s ním prakticky cokoliv, co je napadne. Mohou například odposlouchávat komunikaci nebo přesměrovávat internetové adresy.

Přesně to udělali už v minulosti díky zranitelnosti známé jako „rom-0“. Místo serverů, jako jsou například Seznam.cz nebo Google.com, se poškozeným zobrazila hláška o nutnosti instalace flash playeru. Místo té se ale do PC stáhl další virus. Útočníci tak rázem měli přístup nejen k routeru, ale i k připojenému počítači. Hlavní problém je v tom, že routery není možné chránit antivirovými programy, jako je tomu u počítačů.

Ověřte e-mailovou schránku, hlásá nevyžádaný e-mail
Platnost vaší e-mailové schránky brzy vyprší, je potřeba ji ověřit. Nevyžádané e-maily podobného znění kolují v poslední době internetem, podvodníci se tak snaží z důvěřivců vylákat citlivé osobní údaje. S jejich pomocí pak mohou osnovat další útoky.

V anglicky psaném e-mailu podvodníci tvrdí, že schránka přestane do 24 hodin fungovat. „Doporučujeme vám ověřit a aktualizovat vaši schránku, jinak dojde k její deaktivaci,“ stojí v nevyžádané zprávě.

Snaží se tak uživatele vystrašit, aby klikl na odkaz ve zprávě. Ten směřuje na podvodné webové stránky, kde uživatelé mají vyplnit informace týkající se jejich účtu. Kyberzločinci chtějí název e-mailu, heslo, a dokonce i telefonní číslo.

Lidem nemusí na první pohled přijít ani divné, že po nich někdo chce zadat takto citlivé údaje. Vždyť k e-mailu se normálně připojují prostřednictvím hesla a pomocí mobilu se internetové účty běžně zabezpečují.

Nevědomky tak útočníkům dají do rukou vše, co potřebují. Na e-mail jsou totiž velmi často navázány různé další služby na webu – například sociální sítě, seznamky či cloudová úložiště, kam si lidé ukládají svá data. Právě pomocí poštovní schránky mohou piráti zpravidla všechna tato hesla restartovat a získat tak přístup k dalším citlivým údajům.


Odemčení zabijákova iPhonu stálo FBI přes 31 miliónů korun

22.4.2016 Zabezpečení
Americký Federální úřad pro vyšetřování (FBI) zaplatil za odemčení iPhonu teroristy Syeda Farooka ze San Bernardina přes 1,3 miliónu dolarů, tedy v přepočtu přes 31 miliónů korun. Ve čtvrtek to podle agentury Reuters naznačil šéf FBI James Comey. Detaily o průniku však vyšetřovatelé stále tají.
Spor o „zadní vrátka”

Vyšetřovatelé z FBI se do uzamčeného iPhonu islámského radikála nemohli dostat dlouhé dva měsíce. Jeho iPhone 5C byl nastaven tak, aby se po zadání deseti nesprávných kódů automaticky vymazal, s čímž si bezpečnostní experti z FBI původně nedokázali poradit.
Soud proto Applu v únoru nařídil, aby tuto funkci vypnula, což však není technicky možné. Proto vyšetřovatelé chtěli po americkém softwarovém gigantu vytvořit v operačním systému iOS „zadní vrátka“, což však vedení Applu odmítalo.
Vyšetřovatelům z FBI se nakonec podařilo do uzamčeného zařízení dostat. Detaily o průniku však nezveřejnili.
Útok v San Bernardinu byl nejtragičtějším od teroristických útoků v zemi v září 2001. Zradikalizovaný muslim Syed Farook a jeho žena Tashfeen Maliková tam na počátku prosince zastřelili 14 lidí. Později byli zabiti při přestřelce s policií.
Comey se o zabijákově iPhonu rozpovídal na akci Aspen Security Forum, která se konala ve čtvrtek v Londýně. Jeden z přítomných novinářů se jej tam zeptal, na kolik FBI vyšlo prolomení zabezpečení iPhonu.

Přesnou částku šéf FBI sice neprozradil, ale je možné ji z jeho slov odvodit. „Opravdu hodně. Je to víc, než si zvládnu u FBI vydělat do konce svého funkčního období. Tedy za sedm let a čtyři měsíce,“ přiblížil Comey.

Pomohli Izraelci?
Vzhledem k tomu, že jeho roční plat činí 183 300 dolarů (4,3 miliónu korun), není těžké spočítat úplatu za odblokování jablečného smartphonu. Celková částka musela dělat minimálně 1,3 miliónu dolarů (přes 31 miliónů korun).

Více nechtěl na dotazy týkající se celé kauzy odpovídat. Doposud tedy není jasné, jak přesně se podařilo vyšetřovatelům do uzamčeného iPhonu dostat a jaká společnost jim s odblokováním zařízení pomohla. 

Podle dřívějších informací je to však práce společnosti Cellebrite se sídlem v Izraeli. Firma britské stanici BBC potvrdila, že s americkými vyšetřovateli spolupracuje, ale více nesdělila. Na svých internetových stránkách nicméně Cellebrite prohlašuje, že jeden z jejích nástrojů umí dekódovat a extrahovat data z iPhonu 5C.

Nástroj na odemčení FBI ještě poslouží
Odemčení zabijákova iPhonu nicméně vyšetřovatelům příliš nepomohlo, jak informoval na konci minulého týdne server CBS News. Nebyla totiž odhalena žádná data, díky nimž by se vyšetřování posunulo nějak dopředu.

Zdroj serveru nicméně zdůraznil, že veškerá získaná data z chytrého telefonu budou ještě několik dní nebo dokonce týdnů podrobně analyzována. Vše nicméně nasvědčuje tomu, že ani důkladnější prohledávání nepřinese žádné kloudné výsledky.

I tak ale nebyly vynaložené milióny zbytečné. Získaný nástroj totiž dokáže FBI využít k odemčení i dalších jablečných přístrojů. Konkrétně by mělo jít o iPhone 5C a starší modely, na ty nové jsou vyšetřovatelé krátcí.

„Máme nástroj, který však nepracuje na všech iPhonech,“ prohlásil již dříve Comey. Ani tehdy však žádné bližší informace nechtěl prozradit.


Let's Encrypt už není beta, zůstávají však nesplněné sliby
21.4.2016
Zabezpečení

Bezplatná automatizovaná certifikační autorita nedávno odstranila nálepku „beta“ ze svého názvu. Kdysi slibované bezpečnostní prvky ale byly zrušeny, nebo zůstávají neimplementované.
Certifikační autorita Let's Encrypt měla být revolucí v bezpečnosti na internetu. Jejím cílem bylo zpřístupnit snadné šifrování pro všechny a udělat to bezpečněji, než je stávající praxe. Zatímco první cíl se zajisté splnit povedlo, z druhého vidíme po čase spíše ústupky směrem ke snazší použitelnosti za cenu nižší bezpečnosti.

Domain Control Validation – validace, která moc nevaliduje

Z reakcí na předchozí články a přednášky o Let's Encrypt pozoruji, že spousta lidí až do příchodu Let's Encrypt měla jen velmi zkreslenou představu o tom, jak málo stačí k vydání důvěryhodného certifikátu pro webový (i jiný) server. Zřejmě i na základě samotného pojmu často mylně usuzují, že k jeho získání je potřeba nějaká certifikace. Když se pak dozví, že stačí vystavit správný soubor na webovém serveru, často neskrývají zděšení.

Tato nejnižší forma validace je přitom k dispozici již mnoho let a podporuje ji naprostá většina veřejných certifikačních autorit. O žádnou certifikaci ve smyslu ověření totožnosti držitele ale nejde. Autorita jen potvrdí, že v nějaké době před vystavením certifikátu ovládal doménové jméno ten, kdo o certifikát požádal. Pokud od té doby doména změnila majitele, nebo byla IP adresa přidělena jinému zákazníkovi, nebo někdo po cestě odklonil provoz, může se snadno stát, že certifikát ve skutečnosti nepatří držiteli doménového jména, ale někomu jinému. Jinými slovy, ani ten základní a jediný účel, pro který certifikáty existují, tedy prokázání identity komunikujících stran, DV certifikát řádně nesplňuje.

Nízké důvěryhodnosti si samozřejmě jsou vědomi i lidé ze Let's Encrypt, na druhou stranu je to jediný způsob validace, který je možné plně automatizovat. Proto přišli s vlastními nápady, jak validaci držitele domény co nejvíce zabezpečit proti případnému zneužití.

Ochrana před náhodným vystavením autentizační výzvy

Jedním z nejběžnějších způsobů validace držení doménového jména je vystavení určitého souboru na webserveru, který běží na daném doménovém jméně. Funguje takto:

klient požádá autoritu o vystavení certifikátu
autorita požádá klienta, aby vystavil konkrétní soubor na konkrétní cestě
klient vystaví soubor a požádá o validaci
autorita soubor zkontroluje a vystaví certifikát
Jedním z problémů, ke kterému zde může dojít, je vystavení autentizační výzvy někým jiným, než držitelem příslušného doménového jména. Jde-li o webový server, na který nahrávají data v nějaké formě uživatelé (např. diskuzní fórum, cloudové uložiště a pod.), může nepříjemnou shodou okolností dojít k tomu, že se autentizační soubor podaří uložit některému z uživatelů.

Původní implementace Let's Encrypt proti tomuto bojovala nejen speciální cestou /.well-known/acme-challenge/, ale i požadavkem na vystavení ověřovacího souboru se speciálním MIME typem application/jose+json. Vzhledem k tomu, že validační soubor nemá žádnou příponu, bylo nutné tohoto docílit zásahem do konfigurace webserveru, což sloužilo jako dostatečný důkaz toho, že soubor skutečně vystavuje administrátor webserveru a nikoli náhodný uživatel webové služby.

Tento požadavek byl z ostré verze Let's Encrypt odstraněn ještě před spuštěním beta programu. Podle všeho bylo takový požadavek příliš složité splnit na IIS. Má se za to, že ochrana umístěním ověřovacích souborů do podadresáře .well-known plní účel dostatečně.

Ochrana před manipulací s DNS

Specifikace protokolu ACME v tomto ohledu požadovala a stále požaduje, aby autorita prováděla validaci DNSSEC dat. To skutečně také dělá, jak jsem se přesvědčil při pokusu ověřit doménové jméno se záměrně rozbitým DNSSEC podpisem:

Verifying:www.rhybar.cz
www.rhybar.cz:Verify error:DNS problem: SERVFAIL looking up A for www.rhybar.cz
Ovšem, i tady je prostor ke zlepšení. Když jsem stejným způsobem požádal o vystavení certifikátu pro doménové jméno se záměrně rozbitým DNSSEC podpisem používajícím ECDSA algoritmus, certifikát jsem dostal. Jedná se zřejmě o zastaralý software DNSSEC validátoru, který ECDSA algoritmům dosud nerozumí. Problém jsem nahlásil bezpečnostnímu týmu ISRG, přislíbili, že se jím budou zabývat.

Ochrana před únosem adres

Další riziko, kterému DV validace čelí, je únos IP provozu na cestě mezi autoritou a serverem domény, která žádá o certifikát. K řešení tohoto problému se vyjadřoval Peter Eckersley na loňském DebConfu. Přislíbil dva základní prostředky snížení rizika.

Prvním má být ověřování validačních výzev z více pozorovacích bodů. Jsou-li body dostatečně síťově vzdálené, je pro případného útočníka obtížnější unést provoz mezi autoritou a klientem – útočník pak musí být buď na společné části cesty, nebo musí ovládat všechny cesty k danému klientovi. Na stejném principu ostatně funguje třeba známé rozšíření Firefoxu Perspectives, které pomocí skupiny notářských serverů po celém světě ověřuje, zda vidí všichni stejný certifikát.

Jaká je realita ostrého Let's Encrypt? Podle logu webserveru byly všechny mé validační výzvy kontrolovány pouze jednou a to z IP adresy 66.133.109.36 (doménové jméno outbound1.letsencrypt.org). Pohled na traceroute ukazuje, že kritická cesta, na které se kdekoli může vyskytovat útočník, je opravdu velmi dlouhá:

traceroute to 66.133.109.36 (66.133.109.36), 30 hops max, 60 byte packets
1 cat58-gw.cesnet.cz (195.113.134.129) 0.482 ms 0.521 ms 0.606 ms
2 195.113.179.141 (195.113.179.141) 1.931 ms 1.939 ms 1.939 ms
3 195.113.235.109 (195.113.235.109) 5.309 ms 5.337 ms 5.318 ms
4 prag-b3-pos4-0.telia.net (213.248.77.117) 1.993 ms 2.290 ms 2.247 ms
5 win-bb2-link.telia.net (62.115.117.100) 7.643 ms 7.782 ms 7.782 ms
6 ffm-bb2-link.telia.net (62.115.113.108) 20.126 ms 18.862 ms 18.852 ms
7 ash-bb4-link.telia.net (80.91.246.62) 115.515 ms prs-bb2-link.telia.net (62.115.143.81) 31.927 ms hbg-bb4-link.telia.net (62.115.112.47) 26.704 ms
8 ash-b1-link.telia.net (62.115.115.154) 118.382 ms ash-b1-link.telia.net (62.115.113.213) 116.098 ms ash-bb4-link.telia.net (80.91.251.247) 110.192 ms
9 206.111.0.225.ptr.us.xo.net (206.111.0.225) 116.656 ms 117.380 ms 117.374 ms
10 206.111.0.225.ptr.us.xo.net (206.111.0.225) 111.686 ms 111.445 ms 116.614 ms
11 207.88.14.162.ptr.us.xo.net (207.88.14.162) 178.180 ms 171.673 ms vb6.rar3.chicago-il.us.xo.net (207.88.12.33) 173.453 ms
12 te-4-1-0.rar3.denver-co.us.xo.net (207.88.12.22) 169.670 ms 173.880 ms vb6.rar3.chicago-il.us.xo.net (207.88.12.33) 185.601 ms
13 ae0d0.mcr1.saltlake-ut.us.xo.net (216.156.0.2) 169.649 ms 169.179 ms 169.169 ms
14 ip65-46-61-22.z61-46-65.customer.algx.net (65.46.61.22) 173.020 ms ae0d0.mcr1.saltlake-ut.us.xo.net (216.156.0.2) 164.528 ms ip65-46-61-22.z61-46-65.customer.algx.net (65.46.61.22) 172.705 ms
15 ip65-46-61-22.z61-46-65.customer.algx.net (65.46.61.22) 183.939 ms teng-04-02.crrt02.slc07.viawest.net (66.51.2.169) 174.316 ms 174.453 ms
16 66.133.111.222 (66.133.111.222) 250.284 ms teng-04-02.crrt02.slc07.viawest.net (66.51.2.169) 169.295 ms 66.133.111.222 (66.133.111.222) 228.521 ms
17 66.133.111.222 (66.133.111.222) 228.496 ms outbound1.letsencrypt.org (66.133.109.36) 172.651 ms 66.133.111.222 (66.133.111.222) 342.482 ms
Vizualiace cesty k autoritě Let's Encrypt pomocí systému <a href="https://atlas.ripe.net/measurements/3678977/">RIPE Atlas</a>.
Vizualiace cesty k autoritě Let's Encrypt pomocí systému RIPE Atlas.
Nerealizovaný důkaz držení předchozího klíče

Druhá pojistka proti zneužití DV validace měla být zároveň bezpečnostní killer feature projektu Let's Encrypt. Myšlenka byla taková, že žádá-li kdokoli o vydání certifikátu na doménové jméno, pro které již existuje vydaný a platný certifikát některé veřejné certifikační autority (tato skutečnost se dá dohledat například v databázi SSL Observatory, nebo Certificate Transparency), je třeba pro úspěšné ověření provést také důkaz držení privátního klíče k původnímu certifikátu. Takový důkaz může proběhnout například tak, že se privátní klíč použije k podpisu autoritou předepsané zprávy.

Tímto způsobem by bylo možné elegantně eliminovat zneužití autority odkloněním provozu, neboť samotný fakt disponování doménovým jménem by v tomto případě nestačil. Bohužel, ani tento bezpečnostní mechanizmus nebyl implementován a pravděpodobně tomu tak ani v dohledné době nebude. Tiket k dané funkci byl těsně před koncem beta období uzavřen. Osobně se domnívám, že k jeho realizaci nedojde také proto, že spoustu klientů a řešení, které už Let's Encrypt rutinně používají, by bylo nutné zásadním způsobem změnit.

Transparentnost s trhlinami

Další oblast, ve které se autorita Let's Encrypt měla odlišovat od konkurence, byla naprostá transparentnost procesu. V praxi to mělo být zajištěno:

sekvenčním číslováním sériových číslel certifikátů
posíláním všech certifikátů do veřejných logů Certificate Transparency
zveřejňováním záznamů ACME komunikace
veřejným blacklistem doménových jmen
Ze všech těchto bodů zůstalo v platnosti pouze posílání certifikátu do Certificate Transparency. Sekvenční číslování bylo zrušeno ještě před veřejnou betou s odůvodněním, že výrazným způsobem komplikuje kód autority boulder a přitom jen nedokonale provádí totéž co Certificate Transparency.

Zveřejnění ACME logů by mohlo představovat dobrý důkazní materiál pro vyšetřování případného zneužití. Bylo by možné prozkoumat, jakým způsobem validace proběhla, jakou IP adresu server měl v době validace a další důležité podrobnosti. Podle vyjádření z listopadu 2015 je funkce stále plánována, avšak nebyl čas ji zprovoznit do zahájení beta programu. S odstupem času můžeme říct, že se to bohužel nepovedlo ani do ukončení beta programu.

A konečně, Let's Encrypt používá, ve shodě s jinými autoritami, blacklist speciálních a/nebo hodnotných doménových jmen, pro která certifikát za žádných okolností nevydává. V průběhu vývoje byl tento seznam součástí otevřených zdrojových kódů autority. Od té doby však došlo k refaktoringu, kdy byl blacklist přesunut nejprve do databáze a později do samostatných datových souborů. Tyto však již nejsou hostovány na GitHubu, takže není možné snadno zkontrolovat, která doména na blacklistu je a která ne.

Rate-limiting stále v akci

Koncem března byly drobně uvolněny rate limity. Nyní je možné v rámci jednoho doménového jména vystavit:

20 různých certifikátů týdně
5 certifikátů s totožnou sadou jmen týdně
neomezené množství obnovených certifikátů (se stejnou sadou jmen, jako již vydaný certifikát)
I když se limity zdají být velkorysé, jsou pro některé účely hluboce nedostačující. Příkladem mohou být nejrůznější bezplatné DNS hostingy, kde pod jedním doménovým jménem existují tisíce samostaných uživatelů, kteří by rádi měli každý svůj certifikát. Stejný problém trápí také třeba velké univerzity, které mají pod společným doménovým jménem mnoho fakult a také třeba kolejní sítě.

Předčasně ukončená beta

Autoritě Let's Encrypt se toho povedlo opravdu hodně, o tom není pochyb. Více než půl druhého milionu platných certifikátů během půlročního provozu svědčí o tom, že projekt má smysl a zájem o podobně fungující autoritu je. Bohužel, z plánovaných bezpečnostních vlastností, které měly DV certifikáty od Let's Encrypt odlišovat od obyčejných DV certifikátů ostatních autorit postupně sešlo. Teď, když už autorita ztratila označení beta, se nedá očekávat, že by byly v dohledné době doplněny.

Pozitivní však je, že nástup Let's Encrypt rozhýbal trh komerčních certifikačních autorit. Známá autorita StartSSL například převlékla svůj web do trošku modernějšího kabátu a uvolnila limit počtu doménových jmen v bezplatném certifikátu. Symantec zase oznámil program Encryption Everywhere, který je v zásadě klonem Let's Encrypt, ale zaměřeným na provozovatele webhostingů místo na koncové uživatele. Obchod The SSL Store zase vysvětluje, jaká má Let's Encrypt omezení a proč se tedy v určitých případech stále vyplatí zakoupit si certifikát od nich.

Tradiční certifikační autority své místo na trhu nepochybně mají, ale jejich místo je především v provádění řádné validace, tak aby vystavené certifikáty zaručovaly aspoň nějakou úroveň jistoty, že patří, komu patřit mají. DV certifikát je sice mnohonásobně lepší než nešifrovaný přístup, rozhodně se ale nehodí pro službu, která jakýmkoli způsobem zpracovává například osobní nebo platební údaje uživatelů.


Pirátský program napadl desítky tisíc počítačů, hacker dostal 9,5 roku vězení

21.4.2016 Kriminalita
K devíti a půl roku vězení odsoudil ve středu soud v americké Atlantě ruského hackera Alexandra Panina, který vytvořil a rozšiřoval program pro vykrádání bankovních účtů. Sedmadvacetiletý zločinec se k činu přiznal v rámci dohody s vyšetřovateli. Jeho software podle odhadu způsobil škody za miliardu dolarů.
Hacker Alexander Panin

Hacker Alexander Panin
Paninův pirátský program zvaný SpyEye podle americké policie napadl až 50 000 počítačů. Program byl na prodej v kriminálních komunitních sítích po celém světě za částky od 500 do 10 000 dolarů (až 240 000 korun). Koupilo si ho podle americké FBI nejméně 150 zákazníků.

Panin byl dopaden díky agentům FBI, kteří se vydávali za hackery a program zakoupili. Rus byl zatčen v lednu 2013 na atlantském mezinárodním letišti.


Centrum pro boj s kyberzločinem zprovoznilo O2

19.4.2016 Bezpečnost
Nové centrum kybernetické bezpečnosti, tzv. Security Expert Center (SEC), otevřela ve svém sídle v Praze firma O2. Má firmám i státním organizacím pomocí eliminovat rizika spojená s kybernetickými hrozbami. Novinka podle provozovatelů odpovídá potřebám zákona o kybernetické bezpečnosti závazného pro firmy a státní instituce pracující s citlivými daty.

Služby SEC umožňují podle provozovatele identifikovat klíčová aktiva společnosti (např. informační aktiva, lidské zdroje, procesy nebo systémy) a nastavit vhodný model jejich ochrany.

SEC vykonává bezpečnostní dohled, který umožní identifikovat zranitelnost IT infrastruktury. Potenciální kybernetické hrozby rozpozná SEC na základě anomálií chování jednotlivých infrastrukturních prvků. Služba zároveň zajišťuje komplexní nasazení bezpečnostních nástrojů, dohledových zařízení a ochrany včetně průběžného reportingu, analýz a návrhů nápravných opatření.

Službu si lze objednat jako jednorázovou nebo dlouhodobou. Na základě požadavků a potřeb zákazníka je možné implementovat celé řešení, nebo jen některou z částí, která je pro zákazníka kritická.

Jen v loňském roce podle O2 kybernetické útoky způsobily evropským firmám ztráty ve výši 62 miliard dolarů. Průměrný kybernetický útok přitom stojí firmu asi 1,2 procenta jejich příjmů.

Podle Jiřího Sedláka, ředitele SEC v O2 ITS, mají firmy a organizace často nasazené nástroje, vypracované postupy a bezpečnostní politiky, ale přesto účinnost ochrany nenaplňuje jejich představy. Důvodů je mnoho - od chybně nastavených cílů, nesprávné architektury, špatné implementace, chybějících zdrojů a know-how až po chybné časování nebo neschopnost kontrolovat a vymáhat tato opatření.


Česká spořitelna varovala před podvodníky na Facebooku

18.4.2016 Podvod
Sociální síť Facebook se snaží znovu zneužít počítačoví piráti k šíření škodlivých kódů. Tentokrát si dokonce vytvořili rovnou celou podvodnou stránku, která na první pohled vypadá, jako by skutečně patřila České spořitelně. Právě zástupci této banky před novým podvodem varovali.
Podvodná stránka na Facebooku
Podvodná stránka na Facebooku
FOTO: Česká spořitelna
„Upozorňujeme na podvodný profil na Facebooku, který jsme v posledních dnech zaznamenali a který se snaží vzbudit dojem, že patří České spořitelně. Podvodníci na tomto profilu nabízejí ‚nové internetové bankovnictví SERVIS 24‘,“ uvedli zástupci České spořitelny.

Falešný profil se jmenuje Ceska Sporitelna a odkaz na něm samozřejmě směřuje na podvodné stránky, jejichž prostřednictvím se snaží kyberzločinci vylákat od důvěřivců přihlašovací údaje k internetovému bankovnictví.

Tisícovka za přihlášení
Uživatele navíc motivují ke kliknutí na falešné stránky finanční odměnou. Každý, kdo se prostřednictvím uveřejněného linku do bankovnictví přihlásí, získá údajně odměnu tisíc korun.

Nejenže lidé žádné peníze nedostanou, ale prozrazením přihlašovacích údajů si zadělávají na pěkný problém. Počítačoví piráti jsou totiž už jen kousek od toho, aby jim mohli vybílit účet – stačí, aby propašovali virus na jejich chytrý telefon. Prostřednictvím něj pak budou schopni odchytávat potvrzovací SMS zprávy pro platby, jako tomu bylo už v minulosti. 

Ukázka jedné z podvodných SMS zpráv
Ukázka jedné z podvodných SMS zpráv, jejímž prostřednictvím se dokážou podvodníci dostat do chytrého telefonu.
FOTO: Česká spořitelna

„Důrazně varujeme před jakoukoli reakcí na výzvy uvedené na tomto profilu. V žádném případě neklikejte na nabízený odkaz a svoje údaje nevyplňujte nikam jinam než na oficiální stránky www.servis24.cz. Podvodníci by se pak jejím prostřednictvím mohli dostat k Vašim penězům! V případě jakýchkoliv pochybností nás kontaktujte na bezplatném telefonním čísle 800 207 207,“ konstatovali zástupci banky.

Obezřetní by tedy uživatelé měli být i v případě, že narazí na Facebooku či jiné sociální síti na podobné stránky, které ale ponesou jiný název. Není totiž vyloučeno, že škodlivé kódy budou počítačoví piráti šířit prostřednictvím jiného profilu. Vydávat se klidně mohou i za úplně jinou bankovní instituci.


Certifikáty pro HTTPS zdarma: Komunitní autorita Let's Encrypt spouští ostrý provoz
18.4.2016 Zdroj: Živě
Zabezpečení
Projekt bezplatných certifikátů pro webové servery Let’s Encrypt po několikaměsíčním zkušebním provozu opouští betatestování a spouští ostrý provoz.

Beta program autoři spustili loni v září a od té doby vydali 1,7 milionů certifikátů, které jsou díky sponzorům důvěryhodné ve většině moderních webových prohlížečů. Nyní se pochlubili, že na svou stranu získali další dva silné partnery: Cisco a Akamai.

601972463
O Let's Encrypt je zájem

Cílem Let’s Encrypt není zničit současný trh s certifikáty, ale spíše umožnit základní důvěryhodné šifrování webových stránek a masové nasazení HTTPS:// napříč internetem. To je doposud problém, protože bez důvěryhodného certifikátu prohlížeče zobrazují varovná hlášení a autoři malých webů zpravidla nechtějí platit vedle domény a hostingu ještě za certifikát od důvěryhodné autority. Let’s Encrypt by tento základní problém mohl vyřešit, nabízí totiž přesně tento typ nejjednodušších certifikátů.

Jedinou šmouhou na kráse je ovšem to, že nasazení certifikátů není úplně nejjednodušší úkon a vyžaduje alespoň základní znalosti administrátorské práce a znalosti, jak vlastně certifikáty fungují. A o Let’s Encrypt to platí dvojnásob.

V ideálním případě by nájemce domény získal certifikát automaticky v rámci platby za doménu a jeho instalace na webovém serveru by proběhla maximálně automatizovaně v rámci standardizovaného API.


WordPress spustil šifrované HTTPS na všech doménách, které poskytuje
17.4.2016
Zabezpečení

WordPress již od roku 2014 podporuje bezpečnější HTTPS, zatím ale pouze na stránkách s poddoménou wordpress.com (např. https://barry.wordpress.com). Nově se ale podpora rozšiřuje i pro všechny ostatní weby, které jsou u WordPressu registrovány.

wordpress-265132_960_720.jpg
Veškeré weby registrované na WordPress.com nyní podporují HTTPS

Změna proběhne automaticky a není potřeba žádných úprav na straně zákazníka. Nyní by už měly všechny weby běžet na šifrovaném protokolu, což lze na první pohled poznat podle ikony zámku vedle adresy webu v prohlížeči.

Takový přechod rozhodně přispívá k bezpečnému pohybu na internetu a doufejme, že se stejnou cestou vydají i další velké společnosti. Zvýšená bezpečnosti není jediným přínosem HTTPS. Weby, které mají tento protokol implementován, jsou v třídícím žebříčku vyhledávače Google automaticky řazeny na vyšším pozice. Podrobnější informace o proběhlých změnách lze nalézt na stránkách WordPress.


Apple končí s QuickTime pro Windows, už ani neopraví známé bezpečnostní chyby

17.4.2016 Zranitelnosti
Apple končí s QuickTime pro Windows, už ani neopraví známé bezpečnostní chybyVčera, Milan Šurkala, aktualitaApple QuickTime pro Windows už má patrně své dny sečteny. Společnost Trend Micro upozornila Apple na dvě bezpečnostní chyby v QuickTime. Podpora této verze aplikace ale má být ukončena a chyby nebudou opraveny.
QuickTime už zdaleka není tak populární jak kdysi a jeho verze pro operační systém Windows má již své dny sečteny. Společnost Trend Micro totiž v 11. listopadu 2015 informovala společnost Apple o dvou kritických bezpečnostních chybách aplikace QuickTime pro Windows, jenž byly označeny jako ZDI-16-241 a ZDI-16-242. Apple dostal 120 dní na reakci, ale v podstatě se nic nedělo. Až ke konci této lhůty, 9. března 2015, na výzvu Apple prohlásil, že QuickTime pro Windows už nebude dále vyvíjen.

To ale současně znamená, že tyto dvě bezpečnostní chyby nebudou nikdy opraveny, půjde o tzv. zero-day problémy a Apple akorát doporučuje majitelům počítačů s operačním systémem Windows QuickTime odinstalovat. Návštěva nebezpečné webové stránky tak může být s nebezpečnou verzí QuickTime nepříjemným zážitkem, zatím ale není znám žádný útok, který by tyto zranitelnosti využil. Problém se netýká QuickTime ve verzi pro Mac OS X a Apple se rozhodl podporu ukončit např. proto, že dnes se ve velké míře využívá HTML5, které je obecně bezpečnější než pluginy instalované do prohlížečů.


Trojský kůň připravil banky o desítky miliónů korun

16.4.2016 Viry
Pouhých pár dní stačilo na to, aby kyberzločinci připravili hned několik bank o čtyři milióny dolarů, tedy v přepočtu o více než 95 miliónů korun. Použili k tomu sofistikovaného trojského koně, uvedl server Info Security.
Nový trojský kůň se jmenuje GozNym a objevili jej bezpečnostní výzkumníci společnosti IBM. Ti zároveň zjistili, že prostřednictvím zmiňovaného škodlivého kódu dokázali počítačoví piráti vysát peníze z více než dvou desítek finančních institucí.

Kromě bank jde například o družstevní záložny a nejrůznější platformy pro on-line platby. Většina poškozených institucí je v Americe a Kanadě, konkrétní firmy však výzkumníci s ohledem na probíhající vyšetřování jmenovat nechtěli.

Není tak vyloučeno, že se problémy netýkají také některé z finančních institucí, která působí na tuzemském trhu.

Zkřížili již existující hrozby
Jisté je nicméně to, že trojský kůň byl velmi sofistikovaný. Šlo totiž o kombinaci již existujících hrozeb, známých jako Nymaim a Gozi, ze kterých kyberzločinci vyrobili nového křížence. Na toho evidentně finanční instituce připraveny nebyly.

Právě křížení virů dělá bezpečnostním expertům v poslední době vrásky na čele. „Počítačoví zločinci se naučili kombinovat různé kousky škodlivých kódů. Tím dokážou vytvořit novou hrozbu daleko dříve, než tomu bylo v minulosti,“ upozornil bezpečnostní analytik Travis Smith ze společnosti Tripwire.

Obrana je daleko komplikovanější
„Nemusí tedy psát celý kód od začátku, čímž dokážou značně snížit čas potřebný k vytvoření nové hrozby,“ zdůraznil Smith s tím, že obrana proti takovým hrozbám je logicky daleko komplikovanější.

Jak se kyberzločincům podařilo propašovat trojského koně GozNym do tak velkého množství finančních institucí, zatím není jasné.

Na finanční instituce se hackeři zaměřili už loni. Tehdy se jim podařilo od více než 100 bank v 30 zemích světa ukrást dohromady na 300 miliónů dolarů (7,2 miliardy korun).


Malware z Facebooku vám ukradne hesla, míří na prohlížeče Chrome

16.4.2016  Viry
Podvodnou kampaň, která uživatele nutí, aby si stáhli infikované rozšíření internetového browseru Google Chrome, popsali experti Esetu. Varují, že tak lidé mohou lehce přijít o svá hesla.

Kampaň běží na sociální síti Facebook. Jeho základem je škodlivý plugin do prohlížeče Google Chrome, který je ve skutečnosti upravenou verzí jinak legitimního doplňku pro tvorbu obrázků ve formátu GIF. Pokud si jej uživatel stáhne, může ztratit kontrolu nad svým profilem.

Eset v dubnu tuto hrozbu, kterou eviduje pod označením JS/Kilim.SO a JS/Kilim.RG, detekoval v desítkách zemí včetně České republiky.

„Útočníci se pomocí technik sociálního inženýrství snaží přesvědčit uživatele Facebooku, aby si přehrál video, které je nejčastěji nazváno My first video, My video či Privat video. Po kliknutí na odkaz se otevře falešná internetová stránka podobná YouTube, která místo přehrání videa žádá o instalaci infikovaného pluginu ‚My Gif‘, neboť jinak nebude údajné video možné přehrát,“ vysvětluje Miroslav Dvořák, technický ředitel Esetu.

Pokud si oběť nainstaluje škodlivý plugin, dojde k nákaze internetového prohlížeče a infiltrace pokračuje i dále. Jeho profil na sociální síti Facebook začne velmi rychle šířit odkaz na falešnou stránku s video obsahem mezi jeho přátele, změní přístupové heslo k jeho profilu na Facebooku a začne přidávat nové přátele, vytvářet facebookové stránky, měnit a skrývat příspěvky. Tato funkcionalita ale aktuálně není využívána.

Škodlivá kampaň se přitom šíří přes spam a infikované účty na Facebooku a je při tom podle Esetu velmi úspěšná.

V tuto chvíli cílí útoky pouze na uživatele internetového prohlížeče Google Chrome, ale neexistuje žádná záruka, že se v budoucnu nerozšíří i do dalších prohlížečů. Proto existuje riziko, že by se v budoucnu mohla stát mnohem nebezpečnější, pokud jejím prostřednictvím bude šířen i zákeřnější malware s novými schopnostmi, dodává Dvořák.

Jak se zachovat při nákaze?

Odinstalujte škodlivý plugin „Make a GIF“ z prohlížeče Chrome.
Zkontrolujte počítač spolehlivým antivirovým programem či on-line scannerem.
Po kontrole a vyčištění počítače si změňte heslo do Facebooku, případně tak učiňte prostřednictvím jiného bezpečného zařízení. Heslo si neměňte na zařízení s infikovaným internetovým prohlížečem.


Nový virus se šíří Facebookem jako lavina

15.4.2016  Viry
Doslova jako lavina se Facebookem šíří nový virus, před kterým v pátek varovala antivirová společnost Eset. Je velmi zákeřný, protože dokáže krást na této sociální síti uživatelské profily. Pak se automaticky šíří mezi další přátele. Virus se maskuje za doplněk pro internetový prohlížeč Google Chrome.

„Útočníci se pomocí technik sociálního inženýrství snaží přesvědčit uživatele Facebooku, aby si přehrál video, které je nejčastěji nazváno My first video, My video či Privat video. Po kliknutí na odkaz se otevře falešná internetová stránka podobná YouTube, která místo přehrání videa žádá o instalaci infikovaného pluginu My Gif, neboť jinak nebude údajné video možné přehrát,“ vysvětlil Miroslav Dvořák, technický ředitel společnosti Eset.

Útok je zákeřný především proto, že doplněk My Gif skutečně existuje a s počítačovými piráty nemá nic společného. V internetovém prohlížeči standardně slouží ke snadnému vytváření obrázků. Název si kyberzločinci vypůjčili pravděpodobně kvůli tomu, aby uživatele zmátli povědomým jménem.

Převezme kontrolu nad profilem
Pokud jim důvěřivci na trik skočí, dojde k nakažení internetového prohlížeče. Škodlivý kód převezme kontrolu nad profilem na sociální síti Facebook, změní heslo a prakticky okamžitě začne šířit mezi přátele odkaz na podvodné stránky. Na nich se samozřejmě ukrývá opět video, prostřednictvím kterého chtějí do cizích počítačů kyberzločinci propašovat opět falešnou aplikaci My Gif.

Nezvaný návštěvník zároveň zvládne přidávat nové přátele, vytvářet facebookové stránky a dokonce i měnit a skrývat již existující příspěvky. Podle bezpečnostních expertů zatím ale tyto funkcionality nejsou počítačovými piráty využívány.

Zotročené účty na Facebooku mohou samozřejmě počítačoví piráti zneužít k šíření dalších škodlivých kódů, které mohou být ještě sofistikovanější. Může jít například o vyděračské viry, jež zašifrují data na pevném disku, či nebezpečný bankovní malware, který má za úkol vybílit lidem účty.

V Česku i na Slovensku
Kromě již infikovaných účtů na Facebooku se falešný doplněk My Gif šíří také přes nevyžádané e-maily. „V tuto chvíli cílí útoky pouze na uživatele internetového prohlížeče Google Chrome, ale neexistuje žádná záruka, že se v budoucnu nerozšíří i do dalších prohlížečů. Proto existuje riziko, že by se v budoucnu mohl stát mnohem nebezpečnější,“ doplnil Dvořák.

Bezpečnostní experti společnosti Eset již nový virus, který se maskuje za doplněk pro internetový prohlížeč, zachytili v České republice. Dále pak také v Americe, Kanadě, Austrálii, Velké Británii, Rusku, Německu či například na Slovensku.

Pokud byl počítač škodlivým doplňkem My Gif infikován, je nutné jej nejprve odinstalovat z internetového prohlížeče Chrome. Dále je pak nezbytné zkontrolovat počítač antivirovým programem.

Uživatelé by nakonec neměli zapomenout ani na změnu hesla na Facebooku, aby se kyberzločinci nemohli na jejich profily znovu připojit.


Máte ve Windows QuickTime od Applu? Odinstalujte jej co nejdřív
15.4.2016 Zdroj: Živě 
Zranitelnosti
Přehrávač QuickTime byl v minulosti používán především pro zobrazení videoobsahu v kontejneru MOV. To však lépe zvládne i další konkurence a původní přehrávač Appu tak není třeba. Odinstalace je však na místě především kvůli jeho zranitelnosti. Na blogu bezpečnostní společnosti Trend Micro si můžete přečíst o dvou kritických chybách, které mohou vést k napadení systému.

whatis-hero-windowsxp-20100203.jpg
QuickTime měl smysl možná v době Windows XP, dnes jej pohodlně nahradí kvalitnější konkurence

Zpráva je důležitá především proto, že Apple s velkou pravděpodobností nebude vydávat pro QuickTime pod Windows další záplaty. Ta poslední zamířila k uživatelům v průběhu ledna a postarala se například o automatické odinstalování doplňku pro prohlížeče. Ačkoliv si QuickTime pod Windows společně s iTunes nevybudoval příliš dobrou pověst, jistě se najdou mnozí, kteří jej v systému (třeba nevědomky) stále mají.

Problém se týká Windows 7 a starších systémů. Apple nikdy QuickTime pro Windows 8 či Windows 10 nevydal. A pokud byste snad nevěděli, jak odinstalaci provést, Apple dokonce připravil stručný návod jak na to.


Skončila podpora pro SQL Server 2005, jeho provozování může být nebezpečné

14.4.2016 Hrozby
Včera skončila rozšířená podpora všech edic databázového systému SQL Server 2005, oznámil Microsoft. V praxi to znamená, že na tento systém již nebudou vydávány žádné bezpečnostní opravy a aktualizace.

Využívání nepodporovaného řešení s sebou samozřejmě nese možné komplikace souladu s potřebnými předpisy a normami daného odvětví a vyšší náklady na údržbu teď už zastaralého systému.

Zákazníci mají podle Microsoftu možnost přejít na řešení SQL Server 2014 nebo na cloudové řešení Azure SQL Database (pokud samozřejmě chtějí zůstat na platformě ohoto dodavatele).

V březnu byly také představené klíčové funkce nadcházející verze SQL Server 2016, jež zákazníkům přinese zvýšenou bezpečnost dat i poměrně výrazné zvýšení výkonu (30-100krát).

S novou verzí SQL Serveru navíc podle výrobce půjde využívat BI řešení na jakémkoliv zařízení či se bude možné propojit s cloudovými službami pro snížení nákladů či lepší škálovatelnost.


Microsoft pomocí hardwaru výrazně vylepší zabezpečení Windows 10

14.4.2016 Zabezpečení
Od konce července 2016 budou muset všechny nové počítače, tablety a smartphony s Windows 10 splňovat standard TPM 2.0. Microsoft tímto způsobem chce výrazně zvýšit zabezpečení těchto zařízení.

Snaha Microsoftu o vylepšení ochrany dat systémů s Windows 10 tentokrát dopadla na samotné výrobce hardwaru. Dodavatel operačního systému totiž bude využívat hardwarově koncipovanou funkci TPM (Trusted Platform Module) 2.0 a stanovil i minimální požadavky na zařízení s Windows 10 – a ty požadují, aby výrobci osadili svá zařízení příslušným čipem či firmwarem.

Čipy TPM jsou už dostupné řadu let, a to především v podnikových verzích osobních počítačů. Verze 2.0 ale nabídne hardwarovou vrstvu pro ochranu uživatelských dat, a to tak, že bude sama spravovat a ukládat kryptografické klíče v důvěryhodném úložišti (kontejneru).

„Požadavek na TPM se bude vynucovat prostřednictvím našeho programu Windows Hardware Certification," tvrdí Microsoft v blogu na svých stránkách.

Výrobci hardwaru tak budou muset do svých zařízení implementovat TPM 2.0, a to buď formou speciálního čipu, anebo prostřednictvím firmwaru. Funkce TPM přitom musí být defaultně aktivovaná, i když zatím není úplně jasné, zda tuto funkcionalitu budou moci uživatelé dodatečně zrušit.

TPM by mělo podle expertů vést ve Windows 10 k širšímu využívání dvoufaktorové autentizace pro zalogování do PC, aplikací či webových služeb. Například Windows Hello, což je biometrický autentizací systém Microsoft využívající tvář, otisk prstu či rozpoznání oční duhovky, bude nově možné spolu se šifrovanými klíči v TPM spolehlivě využívat k plnohodnotné autentizaci uživatelů.

Spousta firemních notebooků či tabletů s procesory od Intelu už TPM 2.0 zahrnuje, levnější PC ale zpravidla TPM nenabízejí, což se od 28. července musí změnit. A podobně jsou na tom i smartphony. TPM ale i nadále nebude muset být v mini-počítačích typu Raspberry Pi 3.

„Jendoznačným cílem je vytvořit z PC mnohem zabezpečenější platformu,“ tvrdí Kevin Krewell, analytik Tirias Research. Windows podle něj totiž dnes představuje jeden z nejméně chráněných operačních systémů.


Bezpečnostní experti vyzráli na vyděračský virus. K datům se dostanou i bez výkupného

14.4.2016 Viry
Na konci března začali počítačoví piráti hojně šířit nový vyděračský virus Petya. Na něj byla většina antivirových programů krátká, protože tento škodlivý kód byl v šifrování dat na pevném disku daleko rychlejší než jeho předchůdci. Bezpečností experti však nyní přišli na způsob, jak uživatelům data neporušená vrátit.
Vyděračských virů existuje nepočítaně, prakticky všechny ale pracují stejným způsobem. Poté, co se škodlivý kód uhnízdí v cizím počítači, zašifruje všechna uložená data na pevném disku a vyděrači za jejich zpřístupnění chtějí pod různými záminkami zaplatit výkupné.

To přitom nebývá vůbec nízké, zpravidla chtějí jeden bitcoin, tedy v přepočtu víc než deset tisíc korun. Zmiňovanou virtuální měnu nevolí náhodou, prakticky se totiž nedá vystopovat, což značně znesnadňuje odhalení počítačových pirátů.

Výkupné neplatit. Nikdy
Výkupné by ale lidé rozhodně platit neměli. Protože ani po odeslání peněz útočníkům se zpravidla ke svým datům nedostanou. Kyberzločinci jednoduše shrábnou peníze a už se neozvou.

Místo placení výkupného je nutné virus z počítače odinstalovat. Problém ale představují zašifrovaná data, ke kterým se většinou uživatelé už nedostanou.

V případě vyděračského viru Petya nicméně bezpečnostní experti ze serveru Heroku udělali průlom. Prolomili šifrování, které tento nezvaný návštěvník používá. Uživatelům tak dokážou uložená data rozkódovat, respektive opět zpřístupnit. A nechtějí za to ani korunu.

Klíč k odšifrování dat zveřejnili na svých stránkách. Do dekódování dat by se nicméně pro jistotu neměli pouštět méně zkušení uživatelé. Vhodnější je tuto činnost svěřit do rukou odborníků.

Na rychlosti záleží
Petya dělala bezpečnostních expertům vrásky na čele, protože pracovala daleko rychleji než podobné vyděračské viry. Ty potřebují na zakódování všech uložených dat poměrně dost času, klidně i několik hodin. Během toho může jejich práci zachytit antivirový program a zablokovat je ještě dřív, než v počítači nadělají nějakou větší neplechu.

Petya však nešifrovala všechna data, ale pouze tzv. MBR. Jde o hlavní spouštěcí záznam, díky kterému se v podstatě spouští celý operační systém. K zašifrovanému záznamu pak počítač nemá přístup a místo Windows spustí jen hlášku o nutnosti zaplatit výkupné.

Na zašifrování MBR přitom Petya potřebovala pouze pár sekund, proto antiviry prakticky neměly šanci škodlivý kód zachytit, jak Novinky.cz informovaly již dříve.


Microsoft opravoval závažné chyby, stáhněte si záplaty
14.4.2016 Zdroj: Živě 
Zranitelnosti
Microsoft opět uvolnil nadílku bezpečnostních záplat, kterými opravoval závažné i méně závažné chyby ve svých produktech.

Prostor opět dostaly oba internetové prohlížeče, kterými Microsoft disponuje. V obou případech jde o kritické aktualizace. Záplata, která se týká Microsoft Edge, řeší několik chyb, viz Microsoft Security Bulletin MS16-038 (další informace k záplatě).

V případě prohlížeče Internet Explorer se muselo mimo jiné korigovat, jakým způsobem prohlížeč validuje vstupy před nahráváním DLL knihoven i způsob nakládání s objekty v paměti. Záplata je označena jako kritická pro verzi 9 a vyšší je blíže popsána zde: Microsoft Security Bulletin MS16-037.

Problém s fonty i Office

Několik závažných bezpečnostních chyb bylo také třeba záplatovat v grafické komponentě Windows. Kvůli chybě ve způsobu, jakým se zpracovávají upravené vložené fonty však může dojít až ke spuštění škodlivého kódu na počítači nebo jeho ovládnutí. Typicky tak, že uživatel otevře dokument nebo webovou stránku obsahující speciálně upravené vložené fonty. Záplata je kritická nejen pro všechny podporované vydání Windows, ale i .NET Framework, Skype for Business 2016, Microsoft Lync 2013 a Microsoft Lync 2010, viz Microsoft Security Bulletin MS16-039.

Kritickou záplatu si vyžádal i problém odhalený a opravený v Microsoft XML Core Services v rámci Windows. Záplata je kritická pro Microsoft XML Core Services 3.0 na všech podporovaných verzích Windows. Koriguje se jí způsob, jakým MSXML parser zpracovává uživatelské vstupy (Microsoft Security Bulletin MS16-040).

V dubnu byly vydány ještě dvě důležité aktualizace. Jedna se týká kancelářského balíku Office (Microsoft Security Bulletin MS16-042). Záplata, která se týká celého spektra Office produktů upravuje způsob, jakým balíček zachází s objekty v paměti.

Záplatovaný Flash Player i .NET Framework

Dále byla ještě vydána aktualizace pro Adobe Flash Player, přičemž se týká i Windows 10. Onou záplatou se aktualizují (opravují) všechny problematické knihovny Adobe Flashe v rámci prohlížečů Internet Explorer 10, Internet Explorer 11 i Microsoft Edge - Microsoft Security Bulletin MS16-050.

Zbývající záplaty od Microsoftu mají maximální stupeň důležitý. Najdeme mezi nimi například záplatu, která opravuje problém v Microsoft .NET Frameworku. Je důležitá pro Microsoft .NET Framework 4.6 a Microsoft .NET Framework 4.6.1 -Microsoft Security Bulletin MS16-041.

S dalšími záplatami se řešil například problém ve Windows OLE (nekorektně fungující validace uživatelských vstupů) - Microsoft Security Bulletin MS16-044, ve Windows Hyper-V - především na 64-bitových platformách (Microsoft Security Bulletin MS16-045) i ve Client-Server run-time Subsystem (Csrss) v rámci Windows. K zneužití chyby je však třeba, aby se útočník přihlásil na dané zařízení a spustil na něm speciálně upravenou aplikaci - Microsoft Security Bulletin MS16-048.

Zároveň vyšla i nová verze bezplatného bezpečnostního funkce Microsoft Malicious Software Removal Tool. Pro tento měsíc je dostupné vydání s označením 5.35.


Hackeři nepotřebují znát heslo, jednoduše ho smažou

13.4.2016 Zranitelnosti
Bezpečnostní experti kladou uživatelům neustále na srdce, že mají používat sofistikovaná hesla a nikomu je nesdělovat. Jenže občas ochrana heslem nestačí, jak ukazuje nově objevená chyba. Počítačoví piráti se díky ní dostanou do cizí sítě celkem jednoduše, heslo prostě smažou. V ohrožení je podle serveru The Hacker News více než 135 miliónů uživatelů.
Novou trhlinu objevil bezpečnostní výzkumník David Longeneck v zařízení Arris SURFboard SB6141. Jde o modem, který slouží k připojení k internetu přes kabelovou televizi. Hojně je využíván především v USA, není ale vyloučeno, že stejný model využívají také někteří tuzemští uživatelé.

Chyba se týká modemu Arris SURFboard SB6141
Chyba se týká modemu Arris SURFboard SB6141

Chybu mohou počítačoví piráti zneužít dvěma různými způsoby. V první řadě mohou na dálku restartovat zařízení, a tím odpojit všechny připojené počítače od internetu až na tři minuty. A to samozřejmě opakovaně.

Daleko horší ale je, že trhlina jim dovoluje také obnovit na dálku tovární nastavení této brány do světa internetu. Co to znamená v praxi? Je jedno, jak má uživatel sofistikované přístupové heslo, tímto krokem jej kyberzločinci jednoduše smažou. Pak už jen stačí naťukat přednastavené defaultní hodnoty, které klidně vyčtou z volně dostupných návodů na internetu.

Jediný způsob, jak se mohou lidé bránit, je odpojit modem od internetu.
Swati Khandelwal ze serveru The Hacker News
„Chyba je velmi nešťastná. Jediný způsob, jak se mohou lidé bránit, je odpojit modem od internetu,“ uvedl Swati Khandelwal ze serveru The Hacker News. Podle něj totiž v současnosti neexistuje pro trhlinu žádná oprava.

Výrobce routeru – společnost Arris – se zatím k problému oficiálně nevyjádřil. Není tedy jasné ani to, zda pracuje na aktualizaci firmwaru, která by zjednala nápravu.

Nabízí se také otázka, zda podobnou chybu neobsahují i další síťové prvky tohoto výrobce.

Útoků na síťové prvky přibývá
Právě na síťové prvky, jako jsou modemy a routery, se počítačoví piráti v poslední době zaměřují stále častěji. A není se čemu divit. Březnová studie Cisco Annual Security Report ukázala, že devět z deseti internetových zařízení má slabá místa.

Když kyberzločinci získají přístup k routeru nebo modemu, dokážou napáchat daleko větší neplechu, než kdyby propašovali nezvaného návštěvníka jen do počítače. S pomocí škodlivých kódů, jež do těchto síťových prvků nahrají, mohou například odposlouchávat komunikaci nebo přesměrovávat internetové adresy. 

Přesně to udělali už v minulosti díky zranitelnosti známé jako „rom-0“. Místo serverů, jako jsou například Seznam.cz nebo Google.com, se poškozeným zobrazila hláška o nutnosti instalace flash playeru. Místo té se ale do PC stáhnul další virus. Útočníci tak rázem měli přístup nejen k routeru, ale i k připojenému počítači.


Na Českou spořitelnu míří další vlna phishingu. Tentokrát i s SMS
12.4.2016 Zrdroj: Živě 
Phishing
Na klienty České spořitelny míří další phishingový útok. A zatímco v březnu se jednalo o běžný e-mail, který obsahoval odkaz na podvodnou přihlašovací stránku, tentokrát útočníci použili o kus sofistikovanější metodu. Rozesílají totiž SMS zprávy, kde je identifikace podvodu složitější.

phishing_sms1.png

phishing_sms2.png

phishing_sms3.png

Možné podoby podvodné SMS zprávy (zdroj: ČS)

Zprávy mají hned několik podob – některé upozorňují na neoprávněnou platbu, další na možnost cizího přihlášení do bankovnictví a nechybí ani předstírané technické potíže s nutností kontroly údajů. Všechny však končí stejně – odkazují na weby s podvodným přihlašovacím formulářem. Tam potenciální oběť zadá přihlašovací údaje, které jsou uloženy do databáze útočníků.

Nebezpečnost spočívá především v tom, že se zprávy tváří jako z běžné SMS brány, kterou podobné instituce používají. Podvod tak lze rozpoznat především díky pomlčkovým kombinacím v doméně a případně podle chybějícího HTTPS zabezpečení na přihlašovací stránce.


Windows bude na BSOD zobrazovat i QR kód. Ulehčí hledání chyby
12.4.2016 Zrdroj: Živě
Bezpečnost
Modré obrazovky smrti se největší změny dočkaly s příchodem Windows 8, kdy je Microsoft převlékl do modernějšího vzhledu a přidal smutného smajlíka. Vyhledání problému, který pád systému způsobil, stále spočívá v ručním vyhledání chybového kódu. To by se mohlo v budoucích sestaveních Windows 10 změnit. V testovacím buildu se objevila funkce QR kódů, které by mohly odkazovat na řešení.

o6xx4pl.png
Podoba QR kódu na modré obrazovce smrti (zdroj: Reddit)

Informaci o nové možnosti modrých obrazovek poprvé zveřejnil web MicrosoftInsider.es, následně ji potvrdili i uživatelé Redditu. QR kód zatím odkazuje na stejnou stránku windows.com/stopcode. Snadno si však můžeme představit, že by odkaz vedl na web Microsoftu s popisem a řešením konkrétního problému.

Zádrhelem však mohou být nepřipravení uživatelé, kteří nemají v telefonech nainstalované čtečky QR. Těm nezbyde nic jiného než rychlé opsání kódu chyby.


Při velkém hacku unikly údaje o všech voličích z Filipín

12.4.2016 Zrdroj: Lupa  Incidenty

Filipínská volební komise (COMELEC) neochránila data o voličích a údaje o 55 milionech lidí jsou k dispozici na internetu.
Útočníci, kteří se označují za Anonymous Phlippines, 27. března napadli webové stránky Filipínské volební komise (COMELEC) a o několik dní později LulzSec umístili databázi voličů online.

Podle zahraničních zdrojů bylo důvodem hacku vyvolat tlak na zlepšení zabezpečení hlasovacích přístrojů ještě před volbami, které se budou na Filipínách konat 9. května.

COMELEC tvrdí, že v hacknutých datech nejsou „žádné citlivé informace“ a hackeři „nezískali nic hodnotného“. Trend Micro je ale jiného názoru, takže to vypadá na klasickou PR taktiku zamlčování a vymýšlení si.

V uniklých datech se mají nacházet citlivé osobní informace, včetně hesel a digitálních otisků prstů. S ohledem na velikost úniku může jít o největší únik vládních dat v historii. Doposud prvenství držel nejspíš únik dat z OPM v loňském roce s údaji o 20 milionech amerických občanů.

Média upozorňují, že uniklá data se dají využít ke krádežím identit a podvodům, protože obsahují mnohem více informací, než pouze data o voličích, která jsou (nebo by měla být) dostupná přímo na webu Filipínské volební komise.

V celém rozsahu úniku jde o šestnáct databází a 355 tabulek – některé z nich mají vztah k obsahu webu a mechanismu voleb jako takovému, ale část obsahuje přímo údaje voličů – z nich jméno, příjmení, datum narození a voličské identifikační číslo jsou v šifrované podobě, ale další údaje nikoliv, ať už jde například o adresu bydliště nebo místo narození. V některých tabulkách jsou ale i jména a příjmení, jména rodičů, data narození, čísla pasů a další data nešifrovaná.

Mezi údaji jsou podle všeho i ty, které zadávali samotní voliči v rámci plánování schůzek při registraci k volbám. Je jich méně, ale obsahují i další osobní údaje – například e-mailový kontakt, plná jména obou rodičů, daňový identifikátor a další.

Jako u každého úniku i zde pochopitelně platí, že není jisté, nakolik jsou zveřejněná data autentická, zda do nich někdo nezasáhl a podobně.

Filipínská volební komise také zdůrazňuje, že samotné volby a volební systém nemají s hacknutým webem (a z něj získanými databázemi) žádné spojení a jde o zcela rozdílné systémy. Ale jako všechno, i toto je potřeba brát s rezervou.


Vyděračské viry se šíří skrze Flash Player. Používají jej stovky miliónů lidí

11.4.2016 Viry
Oblíbený program Flash Player od společnosti Adobe, který slouží k přehrávání videí na internetu, má kritickou bezpečnostní chybu. Tu už začali zneužívat počítačoví piráti k šíření vyděračských virů. Vývojáři z Adobe už naštěstí vydali aktualizaci na opravu nebezpečné trhliny.
Chyba se týká všech podporovaných platforem, tedy operačních systémů Windows, Mac OS X či Chrome OS, uvedl server iDigital Times. Podle něj stačí, aby uživatel navštívil podvodné stránky, na kterých mu bude nabídnuto video k přehrání.

Právě prostřednictvím něj se na pevný disk dostane nezvaný návštěvník. Uživatel přitom nemusí vůbec nic stahovat, stačí, když prostě spustí přehrávání. Kvůli chybě tím otevře zadní vrátka do svého operačního systému. V něm se pak uhnízdí vyděračský virus zvaný Cerber.

Požaduje výkupné
Na napadeném stroji dokáže virus Cerber udělat pěkný nepořádek. Nejprve zašifruje všechna data uložená na pevném disku. Za jejich zpřístupnění pak útočníci požadují výkupné, a to klidně i několik tisíc korun.

Kyberzločinci se zpravidla snaží v majiteli napadeného stroje vzbudit dojem, že se ke svým souborům dostane po zaplacení pokuty. Ta byla údajně vyměřena za používání nelegálního softwaru apod. I proto jim celá řada lidí již výkupné zaplatila.

Zaplatit zpravidla chtějí v bitcoinech, protože pohyby této virtuální měny se prakticky nedají vystopovat. A tím logicky ani nelegální aktivita počítačových pirátů.

Ani po zaplacení výkupného se uživatelé ke svým datům nedostanou. Místo placení výkupného je totiž nutné virus z počítače odinstalovat. Zpřístupnit nezálohovaná data je už ale ve většině případů nemožné.

S aktualizací neotálet
Právě kvůli závažnosti nově objevené trhliny vydali prakticky okamžitě vývojáři společnosti Adobe aktualizaci, která ji opravuje. Stahovat ji je možné buď prostřednictvím automatických aktualizací, nebo přímo z webových stránek společnosti Adobe.

S ohledem na závažnost chyby, by uživatelé s aktualizací neměli v žádném případě otálet.

Flash Player používají k přehrávání videí na internetu stovky miliónů lidí. Právě kvůli velké popularitě se na něj často soustředí počítačoví piráti. Těm se například minulý měsíc podařilo objevit jinou kritickou chybu, kvůli které mohli do počítače propašovat prakticky libovolný škodlivý kód.


Na odblokování nových iPhonů jsme krátcí, přiznali vyšetřovatelé z FBI

9.4.2016 Ochrany
Vedení společnosti Apple si může oddechnout. Americký Federální úřad pro vyšetřování (FBI) patrně neví o žádné kritické chybě v operačním systému iOS, která by ohrožovala desítky miliónů uživatelů po celém světě. Zpřístupnit data z iPhonu teroristy ze San Bernardina se vyšetřovatelům podařilo prostřednictvím speciálního nástroje, který stačí pouze na starší iPhony.
Se zmiňovaným nástrojem se FBI dokáže dostat pouze do iPhonu 5C a starších jablečných smartphonů. Na iPhone 5S a novější přístroje je prý metoda vyšetřovatelů krátká. Potvrdil to šéf FBI James Comey na konferenci o šifrovacích technologiích, která se konala tuto středu v Ohiu.

„Máme nástroj, který však nepracuje na všech iPhonech,“ prohlásil podle agentury Reuters Comey. Žádné bližší informace však prozradit nechtěl.

Vyšetřovatelům pravděpodobně s prolomením zabezpečení iPhonu pomohla společnost Cellebrite se sídlem v Izraeli. Firma britské stanici BBC potvrdila, že s americkými vyšetřovateli spolupracuje, ale více nesdělila.

Na svých internetových stránkách nicméně Cellebrite prohlašuje, že jeden z jejích nástrojů umí dekódovat a extrahovat data z iPhonu 5C. 

Apple pomoc odmítal
Vyšetřovatelé z FBI se do uzamčeného iPhonu islámského radikála nemohli dostat dlouhé dva měsíce. Jeho iPhone 5C byl nastaven tak, aby se po zadání deseti nesprávných kódů automaticky vymazal, s čímž si bezpečnostní experti z FBI původně nedokázali poradit.

Soud proto Applu v únoru nařídil, aby tuto funkci vypnula, což však není technicky možné. Proto vyšetřovatelé chtěli po americkém softwarovém gigantu vytvořit v operačním systému iOS „zadní vrátka“, což však vedení Applu odmítalo.

Vyšetřovatelům z FBI se nakonec podařilo do uzamčeného zařízení dostat. Detaily o průniku však nezveřejnili. 

Chyba prý neexistuje
Tím rozpoutali vášnivou diskusi mezi bezpečnostními experty. Vše totiž nasvědčovalo původně tomu, že FBI ví o kritické bezpečnostní chybě v operačním systému iOS, který využívají právě chytré telefony iPhone a počítačové tablety iPad. O té neměli mít potuchy ani vývojáři z Applu. 

Čerstvé prohlášení šéfa FBI však nyní nasvědčuje tomu, že uživatelé v ohrožení nejsou. Jinými slovy vyšetřovatelé neznají žádnou chybu, díky níž by byli schopni zpřístupnit libovolné zařízení s logem nakousnutého jablka.

Útok v San Bernardinu byl nejtragičtějším od teroristických útoků v zemi v září 2001. Zradikalizovaný muslim Syed Farook a jeho žena Tashfeen Maliková tam na počátku loňského prosince zastřelili 14 lidí. Později byli zabiti při přestřelce s policií.


FBI: naše metoda pro odemknutí telefonu bude fungovat jen na iPhonu 5C
8.4.2016
Ochrany
Spor mezi FBI a Applem o asistenci při odemknutí iPhonu 5C skončil tím, že federální služba našla způsob pro obejití ochrany. Veřejnost a především Apple potom zajímá, jakým způsobem se k datům v zamknutém telefonu dostala. V rozhovoru pro CNN se jeden ze zástupců FBI nechal slyšet, že způsob odemknutí Applu nesdělí, protože by mohl chybu opravit. Zároveň však dodal, že tato metoda funguje jen u modelu iPhone 5C či starších.

Apple | Právo | Bezpečnost
FBI už Apple nepotřebuje. K datům z iPhonu se dostala svépomocí a spor končí

S velkou pravděpodobností se tak jedná o potvrzení způsobu, s nímž přišel třeba Edward Snowden. Ten spočívá ve zkopírování flash paměti a pokusy o prolomení bezpečnostního zámku provádět na tomto klonu. Metoda však může fungovat pouze u iPhonů s čipsetem Apple A6 a staršími. To znamená právě model 5C, případně 5. Od verze 5S s čipsetem A7 integroval Apple do svých telefonů bezpečnostní koprocesor obsahující část zvanou Secure Enclave. Ta ověřuje integritu hardwaru a v případě, že zaregistruje jeho změny, odstaví část systému nebo hardwaru z provozu. To je mimo jiné důvod nedávného rozhořčení nad nemožností svépomocí vyměňovat čtečku otisků prstů Touch ID.


Neaktualizované aplikace bývají příčinou napadení, české firmy to ale podceňují

8.4.2016 Zabezpečení
Až 85 % českých menších a středních podniků podceňuje softwarové aktualizace, tvrdí průzkum GFI. Většina podniků prý má dobře ošetřené updaty softwaru Microsoftu, nicméně podceňuje „záplatování“ softwaru třetích stran, jako Adobe, Google či Mozilla.

Podle organizace National Vulnerability Database, která sleduje globální zranitelnosti softwarových systémů, jsou dlouhodobě nejzranitelnější aplikace, několikanásobně více než operační systémy či hardwarové systémy.

K nejzranitelnějším aplikacím se podle ní řadí webové prohlížeče, Java a aplikace zdarma od Adobe jako Flash Player, Reader, Shockwave Player či AIR. A právě na tento software se soustřeďuje pozornost hackerů, kteří se snaží prostřednictvím bezpečnostních děr napadnout počítače a podnikovou síť.

Firma GFI nedávno vykonala lokální průzkum, kde zjišťovala, jak se k tomuto problému staví tuzemské firmy. A zjištění jsou podle ní alarmující. Například s problémy nedostatečně dělaných softwarových aktualizací se často setkává 23 % českých SMB společností, ojediněle 62 %.

Hlavními překážkami správně prováděného patch managementu ve firmách jsou přitom nedostatečné povědomí o problematice (54 %), obavy, že po aktualizaci nebude něco fungovat (46 %) a vysoká cena specializovaných nástrojů (41 %).

Z nástrojů pro patch management, které se v českých fimách používají, jde převážně o služby WSUS (46 %) a Windows Update (43 %)

„Tam, kde dobře fungují automatizované aktualizace, jako například u operačních systémů, je úroveň zranitelnosti nižší,“ říká Zdeněk Bínek, zodpovědný za prodej řešení GFI Software v ČR a na Slovensku a dodává: „Problém nastává u aplikací třetích stran, kde uživatelé často aktualizaci manuálně zamítnou a tím vystaví svůj počítač a celou firemní síť možným útokům.“

Podle něj může být vhodným přístupem využít centralizované nástroje, které dokážou jednak s pomocí simulovaných útoků vyhodnotit zranitelnost infrastruktury a jednak dovolí automaticky instalovat aktualizace na jednotlivé počítače bez potřeby zásahu uživatele.


FBI: Náš odblokovací nástroj na iPhony nefunguje na nové modely

8.4.2016 Zabezpečení

V kauze zašifrovaného iPhonu střelce ze San Bernardina je jasno. FBI si sehnala člověka, který telefon odblokuje. Univerzální řešení ale úřady nemají.
Dnes 8:56 Jan Beránek
Sdílet na Facebooku Odeslat na Twitter Sdílet na Google+
Nálepky: Apple Bezpečnost iPhone Šifrování WhatsApp
Prolomili zabezpečení u iPhonu 5C, ale dál se zatím nedostali. Podle agentury Reuters to přiznal šéf FBI James Comey. „Máme nástroj, který funguje jen na některých telefonech,“ tvrdil na šifrovací konferenci v Kenyon College v Ohiu. Podle agenta jejich technika nefunguje u modelů od verze 5S výše.

Ačkoliv nejde technologie vyšetřovatelů použít pro novější modely, FBI to nevzdává. Zkouší se k univerzálnímu klíči dostat za pomoci soudů. Přístup k zašifrovaným iPhonům by se agentům totiž hodil i v jiných případech než jen u přestřelky v San Bernardinu.

A je to právě otázka, jestli má výrobce telefonů poskytovat úřadům nástroj na odemykání zašifrovaných mobilů, nebo ne, která která poslední měsíce lomcuje Silicon Valley.

"Potěšila nás podpora celé Ameriky. Vydržíme. Věříme tomu, že máme zodpovědnost za ochranu vašich dat a vašeho soukromí. Dlužíme to našim zákazníkům a dlužíme to i této zemi,“ dokončil Tim Cook svůj proslov na prezentaci nových produktů.

Každopádně šifrování začalo být zase sexy. Kompletní šifrování veškeré komunikace třeba ohlásil WhasApp. Komunikační aplikace posbírala zatím miliardu uživatelů. A všichni budou teď mít šifrované nejen zprávy, ale i videa nebo obrázky.

Podle vyjádření firmy, i hlasové hovory. Koneckonců, majitel WhatsAppu, Facebook, si bere ochranu soukromí za jeden ze svých cílů, ať už to může znít jakkoliv paradoxně.


Podvodníci to zkouší přes SMS, pak důvěřivcům vybílí účet

8.4.2016 Podvod
Nový trik začali v posledních dnech zkoušet počítačoví piráti na tuzemské uživatele. Vylákat přihlašovací údaje k internetovému bankovnictví se snaží prostřednictvím SMS zpráv. Poté jim už zpravidla nic nebrání v tom, aby lidem vybílili účet. Před novou hrozbou varovali zástupci České spořitelny.
SMS zprávy se snaží vzbudit dojem, že je odesílá Česká spořitelna. Ta přitom s klientem skutečně touto formou v některých případech komunikuje. I jinak velmi ostražití uživatelé se mohou nechat relativně snadno napálit.

Jedna z podvodných zpráv informuje o zablokování internetového bankovnictví, tedy služby Servis 24. „Vážení kliente České spořitelny, dosáhli jste maximálního možného počtu pokusů o přihlášení do služby Servis 24. Pro odblokování Vašeho účtu se přihlaste zde. Vaše Česká spořitelna,“ tvrdí podvodníci.

Pod slovem zde se přitom ukrývá odkaz na podvodné webové stránky, kde chtějí počítačoví piráti po uživateli zadat přihlašovací údaje k internetovému bankovnictví. Pokud to důvěřivci skutečně udělají, dají kyberzločincům přímý přístup ke svému bankovnímu účtu.

Ukázka jedné z podvodných SMS zpráv

Ukázka jedné z podvodných SMS zpráv

Na odkaz se snaží uživatele přinutit kliknout i další zpráva: „Vážený kliente, právě Vám na Váš účet dorazila neoprávněná platba. Zkontrolujte Váš účet na stránce ceskasporitelna-servis24.cz.“ SMS zprávy na náhodně vybraná telefonní čísla, mohou přitom přijít i lidem, kteří účet u spořitelny vůbec nemají.

Nová hrozba se logicky týká pouze majitelů chytrých telefonů. Starší mobily bez webových prohlížečů a přístupu k internetu totiž nedovedou odkazy v SMS zprávách otevírat.

Útočníci se zaměří na potvrzovací zprávy
Pokud se počítačoví piráti dostanou k přihlašovacím údajům do internetového bankovnictví, jsou jen krůček od vybílení účtu. Stačí, aby se jim podařilo na chytrý telefon propašovat dalšího nezvaného návštěvníka, který dovede odchytávat SMS zprávy pro potvrzení plateb.

To by přitom pro ně nemělo být kdovíjak složité. Číslo své oběti díky první podvodné SMS zprávě s odkazem na falešné stránky spořitelny už mají.

Na podobné zprávy by proto lidé neměli vůbec reagovat. „Důrazně varujeme před jakoukoliv reakcí na tyto výzvy! V žádném případě neklikejte na odkaz v SMS zprávě. Podvodníci by se tak totiž mohli dostat k vašim penězům! V případě jakýchkoliv pochybností nás kontaktujte na bezplatném telefonním čísle 800 207 207,“ varovali zástupci České spořitelny.

Podobně by lidé měli postupovat i v případě, že jim přijde SMS zpráva, ve které se podvodníci budou vydávat za jiný finanční institut. V případě neobvyklého chování chytrého telefonu nebo internetového bankovnictví, by se měli obrátit na svou banku.


Google opravil 39 chyb v Androidu, 15 kritických

7.4.2016 Zranitelnosti
Uživatelé Androidu se mohou cítit bezpečněji, Google vydal rozsáhlou bezpečnostní aktualizaci systému.

Google vydal jednu z největších měsíčních aktualizací Androidu, opravující 39 chyb, z nichž 15 bylo vyhodnoceno jako kritických a 4 mohly vést až k úplné ztrátě kontroly nad systémem.

Součástí je i oprava chyby označované jako CVE-2015-1805, na kterou Google upozornil před dvěma týdny a které lze zneužít i prostřednictvím veřejně dostupné rootingové aplikace.

Jak se v posledních měsících ukazuje, komponenty, jejichž prostřednictvím Android zpracovává média, jsou častým zdrojem závažných mezer – aktuální aktualizace obsahuje rovnou devět patchů pro chyby související s media codecem, mediaserverem nebo knihovnou pro práci s multimédii (Stagefright), jichž byl schopný hacker zneužít k úplnému ovládnutí přístroje.

Další komponenty, kterých se nápravná aktualizace týká, zahrnují Android Kernel, DHCP klient či moduly Qualcomm. Patchování se však týká i méně závažných chyb, které však například prostřednictvím Bluetoothu či nejrůznějších ovladačů, mohly aplikacím dávat větší práva, než jaká vyžadovaly oficiálně.

Podle Googlu však žádná z těchto chyb, vyjma CVE-2015-1805, zneužita nebyla nebo alespoň o tom společnost nemá žádné informace.

Na chybovost systému dohlíží takzvaný Android Security Team, a to prostřednictvím bezpečnostních systémů Verify Apps a SafetyNet – první skenuje zařízení na hrozby pramenící z aplikací stažených na Google Play, druhý z aplikací stažených mimo Google Play.

Samotný Android je však ve svých novějších verzích čím dál tím bezpečnější a jestliže s aktualizací přijde některý z výrobců, uživatelé jsou vyzýváni k tomu, aby ji instalovali pokud možno co nejdříve.


Hacking Team přišel o licenci, v Evropě už nemůže prodávat špionážní software

7.4.2016 Hacking
Společnost Hacking Team, která dodává vládám a tajným službám po celém světě software pro sledování telefonní a internetové komunikace, musela loni řešit problémy týkající se uniklé databáze svých klientů. Nyní má tento italský podnik další velký problém – v Evropě už nebude moci prodávat svůj špionážní software.
Z kauzy týkající se uniklé databáze, která obsahovala stovky gigabajtů dat o klientech společnosti Hacking Team a která kolovala od poloviny loňského roku internetem, se italský podnik po několika měsících vzpamatoval. V letošním roce se tak podle serveru The Hacker News již naplno rozjela výroba špionážního softwaru na zakázku.

Právě kvůli tomu se ale společnost Hacking Team na domovském trhu stala trnem v oku italskému ministerstvu pro hospodářský rozvoj (MISE). To zrušilo těmto bezpečnostním expertům oprávnění vyvážet programy do celé Evropy. Pro své podnikání tak budou muset nyní lidé z Hacking Teamu žádat o udělení individuální licence pro každý trh, což nemusí být zas tak snadné.

Teoreticky tedy může vedení italského podniku dál podnikat mimo USA, možnosti šíření špionážního softwaru se ale značně zkomplikují.

Ukradená databáze prozradila téměř vše
Hacking Team je jednou z největších společností svého druhu. Špionážní software a další bezpečnostní programy nabízí tato italská firma prakticky do celého světa, svou vlastní bezpečnost přesto v loňském roce podcenila. Hackerům se tak podařilo dostat k databázi klientů a zakázek.

Z ní bylo možné snadno získat prakticky všechny nástroje, které byly používány ke šmírování a sledování lidí snad ve všech koutech světa. Společnost Hacking Team nabízela hned několik různých „bezpečnostních“ produktů.

Hlavní obchodovatelnou surovinou ale byl program Remote Code System. Ten dovoluje snadnou infiltraci do chytrých telefonů i počítačových tabletů, aby je bylo možné odposlouchávat. Využívá k tomu chyby v operačních systémech a dalších programech.

Miliónový byznys
Na seznamu klientů požadujících tvorbu virů budila v našich končinách největší pozornost česká společnost Bull, která v době úniku databáze vystupovala už pod jménem Atos IT Solutions and Services. Ta podle všeho nakupovala šmírovací programy pro českou policii, konkrétně pro Útvar zvláštních činností.

Ze zveřejněných e-mailů vyplývalo, že jen během letošního a minulého roku policisté poptávali u italských vývojářů možnost infikovat zařízení potenciálního návštěvníka mnoha dalších internetových stránek včetně velkých bank.

Na seznamu klientů byly kromě České republiky také Saúdská Arábie, Kazachstán, Omán, Jižní Korea, Libanon či Mongolsko. Jen za loňský rok si společnost Hacking Team měla přijít na několik desítek miliónů eur. Z České republiky mělo plynout údajně 690 000 eur, tedy více než 18,6 miliónu korun.


Personalisovaný ransomware: příloha obsahuje jméno i pracovní pozici oběti
7.4.2016 Zdroj: Živě.cz 
Viry
Bezpečnostní společnost Proofpoint upozorňuje na další typ malwaru, kteří se začíná šířit pomocí e-mailových příloh. Zajímavý je však tentokrát především způsob, kterým chtějí útočníci donutit oběť k otevření přílohy. Zprávy proto rozesílají s osobními údaji nejen v předmětu zprávy - jméno cíle se objevuje také v textu e-mailu a především potom v názvu přiloženého dokumentu. Jak je vidět na screenshotu níže, může se jednat třeba o zinscenované řešení konfliktu na pracovišti.

personalized-actor3-640x514.png
Ukázka sofistikovaného e-mailu cíleného na konkrétní obět (zdroj: Proofpoint)

Podle Proofpointu se přiložený soubor nejčastěji stará o instalaci tzv. ransomware – tedy malwaru, který zašifruje uživatelská data a dešifrovací klíč je možné získat až po zaplacení tučného výkupného. To však bez záruky, že bude opravdu fungovat a uživatel se ke svým datům dostane. Podobným způsobem však mohou útočníci instalovat i další typy malwaru jako je ten s názvem Ursnif ISFB, který se snaží získat bankovní údaje.

Útoky jsou cíleny nejčastěji na management firem – jejich pracovní pozice nejčastěji nesou označení jako finanční ředitel či viceprezident. Informace mohou útočníci snadno získat třeba z profesní sítě LinkedIn, kde je snadno spojí i s fyzickou adresou firmy, případně mohou do e-mailu zahrnout i jména skutečných kolegů.


Německá policie si došlápla na hackery. Zátahy probíhaly také v Nizozemsku či Kanadě

7.4.2016 Hacking
Německá policie podnikla v celé zemi rozsáhlý zátah proti počítačovým pirátům. Ve všech 16 spolkových zemích provedla prohlídky ve 175 bytech a firmách namířené proti 170 podezřelým osobám. Podobné zátahy se konaly také v Nizozemsku, Lucembursku, Francii a Kanadě, sdělily ve středu podle agentury DPA generální státní zastupitelství a policejní prezidium v Koblenzi.
Zadrženi byli dva muži podezřelí z trestné činnosti spojené s počítači. Hlavní podezřelý podle sdělení orgánů činných v trestním řízení pochází z Porýní-Falce. Druhý zadržený je ze Sárska a při domovní prohlídce u něj byly nalezeny drogy a také zbraně.

Mezinárodně koordinované akce se zúčastnilo na 700 policistů, kteří zajistili více než 300 počítačů a nosičů dat. Podle poskytnutých informací zadržený hacker působil po celém světě a na internetu poskytoval jiným počítačovým pirátům nástroje pro trestnou činnost.

„K nabízeným službám patřil například speciální software, který maskoval cizí škodlivé programy (jako jsou viry či trojské koně) před antivirovými programy," uvedly státní zastupitelství a policie. Tento takzvaný malware byl pak využíván například ke zjišťování přístupových hesel a bankovních informací a následně k okrádání a vydírání.

Jaká škoda byla takto způsobena, nelze podle generálního státního zástupce Jürgena Brauera zatím říci. Nejprve je třeba projít rozsáhlé datové soubory, které byly zadrženy. To zřejmě potrvá delší dobu.


AMERIČTÍ HACKEŘI SE ZAMĚŘILI NA PRESTIŽNÍ ADVOKÁTNÍ KANCELÁŘE
6.4.2016
Incidenty

Koordinovaný útok na počítačové sítě tří nejprestižnějších advokátních kanceláří ve Spojených státech vyšetřuje Federální úřad pro vyšetřování (FBI).

Agenti se domnívají, že pachatelům šlo o důvěrná data klientů napadených kanceláří, s nimiž chtěli obchodovat. Mezi poškozenými jsou advokátní kanceláře Cravath Swaine & Moore LLP a Weil Gotshal & Manges LLP, které zastupují banky na Wall Street a společnosti zařazené do žebříčku Fortune 500. Advokátní skupina Cravath následně vydala prohlášení, podle něhož k útokům došlo již loni v létě a kancelář při nich nepřišla o žádná důvěrná data.

Tomu však někteří bezpečnostní experti příliš nevěří a varují, že advokátní kanceláře jsou velmi lákavým cílem kyberútoků. „Zatímco většina firem si vytváří a ukládá důvěrná data interně, advokátní kanceláře mají tendenci získávat a shromažďovat velmi cenná data od svých klientů, která jednotliví advokáti sdílí po celou dobu kontraktu. To představuje velkou výzvu pro IT a bezpečnostní týmy těchto firem: na jednu stranu musí být taková data přístupná advokátům a zaměstnancům kanceláře odkudkoli zvenčí, ovšem na druhou stranu je potřeba s takto shromážděnými daty nakládat velmi opatrně,“ míní bezpečnostní specialista společnosti Rapid7 Tod Beardsley.

Ochránit taková data je o to těžší, že nejrespektovanější advokátní kanceláře mají jejich část uloženu ve starších systémech. „Cravath Swaine & Moore, ale i mnoho jejich vrstevníků, nepočítá svou historii na léta, nýbrž na staletí,“ upozorňuje Beardsley. „Tyto firmy musely archivovat důvěrná data po celá desetiletí a zároveň inovovat svoje komunikační technologie a IT infrastrukturu, ale také současně držet krok s rychle se měníním nebezpečním kybernetických hrozeb,“ uzavřel expert.


DALŠÍ TŘI AMERICKÉ NEMOCNICE CÍLEM RANSOMWARE ÚTOKU
6.4.2016
Viry

Americká FBI vyšetřuje tři případy napadení IT systémů nemocnic ve Spojených státech škodlivým ransomware. Takzvaný vyděračský vir šifruje počítače a jejich obsah, načež útočník požaduje za jejich odblokování výkupné.

Nejnovější útoky se soustředily na zdravotnická zařízení v Kalifornii a Kentucky, konkrétně na kentuckou Methodist Hospital a kalifornské Chino Valley Medical Center a Valley Hospital Desert. Podle dosavadních informací žádná z nemocnic nezaplatila výkupné a všem se podařilo obnovit jejich systémy, aniž by útočník narušil chod zařízení a ohrozil citlivá data pacientů.

Metodistická nemocnice v Kentucky však musela vyřadit z provozu všechny své počítače a aktivovat záložní systém.

„Methodist Hospital momentálně funguje ve stavu nouze z důvodu napadení počítačovým virem, který omezil využívání elektronických služeb. Na odstranění tohoto problému pracujeme, do té doby budou naše internetové služby a elektronická komunikace omezeny,“ uvedla nemocnice na svých internetových stránkách.
Fred Ortega, mluvčí kalifornských zařízení Chino Valley Medical Center a Valley Hospital Desert, rovněž potvrdil napadení IT infrastruktury obou nemocnic. „Nicméně většina systémů kritické infrastruktury byla již uvedena zpět do režimu online,“ ujistil.

K útokům došlo několik týdnů poté, co ransomware vyřadil z provozu počítače v jiném zdravotnickém zařízení - Hollywood Presbyterian Medical Centre v Los Angeles. Představitelé nemocnice útočníkovi za odblokování počítačů zaplatili. V případě kentucké Methodist Hospital útočil známý ransomware Locky, který zašifroval soubory, včetně obrázků, a přidal jim příponu „.locky“. Tento vir se nejčastěji dostane do systému elektronickou poštou jako příloha nevyžádané zprávy a požaduje od příjemce, aby povolil makra, jinak si nebude moci přílohu přečíst. Jakmile dojde k infiltraci počítače oběti, zobrazí se na displeji zpráva s pokyny, jak zaplatit výkupné za odblokování počítače.


BANKOVNÍ TROJAN PRO ANROID DOKÁŽE OBEJÍT 2FA
6.4.2016
Mobilní

Android/Spy.Agent.SI krade přihlašovací údaje do mobilního bankovnictví z více než 20 aplikací známých bank. Malware se maskuje jako Flash Player, včetně legitimně vypadající ikony. Díky schopnosti zachytávání SMS komunikace překoná i dvoufaktorové ověření identity uživatele.

Malware se stahuje z několika serverů, které byly registrovány na konci ledna a začátku února. Zajímavostí je, že URL adresy ke škodlivému APK balíčku se mění každou hodinu. Jde o klasickou metodu, jak co nejdéle odolávat detekčním mechanismům antivirových programů.

bankovní trojan

Po stažení a instalaci aplikace požádá uživatele o přístup do zařízení s administrátorskými právy. Po udělení oprávnění škodlivou aplikaci nejde klasickou cestou odinstalovat. Ikona aplikace, která se vydává za Flash Player, se v uživatelském rozhraní skryje, takže na první pohled to vypadá, že k instalaci vůbec nedošlo, malware však už na pozadí provádí svou činnost.

Android/Spy.Agent.SI komunikuje se vzdáleným serverem. V pravidelných intervalech 25 sekund odesílá na server informace o infikovaném zařízení – model, IMEI, jazyk, verze SDK a instalovaných aplikacích. Z těch ho nejvíce zajímají bankovní aplikace. Pokud dojde ke shodě s cílovými aplikacemi, dojde k útoku.

Nejde o nic složitého. Při zapnutí legitimní aplikace malware zablokuje otevření aplikace a požaduje zadání přístupových údajů v podvodném okně. Samozřejmě v reálu k žádnému ověření zadaných údajů nedochází, místo toho Android/Spy.Agent.SI získaná data ihned odesílá na vzdálený server. Podobný způsobem se snaží získat přístup i do Google účtu.

wls spy02

Výměna informací mezi zařízení a serverem je kódována. Vše kromě ukradených přihlašovacích údajů, které se odesílají v plain textu.

wls spy03

Pak už při podvodné platbě zbývá jen obejít ověření pomocí SMS zprávy. Opět jde o jednoduchý proces. Malware odešle text smsky na server a zároveň zamaskuje, že by nějaká SMS na zařízení vůbec přišla. Útočník tak může nepozorovaně okrádat uživatele a převádět peníze na vlastní účty.

Android/Spy.Agent.SI prozatím útočí jen v Austrálii, Novém Zélandě a Turecku.


TÝDNY OD OBJEVENÍ MALWARE LOCKY STÁLE NAPADÁ A ŠIFRUJE INFIKOVANÉ POČÍTAČE. JAK TO DĚLÁ A JAK SE BRÁNIT?
6.4.2016
Viry

Win32/Filecoder.Locky.A je ramsonware, který šifruje více než 100 typů souborů (od obrázků až po databáze) na pevných, vyměnitelných i síťových discích. Po spuštění se nakopíruje do lokace %temp%\­svchost.exe a přidá do registrů záznam, který zajistí spuštění při každém startu infikovaného počítače.

K infekci dochází při otevření infikované přílohy e-mailu. Příloha se většinou „tváří“ jako Word nebo Excel soubor, která však obsahuje škodlivé makro. Pamětníci si jistě pamatují, že ze makroviry nejsou nic nového, jen na nějaký čas téměř zcela vyklidily pole. Společnost ESET zaznamenala variantu, která v infikované příloze nemá Locky přímo, ale stahuje jej pomocí trojanu Nemucod.

WLS locky1

Po infekci počítače Locky zašifruje soubory a na pozadí plochy zobrazí výzvu k zaplacení výpalného. Všechny instrukce ohledně platby odkazují na TOR a platba probíhá v bitcoinech.

Jaká je obrana?

Na ransomware platí jedině pravidelná záloha. Vzhledem k faktu, že Locky dokáže šifrovat i síťové disky, musí jít o offline úložiště. Pak není problém počítač zformátovat a použít zálohy. Druhou variantou je samozřejmě virtuální prostředí, u kterého se dá vrátit do některého z předchozích stavů operačního systému.
Důležitou úlohu hraje i pravidelně aktualizovaný antivirový program (nejlépe se zapnutým systémem včasného varování) a operační systém, včetně programů třetích stran (Adobe, Java apod.)


PŘEHLEDNĚ: Aféra Panama Papers

6.4.2016 Incidenty
Kauza Panama Papers v posledních dnech otřásá světovou politickou a obchodní scénou a dotýká se i České republiky. O co přesně jde a jaké jsou technické detaily?

O co jde: Únik dat advokátní kanceláře Mossack Fonseca je považován za vůbec největší v historii, alespoň co se týče samotného objemu informací. Hacknuté emaily obsahovaly 2,6 TB dat a to včetně 4,8 milionů emailových zpráv a 2,2 milionů PDF.

Počet osob zasažených kauzou neustále stoupá, a zřejmě jen tak nepřestane. Panama Papers obsahují informace o desítkách vlivných politiků napříč světem, z minimálně 40 zemí včetně Velké Británie, Francie, Ruska, Číny, Indie nebo České republiky.

Poukazují také na společnosti, ve kterých si politici, jejich blízcí příbuzní či spolupracovníci schovávali finance, aby z nich nemuseli odvádět daně. Od neděle se zpráva nezastavitelně šíří médii a rozhodně nehodlá ustat.

Čísla: Úniky, dle předběžných zpráv, zahrnují 11,5 milionu důvěrných dokumentů z let 1970 až 2015. 2,6 terabytů dat zahrnuje 4,8 milionů emailů, 3 miliony databázových souborů, 2,2 miliony PDF souborů, 1,1 milion obrázků a 320 000 textových dokumentů.

Jak se to stalo: Detaily nejsou úplně jasné, ale zástupce advokátní kanceláře Mossack Fonseca potvrdil zprávy kolující médii, že únik pochází z hacknutého emailu. Není jisté, jak útok přesně proběhl, ale testy externích bezpečnostních vyšetřovatelů naznačují, že firma Mossack Fonseca neměla zašifrované emaily standardními TLS protokoly.

Takový emailový útok mohl proběhnout „mnoha způsoby,“ říká Zak Maples, starší bezpečnostní konzultant ve firmě MWR InfoSecurity, kyberbezpečnostní agentuře. Zdá se, že byl napaden samotný server společnosti namísto jednotlivých emailových schránek, a to především kvůli množství ukradených informací, napsal dále v emailu.

„Tento únik je pravděpodobně součástí pokusu o zkompromitování společnosti,“ dodává Maples. „Útočníci možná napadli Mossack Fonseca skrze server a zvýšili oprávnění administrátorovi domény nebo emailovému administrátorovi, a díky těmto oprávněním pak zpřístupnili a postahovali všechna data, nacházející se na serveru emailů.“

Kdo jsou útočníci: Stručně? Nikdo neví. Zdroj je neznámý, a to pravděpodobně i pro ty zpravodajské agentury, které o uniklých datech informovaly jako první. Dle zpráv komunikoval hacker skrze bezpečně šifrovaný chat a email.

Postoj společnosti: Mossack Fontesa odmítá jakákoli pochybení. Říká, že pouze asistovala svým klientům v zakládání regulérních společností. „Ač jsme mohli být obětí úniku dat, nic v tomto nelegálně získaném balíku dokumentů nenaznačuje, že bychom provedli cokoli špatného nebo nezákonného, což sedí k naší 40 let pečlivě budované reputaci dělat byznys tím správným způsobem,“ uvedla advokátní kancelář v prohlášení. „Nikdo samozřejmě nemá rád, když je jejich majetek ukraden, a my uděláme cokoli, co bude v našich silách, aby byli viníci přivedeni před spravedlnost.“

Česko: 283 jmen Čechů a Češek figuruje v Panama Papers. V Česku má data k dispozici pouze jediná instituce, a to České centrum pro investigativní žurnalistiku. Slibuje, že do měsíce se lidé dozví všechna jména Čechů v listech obsažená.

Budoucnost: Zatím prvním velkým ohlasem je zmatečné odstoupení Islandského premiéra, který je do kauzy zapleten. Jak se bude situace vyvíjet dál, není zcela jisté, avšak na další otřesy na politické i podnikatelské scéně stačí jen počkat. Rozhodně se též bude probírat stav zabezpečení emailových schránek a serverů velkých podniků, které si podobné datové úniky zkrátka nemohou dovolit.


Miliardový WhatsApp je nyní kompletně šifrovaný. Soudy i NSA mají prý smůlu
6.4.2016
Zabezpečení
Letos v zimě WhatsApp oznámil, že jej používá již více než miliarda surfařů a o dva měsíce později přispěchala s přelomovou zprávou i společnost Open Whisper Systems, které komunikátoru poslední dva roky pomáhá v nasazování vlastní šifrovací technologie Signal Protocol.

Všechny části WhatsAppu jsou nyní podle bezpečnostních specialistů šifrované způsobem end-to-end a to včetně hlasové komunikace, takže službu nemůže nikdo snadno odposlouchávat a žádná státní autorita nemůže po provozovateli požadovat dešifrovací klíč, protože ten jej prostě nemá.

75716896250736395159727277

WhatsApp je nyní kompletně end-to-end šifrovaný, takže se k obsahu žádným způsobem nedostane ani provozovatel a to třeba i po soudní žádosti, naléhání NSA aj.

Vzhledem k tomu že je WhatsApp pravděpodobně nejpoužívanějším komunikátorem na světě (jeho hlavním konkurentem bude nejspíše Messenger od Facebooku), silné zabezpečení kritizují některé země, jejichž bezpečnostní agentury se děsí, že nebudou moci nikoho snadno odposlouchávat.

Komunikační službu před dvěma lety koupi Facebook, který ze ni zaplatil okolo 19 miliard amerických dolarů.


Kyberzločinci mají na mušce routery, uživatelé jejich zabezpečení podceňují

6.4.2016 Viry
Na routery – brány do světa internetu – se zaměřují kyberzločinci stále častěji. Využívají toho, že zabezpečení těchto internetových zařízení uživatelé především v domácnostech velmi podceňují, někdy to ale platí i o firmách. Na routery například cílí nový virus Kaiten, před kterým varovala ve středu antivirová společnost Eset.
Záškodník Kaiten, který bývá někdy pojmenován také jako KTN-Remastered nebo KTN-RM, kombinuje funkcionality již známých škodlivých kódů. Přesto podle bezpečnostních expertů představuje pro uživatele poměrně velké riziko.

Březnová studie Cisco Annual Security Report totiž ukázala, že devět z deseti internetových zařízení má slabá místa. 

Během samotného útoku virus hledá skulinu, kde je firmware hardwaru zranitelný.
Pavel Matějíček, manažer technické podpory společnosti Eset
A právě to nahrává počítačovým pirátům. „Kaiten představuje hrozbu pro všechny, kdo mají router či jiný přístupový bod, na který se dá připojit z internetu. Během samotného útoku virus hledá skulinu, kde je firmware hardwaru zranitelný. Pokud uspěje, stáhne škodlivý kód shodný pro všechny platformy a snaží se jej spustit,“ uvedl Pavel Matějíček, manažer technické podpory společnosti Eset.

Právě s pomocí staženého škodlivého kódu pak útočníci dokážou router na dálku ovládnout a dělat si s ním prakticky cokoliv, co je napadne. Mohou například odposlouchávat komunikaci nebo přesměrovávat internetové adresy.

Přesně to udělali už v minulosti díky zranitelnosti známé jako „rom-0“. Místo serverů, jako jsou například Seznam.cz nebo Google.com, se poškozeným zobrazila hláška o nutnosti instalace flash playeru. Místo té se ale do PC stáhnul další virus. Útočníci tak rázem měli přístup nejen k routeru, ale i k připojenému počítači.

Jak se bránit
Hlavní problém je v tom, že routery není možné chránit antivirovými programy, jako je tomu u počítačů. I tak ale nejsou uživatelé úplně bezbranní. „Hlavní způsob, jak této hrozbě předejít, představuje upgrade firmwaru routeru na aktuální verzi a nepoužívat mnohdy triviální přednastavené přihlašovací jméno a heslo. Rovněž je vhodné zvážit přihlašování k routeru pouze z vnitřní sítě a nikoliv z internetu,“ dodal Matějíček.

Do konfigurace routerů by se nicméně neměli pouštět méně zkušení uživatelé. Mohou totiž nevhodným nastavením způsobit více škody než užitku. Paradoxně tak mohou klidně otevřít zadní vrátka pro útočníky.

PŘEHLEDNĚ: Jak probíhá útok na router?
1. Internetem se šíří virus, který cílí na routery. Napadnout tyto brány do světa internetu může buď přímo při procházení zavirovaných webů, nebo prostřednictvím některého počítače v dané síti, který je již zavirován.
2. Ve chvíli, kdy se virus zabydlí v routeru, dokáže zcela zablokovat internetové připojení na všech počítačích, a to i chytrých mobilech a tabletech zapojených v síti.
3. U většiny doposud zaznamenaných útoků virus začal následně zobrazovat výzvu k instalaci aktualizace flash playeru. Snaží se tak vzbudit dojem, že stránky nejdou spustit právě kvůli neaktuálnosti pluginů.
4. Výzva se zobrazovala i v případech, kdy byly do adresního řádku zadány regulérní weby, které ve skutečnosti k zobrazování obsahu flash player nepotřebují – například Seznam.cz nebo Google.com.
5. Místo aktualizace si lidé stáhnou do počítače virus. Zobrazování hlášek i na regulérních webech je možné právě kvůli tomu, že kyberzločinci ovládají přímo samotný router. Ve skutečnosti tedy žádné ze zadaných serverů vir neobsahují.
6. I když antiviry z napadeného počítače virus odstraní, stále nemají uživatelé vyhráno. Zdroj dalších hrozeb se totiž ukrývá přímo v samotném routeru. A k němu nemá drtivá většina bezpečnostních aplikací vůbec žádný přístup.
7. Řešením je uvést router do továrního nastavení. Jak na to, to se lidé dozvědí z návodů dodávaných k zařízení. Pokud si nejsou uživatelé jisti, jak správně router nastavit, je vhodné tuto činnost přenechat odborníkovi.
8. Není vyloučeno, že chování viru útočníci upraví. Tím, že se nachází přímo v routerech, může totiž i přesměrovávat stránky na podvodné weby. V takovém případě pak kyberzločinci mohou získat přístup ke všem on-line účtům.
9. Pokud pozorujete ve své síti podobné problémy, můžete zjistit velmi snadno pomocí chytrého telefonu, zda je router zavirován. Místo wi-fi se stačí připojit k webu prostřednictvím mobilního připojení. Pokud se výzva k instalaci aktualizace nezobrazí, je router zavirován.


Nebezpečný virus jde po penězích. Maskuje se za aktualizaci Facebooku

5.4.2016 Viry
Na pozoru by se měli mít uživatelé Facebooku. Internetem totiž již od minulého týdne koluje falešná mobilní aplikace, která se vydává za oficiálního klienta zmiňované sociální sítě. Ta je poměrně nebezpečná, protože ve smartphonu dokáže odchytávat SMS zprávy z bank pro potvrzování jednotlivých plateb. Počítačoví piráti tak mohou důvěřivcům relativně snadno vybílit účet.
Nový virus se maskuje za aktualizaci Facebooku. (Ilustrační foto)
Před novým nezvaným návštěvníkem v chytrých telefonech varovali zástupci Air Banky: „Pokusy útočníků nás nepřestávají překvapovat. Nově to zkouší tak, že vám s pomocí viru zablokují mobilní aplikaci pro přístup na Facebook a nabídnou vám instalaci nové.“

„Pokud se vám něco takového stane, rozhodně nic neinstalujte. Jinak by útočníci mohli získat přístup k vašim ověřovacím SMS, které vám chodí pro potvrzování plateb. Místo toho raději rovnou celý telefon resetujte do továrního nastavení,“ stojí v doporučení banky.

Podle zkušeností uživatelů se nový virus maskovaný za oficiální aplikaci Facebooku šíří na platformě Android. Není ale vyloučeno, že podobný škodlivý virus nenapadá také konkurenční mobilní operační systémy.

V ohrožení i klienti jiných bank
Nová hrozba necílí pouze na klienty Air Banky. Teoreticky může odchytávat přihlašovací údaje prakticky jakékoliv bankovní instituce v Česku.

Pokud tedy uživatelé zaznamenali podivné chování aplikace Facebook na svém smartphonu, případně byli v posledních dnech vyzváni k instalaci nějaké aktualizace a skutečně ji provedli, měli by se co nejdříve obrátit na svou banku. Tím minimalizují riziko neoprávněného odčerpání peněz ze svého účtu.

Právě na chytré telefony se zaměřují počítačoví piráti v poslední době stále častěji. Minulý měsíc například bezpečnostní experti varovali před trojským koněm nazývaným Macher. Ten také dokáže odchytávat potvrzovací SMS zprávy, díky čemuž mohou počítačoví piráti snadno vybílit lidem účty.


Pentagon si nechá hackovat systémy, vyplatí stovky tisíc dolarů
5.4.2016
Zabezpečení
Korporace jako je Microsoft, Facebook, ale i Mozilla pravidelně vyplácí odměny hackerům, kteří objeví bezpečnostní díry v jejich produktech a místo zneužití je nahlásí. O něco podobného se chce pokusit i americké Ministerstvo obrany a vyhlásilo proto program Hack the Pentagon.

Podle The Next Web je to vůbec poprvé, kdy se některá z vládních institucí odhodlala k tomuto typu prověření svých bezpečnostních systémů. Na rozdíl od běžných společností, jako je Google, které umožňují zapojení do programu komukoliv, si Pentagon bude hackery vybírat.

Samotné schválení přihlášky bude záviset na ochotě pracovat ve Spojených státech, trestní bezúhonnost a zájemce také nesmí žít v zemi, na které americká vláda uvalila obchodní sankce. Pro každého přijatého uchazeče je vyhrazena částka minimálně 150 tisíc dolarů, přičemž sumy se budou zvyšovat podle úspěšnosti.

Najděte zranitelnost ve Windows a dostanete až 100 000 dolarů

Pro pilotní program se Ministerstvo obrany spojilo s odborníky ze společnosti HackerOne, která se specializuje právě na tento typ testování. Zájemci se mohou hlásit do pilotního programu, který bude probíhat od 18. dubna do 12. května.


Hackeři prý získali osobní údaje téměř 50 miliónů Turků

5.4.2016 Incidenty
Skupina hackerů umístila na internet databázi, která prý zahrnuje osobní údaje o téměř 50 miliónech tureckých občanů. Informovala o tom v pondělí agentura AP. Dodala, že se jí v několika případech podařilo autentičnost údajů potvrdit.
Databáze údajně obsahuje přes 49,6 miliónu záznamů a prozrazuje důležité osobní informace. Lidem zahrnutým v této databázi tak může hrozit, že se stanou terčem krádeže totožnosti a podvodů.

Podle agentury AP jde o jeden z největších úniků informací tohoto druhu.

Loni v dubnu americké úřady oznámily, že hackeři získali přístup k osobním údajům více než 22 miliónů současných a bývalých vládních zaměstnanců, dodavatelů a uchazečů o zaměstnání.


Únik roku? Hackeři zveřejnili státní databázi 50 milionů občanů Turecka
5.4.2016
Incidenty
Hackeři vystavili na Torrent obří databázi čítající záznamy 49 611 709 obyvatelů Turecka. Údajně se jedná o únik ze státní IT struktury, což by pro Turecko znamenalo velkou ostudu a problém. Únik je zatím poměrně čerstvý a pravost dat se prověřuje, ale podle prvních reakcí na Twitteru to vypadá, že se skutečně jedná o soupis většiny obyvatel Turecka.

423901999

Průvodní stránka na adrese http://185.100.87.84/ a ukázka ze získané databáze

Problém není jen to, že databáze unikla, ale že nebyla dostatečně silně zašifrovaná. Podle hackerů, kteří k úniku připravili i malý informační web, se ani o plnohodnotné šifrování nejednalo a databáze byla vůbec ve velmi špatném technickém stavu.

Databáze obsahuje o každém občanovi základní údaje zahrnující jméno, příjmení, pohlaví, bydliště, rodné jméno, jména otce a matky, datum a místo narození a místo registrace. Celá databáze má 6,6 GB a zatím se přesně neví, co vlastně pokrývá. Záznamů je sice bezmála 50 milionů, ale evidovaných obyvatelů Turecka téměř 75 milionů. Databáze všech obyvatel to tedy zjevně není.

Jak píše The Register, čin je pravděpodobně politicky motivovaný a míří proti kontroverznímu tureckému prezidentovi. Tvůrci si rovněž rýpli do aktuálního kandidáta na post amerického prezidenta Donalda Trumpa, který je podle nich ještě méně schopný vést zemi než turecký prezident Recep Tayyip Erdoğan.


Tipy pro zastavení Ransomware
2.4.2016
Viry
V posledních několika týdnech, rychlost Ransomware útoků dramaticky zvýšil. Dokonce i v populárním zprávách, které jsme viděli několik nemocnic nahlásit hlavní infekce a jak Spojené státy a Kanada vydávání varování. Zde je několik rychlých tipů, aby se zabránilo Ransomware infekcí.

Zabránit spuštění souborů v% AppData% Adresáře

Obecně platí, že většina ransomware běží ve velkém měřítku spoléhat buď na využití souprav nebo spam motory. V obou případech je pro malware vykonat to obvykle zdržuje v různých dočasných adresářů v systému Windows (% AppDada%). Je možné zakázat možnost spouštět binární soubory v těchto adresářích pomocí zásad skupiny nebo bezpečnostní politiky, což znamená, když uživatel poklepe na Invoice.exe, malware nebude možné spustit. Toho se dosahuje pomocí zásad omezení softwaru a příklad je uveden na tomto blogu v tom, jak umožnit toto.

Výhodou tohoto postupu je, že se také může zabránit některé jiné formy škodlivého softwaru z provádění také.

Plně záplatované Systems, Java, Shockwave, Flash (kol)

Exploit soupravy spoléhají na zranitelná místa v klientském počítači se dostat malware vykonat. Obvykle se jedná o zranitelnosti v Javě, Shockwave, Flash a Adobe Reader. S Windows Update, mnoho systémy jsou nyní automaticky nakonfigurován tak, aby získat aktualizace. To nebylo až do nedávné doby, například, že Flash integrované auto-updater. Ujistěte se, jsou tyto aktualizace zabrání zneužití stavebnic ze úspěch. Jak již bylo řečeno, občas využívají soupravy se používají 0 jednodenní využije, ale jedná se o poměrně vzácný jev.

Zakázat e-maily se spustitelným Přílohy

Mnoho ransomware e-maily pomocí nástavce s spustitelné soubory, jednoduše zakázání e-maily s spustitelné soubory budou uživatelům zabránit přijímání. Podívejte se také na e-maily s "dvojitými přípon". Dalším častým trikem je příloh s názvem souboru zip, který může obsahovat spustitelný soubor nebo html dokumentu (s použitím jiných triků stáhnout spustitelný). Naučí uživatele, aby na místě těchto abnormálních e-mailů, takže nemají jejich vyřízení je klíčové.

Udržení silné zálohy

V neposlední řadě je důležité silných záloh je klíčové. Je-li Ransomware infekce stane, existují jen dvě možnosti pro organizaci: Obnovení ze zálohy nebo zaplatit výkupné. Jsou-li k dispozici zálohy, může to být hádka, ale nároky výkupné zarážející již nejsou jedinou cestou k úplné uzdravení.

Použití "vakcíny"

Všechny ransomware rodiny potřebují nějaký mechanismus, který zajistí, že oběť stroj není šifrována pomocí více klíčů. Typickým mechanismem je uložit veřejný klíč v registru (nebo jiných artefaktů), tak následných infekcí (nebo popravy stejné malware binární) používat pouze originální získané klíč. Tam byly pokusy o vytvoření vakcíny, které zneužívají tuto potřebu útočníků jinak naočkovat napadených počítačů. Ty mohou vést k šetření na případ od případu, aby zjistili, zda poskytují hodnotu.

Přizvukovat s komentáře, pokud tam jsou jiné techniky jste použili, aby pomohl zastavit šíření ve svých organizacích.