- Czech Articles -

poslední aktualizace v 05.06.2017 16:19:17

Úvod  Aktualizace  Analýzy  Android  Apple  Bezpečnost  Biometrika  Blog  Hacking  Hardware  Incidenty  IT  Kongresy  Kriminalita  Kyber  Nástroje  Ochrany  OS  Ostatní  Podvod  Programy  Rizika  Šifrování 
Sledování  Software  Tipy  Výzkum  Zabezpečení  Zákony  Hrozby - APT  BotNet  Cloud Computing  Exploit  Hrozby  Mobilní  Phishing  Počítačový útok  Rootkit  Sociální sítě  Spam  Viry  Zranitelnosti


 


Kyberzločinci oprášili starý trik, na Facebooku lákají na odměnu 1000 Kč

13.12.2016 Novinky/Bezpečnost
Krátce před vánočními svátky oprášili kyberzločinci starý trik. Na sociální síti Facebook se vydávají za pracovníky banky a lákají je na odměnu ve výši až 1000 Kč za to, že vyzkouší novou verzi internetového bankovnictví. Ve skutečnosti jim však chtějí vybílit účet.
Ukázka podvodné nabídky na zkoušku nové verze internetového bankovnictví.
Ukázka podvodné nabídky na zkoušku nové verze internetového bankovnictví.
FOTO: repro mBank
Stejný trik zkoušeli v průběhu letošního roku počítačoví piráti hned několikrát pod hlavičkou České spořitelny. V aktuální vlně útoků se však vydávají za zaměstnance mBank.

Samotný útok však probíhá zcela identicky. „Přejděte na novou verzi internetového bankovnictví a získejte bonus 1000 Kč! Bezpečnější bankovnictví s přehlednějším rozvržením pro jednoduchou správu vašich financí,“ stojí v lákavě vyhlížející nabídce.

Na Facebooku je možné narazit hned na několik podobných nabídek. Liší se u nich zpravidla jen částky, které podvodníci nabízejí – zpravidla jde však o tisíc nebo 400 Kč.

Ukázka podvodné nabídky na zkoušku nové verze internetového bankovnictví.
Ukázka podvodné nabídky na zkoušku nové verze internetového bankovnictví.
FOTO: repro mBank

Reklamu doplňuje odkaz, který samozřejmě nesměřuje na oficiální web banky, ale na podvodné stránky, jejichž prostřednictvím se snaží kyberzločinci vylákat od důvěřivců přihlašovací údaje k internetovému bankovnictví. Vyplněním přihlašovacích údajů na podvodných stránkách se přitom lidé vystavují velkému riziku.

Počítačoví piráti jsou totiž už jen kousek od toho, aby jim mohli vybílit účet – stačí, aby propašovali virus na jejich chytrý telefon. Prostřednictvím něj pak budou schopni odchytávat potvrzovací SMS zprávy pro platby, jako tomu bylo už v minulosti.

Neprodleně kontaktovat banku
Zástupci banky v úterý před podobnými triky důrazně varovali: „Důrazně doporučujeme kontrolovat odkaz, přes který se přihlašujete do svého internetového bankovnictví! Nikdy se nepřihlašujte přes jiné odkazy!“

„Podvodné odkazy byly například ibnew.esy.es, ibnewmban.com, mbanking24.esy.es, apod. Pokud se přihlásíte přes podvodnou stránku, okamžitě kontaktujte naši mLinku na čísle 222 111 999 a změňte si přihlašovací heslo do bankovnictví,“ doporučili zástupci mBank.

Obezřetní by v případě podobných nabídek měli být také uživatelé jiných bankovních institucí. Není totiž vyloučeno, že stejný trik budou počítačoví piráti zkoušet příště pod hlavičkou úplně jiné společnosti.

Podvodná nabídka na Facebooku
Stejný trik zkoušeli počítačoví piráti už pod hlavičkou České spořitelny.
FOTO: repro Facebook


McAfee pro Linux má chránit před viry. Samo ale trpí kritickými zranitelnostmi, varují specialisté
13.12.2016 Živě.cz

Fanoušci Linuxu se celé roky smáli Windows pro jeho chyby a zranitelnosti. Nadávat na operační systém Redmondu a považovat ten komunitní za nenapadnutelný, bývalo otázkou dobrého bontonu, než se útočníci začali ve velkém orientovat i na tuto platformu.

Záhy se zjistilo, že kritické knihovny linuxového a unixového světa nikdo neaudituje – vzpomeňme třeba na aféru Heartbleed, že jsou mnohé linuxové instance na hostingu nejen od Amazonu zapojené nevědomky v botnetech a že zejména s příchodem IoT jsou mnohé linuxové síťové krabičky počínaje starými Wi-Fi routery a konče chytrými ledničkami hotovou časovanou bombou, protože jejich firmware poměrně často nikdo neaktualizuje, a tak jsou plně bohatě zdokumentovaných a neopravených bezpečnostních děr.

Intel se částečně zbavuje McAfee, prodal 51 % společnosti za 3,1 miliardy dolarů
O linuxové systémy se ve velkém začaly zajímat antivirové společnosti, a tak bylo jen otázkou času, kdy se v tomto světě objeví i všudypřítomné McAfee.

A je to právě McAfee pro Linux, které nyní ironií osudu může otevírat zadní vrátka do linuxového systému. Ach ty životní paradoxy.

McAfee pro Linux trpí zranitelností, která může předat moc nad systémem útočníkovi – třeba zrovna nějakému botnetu, který pak může zneužít toho, že linuxový systém zpravidla běží někde na serveru, anebo ve zmíněné IoT krabici, a je tedy stále spuštěný a stále online.

Bezpečnostní specialisté zdokumentovali několik takových zranitelností už koncem června a v červenci kontaktovali přímo McAfee. Ten však následující měsíce vůbec nereagoval a ozval se až počátkem prosince v okamžiku, kdy jej specialisté informovali o datu zveřejnění zranitelnosti. Krátce poté firma informovala o zranitelnosti i své klienty.

Bezpečnostní specialisté se nakonec zranitelností dle plánu pochlubili včera 12. prosince s tím, že se dotýká všech verzí počínaje 1.9.2 z února 2015 až 2.0.2 z letošního jara.

A v čem je tato zranitelnost vlastně nebezpečná? Hlavně proto, že má antivirový program administrátorská práva, takže útočník, který ovládne linuxové McAfee, může v krajních případech získat práva pro přístup hluboko do systému. Detaily


Radost byla předčasná, vyděračský virus CrySis je opět na scéně

13.12.2016 Novinky/Bezpečnost
Na konci listopadu se bezpečnostní experti antivirové společnosti Kaspersky Lab pochlubili, že vyzráli na vyděračský virus zvaný CrySis. Radost však byla tak trochu předčasná, neboť počítačoví piráti tento škodlivý kód začali během pár týdnů distribuovat v upravené verzi. A na tu jsou zatím všechna bezpečnostní řešení krátká.

CrySis využívali kyberzločinci k uzamykání cizích počítačů několik posledních měsíců. Na konci listopadu však výzkumníci získali dešifrovací klíče, s jejichž pomocí byli schopni zamčená data opět zpřístupnit.

Tento záškodník z rodiny ransomware – jak jsou souhrnně označovány vyděračské viry – se však zakrátko objevil v nové verzi. Ta je prakticky na chlup stejná jako ta předchozí, ale využívá jiný šifrovací algoritmus.

To jinými slovy znamená, že po infiltraci viru CrySis už nemohou lidé bezplatně svá data pomocí nástroje společnosti Kaspersky Lab zpřístupnit. Respektive odšifrovat je možné data pouze na takových počítačích, které byly napadeny ještě starší verzí tohoto ransomwaru.

Scénář útoku jako přes kopírák
Útok nové verze škodlivého kódu CrySis probíhá podle stejného scénáře jako u dalších vyděračských virů. Nejprve tedy tento záškodník zašifruje všechna data uložená na pevném disku. Za jejich zpřístupnění pak útočníci požadují výkupné, a to klidně i několik tisíc korun.

Kyberzločinci se zpravidla snaží v majiteli napadeného stroje vzbudit dojem, že se ke svým souborům dostane po zaplacení výkupného. Ani pak se nicméně uživatelé ke svým datům nemusejí dostat.

Místo placení výkupného je totiž nutné virus z počítače odinstalovat. Zpřístupnit nezálohovaná data je už ale ve většině případů nemožné.

Stovky různých verzí
Sluší se nicméně podotknout, že škodlivé kódy z rodiny ransomware představují pro uživatele stále velké riziko. Různě upravených verzí totiž existují podle nejstřízlivějších odhadů desítky, spíše však stovky. A kyberzločinci se je snaží nasazovat při drtivé většině útoků.

V září například velkou hrozbu představoval vyděračský virus DetoxCrypto, který nebylo na první pohled snadné rozeznat. Maskoval se totiž za antivirové řešení od společnosti Malwarebytes. Uživatelé si tak často mysleli, že instalují program na ochranu svého počítače, ve skutečnosti na pevný disk vypustili nezvaného návštěvníka.


Facebookem se šíří podvodná kampaň lákající na slevy v supermarketech. Nereagujte na ni
13.12.2016 Živě.cz
Pokud na Facebooku nebo v Messengeru zaregistrujete nabídku na 2 500 Kč do jednoho ze supermarketů, potom ji ignorujte. Lidl, Penny Market, Albert ani jiný řetězec o akci neví a jde o klasický podvod, který má za úkol primárně sběr uživatelů na stránkách Facebooku.

Klepněte pro větší obrázekKlepněte pro větší obrázek
Odpovězte na tři otázky, sdílejte odkaz a my vám dáme 2 500 Kč na nákup v Lidlu. Samozřejmě jde o podvod, řetězce o takové akci nic neví

Odkaz na formulář, který je třeba vyplnit pro „získání“ slevového kuponu se šíří jak běžným sdílením na facebookovou zeď, tak Messengerem. Mezi další podmínky totiž kromě zodpovězení otázek patří právě sdílení na Facebooku a rozeslání odkazu desíti lidem prostřednictvím Messengeru.

Uživatelé si však kromě spamování stěžují také na nabídky aktualizace zařízení v případě, že formulář vyplňují prostřednictvím smartphonu. Ve hře je tak i možné stažení potenciálně nebezpečné aplikace do zařízení s Androidem.

V případě, že na zprávu či příspěvek s tímto bonusem narazíte, určitě jej ignorujte a upozorněte odesílatele, že se jedná o podvod.


Vyděračský ransomware letos vydělá svým tvůrcům miliardu dolarů, odhaduje FBI

13.12.2016 Novinky/Bezpečnost
Nejzákeřnější způsob kybernetického útoku šifruje soubory v napadeném zařízení a poté požaduje po oběti zaplacení výkupného. Ne vždy to ale vede k odšifrování dat, varuje americká FBI.
Škodlivé kampaně takzvaného ransomwaru letos nebývale nabývají na intenzitě. Útočníci se nezaměřují pouze na jednotlivé uživatele internetu, ale stále více i na firmy a veřejné instituce. Ve Spojených státech jsou velmi oblíbeným terčem zdravotnická zařízení, která se neobejdou bez dat o pacientech.

Hollywoodská Presbyteriánská nemocnice takto musela nedávno zaplatit 17 tisíc dolarů (přibližně 420 tisíc korun) ve virtuální měně BitCoin, jinak by přišla o veškerou zdravotnickou dokumentaci. Americký federální úřad pro vyšetřování (FBI) odhaduje, že tvůrci ransomwaru si takto letos celkově přijdou až na miliardu dolarů (25 miliard korun).

„Poté, co si zločinci ověřili ziskovost ransomwarových kampaní u individuálních uživatelů internetu, stále častěji pronikají do firemního segmentu a hledají v něm co nejzranitelnější oběti,“ říká Miroslav Dvořák, technický ředitel antivirové společnosti ESET.

Zaplacení výkupného přitom nemusí vést k odšifrování napadených počítačů. Někteří útočníci poté opakovaně požadují další částky. Americká FBI proto obětem těchto škodlivých kampaní radí výkupné neplatit. „Existuje sice vysoká pravděpodobnost, že takto o data definitivně přijdou, ale pokud je mají správně zálohovaná, škoda by zase nemusela být tak drastická,“ říká Dvořák.

Pozor na škodlivé přílohy e-mailu
Důležité je, aby externí disky, na které firma nebo jednotlivec zálohuje data, nebyly trvale připojeny k počítačové síti. V takovém případě by totiž ransomware zašifroval i zálohy. Někdy však mají napadené společnosti více štěstí než rozumu.

Pokud hackerské skupiny, které využívají k trestné činnosti ransomware, ukončí svoji činnost nebo přestanou využívat některé druhy ransomwaru, poměrně často zveřejní na některém z veřejných internetových fór přístupové klíče, které umožní zašifrované počítače a soubory odblokovat. Tak se to stalo například v případu ransomware Crysis letos v listopadu nebo nechvalně proslulého TeslaCrypt koncem letošního května.

V obou případech připravila společnost ESET jednoduchý nástroj pro dešifrování dat napadených ransomwarem, který bylo možné zdarma stáhnout z jejích internetových stránek. „Ransomware stále zůstává významnou hrozbou na internetu, na kterou nejlépe platí prevence. Kromě pravidelné aktualizace operačního systému a instalovaného softwaru a kvalitního bezpečnostního řešení doporučujeme také pravidelné zálohovat všechna důležitá a cenná data na zabezpečená off-line úložiště,“ zdůrazňuje Miroslav Dvořák.

Uživatelé by měli věnovat zvýšenou pozornost při otevírání nevyžádaných e-mailových zpráv či příloh, kterými se ransomware nejčastěji šíří.


Routery od Netgearu mohou snadno napadnout kyberzločinci. Záplata chybí

13.12.2016 Novinky/Bezpečnost
Na pozoru by se měli mít majitelé routerů od společnosti Netgear. Podle amerického bezpečnostního týmu US-CERT, který monitoruje zranitelnosti jednotlivých zařízení a aktuální trendy kyberzločinců na síti, totiž dva prémiové modely tohoto výrobce mají kritickou bezpečnostní chybu, kterou mohou počítačoví piráti snadno zneužít.
Trhlina se týká routerů Netgear R7000 a R6400, které cílí především na náročnější uživatele a menší podniky. Právě kvůli tomu ale objevená chyba představuje ještě větší riziko – především v podnikové síti totiž mohou počítačoví piráti udělat velkou neplechu.

„Zranitelnost umožňuje útočníkovi spustit na zařízení libovolný kód s právy uživatele root, pokud se mu podaří nalákat uživatele na speciálně připravenou webovou stránku,“ varoval Pavel Bašta, bezpečnostní analytik CSIRT.CZ, který je provozován sdružením CZ.NIC.

Podvodné webové stránky
To jinými slovy znamená, že útok začíná ve chvíli, kdy uživatel navštíví podvodnou webovou stránku. Prostřednictvím ní se dostane do routeru záškodník, s pomocí kterého může kyberzločinec například řídit síťový provoz.

Netgear R6400
Netgear R6400

Že je router zavirovaný, mohou uživatelé poznat například podle toho, že jim přestane z připojených počítačů zcela fungovat internetové připojení, případně se při snaze o připojení na nějakou webovou stránku zobrazí úplně jiný web.

Přesně to se stalo už v minulosti kvůli zranitelnosti známé jako „rom-0“. Místo serverů, jako jsou například Seznam.cz nebo Google.com, se poškozeným zobrazila hláška o nutnosti instalace flash playeru. Místo té se ale do PC stáhnul další virus. Útočníci tak rázem měli přístup nejen k routeru, ale i k připojenému počítači.

Routery nepoužívat
„K dispozici je již i kód (exploit), který umožňuje provedení útoku. Zatím však není k dispozici žádná oprava, uživatelům se proto nedoporučuje routery dále používat,“ konstatoval Bašta.

Prozatím byla chyba prokázána pouze u zmiňovaných routerů Netgear R7000 a R6400. Není nicméně vyloučeno, že totožnou trhlinu v ovládacím softwaru používají i další modely tohoto výrobce.

Společnost NetGear se k objevené zranitelnosti zatím oficiálně nevyjádřila. Lze ale předpokládat, že v průběhu několika dnů či týdnů bude vydána aktualizace, která chybu opraví.


Podvodníci zkoušejí nový trik. Důvěřivce lákají na atraktivní výhry

13.12.2016 Novinky/Bezpečnost
Chcete vyhrát iPhone 6S nebo iPad Pro? Přesně na takové atraktivní ceny lákají podvodníci v nové vlně phishingových podvodů, které se šíří i ve vodách českého internetu. Při lákání citlivých dat se přitom vydávají za tvůrce webových prohlížečů, kvůli čemuž se skutečně může nechat mnoho lidí napálit.
Ukázka podvodné výherní stránky
Ukázka podvodné výherní stránky
FOTO: repro Mozilla.cz
Útok začíná ve chvíli, kdy se na obrazovce zobrazí informace o návštěvnickém průzkumu. Za vyplnění dotazníku nabízejí kyberzločinci hodnotné výhry – zpravidla elektroniku s logem nakousnutého jablka.

„Aby tento dotazník vzbudil důvěru, snaží se vypadat jako dotazník od vašeho prohlížeče – vybere barevně podobné logo, přizpůsobí oslovení, otázky se týkají četnosti a dalšího používání,“ varoval Michal Stanke ze serveru Mozilla.cz.

Ukázka podvodné výherní stránky
Ukázka podvodné výherní stránky
FOTO: repro Mozilla.cz

Je přitom jedno, jaký prohlížeč uživatelé používají. Falešný průzkum dokáže aktuální browser detekovat a na základě toho ušít podvodnou nabídku doslova na míru.

Cíl útoku je tedy zřejmý – stejně jako u celé řady dalších phishingových zpráv se snaží od důvěřivců vylákat důvěrné informace, jako jsou jméno e-mail či telefonní číslo. Není nicméně vyloučeno, že podobnou cestou se od důvěřivců budou kyberzločinci snažit vylákat i přihlašovací hesla k různým službám. „V žádném případě takový dotazník nevyplňujte,“ konstatoval Stanke.

Útočníci jsou jako rybáři
Pojem phishing je možné přeložit do češtiny jako rybaření. Útočníci si totiž podobně jako rybáři skutečně počínají. Při této technice trpělivě vyčkávají na své oběti, aby je mohli nalákat na nějakou návnadu – například výhru či finanční hotovost.

Od důvěřivců pak vylákají klidně i hesla, čísla kreditních karet nebo jiné údaje. Uživatelé tak nevědomky pomáhají počítačovým pirátům ovládnout jejich účet nebo klidně i umožní ukrást peníze přes internetové bankovnictví.

Podobné phishingové útoky se nejčastěji síří prostřednictvím nevyžádaných e-mailů. V poslední době ale kyberzločinci velmi rádi používají také nejrůznější reklamy a sociální sítě.

Podvodná soutěž od Seznamu
Podobné podvody nejsou vůbec výjimečné. V minulých měsících se například internetem šířily falešné soutěže pod hlavičkou společnosti Seznam.cz. Podvodníci v nich zneužívají logo a maskota české internetové jedničky. [celá zpráva]

Soutěžní výzva se zobrazuje nejčastěji jako reklama, a to na počítačích, tabletech i chytrých telefonech. Podvodníci tvrdí, že uživatel vyhrál nějaké atraktivní zařízení, pro jeho získání je však nutné zájem potvrdit prostřednictvím SMS zprávy. Za tu si pak útočníci naúčtují tučný poplatek. Ten je v jednotlivých nabídkách různý, pohybuje se v řádech desetikorun, ale může se vyšplhat až na rovnou stovku.

Ukázka podvodné výherní obrazovky
Ukázka podvodné výherní obrazovky
FOTO: Seznam.cz

V některých podvodných soutěžích, ve kterých se útočníci vydávají za zástupce společnosti Seznam, jde zase o osobní údaje. Když je kyberzločinci od uživatele vylákají, mohou je zneužít k dalším útokům nebo je prodat na černém trhu.

Pozornější uživatelé si přitom mohou všimnout, že jde o podvod. Soutěž totiž nikdy neběží na webu společnosti Seznam, ale na úplně jiných stránkách. Některé nabídky navíc obsahují i celou řadu pravopisných chyb a špatně vyskloňovaná slova. Na podobné soutěže by uživatelé neměli vůbec reagovat.

Zástupci společnosti Seznam.cz se od podvodu distancovali již dříve. „Buďte obezřetní při otvírání neznámých odkazů a všímejte si toho, kam směřují. U zpráv, které vybízejí k transakcím, platí tato rada dvojnásob. Neznámé přílohy neotvírejte a v případě, že je počítač infikován, využijte antivirový program a nezvaného útočníka odstraňte,“ poradil uživatelům Martin Kožíšek, manažer pro internetovou bezpečnost společnosti Seznam.cz.

Informovat o podobných soutěžích mohou lidé zástupce Seznamu na e-mailové adrese seznamsebezpecne@firma.seznam.cz.


Nejrozšířenějším škodlivým kódem v Česku je virus Danger

12.12.2016 Novinky/Bezpečnost
Již několik měsíců za sebou je nejrozšířenějším virem v Česku Danger. Jinak tomu nebylo ani v listopadu, kdy měl tento škodlivý kód na svědomí každý druhý útok v tuzemských počítačových sítích. Vyplývá to ze statistik antivirové společnosti Eset.
Danger – plným jménem JS/Danger.ScriptAttachment – je jednou z nejrozšířenějších hrozeb prakticky po celý letošní rok. Zarážející je především jeho dramatický nárůst v posledních měsících. Aktuálně je totiž zodpovědný za 54,91 % útoků. Ještě v říjnu to přitom bylo o dvacet procentních bodů méně.

„Nárůst počtu případů JS/Danger.ScriptAttachment je opravdu mimořádný. Tento malware je zákeřný v tom, že nemusí být nebezpečný sám o sobě, ale do napadeného zařízení stahuje další škodlivé kódy,“ uvedl Miroslav Dvořák, technický ředitel společnosti Eset.

Vyděračské viry na scéně
Nejčastěji touto cestou kyberzločinci šíří vyděračské viry z rodiny ransomware. Tyto škodlivé kódy začnou šifrovat obsah počítače a uživateli zobrazí oznámení, že za dešifrování počítače musí zaplatit, jinak se ke svým datům údajně již nikdy nedostane.

Ani po zaplacení výkupného navíc nemají uživatelé jistotu, že se ke svým datům skutečně dostanou. Virus je nutné z počítače odinstalovat a data následně pomocí speciálního programu odšifrovat. V některých případech to ale není možné.

Všechny další hrozby, kterým patřily přední příčky žebříčku nejrozšířenějších virových hrozeb, mají přitom ve srovnání s Dangerem naprosto zanedbatelný podíl. Na druhé příčce se umístil trojský kůň FakejQuerys s podílem 2,56 procenta detekcí.

Šíří se před nevyžádané e-maily
Třetí příčka pak patří viru Nemucod, který byl přitom ještě v říjnu na druhém místě. Tehdy stál za každou osmou detekcí (podíl 12,32 procenta), v listopadu jeho podíl klesl o 10 procentních bodů na 2,04 procenta.

Nemucod se stejně jako Danger nejčastěji šíří prostřednictvím nevyžádaných e-mailů. Také s pomocí tohoto viru mohou počítačoví piráti do napadeného stroje stahovat další škodlivé kódy.

Seznam deseti nejrozšířenějších hrozeb za měsíc listopad naleznete v tabulce níže:

Deset nejrozšířenějších počítačových hrozeb – listopad 2016
1. JS/Danger.ScriptAttachment (54,91 %)
2. JS/TrojanDownloader.FakejQuery (2,56%)
3. Java/Adwind (2,28 %)
4. JS/TrojanDownloader.Nemucod (2,04 %)
5. JS/Kryptik.RE (1,76 %)
6. JS/ProxyChanger (1,38 %)
7. Win32/Exploit.CVE-2014-1761 (1,33 %)
8. Win32/Injector.DHND (1,04 %)
9. JS/TrojanDownloader.Iframe (0,88 %)
10. PDF/Fraud (0,88 %)


Test charakteru: Nový ransomware vám dá na výběr. Buď zaplatíte, nebo musíte nakazit další nešťastníky
12.12.2016 Živě.cz
Představte si tu situaci. Nechtělo se vám platit za vypůjčení filmu skrze některou z webových služeb, a tak jste si stáhli jeden z mnoha klonů pirátského Popcorn Time. Jenže ouha, namísto katalogu posledních trháků se zobrazila hláška, která vás vyzvala k zaplacení 1 BTC, jinak byste přišli o všechna osobní data na počítači. Právě jste totiž nainstalovali jeden z mnoha ransomwarů.

Zobrazit obrázek na TwitteruZobrazit obrázek na TwitteruZobrazit obrázek na TwitteruZobrazit obrázek na Twitteru
Sledovat
MalwareHunterTeam @malwrhunterteam
Next ransomware on the table: Popcorn Time.
Not yet finished.
4th screenshot, "Why we do that?" part. Okay...@BleepinComputer @demonslay335
21:23, 7. pro. 2016
77 77 retweetů 50 50lajků
Tento se však podle skupiny MalwareHunterTeam přeci jen poněkud liší, svým obětem totiž dává ještě jednu možnost, jak se vyhnout platbě a získat dešifrovací klíč. V zoufalství se mohou pokusit nakazit alespoň dvě další osoby pomocí osobního URL. Pokud tyto dvě osoby pak skutečně zaplatí, získáte i svůj dešifrovací klíč. Jedná se tedy o zvrácenou formu provizního (affiliate) systému přeneseného do světa malwaru.

Klepněte pro větší obrázek
Pokud nechcete platit 1 BTC, máte ještě jednu možnost, jak získat dešifrovací klíč – nakazit další. Viz označený odstavec.

Autoři ransomwaru se dokonce snaží obhájit, proč vlastně škodí. Údajně se jedná o chudé studenty z válkou postižené Sýrie a tímto způsobem si chtějí vydělat v nelehké době na živobytí.


Německu podle kontrarozvědky hrozí před volbami hackerské útoky

12.12.2016 Novinky/Bezpečnost
Množí se indicie, že německé parlamentní volby v příštím roce se někdo pokusí ovlivnit hackerskými útoky, řekl ve čtvrtek v Berlíně šéf německé kontrarozvědky Hans-Georg Maassen. Ohroženi podle něj mohou být poslanci i členové vlády. O vlivu hackerských útoků na demokratické volby se v poslední době mluvilo zejména v souvislosti s hlasováním o prezidentovi Spojených států.
Šéf německé kontrarozvědky Hans-Georg Maassen
Šéf německé kontrarozvědky Hans-Georg Maassen
„V politické oblasti pozorujeme stále agresivnější kybernetickou špionáž. Vidíme možné ohrožení pro členy vlády, poslance Spolkového sněmu a spolupracovníky demokratických stran," uvedl Maassen, který stojí v čele německé civilní kontrarozvědky - Spolkového úřadu na ochranu ústavy (BfV).

Varoval také, že by se ve volební kampani mohly objevit informace získané hackerskými útoky, jejichž cílem je diskreditace politiků.

„Propaganda a dezinformace, kybernetické útoky, kybernetická špionáž a kybernetické sabotáže jsou součásti hybridních hrozeb pro západní demokracie," konstatoval Maassen, jehož úřad v posledních měsících zaznamenal výrazný nárůst pokusů o útoky zaměřené na politické strany a poslanecké frakce.

Hackerské útoky nejsou výjimečné
Hackerským útokům v minulosti v Německu čelila například Křesťanskodemokratická unie (CDU) kancléřky Angely Merkelové nebo Spolkový sněm. Loni v dubnu se hackerům podařilo proniknout do parlamentní počítačové sítě a k osobním údajům o poslancích a jejich asistentech, ale i k interním materiálům jednotlivých poslaneckých klubů a většiny výborů.

V posledních týdnech letošní americké prezidentské kampaně se na veřejnost po hackerském útoku dostala komunikace vedení Demokratické strany. Spekuluje se o tom, že za útokem stálo Rusko, což Moskva popírá.


Velká Británie se připravuje na Velkého bratra. „Charta fízlů“ bude evidovat každý krok v kyberprostoru
12.12.2016 Živě.cz

Velká Británie bude mít silnou monitorovací legislativu
Úřady se dozví, co Britové dělají na webu, i bez soudního příkazu
Bizarních nařízení je ale více

Alžběta II. za svůj dlouhý život signovala nespočet zákonů, o podpisu z 29. listopadu se však bude na britské scéně mluvit asi ještě hodně dlouho. Investigatory Powers Act mnozí považují za ono symbolické překročení hranice mezi soukromím a skutečnou velkobratrskou společností.

Zkraje příštího roku jej zároveň doplní jen o něco méně kontroverzní Digital Economy Bill, který bude v druhém čtení za pár dnů projednávat horní komora tamního parlamentu.A čeho se tedy především technická a lidskoprávní komunita děsí? Co že se to připravuje v jedné z kolébek moderní evropské demokracie?

Charta fízlů

Začněme tím prvním zákonem, který britská média přezdívají Snooper's Charter– charta fízlů. Jedná se o zákon, který mimo jiné upravuje tzv legislativu data retention, která určuje, jaké informace o nás mají archivovat telekomunikační operátoři – ať už telefonní v rámci hlasových služeb, nebo ti internetoví.

Data retention v Česku

Podobná legislativa je v dnešním světě poměrně rozšířená – před lety třeba odstartovala kauzu okolo NSA a Edwarda Snowdena – a máme ji samozřejmě i u nás, upravuje ji totiž zákon č. 127/2005 Sb., o elektronických komunikacích a to v paragrafu 97 a odstavci 3.

První věta 3. odst. § 97 zákona č. 127/2005 Sb.

Právnická nebo fyzická osoba zajišťující veřejnou komunikační síť nebo poskytující veřejně dostupnou službu elektronických komunikací je povinna uchovávat po dobu 6 měsíců provozní a lokalizační údaje, které jsou vytvářeny nebo zpracovávány při zajišťování jejích veřejných komunikačních sítí a při poskytovávání jejích veřejně dostupných služeb elektronických komunikací
V případě České republiky tedy telefonní operátoři po dobu šesti měsíců archivují, kdo, komu, odkud a kam (dle BTS stanice) a jak dlouho volal nebo posílal SMS. Poskytovatelé internetového připojení zase analogicky zaznamenávají IP a MAC adresy, porty, identifikátor klienta a čas.

Suma sumárum, vyšetřovatelé sice neví, co bylo obsahem komunikace, ale podle IP adres a dalších indicií se toho mohou v mnoha případech dovtípit. Je tedy naprosto klíčové, aby k podobným informacím měly úřady přístup opravdu jen v závažných případech a s posvěcením soudní autority.

Se souhlasem soudů tedy mohou do podobné databáze operátora nahlédnout jen Policie ČR, ČNB, BIS a Vojenské zpravodajství.

Britský Velký bratr

Tak a teď zpátky na britské ostrovy. Jejich čerstvý Investigatory Powers Act je vlastně analogií českého zákona o elektronických komunikacích, jde však mnohem dál.

Kontroverzní je především ve dvou rovinách. Jestli české právo vyžaduje alespoň souhlas soudu, v případě Velké Británie se k těmto záznamům dostanou desítky organizací – prakticky celý státní aparát bez potřeby soudního příkazu.

Na seznamu povolených Velkých bratrů jsou vedle pochopitelných policejních úřadů a bezpečnostních služeb kupodivu také ministerstva zdravotnictví, dopravy, sociálních věcí nebo další státem zřízené instituce.

Tím to však nekončí. Nejen že může britský stát bez svolení soudů nahlížet, kdo kde a kdy v posledním roce surfoval, ale z moci úřední může přikázat tamním technologickým společnostem, aby odkryly vaši šifrovanou komunikaci.

A to je už problém, v poslední době se totiž stále více prosazuje end-to-end šifrování, nad kterým samotný operátor nemá žádnou kontrolu a hlavně nemá žádný klíč. Když tedy end-to-end šifrování aktivujete třeba v Messengeru od Facebooku, firma Marka Zuckerberga nemá žádné páky, jak na příkaz policie takovou komunikaci dešifrovat. Nový zákon ji to přitom nařizuje.
Facebook Messenger v režimu end-to-end šifrování, které neumí rozluštit ani provozovatel, dešifrovací klíč má totiž pouze mobil příjemce

Problém má tři možná řešení. Buď by Facebook, Apple, Google a další podobné šifrovací mechanizmy na Ostrovech nepoužívaly, nebo by pokračovaly ve stávající praxi a vyčkávaly na první precedentní případ, anebo je tu ještě třetí možnost a to ta, že by podobné služby nabízely surfařům skrze třetí osobu – účelově vytvořený podnik, který by neměl v Británii právní zastoupení. Tím by ale na druhou stranu riskovaly celoplošnou blokaci, se kterou má Británie také bohaté zkušenosti, poněvadž už roky blokuje třeba stovky warezových webů včetně The Pirate Bay.

Jen vkusná erotika

Aby toho nebylo málo, šmírovací zákon možná brzy doplní další – v úvodu zmíněný Digital Economy Bill, který pro změnu obšírně popisuje samotný kybernetický svět.

Dolní komorou parlamentu už úspěšně prošel a nyní jej projednává Sněmovna lordů. Pokud mu dá zelenou i ona, pak už bude zbývat jen podpis královny.

Britové mají smůlu. Úřady dohlédnou, aby na webu koukali jen na vkusnou erotiku
Ani DEB přitom neunikl posměškům i ostré kritice, skrývá v sobě totiž mnohá bizarní nařízení. O jednom z nich jsme psali už v listopadu, kdy si ostrovní média všimla, že se do zákona dostala zmínka o tom, že veškerý obsah pro dospělé musí být v souladu s archaickými pravidly filmové rady BBFC. Stručně řečeno, britský surfař by měl na internetu objevit jen schválený druh erotiky.

Klepněte pro větší obrázek
Soubor zákonů upravující digitální byznys by v krajním případě rozhodoval i o povoleném vkusu u obsahu pro dospělé

Podle tamních provozovatelů lechtivých webových stránek by z internetu zmizel dnes již zcela běžný obsah, pravidla BBFC totiž v některých ohledech připomínají viktoriánskou dobu. O výčet toho, co přesně by takový průměrný Brit na internetu nesměl vidět, se ve svém článku rozepsal třeba The Guardian. Je to místy detailní sonda do lidské anatomie.

Jen připomenu, že se tu nebavíme o Číně, Íránu, nebo třeba Rusku, ale o Velké Británii.

Deset let za warez

V rámci Digital Economy Bill by mělo zároveň dojít k harmonizaci trestů. Jinými slovy, ať už něco ukradnete v hmotném světě, nebo na webu, je to jedno a totéž.

Možná by to dávalo i smysl, ale jen do chvíle, než si uvědomíte, že onou krádeží může být i nepovolená distribuce digitálního díla, za kterou by mohl Britům hrozit opravdu drakonický trest. Jak vysoký? Teoreticky až deset let.

Jistě, je velmi málo pravděpodobné, že by snad nějaký britský soud odsoudil surfaře k desetiletému nepodmíněnému trestu za to, že nahrál na Ulož.to kinorip, přesto to však bude možné a nelze se divit autorským svazům, že podobné zpřísnění způsobené právní harmonizací pochopitelně kvitují.

České tendence

Britskou sondu bych nyní mohl zakončit obvyklými slovy, že bychom si měli vážit našeho sice malého, ale zatím velmi svobodného internetu, nicméně i u nás rok od roku sílí volání po zpřísnění pravidel ať už z řad české policie, nebo rozvědky. Není se jim čemu divit – chtějí pružnější a rychlejší vyšetřování všemožných kauz, nicméně za jakou cenu?

Byl to marný boj. Senátoři dali zelenou prvnímu českému státnímu blacklistu
Český „Blacklist“: boj proti nesmyslné a nebezpečné internetové cenzuře pokračuje
Již brzy také pravděpodobně skončí éra formálně neblokovaného internetu, letos totiž prošla oběma komorami českého parlamentu novela, která umožní ministerstvu financi spravovat první český blacklist zakázaných webů. Fakt, že bude evidovat výhradně ilegální webové sázkové hry, je zcela irelevantní. Proč? Protože blacklist velmi snadno objede každý teenager, který umí spustit webový prohlížeč (třeba Operu s integrovaným VPN tunelem), a veškeré náklady pod hrozbou pokut ponesou poskytovatelé připojení.

Nelze než doufat, že těmito aktivitami to zatím končí a český internet si zachová svoji stále exkluzivnější otevřenost.


Vojenská rozvědka se promění v NSA. Bude nás moci všechny sledovat. Přinášíme detailní rozbor novely zákona
12.12.2016 Živě.cz

Vláda připravila novelu o Vojenském zpravodajství
Agenti se dostanou do každé sítě
Operátoři o tom budou muset mlčet

Český parlament připravuje novelu zákona č. 289/2005 Sb., o Vojenském zpravodajství, která rozšíří působnost armádní rozvědky i na kyberprostor. S informací přišla jako první Mafra.

Právo | Internet | Bezpečnost | Návody
Tallinn Manual: NATO má návod na kyberválku
Co to znamená v praxi? Vládou navrženou novelu najdete na webu Poslanecké sněmovny jako tisk 931, který prošel prvním čtením a zatím se zastavil ve výborech. Plně znění v PDF a s tučně vyznačenými změnami pak najdete na této adrese.

Pojďme se na ty změny podívat bod po bodu.

Novela mění hned § 1, ve kterém přibyl nový odstavec, který praví, že Vojenské zpravodajství plní úkoly obrany České republiky v kybernetickém prostoru.

§ 1, odst. 3

Vojenské zpravodajství za podmínek stanovených tímto zákonem plní úkoly obrany České republiky v kybernetickém prostoru (dále jen „kybernetická obrana“).
Mohou nás odposlouchávat

No dobrá, ale jak ty úkoly budou vlastně naši vojenští zpravodajci plnit? Tomu se již obšírně věnuje část čtvrtá s podtitulem Kybernetická obrana a § 16. Píše se v něm, že specialisté mohou využívat nejrůznější technické prostředky k předcházení, zastavení nebo odvrácení kybernetického útoku.

Zajímavé je to slovíčko předcházení, které již implikuje, že Vojenské zpravodajství může mít přístup k informacím i v době klidu. Paragraf zároveň dává zpravodajcům právo používat technické prostředky k odposlechu osob, i když to bude v rozporu se zákonem o elektronických komunikacích.

§ 16a, odst. 2 a 3

(2) Vojenské zpravodajství může při zajišťování kybernetické obrany využívat technické prostředky kybernetické obrany, kterými jsou věcné technické prostředky vedoucí k předcházení, zastavení nebo odvrácení kybernetického útoku ohrožujícího zajišťování obrany České republiky; Vojenské zpravodajství při zajišťování kybernetické obrany společně s technickými prostředky kybernetické obrany k dosažení shodného účelu využívá také související postupy a opatření.

(3) Využívat technické prostředky kybernetické obrany na území České republiky, pokud lze očekávat, že naruší důvěrnost zpráv podle zákona o elektronických komunikacích a s nimi spojených provozních a lokalizačních údajů konkrétní osoby, lze výlučně za podmínek stanovených pro použití zpravodajské techniky tímto zákonem.
Takže Vojenské zpravodajství dohlíží na kybernetický mír a má k tomu technické prostředky a právo porušovat důvěrnost elektronické komunikace stejně jako třeba americká NSA, britská GCHQ a další.

Černé krabičky

Jenže aby mohli zpravodajci na cokoliv dohlížet, tak musejí mít nejprve fyzický přístup k samotné digitální dálnici, po které tečou naše pakety – přístup do sítě. No a to už se dostáváme k oněm černým krabičkám, jak se jim slangově říká. Prostě k softwarovým nebo hardwarovým přípojkám do infrastruktur operátorů a dalších telekomunikačních společností.

Umisťování podobných blackboxů upravují paragrafy § 16b a § 16c. Vstup zpravodajců do cizí digitální infrastruktury navrhne ministr obrany a posvětí Vláda ČR a není k tomu tedy potřeba rozhodnutí soudu.

§ 16b a § 16c

(16b) Umístění technických prostředků kybernetické obrany podle § 16a může být provedeno výlučně na základě jeho schválení vládou, která rovněž schválí podmínky jejich používání k zajištění kybernetické obrany. Návrh na umístění technických prostředků kybernetické obrany, jehož součástí je také návrh podmínek jejich používání, předkládá vládě ministr obrany na základě návrhu ředitele Vojenského zpravodajství.

(16c) Vojenské zpravodajství může za podmínek schválených vládou podle § 16b a v rozsahu potřebném pro zajišťování kybernetické obrany požadovat od právnické nebo podnikající fyzické osoby zajišťující síť elektronických komunikací nebo poskytující službu elektronických komunikací zřízení a zabezpečení rozhraní pro připojení technických prostředků kybernetické obrany.
Zaplatí to stát

Samozřejmě se nabízí otázka, kdo to bude všechno hradit. Pro drobného operátora s omezenými prostředky by bylo zhotovení podobných zadních vrátek do jeho systému krajně problematické.

Novela na to pamatuje a na rozdíl od již schváleného hazardního blacklistu, kde veškeré náklady zůstanou na provozovateli sítě, v tomto případě vše zaplatí český stát.

Operátoři i technici budou muset mlčet

Jestli operátor podobný blackbox do své sítě nainstaluje, či nenainstaluje, se však nikdy nedozvíte, bude to totiž tajné a ISP se tím nebude moci chlubit ani zpětně, kdy už se o jeho síť nebude Vojenské zpravodajství jakkoliv zajímat.

Toto vše upravují tři odstavce § 98a.

§ 98a

(1) Právnická nebo podnikající fyzická osoba zajišťující síť elektronických komunikací nebo poskytující službu elektronických komunikací je povinna, je-li o to požádána za účelem plnění úkolů kybernetické obrany Vojenským zpravodajstvím na základě zákona o Vojenském zpravodajství, zřídit a zabezpečit ve vhodných bodech své sítě rozhraní pro připojení technických prostředků kybernetické obrany.

(2) Za plnění povinností podle odstavce 1 náleží právnické nebo podnikající fyzické osobě od Vojenského zpravodajství úhrada efektivně vynaložených nákladů. Způsob určení výše efektivně vynaložených nákladů a způsob jejich úhrady stanoví prováděcí právní předpis.

(3) Osoba uvedená v odstavci 1, jakož i jiné osoby podílející se na plnění povinnosti podle odstavce 1, jsou povinny zachovávat mlčenlivost o připojení technických prostředků kybernetické obrany podle odstavce 1 a s tím souvisejících skutečnostech. Tato povinnost trvá i poté, kdy tato osoba přestane být osobou podle odstavce 1 nebo osobou podílející se na plnění povinnosti podle věty první.
Dvacetimilionová pokuta

Na závěr se nabízí otázka, co se stane, když se operátor postaví na zadní a Vojenskému zpravodajství řekne prostě NE! Nu, nic veselého, bude se totiž jednat o správní delikt, který v odstavci 22 upravuje § 118.

§ 118, odst. 22

Právnická nebo podnikající fyzická osoba se jako osoba zajišťující síť elektronických komunikací nebo poskytující službu elektronických komunikací dopustí správního deliktu tím, že

a) v rozporu s § 98a odst. 1 nezřídí nebo nezabezpečí v určených bodech své sítě rozhraní pro připojení technických prostředků kybernetické obrany na žádost Vojenského zpravodajství, nebo

b) poruší povinnost zachovávat mlčenlivost podle § 98a odst. 3.
Následující odstavec poté stanoví výši pokuty, která je v případě kybernetické obrany státu ta nejvyšší možná – 20 000 000 korun.

§ 118, odst. 23c (zkrácený)

20 000 000 Kč, jde-li o správní delikt podle .... odstavce 16 až 22.
Povinnost mlčenlivosti se samozřejmě týká i zainteresovaných fyzických osob – typicky zaměstnanců operátora, techniků, kteří budou se zpravodajci spolupracovat při instalaci blackboxů.

Pokud se budou chlubit třeba na Facebooku a jinak porušovat povinnost mlčenlivosti, bude se jednat dle § 119, odst. 7 o přestupek, který mohou úřady ocenit pokutou do 100 000 korun.


NSA a britská GCHQ dokážou odposlouchávat mobily a notebooky v letadlech
10.12.2016 Živě.cz

Přinejmenším americká NSA a britská GCHQ už roky monitorují hovory, SMS a webová data z letadel, které tuto službu nabízejí svým zákazníkům. Tvrdí to alespoň The Intercept a Le Monde na základě dat, které získaly od Edwarda Snowdena.

Systém se podle zveřejněné prezentace jmenuje Thieving Magpie (Straka zlodějka) a dokáže monitorovat libovolné letadlo každé dvě minuty.

Klepněte pro větší obrázekKlepněte pro větší obrázek
GSM/GPRS komunikace v letadle a seznam podporovaných arelinek

Jak je to možné? NSA a GCHQ neodposlouchávají letadlo samotné, ale satelitní komunikací provozovatele palubních GSM buněk. Když se tedy letadlo dostane do běžné letové hladiny, personál zapne palubní GSM vysílače a ty se spojí s telekomunikačním satelitem, který pak data přenáší do pozemní stanice. A právě tento signál mezi satelitem a pozemní stanicí agentury odposlouchávají (těžko říci, jestli s vědomím majitele – blackbox, anebo pirátsky).

Klepněte pro větší obrázekKlepněte pro větší obrázek

Podle prezentace dokážou agentury ze zaznamenaného signálu dešifrovat základní údaje o komunikaci a to u libovolného letu každé dvě minuty

Podle prezentace dokážou odhalit jak identifikační údaje jednotlivých telefonů na palubě, tak některé střípky z internetové komunikace včetně zasílaných e-mailových adres, adresátů skypových chatů a v prezentaci se dokonce objevila zmínka, že někteří cestující na palubě letadel spouštějí BitTorrent.


Zabezpečte se i bez peněz

10.12.2016 SecurityWorld
Přinášíme ukázku metod a produktů, pomocí kterých mohou malé a středně velké firmy zlepšit své zabezpečení, aniž musejí vydávat nějaké další výdaje.

Problémem je, že řada dobrých rad existuje jen ve znalostech nejzkušenějších bezpečnostních profesionálů a společností, takže se k malým a středně velkým firmám nedostanou, a nemohou jim tedy pomoci.

Mezi menšími firmami stále přetrvává dojem, že zlepšení jejich zabezpečení vyžaduje obrovské organizační změny a značné investice v takovém rozsahu, který se pravděpodobně vymyká jejich aktuálním možnostem.

Náprava největších slabin však vždy nemusí vyžadovat velké finanční náklady. Přinášíme některá z doporučení expertů.

1. Přestaňte ignorovat e-mailové hrozby

E-mail je hlavní branou, kterou se útočníci vždy pokusí využít jako první, když se chtějí zaměřit na firemní systémy. To, jak dobře a snadno tato taktika funguje, ukazují četné případové studie incidentů z reálného světa kybernetického zločinu.

Stačí jen zaslat jeden e-mail s přílohou s nastraženým malwarem jakoby od známého uvedeného kontaktu a útočník snadno získá záchytné místo v systému. Odtud může zasílat e-maily dalším kontaktům a přistupovat do části sítě, takže se útok rychle rozšíří.

Říkat lidem, aby neotevírali přílohy zaslané od neznámých osob, je rada upřímně řečeno téměř k ničemu – pokud lidé nesmějí otevírat přílohy od třetích stran, k čemu jim potom e-mail vůbec je? Nevyhnutelně to budou dělat.

Prvním zlepšením je podívat se na používané e-mailové systémy. Hostované služby Exchange a Gmail lze nakonfigurovat tak, aby používaly whitelisty tvořené z kontaktů přidaných do adresáře, a používají také své vlastní filtrování v první řadě za účelem snížit zátěž podezřelými e-maily.

Všichni nezastaralí e-mailoví klienti včetně webmailových služeb, jako je například Gmail, budou také považovat přílohy od neznámých kontaktů za automaticky podezřelé a podobně přísná pravidla budou používat i pro e-maily obsahující odkazy. To je začátek.

Problém spočívá v tom, že útočníci stejně často používají phishingové útoky formou napodobení komunikace legitimních webů, takže druhá vrstva obrany vyžaduje vyškolení uživatelů, tak aby dokázali rozpoznat jemné příznaky napadení.

To se samozřejmě snáze řekne, než udělá, ale řada firem nabízí antiphishingová školení a systémy testování, které ale obvykle stojí určité peníze.

Předpokládejme zranitelnost webů

Využívání děr na webech e-commerce pomocí injektáže SQL, skriptování mezi weby (XSS) atd. je dalším naprosto standardním způsobem, jak zaútočit na firmu. Dokonce i největší firmy bojují s tím, co by už v současné době mělo být dobře pochopenou záležitostí – jak třeba nedávno ukázaly škody vzniklé z útoku na společnost TalkTalk.

K dispozici je mnoho skenerů webových zranitelností. Např. od firem Qualys, AlienVault a Acunteix (obvykle jsou nabízené také bezplatné zkušební verze) nebo je možné použít četné nástroje open source, které však vyžadují větší odborné znalosti.

Pro začátek mohou být dobré nástroje, jako jsou Vega, W3af a SQLmap.

Zablokujte rizikový software

Většina počítačů obsahuje příliš mnoho softwaru a část z toho může být nainstalovaná zaměstnanci, aniž o tom správci vědí. Je to neuvěřitelně riskantní, ale naštěstí je možná náprava prostým odstraněním softwaru, který je známý jako neustálý zdroj zranitelností nultého dne.

Hlavními pachateli jsou zásuvné moduly Flash prohlížečů, aplikace PDF Reader společnosti Adobe a Java Runtime Environment (JRE včetně starých verzí) a téměř cokoli publikované společností Apple – nic z toho už není nezbytné tak, jako to bylo v minulosti.

Takový software odstraňte a zbavíte se velké části rizika při minimálních nevýhodách. Potřebujete PDF? Nejnovější browsery využívají prohlížeč v izolovaném prostoru bez potřeby spouštět celý program nebo dokonce stahovat soubor.

Přinejmenším rozhraní, jako je například Flash, by se měla zapínat jen v případě potřeby tak, že by je uživatelé spouštěli ručně.

„Pokud software nemůžete zablokovat, je přinejmenším nutné, abyste věděli, co ve vašich prostředích běží. Monitorujte, monitorujte a monitorujte. Kontrolujte, kdo co dělá, k jakým souborům se přistupuje, kdo se přihlašuje atd. Seznamte se zkrátka s tím, jak váš systém vypadá,“ radí Javvad Malik z bezpečnostní společnosti AlienVault.

Šifrování používejte uvážlivě

Žádná technologie není tak často zmiňovaná jako jednoduchý způsob zlepšení, jako je tomu u šifrování, ale jeho nasazení není jednoduchým všelékem. První problém spočívá v tom, že šifrování je často nákladné, proprietární pro konkrétní aplikace a také samozřejmě je nutné někam bezpečně ukládat klíče.

Šifrování může být užitečné pro ochranu uložených dat, zejména těch v mobilních zařízeních na platformách iOS a Android, které v novějších verzích nabízejí bezpečné šifrování standardně.

Firemní notebooky bývají v současné době poskytované s možností plného šifrování disku (FDE, Full Disk Encryption), což by měly malé a středně velké firmy vždy využít. USB disky by se měly šifrovat vždy.

Šifrování desktopů v malém měřítku je vždy trochu složitější. O to více, když svého času slavný a spolehlivý open source program TrueCrypt už nadále není považovaný za důvěryhodný.

Microsoft nabízí vynikající nástroj BitLocker ve verzích Pro svého systému Windows včetně nejnovějšího Windows 10, což by měl být základ konfigurace každého desktopu s tímto operačním systémem, ze kterého se přistupuje k důležitým datům.

Nástroje se liší ve způsobu fungování v případě šifrování jednotlivých souborů či šifrování celých svazků. Mezi zajímavé nástroje pracující se svazky patří DiskCryptor a FreeOTFE. Symantec navíc nabízí nástroj Drive Encryption, ale ačkoli je relativně drahý, neposkytuje některé funkce centrální správy.


Nebezpečný Locky se transformoval. Nový virus připraví uživatele o data

8.12.2016 Novinky/Bezpečnost
Locky patří aktuálně k nejrozšířenějším vyděračským virům na světě. Kybernetičtí zločinci jej navíc transformovali do nové formy, ta je přitom přinejmenším stejně nebezpečná jako samotný Locky. Upozornil na to Národní bezpečnostní tým CSIRT.CZ.
K uzamčeným datům se bez hesla uživatelé nedostanou. (ilustrační foto)

K uzamčeným datům se bez hesla uživatelé nedostanou.
Jak útočí vyděračské viry

Na napadeném stroji dokážou vyděračské viry udělat pěkný nepořádek. Nejprve zašifrují všechna data uložená na pevném disku. Za jejich zpřístupnění pak útočníci požadují výkupné, a to klidně i několik tisíc korun.
Kyberzločinci se zpravidla snaží v majiteli napadeného stroje vzbudit dojem, že se ke svým souborům dostane po zaplacení pokuty. Ta byla údajně vyměřena za používání nelegálního softwaru apod. I proto jim celá řada lidí již výkupné zaplatila.
Zaplatit zpravidla chtějí v bitcoinech, protože pohyby této virtuální měny se prakticky nedají vystopovat. A tím logicky ani nelegální aktivita počítačových pirátů.
Ani po zaplacení výkupného se ale uživatelé ke svým datům nedostanou. Místo placení výkupného je totiž nutné virus z počítače odinstalovat. Zpřístupnit nezálohovaná data je už ale ve většině případů nemožné.
Dnes 16:01
„Locky, byl v minulých dnech objeven v nové formě. Nová varianta dostala jméno Osiris podle koncovek zašifrovaných souborů,“ uvedl Pavel Bašta, bezpečnostní analytik CSIRT.CZ, který je provozován sdružením CZ.NIC.

Oba škodlivé kódy mají přitom stejný rodokmen – patří do skupiny vyděračských virů, které se souhrnně označují jako ransomware.

Nová hrozba je stejně jako předchůdce šířena nejčastěji e-mailovými zprávami s přiloženým infikovaným Excel dokumentem.

„Po spuštění souboru je uživatel vyzván k povolení maker. Spuštěné makro pak následně spustí systémový proces Rundll32.exe s načtenou infikovanou dll knihovnou obsahující Osiris. Při nákaze dochází k zašifrování dokumentů, fotek a dalších obvyklých typů uživatelských dat,“ vysvětlil technickou stránku věci Bašta.

Dešifrovací algoritmus není znám
Samotný útok tedy probíhá úplně stejně, jako tomu bylo dříve u Lockyho. Sluší se připomenout, že tento vyděračský virus počítačoví piráti začali v minulých týdnech šířit nejen prostřednictvím e-mailů, ale také skrze falešné fotky na sociálních sítích.

Ani u jednoho ze zmiňovaných vyděračských virů se po úspěšném útoku lidé ke svým datům již nedostanou. „K odstranění nákazy již existují doporučené postupy, ale dešifrovací algoritmus zaručující obnovu dat zatím není znám,“ uzavřel Bašta.


Stegano děsí bezpečnostní experty. Zákeřný záškodník číhá v reklamách

8.12.2016 Novinky/Bezpečnost
Před zákeřným záškodníkem zvaným Stegano varovali bezpečnostní experti společnosti Eset. Tento škodlivý kód číhá v reklamních bannerech na internetových stránkách, uživatel si tedy nezvaného návštěvníka pustí do svého stroje už jen tím, že daný web navštíví.
„Stegano je zákeřný v tom, že k nákaze počítače může postačit, aby uživatel navštívil webovou stránku, kde se vyskytuje škodlivá reklama. Nemusí dojít k žádné interakci, kliknutí na banner nebo k aktivnímu stahování obsahu,“ prohlásil Miroslav Dvořák, technický ředitel společnosti Eset.

Podle něj se přitom podobné bannery obsahující nezvaného návštěvníka neobjevovaly pouze na malých webech, ale i na velkých renomovaných serverech. Údajně šlo i o známé zpravodajské stránky. O jaké konkrétní weby šlo, však bezpečnostní experti neprozradili.

Detekční systémy zmiňované antivirové společnosti nicméně odhalily, že škodlivý virus se podle nejstřízlivějších odhadů zobrazil více než miliónu uživatelů.

Chyba Internet Exploreru
Stegano využívá k infiltraci do počítače zranitelnost webového prohlížeče Internet Explorer a zároveň i trhliny, kterou obsahuje oblíbený Flash Player od společnosti Adobe. Tento přehrávač videí na internetu používají po celém světě desítky miliónů lidí.

Nový záškodník jim pak dovoluje do napadeného stroje stahovat další škodlivé kódy. „Jsou mezi nimi bankovní trojany, tzv. backdoory nebo spyware,“ varoval Dvořák.

Kyberzločinci tak mohou na napadený stroj snadno nasadit špionážní software, případně celou sestavu ovládat na dálku.

Důležité jsou aktualizace
„Útočníkům se podařilo obejít opatření, která mají odhalit a blokovat škodlivý obsah v online reklamních systémech, čímž ohrozili milióny čtenářů populárních zpravodajských webů. Škodlivé verze reklamy se navíc zobrazují pouze určité skupině uživatelů se zranitelnou konfigurací systému,“ doplnil Dvořák.

Z řádků výše je patrné, že virus Stegano představoval – a v podstatě stále ještě představuje – hrozbu pouze pro uživatele, kteří nemají staženy nejnovější verze Internet Exploreru a Flash Playeru. Tvůrci obou programů totiž již dříve zmiňované chyby opravili.


Chyba v Chromu blokovala certifikáty firmy Symantec

7.12.2016 SecurityWorld
Uživatele nejpopulárnějšího prohlížeče světa, Chromu, se mohli v nedávných měsících setkat s chybami při pokusu připojit se na webové stránky zabezpečené protokolem HTTPS; chyby se objevily jak při připojení z mobilu s Androidem, tak z klasických PC.

Chyba postihla potvrzování některých SSL certifikátů vydávaných firmou Symantec, jedné z největších společností vydávající certifikáty, známé také pro svůj antivirový program Norton. Chyba postihla i GeoTrust a Thawte, které také certifikáty vydávají. Vlastní je rovněž Symantec.

Chyba se objevila v Chromu verze 53, postihla i Android WebView komponent, který Androidí aplikace používají pro zobrazení webového obsahu, píše Rick Andrew, technický ředitel Symantecu v příspěvku na blogu.

K opravě problému na mobilním zařízení by si uživatelé měli aktualizovat WebView na nejnovější verzi spolu s pozdější aktualizací Chromu na verzi 55.

„Vývojáři používající Android Open Source Platform (AOSP) si budou sami muset ověřit kompatibilitu vlastních aplikací.“

Ačkoli jde o součást systému, od Androidu 5.0 (Lollipop) je WebView dodáván ve fformě aplikačního balíčku, aktualizovatelného skrze Google Play obchod.

Verze 55 WebView byla vydána 1. prosince, ale Chrome zatím setrvává ve verzi 54 z pozdního října.

Google ve verzi 54 udělal některé změny ve Windows, Macu, Linuxu i iOS, stejně jako v Chromium a Chrome Custom Tabs aplikacích tak, aby certifikáty Symantecu nevyvolávaly varování o nedůvěryhodnosti. V Chromu 55 je již problém zcela opraven na všech platformách, potvrdil Andrews.

V rámci zabezpečení je doporučeno na verzi 55 aktualizovat jakmile to jen bude možné. Na většině platforem to jde od 1. prosince.

Problém začal rozhodnutím Googlu – ten donutil Symantec publikovat veškeré certifikáty vydané po 1. červnu 2016 do veřejného registru – Certificate Transparency (CT).

Rozhodnutí přišlo po interním zkoumání Symantecu. Zajímal se o neautorizované udělování prodloužené platnosti (EV) certifikátům pro google.com, zkoumání však nedopadlo podle plánů a Google hrozil postihy proti Symantecu; svou hrozbu také splnil.

Protože poskytovatelé certifikátů závisí na prohlížečích, které se rozhodnout jimi uděleným certifikátům věřit, mají vůči nim firmy jako Google, Mozilla nebo Microsoft silnou páku. Po incidentu se Symantecem Google do Chromu implementoval mechanismus, který označil jako důvěryhodné pouze certifikáty po 1. červnu 2016.

Google však má ještě další mechanismus, kdy Chrome nastaví desetitýdenní limit pro důvěru certifikátům, aby informace nezastaraly. Když se to zkombinovalo s druhou kontrolou pro Symantec, výsledkem byla nechtěná nedůvěra v certifikáty i pro certifikáty splňující požadavky firmy.


V bezpečnostních IP kamerách Sony byla nalezena „zadní vrátka“, umožnila administrátorský přístup komukoli
7.12.2016 Novinky/Bezpečnost

S rozmachem internetu věcí vzniká i rozmach bezpečnostních hrozeb z počtu zařízení, která lze hacknout kvůli chybám v jejich zabezpečení. Ironií je, že tentokrát se ale problém objevil u profesionálních bezpečnostních kamer od Sony řady Ipela Engine.

Jak objevila bezpečnostní společnost SEC Consult, kamery měly ve firmwaru zabudovaný „backdoor“ (zadní vrátka“), která umožňovala tajný administrátorský přístup ke kameře komukoli a odkudkoli. Jednalo se o účet, který se nacházel přímo ve firmwaru (User: primana, Password: primana), nejednalo se tak o nějakou chybu, která může při návrhu hardwaru a softwaru vzniknout. Dle vyjádření šlo pravděpodobně o účet sloužící pro testování a kalibraci. Proč ho tam ale Sony nechalo, není jasné. Nalezen byl i další skrytý účet s názvem „debug“ a heslem „popeyeConnection“.

Dalším problémem, který se podařilo odhalit, byla defaultní hesla, která byla rovněž přímo ve firmwaru a nijak se negenerovala. To už se vymstilo u obrovského počtu zařízení, která hackeři ovládali do velkých botnetů.

Sony dle informací už vydala aktualizaci firmwaru, který by měl bezpečnostní problémy vyřešit.


Zombie routery chystaly útok v Německu a Británii, stejný vir dříve odstavil Twitter

7.12.2016 Novinky/Bezpečnost
Říjnový masový výpadek sociální sítě Twitter, ale také internetového obchodu Amazon nebo Facebooku ve Spojených státech, k němuž došlo při masovém DDoS útoku přes zařízení napojená na sítě Internetu věcí, se tento týden v menším měřítku zopakoval v Německu a ve Velké Británii.
K útokům vedeným na infrastruktury konkrétních operátorů hackeři opět využili botnet Mirai. Začátkem týdne se útočníkům podařilo odstavit síť pro Internet věcí německé telekomunikační společnosti Deutsche Telekom.

Výpadek se dotkl 900 tisíc zákazníků, kteří nemohli využívat chytrá zařízení ve svých domácnostech a připojit se k internetu. Původní záměr hackerů byl ale mnohem ambicióznější: plánovali využít domácí routery zákazníků Deutsche Telekomu k masivnímu DDoS útoku, který by byl podobně rozsáhlý jako říjnový výpadek internetových služeb ve Spojených státech.

Jeden z hlavních serverů, jehož prostřednictvím byl veden útok, se podle webu Infosecurity-magazine.com nacházel v Kyjevě a byl zapsán pod pseudonymem Peter Parker (skutečné jméno filmového Spidermana). Výpadky sítě Deutsche Telekom ovlivnily nejen internet, ale také hlasové a televizní služby poskytované touto společností.

„Sledujeme nový nebezpečný trend. V září se udál útok na webové stránky Briana Krebse o síle 665 gigabitů za sekundu, v říjnu ve Spojených státech šlo o více než 1 terabit. Pro srovnání – průměrný datový tok českého peeringového uzlu NIX.cz je přibližně 250 gigabitů za sekundu. Je zřejmé, že takovému útoku se lze bránit jen za velmi vysokou cenu,“ upozorňuje Miroslav Dvořák, technický ředitel antivirové společnosti ESET.

Britové museli resetovat routery
Jen několik dní po útoku na infrastrukturu Deutsche Telekom se s podobnými problémy potýkala britská pošta a mobilní operátor TalkTalk. Zákazníci těchto společností byli odříznuti od internetového připojení poté, co někdo na dálku vypnul jejich domácí routery. Po jejich restartování připojení opět bez problémů fungovalo.

Bezpečnostní experti předpokládají, že k tomuto útoku byla použita jedna z nejnovějších verzí botnetu Mirai. Výpadek probíhal podobným způsobem jako u Deutsche Telekomu a dotkl se 100 tisíc zákazníků. Britská BBC informovala, že odstavenými routery byly modely ZyXEL AMG1302, používané britskou poštou, a D-Link DSL-3780, který svým zákazníkům poskytuje operátor TalkTalk.

Bezpečnost musí být vždy komplexní a je nutné zabezpečit každé zařízení, které má přístup na internet.
Miroslav Dvořák, technický ředitel společnosti ESET software spol. s r. o.
„Router je povětšinou vnímán jako v uvozovkách hloupé zařízení, o které není potřeba se starat, ale opak je pravdou. Jednoduchou prevencí jsou v tomto případě pravidelná aktualizace firmwaru routeru, změna výchozího hesla a správná konfigurace, například zákaz dostupnosti administračního rozhraní z internetu,“ vypočítává Miroslav Dvořák ze společnosti ESET.

Základní chybou mnoha internetových uživatelů je používání výchozího hesla routeru, které bylo nastaveno od poskytovatele internetového připojení nebo od jeho výrobce a jež lze velmi jednoduše zjistit. Takový uživatel se pak vydává v milost či nemilost internetového útočníka.

„Rádi bychom ujistili naše zákazníky, že z napadených zařízení neunikla žádná jejich osobní data. Identifikovali jsme zdroj problému a nasadili řešení, které v současné době chrání všechny naše zákazníky,“ citovala BBC mluvčího britské pošty. Podle Miroslava Dvořáka však nestačí chránit pouze routery. „Bezpečnost musí být vždy komplexní a je nutné zabezpečit každé zařízení, které má přístup na internet. Počítač, mobilní zařízení a další. Nejlepším nástrojem ochrany je v tomto případě aktualizovaný a spolehlivý nástroj internetové ochrany,“ radí Dvořák.


Chrome má desítky bezpečnostních chyb. Některé jsou velmi vážné

6.12.2016 Novinky/Bezpečnost
Více než tři desítky chyb byly objeveny v oblíbeném webovém prohlížeči Chrome. Nejnovější verze tohoto browseru je však všechny opravuje. Vzhledem k tomu, že některé z objevených trhlin jsou vážné, neměli by uživatelé s instalací aktualizace otálet.
Nová verze prohlížeče s pořadovým číslem 55 opravuje celkem 36 bezpečnostních trhlin. Z nich 11 je přitom označeno nálepkou „vysoce závažné“.

To jinými slovy znamená, že je počítačoví piráti mohou zneužít k tomu, aby do počítače propašovali prakticky libovolný škodlivý kód. Stejně tak ale mohou přistupovat k nastavení napadeného stroje či uloženým datům na pevném disku.

Teoreticky mohou počítačoví piráti zneužít také některé trhliny, které mají nálepku „důležité“. U nich se nicméně nepředpokládá, že by v praxi došlo k jejich masivnímu zneužívání, jako je tomu u vysoce závažných bezpečnostních nedostatků.

Zlepšení funkčnosti
Zbylé aktualizace pak slouží především ke zlepšení funkčnosti jednotlivých součástí internetového prohlížeče. Tyto důležité záplaty by tedy neměly pro uživatele představovat žádné velké bezpečnostní riziko.

S instalací aktualizace Chromu by s ohledem na možná rizika neměli uživatelé otálet. Stahovat opravy je možné prostřednictvím automatických aktualizací.

Nainstalovat aktualizaci manuálně je možné prostřednictvím nápovědy, konkrétně v části „O aplikaci Chrome“. Po rozkliknutí této nabídky se uživateli automaticky nabídne instalace nejnovější verze.


Druhá největší ruská banka VTB se stala terčem kybernetického útoku

6.12.2016 Novinky/Bezpečnost
Druhá největší ruská banka VTB se v pondělí stala terčem kybernetického útoku. Informovala o tom agentura AFP. Podle ní byla akce počítačových pirátů zaměřena na internetovou stránku banky, žádného z klientů se ale prý nijak nedotkla.
Co je DDoS

Útok DDoS (Distributed Denial of Service) má vždy stejný scénář. Stovky tisíc počítačů začnou přistupovat v jeden okamžik na konkrétní server. Ten zpravidla nezvládne tak vysoké množství požadavků zpracovat a spadne. Pro běžné uživatele se pak takto napadená webová stránka tváří jako nedostupná.
K útoku došlo v době, kdy se ruské finanční instituce obávají častějších nepřátelských aktivit počítačových pirátů. Ruská kontrarozvědka FSB minulý týden obvinila „zahraniční zpravodajské služby”, že se chystají s pomocí kybernetických útoků destabilizovat ruský finanční systém.

„Stránky skupiny VTB byly vystaveny útoku typu DDoS. IT infrastruktura funguje normálně a klienti banky nebyli nijak postiženi,” uvedla banka.

Centrála, z které jsou útoky na ruské banky údajně řízeny, se podle FSB nachází v Nizozemsku a patří ukrajinské společnosti BlazingFast. Kyjev a Moskva se pravidelně vzájemně obviňují z pokusů o destabilizaci.

Ruská centrální banka v pátek sdělila, že se do jejího systému letos dostali hackeři a s pomocí zfalšovaných hesel se pokusili ukrást přes dvě miliardy rublů (800 miliónů Kč). V prohlášení uvedla, že více než polovinu této částky se podařilo zachránit, kde je zbytek, ale nesdělila.


Nebezpečný malware cílí na klienty bank. Útočí na Android

5.12.2016 Novinky/Bezpečnost
Na pozoru by se měli mít v poslední době majitelé přístrojů s operačním systémem Android. Na tuto platformu se totiž podle všeho soustředí počítačoví piráti stále častěji. Jeden z posledních zachycených kyberútoků může udělat pěkné vrásky na čele především klientům bank, nezvaný návštěvník se je totiž snaží obrat o peníze.
Před bankovním malwarem, jejž bezpečnostní výzkumníci pojmenovali SmsSecurity, varoval Národní bezpečnostní tým CSIRT.CZ.

Počet zaznamenaných útoků navíc není podle vyjádření expertů zanedbatelný. „V poslední době bylo zaznamenáno množství útoků nové verze škodlivé aplikace SmsSecurity cílící na zákazníky bank,“ varoval Pavel Bašta, bezpečnostní analytik CSIRT.CZ, který je provozován sdružením CZ.NIC.

Podle něj byly doposud zaznamenány útoky na klienty bank v Rakousku, Německu, Maďarsku, Rumunsku a Švýcarsku. Není nicméně vyloučeno, že tento nebezpečný malware se budou počítačoví piráti snažit nasadit i v Česku.

Převzetí kontroly nad zařízením
Při snaze o infiltraci škodlivého kódu jsou navíc kyberzločinci velmi vynalézaví. „Aplikace pro operační systém Android se maskuje jako součást dvoufaktorové autentizace některé z bankovních aplikací,“ podotkl Bašta.

„Podvodným oznámením o nutnosti aktualizace se škodlivý software stáhne a v dalších krocích získá kontrolu nad zařízením pomocí instalace aplikace TeamViewer QuickSupport, obvykle využívané pro vzdálenou podporu uživatelů. Cílem aplikace je kromě převzetí kontroly nad zařízením také krádež hesel,“ doplnil bezpečnostní expert.

V případě, že se uživatelé setkají s nestandardním fungováním aplikace pro internetové bankovnictví, měli by se neprodleně obrátit na zástupce své banky. A to platí i v případě, kdy ve svém mobilním přístroji objeví program, jehož původ je neznámý.

Oficiální zdroj není zárukou bezpečí
Vhodné je také stahovat veškeré aplikace pouze z oficiálních zdrojů, v případě operačního systému Android tedy přímo z Google Play. Ani tak ale uživatelé nemají 100% záruku, že budou v bezpečí.

Na podzim se totiž například v oficiálním obchodu od této internetové společnosti objevila podvodná aplikace Guide for Pokémon Go (Průvodce hrou Pokémon Go), která dokázala v chytrém telefonu udělat pěknou neplechu. Útočníci se totiž jejím prostřednictvím mohli zmocnit přístupových práv, a tím pádem i celého napadeného zařízení.

Jak je už z názvu podvodné aplikace zřejmé, útočníci se tehdy snažili využít velkého zájmu lidí o hru Pokémon Go. 

Podvodná aplikace Guide for Pokémon Go
Podvodná aplikace Guide for Pokémon Go


Soutěží od Seznamu přibývá. Jde ale o podvod

5.12.2016 Novinky/Bezpečnost
Se soutěžemi, ve kterých se podvodníci vydávají za zástupce společnosti Seznam.cz, se roztrhnul pytel. Lidé pro získání ceny musí zaslat prémiovou SMS, jež je vyjde klidně i na 100 Kč. Ve skutečnosti ale žádnou výhru nezískají, protože jde o podvod. V dalších soutěžích se kyberzločinci zase snaží vylákat od důvěřivců osobní údaje.
Před falešnými soutěžemi, které zneužívají logo a maskota české internetové jedničky, varovaly Novinky.cz již v říjnu.

Přesto se od té doby na stejné podvody nachytaly stovky lidí. Těm se soutěžní výzva zobrazuje nejčastěji jako reklama, a to na počítačích, tabletech i chytrých telefonech. Podvodníci tvrdí, že uživatel vyhrál nějaké atraktivní zařízení, pro jeho získání je však nutné zájem potvrdit prostřednictvím SMS zprávy.

Za tu si pak útočníci naúčtují tučný poplatek. Ten je v jednotlivých nabídkách různý, pohybuje se v řádech desetikorun, ale může se vyšplhat až na rovnou stovku.

Chtějí osobní údaje
V některých podvodných soutěžích, ve kterých se útočníci vydávají za zástupce společnosti Seznam, jde zase o osobní údaje. Když je kyberzločinci od uživatele vylákají, mohou je zneužít k dalším útokům nebo je prodat na černém trhu.

Ukázka podvodné výherní obrazovky
Ukázka podvodné výherní obrazovky
FOTO: Seznam.cz

Pozornější uživatelé si přitom mohou všimnout, že jde o podvod. Soutěž totiž nikdy neběží na webu české internetové jedničky, ale na úplně jiných stránkách. Některé nabídky navíc obsahují i celou řadu pravopisných chyb a špatně vyskloňovaná slova. Na podobné soutěže by uživatelé neměli vůbec reagovat.

Podvod je vhodné nahlásit
Zástupci společnosti Seznam.cz se od podvodu distancovali již dříve. „Buďte obezřetní při otvírání neznámých odkazů a všímejte si toho, kam směřují. U zpráv, které vybízejí k transakcím, platí tato rada dvojnásob. Neznámé přílohy neotvírejte a v případě, že je počítač infikován, využijte antivirový program a nezvaného útočníka odstraňte,“ poradil uživatelům Martin Kožíšek, manažer pro internetovou bezpečnost společnosti Seznam.cz.

Informovat o podobných soutěžích mohou lidé zástupce Seznamu na e-mailové adrese seznamsebezpecne@firma.seznam.cz.

Při hlášení podvodu je vhodné vložit otisk obrazovky falešné nabídky, přesnou internetovou adresu podvodu a informaci o tom, kde se s výherní nabídkou lidé setkali. Díky tomu budou moci zástupci české internetové jedničky usilovat o to, aby byly podobné soutěže na internetu zablokovány a nenapálil se nikdo další.


Firefox má kritickou chybu. Oprava zatím chybí

1.12.2016 Novinky/Bezpečnost
Kritická bezpečnostní chyba byla objevena v internetovém prohlížeči Firefox. Útočníci ji mohou zneužít k tomu, aby do cizího počítače propašovali škodlivý kód. Záplata opravující trhlinu přitom zatím není k dispozici.
Internetový prohlížeč Firefox
Internetový prohlížeč Firefox
Před chybou, kterou mohou zneužít počítačoví piráti, varoval Národní bezpečnostní tým CSIRT.CZ.

„Webový prohlížeč Mozilla Firefox obsahuje chybu, pomocí které může útočník spustit škodlivý kód. Společnost Mozilla potvrdila, že se chyba nachází ve verzích 41 až 50,“ uvedl Pavel Bašta, bezpečnostní analytik týmu CSIRT.CZ, který je provozován sdružením CZ.NIC.

To jinými slovy znamená, že kyberzločinci mohou na cizí stroj propašovat prakticky libovolný virus. A klidně i na dálku celou sestavu ovládnout.

V ohrožení jen uživatelé Windows
V ohrožení jsou však podle Bašty pouze uživatelé na operačním systému Windows. Firefox na jiných platformách totiž tuto chybu neobsahuje.

Vyzrát na tuto trhlinu mohou uživatelé i přesto, že záplata zatím chybí. Stačí nainstalovat vhodný doplněk. „Dočasně je možné se chránit používáním doplňků jako NoScript apod.,“ konstatoval bezpečnostní analytik.

Zástupci společnosti Mozilla již potvrdili, že na opravě pracují. Kdy bude vydána, však doposud neprozradili.


Z pornowebu Xhamster unikly přihlašovací údaje, útočníci jich získali 380 tisíc
1.12.2016 Živě.cz
Xhamster, který je po Pornhubu nejpopulárnější web s pornoobsahem, řeší závažný problém – z jeho databáze útočníci získali údaje o 380 tisících uživatelích. Jde především o jména, loginy a také špatně šifrovaná hesla. O incidentu informoval Motherboard s odvoláním na Leakbase.

Data mají pocházet z tohoto roku, kdy útočníci objevili mezeru v zabezpečení databáze. Hesla mají být podle Leakbase zabezpečena pouze pomocí hašovacího algoritmu MD5 bez soli, a tudíž snadno dešifrovatelná.

Klepněte pro větší obrázek
Xhamster je po Pornhubu druhý nejpopulárnější pornoweb

Mezi e-maily se již tradičně nachází i několik exemplářů patřící členům armády Spojených států nebo 30 e-mailů různých vládních složek. Což samozřejmě nemusí znamenat, že se jejich prostřednictvím registrovali přímo majitelé, Xhamster totiž v minulosti nevyžadoval ověřování adresy.

Po zveřejnění databáze a rozšíření zprávy v médiích zareagoval na incident mluvčí Xhamsteru. Podle něj se jedná o fhack, tedy falešný hack. Jejich databáze je prý zabezpečena mnohem lépe a k úniku dat nedošlo. Na druhou stranu, redaktoři webu Motherboard vzali náhodných 50 e-mailů z úniku a pokusili se je zaregistrovat. Ve všech případech web vracel chybovou zprávu o tom, že e-mail je již registrován.

Ať už je realita jakákoliv, uživatelé webu by neměli otálet se změnou přihlašovacích údajů. A to především v případě, že stejné údaje používají na více službách.


Infikované hlasovací přístroje? Rusko se podle expertů snažilo ovlivnit americké volby

1.12.2016 Novinky/Bezpečnost
Ruská vláda během kampaně před americkými prezidentskými volbami nejen prováděla hackerské útoky, po kterých zveřejňovala citlivé dokumenty s cílem zamíchat s jejich výsledkem, ale využívala také sociální média jako zbraň k ovlivnění pohledu na hlasování. Podle agentury Bloomberg to tvrdí americká společnost FireEye, která se zaměřuje na kybernetickou bezpečnost. Ruští představitelé zásah do amerických voleb opakovaně odmítají.

Analytici FireEye prověřili tisícovky dokumentů, internetových příspěvků a odkazů a dospěli k závěru, že materiál ukradený z amerických sítí ruskými tajnými službami byl na internetu masivně propagován. Využívány k tomu byly i falešné webové účty či odkazování na smyšlené a zavádějící informace. Vše prý navíc neslo podobné stopy dřívějších kybernetických aktivit Ruska proti Gruzii, Ukrajině či Estonsku.

„Vzestup Ruska jako kybernetické mocnosti se dostal na úplně jinou úroveň, než tomu bylo kdy dříve," řekl šéf firmy David DeWalt. „Zažili jsme něco, co je podle mě v dějinách americké demokracie, pokud jde o kampaň Ruska, možná tou největší historickou událostí," dodal. Operaci Moskvy označil za zcela novou a agresivní eskalaci situace v kybernetickém prostředí.

Těsnost listopadových voleb, ve kterých zvítězil republikán Donald Trump, upřela pozornost na šíření falešných zpráv a přiměla kandidátku Strany zelených Jill Steinovou požádat o přepočet hlasů v klíčových státech, kde prohrála demokratka Hillary Clintonová. Trump na takový krok reagoval twitterovým prohlášením, že pro demokratku hlasovaly nelegálně milióny lidí. Žádné důkazy pro své tvrzení ale neposkytl.

Infikované hlasovací přístroje?
Počítačový odborník pracující pro Steinovou Alex Halderman se domnívá, že hackeři mohli ve státě Pensylvánie infikovat hlasovací přístroje škodlivým softwarem. Ten mohl být navržen tak, aby po celé týdny zůstal nečinný, aktivoval se až 8. listopadu v den voleb a poté se bez zanechání stop sám vymazal.
FireEye však Haldermanovu obavu nesdílí.

Podle společnosti se nenašel žádný důkaz, který by ukázal na proniknutí do hlasovacích systémů. Tento názor zastávají i představitelé amerických bezpečnostních úřadů. „Nezjistili jsme nic, co bych charakterizoval jako významné," prohlásil ministr vnitřní bezpečnosti Jeh Johnson. „Tu a tam byly menší incidenty, které se dají očekávat, ale nic vážného," dodal.

Vláda Spojených států před volbami otevřeně obvinila Rusko, že jeho hackeři napadli servery Demokratické strany a že se snaží volby ovlivnit. Moskva se proti nařčením ohradila a vměšování odmítl i ruský prezident Vladimir Putin.


Mozilla podruhé v tomto týdnu záplatovala Firefox. Aktualizujte také Tor
1.12.2016 cnews.cz
Mozilla před dvěma týdny vydala Firefox 50 s tím, že další velké vydání přivítáme až v novém roce. Mělo však dojít nejméně k jednomu servisnímu vydání. Nakonec krátce po sobě došlo ke dvěma. První vyšlo 28. listopadu a opravilo kritickou díru spojenou s přesměrováním z připojení přes protokol HTTP na adresu data: s tím, že nové adrese byl přidělen původ předchozí adresy. Toho se dalo zneužít k manipulaci s cookies.

Jestliže v pondělí vyšel Firefox 50.0.1, od středy je oficiálně dostupný Firefox 50.0.2. I on opravuje kritickou díru. Tentokrát umožňovala skrze animace v grafických souborech SVG spustit škodlivý kód v hostitelských počítačích. Bohužel již byla aktivně zneužívána, a to na počítačích s Windows. Na situaci rychle zareagoval Tor, protože uživatelstvo tohoto prohlížeče bylo skrze díru odhalováno, což je přesný opak anonymity, kterou slibuje.

V tomto týdnu byly vydány dvě servisní verze Firefoxu
V tomto týdnu byly vydány dvě servisní verze Firefoxu (Ilustrační foto)

Proto pokud používáte Tor, rovněž aktualizujte, a to na verzi 6.0.7. Podle příspěvku na blogu Toru nebyl útok na počítače s Linuxem či macOS zjištěn, v bezpečí byli také ti, kdo měli v prohlížeči nastavenou vysokou hodnotu úroveň zabezpečení. Mozilla opravila Firefox nejen pro Windows, ale také pro další dvě zmíněné počítačové platformy. Podle příspěvku na Bugzille byla chyba v prohlížeči přítomná již pět let.

Díra opravená ve Firefoxu 50.0.2 (a ve Firefoxu ESR 45.5.1 a Thunderbirdu 45.5.1) je podle redaktora webu Ars Technica silně podobná té, kterou v roce 2013 využívala FBI k odhalování překupníků a překupnic materiálů s dětskou pornografií. Bezpečnostní expert pro Ars Technicu řekl, že podobnosti vedou ke spekulacím, zda byla tato díra záměrně vytvořena FBI nebo jinou vládní agenturou. To však zatím nebylo potvrzeno.


Malware Gooligan napadá starší zařízení s Androidem. Ohroženo je více než milion účtů
1.12.2016 cnews.cz
Experti z Check Pointu objevili a dlouhodobě sledovali malware nazvaný Gooligan. Na zařízeních s Androidem potichu převezme kontrolu nad systémem. Může získat data ze služeb Googlu, ale primárně má útočníkům vydělávat. Napadeno je minimálně milion účtů.

Malware Gooligan napadl více než milion účtů
Malware Gooligan napadl více než milion účtů

Gooligan využívá zranitelností ve starších verzích Androidu (4.x a 5.x), které najdeme na přibližně třech čtvrtinách aktivních zařízení. Ohrožené jsou primárně účty v Asii (57 %), těch evropských je jen 9 %. Do zařízení se malware dostane instalací falešné aplikace ze zdrojů třetích stran. Tedy přímou instalací APK nebo použitím jiného obchodu než Play Storu. (Ty jsou kvůli nedostupnosti Googlu rozšířeny především v Asii.)

Malware získá pomocí exploitů Vroot nebo Towelroot rootovská práva. Pak se dostane k autentizačním tokenům Googlu, takže má přístup k uloženým datům i bez znalosti hesla či potřeby projít dvoufázové ověření. Na napadené telefonu lze přistupovat do Dokumentů, Disku, Gmailu, Fotek a především Google Play.

Skrz již oficiální obchod Googlu stahuje nové aplikace (i vícekrát díky falšování IMEI a IMSI) a hodnotí je, takže v Play Storu stoupá jejich prestiž. Kromě do zařízení instaluje adware, který pak v systému obtěžuje reklamou.

Bezmocný Google
Google již o problému ví a s Check Pointem spolupracuje. Na své straně toho ale moc nevyřeší. Chyby ve starších Androidech již opravil, ale záplaty se kvůli liknavosti výrobců nedostaly do všech zařízení. Android 6.0+ už navíc má i ochranu, která hlídá i aplikace instalované z neověřených zdrojů. Je to pro něj ale signál, na které závadné aplikace v Play Storu si dát pozor.

Gooligan se nachází v necelé stovce falešných aplikací (seznam níže). Jejich smazání nepomůže, řešením není ani obnova do továrního nastavení. Jediným lékem je přeinstalace systému pomocí flashnutím obrazu, který poskytuje výrobce telefonu. Bude také nutné změnit heslo k účtu. Check Point nabízí též nástroj, pomocí něhož si můžete ověřit, zdali jste obětí Gooliganu. Stačí zadat e-mail.

Falešné aplikace s Gooliganem
Assistive Touch
ballSmove_004
Battery Monitor
Beautiful Alarm
Best Wallpapers
Billiards
Blue Point
CakeSweety
Calculator
Clean Master
Clear
com.browser.provider
com.example.ddeo
com.fabullacop.loudcallernameringtone
com.so.itouch
Compass Lite
Daily Racing
Demm
Demo
Demoad
Detecting instrument
Dircet Browser
Fast Cleaner
Fingerprint unlock
Flashlight Free
Fruit Slots
FUNNY DROPS
gla.pev.zvh
Google
GPS
GPS Speed
Hip Good
Hot Photo
HotH5Games
Html5 Games
Chrono Marker
Kiss Browser
KXService
Light Advanced
Light Browser
memory booste
memory booster
Memory Booster
Minibooster
Multifunction Flashlight
Music Cloud
OneKeyLock
Pedometer
Perfect Cleaner
phone booster
PornClub
PronClub
Puzzle Bubble-Pet Paradise
QPlay
SettingService
Sex Cademy
Sex Photo
Sexy hot wallpaper
Shadow Crush
Simple Calculator
Slots Mania
Small Blue Point
Smart Touch
SmartFolder
Snake
So Hot
StopWatch
Swamm Browser
System Booster
Talking Tom 3
TcashDemo
Test
Touch Beauty
tub.ajy.ics
UC Mini
Virtual
Weather
Wifi Accelerate
WiFi Enhancer
Wifi Master
Wifi Speed Pro
YouTube Downloader
youtubeplayer


Více než milion účtů Google ohroženo novým malwarem Gooligan

1.12.2016 SecurityWorld
Check Point Software odhalil novou variantu malwaru pro Android, která narušila bezpečnost více než milionu účtů Google.

Nová malwarová kampaň Gooligan rootuje zařízení se systémem Android a krade e-mailové adresy a uložené ověřovací tokeny. S těmito informacemi mohou útočníci získat přístup k citlivým uživatelským datům z Gmailu, Fotek Google, Dokumentů Google, Google Play a G Suite.

„Tato krádež informací o více než miliónu účtů Google nemá obdoby a je to další etapa kybernetických útoků,“ říká Daniel Šafář, Country Manager pro Českou republiku a region CZR ve společnosti Check Point. „Vidíme posun ve strategii hackerů, kteří nyní cílí na mobilní zařízení a snaží se z nich dostat citlivé informace.“

Klíčová zjištění:

Kampaň infikuje 13 000 zařízení každý den a jako první způsobila root více než 1 milionu zařízení.
Stovky e-mailových adres jsou spojeny s podnikovými účty z celého světa.
Gooligan cílí na zařízení se systémem Android 4 (Jelly Bean, KitKat) a 5 (Lollipop), které představují téměř 74 % aktuálně používaných zařízení Android.
Jakmile útočníci získají kontrolu nad zařízením, generují tržby podvodným instalováním aplikací z Google Play a hodnotí je jménem obětí.
Každý den Gooligan instaluje na kompromitovaných zařízeních minimálně 30 000 aplikací, což je více než 2 miliony aplikací od začátku kampaně.

Malware ohrozil i účty a zařízení českých uživatelů.

Check Point s informacemi o kampani okamžitě informoval bezpečnostní tým společnosti Google.

„Společně jsme pracovali na pochopení situace a odpovídajících krocích. V rámci naší trvalé snahy chránit uživatele před malwarem z rodiny Ghost Push jsme přijali řadu opatření, abychom naše uživatele chránili a vylepšili celkové zabezpečení ekosystému Android,“ říká Adrian Ludwig, ředitel zabezpečení systému Android ve společnosti Google. Google mimo jiné kontaktoval postižené uživatele a zrušil jejich tokeny, odstranil aplikace spojené s malwarovou rodinou Ghost Push z Google Play a přidal nové vrstvy ochrany do technologie ověřování aplikací.

Mobilní výzkumný tým společnosti Check Point poprvé zaznamenal Gooliganův kód ve škodlivé aplikaci SnapPea minulý rok. V srpnu 2016 se objevila nová varianta malwaru a od té doby infikoval denně minimálně 13 000 zařízení. Asi 57 % z těchto zařízení se nachází v Asii a asi 9 % v Evropě.

Unikly informace o stovkách e‑mailových adres spojených se společnostmi z celého světa. K infikování zařízení dojde, pokud uživatel stáhne a nainstaluje Gooliganem nakaženou aplikaci na zranitelném zařízení se systémem Android nebo klikne na nebezpečný odkaz ve zprávě použité k phishingovému útoku.

Check Point nabízí bezplatný online nástroj, který umožňuje uživatelům systému Android zkontrolovat, jestli byla narušena bezpečnost jejich účtu.

„Pokud byl váš účet napaden, je nutné provést čistou instalaci operačního systému na vašem mobilním zařízení. Tento komplexní proces se nazývá ‚flashování‘ a doporučujeme vypnout přístroj a zařízení donést k certifikovanému technikovi nebo vašemu poskytovateli mobilních služeb, protože celá operace vyžaduje odborné provedení,“ dodává Šafář.


Hackeři ukradli statisíce hesel. Z druhého největšího erotického webu

30.11.2016 Novinky/Bezpečnost
Zbystřit by měli pánové a dámy, kteří navštěvují erotické stránky. Druhý největší web s lechtivou tématikou Xhamster.com totiž napadli počítačoví piráti. Z databáze se jim podařilo odcizit přístupové údaje několika stovek tisíc uživatelů.
Server Xhamster je po Pornhubu druhým nejoblíbenějším serverem s erotickou tématikou na internetu. Dokonce patří mezi stovku nejnavštěvovanějších stránek na celém světě, patří mu 76. místo.

Právě proto jsou informace o úniku dat uživatelů tak znepokojující. Server Motherboard upozornil na to, že útočníci se dostali k přihlašovacím údajům bezmála 400 000 uživatelů.

K úniku mělo údajně dojít v průběhu letošního roku. To však zatím zástupci Xhamsteru oficiálně nepotvrdili. Podle serveru Motherboard však byla hesla na serveru špatně zašifrovaná, a tak hacker či hackeři neměli s odcizením citlivých dat příliš mnoho práce.

Raději změnit heslo
Uživatelé služby Xhamster by si tak z preventivních důvodů měli změnit heslo. A to i na dalších internetových službách, kde používají stejné přihlašovací údaje. Tím prakticky eliminují riziko, že se díky uniklému heslu počítačoví piráti dostanou i na jejich další služby.

Bezpečné heslo by mělo mít minimálně šest znaků a mělo by obsahovat číslice a ideálně velká i malá písmena. Heslo by naopak v žádném případě nemělo být tvořeno jménem uživatele, jednoduchými slovy (jako například „heslo”) nebo pouhou posloupností číslic.

400 miliónů odcizených hesel
V poslední době jde už o několikátý velký únik přihlašovacích údajů, při kterém se počítačoví piráti zaměřili na erotické servery. 

Před dvěma týdny ses například ukázalo, že z lechtivých serverů bylo odcizeno rekordních 400 miliónů hesel. Podle serveru LeakedSource se únik přihlašovacích údajů týká serverů Adultfriendfinder.com, Penthouse.com, Cams.com a Stripshow.com.

K samotnému útoku mělo dojít přitom už v minulém měsíci, detaily však byly prozrazeny až předminulý týden.

K tak velkému balíku hesel se počítačoví piráti dostali kvůli chybě přímo na serveru Adultfriendfinder.com. Tu využili k tomu, aby se dostali na servery provozovatelů, kteří stojí i za dalšími zmiňovanými weby.


Nebezpečný virus napadl milión zařízení. Každý den infikuje tisíce dalších

30.11.2016 Novinky/Bezpečnost
Na masivní narušení bezpečnosti uživatelů, kteří používají přístroje s operačním systémem Android, upozornili ve středu bezpečnostní experti ze společnosti Check Point. Více než milión napadených strojů má na svědomí nezvaný návštěvník zvaný Goolian. Prostřednictvím něj navíc kyberzločinci každý den infikují tisíce dalších přístrojů.
Goolian se šíří internetem bez nadsázky jako lavina. Jde o velmi nebezpečný virus, protože díky němu mohou kyberzločinci rootovat zařízení s Androidem. To jinými slovy znamená, že chytré telefony a tablety mohou ovládat na dálku úplně stejně, jako kdyby je měli zrovna v ruce.

Na napadeném zařízení pak tento zákeřný virus krade e-mailové adresy a uložené ověřovací tokeny. S těmito informacemi mohou útočníci získat přístup k citlivým uživatelským datům z různých služeb Googlu – z Gmailu, Fotek Google, Dokumentů Google, Google Play i z G Suite.

Cílí na mobilní zařízení
Přesně takovýmto způsobem se podařilo útočníkům získat důvěrné informace o statisících účtů. „Tato krádež informací o více než miliónu účtů Google nemá obdoby a je to další etapa kybernetických útoků,“ řekl Daniel Šafář, zástupce společnosti Check Point pro Českou republiku.

Ten zároveň upozornil, že nově objevená virová kampaň, ve které hraje Goolian hlavní roli, jasně ukazuje trendy mezi počítačovými piráty. „Vidíme posun ve strategii hackerů, kteří nyní cílí na mobilní zařízení a snaží se z nich dostat citlivé informace,“ prohlásil Šafář.

Podle něj jsou kyberzločinci v šíření tohoto nezvaného návštěvníka navíc velmi úspěšní. Každý den totiž tento malware infikuje na 13 000 zařízení. Cílí přitom na Android ve verzích 4 a 5, které jsou aktuálně nejrozšířenější.

Inkasují peníze z nainstalovaných aplikací
„Jakmile útočníci získají kontrolu nad zařízením, generují tržby podvodným instalováním aplikací z Google Play a hodnotí je jménem obětí. Každý den Gooligan instaluje na kompromitovaných zařízeních minimálně 30 000 aplikací, což je více než 2 milióny aplikací od začátku kampaně,“ konstatoval Šafář.

Bezpečnostní experti Check Pointu již na novou malwarovou kampaň upozornili bezpečnostní tým společnosti Google. Ten již dotčené uživatele kontaktoval a upozornil je na to, že mohl být jejich účet kompromitován.

Zároveň pracovníci Googlu odstranili aplikace spojené s touto virovou nákazou z oficiálního obchodu Google Play. I prostřednictvím něj se totiž mohli uživatelé nakazit.


Botnet Mirai má další oběť, v Německu odstavil od internetu 900 tisíc uživatelů
30.11.2016 Živě.cz
V neděli večer postihl Německo rozsáhlý výpadek internetu, při kterém zůstalo bez připojení 900 tisíc zákazníků poskytovatele Deutsche Telekom. Výpadky pociťovali také operátoři v dalších zemích, kde uživatelé hlásili nedostupnost služeb. Nyní již víme původ útoku – byl jim malware Mirai, který se na konci října postaral o nedostupnost Twitteru nebo Youtube masivním útokem na poskytovatele DNS, společnost Dyn. Využívá k tomu zařízení spadající do kategorie IoT – routery, bezpečnostní kamery, ale třeba i bezdrátové chůvičky.

Mirai se v poslední verzi naučil využívat jednu ze zranitelností routerů, která na ně umožňuje útočníkům instalovat škodlivý kód, v tomto případě je cílem zapojení do botnetu. Podle webu Badcyber k tomu používá servisní protokol TR-064, který je providerům k dispozici pro vzdálenou správu. Vedle zpomaleného připojení s sebou útok na router často přinese také jeho pád, a tudíž kompletní odpojení uživatele od internetu. Právě to způsobilo nedostupnost internetu u statisíců uživatelů po celém světě.

Deutsche Telekom radí zákazníkům, kteří pociťují zpomalené připojení restart routeru – škodlivý kód je uložen pouze v RAM. Zároveň přišel s opravou, která aktualizací firmwaru zabezpečí zařízení proti tomuto typu útoku. Nákaza se týkala především routerů výrobce Arcadyan, jenž dodává routery mnoha providerům po celém světě.


Mirai má nový cíl: útočí na routery, cílů má 5 milionů

30.11.2016 Root.cz
Botnet Mirai už napáchal mnoho škod, ale jeho řádění ještě zdaleka nekončí. Naučil se novým věcem a útočí na vzdálený management routerů, ke kterému by měli mít přístup jen operátoři.
Botnet jménem Mirai se v posledních týdnech stal několikrát cílem zájmu odborných i populárních médií. Tento zájem byl způsoben především skutečností, že Mirai byl zdrojem historicky prozatím nejsilnějších DDoS útoků. Posledním takovým útokem byl distribuovaný útok cílený na poskytovatele DNS služeb Dyn, k němuž došlo ve druhé polovině minulého měsíce a který způsobil nedostupnost mnoha webových služeb, včetně Spotify a Twitteru, pro většinu lidí připojených k internetu.

V době tohoto útoku bylo dle většiny odhadů do botnetu zapojeno přibližně 100 000 zařízení – většinou routerů, kamer a dalších IoT zařízení – jeho aktuální velikost by však dle některých zdrojů mohla být i několikanásobně vyšší.

Čtěte: Když „chytré“ kamery útočí: rozbor současných DDoS útoků

Botnety bývají nejčastěji vytvářeny buď za účelem jejich využití samotným „vlastníkem“, nebo pro získání finančních prostředků z jejich pronájmu třetí straně (v obou případech např. k provádění DDoS útoků). Dle některých zdrojů je aktuální verze Mirai (zdrojové kódy původního malwaru, který zařízení do botnetu připojoval, byly volně publikovány na internetu a dále upravovány) svými provozovateli využívána druhým uvedeným způsobem. V nedávné době byl škodlivý kód, který připojuje zařízení do Mirai doplněn o nový vektor šíření, který mu umožňuje infikovat některé typy routerů, používaných nejčastěji domácnostmi a malými podniky pro připojení k internetu.

Uvedeným vektorem je protokol TR-064, resp. TR-069, který využívá TCP port 7547 a je primárně využíván poskytovateli připojení, jimž umožňuje vzdáleně konfigurovat routery zákazníků. Z nedávno publikovaného ukázkového (proof-of-concept) exploitu však vyplývá, že v případě některých zařízení může tento protokol využít i útočník a docílit pomocí něj spuštění libovolného kódu, který na zařízení zašle. Tohoto postupu užívá i nová verze „Mirai malwaru“, která cílí na některé domácí routery.

O víkendu došlo v návaznosti na snahu botnetu rozšířit se pomocí popsaného kanálu k problémům s internetovým připojením v mnoha geografických oblastech. Při pokusu o infekci nového zařízení totiž malware s výjimkou citelného zpomalení připojení na nakažených zařízeních v mnoha případech způsobil i pád na zařízení běžícího systému, čímž způsobil dočasnou nefunkčnost routeru.

Dezinfekce nakažených zařízení je naštěstí velmi jednoduchá – vzhledem k tomu, že malware se nahrává pouze do operační paměti routeru, stačí jej restartovat a dojde k odstranění infekce. Uvedený postup je samozřejmě nutné doplnit o rekonfiguraci zařízení, resp. instalaci odpovídajícího updatu firmwaru, aby bylo zajištěno, že nedojde k opětovnému nakažení zařízení. Velmi citelně bylo popsaným šířením malwaru zasaženo Německo, v němž bylo, dle vyjádření Deutsche Telekomu, problémy s připojením postiženo přibližně 900 000 lidí. Nakažena byla dle dostupných informací dále například zařízení v Rakousku, Polsku nebo Brazílii.

K internetu bylo dle informací získaných ze serveru Shodan 28. listopadu připojených více než 5 milionů zařízení umožňujících připojení pomocí protokolu TR-064 (aktuálně – 29. listopadu – je jich detekováno o něco méně než 5 milionů). V České republice je počet takových zařízení detekovaných Shodanem o něco vyšší než 72 000, na Slovensku pak počet překračuje 22 000.

Je však vhodné zmínit, že čísla získaná ze služby Shodan nejsou přesná a – jak je zmíněno na posledním uvedeném odkazu – skutečné cifry budou s vysokou pravděpodobností nižší. Rovněž ne všechna zařízení užívající TR-064 jsou z pohledu popsaného mechanismu šíření zranitelná. Je však pravděpodobné – s ohledem na skutečnost, že některé z „malých“ routerů prodávaných v ČR zranitelné jsou – že i v prostředí České republiky se budou počty potenciálních cílů pro rozšíření Mirai pohybovat v řádu desetitisíců.


Druhý největší pornoweb napadli hackeři. Získali e-maily a hesla stovek tisíc uživatelů
30.11.2016 cnews.cz
Po rozsáhlém útoku na FriendFinder Networks, při němž došlo k úniku 412 milionů přihlašovacích údajů, byl napaden další web s lechtivou tematikou – Xhamster.com. Podle monitoru Alexa jde o 76. nejnavštěvovanější web světa a druhý nejpopulárnější ve své kategorii hned za Pornhubem.

Motherboard za základě svých zdrojů píše, že se útočníci zmocnili uživatelských jmen, e-mailů a hesel 380 000 účtů. Mezi nimi byly tradičně i e-maily americké armády nebo různých státních úřadů. Magazín vyzkoušel novou registraci s uvedenými maily (50 náhodných) a web tvrdil, že je nelze použít, protože už v databázi jsou.

Neznámý útočník prý objevil zranitelnost Xhamsteru někde v letošním roce, stáhl a dešifroval špatně hashovaná hesla (MD5) a tento balík dat pak prodával. Provozovatelé webu se nicméně brání, že hesla jsou u nich dobře chráněná a jejich rozluštění je prý téměř nemožné.

Pokud na Xhamsteru náhodou máte účet, měli byste ihned změnit heslo. Pokud stejnou kombinaci jména/e-mailu a hesla používáte i na jiných, třeba důležitějších stránkách, pak hesla změňte i tam.


Další vyděračský virus podlehl bezpečnostním expertům. Zpřístupnit data je možné zdarma

28.11.2016 Novinky/Bezpečnost
Bezpečnostním expertům se podařilo vyzrát na další vyděračský virus za posledních několik týdnů. Prakticky žádnou hrozbu díky tomu aktuálně už nepředstavuje záškodník zvaný TeleCrypt. Upozornil na to Národní bezpečnostní tým CSIRT.CZ.
„Bylo prolomeno šifrování použité v ransomwaru TeleCrypt, který pro komunikaci se svým řídícím serverem využívá službu Telegram,“ konstatoval Pavel Bašta, bezpečnostní analytik týmu CSIRT.CZ, který je provozován sdružením CZ.NIC.

Ten zároveň poradil, jak mohou lidé poznat, že jejich stroj infikoval právě tento vyděračský virus. „Tento ransomware lze obvykle rozeznat dle přípony zašifrovaných souborů změněné na .Xcri. Nicméně se již objevily varianty, které změnu přípony neprovedou,“ podotkl Bašta.

Vyzrát na ransomware TeleCrypt se podařilo expertům z bezpečnostní společnosti Malwarebytes Labs. Ti zároveň zpřístupnili nástroj, pomocí kterého je možné zašifrovaná data odemknout i bez placení výkupného. Stahovat jej je možné zdarma zde, k dispozici je však pouze v angličtině.

Podlehly i další viry
V poslední době jde už o několikátý úspěch ochránců kybernetické bezpečnosti. Minulý týden například výzkumníci Kaspersky Lab vytvořili nástroj, prostřednictvím kterého mohou lidé zpřístupnit data zašifrovaná vyděračským virem CrySis.

Způsob útoku nezvaných návštěvníků TeleCrypt i Crysis je úplně stejný. Nejprve záškodník zašifruje všechna data uložená na pevném disku. Za jejich zpřístupnění pak útočníci požadují výkupné, a to klidně i několik tisíc korun.

Kyberzločinci se zpravidla snaží v majiteli napadeného stroje vzbudit dojem, že se ke svým souborům dostane po zaplacení výkupného. Ani pak se nicméně uživatelé ke svým datům nemusejí dostat.

Místo placení výkupného je totiž nutné virus z počítače odinstalovat. Zpřístupnit nezálohovaná data je už ale ve většině případů nemožné. V případě vyděračských virů TeslaCrypt, TeleCrypt, Crysis či například Polyglot to však již neplatí.


Systém MHD v San Francisku napadli hackeři, jezdilo se zadarmo

28.11.2016 Novinky/Bezpečnost
Kvůli útoku hackerů na dopravní podnik v San Francisku byla doprava v tomto kalifornském městě o víkendu zdarma. V pondělí o tom informoval portál BBC s tím, že hackeři žádali výpalné 100 bitcoinů (zhruba 1,9 miliónů korun).
Počítače v napadené síti dopravního podniku byly paralyzovány. „Byli jste hacknuti. Všechna data jsou zašifrovaná," zněl vzkaz útočníků. Technici proto z preventivních důvodů odpojili z podnikové sítě všechny automaty na lístky.

Dopravní podnik oznámil, že incident neměl žádný vliv na bezpečnostní systémy či na data o klientech. „Událost nadále vyšetřujeme, takže není vhodné v tuto chvíli poskytovat žádné další informace," sdělila mluvčí.

Systémy podniku byly odstaveny již v pátek, kdy se nejen v USA konal masový výprodej zlevněného zboží známý jako tzv. černý pátek. Jeden z cestujících v rozhovoru s televizí CBS vtipkoval, že to vypadá, že MHD se do akce také zapojilo.

Do nedělního odpoledne se technikům podle International Business Times podařilo automaty na lístky opět zprovoznit. Zda byli hackeři od podnikové sítě zcela odstaveni, jisté ale není.

Univerzita zaplatila
Dopravní podnik se stal obětí vyděračských virů, které jsou známé souhrnným označením ransomware. Piráti se snaží tyto nezvané návštěvníky propašovat především na obyčejné počítače v domácnostech, cílí s nimi ale zároveň také na podnikové sítě.

Své o tom ví také správci počítačové sítě na kanadské univerzitě v Calgary. Kyberzločincům se totiž podařilo v polovině letošního roku nakazit více než stovku tamních PC vyděračským virem a za jejich zpřístupnění požadovali výkupné.

Nebyli přitom žádní troškaři. Za dešifrovací klíč chtěli zaplatit 40 bitcoinů, tedy podle tehdejšího kurzu v přepočtu více než 480 000 korun. Tuto virtuální měnu nezvolili kyberzločinci náhodou. Její pohyb se nedá vystopovat, a tak je prakticky nulová šance, že by mohli být vypátráni.

S ohledem na to, že byla zcela paralyzovaná e-mailová komunikace a že se univerzitní administrátoři nemohli dostat do jednotlivých PC, kde byla uložená důležitá data, rozhodlo se vedení univerzity požadavku hackerů vyhovět. Výkupné zaplatili.


Web rakouského ministerstva zahraničí napadli hackeři

28.11.2016 Novinky/Bezpečnost
Rakouské ministerstvo zahraničí se stalo terčem hackerského útoku. Hackeři útočili nejspíš z Turecka, informovala agentura DPA. Šéf rakouské diplomacie Sebastian Kurz Ankaru dlouhodobě tvrdě kritizuje.
Co je DDoS

Útok DDoS (Distributed Denial of Service) má vždy stejný scénář. Stovky tisíc počítačů začnou přistupovat v jeden okamžik na konkrétní server. Ten zpravidla nezvládne tak vysoké množství požadavků zpracovat a spadne. Pro běžné uživatele se pak takto napadená webová stránka tváří jako nedostupná.
Více zde
„Nenecháme se takovými útoky zastrašit. Rakousko si zachová svůj postoj vůči Turecku," uvedl Kurz, který patří v Evropské unii k nejostřejším kritikům jednání Ankary v migrační krizi i po červencovém zmařeném puči.

Tento týden Kurz, který je členem Rakouské lidové strany (ÖVP), uvítal rozhodnutí Evropského parlamentu, jenž v právně nezávazném usnesení vyzval ke zmrazení přístupových jednání s Tureckem.

Hlavním důvodem přijetí usnesení byly čistky, které turecké úřady zahájily po neúspěšném pokusu o puč. O práci během nich přišlo více než 110 000 lidí a ve vazbě jich skončilo 37 000.

DDoS útok
Hackerský útok na rakouské ministerstvo zahraničí se odehrál již v pátek večer. Úřad svou internetovou prezentaci urychleně odpojil od sítě, když zjistil, že na ni míří neobvyklé množství dotazů, jejichž cílem zjevně bylo stránku zahltit a ochromit. Šlo tedy s největší pravděpodobností o tzv. DDoS útok.

Turecká hackerská skupina se už v září přihlásila k internetovému útoku na vídeňské letiště.

Rakouské ministerstvo vnitra v současnosti navíc prověřuje, zda za obdobným hackerským útokem na centrální banku nestojí rovněž Turci.


ImageGate: nová metoda šíření malwaru prostřednictvím obrázků

26.11.2016 SecurityWorld
Check Point Software Technologies identifikoval nový vektor útoků pojmenovaný ImageGate, který vloží malware do obrázků a grafických souborů. Navíc výzkumníci odhalili způsob, jak hackeři šíří škodlivý kód pomocí těchto obrázků na sociálních sítích, jako jsou Facebook a LinkedIn.

Podle výzkumu útočníci vytvořili novou techniku, jak vložit škodlivý kód do obrazového souboru a úspěšně jej nahrát na webové stránky sociálních sítí. Útočníci zneužívají nesprávné konfigurace v infrastruktuře sociálních médií, aby přinutili oběti ke stažení obrazového souboru. A jakmile koncový uživatel klikne na stažený soubor, tak dojde k infikování zařízení.

Celý bezpečnostní průmysl v posledních čtyřech dnech pozorně sleduje masivní šíření ransomwaru Locky prostřednictvím sociálních sítí a zejména prostřednictvím facebookové kampaně. Check Point věří, že nová technika ImageGate odhaluje, jak byla tato kampaň vůbec možná, což byla doposud nezodpovězená otázka.

Výzkumníci společnosti Check Point odhalili útok, který ovlivňuje hlavní internetové stránky a sociální sítě po celém světě, včetně Facebooku a LinkedInu. Check Point o útoku informoval Facebook a LinkedIn na začátku září.

Jakmile v případě ransomwaru Locky uživatel stáhne a otevře škodlivý soubor, všechny soubory na jeho osobním zařízení se automaticky zašifrují a přístup k nim lze znovu získat pouze zaplacením výkupného. Podle odhadů je útočná kampaň stále v plném proudu a každý den přibývají nové a nové oběti.

„Stále více lidí tráví čas na sociálních sítích, proto se hackeři pokouší najít cestu právě do těchto platforem,“ říká Oded Vanunu, vedoucí výzkumu produktových zranitelností, Check Point. „Kyberzločinci si dobře uvědomují, že tyto stránky jsou obvykle povolené, takže se snaží najít nové techniky, jak využít sociální média pro škodlivé aktivity. Výzkumníci společnosti Check Point se snaží zjistit, kde útočníci udeří příště, aby ochránili uživatele před nejpokročilejšími hrozbami.“

Jak se chránit:

Check Point doporučuje následující preventivní opatření:

Pokud jste klikli na obrázek a váš prohlížeč začal stahovat soubor, neotvírejte jej. Jakékoliv webové stránky sociálních sítí by měly zobrazit obrázek bez stažení jakéhokoli souboru.
Neotvírejte žádný obrázkový soubor s neobvyklou příponou (jako jsou SVG, JS nebo HTA).


Nebezpečný virus se maskuje za fotku na Facebooku. Šíří se i v Česku

22.11.2016 Novinky/Bezpečnost Viry
Na pozoru by se měli mít čeští a slovenští uživatelé sociální sítě Facebook. Prostřednictvím ní, respektive skrze chatovací aplikaci Messenger, se začal šířit nebezpečný virus. Jde o nechvalně známého záškodníka Lockyho, který patří do kategorie tzv. vyděračských virů. Před hrozbou varovala antivirová společnost Eset.
Nezvaný návštěvník se maskuje za fotografii. „Ve skutečnosti jde o vektorový grafický soubor, který uživatele po otevření v prohlížeči Google Chrome přesměruje na stránku připomínající YouTube,“ varoval Pavel Matějíček, manažer technické podpory společnosti Eset.

„Na ní ho vyzve, aby si kvůli přehrání videa nainstaloval rozšíření pro tento prohlížeč. Do jeho zařízení se následně nainstaluje škodlivý kód Nemucod, jehož dalším úkolem je stáhnout do infikovaného počítače ransomware Locky,” konstatoval Matějíček.

Patří mezi nejrozšířenější hrozby
Lockyho nasazují počítačoví piráti do oběhu stále častěji. V září se dokonce dostal podle bezpečnostní společnosti Check Point jako první vyděračský virus do Top 3 nejrozšířenějších malwarových rodin, byl zodpovědný za šest procent všech detekovaných útoků po celém světě. [celá zpráva]

V případě Lockyho kyberzločinci infikují systém e-mailem s wordovou přílohou, která obsahuje škodlivé makro. Jakmile uživatel soubor otevře, makro spustí skript, který stáhne spustitelný škodlivý soubor, nainstaluje se na počítač oběti a vyhledává soubory, které šifruje. Uživatel potom ani neví, že útok začal právě kliknutím na e-mailovou přílohu.

Kyberzločinci se pak zpravidla snaží v majiteli napadeného stroje vzbudit dojem, že se ke svým souborům dostane po zaplacení pokuty. Ta byla údajně vyměřena za používání nelegálního softwaru apod. I proto jim celá řada lidí již výkupné zaplatila.

Výkupné neplatit
Ani po zaplacení výkupného se ale uživatelé ke svým datům nedostanou. Místo placení výkupného je totiž nutné virus z počítače odinstalovat. Zpřístupnit nezálohovaná data je už ale ve většině případů nemožné.

Z řádků výše je patrné, proč je Locky tak nechvalně proslulý. „Jeho oběťmi nejsou jen běžní uživatelé, ale i firmy,“ konstatoval Matějíček.

Ten zároveň poukázal na to, že se proti tomuto záškodníkovi snaží bojovat i samotný Google, za jehož produkty se vyděračský virus vydává patrně nejčastěji. „Aktuálně společnost Google zablokovala všechna škodlivá rozšíření, která pro svoje šíření tato kampaň využívala. Je však možné, že útočníci brzy vytvoří nové varianty, kterými dokáží tento nebo jiný škodlivý kód šířit i přes sociální sítě,“ doplnil Matějíček.


Pozor, Facebook Messenger napadla škodná. Šíří se v obrázku s příponou SVG
21.11.2016 Živě.cz
Sociální sítě
Prostřednictvím Messengeru na Facebooku se šíří škodlivý skript. Tváří se jako obrázek s příponou SVG a postupně se šíří bez vědomí uživatelů. Pokud vám od nějakého známého podezřelá zpráva s takovým obrázkem přišla, neklikejte na něj.

Útočníci obejdou i autorizační SMS z banky. Stačí jim k tomu Facebook
SVG je formát souboru, který popisuje vektorovou grafiku prostřednictvím XML. Je to otevřený vektorový formát, který se běžně využívá pro vykreslení 2D grafiky na webu. Je úsporný a oproti rastrovým formátům (JPEG, GIF) může přizpůsobovat velikost bez ztráty kvality zobrazení. Namísto informací o jednotlivých pixelech totiž obsahuje kód, který popisuje objekty a jejich vlastnosti. O korektní zobrazení v jakékoli velikosti už se pak postará prohlížeč.

Klepněte pro větší obrázek
Nejdřív jen obrázek s názvem photo_***.svg a poté už jen omluva od napadeného uživatele

V aktuálním případě se však stalo, že je do kódu SVG souboru vměstnán skript, který volá další externí kód. V mobilním telefonu vyvolá nabídku falešné aktualizace, v počítači odkáže na falešnou stránku působící jako kopie YouTube, která vnucuje instalaci doplňku do prohlížeče. Vždy je cílem dostat do telefonu či počítače malware. Podle stávajících zjištění zajišťuje především další šíření skriptu mezi facebookovými přáteli. Možnosti zneužití jsou ale nemalé.

Pokud podobnou zprávu dostanete, neklikejte na ni a jen upozorněte toho, kdo vám ji poslal. Klidně odpovědí přes Messenger, nic vám nehrozí.

Když někdo naopak upozorní vás, že mu posíláte podivnou zprávu s obrázkem SVG, odpojte od facebookového účtu všechny navázané aplikace, vymažte cookies a mezipaměť prohlížeče (Ctrl+Shift+Del), změňte si heslo a pečlivě si zkontrolujte i aplikace instalované ve svém mobilním telefonu či tabletu. Neznámé či nepoužívané odinstalujte. Pro jistotu si pak zkontrolujte počítač antivirovým nástrojem, ať už vestavěným Defenderem ve Windows anebo nějakým externím.


CrySis už nestraší. Bezpečnostní experti vyzráli na další vyděračský virus

21.11.2016 Novinky/Bezpečnost Viry
S dalším vyděračským virem zatočili bezpečnostní experti ze společnosti Kaspersky Lab. Tentokrát se jim podařilo vyzrát na škodlivý kód zvaný CrySis, který dokázal napadené stroje uzamknout a za odemčení požadoval výkupné. Upozornil na to server Security Affairs.
Výzkumníci využili toho, že se na webu objevily dešifrovací klíče ke zmiňovanému záškodníkovi z rodiny ransomware – tak jsou souhrnně označovány všechny vyděračské viry.

Implementovali je proto do nástroje zvaného Rakhni decryptor, prostřednictvím kterého nyní mohou lidé uzamčené počítače odemknout a zablokovaná data opět zpřístupnit. Nástroj je možné stahovat zdarma na stránkách tvůrců, k dispozici je však pouze v anglické mutaci.

Scénář útoku jako přes kopírák
Útok nezvaného návštěvníka CrySis probíhá podle stejného scénáře jako u dalších vyděračských virů. Nejprve tedy tento záškodník zašifruje všechna data uložená na pevném disku. Za jejich zpřístupnění pak útočníci požadují výkupné, a to klidně i několik tisíc korun.

Kyberzločinci se zpravidla snaží v majiteli napadeného stroje vzbudit dojem, že se ke svým souborům dostane po zaplacení výkupného. Ani pak se nicméně uživatelé ke svým datům nemusejí dostat.

Místo placení výkupného je totiž nutné virus z počítače odinstalovat. Zpřístupnit nezálohovaná data je už ale ve většině případů nemožné. V případě CrySisu to však již neplatí. Podobně bezpečnostní experti již dříve vyzráli na škodlivý kód zvaný Polyglot. Ve hře jsou miliardy
Sluší se nicméně podotknout, že škodlivé kódy z rodiny ransomware představují pro uživatele stále velké riziko. Různě upravených verzí totiž existují podle nejstřízlivějších odhadů desítky, spíše však stovky. A kyberzločinci se je snaží nasazovat při drtivé většině útoků.

Tak velké popularitě se vyděračské viry těší především proto, že jsou pro piráty velmi výhodným byznysem. Podle odhadů amerického Federálního úřadu pro vyšetřování (FBI) jeden konkrétní škodlivý virus vydělal počítačovým pirátům miliardy.

Počítačoví piráti si měli přijít na velké peníze díky škodlivému kódu zvanému TeslaCrypt. Jen za první čtvrtletí letošního roku jim tento nezvaný návštěvník vydělal podle odhadů FBI více než 200 miliónů dolarů, tedy v přepočtu bezmála pět miliard korun.


iPhone zálohuje historii hovorů do iCloudu bez vědomí uživatele a nejde to vypnout
20.11.2016 cnews.cz
Apple
Ruská společnost Elcomsoft, která mimo jiné vyvíjí a prodává software pro crackování mobilů, zjistila, že Apple zálohuje historii hovorů, aniž by o tom uživatel věděl nebo mohl tuto funkci vypnout. V iCloudu jsou uloženy logy za poslední čtyři měsíce a slouží k tomu, aby se synchronizovaly napříč zařízeními.

Elcomsoft Phone Viewer umí záznamy z iCloudu stáhnout
Problém je, že uživatel nad funkcí nemá kontrolu. Zálohování funguje automaticky po přihlášení k Apple ID. Nepomůže vypnout zálohování do iCloudu ani se odpojit od Wi-Fi. Logy se pošlou přes mobilní síť a trvá to vždy maximálně v řádu hodin. Uchovávají se jen metadata, tedy informace, kdo s kým volal, kdy a jak dlouho. Samotný hovor nikoliv.

Podle Elcomsoftu se zálohují nejen hovory z mobilní sítě, ale také ty přes FaceTime nebo jiné služby, které využívají nové VoIP rozhraní CallKit v iOS 10. Jde o WhatsApp, Skype nebo Viber. Logy lze z iCloudu stáhnout (Elcomsoft už na to vytvořil nástroj) a uživatel se přitom vůbec nedozví, že si zálohu někdo stáhl. Řešení je úplně deaktivovat iCloud, ale tím se uživatel připraví o všechny užitečné výhody, které tato služba poskytuje.

Apple k tomu dodává, že veškerá data jsou šifrovaná jak po cestě na servery, tak i na samotných serverech. Pokud tedy v řetězci neudělal nějakou skulinku, logy si stejně přečte jen ten, kdo zná klíč (tj. uživatel). To je fér, byť možnost ruční vypnutí by utišila i ty největší paranoiky.

PS: Stejná metadata u nás musejí uchovávat i operátoři, a to po dobu minimálně šesti měsíců. Dostanou se pochopitelně ale jen k mobilním hovorů, ne těm z aplikací třetích stran.


Díra v Chrome umožnila napadnout 318 000 zařízení
11.11.2016 Root
Zranitelnosti
Prohlížeč Chrome v Androidu obsahuje vážnou zranitelnost, která je aktivně zneužívána k instalaci bankovního trojana. Zatím podlehlo více než 300 000 zařízení.
Bezpečnostní díra v prohlížeči Google Chrome pro Android umožňuje potichu na kartu stáhnout libovolnou aplikaci ve formátu .apk, tedy mimo oficiální obchod Google Play. Uživatel přitom nemusí nic potvrzovat, vše se stane potichu a automaticky. Chyba je už nyní v praxi zneužívána.

Někteří uživatelé v posledních dnech zaznamenali, že na jejich Androidu vyskočí dialog varující před zavirovaným zařízením. Doporučuje nainstalovat aplikaci, která virus sama odstraní.

Bohužel jde o útok, který zneužívá zranitelnosti v Google Chrome a pomocí upravené webové stránky zmanipuluje uživatele, aby zapnul možnost ruční instalace aplikací z .apk souborů. Pak rovnou do systému takovou aplikaci stáhne. Bez uživatelova potvrzení, bez jeho vědomí. Prohlížeč obvykle před stahováním souboru uživatele varuje a ptá se ho, jestli chce soubor na kartu uložit. V tomto případě je ale zneužita chyba v Chrome, která dovoluje soubor zapsat bez varování.

Jde o soubor last-browser-update.apk, který obsahuje bankovního trojana pojmenovaného Trojan-Banker.AndroidOS.Svpeng.q. Ten po úspěšném nainstalování požádá o správcovská práva, aby mohl blokovat antiviry v přístroji. Poté krade bankovní data a čísla karet, zobrazuje phishingové zprávy a vykrádá další data jako kontakty, zprávy či historii prohlížení.

Škodlivý kód je možné najít na běžných webech, protože se šíří prostřednictvím reklamní sítě Google AdSense. Tu používá celá řada webů, protože přes ni automaticky prodává reklamní prostor a za to získává finance na svůj provoz. V praxi tak může být „napadena“ prakticky libovolná stránka. Trojan se pak k uživateli začne stahovat, jakmile je načtena stránka s reklamou.

Od srpna bylo takto napadeno přes 318 000 zařízení s Androidem a mechanismus napadení popisují na blogu vývojáři společnosti Kasperski Labs, Mikhail Kuzin a Nikita Buchka. Postup spočívá v rozdělení stahovaného souboru na části a stažení pomocí funkce ve třídě Blob(). V takovém případě prohlížeč nekontroluje obsah souboru a dovolí jej uložit.

Uložený soubor může mít jedno z těchto jmen:

last-browser-update.apk
WhatsApp.apk
Google_Play.apk
2GIS.apk
Viber.apk
DrugVokrug.apk
Instagram.apk
VKontakte.apk
minecraftPE.apk
Skype.apk
Android_3D_Accelerate.apk.
SpeedBoosterAndr6.0.apk
new-android-browser.apk
AndroidHDSpeedUp.apk
Android_update6.apk
WEB-HD-VIDEO-Player.apk
Asphalt7_Heat.apk
CHEAT.apk
Root_Uninstaller.apk
Mobogenie.apk
Chrome_update.apk
Trial_Xtreme.apk
Cut_the_Rope2.apk
Установка.apk
Temple_Run.apk
Jde o jména existujících regulérních aplikací a trojan pak uživateli vysvětlí, že je potřeba nainstalovat důležitou aktualizaci. Uživatel pak už jen potvrdí, že je možné balíček nainstalovat a problém je na světě.

Google o problému ví, odstranil napadené reklamy a tvrdí, že bude chybu záplatovat. Bohužel se nehovoří o konkrétním termínu, ale pokud vše půjde standardní cestou, dočkáme se další záplaty na začátku prosince, kdy po šesti týdnech vyjde nová aktualizace Chrome. Útočníci tedy budou mít ještě tři týdny čas a budou moci chybu dále zneužívat.


Microsoft opravil desítky zranitelností, některé hackeři už zneužívají

11.11.2016 SecurityWorld Zranitelnosti
Chyby, z nich některé jsou dokonce kritické, se týkají systémů Windows, Office, Edge, Internet Exploreru či SQL Serveru.

Opravu chyb pokrývá 14 aktualizací zabezpečení, tzv. security bulletinů, z čehož jeden je věnovaný přímo Adobe Flash Playeru, který se od verzí Windows 8.1 a 10 aktualizuje skrze Windows Update. Šest bulletinů je hodnoceno jako kritických a osm jako důležitých.

Administrátoři by měli jako první aplikovat MS16-135, který popravuje zranitelnost nultého dne (zero day vulnerability); tu nyní zneužívá skupina hackerů v odborných kruzích známá jako Fancy Bear, APT28 nebo Strontium.

Zranitelnost označená jako CVE-2016-7255 byla veřejně odhalena Googlem již minulý týden, pouhých 10 dní potom, co o ní informoval firmu Microsoft. To způsobilo lehké tření ve vztahu obou společností.

Google dává prodejcům jen sedm dní na opravení chyb nebo alespoň snížení důsledků, pokud se dané zranitelnosti již zneužívají. Microsoft dlouhodobě s touto strategií nesouhlasí a domnívá se, že odhalení detailů o zranitelnosti vystavilo uživatele zvýšenému riziku.

Další z klíčových bulletinů je MS16-132, označený jako kritický. Opravuje několik chyb umožňujících spuštění kódu na vzdáleném systému (RCE) včetně další zranitelnosti nultého dne, kterou, dle Microsoftu, hackeři rovněž využívají.

Zranitelnost se nachází v knihovně fontů Windows a lze jí zneužít skrze speciálně vytvořené fonty, vložené do webových stránek nebo dokumentů. Úspěšné využití chyby umožňuje útočníkům převzít kompletní kontrolu nad systémem, varuje v bulletinu Microsoft.

Zbylé tři kritické bezpečnostní aktualizace jsou v Internet Exploreru a Edge, internetových prohlížečích firmy. Jde o bulletiny MS16-142 a MS16-129. Ačkoli detaily o chybách již unikly na veřejnosti, podle Microsoftu je zatím nikdo nezneužil.

Aktualizace zabezpečení mířená na Office balíček firmy, MS16-133, je označená jako důležitá; opět záplatuje možnosti spuštění kódu na vzdáleném systému. Zranitelnosti lze zneužít pomocí účelně vytvořených dokumentů.

„Protože Office dokumenty převládají ve firemním prostředí, myslím, že by [se adminitrátoři] měli k bulletinu chovat jako ke kritickému, i když je označen jen jako důležitý,“ říká Amol Sarwate, ředitel Vulnerability Labs firmy Qualys k analýze aktualizací.

Správci Microsoft SQL Serveru by zase měli upřednostnit MSL-136 bulletin, který zahrnuje záplaty na RDBMS engine, MDS API, SQL Analysis Services a SQL Server Agenta.

„Zranitelnosti SQL Serveru jsou poměrně vzácné, a ačkoli zde nehrozí útoky spuštěním kódu na vzdáleném systému, útočníci mohou získat zvýšená práva v systému, což jim může umožnit zobrazovat, měnit nebo mazat data či vytvářet nové účty,“ dodává Sarwate.


DDoS útoků přibývá. Na vině je i laxnost uživatelů

10.11.2016 Novinky/Bezpečnost Počítačový útok
Útoky nejrůznějších botnetů – tedy sítí zotročených počítačů i mobilů – jsou stále častější. Za uplynulé čtvrtletí byly podle antivirové společnosti Kaspersky Lab napadeny tímto způsobem cíle v 67 zemích. Kyberzločincům přitom práci velmi usnadňuje i laxnost samotných uživatelů.
Co je DDoS

Útok DDoS (Distributed Denial of Service) má vždy stejný scénář. Stovky tisíc počítačů začnou přistupovat v jeden okamžik na konkrétní server. Ten zpravidla nezvládne tak vysoké množství požadavků zpracovat a spadne. Pro běžné uživatele se pak takto napadená webová stránka tváří jako nedostupná.
Ve třetím kvartále byly botnetovými útoky napadeny cíle celkem v bezmála sedmi desítkách zemí. Zatímco v Japonsku, Spojených státech a Rusku počty útoků vzrostly, počty čínských a jihokorejských obětí naopak znatelně klesly.

Zajímavé je rozhodně i to, že ve zmiňovaném čtvrtletí se poprvé mezi prvními 10 zeměmi s nejvyšším počtem zaznamenaných DDoS útoků objevily tři západoevropské státy – Itálie, Francie a Německo.

Nejčastější jsou útoky na Čínu
Nejvíce DDoS útoků bylo nicméně ve sledovaném období cíleno na Čínu, i když ve srovnání s předchozím čtvrtletím jde o pokles. Konkrétně jen na populární čínský vyhledávač Baidu bylo vedeno dohromady 19 útoků, přičemž byl tento poskytovatel zároveň vystaven nejdéle trvajícímu útoku ve třetím čtvrtletí – rekordních 184 hodin.

K podobným útokům pomáhají nevědomky počítačovým pirátům také někteří uživatelé, které si příliš nelámou hlavu se zabezpečením svých zařízení. Je nutné podotknout, že řeč není pouze o chytrých telefonech a klasických počítačích, ale například také o tzv. zařízení internetu věcí (IoT) – tedy například nejrůznější kamery, které se mohou připojovat k internetu.

Právě tato zařízení se stala součástí obřího botnetu, který využili kyberzločinci na konci října na útok na DNS servery společnosti Dyn. Ty standardně překládají webové adresy na číselné adresy fyzických počítačů (IP adresy). Právě proto se podařilo hackerům vyřadit z provozu na východním pobřeží USA hned několik velkých webů – tím, že nefungoval překladač (DNS servery), webové prohlížeče po zadání adresy nevěděly, kam se mají připojit.

Uživatelé se tak nemohli připojit například na sociální sítě Twitter a Facebook, zpravodajské servery Daily News, CNN i New York Times a hudební portály Spotify a Soundcloud.

Uživatelé by měli dbát na zabezpečení
K útokům na koncové uživatele využívají počítačoví piráti velmi často různé viry, prostřednictvím kterých mohou napadenou stanici ovládat na dálku. Tu pak přiřadí do obřího botnetu, s jehož pomocí pak v případě dostatečné velikosti mohou vyřadit z provozu prakticky libovolný cíl na internetu.

Zabránit DDoS útokům tak mohou v první řadě samotní uživatelé, když budou klást dostatečný důraz na zabezpečení svých zařízení.


Kdo zaútočil na klienty Tesco Bank? A nepřipravuje se něco podobného i v Česku?

10.11.2016 SecurityWorld Hacking
Za únik peněz z účtů dvaceti tisíc klientů Tesco Bank je podle všeho zodpovědný škodlivý kód, který se vydává za objednávku, fakturu nebo podobný dokument v e-mailu.

„Výsledkem infekce je, že škodlivý kód Retefe, který jsme detekovali, modifikuje stránku internetového bankovnictví, jež se zobrazuje klientovi banky v jeho prohlížeči, následně se pokouší sbírat přihlašovací údaje oběti,“ říká Miroslav Dvořák, technický ředitel Esetu.

„V některých případech ho naláká i na to, aby na své mobilní zařízení nainstaloval mobilní kompomentu tohoto škodlivého kódu, kterou detekujeme jako Android/Spy.Banker.EZ,“ dodává Dvořák.

Podle britských médií tímto způsobem unikly finance z účtů dvaceti tisíc klientů Tesco Bank. Instituce zároveň pozastavila všechny on-line transakce 140 tisícům zákazníků.

Malware Retefe dokáže modifikovat stránky internetového bankovnictví ve všech hlavních webových prohlížečích, včetně Google Chrome, Mozilla Firefox a Internet Exploreru. Eset upozorňuje, že klienti Tesco Bank nemusí být jediným cílem útočníků.

Autoři škodlivého kódu se zaměřili i na klienty dalších bank v Británii a německy hovořících zemích. Tyto banky aktuálně kontaktuje Eset s varováním o hrozbě, která jejich klienty může připravit o peníze.

Eset má podle svých slov podklady k analýze kódu Retefe díky aktivnímu monitoringu škodlivých kódů pomocí služby Threat Intelligence. Ta je v současnosti dostupná v České republice a na Slovensku. V nejbližších měsících ji společnost prý spustí i v jiných zemích světa.


Populární přehrávač Flash Player je děravý. Opět

9.11.2016 Novinky/Bezpečnost Zranitelnosti
Hned několik bezpečnostních chyb bylo nalezeno v programu Flash Player. Společnost Adobe, která za touto populární aplikací pro přehrávání internetových videí stojí, již vydala pro všechny trhliny záplaty. Uživatelé by s ohledem na možná rizika neměli s jejich instalací otálet.
Hned několik bezpečnostních oprav vydávala společnost Adobe v minulém týdnu. Tehdy se počítačoví piráti mohli prostřednictvím objevených chyb dostat do napadeného stroje a spustit na něm libovolný škodlivý kód. [celá zpráva]

V praxi stejnou paseku mohou kyberzločinci nadělat i s využitím nově objevených chyb, na které upozornil Národní bezpečnostní tým CSIRT.CZ.

Jak již bylo zmíněno výše, opravy jsou však již k dispozici. „Nově uvolněné bezpečnostní záplaty pro Flash Player opravují několik závažných zranitelností umožňujících spuštění libovolného kódu,“ potvrdil Pavel Bašta, bezpečnostní analytik týmu CSIRT.CZ, který je provozován sdružením CZ.NIC.

To jinými slovy znamená, že s využitím chyb mohou piráti propašovat do cizího počítače prakticky jakýkoli virus.

Další várka oprav po týdnu
Společnost Adobe je s ohledem na aktuální hrozbu nucena vydávat další várku aktualizací pouhý týden poté, co byly opraveny předchozí trhliny.

I když se situace může zdát alarmující, je to dáno tím, že Flash Player je velmi populární. Tento přehrávač videí na internetu používají po celém světě desítky miliónů lidí. Právě proto se na něj velmi často zaměřují kyberzločinci.

Stahovat záplatu je možné prostřednictvím automatických aktualizací daného programu nebo prostřednictvím stránek společnosti Adobe.


Ransomware nepřestává strašit, počet obětí vyděračských virů roste

8.11.2016 Novinky/Bezpečnost Viry
Vyděračské viry pojmenované souhrnným označením ransomware představují pro uživatele stále větší riziko. Ve třetím čtvrtletí letošního roku se počet obětí těchto škodlivých kódů dokonce výrazně zvýšil. Vyplývá to z analýzy antivirové společnosti Kaspersky Lab.
Jak probíhá útok vyděračského viru?

Útoky vyděračských virů probíhají prakticky vždy na chlup stejně. Nejprve zašifrují záškodníci všechna data uložená na pevném disku. Za jejich zpřístupnění pak útočníci požadují výkupné, a to klidně i několik tisíc korun.
Kyberzločinci se zpravidla snaží v majiteli napadeného stroje vzbudit dojem, že se ke svým souborům dostane po zaplacení pokuty. Ta byla údajně vyměřena za používání nelegálního softwaru apod. I proto jim celá řada lidí již výkupné zaplatila.
Ani po zaplacení výkupného se ale uživatelé ke svým datům nedostanou. Místo placení výkupného je totiž nutné virus z počítače odinstalovat. Zpřístupnit nezálohovaná data je už ale ve většině případů nemožné.
Počet obětí vyděračských virů vzrostl ve třetím kvartálu 2,6krát. To jinými slovy znamená, že za zmiňované tři měsíce se obětí stalo více než 821 tisíc lidí z různých koutů světa.

Poškození nejčastěji pocházejí z Japonska (4,83 %), Chorvatska (3,71 %), Jižní Koreje (3,36 %) Tuniska (3,22 %) a Bulharska (3,2 %). V předchozím kvartále bylo na prvním místě také Japonsko, ale druhé, třetí a čtvrté místo bylo obsazeno Itálií, Džibutskem a Lucemburskem.

Jaké množství z poškozených uživatelů představují Češi, analýza neuvádí.

Nejčastěji se šíří CTB-Locker
Nejvíce počítačoví piráti šíří vyděračský virus zvaný CTB-Locker, který je zodpovědný za téměř třetinu všech uskutečněných útoků (28,34 %). Ten zašifruje data uložená na pevném disku a za jejich odemčení požaduje výkupné v bitcoinech, v přepočtu jde o téměř 50 tisíc korun.

Sluší se připomenout, že výkupné by ale lidé neměli platit, protože nemají žádné záruky, že data budou skutečně zpřístupněna. Z podobných případů, které se objevovaly v minulosti, dokonce vyplývá, že nedochází k odšifrování dat prakticky nikdy. Jediným řešením je počítač odvirovat.

To platí i pro další dva vyděračské viry, které se umístily v čele žebříčku. Druhý ve třetím čtvrtletí skončil škodlivý kód Locky (9,6 %) a třetí CryptXXX (8,95 %).

Vyděračských virů jsou desetitisíce
Vyděračských virů je ale samozřejmě daleko více. „Krypto ransomware zůstává i nadále jednou z největších hrozeb jak pro koncové uživatele, tak i firmy. Současný skokový nárůst v počtu napadených uživatelů může být způsoben tím, že jsme oproti předchozímu čtvrtletí zaznamenali třiapůlkrát více modifikací ransomwaru – celkem více než 32 000 různých forem,“ podotkl Fedor Sinitsyn, expert na ransomware ve společnosti Kaspersky Lab.

„Důvodem tak vysokého počtu mohou být také značné investice do bezpečnostních řešení, která firmám umožňují co nejrychleji detekovat nové případy ransomwaru. Zločincům tak nezbývá než vytvářet stále nové modifikace svých malwarů,“ doplnil Sinitsyn.


Cisco vylepší zabezpečení koncových bodů pomocí nové cloudové služby

8.11.2016 SecurityWorld Zabezpečení
AMP for Endpoints, cloudové řešení, které podle výrobce spojuje prevenci, detekci a reakci na hrozby, představilo Cisco. Chce pomocí něj zjednodušit zabezpečení koncových bodů bez důrazu na neefektivní preventivní strategii.

Spojením prevence, detekce a reakce na hrozby do jednoho cloudového řešení poskytovaného na bázi modelu software jako služba (SaaS) prý novinka zastaví více hrozeb.

Díky cloudovému modelu navíc podle výrobc dokáže reagovat na hrozby rychleji a lépe je připraví na triky dnešních útočníků.

Vlastnosti AMP for Endpoints podle dodavatele:

Prevence nové generace kombinující osvědčené a pokročilé typy bezpečnostních funkcí, která zastaví známé i nově vzniklé hrozby. Páteř systému tvoří globální informace o hrozbách od týmu Cisco Talos. Díky tomu může novinka nabídnout zabudovanou technologii integrovaného izolovaného prostředí (tzv. sandboxu) pro oddělení a analýzu neznámých souborů.
Lepší viditelnost a rychlejší detekci díky průběžnému monitoringu a sdílení analytik pro odhalení skrytých útoků. AMP for Endpoints zaznamenává veškerou aktivitu na úrovni souborů a dokáže proto rychle detekovat škodlivé aktivity a upozornit bezpečnostní tým. Produkt disponuje největším množstvím dat o hrozbách, neboť analyzuje všechny škodlivé soubory, které se objevily u zákazníků firmy Cisco.
Účinnější odezvu postavenou na viditelnosti sítě a detailním záznamům o minulém chování různých typů malwaru – odkud se do sítě dostaly, kde byly a jak se chovaly. Produkt zrychluje proces odhalování škodlivého softwaru a cloudové rozhraní umožňuje vyhledávat napříč všemi podnikovými koncovými body a snadno zjistit indikátory, podle kterých škodlivý software lze odhalit.

Kromě toho Cisco zavádí nový způsob nákupu a nasazení svého bezpečnostního softwaru, a to přes program softwarových licencí Cisco ONE Software.


Kybernetičtí podvodníci připravili 20 000 klientů Tesco Bank o peníze

7.11.2016 Novinky/Bezpečnost Kriminalita
Terčem kybernetického útoku se tentokrát stali zákazníci britské finanční společnosti Tesco Bank. Kybernetickým podvodníkům se podařilo přesunout peníze ze zhruba 20 000 účtů bankovní divize největšího britského maloobchodního řetězce Tesco. Firma slíbila, že vzniklé finanční ztráty zákazníkům nahradí.
Tesco Bank spravuje zhruba 136 000 běžných účtů. Firma v reakci na útok zastavila veškeré internetové transakce, zákazníci nicméně mohou dál používat platební karty k nákupům i k výběru hotovosti.

Veškeré finanční ztráty plynoucí z těchto podvodných aktivit převezme banka," uvedl generální ředitel společnosti Benny Higgins. „Zákazníkům nehrozí žádné finanční riziko," dodal.

Podle Higginse firma během víkendu zaznamenala podezřelé aktivity u zhruba 40 000 účtů, peníze se útočníkům podařilo převést ze zhruba poloviny z nich. „Domníváme se, že částky, které zmizely, jsou relativně nízké, stále na tom ale pracujeme," uvedl Higgins.

Celkové náklady na odškodnění zákazníků budou podle Higginse představovat částku "velkou", ale ne "obrovskou". Agentura Reuters nicméně upozorňuje, že i v případě omezených finanční dopadů hrozí společnosti Tesco Bank výrazné poškození pověsti.


Největší kybernetické hrozby v Česku

7.11.2016 Novinky/Bezpečnost Viry
Danger, Nemucod či Fraud. To jsou jména tří počítačových virů, před kterými by se měli mít tuzemští uživatelé na pozoru. Během uplynulého měsíce šlo totiž v Česku o nejhojněji se vyskytující nákazy vůbec. Vyplývá to z pravidelné měsíční statistiky nejrozšířenějších hrozeb, kterou pravidelně sestavuje antivirová společnost Eset.
Stejně jako v září byl i v říjnu nejčastěji skloňovanou hrozbou škodlivý kód Danger, který se šíří nejčastěji prostřednictvím nevyžádaných e-mailů. V uplynulém měsíci měl podle Esetu na svědomí každý třetí útok.

Danger přitom představuje pro počítačové piráty poměrně účinnou zbraň. Tohoto nezvaného návštěvníka využívají k tomu, aby potají otevřeli zadní vrátka do cizího operačního systému. Prostřednictvím nich pak mohou propašovat do napadeného stroje další škodlivé kódy.

Nejčastěji pak šíří vyděračské viry označované souhrnným názvem ransomware. Útoky těchto záškodníků mají prakticky vždy stejný scénář. Nejprve začnou šifrovat obsah počítače a uživateli zobrazí oznámení, že za dešifrování počítače musí zaplatit, jinak se ke svým datům údajně již nikdy nedostane. Ani po zaplacení výkupného navíc nemají uživatelé jistotu, že se ke svým datům skutečně dostanou.

Virus je nutné z počítače odinstalovat a data následně pomocí speciálního programu odšifrovat. V některých případech to ale není možné.

Stejná taktika, jiný virus
Na prakticky stejném principu funguje také škodlivý kód Nemucod, který v říjnu obsadil s podílem 12,32 % druhou příčku v českých virových statistikách. Kyberzločinci jej tedy mohou využít k otevření zadních vrátek do systému a zároveň také k šíření dalších škodlivých kódů.

Třetí příčku v seznamu deseti nejčastěji odhalených nebezpečných kódů v říjnu zaujal trojský kůň PDF/Fraud. „Záměrem tvůrců je prostřednictvím tohoto malwaru přesvědčit uživatele, aby vyplnil a odeslal svoje citlivé osobní údaje,“ popsal Miroslav Dvořák, technický ředitel společnosti Eset.

K získání citlivých informací počítačoví piráti využívají celou řadu různých triků, uživatele například lákají na výhry v různých smyšlených soutěžích. I díky tomu se podařilo zmiňovanému škodlivému kódu získat ve statistikách téměř pětiprocentní podíl.

Deset nejrozšířenějších virových hrozeb v ČR – říjen 2016
1. JS/Danger.ScriptAttachment (35,02 %)
2. JS/TrojanDownloader.Nemucod (12,32 %)
3. PDF/Fraud (4,99 %)
4. Java/Adwind (3,58 %)
5. JS/TrojanDownloader.FakejQuery (3,03%)
6. DOC/Fraud (2,86 %)
7. JS/Kryptik.RE (1,95 %)
8. VBA/TrojanDownloader.Agent.BUX (1,54 %)
9. PowerShell/TrojanDownloader.Agent.Q (1,46 %)
10. JS/ProxyChanger (1,31 %)
Zdroj: Eset


Počet útoků přes botnety v Evropě raketově roste

4.11.2016 SecurityWorld BotNet
Sofistikovaných útoků řízených servery ze západní Evropy i obětí v tomto regionu rychle stoupá. Jak ukazují data firmy Kaspersky Lab, v červenci až září 2016 byly botnetovými DDoS útoky napadeny cíle celkem v 67 zemích, přičemž vysokou dynamiku je vidět právě v Evropě.

Zatímco v Japonsku, Spojených státech a Rusku počty útoků rostly, počty čínských a jihokorejských obětí naopak znatelně klesly. Ve zmiňovaném čtvrtletí se poprvé mezi prvními 10 zeměmi s nejvyšším počtem zaznamenaných DDoS útoků objevily tři západoevropské státy – Itálie, Francie a Německo.

Tento fakt souvisí se vzrůstajícím počtem aktivních kontrolních C&C serverů v západní Evropě, především ve Velké Británii, Francii a Nizozemsku.

I přes celkově nižší počet zaznamenaných útoků na Čínu bylo na tuto zemi stále cíleno nejvíce útoků – konkrétně jen na populární čínský vyhledávač bylo vedeno dohromady 19 útoků, přičemž byl tento poskytovatel zároveň vystaven nejdéle trvajícímu útoku ve třetím čtvrtletí (184 hodin).

Dnem, kdy byly DDoS útoky za poslední rok nejaktivnější, byl 3. srpen. Servery jednoho amerického poskytovatele služeb v ten den zaznamenaly 1 746 botnetových útoků.

Ve třetím čtvrtletí pokračovaly ve svém růstu počty SYN-DDoS útoků, jež činily 81 % všech registrovaných útoků, přičemž podíl TCP-DDoS a ICMP-DDoS opět klesl.

Rekordní vzestup zaznamenaly také útoky DDoS botů založené na operačním systému Linux, které dosáhly 79% podílu. Příčinou tohoto trendu by mohla být stoupající oblíbenost zařízení internetu věcí (IoT) založených na Linuxech, které jsou čím dál častěji zneužívány k DDoS útokům. Tento trend bude pravděpodobně ještě zesílený po úniku Mirai.

Analytici také zaznamenali navýšení počtu „chytrých“ útoků, které šifrují přenášená data. Typickým příkladem těchto útoků je zasílání relativně malého počtu dotazů šifrovaným spojením na „load-heavy“ části webových stránek (jako jsou vyhledávací formuláře).

Kvůli přenosu šifrovaným kanálem a své nízké intenzitě je pro mnohá speciální bezpečnostní řešení velmi těžké tyto útoky filtrovat.


Které kybernetické hrozby jsou momentálně největší?

2.11.2016 SecurityWorld Viry
Trojský kůň Fraud dokáže změnit systémové soubory a nastavení v napadeném zařízení, varují experti před stále se stupňující hrozbou v tuzemsku.

Nejrozšířenější počítačovou hrozbou současnosti v České republice je škodlivý kód Danger, který se šíří prostřednictvím příloh e-mailů. Vyplývá to z pravidelné měsíční statistiky bezpečnostní společnosti Eset za měsíc říjen.

Danger se drží v čele internetových hrozeb po většinu letošního roku, jeho podíl na detekovaných hrozbách ale začal klesat. V říjnu představoval zhruba třetinu detekcí malware (konkrétně 35,02 procenta), což je o 12 procentních bodů méně než v září. „Rozhodně se nedá říci, že by nebezpečí JS/Danger.ScriptAttachment polevovalo. Nadále zůstává s velkým náskokem největší hrozbou. Do napadeného zařízení dokáže stáhnout další škodlivé kódy, což z něj činí ještě zákeřnějšího nepřítele,“ říká Miroslav Dvořák, technický ředitel Esetu.

Na podobném principu pracuje i další downloader Nemucod, který byl v říjnu druhou nejčastěji zaznamenanou internetovou hrozbou. I jeho podíl ale oproti září viditelně klesl, a to o devět procentních bodů na hodnotu 12,32 procenta.

Třetí příčku v seznamu deseti nejčastěji odhalených nebezpečných kódů v říjnu zaujal trojský kůň PDF/Fraud. „Záměrem tvůrců je prostřednictvím tohoto malware přesvědčit uživatele, aby vyplnil a odeslal svoje citlivé osobní údaje,“ popisuje Dvořák. PDF/Fraud podle něj v říjnu představoval téměř pět procent všech zjištěných hrozeb na českém internetu.

Top 10 hrozeb v České republice za říjen 2016:

1. JS/Danger.ScriptAttachment (35,02 %)

2. JS/TrojanDownloader.Nemucod (12,32 %)

3. PDF/Fraud (4,99 %)

4. Java/Adwind (3,58 %)

5. JS/TrojanDownloader.FakejQuery (3,03%)

6. DOC/Fraud (2,86 %)

7. JS/Kryptik.RE (1,95 %)

8. VBA/TrojanDownloader.Agent.BUX (1,54 %)

9. PowerShell/TrojanDownloader.Agent.Q (1,46 %)

10. JS/ProxyChanger (1,31 %)


Kybernetické útoky jsou stále agresivnější. Británie výrazně zvýší výdaje na bezpečnost

1.11.2016 Novinky/Bezpečnost Počítačový útok
Británie posílí boj s kybernetickou kriminalitou. Na zlepšení své bezpečnosti vydá v příštích pěti letech 1,9 miliardy liber (57,2 miliardy Kč), oznámilo v úterý britské ministerstvo financí. Šéf tajné služby MI5 Andrew Parker varoval před „stále agresivnějšími” metodami Ruska, které se podle něj v soupeření se Západem spoléhá daleko častěji právě na kybernetické útoky.Investice by se měly soustředit na ochranu institucí i občanů proti útokům hackerů. Částku 1,9 miliardy liber vynaloží Londýn na boj s kybernetickým zločinem v průběhu příštích pěti let. Oproti předchozímu pětiletému období jde o zvýšení rozpočtu o polovinu.

„Nová strategie nám umožní podnikat výraznější kroky na naši obranu v kyberprostoru a odpovědět na útok, až budeme napadeni," uvedl Hammond ve zprávě ministerstva financí.

Britská vláda chce v následujících letech vytvořit také nový ústav, který se bude zabývat výzkumem kybernetické bezpečnosti. Fungovat bude paralelně s Národním střediskem kybernetické bezpečnosti (NCSC), které zahájilo svou činnost v říjnu a má zhruba 700 zaměstnanců.

Ředitel tajné služby MI5 v rozhovoru poskytnutém listu The Guardian dnes varoval, že Rusko se stává pro Británii stále větší hrozbou. K destabilizaci země podle něj Moskva používá sofistikované metody včetně kybernetických útoků. Rusko se hackerskými útoky snaží získat vojenská tajemství, informace o průmyslu a hospodářství i vládní a zahraniční politice, tvrdí Parker.


DDoS pod lupou: Co skutečně stojí za jedním z největších útoků posledních let?

28.10.2016 SecurityWorld Počítačový útok
Páteční útok na DNS poskytovatele Dyn způsobil nedostupnost mnoha významných webových stránek, mimo jiné Twitteru, Spotify, GitHubu, ale i zpravodajských portálů typu New York Times. Šlo o klasický DDoS útok s využitím mnoha hacknutých přístrojů internetu věcí.

Masivní výpadek přišel od hackerů využívajících přibližně 100 000 zařízení, infikovaných notoricky známým malwarem Mirai, schopným převzít kontrolu nad přístroji s unixovým prostředím - kamerami, DVR přehrávači apod., tvrdí Dyn.

„Můžeme potvrdit, že značné množství provozu pocházelo z botnetů hacknutých pomocí kódu Mirai,“ uvedlafirma na svém blogu.

Již předtím se mělo za to, že alespoň částečně za útoky stojí botnety vytvořené skrze Mirai; středeční zpráva však potvrzuje, že Mirai mohl za majoritní část distribuovaného DoS útoku.

Dalším, poměrně strašidelným zjištěním je, že se hackeři zřejmě drželi zpátky. Firmy vysledovaly rychlost šíření některých druhů Mirai až na více než 500 000 zařízení, a to velmi snadno díky slabým základním heslům.

Vzhledem k tomu, že za pátečními útoky stálo „jen“ 100 000 zařízení, je možné, že by hackeři zvládli ještě mnohem silnější DDoS útok, říká Ofer Gayer, bezpečnostní technik u společnosti Imperva, která se zaměřuje na zmírnění intenzity DDoS útoků.

„Možná, že šlo jen o varovný výstřel,“ popisuje. „Možná, že věděli, že takováto míra stačí a že nepotřebují nasadit svůj plný arzenál.“

Hackeři dosud využívali DDoS útoky na shození jednotlivých webových stránek, často za účelem vydírání, říká Gayer. Páteční útok na Dyn, klíčového člena internetové infrastruktury, je novinkou.

„Někdo opravdu zmáčkl spoušť,“ pokračuje Gayer. „Postavili největší botnet, se kterým mohou položit i ty největší cíle.“

Kromě pátečního incidentu si Imperva všimla nedávných útoků skrze Mirai botnety na svou vlastní webovou stránku a stránky svých klientů. Jeden srpnový byl opravdu velký s trafficem čítajícím 280 Gb/s. „Většina firem padne na 10 Gb/s. Ty největší pak na 100 Gb/s,“ vysvětluje Gayer.

Imperva si také povšimla, že mnoho z pozorovaných infikovaných zařízení šlo vysledovat na IP adresy ze 164 zemí, primárně ve Vietnamu, Brazílii a Spojených státech. Většinou šlo o CCTV kamery.

Ačkoli DDoS útoky nejsou zdaleka něčím novým, díky Mirai je jejich rozsah nevídaný. Nedávný silně medializovaný útok na novináře Briana Krebse zaměřeného na kybernetickou bezpečnost dosáhl neuvěřitelných 665 Gb/s.

Je stále nejasné, kdo stojí za pátečním útokem, podle některých bezpečnostních odborníků však jde o amaterské hackery. Na konci minulého měsíce totiž (rovněž neznámý) tvůrce malwaru Mirai uvolnil jeho zdrojový kód pro hackerskou komunitu, takže každý s alespoň minimálními základy hackingu jej může využít.

Ačkoli Mirai stojí za většinou útoku z minulého týdne, využity byly i jiné botnety, popisuje páteřní poskytovatel sítě Level 3 Communications. „Viděli jsmě alespoň jedno, možná dvě chování nekonzistentní s Mirai,“ uvedl hlavní bezpečnostní manažer firmy Dale Drew. Je podle ní možné, že hackeři v rámci ztížení vystopování využili několika botnetů.



Lidé podceňují bezpečnost domácích routerů. Mohou je ovládnout kyberzločinci

27.10.2016 Novinky/Bezpečnost Zabezpečení
Na alarmující situaci na poli domácích routerů poukazuje čerstvý průzkum antivirové společnosti Eset. Podle něj totiž lidé velmi podceňují zabezpečení těchto bran do světa internetu. Z každých sedmi testovaných routerů se podařilo napadnout alespoň jeden. To velmi nahrává kyberzločincům, kteří mohou tyto síťové prvky ovládnout na dálku.
„Test se zaměřil na kontrolu výchozích uživatelských jmen a hesel a jejich nejčastěji používaných kombinací. Je znepokojující, že v jednom případě ze sedmi byl útok úspěšný,” řekl Peter Stančík, Security Evangelist společnosti Eset.

Ten zároveň upozornil na to, jakého hlavního neduhu se lidé při konfiguraci síťových prvků dopouštějí.

„Zejména nezabezpečené služby, jako je Telnet, by rozhodně neměly být otevřené, a to ani do interních sítí, což bylo bohužel zjištěno ve 20 procentech případů,“ dodal Stančík.

Slabá hesla, nevhodné nastavení
Průzkum dále ukázal, že 15 procent uživatelů používá slabá hesla, nejčastěji v kombinaci s přednastaveným uživatelským jménem „admin“. Přibližně 7 % testovaných zařízení navíc obsahovalo zranitelnost, kterou bezpečnostní experti označili jako středně nebo vysoce vážnou. Skenování portů odhalilo, že síťové služby jsou velmi často přístupné nejen z vnitřních, ale i z externích sítí.

Více než polovina dalších zranitelností vycházela z nevhodně nastavených přístupových práv. Na pozoru by se měli mít lidé podle průzkumu, do kterého bylo zařazeno na 12 000 routerů, také před zneužitím příkazů tzv. metodou command injection.

„Ta cílí na spouštění libovolných příkazů ve vzdáleném operačním systému skrze zranitelnosti v aplikacích, které nemají dostatečně ošetřeno ověření vstupů. Bezmála 10 % softwarových zranitelností se týkalo takzvaného cross-site scriptingu (XSS), který umožňuje útočníkovi měnit konfiguraci routeru tak, aby mohl spouštět škodlivé skripty na straně klienta,“ uvádí bezpečnostní expert.

Co se stane, když se útočníkům podaří do routeru dostat? Nejčastěji se snaží přesměrovat internetový provoz. Místo serverů, jako jsou například Seznam nebo Google, se poškozeným zobrazí například hláška o nutnosti instalace flash playeru. Místo té se ale do PC stáhne další virus. Útočníci tak rázem mají přístup nejen k routeru, ale i k připojenému počítači.

Počet útoků stoupá
Na brány do světa internetu se zaměřují kyberzločinci stále častěji. Využívají toho, že zabezpečení těchto internetových zařízení uživatelé především v domácnostech velmi podceňují, někdy to ale platí i o firmách. Březnová studie Cisco Annual Security Report ukázala, že devět z deseti internetových zařízení má slabá místa.

Hlavní problém je podle bezpečnostních expertů v tom, že routery není možné chránit antivirovými programy, jako je tomu u počítačů. I tak ale nejsou uživatelé úplně bezbranní. Řešením je stahování vždy nejnovějších aktualizací a bezpečnostních záplat, stejně jako vhodná konfigurace každého síťového prvku.

Do konfigurace routerů by se nicméně neměli pouštět méně zkušení uživatelé. Mohou totiž nevhodným nastavením způsobit více škody než užitku. Paradoxně tak mohou klidně otevřít zadní vrátka pro útočníky.



Vyděračské viry na vzestupu, patří mezi nejrozšířenější hrozby na světě

26.10.2016 Novinky/Bezpečnost Viry
Škodlivé kódy z rodiny ransomware, jak jsou označovány vyděračské viry, se vůbec poprvé dostaly na přední příčky žebříčku nejrozšířenějších počítačových hrozeb. To jinými slovy znamená, že kyberzločincům se daří tyto nezvané návštěvníky propašovávat do cizích PC stále častěji. Vyplývá to z analýzy antivirové společnosti Check Point.
Nejrozšířenějším virem vůbec byl v září Conficker, jak Novinky informovaly již dříve. [celá zpráva]

Druhá příčka pak patří škodlivému kódu Satily a třetí právě vyděračskému viru. „Vůbec poprvé se v rámci výzkumu dostal ransomware do Top 3 nejrozšířenějších malwarových rodin. Ransomware Locky byl zodpovědný v průběhu září za 6 procent všech detekovaných útoků po celém světě,“ prohlásil David Řeháček, bezpečnostní odborník ze společnosti Check Point.

Celkově útoky ransomwaru za září stouply o 13 procent. Právě Locky dělá bezpečnostním expertům velké vrásky na čele. Používá totiž poměrně sofistikované šifrování. Jde o obdobu toho, jaké používají finanční instituce při zabezpečení plateb po internetu.

Výkupné neplatit
V případě Lockyho kyberzločinci infikují systém e-mailem s wordovou přílohou, která obsahuje škodlivé makro. Jakmile uživatel soubor otevře, makro spustí skript, který stáhne spustitelný škodlivý soubor, nainstaluje se na počítač oběti a vyhledává soubory, které šifruje. Uživatel potom ani neví, že útok začal právě kliknutím na e-mailovou přílohu.

Kyberzločinci se pak zpravidla snaží v majiteli napadeného stroje vzbudit dojem, že se ke svým souborům dostane po zaplacení pokuty. Ta byla údajně vyměřena za používání nelegálního softwaru apod. I proto jim celá řada lidí již výkupné zaplatila.

Ani po zaplacení výkupného se ale uživatelé ke svým datům nedostanou. Místo placení výkupného je totiž nutné virus z počítače odinstalovat. Zpřístupnit nezálohovaná data je už ale ve většině případů nemožné.

Ostražití by před vyděračskými viry neměli být pouze majitelé klasických počítačů. Loni v červnu bezpečnostní experti odhalili nezvaného návštěvníka, který požadoval výkupné i na mobilním telefonu. [celá zpráva]

Česko je v hledáčku pirátů stále častěji
Společně se statistikami nejrozšířenějších virových hrozeb zveřejnila společnost Check Point také žebříček zemí, které jsou nejčastěji terčem kyberútoků.

A pro tuzemské uživatele tato data nevyznívají ani trochu pozitivně. „Česká republika se v září umístila na 72. pozici, což je vzestup o 16 míst a posun mezi méně bezpečné země. O 16 míst se posunulo mezi méně bezpečné země i Slovensko, které je nyní na 61. pozici,“ konstatoval Řeháček.

„Naopak nejvýrazněji se mezi bezpečnější země posunul Kazachstán, který klesl o 47 míst na 55. pozici. Největší posun mezi nebezpečnější země zaznamenalo Portoriko, které se posunulo o 55 míst na 47. pozici. Na prvním místě se v Indexu hrozeb umístila Botswana, která poskočila o 19 míst,“ uzavřel.


Zjednodušte si šifrování pro mobilní komunikaci

26.10.2016 SecurityWorld Mobilní
Babelbox, miniserver pro šifrovanou komunikaci se systémy s Windows nebo MacOS a s mobilními zařízeními na platformách iOS, Android a BlackBerry, představila firma OKSystem.

Novinka se dodává jako předinstalovaná aplikace Babelnet (verze Enterprise) na mini PC HP Elite Desk 400 G2 s licencí pro 5, 10 nebo 15 uživatelů. Cena přitom začíná na 42 750 Kč.

Babelnet podle výrobce kombinuje silné kryptografické algoritmy a protokoly pro zajištění autenticity, soukromí a integrity při zasílání i uložení zpráv a dokumentů na počítačích a mobilních zařízeních.

Babelnet klient se instaluje na mobilní zařízení či počítače a okamžitě se připojí k serveru ve firemní síti, Babelboxu či cloudu. Firemní instalace umožní snadný dohled, integraci a správu uživatelů a zařízení.

Babelnet rovněž podporuje jednoduchou integraci s aplikacemi třetích stran (DMS, HR, CRM…) a zajišťuje tak automatizovaný a bezpečný přenos informací a dokumentů z firemních aplikací k uživatelům.

Podle průzkumu OKSystemu na vzorku 2 173 tuzemských právníků, manažerů, top managerů, majitelů firem, akcionářů a generálních ředitelů podniků má 80 % oslovených manažerů obavu, že někdo má zájem získávat informace z jejich pracovní, osobní nebo firemní komunikace.

„Malé firmy často nemají vlastní IT odborníky a potřebují jednoduše nasaditelné systémy nenáročné na údržbu,“ tvrdí šéf vývoje a spoluzakladatel společnosti OKsystem Ivo Rosol. Podle něj právě systém, který jejich firma představila, zajistí komunikační bezpečnost i pro nejmenší společnosti.

Funkce Babelboxu podle výrobce:

Webová admin konzole
Správa a konfigurace
Účty uživatelů a skupin
Správa zařízení
Distribuce veřejných klíčů
API pro integraci
Možnost připojení USB LTE modemu v případě nedostupnosti sítě



Přepošli mi tuhle zprávu, zkouší napálit důvěřivce na Facebooku podvodníci

25.10.2016 Novinky/Bezpečnost Sociální sítě
Česká spořitelna varovala před novou vlnou podvodů, která se šíří především prostřednictvím sociální sítě Facebook. Zprávami se podvodníci snaží vylákat autorizační kódy k transakcím provedeným přes internetové bankovnictví.
Ukázka podvodné zprávy
Ukázka podvodné zprávy
Na první pohled se může zdát, že žádosti o přeposlání potvrzovací SMS zprávy chodí od skutečných přátel. Ve skutečnosti však počítačoví piráti využívají napadené a podvodné účty na Facebooku. Za skutečné přátele se tedy pouze vydávají.

„Podvodník osloví klienta z profilu některého z jeho přátel, že má problém s telefonem. Následně klienta požádá, jestli si může nechat poslat autorizační SMS na jeho telefon s tím, aby mu ji klient pak přeposlal,“ varovali zástupci České spořitelny.

SMS zprávy nikomu nepřeposílat
Právě v tom je ale kámen úrazu. „Tato SMS však ve skutečnosti patří klientovi a jejím přeposláním umožní podvodníkovi autorizovat platby ze svého vlastního účtu. Skutečný majitel profilu, kterým podvodník klienta osloví, o podvodu pravděpodobně vůbec netuší,“ stojí v prohlášení banky.

Na podobné žádosti by uživatelé neměli vůbec reagovat. „Nikdy nikomu nepřeposílejte autorizační SMS kódy. Pokud jste to už ale udělali, doporučujeme vám okamžitě kontaktovat naši bezplatnou informační linku 800 207 207,“ podotkli zástupci spořitelny.

Není vyloučeno, že podvodníci se podobným způsobem budou snažit napálit také uživatele jiných finančních institucí, případně budou podobný styl útoků zkoušet také přes jiné komunikační kanály. Obezřetnost je tak namístě.

Pasti na Facebooku
Na Facebook se počítačoví piráti zaměřují celkem často. Před časem například pod hlavičkou České spořitelny lákali na nabídky, ve kterých slibovali za použití nové verze internetového bankovnictví finanční bonus ve výši 1000 Kč.

Podvodná nabídka na Facebooku
Podvodná nabídka na Facebooku

Ve skutečnosti samozřejmě o žádnou novou verzi internetového bankovnictví nejde. Kyberzločinci se pouze touto nabídkou na sociální síti snaží vylákat z důvěřivců jejich přihlašovací údaje. Poté jsou jen krůček od toho, aby lidem vybílili účet nebo si prostřednictvím něj sjednali nějakou půjčku.

V podstatě jim stačí propašovat na chytrý telefon virus, prostřednictvím kterého budou schopni odchytávat potvrzovací SMS zprávy. Nezvaných návštěvníků s touto schopností kolují internetem desítky, riziko nakažení tedy není vůbec nepravděpodobné.

Případně jim stačí o potvrzovací zprávu požádat z jiného napadeného počítače, jak bylo popsáno už v úvodu tohoto článku.


Útočníci obejdou i autorizační SMS z banky. Stačí jim k tomu Facebook
25.10.2016 Živě.cz
Mobilní
Česká spořitelna varuje před útočníky, kteří využívají Facebook pro získání autorizačních kódů internetového bankovnictví. Ty jsou standardně doručovány formou textové zprávy. Pokud se například díky phishingu dostanou přes přihlašovací formulář do správy účtu, stále jim budou scházet potvrzovací kódy, které by jim umožnily přeposlat peníze na vlastní účty.


Americký úřad varuje: dvouúrovňové ověřování pomocí SMS není bezpečné
Pro jejich vylákání využívají triviálního triku na Facebooku. Uživateli napíší zprávu s tím, že jim jejich vlastní zpráva nedorazila a zda ji mohou nechat poslat na telefon oběti. Té sice autorizační SMS dorazí, nicméně s kódem k vlastnímu účtu. Pokud jej potom útočníkovi přepošle, nic mu nebrání ve vykradení účtu. Pro věrohodnější postup může útočník použít kradený účet na Facebooku, takže si oběť myslí, že opravdu komunikuje se svým kamarádem.

Klepněte pro větší obrázek
Ukázka zprávy na Facebooku, která má od oběti vylákat autorizační kód z SMS
(zdroj: Česká spořitelna)

Podobné podvody, které obsahují prvky sociálního inženýrství nebo znalostního hackingu ostatně v létě přiměli americký bezpečnostní úřad prohlásit ověřování pomocí SMS za nedostatečné. Náhradou by se v budoucnu měli stát autorizační aplikace nebo biometrická autentizace.


Dejte si pozor na Hicurdismos, malware, který se tváří jako Microsoft Security Essentials
25.10.2016 Živě.cz
Viry
Microsoft na svém blogu upozorňuje uživatele na hrozbu, která má název Hicurdismos. Jde o škodlivý software, který je zabalený do falešného instalačního souboru bezpečnostního balíku Microsoft Security Essentials.

Klepněte pro větší obrázek
Vlevo instalační soubor Microsoftu, vpravo ten s malwarem

Pokud si uživatel malware stáhne a nainstaluje, začne mu zobrazovat modrou obrazovku smrti – samozřejmě také falešnou. Na té však nenajde informace o tom, že má počítač restartovat a další běžný postup, ale telefonní číslo technické podpory pro vyřešení problému. Pokud na něj neznalý uživatel opravdu zavolá, automat jej donutí ke stažení dalšího malwaru nebo rovnou bude žádat o platbu.

Klepněte pro větší obrázek
Obrazovka se tváří jako běžná BSoD, na konci však najdete telefonní číslo technické podpory. Ta bude žádat platbu nebo stažení dalšího malwaru

Problém se bude týkat především uživatelů ve Spojených státech či Kanadě, ty tuzemské by mělo odradit především zahraniční telefonní číslo. Pravdou však je, že balík Microsoft Security Essential není třeba ve Windows 8.1 a Windows 10 stahovat, neboť obsahuje totožný bezpečnostní software v podobě Windows Defender.


Domácí routery nejsou bezpečné, varuje Eset

25.10.2016 SecurityWorld Hrozby
Mezi nejčastější problémy patří softwarové zranitelnosti a slabá hesla – kvůli nim je každý sedmý směrovač zranitelný. Internetový router se tak může jednoduše stát doslova Achillovou patou zabezpečení.

Eset uveřejnil průzkum, který se zaměřil na jednu z nejvíce podceňovaných bezpečnostních hrozeb – domácí routery. Vyplynulo z něj, že 15 procent testovaných zařízení používá slabá hesla, nejčastěji s uživatelským jménem „admin“.

Z průzkumu dále vyplynulo, že přibližně 7 % testovaných zařízení obsahovalo zranitelnost, kterou bychom mohli označit jako středně nebo vysoce vážnou. Skenování portů odhalilo, že síťové služby jsou velmi často přístupné nejen z vnitřních, ale i z externích sítí.

„Test se zaměřil na kontrolu výchozích uživatelských jmen a hesel a jejich nejčastěji používaných kombinací. Je znepokojující, že v jednom případě ze sedmi byl útok úspěšný,” říká Peter Stančík, Security Evangelist v Esetu.

„Zejména nezabezpečené služby jako je Telnet by rozhodně neměly být otevřené a to ani do interních sítí, což bylo bohužel zjištěno ve 20 procentech případů,“ dodává Stančík.

Většina nalezených zranitelností, více než 50 %, vycházela z nevhodně nastavených přístupových práv.

Druhou nejčastější zranitelností (40 %) bylo zneužití použitých příkazů metodou „command injection“. Ta cílí na spouštění libovolných příkazů ve vzdáleném operačním systému skrze zranitelnosti v aplikacích, které nemají dostatečně ošetřeno ověření vstupů.

Bezmála 10 % softwarových zranitelností se pak týkalo takzvaného cross-site scriptingu (XSS), který umožňuje útočníkovi měnit konfiguraci routeru tak, aby mohl spouštět škodlivé skripty na straně klienta.

„Výsledky ukazují, že routery lze napadnout poměrně jednoduše zneužitím některé z nalezených zranitelností. Mohou se tak stát Achillovou patou zabezpečení domácností i malých firem,” dodává Stančík.

Výsledky se sbíraly od uživatelů řešení Esetu (Smart Security a Smart Security Premium), kde je nově implementovaná funkce ochrany domácí sítě, která umožňuje uživatelům zjistit případné zranitelnosti v podobě špatné konfigurace, potenciálně nebezpečné síťové služby či slabého hesla na jejich domácích routerech.


Do pátečního útoku na populární weby mohl zasáhnout i váš router nebo IP kamera. Zkontrolujte si je
24.10.2016 Živě.cz
Počítačový útok

Internet v pátek zažil masivní DDoS útok a nefungovalo při něm množství velkých webů. Jak upozornil web Motherboard, na útoku se podílela zařízení z botnetu Mirai, který zahrnuje i zařízení tzv. internetu věcí (IoT) jako jsou routery či IP kamery.

Podle dostupných informací se do útoku zapojilo jen 10 % zařízení z botnetu, ale i to stačilo k tomu, aby byly vyřazeny z provozu populární služby jako Twitter, PlayStation Network, PayPal a další.

Chcete-li zjistit, zda může být součástí podobného botnetu i jedno z vašich síťových zařízení, vyzkoušejte webovou službu Bull Guard.

Nástroj skenuje primárně IoT zařízení v síti a zjišťuje možné zranitelnosti, případně využití defaultních, výrobcem předdefinovaných hesel. Právě ta jsou totiž velmi častým důvodem, proč se zařízení do podobného botnetu dostane.

Pokud Bull Guard taková zařízení objeví, upozorní na ně. Uživatel by měl následně přístupové údaje změnit. To by měl koneckonců udělat při koupi každého zařízení - zejména pokud bude připojeno k internetu.


Zákeřný červ děsí bezpečnostní experty i po letech

21.10.2016 Novinky/Bezpečnost Viry
První verze zákeřného červa Confickera začala internetem kolovat už v roce 2008. Přestože zabezpečení počítačových systémů od té doby prošlo značným vylepšením, nové verze této hrozby stále nepřestávají strašit. Aktuálně dokonce tento nebezpečný malware kraluje statistikám nejrozšířenějších virových hrozeb.
Ve zmiňovaném roce 2008 byl Conficker několik dlouhých měsíců nejrozšířenější hrozbou vůbec, platilo to prakticky i celý rok 2009. V uplynulých letech však o sobě tento nezvaný návštěvník nedával vůbec vědět.

Zlom nastal až v letošním roce, kdy jej kyberzločinci začali hojně využívat. V tuzemsku i v zahraničí tak podle analýzy antivirové společnosti Check Point představoval tento červ nejrozšířenější hrozbu vůbec.

„Conficker byl v září celkově zodpovědný za 14 procent všech detekovaných útoků,” upozornil David Řeháček, bezpečnostní odborník ze společnosti Check Point.

Napadl i počítače v elektrárně
Conficker využívá zranitelnost operačního systému Windows. Pro tu už dávno existuje bezpečnostní záplata, ale jak je ze statistik zřejmé, s její instalací si velká část uživatelů hlavu neláme. Na konci dubna se dokonce ukázalo, že se tento nebezpečný červ uhnízdil v počítačích v bavorské jaderné elektrárně Gundremmingen. [celá zpráva]

Autoři Confickera vybudovali po celém světě velkou síť infikovaných PC, využitelných na libovolnou úlohu, poněvadž počítače mohou díky viru ovládat na dálku. Na jeho řízení použili autoři červa inovativní způsob. Každý den se vygenerují nové náhodné domény, kam se vir hlásí a žádá instrukce.

Tím prakticky bezpečnostním expertům znemožňují, aby mohli Confickera zcela vyřadit z provozu.

Důležité jsou aktualizace
Většina antivirových programů by si nicméně i s tou nejnovější verzí měla poradit. Pokud ne, mohou pomoci s jeho vystopováním nejrůznější on-line antivirové skenery. Ty jsou zpravidla k dispozici zadarmo.

Jak zajistit, aby se červ do počítače vůbec nedostal? Bezpečnostní experti důrazně doporučují nainstalovat do počítače všechny přístupné bezpečnostní aktualizace, které jsou dostupné přes systém automatických aktualizací nebo přes stránku Windows Update.



Peníze do technologií ano, do vzdělávání lidí ne -- firmy riskují, že jim zabezpečení dat selže

24.10.2016 SecurityWorld Hrozby
Firmy v tuzemsku chápou význam zajištění bezpečnosti svých dat i aplikací a investují nemalé prostředky do technologií. Často ale zapomínají na to, že by měli investovat také do lidí, kteří s těmito technologiemi pracují.

Podle průzkumů jsou v současné době až dvě třetiny firem do značné míry závislé na IT, objemy nashromážděných dat se každoročně zvyšují o třetinu.

Zajištění bezpečnosti dat a systémů vedení firem ve valné většině vnímají jako svou prioritu, investice do zabezpečení podle informací Gartner aktuálně meziročně narostly o 3,6 %.

Často ale zapomínají na investici do lidí, kteří s těmito systémy pracují, což drasticky snižuje jejich schopnost účinně se bránit i efektivnost vynaložených prostředků. Přitom krádež nebo poškození dat, případně pokus o ně, zažilo v posledním roce téměř 70 % firem.

„Vrcholoví manažeři si v současné době uvědomují, že investice do zabezpečení firemních dat a systémů jsou nezbytné. Málokdy ale pamatují také na to, že samotné systémy bez vzdělaných odborníků, kteří si udržují povědomí o aktuálních trendech a hrozbách, jsou neúčinné,“ říká William Ischanoe, produktový manažer kurzů oblasti IT bezpečnost ve firmě Gopas.

Ta pořádá v těchto dnech svou klíčovou konferenci HackerFest 2016 zaměřenou na IT bezpečnost a etický hacking. Prezentuje se zde například to, jak útočí současní hackeři, která nebezpečí číhají v kyberprostoru, jaké jsou největší aktuální hackerské hrozby, nebo k čemu hackeři využívají ovládnuté počítače. Partnerem konference je naše vydavatelství.




Velká kartová loupež miliónů bankovních údajů. Stopy vedou do Číny

22.10.2016 Novinky/Bezpečnost Kriminalita
Prostřednictvím počítačového viru, který cílil přímo na bankomaty a platební terminály v obchodech, se kyberzločinci dostali k více než 3,2 miliónu detailních informací o platebních kartách. Snadno tak mohou získané údaje zneužít k neoprávněným platbám a výběrům z cizích účtů. Podle serveru The Hacker News jde o vůbec největší zaznamenanou krádež tohoto druhu.
Odhalit nasazení viru, prostřednictvím kterého se počítačoví piráti dostali k detailním informacím o platebních kartách, se podařilo v Indii. Kyberzločinci dokázali obelstít zabezpečení prakticky všech tamních velkých finančních institucí – Státní indické banky (SBI), HDFC, Yes Banky, ICICI a Axisu.

To nicméně neznamená, že v ohrožení jsou uživatelé pouze v Indii. Při pohledu na pečlivou práci počítačových pirátů je totiž velmi pravděpodobné, že podobným způsobem se snažili získávat informace o kartách také v dalších koutech světa.

Prostřednictvím nezvaného návštěvníka zjistili útočníci přinejmenším PIN kód, číslo karty i jméno majitele karty.

Zda škodlivý kód skenoval jen samotnou kartu, nebo se rovněž napíchnul přímo na komunikaci mezi terminálem a bankou, zatím vyšetřovatelé neprozradili. Je tedy vcelku možné, že útočníci mají k dispozici daleko více informací o odcizených kartách.

Jak se viry dostaly do bankomatů?
Server The Economic Times upozornil také na to, že vyšetřovatelům se sice podařilo nezvaného návštěvníka odhalit, doposud však nedokázali zjistit, jak se do bankomatů a platebních terminálů dostal.

Zarážející je především to, že se kyberzločincům podařilo obelstít bezpečnostní systémy různých finančních institucí.

Jediným vodítkem vyšetřovatelů je zatím použitá platební platforma. Prakticky všechny dotčené banky totiž používaly systémy od společnosti Hitachi.

Ukradeno bylo dohromady 3,2 miliónu detailních informací o platebních kartách, z toho ve 2,6 miliónu případů jde o karty od společností Visa a Mactercard. Zbylých 600 tisíc odcizených údajů pak tvoří indická platforma RuPay.

Jak dlouho měli počítačoví piráti přístup k bankovním systémům, není zatím jasné.

Stopy vedou do Číny
Stopy útoku vedou podle vyšetřovatelů do Číny. Právě v nejlidnatější zemi planety totiž byly z postižených účtů vybrány neoprávněně peníze. Rozsah škod však jednotlivé finanční domy zatím ještě nevyčíslily. S ohledem na množství odcizených karet však pravděpodobně nepůjde o žádné nízké částky.

Dotčené banky již na hrozbu zareagovaly. Některé finanční instituce doporučily uživatelům neprodleně změnit PIN kódy ke svým kartám, jiné začaly karty rovnou blokovat.

Uživatelé se tak sice ke svým penězům nedostanou tak snadno, na druhou stranu se k nim nedostanou ani počítačoví piráti. Nové karty budou uživatelům vystaveny samozřejmě zdarma.



Nově objevená zranitelnost intelovských čipů otevírá PC k útokům

21.10.2016 Zranitelnosti
Jedna z vlastností intelovských procesorů Intelu řady Haswell se může zneužít – umožní totiž překonat jeden z důležitých typů ochrany před nákazou, který nabízejí všechny nejdůležitějších operační systémy.

Techniku, objevenou třemi vědci z Newyorské státní univerzity a Kalifornské univerzity, lze zneužít k překonání ochrany ASLR (address space layout randomization). ASLR je bezpečnostní mechanismus, který umisťuje strojový kód programů, knihovny a data v operační paměti do náhodně zvolené adresy. Útočník tak neví, kam svůj škodlivý kód vložit.

Cílem ASLR je znemožnit některé druhy exploitů, jmenovitě např. stack nebo heap overflow. Ve chvíli, kdy se ASLR překoná a zranitelnost zneužije, nakažený kód se vloží na konkrétní pozici v paměti, ve kterém se daný proces nebo jádro operačního systému spouští jako běžná součást činnosti.

Ve své studii vědci popisují, že BTB (branch target buffer), což je mechanismus mezipaměti využívaný předpovídačem větvení CPU, může být využit k úniku ASLR adres vytvořením kolizí mezi rozdílnými uživatelskými procesy nebo procesy v jádru. Předpovídač větvení, branch target predictor, se u moderních procesorů využívá k optimalizaci výkonu.

„BTB ukládá cílové adresy nedávno spuštěných větvících instrukcí, takže tyto adresy mohou být získány přímo z BTB k obdržení instrukcí, začínajících v cíli příštího cyklu,“ vysvětlují vědci ve studii. „Neboť BTB je sdíleno několika aplikacemi spouštějícími se na stejném jádře, únik informace z jedné aplikace do další skrze boční kanál BTB je možný.“

Výzkumníci předvedli svůj na BTB založený bypass na počítači s Intel Haswell CPU a operačním systémem Linux s jádrem verze 4.5. Jejích útok spolehlivě zjistil ASLR jádra využitím BTB kolizí během přibližně 60 milisekund.

Samotná studie navrhuje několik jak softwarových, tak hardwarových řešení, které by BTB útokům v budoucnu zabránily; nebo lépe zabezpečily současné ASLR implementace.

Útočníci mají již dnes i jiné metody překonání ASLR, ale obvykle vyžadují nalezení dalších paměťových zranitelností a jejich propojení s původním exploitem. Díky zlepšení softwarového zabezpečení v posledních letech vyžaduje vzdálené spuštění škodlivého kódu obvykle několikastupňové exploity.


Facebook, Twitter i CNN. Terčem obřího kybernetického útoku se staly velké weby

21.10.2016 Novinky/Bezpečnost Počítačový útok
Hned několik velkých světových serverů se v pátek stalo terčem masivního útoku typu DDoS. Kyberzločinci začali webové stránky přetěžovat krátce po 12. hodině středoevropského času. Útok podle serveru Tech Crunch trval několik hodin.
Podle prvních informací se počítačoví piráti zaměřili například na sociální sítě Twitter a Facebook. Zároveň však pokusy o přetížení byly zaznamenány také na zpravodajských serverech Daily News, CNN i New York Times. Pozornosti kyberzločinců neunikly ani hudební portály Spotify a Soundcloud.

Podle ohlasů uživatelů se přinejmenším tisíce lidí nemohly v průběhu několika hodin na dotčené webové stránky připojit, napsal server RT.com. Prohlížeče jim hlásily, že jsou nedostupné.

Follow
Spotify Status ✔ @SpotifyStatus
Uh oh, we’re having some issues right now and investigating. We’ll keep you updated!
2:59 PM - 21 Oct 2016
11 11 Retweets 23 23 likes
Technické problémy, kvůli kterým se někteří uživatelé nemohli připojit, již potvrdili zástupci Spotify na Twitteru
Webové stránky však nebylo možné načíst především v USA. Například evropští uživatelé tak snahy kyberzločinců pravděpodobně ani nezaznamenali.

Pod taktovkou zotročených počítačů
Útok DDoS (Distributed Denial of Service) má vždy stejný scénář. Stovky tisíc počítačů, které většinou počítačoví piráti zotročili a mohou je tedy ovládat na dálku, začnou přistupovat v jeden okamžik na konkrétní server. Ten zpravidla nezvládne tak vysoké množství požadavků zpracovat a spadne. Pro běžné uživatele se pak takto napadená webová stránka tváří jako nedostupná.

Uživatelé se tedy nemusí u serverů obávat toho, že by byla jakkoliv v ohrožení jejich data. Jediné, čeho počítačoví piráti dosáhli, je nedostupnost služeb pro uživatele.

I přesto je ale rozsah DDoS útoku v tomto případě alarmující. Kyberzločincům se totiž podle serveru RT.com podařilo vyřadit z provozu opravdu velké množství počítačů. To nasvědčuje tomu, že útok byl veden s velkou razancí, se kterou se bezpečnostní experti zatím nesetkali.

Podle prvních odhadů tak jde o jeden z nejmasivnějších DDoS útoků v celé historii internetu.

Velké dělo děsí bezpečnostní experty
Kdo za kybernetickým nájezdem stojí, zatím není jasné. Bezpečnostní experti nicméně již několik měsíců před útokem varovali, že Číňané mají k dispozici zbraň přezdívanou Velké dělo. Ta slouží právě k DDoS útokům

Velké dělo by mělo podle dřívějších ohlasů zvládnout s ohledem na svou velikost vyřadit z provozu prakticky libovolný cíl na internetu.

Kybernetickým útokům typu DDoS čelily začátkem března roku 2013 také některé tuzemské servery. Směřovány byly nejprve na zpravodajské weby, poté na portál Seznam.cz, servery bank a telefonních operátorů. Bezpečnostní experti v této souvislosti hovořili o největším útoku v historii českého internetu.



Bezpečnostní experti upozornili na 12 let starou chybu. Uživatelé se bránit nemohou

19.10.2016 Novinky/Bezpečnost Zranitelnosti
I 12 let stará chyba dokáže udělat bezpečnostním expertům pěkné vrásky na čele. Přesně takto starou trhlinu totiž objevili v minulých dnech bezpečnostní experti, kteří zároveň zjistili, že kyberzločinci ji mohou zneužít k útokům na zařízení internetu věcí (IoT). Samotní uživatelé se přitom prakticky bránit nemohou.
Co je internet věcí?

Za zkratkou IoT (Internet of Things, česky internet věcí) se ukrývá označení pro chytré přístroje, které jsou schopny připojovat se na internet a komunikovat mezi sebou prostřednictvím této celosvětové počítačové sítě.
Typicky jde například o zařízení, která umožňují sledování či ovládání některých funkcí na dálku. Připojit se k nim je možné prostřednictvím chytrého telefonu nebo počítačového tabletu přes internet, i když je uživatel na druhém konci planety.
Celosvětovou počítačovou síť mohou tímto způsobem využívat nejrůznější rekordéry, meteorologické stanice, ale klidně také chytré žárovky, u kterých je možné upravovat teplotu světla.
Chyba se týká protokolu OpenSSH, který využívají právě zmiňovaná zařízení ze segmentu chytrých domácností. Upozornili na ní výzkumníci ze společnosti Akamai Technologies – jednoho z největších světových poskytovatelů sítí distribuovaného obsahu.

Trhlinu mohou útočníci zneužít k tomu, aby v napadených zařízeních změnili nastavení proxy. Díky tomu jsou pak schopni řídit internetový provoz dotyčných přístrojů. Se stovkami tisíc napadených strojů, které je poslechnou na slovo, jsou schopni provádět například DDoS útoky.

Při něm velké množství PC – v tomto případě zařízení internetu věcí – začne přistupovat v jeden okamžik na konkrétní server. Ten zpravidla nezvládne tak vysoké množství požadavků zpracovat a spadne. Pro běžné uživatele se takto napadená webová stránka tváří jako nedostupná.

Přes dva milióny zařízení v ohrožení
Obavy jsou v případě objevené chyby na místě. Výše popsaným způsobem totiž mohou být zotročeny kvůli chybě v OpenSSH více než dva milióny zařízení.

Lze navíc předpokládat, že počítačoví piráti se trhlinu budou snažit velmi rychle zneužít. Botnety – tedy sítě zotročených počítačů nebo zařízení schopných přístupu na internet – jsou totiž na černém trhu ceněnou zbraní.

S dostatkem zotročených počítačů jsou totiž útočníci schopni vyřadit z provozu prakticky jakoukoliv webovou stránku a její provozovatele pak následně například vydírat, žádají po nich peníze za to, že útok ustane.

Chybu v protokolu OpenSSH může opravit pouze výrobce daného zařízení, a to vydáním nového firmwaru. Na rozdíl od klasických počítačů se tak uživatelé prakticky v současnosti před novou hrozbou bránit nemohou.

Popularita internetu věcí poroste
Internet věcí představuje pro uživatele velké pohodlí, zároveň se ale ukazuje i jeho stinná stránka – slabá bezpečnost.

Do roku 2020 přitom vzroste podle expertních odhadů počet připojených zařízení k internetu z nynějších 15 miliard na 200 miliard zařízení, na jednoho člověka tak připadne 26 těchto chytrých zařízení.


Kybernetické útoky jsou sofistikovanější, experti trénují obranu

19.10.2016 Novinky/Bezpečnost Počítačový útok
Kybernetické útoky jsou stále sofistikovanější. Odborníci, kteří pečují o kritickou páteřní infrastrukturu, proto potřebují častější a realističtější trénink. Novinářům to u příležitosti cvičení v brněnském kybernetickém polygonu řekl Radim Ošťádal z Národního centra kybernetické bezpečnosti. Centrum je součástí Národního bezpečnostního úřadu.
Důležité nejsou podle expertů jen technické znalosti a vybavení, ale i takzvané měkké dovednosti, třeba dělba práce a schopnost koordinace.

"Je velmi důležité si rozdělit, co má který člen týmu na starost. Stávalo se, že se dva členové zaměřili na jednu oblast a nevěnovali pozornost nějaké jiné, možná ještě důležitější, a bylo to proto, že se na začátku nedokázali efektivně domluvit," řekl vedoucí bezpečnostního týmu Masarykovy univerzity Jan Vykopal, který vyhodnocoval výsledky dřívějších cvičení.

Podmínky, které se blíží realitě
Trénink v polygonu umožňuje navodit podmínky, které se blíží realitě. Scénářem je tentokrát obrana bezpečnostního systému chránícího železniční síť a transportu s jaderným odpadem před útoky hackerských aktivistů. Experti ze státní sféry, firem i bezpečnostních složek jsou rozdělení do šesti týmů. Musejí zvládat také simulované informování veřejnosti a komunikaci s novináři.

"Letošní scénář jsme udělali složitější, obsahuje více zařízení a služeb. Týmy musí zvládnout nejen jejich obranu, ale musí být schopny také komunikovat s okolím a mít právní povědomí o dopadech svých rozhodnutí," popsal Vykopal. V polygonu jsou pozorovatelé z Finska a Estonska.

Do kritické informační infrastruktury spadají například systémy mobilních operátorů, bank a elektráren i sítě kontrolující dopravu. Podobná cvičení zaměřená na obranu infrastruktury jsou běžná po celém světě, vysoce ceněná jsou například cvičení organizovaná NATO.


Policie zadržela v centru Prahy ruského hackera, který měl napadat cíle v USA

19.10.2016 Novinky/Bezpečnost Hacking
Čeští policisté zadrželi ve spolupráci s americkým Federálním úřadem pro vyšetřování (FBI) mezinárodně hledaného ruského hackera, který údajně napadal cíle v USA. Po zadržení muž zkolaboval a musel být hospitalizován.
„Muž byl zadržen už 12 hodin po přijetí první operativní informace,“ řekl mluvčí policejního prezidia David Schön. Hledaný byl podle mluvčího zákrokem policistů natolik překvapen, že nekladl žádný odpor.

„Bezprostředně po zadržení se u muže projevil kolapsový stav a policisté mu museli neprodleně poskytnout první pomoc a nakonec byl hospitalizován v nemocnici,“ řekl Schön.

Po Česku se pohyboval luxusním vozem v doprovodu své přítelkyně. K samotnému zadržení došlo v jednom z hotelů v centru Prahy.  Městský soud v Praze rozhodl o mužově vzetí do vazby. O vydání hackera do USA boudo nyní rozhodovat justiční orgány.



Nelegálně sbíráte data o lidech, nařkl soud tajné služby

19.10.2016 SecurityWorld Kyber
S vysokou pravděpodobností sbírá data o svých občanech téměř každý stát. Je otázkou, nakolik je tato činnost transparentní; soudní rozhodnutí ve Velké Britanii se však může stát první vlaštovkou postupného přiznávání špionážní činnosti na vlastních občanech.

Soud ve Spojeném království rozhodl o tom, že letitý sběr téměř všech informací o komunikaci tamějších občanů (s výjimkou samotného obsahu komunikace) porušuje Evropskou úmluvu o lidských právech.

Po veřejném přiznání vlády k této činnosti se ale sběr informací stává legálním, tvrdí Investigatory Powers Tribunal, nezávislý útvar, který se zabývá stížnostmi na zpravodajské agentury. Útvar však ještě čeká rozhodnutí o tom, zda lze ospravedlnit šíři získávaných informací a zda jednání agentur bylo úměrné hrozbám, které se snažily eliminovat.

Na základě stížnosti sdružení Privacy International z června 2015 tribunál souhlasí, že informační služby Spojeného království skutečně po dlouhé roky porušovaly Evropskou úmluvu o lidských právech tím, jak ve velkém sbíraly osobní informace o občanech státu.

Data zahrnují informace o tom, kdo kontaktoval koho, kdy, kde a pomocí čeho, kdo platil za hovor a kolik platil. „Prakticky jediné informace, které agentury nesbíraly, jsou samotný obsah,“ popisuje ve svém verdiktu soud. Legální sběr takových informací by vyžadoval příkaz k zadržení daného subjektu.

V principu vláda může zpravodajským službám povolit sběr komunikačních dat od mobilních a internetových operátorů díky zákonu z roku 1984 (shodou okolností rok vzniku zákona koresponduje s názvem antiutopického románu George Orwella, který se zabývá mj. právě otázkou „Velkého bratra“, tedy sledování občanů státem).

Zda však byl sběr dat a jeho šíře nutná je otázka zcela jiná: když v roce 1984 zákon vznikl, podotýká tribunál, žádné mobilní telefony ani internet neexistovaly.

Mimo dat týkajících se přímo komunikace sbíraly agentury také osobní informace - databáze pasů, telefonní adresáře, bankovní záznamy. Dle vyjádření tajných služeb během soudního řízení je však majorita občanů pro potřeby agentur nezajímavá.

Pravidla pro masový sběr osobních dat britská legislativa neupřesňuje, dodává tribunál. Informace o činnosti informačních služeb vyplynuly na povrch až v březnu roku 2015, vláda se ke sledování následně přiznala v listopadu téhož roku.

Dle tribunálu se sběr dat po přiznání vlády stal legálním, neboť je „předvídatelný“. Občané mohou předvídat, že je někdo sleduje, a musí tak počítat s následky svých činů.

„Je nepřijatelné, že jen skrze občanský soudní proces započatý charitou jsme se dozvěděli rozsah moci [tajných služeb] a jak ji využívají,“ říká Millie Graham Woodová, právnička Privacy International. Zároveň vyzvala agentury k veřejnému potvrzení, že nelegálně získaná osobní data budou zničená.

O konci praktiky shromažďování dat o občanech si ale v této neklidné době můžeme nechat jedině zdát. Ba naopak - s vývojem nových technologií bude stát mít k dispozici ještě více nástrojů, pomocí kterých své občany může sledovat.


Zákeřný virus se snaží získat fotografii uživatele a informace o platební kartě

18.10.2016 Novinky/Bezpečnost Viry
Na pozoru by se měli mít uživatelé před nově objeveným škodlivým kódem, který jim může udělat čáru přes rozpočet. A to doslova – prostřednictvím nezvaného návštěvníka se totiž kyberzločinci snaží z důvěřivců vylákat citlivé údaje. Před hrozbou varovali bezpečnostní experti antivirové společnosti Kaspersky Lab.
Virus Acecard se šíří především přes sociální sítě a e-maily, ještě přesněji prostřednictvím odkazů na podvodné webové stránky obsahující nějaké zajímavé video. Na nich je uživatel vyzván k tomu, aby nainstaloval aktualizaci Adobe Flash Playeru, tedy pluginu, který je potřebný právě k přehrávání videí.

Místo updatu si však důvěřivci do svého počítače stáhnou právě nezvaného návštěvníka. Sluší se podotknout, že nově objevený nezvaný návštěvník v současnosti útočí výhradně na smartphony s operačním systémem Android.

Virus v mobilu číhá
Na nich pak virus vyčkává na svou příležitost. Aktivuje se až ve chvíli, kdy chce uživatel spustit nějakou aplikaci, která dokáže pracovat s kreditní kartou. Jde tedy o nejrůznější programy internetového bankovnictví a internetových obchodů.

Po jejich spuštění se na dotykovém displeji zobrazí informace o tom, že je nutné zadat informace o platební kartě, a to včetně ověřovacích údajů. Důvěřivci se přitom mohou mylně domnívat, že data zadávají skutečně do dobře známé aplikace, ve skutečnosti je ale podvodníkům naservírují jako na zlatém podnosu.

„Okno s žádostí o vyplnění citlivých údajů se zobrazuje přes legitimní aplikace. Méně pozorní uživatelé tak nemají moc velkou šanci zjistit, že jde o podvod,“ varoval bezpečnostní expert společnosti McAfee Bruce Snell.

Pouze s informacemi o kartě se přitom útočníci nespokojí. „Po opsání číselných kombinací z karty žádají kyberzločinci o další doplňující informace. Chtějí jméno, adresu, datum narození, a dokonce i aktuální fotku s občanským průkazem,“ doplnil Snell.

Vybílí účet, založí půjčku
Všechna tato data mohou počítačoví piráti zneužít nejen k vybílení cizího účtu, ale například i k založení půjčky na majitele účtu apod. Hrozbu tedy není vhodné podceňovat, protože kyberzločinci mohou uživatele připravit klidně i o peníze, které na účtu nemají.

Řada bank samozřejmě v dnešní době používá různé systémy ověření, které mají podobnému zneužití zamezit. Například platby kartou je nutné potvrzovat ještě SMS zprávou. Vzhledem k tomu, že se útočníci dostanou do chytrého telefonu, nebude jim činit žádný problém i potvrzovací zprávy odchytávat.

Virus Acecard se doposud šířil především na asijských počítačových sítích. Není nicméně vyloučeno, že jej kyberzločinci nasadí také v Evropě, či dokonce v České republice.



Kritické bezpečnostní chyby mají Windows, Internet Explorer i Office

17.10.2016 Novinky/Bezpečnost Zranitelnosti
Hned několik kritických chyb bylo odhaleno v softwarových produktech společnosti Microsoft. Trhliny byly nalezeny v operačním systému Windows, prohlížečích Internet Explorer i Edge a také v kancelářském balíku Office. Americký softwarový gigant již nicméně pro všechny zranitelnosti vydal opravy.
Objevené chyby jsou velmi nebezpečné, protože se podle serveru The Hacker News ukázalo, že je ještě před vydáním záplat mohli zneužít počítačoví piráti.

Ti přitom prostřednictvím nich mohli spustit na cizím počítači prakticky libovolný škodlivý kód. Stejně tak ale mohli přistupovat k nastavení napadeného stroje či k uloženým datům na pevném disku. Pro kritické zranitelnosti bylo vydáno celkem pět bezpečnostních záplat.

Administrátorský vs. uživatelský účet
Zajímavé je mimochodem také to, že útočníci skrze trhliny mohli získat pouze taková práva, jaká měl nastavená samotný uživatel. Kontrolu nad postiženým systémem tak mohli kyberzločinci převzít pouze v případě, že uživatel na stroji pracoval s administrátorskými právy.

To bohužel v praxi dělá celá řada uživatelů. Nově objevené chyby tak opět ukazují, jak nebezpečné je používat účet administrátora při běžné práci. Daleko vhodnější je vytvořit – nejen ve firmách, ale i v domácích podmínkách – na počítači více účtů a běžně používat pouze ty, které mají uživatelská oprávnění.

Účet s právy administrátora by měl být zapnut pouze v případě, kdy je to skutečně nezbytné.

Důležité opravy
Vedle oprav kritických chyb uvolnil americký počítačový gigant také několik důležitých aktualizací, které slouží především ke zlepšení funkčnosti samotného systému, ale například také kancelářského balíku Office. Ty ale nepředstavují pro uživatele žádné velké bezpečnostní riziko.

Stahovat všechny záplaty pro kritické i důležité trhliny, které vyšly společně s balíkem pravidelných běžných aktualizací, je možné prostřednictvím služby Windows Update.

V případě, že uživatelé nemají nastavenou automatickou instalaci aktualizací, neměli by s jejich stažením otálet. V opačném případě nechávají pro počítačové piráty otevřená zadní vrátka do svých počítačů.



Hackeři si nakradli milióny. Nakonec ale udělali hloupou chybu

13.10.2016 Novinky/Bezpečnost Kriminalita
Stačilo poslat SMS zprávu a bankomat vydal hackerům peníze. I když to může znít jako sci-fi, před dvěma roky hackeři opravdu přišli na způsob, jak toho docílit. Vše nejprve vypadalo, že jsou tak chytří, že se je nepodaří ani dopadnout. Nakonec ale udělali hloupou chybu a hned několik jich bylo dopadeno.
Skupina hackerů se v uplynulých dvou letech soustředila na bankomaty ve Velké Británii. Útočili především v Londýně a od roku 2014 zvládli ukrást více než 1,5 miliónu liber, tedy bezmála 45 miliónů korun.

Za útoky má být společně s dalšími kumpány zodpovědný třicetiletý rumunský hacker Emanual Leahu. Právě toho už na konci září dopadla anglická policie, informovala o tom až na konci minulého týdne.

Zapomněli na kamery
Sluší se podotknout, že ještě předtím skončila želízka také na rukách dalších dvou hackerů, kteří do kyberzločineckého gangu patřili. Pikantní na tom je, že dopadnout se je podařilo jen díky tomu, že se hned v několika případech zapomněli zahalit před kamerou bankomatu. Školácká chyba se jim stala osudnou.

V celách skončili již tři hackeři z pětičlenného týmu. Zbývající dva se podle informací policie ukrývají někde v Rumunsku.

Na celé kauze je velmi zajímavý i způsob, jakým kyberzločinci útočili. Ti přišli na to, že uvnitř na první pohled nedobytné konstrukce se ukrývá obyčejný počítač, který tehdy ještě pracoval pod operačním systémem Windows XP.

A právě ten byl pověstnou Achillovou patou celého systému – byl totiž stejně zranitelný jako běžné počítače. Hackeři tak připojili k USB portu uvnitř bankomatu mobilní telefon, prostřednictvím kterého se do operačního systému dostal záškodník – virus Ploutus.

Stačilo poslat SMS zprávu
Pro získání peněz pak stačilo odeslat na připojený mobil speciálně upravenou SMS zprávu, která byla následně předána systému. Ten pak bez jakýchkoliv námitek vydal požadovanou částku. Celý útok tak trval sotva pár sekund.

Získat přístup do útrob bankomatu přitom podle bezpečnostních expertů antivirové společnosti Symantec nebylo nijak složité. Zatímco spodní část, která uchovává bankovky, byla před dvěma lety důmyslně zabezpečena, horní díl s počítačem ochraňoval pouze jeden menší zámek.



Malware pro Macy může získat přístup k webkameře i mikrofonu. Obranou je drobná utilita i černá páska
12.10.2016 Živě
Viry
Na konferenci Virus Bulletin v Denveru prezentoval specialista na bezpečnost a bývalý zaměstnanec NSA Patrick Wardle zranitelnost systému macOS, která umožňuje potenciálním útočníkům získat přístup k datům z webkamery a mikrofonu Macbooku.

Na úrovni firmwaru je provoz kamery signalizován rozsvícením zelené LED diody a její případné odstavení by tedy bylo velmi složité, případně nemožné. Útočníci se však mohou zaměřit na okamžiky, kdy je webkamera a mikrofon využíván při hovoru na Skypu nebo Facetimu. Uživatel nedostane žádnou informaci o tom, že webkameru využívá kromě komunikátoru ještě další software.

Případný malware, který by měl za úkol získání záznamu, by tedy k zachycení využil stream určený pro legitimní komunikátory a následně jej odesílal na servery útočníka. Wardle proto připravil v rámci své prezentace jednoduchou utilitu, která sleduje aplikace s přístupem k datům z webkamery a případné neautorizované pokusy o získání záznamu blokuje a oznamuje systémovou notifikací.

Klepněte pro větší obrázekKlepněte pro větší obrázek
Aplikace OverSight monitoruje aplikace, které mají přístup k záznamovým zařízením a případně upozorňuje na nové přístupy

Ještě o něco účinnější metodou potom bude způsob, který zvolil Mark Zuckerberg, tedy černou izolační pásku. Toto opatření neobejde sebelepší hacker.



Využívání cloudů je díky bezpečnostní architektuře společnosti Fortinet naprosto bezpečné

11.10.2016 SecurityWorld Zabezpečení
Internet věcí, cloud computing, virtualizace či využívání soukromých zařízení ve firemních sítích přináší netušené možnosti rozvoje byznysu, avšak také nové hrozby a bezpečnostní rizika. Mnoho společností stále spoléhá na zastaralé bezpečnostní strategie. Aktuální problémy kybernetické bezpečnosti řeší společnost Fortinet bezpečnostní architekturou Security Fabric.

Bezpečnostní architektura Security Fabric poskytuje škálovatelnou, širokospektrou ochranu proti bezpečnostním hrozbám pomocí úzce provázané, účinné bezpečnostní infrastruktury.

„Všudypřítomná digitalizace mění zavedené obchodní modely, zatímco technologické trendy jako internet věcí a cloud computing stírají hranice dnešních sítí. Mnoho podniků naneštěstí stále spoléhá na desítky let staré bezpečnostní strategie, které neodpovídají dynamice dnešního byznysu. Na rozdíl od platforem volně propojených na úrovni řízení provazuje architektura Security Fabric jako předivo vysoce pokročilý hardware a software a umožňuje přímou komunikaci mezi jednotlivými řešeními a tedy i jednotnou a rychlou reakci na hrozby,“ vysvětluje Ken Xie, šéf společnosti Fortinet.

Integrovaná, spolupracující a adaptabilní architektura Security Fabric poskytuje korporacím distribuované zabezpečení a zajišťuje ochranu proti hrozbám ze strany internetu věcí a vzdáleně připojených zařízení, jak v jádru informační infrastruktury tak i v cloudu.
Pět základních principů Security Fabric

Bezpečnostní architektura Security Fabric propojuje dříve nezávislé systémy do jediného provázaného celku založeného na pěti základních vzájemně závislých principech – přizpůsobitelnosti, informovanosti, bezpečnosti, praktické využitelnosti a otevřenosti.

Aby bezpečnostní architektura dokázala detekovat a neutralizovat hrozby ve všech částech dnešních neohraničených sítí, musí být dynamicky přizpůsobitelná (škálovatelná) nejen z hlediska proměnlivých požadavků na objem a výkon, ale také z hlediska rozsahu a povahy sítě. Portfolio bezpečnostních technologií společnosti Fortinet zahrnuje řešení, která pokrývají každou část infrastruktury, včetně pevných a bezdrátových sítí, uživatelských koncových zařízení a zařízení internetu věcí, přístupových vrstev, veřejných, soukromých i hybridních cloudových modelů, softwarově definovaných sítí a virtualizace. Technologie zajišťují, aby funkčnost, výkon a škálovatelnost sítě nebyla bezpečnostními prvky narušena.

Rozšiřitelnost řešení společnosti Fortinet na celou infrastrukturu je základem pro další zásadní princip architektury Security Fabric – informovanost. Architektura funguje jako celek a poskytuje přehled o zařízeních, uživatelích, obsahu a datech proudících do sítě i ven z ní a o vzorcích v datovém provozu. To na jedné straně snižuje komplexitu a náklady, na druhé zvyšuje efektivitu řízení a usnadňuje zavádění nových schopností a inovativních bezpečnostních strategií.

Dokonalý přehled o infrastruktuře je zásadní pro dosažení požadované úrovně zabezpečení proti všem typům ohrožení. Jako společné rozhraní pro všechny součásti bezpečnostní architektury Fortinet Security Fabric slouží FortiOS, nejčastěji nasazovaný bezpečnostní operační systém na světě. Technologie jako Fortinet Advanced Threat Protection Framework provádí hloubkovou analýzu provozu, dynamicky generují lokální informace o hrozbách a předávají data laboratořím FortiGuard Labs, které automaticky v reálném čase distribuují aktualizace do celého systému. Šíře těchto informací spolu s propracovanou, škálovatelnou a rychlou analýzou poskytuje bezpečnostní architektuře prakticky využitelné vstupy umožňující rychlou reakci a neutralizaci hrozeb bez ohledu na místo jejich výskytu.

Aby zákazníci mohli využít stávajících investic do infrastruktury a zabezpečení, je architektura Security Fabric koncipovaná tak, aby ji bylo možno integrovat s širokou škálou řešení jiných dodavatelů. Společnost Fortinet úzce spolupracuje s partnery sdruženými v globální alianci na vývoji otevřených API pro všechny části bezpečnostní architektury. Zákazníkům to poskytuje flexibilitu při zavádění řešení společnosti Fortinet vedle stávajících nebo nových bezpečnostních technologií a integrovat je spolu pro dosažení vyšší úrovně ochrany.

Více informací naleznete na: http://demand.fortinet.com/cz-securityfabric

FortiOS

Architektura pro bezpečný přístup

Přístupové aplikace

Pokročilé síťové aplikace na podporu konektivity

Integrovaná, komplexní řešení přístupových aplikací, které umožňují přístup pro hosty, poskytují přehled o připojených zařízeních a uživatelích, zajišťují proces připojování nových zařízení atd.

Ověřování/ koncové body

Proces připojování a zabezpečení všech uživatelů a zařízení

Aplikace pro ověřování dodávané společnosti Fortinet automatizují připojování nových zařízení hostů a zaměstnanců, nabízí jednotné přihlašování, správu certifikátů a další funkce.

Správa

Flexibilita lokální a cloudové implementace

Možnost volby implementace přístupové vrstvy s kontrolérem nebo bez, cloudové, vícekanálové nebo jednokanálové.

Zabezpečení

Zabezpečení přístupu příští generace

Ucelené portfolio síťových bezpečnostní zařízení nabízí na přístupové vrstvě ochranu proti kybernetickým hrozbám na podnikové úrovni.

Kontroléry

Centrální řízení všech bezdrátových přístupových bodů a přepínačů LAN

Infrastrukturní (samostatné) a integrované kontroléry nabízí flexibilní možnosti implementace. Naše nové výkonné infrastrukturní kontroléry FortiWLC 50D, 200D a 500D, podporují 50, 200, respektive 500 přístupových bodů, splňují požadavky standardu 802.11ac Wave 2 a umožňují připojení většího počtu zařízení.

Přepínače

Přepínače podnikové třídy pro bezpečný přístup a datová centra

Široká nabídka vysoce výkonných, cenově efektivních přístupových přepínačů a přepínačů pro datová centra, včetně FortiSwitch FS-224D-FPOE nebo FS-548D-FPO, které nabízí 24, respektive 48 napájených portů (PoE) a řada 10Gb/s ethernetových přepínačů pro datová centra s univerzální správou pomocí zařízení FortiGate.

Přístupové body

Přístupové body WLAN pro každý podnik a případ využití

Možnost výběru z kompletní řady podnikových přístupových bodů podporujících standard  802.11ac Wave 2 a všechny varianty implementace včetně zapojení s kontrolérem, bez kontroléru nebo s cloudovou správou, pro venkovní i vnitřní použití.



Bezpečnostní experti varují před zlodějským virem. K šíření nepotřebuje internet

1.4.2016 Viry
Nový škodlivý virus, který krade uživatelská data, odhalili bezpečnostní experti antivirové společnosti Eset. Nezvaný návštěvník dostal přezdívku USB Thief, protože se šíří především prostřednictvím flashek a externích pevných disků. Nakazit tak dokáže i stroje, které nejsou připojeny k internetu. Útočník jim jednoduše infikované médium podstrčí.
Nový nezvaný návštěvník se nejčastěji šíří přes USB flashky a externí disky.

Nový nezvaný návštěvník se nejčastěji šíří přes USB flashky a externí disky.
USB Thief potřebuje pro svou „špinavou“ práci pouze pár volných megabajtů na výměnném médiu, které se připojuje k počítači prostřednictvím USB portu. Na něm pak číhá do doby, než bude moci napadnout nějaký počítač.

Snaží se tedy zůstat co možná nejdéle maskován, aby minimalizoval riziko odhalení. Zajímavé je, že se po připojení k počítači automaticky nespustí, jako tomu bývá zpravidla o podobných škodlivých kódů.

Společně s neškodnými programy vpustí do počítače virus USB Thief.
Místo toho se naváže na tzv. portable aplikace, které často bývají uloženy právě na flashkách a externích pevných discích. Jde v podstatě o programy, které se nemusejí instalovat – spouští se přímo z USB médií.

Uživatelé je zpravidla používají na počítačích, kde nemají oprávnění k instalování aplikací. Tím, že portable aplikace nepotřebují instalovat, mohou lidé snadno obejít restrikce administrátorů, typicky na počítačích v kanceláři. Jenže společně s neškodnými programy vpustí do počítače virus USB Thief.

Antiviry jsou prý bezradné
Ten pak automaticky začne z připojeného PC krást data a ukládat je v zašifrované podobě na externí disk. Vzhledem k tomu, jak nezvaný návštěvník opatrně pracuje, většina antivirových programů má problémy s jeho identifikací. Jeho případné odhalení zkrátka není vůbec snadné.

Aby se útočník k datům dostal, musí získat flashku nebo externí disk zase zpět. USB Thief tak nejčastěji šíří počítačoví piráti, kteří své oběti podstrčí infikované médium. Uživatelé by tak měli být ostražití před používáním USB úložišť, jejichž původ je pochybný. Tím výrazně minimalizují riziko, že je nový virus připraví o jejich data.

Je pravděpodobně ale jen otázkou času, než se začne šířit sofistikovanější obdoba tohoto záškodníka, která se také bude šířit přes USB média, ale nashromážděná data bude schopná posílat zpět útočníkovi i přes internet. Pak už útočník nebude potřebovat dostat médium zpět, ale bude jen čekat, až mu virus naservíruje uživatelská data jak na zlatém podnose i na dálku.



Nebezpečná chyba v operačním systému iOS ohrožuje milióny uživatelů

31.3.2016 Zranitelnosti
Bezpečnostní analytici společnosti Check Point odhalili novou vážnou zranitelnost v operačním systému iOS od společnosti Apple, který využívají chytré telefony iPhone i počítačové tablety iPad. Chybu mohou útočníci zneužít k tomu, aby na napadené zařízení propašovali prakticky jakýkoliv škodlivý kód.
Chyba dostala pracovní název SideStepper. Útočníkům umožňuje zneužít komunikaci mezi jablečným telefonem nebo tabletem a tzv. MDM systémem. Jde v podstatě o řešení, které je především ve firmách využíváno pro vzdálenou instalaci aplikací a správu zařízení Apple.

Právě kvůli chybě v této komunikaci si útočníci s napadeným přístrojem mohou dělat, co je napadne. „Útočníci mohou zranitelnost zneužít například ke vzdálené instalaci škodlivých aplikací a ohrozit veškerá data v zařízení. Potenciálně tak mohou být ohroženy milióny iOS uživatelů po celém světě," řekl pro Novinky.cz David Řeháček, bezpečnostní odborník ze společnosti Check Point Software Technologies.

Útočí přes SMS i sociální sítě
Případný útok by mohl podle něj vypadat následovně. „Nejdříve přesvědčí uživatele k instalaci škodlivého konfiguračního profilu, například prostřednictvím phishingové zprávy. Jedná se o jednoduchý a efektivní způsob útoku, který využívá pro šíření škodlivého odkazu osvědčené komunikační platformy, jako jsou SMS, chatovací programy nebo e-mail. Útočníci pak mohou napodobovat příkazy, kterým iOS věří, a instalovat vzdáleně další škodlivé aplikace,“ doplnil Řeháček.

Prostřednictvím nich pak mohou uživatele odposlouchávat, odchytávat přihlašovací údaje a další citlivá data. Stejně tak ale mohou na dálku aktivovat kameru či mikrofon, aby zachytili zvuky a obrazy.

Detaily o nové zranitelnosti byly ve čtvrtek odpoledne zveřejněny na bezpečnostní konferenci Black Hat Asia. Případní počítačoví piráti tak mají v rukou prakticky vše, co potřebují, aby mohli trhlinu zneužít.

Doposud však nebyl zaznamenán žádný případ zneužití nově objevené zranitelnosti.

Obezřetnost je namístě
I když oprava chyby SideStepper zatím chybí, uživatelé mohou vcelku jednoduše minimalizovat riziko napadení sami. Stačí neotvírat SMS zprávy a e-maily od neznámých lidí, to samé platí o zprávách na sociálních sítích a v nejrůznějších chatovacích programech. Právě těmito kanály totiž počítačoví piráti útočí nejčastěji.

Na mobilní platformu iOS se v poslední době zaměřují kyberzločinci stále častěji. Tento měsíc například bezpečnostní experti varovali před trojským koněm AceDeceiverem, který dokáže v jablečných zařízeních udělat poměrně velkou neplechu. Otevře totiž pirátům zadní vrátka do systému, čímž jim zpřístupní nejen nastavení, ale také uživatelská data.



Jak jste se dostali do zabijákova iPhonu? Apple si posvítí na FBI u soudu

30.3.2016  Ochrany
Americký Federální úřad pro vyšetřování (FBI) se snažil několik posledních měsíců donutit u soudu společnost Apple, aby mu zpřístupnila data z iPhonu zabijáka ze San Bernardina. Jenže karta se nyní obrátila a spolupráci po FBI vyžaduje naopak americký počítačový gigant. Vedení firmy chce zjistit, jak se vyšetřovatelé do jablečného smartphonu dostali. A obrátit se kvůli tomu podnik hodlá údajně i na soud.
Chyba v Zemanově čínském plánu – Návštěvu čínského prezidenta a její význam pro ČR komentuje Thomas Kulidakis Čtěte zde >>
Chytrý telefon od společnosti Apple byl přitom nastaven tak, aby se automaticky smazal po zadání deseti nesprávných přístupových hesel. Okamžitě se tak začaly množit otazníky nad tím, jak se vyšetřovatelům podařilo do uzamčeného přístroje dostat.

A vrásky mají kvůli tomu především bezpečnostní experti společnosti Apple. Vše totiž nasvědčuje tomu, že se v operačním systému iOS ukrývá nějaká kritická bezpečnostní chyba, o které zatím nic nevědí ani vývojáři amerického počítačového gigantu. Ta by umožňovala nejen FBI, ale i počítačovým pirátům průnik do jablečných zařízení.

Pokud by to byla pravda, v ohrožení by byly desítky miliónů chytrých telefonů iPhone a počítačových tabletů iPad. Tedy nejen ti, kdo jsou podezřelí ze spáchání nějakých trestných činů, ale i obyčejní uživatelé. [celá zpráva]

Na řadu přijdou právníci
Podle serveru Los Angeles Times již advokáti společnosti Apple vytvářejí právní taktiku, jak vládu přimět, aby prozradila všechna specifika o tom, jak se FBI podařilo proniknout do zabijákova iPhonu. Získat všechny detaily chtějí klidně i s pomocí soudu.

Vedení Applu svůj postoj a zájem získat podrobnosti prostřednictvím soudu nicméně oficiálně nepotvrdilo. Je ale vcelku pravděpodobné, že americký počítačový gigant zatím nechce z taktických důvodů odkrýt karty připravovaného právního sporu.

Bezpečnostní konzultant společnosti AVG Justin Olsson upozornil, že v sázce je důvěra zákazníků v produkty Applu. „Tak či onak, Apple potřebuje zjistit podrobnosti. Bez detailů o případné zranitelnosti nebudou vývojáři schopni zajistit soukromí svých zařízení,“ uvedl pro server Los Angeles Times Olsson.

Spor se táhne už měsíce
Celý spor mezi FBI a Applem se rozhořel kvůli tomu, že se vyšetřovatelům z FBI nepodařilo dva měsíce dostat do uzamčeného iPhonu islámského radikála. Právě kvůli neúspěchu vyšetřovatelů soud společnosti Apple nařídil, aby tuto funkci vypnula. To však vedení amerického počítačového gigantu odmítlo s tím, že to technicky není možné.

Jedinou možností je vytvoření „zadních vrátek“ do operačního systému iOS, který využívají právě chytré telefony iPhone a počítačové tablety iPad. Šéf Applu Tim Cook to ale opakovaně odmítal kvůli obavám ze zneužití. Implementací takového nástroje do zmiňované mobilní platformy by totiž byla FBI schopna obejít zabezpečení prakticky jakéhokoliv iPhonu nebo iPadu v budoucnosti.

K datům se ale nakonec FBI stejně dostala, detaily ale tají.

Útok v San Bernardinu byl nejtragičtějším od teroristických útoků v zemi v září 2001. Zradikalizovaný muslim Syed Farook a jeho žena Tashfeen Maliková tam na počátku prosince zastřelili 14 lidí. Později byli zabiti při přestřelce s policií.


Data 1,5 milionu zákazníků ukradená Verizonu jsou na prodej

30.3.2016 Incidenty

Ve Verizon Enterprise Solutions při vší té péči o firemní zákazníky zřejmě trochu zapomněli dostatečně pečovat o vlastní sítě.
KrebsonSecurity upozorňuje, že se na uzavřeném fóru objevila nabídka na prodej databáze zákazníků Verizon Enterprise za 100 tisíc dolarů, případně po kusech, 10 tisíc dolarů za 100 tisíc záznamů.

Data jsou výsledkem úniku z informačních systémů B2B jednotky amerického telekomunikačního giganta Verizone, který řeší bezpečnost zákaznických systémů, prodává bezpečnostní řešení a který také každý rok vydává velmi zajímavou ročenku o únicích dat a narušeních systémů - viz Verizon’s annual Data Breach Investigations Report (DBIR).

Verizon Brianu Krebsovi potvrdil, že útočníci využili bezpečnostní chybu, která jim umožnila získat kontaktní informace zákazníků. To vše prostřednictvím portálu, který byl určen pro firemní zákazníky Verizonu. Podle společnosti se ale útočníci měli dostat pouze k základním informacím o zákaznících, nikoliv k podstatným datům, která by byla nějak výrazně nebezpečná.

Prodejce databáze ji nabízí dokonce i ve formátu pro databázový systém MongoDB, lze se tedy dost i domnívat, že ona bezpečnostní chyba je Verizonem tak trochu zlehčována. Vypadá to totiž na to, že se útočníkovi prostě podařilo pořídit přímo dump z databáze.

Jak konkrétně se účastníkům podařilo data získat, známo není. Verizon tvrdí, že už chybu napravil, ale detaily zatím neposkytl. Celé je to ještě pikantnější s ohledem na to, že to je například i Verizon, který v čerstvé studii ukazuje, jak se hackerům podařilo dostat do systémů pro úpravu vody a ovlivnit i to, jaké množství chemikálií je do vody uvolňováno (viz Hackers Modify Water Treatment Parameters by Accident) a v řadě dalších studií a analýz ukazuje velmi konkrétní informace o únicích a narušeních.



FBI může znát chybu v iPhonu, o které neví ani Apple

29.3.2016 Ochrany
Americký Federální úřad pro vyšetřování (FBI) se v noci na úterý pochlubil, že se mu podařilo obejít zabezpečení iPhonu zabijáka ze San Bernardina. To je pro Apple velmi špatná zpráva. Vše totiž nasvědčuje tomu, že vyšetřovatelé znají nějakou kritickou bezpečnostní chybu operačního systému iOS, o které patrně nemají ještě informace ani vývojáři amerického počítačového gigantu.
Vyšetřovatelé už minulý týden v úterý informovali, že jsou pravděpodobně schopni iPhone Syeda Farooka odkódovat. [celá zpráva]

Přesně po týdnu zástupci FBI oznámili, že se jim k datům skutečně podařilo dostat. Jak to udělali, však zatím stále tají a nic nenasvědčuje tomu, že by v dohledné době svoji metodu široké veřejnosti prozradili.

Takovéto chyby mohou poskytnout úplný přístup k zařízením.
bezpečnostní konzultant Ross Schulman
Právě to ale může představovat poměrně velký problém. Jak uvedl bezpečnostní konzultant Ross Schulman pro server CNN, FBI totiž mohl objevit chybu v operačním systému iOS, který využívají právě chytré telefony iPhone a počítačové tablety iPad.

Stejným způsobem by se tak vyšetřovatelé byli schopní dostat i do dalších jablečných zařízení. „Z minulosti víme, že takovéto chyby mohou poskytnout úplný přístup k zařízením, na které se mnoho z nás spoléhá každý den,“ prohlásil Schulman.

Chyba může ohrožovat i další uživatele
Podle něj by tak měl Apple ve vlastním zájmu chtít zjistit, jak se FBI do zabijákova iPhonu dostal. Jen tak totiž budou jeho lidé schopni vyřešit případnou chybu a ochránit tak všechny ostatní uživatele.

Vyšetřovatelům pravděpodobně s prolomením zabezpečení iPhonu pomohla společnost Cellebrite se sídlem v Izraeli. Firma britské stanici BBC potvrdila, že s americkými vyšetřovateli spolupracuje, ale více nesdělila.

Na svých internetových stránkách nicméně Cellebrite prohlašuje, že jeden z jejich nástrojů umí dekódovat a extrahovat data z iPhonu 5C. [celá zpráva]

Dva měsíce neúspěšného snažení
FBI se snažil do uzamčeného iPhonu islámského radikála dostat celé dva měsíce. Útočník měl ale svůj iPhone nastavený tak, aby se po zadání deseti nesprávných přístupových hesel automaticky vymazal, s čímž si bezpečnostní experti z FBI původně nedokázali poradit.

Soud proto Applu v únoru nařídil, aby tuto funkci vypnula, což však není technicky možné. Proto vyšetřovatelé chtěli po americkém softwarovém gigantu vytvořit v operačním systému iOS „zadní vrátka“, což však vedení Applu odmítalo.

Šéf Applu Tim Cook tehdy upozorňoval na to, že implementací takového nástroje do zmiňované mobilní platformy by byla FBI schopna obejít zabezpečení prakticky jakéhokoliv iPhonu nebo iPadu v budoucnosti. A nehraje roli, zda by šlo o přístroj teroristy, nebo běžného občana.


Na nový vyděračský virus jsou antiviry krátké

29.3.2016 Viry
Internetem se začal jako lavina šířit nový vyděračský virus Petya, který dokáže zašifrovat data na pevném disku. Bezpečnostním expertům dělá vrásky na čele především proto, že je výrazně rychlejší než prakticky všichni jeho předchůdci. To může značně ztížit jeho odhalení, upozornil server PC World.
Útoky vyděračských virů jsou v posledních týdnech stále častější a mají prakticky vždy stejný scénář. Nezvaný návštěvník zašifruje uložená data na pevném disku. Útočníci se snaží v majiteli napadeného stroje vzbudit dojem, že se ke svým souborům dostane po zaplacení pokuty. Ta byla údajně vyměřena za používání nelegálního softwaru apod.

Ani po zaplacení výkupného se uživatelé ke svým datům nedostali. Místo placení výkupného je totiž nutné virus z počítače odinstalovat a data rozšifrovat, což ale nemusí být vůbec jednoduché. A ve většině případů to dokonce nejde vůbec.

Důležitá je rychlost
V čem je tedy Petya tak výjimečná? Většina vyděračských virů potřebuje k zašifrování dat na pevném disku poměrně dost času, klidně i několik hodin. Během toho může jejich práci zachytit antivirový program a zablokovat je ještě dříve, než v počítači nadělají nějakou větší neplechu.

Právě proto funguje Petya trochu odlišným způsobem. Na disku nezašifruje všechna data, ale pouze tzv. MBR. Jde o hlavní spouštěcí záznam, díky kterému se v podstatě spouští celý operační systém. K zašifrovanému záznamu pak počítač nemá přístup a místo Windows spustí jen hlášku o nutnosti zaplatit výkupné.

Na zašifrování MBR nepotřebuje nový vyděračský virus několik hodin, stačí mu pouze pár vteřin. Antiviry tak prakticky nemají šanci škodlivý kód zachytit. Hned po prvním restartu je pak problém na světě.

Za odšifrování chtějí 10 000 Kč
Vyděrači navíc nejsou žádní troškaři, za odšifrování požadují jeden bitcoin, což představuje při aktuálním kurzu více než 10 000 korun. Znovu je ale nutné zdůraznit, že zmiňovanou částku by lidé v žádném případě platit neměli. Útočníci jen shrábnou peníze a zmizí.

Petya se šíří v současnosti především v USA a sousedním Německu prostřednictvím nevyžádaných e-mailů. Je ale více než pravděpodobné, že se v dohledné době objeví také v České republice.



Petya, ransomware šifrující zaváděcí záznam disku MBR

29.3.2016 Viry
Petya, ransomware šifrující zaváděcí záznam disku MBRDnes, Milan Šurkala, aktualitaProtože zašifrování celého disku je velmi nákladná operace, nový ransomware Petay na to jde mnohem jednoduše. Zašifruje zaváděcí záznam MBR na pevném disku a ten se tak stane nečitelným. Útočníci pak vyžadují výkupné.
V dnešní době začínají být útoky ransomware (vyděračského softwaru) čím dál častější. Jde v podstatě o to, že škodlivý kód získaný obvykle otevřením nebezpečné přílohy e-mailu zašifruje celý pevný disk a pak po oběti vyžaduje výkupné za opětovné zpřístupnění dat. Nový ransomware Petya jde na věc trochu jinak. Místo celého disku zašifruje pouze jeho MBR, která říká, kde je jaký soubor. Efekt na napadený počítač je ale v podstatě stejný. Nelze vědět, kde jsou jaká data a ta jakoby ani neexistovala.

Zvláštní vlastností tohoto softwaru je právě v tom, že šifruje jen MBR, což může provést v podstatě okamžitě (MBR není zrovna obrovská struktura). Ransomware Petya vynutí kritickou chybu operačního systému a přinutí jej restartovat. Protože se MBR zašifruje, operační systém nemůže nabootovat a objeví se hláška vyžadující výkupné. Útočníci požadují necelý bitcoin, což je v dnešní době zhruba 10 tisíc korun. Ostatní ransomware metody kvůli šifrování celého disku mohou být zpozorovány, neboť tento proces zabere dlouhou dobu, je výpočetně náročný a je možné násilně vypnout počítač dříve, než zašifruje celý disk. Petya se šíří přes e-mail ohledně pracovních nabídek vybízející ke stažení přílohy uložené na Dropboxu. Zatím se tak děje zejména v Německu.


FBI nakonec hackla iPhone útočníka, pomoc Applu už nepotřebuje

29.3.2016 Ochrany Zdroj: Lupa.cz

Podivuhodný soudní spor má podivuhodný konec. Tedy – aspoň v tomto kole. Řada otázek ale pořád zůstává nezodpovězených.
„Úřadům se podařilo úspěšně proniknout k datům uloženým ve Farookově iPhonu, a proto už nevyžadují spolupráci od firmy Apple Inc., nařízenou soudním příkazem z 16. února.“ Čerstvé prohlášení amerického ministerstva spravedlnosti (PDF) potvrzuje, že se FBI nakonec podařilo proniknout ochranami Applu i bez jeho pomoci.

Úřady tak požádaly soud o zrušení příkazu. Několik měsíců se táhnoucí soudní spor, ve kterém Apple odmítl FBI pomoci a vytvořit speciální verzi systému iOS, která by pomohla obejít ochranu iPhonu, tak končí.

Tip: Mnoho povyku pro PIN. O co vlastně jde v boji mezi FBI a Applem

Ministerstvo zatím nezveřejnilo žádné podrobnosti o tom, jakým konkrétním způsobem se nakonec k datům dostalo. Připustilo jen, že s metodou přišel někdo mimo FBI – „třetí strana“. Izraelský deník Yedioth Ahronoth minulý týden napsal, že by mohlo jít o tamní firmu Cellebrite. Úřady i firma ale informaci odmítly komentovat.

Není tak jasné, jestli se dá metoda použít jen na inkriminovaném iPhonu útočníka ze San Bernardina, nebo jestli se s její pomocí dá proniknout i do jiných modelů. Farook ovšem měl starší model 5c, který neobsahuje novější bezpečnostní prvky jako je speciální kryptografický čip Secure Enclava (ten přišel s procesorem A7, který je např. v modelu 5s). Na přístroji běží iOS 9.

Úspěch FBI může znamenat, že neznámá třetí strana zná nějakou chybu v zabezpečení iPhonů, o které Apple neví. A to není pro Apple ani jeho uživatele dobrá zpráva. Firma by proto teď mohla po vládě chtít, aby jí dotyčnou chybu prozradila – ovšem je otázka, jestli by byla úspěšná.

Tip: Apple chystá lepší ochranu iPhonů, aby se do nich úřady nedostaly

Podle agentury Bloomberg by se mohla předání informací dožadovat v rámci procesu tzv. „equities review“, podle kterého americké úřady rozhodují, zda výrobcům hardwaru a softwaru prozradí chyby, na které přijdou. Pravidla mají své výjimky, které úřadům umožňují zjištěné chyby zatajit, pokud splní určité podmínky.

Nahlásit případnou chybu a umožnit ji Applu opravit by přitom FBI mohlo zkomplikovat život. Farookův mobil není jediným, do kterého se vyšetřovatelé chtějí dostat. A v současné době vedou řadu dalších soudních sporů, ve kterých od Applu požadují pomoc s odemčením iPhonů.


FBI odblokovala teroristův iPhone i bez pomoci Applu

29.3.2016 Ochrany
Američtí vyšetřovatelé se dokázali dostat k obsahu telefonu iPhone používaným jedním z pachatelů prosincového útoku v kalifornském San Bernardinu i bez pomoci společnosti Apple, která tento telefon vyrábí. Ministerstvo spravedlnosti vzápětí odvolalo svou žalobu na společnost, kterou se domáhalo, aby Apple pomohl s odblokováním telefonu. Vyplývá to z dokumentů, které ministerstvo poslalo k soudu. Spor byl ostře sledovaný, protože mohl mít širší důsledky pro ochranu osobních údajů.
Ministerstvo požadovalo od Apple, aby Federálnímu úřadu pro vyšetřování (FBI) poskytl program, které umožní odblokovat telefon iPhone 5C, který vlastnil Syed Farook. Ten spolu s manželkou v San Bernardinu postříleli 14 lidí a dalších 22 zranili. Následně v přestřelce s policií zahynuli.

FBI zkoumá možnou komunikaci Farooka a jeho manželky Tashfeen Malikové s teroristickou organizací Islámský stát. Inkriminovaný telefon by prý mohl obsahovat důkazy.

Vláda "se úspěšně dostala k údajům ve Farookově iPhonu, a tak už není pomoc Apple potřebná", praví se v dokumentech zaslaných k soudu.

Společnost Apple se k novému vývoji v případu zatím nevyjádřila. Dříve varovala před vytvářením "zadních vrátek" k obsahu mobilů, zneužitelných zločinci a vládami.

Apple pomoc odmítal
Dříve ministerstvo požádalo o odročení soudního jednání, protože se úřady chystaly vyzkoušet novou metodu, od níž si slibovaly průnik k obsahu telefonu i bez pomoci výrobce. Ministerstvo si nicméně ponechalo prostor pro případnou soudní bitvu s výrobcem. Úřady v této při podporovali pozůstalí po obětech útoku v San Bernardinu.

Apple požadavky úřadů odmítal, protože by mohly vytvořit nebezpečný precedent, ospravedlňující v budoucnu další požadavky úřadů na přístup k osobním údajům dalších občanů z nejrůznějších důvodů. V tomto sporu se za Apple postavili bezpečnostní experti, ochránci práva na soukromí a další přední technologické firmy jako Google, Facebook či Microsoft.

Pomohli Izraelci?
Jak uvedl server BBC, firmou, která FBI s dekódováním pomohla, je pravděpodobně společnost Cellebrite se sídlem v Izraeli. Firma britské stanici potvrdila, že s americkými vyšetřovateli spolupracuje, ale více nesdělila.

Na svých internetových stránkách nicméně Cellebrite prohlašuje, že jeden z jejich nástrojů umí dekódovat a extrahovat data z iPhonu 5C.



Podnikoví špióni útočí: Mohou to být uklízečka nebo poslíček s poštou

28.3.2016 Špionáž
Je mnohem snadnější proniknout do společnosti jako zaměstnanec nižší úrovně, například jako správce domu či pracovník podatelny, kde jsou nároky mnohem menší – a špión přitom stejně dostává příslovečné klíče ke království.

Někteří informační špióni procházejí náborem zaměstnanců, aby se dostali do firmy a ukradli podniková tajemství pro konkurenci nebo cizí stát. Jiní se zase obrátí proti svému zaměstnavateli, když se rozzlobí a odcházejí nebo když je zlákají jiné pracovní nabídky. Jde takové insidery včas odhalit?

Podniky se snaží vnitřní zrádce odhalit – omezit jejich přístup k citlivým údajům ale nemusí stačit. Se správnou pracovní pozicí a přístupem mohou agenti fiktivně vystupující jako uklízeči, zaměstnanci podatelny nebo IT personál obejít ochrany dat pomocí svého rozsáhlého přístupu a cenný intelektuální majetek vynést pryč.

Co mohou manažeři bezpečnosti udělat technicky i jinak k ochraně bezpečnosti cenných dat před slídily?

Vstup

Podnikoví špióni přicházející z jiných organizací zpravidla dobře splňují podmínky pro příslušné pracovní místo, ale jejich úmysly zůstávají skryté. Úplně zabránit riziku, že by někdo pracoval pro konkurenci, může být obtížné až nemožné, možná dokonce i nežádoucí, protože existuje zájem zaměstnávat personál se zkušenostmi od konkurence.

„Zaměstnanci konkurence mají schopnosti, tržní inteligenci a zkušenosti, které podnik potřebuje, takže jsou to vlastně kandidáti první volby,“ tvrdí Sol Cates, šéf zabezpečení ve společnosti Vormetric.

Konkurenti také podplácejí dříve loajální zaměstnance, aby jejich prostřednictvím získávali vaše data a přetahují je na svou stranu, aby tak získali tržní výhody.

Mnoho podniků se snaží dělat jednoduché kontroly pracovní minulosti a referencí, ale nevěnují se dostatečně odhalování případných postranních úmyslů.

„Dokonce i někteří smluvní partneři státních organizací, kteří běžně pracují s utajovanými informacemi, se spoléhají výhradně na kontrolu minulosti prostřednictvím bezpečnostní prověrky a nedělají další kontroly,“ tvrdí Philip Becnel, ředitel společnosti Dinolt, Becnel, & Wells Investigative Group.

Tato úroveň šetření ale nestačí, protože podnikoví špióni, kteří jsou loajální ke své zemi či původnímu zaměstnavateli, ne k tomu současnému, budou sdílet utajovaná data s dalšími subjekty.

Podniky mohou udělat právní kontroly minulosti uchazeče, aby ověřily, zda předchozí zaměstnavatel například nežaloval kandidáta kvůli krádeži podnikových dat a duševního vlastnictví.

„To však pomůže jen v případě, že se uchazeč už dříve dopustil podnikové špionáže a bývalý zaměstnavatel ho při ní chytil,“ vysvětluje Cates.

Jakmile podnik přijme kandidáta, měl by použít technologie řízení přístupu na fyzické i IT úrovni, skartování dokumentů a zavést dohled, který by odhalil podnikové špióny a zabezpečil se vůči nim. V této oblasti stále existuje řada nedostatků.

Pronikání k podnikovým pokladům

Agenti podnikové špionáže projdou skulinami mezi typickými součástmi většiny kontrol minulosti. Podnik zkontroluje historii zaměstnání, výpis z rejstříku trestů a záznamy o dopravních přestupcích.

To všechno se však týká toho, co kandidát už kdysi udělal, ale ne toho, co chce udělat teď. „Není to jako test na detektoru lži nebo jiná metrika, kterou by společnost mohla použít při kontrole osob kandidujících na citlivá vládní pracovní místa,“ popisuje Cates.

Pachatelé podnikové špionáže se mohou dostat blízko k datům i přes nejméně sledovaná, ale pro špionáž stále výhodná pracovní místa. „Je mnohem snadnější proniknout do společnosti jako zaměstnanec nižší úrovně, například jako správce domu či pracovník podatelny, kde jsou nároky mnohem menší a špión stále dostává příslovečné klíče ke království,“ vysvětluje Becnel.

Naverbovat někoho již pracujícího v cílové společnosti je ještě snadnější, než protlačit špióna přes proces přijímání nových pracovníků. „Pro podnik je také velmi těžké chytit někoho, kdo už je uvnitř a má už určitou důvěru,“ tvrdí Becnel.

„Je časté, že konkurenti kontaktují nespokojené zaměstnance, nabídnou jim práci za lepší plat a požádají je, aby s sebou při odchodu vzali všechna citlivá data,“ tvrdí Becnel. Ti mohou přistupovat k elektronickým datům nebo jen nahrávat pomocí chytrého telefonu interní schůzky a telefonní hovory.

Při náboru existujících zaměstnanců je často největší výhrou IT profesionál, jenž má plný přístup ke všem datům a kterého společnost nesleduje. „Některé z největších špionážních akcí vykonal personál IT,“ tvrdí Cates.

Nepustit dovnitř…

Hluboké a důkladné kontroly pracovní minulosti jsou dobrým začátkem v zabezpečení firem vůči nežádoucímu přijetí agenta, který pracuje pro konkurenci nebo cizí stát, a to i v případě nižších pracovních pozic.



Nebezpečný trojský kůň číhá na lechtivých webech. Chce ukrást úspory

27.3.2016 Viry
Chytré telefony a počítačové tablety se těší rok od roku větší popularitě, řada uživatelů je používá nejen k přístupu na internet, ale také ke sledování filmů a dalších videí. A právě toho se snaží zneužít počítačoví piráti, kteří za aktualizaci populárního přehrávače Flash Player maskují trojského koně.
Trojský kůň Marcher dokáže majitele chytrých telefonů a počítačových tabletů připravit o peníze. (Ilustrační foto)
Nezvaný návštěvník se jmenuje Marcher a zpravidla se ukrývá na webech s erotickým obsahem. Útok přitom probíhá prakticky vždy stejně. Ve chvíli, kdy se uživatel pokusí spustit video, je vyzván k aktualizaci Flash Playeru, místo ní si přitom do svého přístroje stáhne trojského koně.

Právě na pornostránkách se ukrývá Marcher nejčastěji. Stejným způsobem ale může být šířen také prostřednictvím webů pro sledování virálních videí a pro šíření nelegálních kopií nejrůznějších filmů a seriálů.

Odkazy na falešné weby jsou přitom často šířeny prostřednictvím nevyžádaných e-mailů, stejně tak ale mohou přijít na smartphone pomocí SMS zprávy.

Cílí na Android
Bezpečnostní experti ze společnosti Zscaler doposud zachytili tohoto trojského koně na zařízeních s operačním systémem Android. Není ale vyloučeno, že se bude vyskytovat také na počítačových tabletech a chytrých telefonech postavených na jiných platformách.

Uživatelé si přitom ani nevšimnou, že bylo jejich zařízení infikované, protože trojský kůň vlastně na první pohled nic nedělá a jen vyčkává na svou příležitost. Pokud se uživatel bude prostřednictvím oficiální aplikace Google Play snažit stáhnout nějakou aplikaci, vyskočí mu falešné okno se žádostí o vložení platební karty.

Problém je v tom, že Macher se takto dokáže navázat i na skutečně legitimní aplikace, které žádný škodlivý kód neobsahují. Stačí mu k tomu, aby vytvořil podvodnou stránku s žádostí o vložení údajů platební karty. Když to uživatelé udělají, dají tím podvodníkům přímou vstupenku ke svému bankovnímu účtu.

Obejde i potvrzovací SMS zprávy
Není bez zajímavosti, že tento zákeřný trojský kůň dokáže uživatele sám vyzvat k tomu, aby nějakou aplikaci nainstaloval. Odkaz na stažení může přijít například formou MMS zprávy, tu přitom vytvoří sám Macher. Doporučení na instalaci může být směřováno opět na legitimní program, nezvaný návštěvník se opět snaží pouze vylákat bezpečnostní údaje ke kartě.

Pokud se Macher uhnízdí v chytrém telefonu, dokáže odchytávat i potvrzovací SMS zprávy, které mohou být požadovány při některých on-line transakcích.

První verze trojského koně Macher byla odhalena už v roce 2013. Od té doby jej ale počítačoví piráti neustále vylepšovali až do aktuální podoby, která terorizuje uživatele chytrých telefonů a počítačových tabletů s operačním systémem Android.


Malware USB Thief, nezanechá stopy a nepotřebuje internet

27.3.2016 Viry
Malware USB Thief, nezanechá stopy a nepotřebuje internetVčera, Milan Šurkala, aktualitaSpolečnost ESET objevila nový malware, který dokáže krást data a přitom se nešíří internetem. Je totiž instalován na USB flash disku a pro počítač je v podstatě nezjistitelný. Využívá portable verzí různých aplikací.
Na světě se objevil nový nepříjemný malware pod názvem USB Thief (přesněji Win32/PSW.Stealer.NAI a Win32/TrojanDropper.Agent.RFT), který byl identifikován společností ESET. Ten totiž dokáže napadnout i počítače, které nejsou připojené k internetu, neboť ke své práci potřebuje pouze USB flash disk. Sám o sobě se nešíří, na USB disk se záměrně "instaluje" a jeho úkolem je stáhnout data z konkrétního cíleného počítače. Na rozdíl od běžných malwarů nevyužívá technik automatického spuštění, ale naroubuje se jako dynamická knihovna do portable verzí různých aplikací jako je Notepad++, Firefox nebo TrueCrypt. Pokud se z této USB flashky spustí onen program, spustí se také USB Thief.

Nebezpečnost spočívá v pokročilých technikách maskování. Některé soubory jsou zašifrovány pomocí AES-128 a klíč vzniká z kombinace některých vlastností USB flashky (jejího ID a dalších). Proto je tento klíč unikátní pro každý USB disk. Další soubory mají jména podle SHA512 hashe z prvních několika bytů daného souboru, opět tedy unikátní pro každou kopii malwaru.

Malware ví, pod kterým procesem má běžet a pokud toto neodpovídá (např. běží v debuggeru), ukončí se. Proto je těžké jej detekovat antivirovými programy a známé antiviry také detekuje. Pokud tedy vše projde, na základě konfiguračních souborů stáhne požadovaná data a uloží je na USB disk. Na počítači samotném ale malware nezanechává žádné stopy, neboť běží z flashky. Má-li tedy někdo nekalé cíle a někomu takto úmyslně podstrčí infikovaný USB flash disk, může se dostat k citlivým datům (pochopitelně útočník musí dostat disk zase zpátky). Je tedy důležité dávat si pozor, jaké USB disky člověk používá a jaký je jejich zdroj.



Reset a poslání hesla v čitelné podobě e-mailem? Nebezpečná praktika

24.3.2016 Zdroj: Lupa.cz Ochrany

Používáte-li nějaký placený servis, kde osoba s přístupem ke službě může ovlivnit kolik platíte, chcete, aby služba byla bezpečná. To je jasné.
Pokud používáte služby mediálního monitoringu od Newton Media, tak jste se asi setkali s podivným zvykem. Zhruba tak jednou za měsíc vám přijde e-mailem nové heslo. Se zdůvodněním, že jde o bezpečnostní opatření, aby někdo nemohl heslo zneužít. Proto je heslo automaticky změněno a posláno zákazníkovi.

Je to velmi zvláštní a nebezpečná praktika, která má dva zásadní problémy. Jeden menší: zbytečné měnění hesla a tím neustálá nutnost někde nové heslo evidovat, aniž by bylo umožněno používat vlastní bezpečné heslo dle vlastního uvážení. Vynucované změny hesla obvykle vedou k tomu, že lidé používají hesla nebezpečná (protože si nové a nové složité heslo nedokážou zapamatovat) nebo si hesla samotná prostě věší na lístečky na monitor.

Ten větší a zásadnější problém je ale v posílání nového hesla v čitelné podobě e-mailem. E-mail není bezpečná forma komunikace a někdo ho může přečíst nejenom cestou, ale také se může dostat do cizí poštovní schránky, k cizímu mobilu, počítači či tabletu.

Velmi zvláštní přístup Newton Media jsme chtěli vysvětlit, včetně dotazu na to, jakým způsobem ukládají hesla zákazníků. Dotaz poslaný 7. března se dočkal odpovědi až 21. března po několika upomínkách. Kompletní odpověď:

ad 1) V nových aplikacích již není heslo ukládáno v systémech NEWTON Media vůbec. Úvodní náhodně generované heslo je zasláno klientovi, který si jej musí při prvním přihlášení změnit a v NEWTON Media je uložen pouze hash (otisk) tohoto hesla sloužící k ověření hesla zadaného uživatelem při následujících přihlášeních. Nové aplikace samozřejmě již komunikují pouze přes šifrovaný protokol HTTPS.

ad 2) Ve starších aplikacích NEWTON Media (např. MediaSearch) je volitelně ukládán buď kompletní text hesla, nebo také pouze hash. Volba závisí na přání klienta. V nejstarší aplikaci IMM je ukládán kompletní text hesla. V případě ukládání kompletního textu hesla je heslo šifrováno/dešifrováno aplikací, takže je uloženo v databázi v nečitelné podobě a tudíž ani administrátor databáze nemá možnost heslo číst.

Plyne z ní to, že pokud některý z produktů (aplikací) od Newton Media používáte, je možné, že vaše heslo je uloženo v plně čitelné podobě a má ho k dispozici kdokoliv, včetně případného útočníka, který získá přístup k databázím.

Po doplňujících otázkách také víme, že použitý hash je SHA algoritmus v .NET frameworku, doplněný o salt, také pomocí náhodného generátoru z .NET. Výše zmíněné resetování hesla se týká pouze starých aplikací a prý tato funkčnost byla „zavedena na četné žádosti zákazníků“.

Což přináší zásadní otázku: je skutečně dobré řídit se nebezpečnými nápady zákazníků? V nových aplikacích ale tato potenciálně nebezpečná funkčnost již není.


Takhle by mohli v FBI vydolovat data ze zašifrovaného iPhonu

24.3.2016 Zdroj: Zive.cz Mobilní

V kauze FBI vs. Apple došlo k odložení verdiktu, jelikož v FBI prý našli způsob jak odblokovat zašifrovaný iPhone útočníka Syeda Farooka. Jediná známá informace je, že s odemykáním telefonu by měla být nápomocná třetí strana. Žádné bližší informace neznáme, a to přináší prostor pro další spekulace.

Recode přináší vyjádření Jonathana Zdziarskeho (v hackerské komunitě známý spíše jako NerveGas). Hacker naznačuje, že jedním z možných způsobů, jak zabezpečení telefonu prolomit, je metoda „brute force“ – jednoduše vyzkoušet co nejvíce možných kombinací a najít správný kód.

16320-13026-iphone5c-guts-l.jpg
FBI by při hackování iPhonu 5C prý mohla použít metodu NAND mirroring

Má to ale jeden háček, telefon je chráněn proti opakovanému zadání chybného kódu a při několikátém pokusu se smažou veškerá data. Způsob jakým by se toto dalo obejít je dle Zdziarského NAND mirroring, tedy zkopírovat obsah flash paměti na externí médium. To vyžaduje vyjmutí paměťového čipu z telefonu a jeho připojení na čtečku.

Čip by poté byl vrácen zpět a pokud by se nepodařilo trefit číselnou kombinaci pro odemknutí telefonu, paměť by byla přehrána původní zálohou a pokus by se mohl opakovat. Jedinou překážkou je zde bezpečné vyjmutí čipu z telefonu. Při pokusu o vyjmutí by mohlo dojít k jejich poškození.



Tor zlepšuje zabezpečení, dokáže odhalit špehovací kód

23.3.2016 Zabezpečení
Společnost již tři roky vylepšuje své schopnosti při odhalování podvodného softwaru.

Projekt Tor zdokonalil svůj software na takovou úroveň, že dokáže rychle detekovat, zda se s konkrétní sítí nějak manipulovalo pro sledovací účely, napsal v pondělí jeden z hlavních developerů projektu.

Panují obavy, že by Tor mohl být buď rozvrácen, či omezen soudními příkazy, což by mohlo přimět projekt předat citlivé informace vládním společnostem; tedy podobný případ, jako je současný spor Apple vs. soud Spojených států.

Vývojáři Toru tedy nyní vytváří systém takovým způsobem, aby vícero lidí mohlo zkontrolovat, zda kód nebyl pozměněn a který „eliminuje jednotlivá selhání,“ napsal také v pondělí Mike Perry, hlavní vývojář prohlížeče Tor Browser.

Během několika posledních let se Tor soustředil na to umožnit uživatelům přístup k jejich zdrojovému kódu, který si následně mohou pozměnit a vytvořit tak vlastní buildy Toru, jež se dají následně ověřit veřejnými šifrovacími klíči organizace a jinými kopiemi aplikace.

„I kdyby vláda nebo zločinci získali naše šifrovací klíče, naše sítě a její uživatelé by zvládli rychle odhalit tuto skutečnost a nahlásit ji jako bezpečnostní hrozbu,“ pokračuje Perry. „Z technického pohledu, naše revize a proces vývoje zdrojového kódu způsobují, že pravděpodobnost odhalení takového škodlivého kódu by byla vysoká, a náprava rychlá.“

Minimálně dva šifrovací klíče by byly potřeba, aby upravená verze Tor Browseru alespoň zpočátku překonala bezpečnostní opatření: SSL/TSL klíč, který zabezpečuje spojení mezi uživatelem a Torem, a klíč užívaný jako podpis softwarových aktualizací.

„Právě teď jsou potřeba dva klíče, a tyto klíče ani nemají k dispozici ti samí lidé,“ píše Perry v Q&A na konci svého příspěvku. „Také jsou oba zabezpečeny různým způsobem.“

I kdyby útočník klíče získal, teoreticky by uživatelé byli schopni prozkoumat hash sofwaru a tak přijít na to, zda nebyl škodlivě upraven.

Apple zatím bojuje s příkazem federálního soudu, aby vytvořil speciální verzi iOS 9, která by odstranila bezpečnostní opatření na iPhonu 5c, používaný Syedem Rizwanem Farookem, strůjcem masakru v San Bernardinu.

Naplnění rozsudku se obává mnoho technologických společností, neboť by vládě poskytl snadný způsob, jak podkopat šifrovací systém jejich produktů.

Americký úřad spravedlnosti v pondělí uvedl, že pátrá po jiných možnostech, jak se dostat to iPhonu Farooka. V tom případě by pomoc Applu stát nepotřeboval.

Perry dále napsal, že společnost Tor Project „stojí za Applem a jeho rozhodnutím bránit šifrování a odporovat tlaku vlády. Nikdy nevytvoříme zadní vrátka pro náš software.“

Tor, zkratka pro The Onion Router („cibulový router“) je síť, která poskytuje anonymní přístup k internetu pomocí upraveného prohlížeče Firefox. Projekt započala Laboratoř pro námořní výzkum ve Spojených státech, ale teď ji řídí nezisková organizace Tor Project.

Prohlížení webu je šifrováno a zajišťováno skrze různé proxy servery, což výrazně stěžuje možnost zjistit skutečnou IP adresu počítače. Tor je životně důležitá aplikace pro aktivisty a disidenty, neboť poskytuje silnou vrstvu soukromí a anonymity.

Některé z funkcí Toru však využili též kriminální živly, především kyberzločinci. To vyvolalo zájem u bezpečnostních agentur po celém světě. Tisíce webů běží skrytě na systému Toru a mají speciální „.onion“ URL; dá se tak na ně připojit pouze skrze upravený prohlížeč.

The Silk Road, „hedvábná stezka,“ byl undegroundový, částečně ilegální trh, zavřený FBI v říjnu 2013. Šlo o jednu z nejznámějších služeb, využívajících pro svou činnost právě Tor.



Internetové bankovnictví bylo uzamčeno, zkouší podvodníci nový trik

23.3.2016 Phishing
Nový trik zkouší podvodníci, kteří se vydávají za zaměstnance České spořitelny. Uživatelům tvrdí, že bylo jejich internetové bankovnictví uzamčeno. Snaží se je tím přimět ke kliknutí na falešný odkaz, aby z nich mohli vylákat přihlašovací údaje. Před novými phishingovými zprávami varovali zástupci České spořitelny.
Ukázka podvodného e-mailu

FOTO: Česká spořitelna
Právě na klienty spořitelny nový podvod cílí. „Dosáhli jste maximálního počtu neúspěšných pokusů o přihlášení. Pro vaši ochranu byl přístup k on-line službě uzamčen,“ tvrdí podvodníci v nevyžádané zprávě.

Na konci textu je pak odkaz, prostřednictvím kterého je údajně možné přístup obnovit a pokračovat v procesu ověření. Tak z důvěřivců snadno vytáhnou i potvrzovací SMS zprávu, díky které pak uskuteční libovolnou platbu.

Pozornější podvod odhalí
I když grafika podvodného mailu skutečně připomíná službu Servis 24, tedy internetové bankovnictví České spořitelny, pozornější uživatelé mohou snadno odhalit, že jde o podvod. Zpráva totiž obsahuje řadu chyb, některým slovům například chybí zcela diakritika.

„Buďte k e-mailům z neznámých zdrojů velmi obezřetní. Pokud máte podezření, že jste podvodný e-mail obdrželi, v žádném případě nereagujte na jeho obsah, neklikejte na odkaz, který může být jeho součástí, a zprávu nám přepošlete na e-mailovou adresu phishing@csas.cz. Jestliže jste již na odkaz klikli a vyplnili požadované údaje, ihned kontaktujte klientskou linku České spořitelny na bezplatném telefonním čísle 800 207 207,“ poradili zástupci banky.

Stejně by lidé měli postupovat i v případě, že jim nevyžádaná zpráva přijde s hlavičkou jiné bankovní instituce. Měli by se tedy vždy obrátit na svou banku.



Metaphor – nová hrozba pro uživatele Androidů

21.3.2016 Viry
Další problém s multimediální knihovnou Androidu ohrožuje možná desítky milionů uživatelů.

Stagefright opět představuje riziko. Miliony zařízení s Androidem jsou opět v ohrožení poté, co byl objeven nový způsob jak zneužít díru v knihovně multimédií, kterou už Google v minulosti záplatoval.

Izraelská bezpečnostní společnost NorthBit slabinu pojmenovala Metaphor a zranitelná jsou podle ní všechna zařízení s Androidem 2.2, přes 4.0 až po 5.0 a 5.1. Nejvíc prý smartphony Nexus 5 se stock ROM a s určitými modifikacemi také HTC One, LG G3 a Samsung S5.

Jde přitom o podobnou chybu, jakou představovala ta s označením CVE-2015-3864, která byla poprvé objevena zkraje loňského roku bezpečnostní společností Zimperium. Google ji už dvakrát napravoval, přičemž podruhé tak s ohledem na možné ohrožení učinil relativně v tichosti.

Podle Zuka Avrahama, zakladatele Zimperia, tak aktuální report kolegů z NorthBit představuje značné riziko, jelikož jej mohou hackeři snáz zneužít. Zvlášť poté, co NorthBit postup úspěšného prolomení bezpečnostní chyby zveřejnil na videu.

Nic netušícímu uživateli stačí kliknout na škodlivý link a chvíli na dané webové stránce pobýt – společnost uvádí pár vteřin až dvě minuty – než škodlivý kód vykoná své dílo. Na zařízeních s Androidem 5.0 a 5.1 přitom zvládne prolomit i ASLR, tedy opatření, které má podobným útokům bránit.

Podle odhadů NorthBitu Android 5.0 a 5.1 v současnosti běží na zhruba 235 milionech zařízení, Android verze 2.x bez ASLR pak na 40 milionech zařízení. „Těžko ale odhadnout, kolik jich je vlastně v ohrožení,“ píše ve své zprávě.

Google loni v srpnu pod vlivem hrozby Stagefrightu přislíbil pravidelnější vydávání patchů a užší spolupráci s výrobci mobilních zařízení a i když nepřicházejí tak pravidelně, jak by někteří uživatelé očekávali, dá se předpokládat, že na aktuální problém zareaguje pohotově.

„Pro komunitu Androidářů představuje záplatování podobných chyb obzvlášť velkou výzvu. Na vývojáře i výrobce je vyvíjen velký tlak, aby takové chyby rychle napravovali,“ říká Chris Eng, viceprezident společnosti Veracode.


Nový trojský kůň terorizuje uživatele iPhonů a iPadů

21.3.2016 Viry
Počítačoví piráti se v poslední době zaměřují na uživatele Applu stále častěji. V uplynulých týdnech trápil uživatele operačního systému vyděračský virus KeRanger, nově se trojský kůň AceDeceiver zaměřuje na chytré telefony a počítačové tablety s logem nakousnutého jablka. Upozornil na to server Hot for Security.
Nový škodlivý kód objevili výzkumníci ze společnosti Palo Alto Networks. Podle nich jde mimochodem o vůbec prvního trojského koně pro platformu iOS, tedy pro mobilní operační systém společnosti Apple.

Bezpečnostní experti upozorňují na to, že nezvaný návštěvník se dokáže šířit i na zařízeních, na kterých nebyl proveden tzv. jailbreak. Jde v podstatě o odemčení chytrého telefonu nebo počítačového tabletu, aby do něj bylo možné instalovat aplikaci i z neoficiálních zdrojů.

Právě tak se totiž škodlivé kódy na iPhonech a iPadech šířily nejčastěji. Trojský kůň AceDeceiver však jailbreak nepotřebuje, zopakujme, že se dokáže šířit i na neodemčených přístrojích.

Zadní vrátka do systému
V nich pak dokáže udělat poměrně velkou neplechu. Otevře totiž kyberzločincům zadní vrátka do systému, čímž jim zpřístupní nejen nastavení, ale také uživatelská data.

Jak se tedy záškodník do mobilu nebo tabletu dostane? Počítačoví piráti spoléhají na to, že si uživatelé budou chtít stahovat aplikace nejen prostřednictvím svého mobilního telefonu, ale také prostřednictvím počítače s Windows, ke kterému se iPhone či iPad jednoduše připojí prostřednictvím aplikace iTunes.

AceDeceiver se podle výzkumníků z Palo Alto Networks šíří už od poloviny loňského roku, objeven byl však až nyní. Aktuálně mají výzkumníci k dispozici tři programy, které tohoto záškodníka obsahují a nabízely se prostřednictvím oficiálního obchodu s App Store.

Bezpečnostní experti zástupce společnosti Apple na výskyt nebezpečných aplikací upozornili ještě před zveřejněním celé kauzy. V současnosti tak již není nakažené programy možné stáhnout.

Nabízí se ale otázka, zda se výzkumníkům podařilo odhalit všechny nakažené aplikace. Nebo zda naopak ještě nějaká číhá na uživatele v obchodu App Store.

Vyděrači cílí na Mac OS X
Zkraje března se počítačoví piráti zaměřili také na majitele počítačů s operačním systémem Mac OS X. Virem KeRanger mohli uživatelé své stroje nakazit, pokud do nich nainstalovali aplikaci pro stahování torrentů Transmission. Právě v ní se nezvaný návštěvník ukrýval.

První tři dny si oběti vyděračského viru patrně ani nevšimly, že je něco v nepořádku. Zůstal totiž schovaný na pozadí a vyčkával na svou příležitost. Teprve po zmiňovaných 72 hodinách se aktivoval a začal v operačním systému Mac OS X pěknou neplechu.

Stejně jako na platformě Windows zašifruje uložená data na pevném disku. Útočníci pak za jejich zpřístupnění požadují výkupné ve výši 10 000 korun.



Ransomware TeslaCrypt 3.0.1 posouvá vydírání dále, už nepůjde prolomit

20.3.2016 Viry

Ransomware TeslaCrypt 3.0.1 posouvá vydírání dále, už nepůjde prolomitDnes, Milan Šurkala, aktualitaVyděračský malware je na vzestupu, stává se mnohem častější hrozbou než v minulosti. Nová verze TeslaCrypt 3.0.1 opravuje chyby předchozí varianty a nyní už bude bez zaplacení výkupného nemožné se dostat k původním datům.
V posledních měsících a letech zaznamenáváme výrazný nárůst ransomware, což je vyděračský software, který zašifruje veškerá data na disku oběti a požaduje výkupné za jejich odemčení. TeslaCrypt je jeden z nejzákeřnějších a jeho nová verze 3.0.1 opravila chyby těch předchozích. Dle odborníků v oblasti bezpečnosti je šifrování tak silné, že nelze prolomit žádnou metodou (brute force je díky časové náročnosti nemyslitelný).

Minulé verze softwaru uchovaly klíč k odemčení na počítači oběti a vzniklo několik aplikací, které dokázaly zašifrovaná data odemknout (TeslaCrack, TeslaDecrypt, TeslaDecoder). Nová verze vytvoří šifrovací klíč, který je jedinečný pro každý počítač, zašifruje jím data, ale poté jej odešle na server útočníka a na postiženém počítači jej smaže. Pak nezbývá než zaplatit, přičemž není zaručeno, že útočníci vaše data skutečně rozšifrují. Situace je ještě o to horší, že ransomware často proklouzne antivirovým programům. Musíte si tedy dávat pozor na přílohy v e-mailech a ideální je také si nechávat zálohy důležitých dat.



FBI by mohla špehovat lidi pomocí kamery v mobilu, varuje Apple

19.3.2016 Hrozby
O sporu mezi společností Apple a vyšetřovateli z FBI, který se týká odblokování iPhonu zabijáka ze San Bernardina, bude už příští týden rozhodovat soud v USA. Viceprezident počítačového gigantu pro software a služby Eddy Cue nyní upozornil, že konečný verdikt ve prospěch FBI by mohl vytvořit velmi nebezpečný precedens, který by mohl přinést například špehování lidí na dálku pomocí kamery v mobilu.
„Když nás donutí udělat nový systém se ‚zadními vrátky‘, jak to bude pokračovat dál?,“ prohlásil Cue podle serveru Apple Insider.

Bojí se především toho, že se budou nároky stupňovat. „Pro příklad, jednou po nás FBI bude chtít, abychom zpřístupnili fotoaparát v telefonu či mikrofon. To jsou věci, které teď dělat prostě nemůžeme,“ vysvětlil viceprezident Applu, co by mohlo přinést rozhodnutí soudu.

Celý spor se rozhořel kvůli tomu, že se vyšetřovatelům z FBI nepodařilo dostat do uzamčeného iPhonu islámského radikála. Ten měl svůj iPhone nastavený tak, aby se po zadání deseti nesprávných přístupových hesel automaticky vymazal.

Nejde jen o zabijákův iPhone
Právě kvůli neúspěchu vyšetřovatelů soud společnosti Apple nařídil, aby tuto funkci vypnula. Vedení amerického počítačového gigantu to však odmítlo s tím, že to technicky není možné. Jedinou cestou, jak iPhone zpřístupnit, je údajně vytvoření „zadních vrátek“ do operačního systému iOS. Ten využívají právě chytré telefony iPhone a počítačové tablety iPad.

To ale šéf Applu Tim Cook odmítá, protože se bojí případného zneužití. Implementací takového nástroje do zmiňované mobilní platformy by totiž byla FBI schopna obejít zabezpečení prakticky jakéhokoliv iPhonu nebo iPadu v budoucnosti.

Na začátku března se totiž ukázalo, že FBI nejde pouze o zabijákův iPhone. Jen od loňského října chtěla odemknout celkem devět zařízení. [celá zpráva]

FBI chce zdrojový kód systému
FBI se nyní snaží prostřednictvím soudu vedení Applu donutit, aby „začalo spolupracovat“. V opačném případě chtějí dosáhnout vyšetřovatelé toho, aby jim musel americký počítačový gigant vydat kompletní zdrojový kód systému. S jeho pomocí by se totiž patrně také do zabijákova iPhonu dostali.

Cook se kvůli celému sporu dokonce již obrátil na prezidenta USA Baracka Obamu. S jeho pomocí by se chtěl snažit prosadit vytvoření speciálního výboru, který by se problematikou šifrování mobilů zabýval.

Na jeho žádost však úřady zatím neodpověděly. Není tedy jasné, zda Cooka Obama přijme.



Microsoft dá sbohem šifře RC4, která chránila HTTPS a Wi-Fi
18.3.2016
Zabezpečení

Microsoft oznámil , že v dohledné době výchozím odstraní podporu pro RC4 ve svých internetových prohlížečích Edge a Internet Explorer (11). Jde o algoritmus, který se využívá například při šifrovaném přenosu u webových stránek či při zabezpečení bezdrátových sítí. Historie šifry RC4 sahá ještě do roku 1987.

RC4

Šifra široce používaná u běžně používaných protokolů SSL/TLS pro HTTPS nebo WEP a WPA u Wi-Fi sítí. Byla oblíbená pro svou rychlost, jednoduchost a snadnou implementaci. Aktuálně už je ale překonána modernějšími alternativami.
Změna se odehraje v rámci kumulativních bezpečnostních aktualizací, které budou vydány příští měsíc, konkrétně 12. dubna (čili společně s dalšími bezpečnostními záplatami pro jiné produkty).

Microsoft tím plní závazek, o kterém informoval ještě loni. Zároveň následuje konkurenční produkty jako Google Chrome, Mozilla Firefox nebo Opera. Tyto prohlížeče již podporu RC4 zakázaly v předchozích aktualizacích.

Jelikož se většina moderních webových služeb i prohlížečů od RC4 už odklonila, v principu se běžní uživatelé nemusí při surfování na zabezpečených webech obávat nějakého omezení.


FBI varuje – chytrá auta se mohou lehce stát cílem hackerů

18.3.2016 Hacking

Odpojené brzdy, vypnutá světla nebo zaseklý plyn. Noční můry řidičů už nemusí mít na svědomí jen únava materiálu, ale i hackeři.
Hacknutý firemní systém je sice nepříjemnost, ale nemusí jít v každém případě o život. V případě hacknutého auta je to horší. Americké úřady vydaly varování před rostoucím nebezpečím útoků na kamiony nebo osobní auta prostřednictvím internetu.

„Moderní auta umožňují připojit různá zařízení, která přináší třeba ekonomičtější provoz nebo větší pohodlí za jízdy. Ale za cenu toho, že auto připojené k internet představuje větší riziko,“ tvrdí zpráva.

Podle FBI by se měli majitelé připojených aut ke svým vozidlům chovat jako k počítačům – tedy aktualizovat software a nevynechávat případné svolávání automobilkou k fyzickému záplatování objevených bezpečnostních děr. Samozřejmě se nedoporučují ani neautorizované úpravy systému nebo používání neprověřených gadgetů.

Většina tipů vyplývá z loňských zkušeností, kdy hackeři Charlie Miller a Chris Valasek hackli v červenci systém Chrysleru a pro automobilku to znamenalo svolávání 1,4 milionu aut. Jen o měsíc později vědci z University of California předvedli, jak může být jednoduše hacknuta Corvetta. A to prostřednictvím donglu, který svým klientům do aut poskytuje pojišťovna.

„V textu není moc nových informací. Navíc je to s dost velkým zpožděním. Každopádně i tak se to bude hodit. Lidé berou FBI vážně,“ tvrdí časopisu Wired hacker Chris Valasek.

Podle hackera se teď mohou úřady těšit na záplavu oznámení o hacknutí auta. Podobně se to totiž stalo loni jim. „Jsme rádi, že to po nás FBI převezme,“ dodává.

Připojená auta se stala letos jedním z větších témat i na barcelonském veletrhu MWC. Kromě Samsungu se tam s novinkou pochlubil i T-Mobile. Operátor v autech vidí především další zařízení, do kterých může zapíchnout své datové SIM karty.


Trojský kůň Marcher pro Android se šíří přes pornografické weby

18.3.2016 Mobilní

Trojan Marcher využívá zájem o pornografii a proniká do mobilů zájemců o porno, aby je připravil o peníze. Musí mu ale sami uvolnit cestu.
Jak se může do telefonu s Androidem dostat trojský kůň? Většinou tak, že si ho tam dobrovolně pořídíte – což je nakonec i případ Marcheru, který využívá pornografické weby. Uživatelům porno webu pošle odkaz na stažení aplikace e-mailem nebo v SMS. Maskuje se za aktualizaci Adobe Flash Player, která má být nutná pro přístup k žádanému pornu.

Právě vydávání se za Flash nebo aktualizaci Flashe je jednou z nejčastějších cest, jak se viry a malware dostávají i do klasického počítače. V mobilu to mají těžší – je totiž nutné povolit instalaci aplikací z jiných míst než Google Play, ale porna chtiví jedinci nejspíš i tuto překážku snadno překonají. Po instalaci získá trojan správcovská práva (uživatel mu je pochopitelně udělí) a uživateli je „poslána“ MMS s odkazem naX-Video aplikaci na Google Play – ta nic škodlivého neobsahuje, je pravděpodobně použita jenom pro vyvolání zdání realističnosti.

Trojan se poté rovnou zeptá na platební údaje a tváří se jako formulář z Google Play. V některých případech si je dokáže získat z dalších platebních aplikací, které se v telefonu mohou nacházet. Umí vytvářet i falešné přihlašovací stránky bank (použije k tomu informace o tom, jaké máte v mobilu bankovní aplikace) a je vybaven řadou dalších vychytávek.

Zscaller v Android Marcher now marching via porn sites uvádějí, že Marcher vznikl už někdy v roce 2013 a původně si vystačil pouze s imitováním Google Play pro získání platebních údajů. Později přidal vytváření falešných přihlašovacích stránek bank. Pokud vás zajímají další informace o tomto trojském koni, zkuste Android.Trojan.Marcher od PhishLabs. Při čtení narazíte i na to, že mezi napadenými zeměmi je uvedená Česká republika s 11 % podílem.

Jednu věc je vhodné zdůraznit: pokud si v Androidu nepovolíte instalaci z jiných míst než z Google Play, tak se do vašeho telefonu nemá podobný virus jak dostat.

Z Google Play obvykle nic chytit nemůžete, X-Video na Google Play nic škodlivého neobsahuje. Do telefonu (či tabletu) se „aktualizace Adobe Flash Player“ dostane jedině tak, že si stáhnete apk odněkud odjinud a poté provedete sami instalaci.



Přes kompromitované inzertní sítě a velké weby v USA se šířil ransomware

17.3.2016 Viry

Útočné reklamy se dostaly i na ty největší a nejnavštěvovanější americké weby. Útočníci využili chyby ve Flashi, Silverlightu a dalším softwaru.
Pokud jste se v posledních dnech pohybovali na velkých a známých (zahraničních) webech, je velmi pravděpodobné, že jste se mohli setkat s reklamami, které ve skutečnosti zkoušejí, jestli se není možné dostat do vašeho počítače.

Využívají k tomu děravý Flash, Silverlight, Javu a další software v prohlížeči, u kterého jsou známé využitelné zranitelnosti. Po získání přístupu do počítače nasadí trojského koně a ransomware, který zašifruje data a za jejich odemčení požaduje zaplacení výkupného.

Nakažené reklamy se v posledních dnech objevily i v Česku – viz Podvodné reklamy straší virovou nákazou, šíří je i reklamní síť Googlu.

Trend Micro v Massive Malvertising Campaign in US Leads to Angler Exploit Kit/BEDEP uvádí, že útočícím kódem je starý známý Angler a samotná kampaň by měla cílit pouze na uživatele v USA. Výsledkem útoku je stažení backdooru známého pod názvem BEDEP a malwaru, který Trend Micro označuje jako TROJAN_AVRECON. Trustwave v Angler Takes Malvertising to New Heights informace potvrzuje a doplňuje některá další konkrétní fakta.

Zajímavé může být například to, že samotný útočný JavaScript má přes 12 tisíc řádek kódu a je samozřejmě napsán tak, aby bylo velmi obtížné zjistit, co vlastně dělá. Snaží se mimo jiné vyhýbat počítačům, které jsou chráněny některými antiviry či antimalware programy. Napadené inzertní sítě jsou, podle Trustwave, hlavně adnxs a taggify, přičemž pouze první z nich se k problému postavila čelem a nabídla rychlé řešení.

Malwarebytes v Large Angler Malvertising Campaign Hits Top Publishers doplňuje poměrně užitečný seznam webů, na kterých se útočné inzeráty objevily – zahrnuje MSN.com, NYTimes.com, BBC.com, AOL.COM či NewsWeek.com (ale i řadu dalších), které v návštěvnosti dosahují i stovky milionů návštěvníků měsíčně. Napadené inzertní sítě byly klasicky využity k tomu, že se reklamy dostaly do velkých inzertních sítí, včetně Googlu, AppNexus, AOL či Rubicon.

Malwarebytes také doplňují, že původní kit pro napadení byl RIG, teprve v neděli byl nahrazen Anglerem, do kterého byla doplněna i čerstvě objevená zranitelnost v Silverlightu.


Šifrovaný ProtonMail už je dostupný pro všechny. K dispozici jsou i aplikace pro smartphony
17.3.2016
Zabezpečení

ProtonMail vzniknul na začátku loňského roku jako výsledek zvýšené poptávky po zabezpečené komunikaci. Vývojáři, kteří mají pracovní zkušenosti ze Švýcarského CERNu, šifrují text zpráv pomocí OpenPGP a internetem tedy putuje jako nesmyslná změť znaků. Dekóduje se opět až na konci u příjemce. ProtonMail se nyní dostává z fáze beta do běžného provozu a zaregistrovat si účet může kdokoliv.

obrázek 188.jpg
Schránka ProtonMailu vypadá na první pohled jako kterýkoliv jiný webmail. Zprávy jsou však zašifrovány jak při odesílání, tak při ukládání na server provozovatele

Registrace pro uživatele, kteří nebyli součástí beta testování se otevřela dnes ve 12.30 a zároveň s tím zamířily do App Store a Google Play aplikace pro mobilní zařízení. V blogpostu, kterým zakladatel společnosti oznámil ostrý start, zdůraznil vzrůstající poptávku po takto zabezpečené komunikaci i v souvislosti s aktuální kauzou, jež se kolem šifrování rozjela.

Na startu ProtonMailu stála úspěšná crowdfundingová kampaň, která tvůrcům přinesla 550 000 dolarů, tedy asi 13 milionů korun. Aktuálně je novým uživatelům k dispozici schránka s kapacitou 500 MB, přičemž rozšíření probíhá pomocí některého z placených účtů. Za 5 GB navíc zaplatíte 5 euro měsíčně a získáte možnost denně odeslat až 1 000 zpráv. V základní neplacené verzi je limit nastaven na 150 zpráv. Za příplatek si lze pořídit vlastní domény s několika aliasy nebo možnost třídit zprávy pomocí více štítků – v bezplatné verzi jich je 20.

Při registraci vás čeká volba běžného přihlašovacího hesla a potom druhého, s jehož pomocí jsou zprávy šifrovány. První z nich lze resetovat v případě, že k účtu přiřadíte ještě jeden běžný e-mail. Šifrovací heslo však není možné žádným způsobem obnovit a k předchozí poště se při jeho ztrátě již nedostanete.


Biohacking - Člověk 2.0

17.3.2016 Hacking
Již dnes existují nadšenci, kteří podstupují bolestivé procedury kvůli tomu, aby pomocí technologií vylepšili svoje tělo a stali se tak mnohem dokonalejšími kyborgy. Celé hnutí, jedno z odvětví takzvaného biohackingu, je zatím v počátcích.

Lidská fantazie, kreativita a nadšení pro experimenty zdánlivě neznají hranic. Na druhou stranu by také kreativita člověka měla mít jistá omezení. Na internetu se například v současnosti formuje skupina lidí, kteří experimentují s technologií neuronální stimulace mozku v domácích podmínkách.

Americká společnost Foc.us tvrdí, že vyvinula speciální headset, po jehož nasazení budou počítačoví hráči dosahovat lepších reakčních časů. Mnozí si od této techniky slibují povzbuzení nálady nebo vylepšení schopnosti učit se. Jistý vysokoškolák na YouTube otevřeně mluví o tom, že stimulační elektrody přiložil na hlavu „nějak tam a tady“. Namísto zlepšení svých schopností ale nejméně na jednu hodinu upadl do hluboké deprese – což ho však neodradilo od dalších experimentů.

Rozšíření psychických a tělesných schopností člověka, či pokusy vytvořit pomocí technologií jakéhosi dokonalého kyborga, nesou označení grinding. Dal by se zařadit jako podkategorie takzvaného biohackingu. V druhém odvětví tohoto poměrně nového směru lidé experimentují především s dědičným kódem DNA.

Amatérští biologové v domácích podmínkách „hackují“ DNA a vyvíjejí třeba nové druhy zeleniny. Stvořili už například jogurt, který ve tmě zeleně fluoreskuje, protože do jeho bílkoviny byl přidaný gen medúzy. Další větev biohackingu pak tvoří zmíněný grinding, kdy se pomocí moderních technických vymožeností hackeři snaží upravovat samotného člověka – grindeři to nazývají jako „self-biohacking“, nebo snad ještě výstižnějším termínem „ sebe-kustomizace“. Pojďme se podívat na to, na jaké hranice – etické, technologické a další – jejich kreativní experimentování naráží.

Čipová kontrola nad pacienty

Biohacking kódu DNA vyvolává ze zcela pochopitelných důvodů odpor veřejnosti. Je nasnadě, že domácí amatérské experimentování s kódem života se může vymstít. Naopak technologicky zaměřený grinding už takové emoce nevzbuzuje, protože lidé, kteří se ze sebe s pomocí techniky snaží udělat vylepšené kyborgy, zpravidla mohou ublížit jen sami sobě.

Technická zařízení, která se lidem snaží usnadnit život, pochopitelně existují již dnes – v medicíně to jsou například různé druhy protéz, kardiostimulátory a podobně. Pro diabetiky existuje pomoc v podobě nové technologie, kterou vyvíjí americká univerzita v Akronu. Tamní vědci pracují na kontaktní čočce, která měří hladinu cukru v krvi ze slz.

Podle nich potom čočka mění barvu, takže diabetik může informaci o hodnotě cukru v těle zjistit pohledem do zrcadla. Případně může oko vyfotografovat, a speciální software potom podle barvy čočky vypočítá hladinu cukru, podle níž si potom pacient zvolí příslušnou dávku inzulinu.

V medicíně bychom našli mnoho dalších pokusů tohoto typu jakéhosi neinvazivního, „umírněného grindingu“. Kontaktní čočka pro diabetiky nevzbuzuje žádné negativní emoce, kromě pochybností o tom, zda informace o hladině cukru v krvi má být prostřednictvím barvy čočky dostupná také všem lidem v okolí. Již spornějším případem jsou například snahy o integraci čipů do tablet s lékem.


Kyberzločinci kradli bitcoiny pomocí rozšíření v prohlížeči

17.3.2016 Hacking
Kurz bitcoinů se drží posledních pár týdnů poměrně vysoko. To je jeden z hlavních důvodů, proč tato virtuální měna láká stále více lidí po celém světě. Vysoká popularita nezůstala lhostejná ani kyberzločincům, kteří se právě na majitele bitcoinů zaměřili. Šance na jejich dopadení je prakticky nulová.
Počítačoví piráti se zaměřili na uživatele internetové stránky BitcoinWisdom.com, kterou každý měsíc navštíví milióny uživatelů z různých koutů světa. Tento server totiž nabízí v poměrně přehledné formě informace o kurzu bitcoinu a analýzy možných vývojů kurzů. Pro uživatele je tedy jakousi nápovědou, jak nakupovat nebo prodávat.

Uživatelům zmiňovaného serveru nabídli kyberzločinci rozšíření pro populární internetový prohlížeč Chrome, které dovolovalo na stránkách BitcoinWisdom.com blokovat reklamu.

Přesně to rozšíření také v praxi dělalo, takže si uživatelé prvních pár dnů používání patrně ani nevšimli, že je něco v nepořádku. Kromě blokování reklamy totiž toto rozšíření přesměrovávalo platby v bitcoinech, uvedl server Softpedia.

Poslané peníze končily na účtech pirátů
Poslané peníze tak končily na účtech podvodníků. Vzhledem k tomu, že transakce bitcoinů není prakticky možné vystopovat, je velmi nepravděpodobné, že by se podařilo kyberzločince vystopovat.

Je každopádně jasné, že byznys to byl pro počítačové piráty opravdu velký. Pouhý jeden bitcoin má při aktuálním kurzu hodnotu zhruba 10 000 korun. Slušný balík peněz tak mohli vydělat i v případě, že by se jim podařilo získat pouhých pár bitcoinů.

Kolik uživatelů se podařilo prostřednictvím rozšíření kyberzločincům okrást, zatím není známo.

Virtuální měny představují velké riziko
Virtuální měna bitcoin vznikla v roce 2009, větší popularitě se ale těší v posledních letech. Vytvořena byla tak, aby se nedala ovlivňovat žádnou vládou ani centrální bankou.

Kybernetické mince "razí" síť počítačů se specializovaným softwarem, naprogramovaným tak, aby uvolňoval nové mince stabilním, ale stále klesajícím tempem. Počet mincí v oběhu má dosáhnout nakonec 21 miliónů, což má být kolem roku 2140.

Bitcoiny se těší velké popularitě především coby prostředek pro investici. Kurzy však často kolísají. Evropský bankovní úřad kvůli tomu dokonce již dříve varoval spotřebitele, že neregulované virtuální měny představují velké riziko. Jejich vklady totiž nejsou nijak chráněny.



Podvodné reklamy straší virovou nákazou, šíří je i reklamní síť Googlu

16.3.2016 Viry

Přes některé české i zahraniční reklamní systémy se v těchto dnech šíří malvertising, který se snaží uživatele vyděsit tím, že mají napadený smartphone.
9:02 – doplněno vyjádření firmy R2B2

„Zjistili jsme, že jste nedávno navštívili pornografické stránky. 28,1% z mobilních dat je obtížné infikován škodlivými viry 4. Viry mohou poškodit SIM kartu ! Vaše soukromá data vyprší! Fotografie a kontakty jsou ztraceny!“

Lámaná čeština, hrozba, že „vaše soukromá data vyprší“, pokud nic neuděláte, a odkaz vedoucí až k webu, který po vás bude chtít telefonní číslo. Na české mobilní uživatele v uplynulých dnech zamířila vlna falešných reklam, které se šíří prostřednictvím mobilních reklamních systémů. Podobný případ ale hlásí i velké zahraniční weby.

Na aktuální malvertising nás na Facebooku upozornil Pedro Palcelloni. Falešná varování před virovou nákazou v jeho telefonu se mu zobrazila při čtení článků na iDNES.cz.

Podle projektového manažera iDNES.cz Pavla Kočičky vydavatelství o problému ví a od začátku jej řeší. Upozornění se podle něj šířila prostřednictvím falešných reklamních formátů v mobilních programatických systémech, které vydavatelství Mafra na svých webech využívá. Jedním z provozovatelů, které Mafra využívá, je podle něj Google, dalším česká síť R2B2.

„Sestřelili jsme reklamu i všechny ostatní, které vedou na doménu .click a zakázali jsme reklamy z kategorie ‚security‘. Google o tom ví od předvčerejška, že jim tam takový hnus protéká, pravidelně jim to hlásíme,“ popsal v komentáři na Facebooku.

„Podvodné reklamy jsou bohužel fenomén současných automatizovaných sítí pro prodej online reklamy. Forma s automatickým přesměrováním na telefonech s operačním systémem Android je dosud její nejagresivnější podobou. Jako vydavatel hlídáme využívání svého reklamního prostoru a podvodné nebo podezřelé reklamy ihned blokujeme. Problém zároveň řešíme v úzkém spojení s poskytovateli reklamního obsahu, kteří na potírání těchto online fraudů dedikovali celé týmy i výpočetní farmy,“ reaguje také Jan Malý, projektový manažer, který má mobilní weby v iDNES.cz na starost.

O reakci jsme požádali jak český Google, tak R2B2, ale zatím jsme od nich nedostali žádné upřesňující informace.

Doplnění 9:02 – Odpověď z R2B2 dorazila těsně po publikování tohoto textu:

„Z našich reklamních kanálu tyto zavirované reklamy nešly, nicméně z profesionálních důvodů jsme se snažili vypátrat, odkud se vir na weby Mafry dostal a dle našich zjištění šel z reklamních jednotek společnosti Google, které Mafra nasazuje na své stránky mimo naši spolupráci,“ napsal Lupě jednatel R2B2 Martin Čelikovský.

Reklama podle něj byla na první pohled podezřelá. „Už proto, že byla podivně cílená (angličtina, dovolená) a byla nasazena s omezením frekvence 1× na uživatele s velmi vysokou nabídkou v aukci. Necílenou reklamu tohoto typu se pouštět takto nemůže vyplácet, což upřelo naši pozornost na tuto reklamu a podezření jsme vzápětí potvrdili,“ dodává.

Autor: R2B2
„Na celé skutečnosti je podivné, že reklama prošla kontrolou společnosti Google. Ale jelikož to nebyl kanál v rámci spolupráce s naší společností, tak nejsme obeznámeni s podrobnostmi,“ doplňuje Čelikovský.

Jak útok funguje

Na falešná varování se samozřejmě nevyplatí klikat. Podvržené reklamy na mobilních telefonech používají taktiku falešných antivirů, která dlouhé roky „úspěšně“ funguje na počítačích. Nic netušící uživatelé se nechají snadno nachytat a v panice věří, že se jim v počítači objevil virus. A ve skutečnosti ho tam ochotně pustí.

Na počítači podobné věci mívají fatální následky – pokud máte děravý Flash nebo Javu, nebo jinou neošetřenou zranitelnost. Na iOSu či Androidu hrozí poměrně málo, tedy pokud si případné následné svinstvo nepustíte dobrovolně do systému. Ale jak uvidíme níže, ne vždy je cílem těchto aktivit dostat do mobilu či počítače malware.

Ze screenshotu to sice není vidět, ale adresa je například paly.google.com.store.apps.
deepmind.click/
3b5MBivfkif2mmhxluoImYurMuwz/cz/ a tlačítko pro „odstranění“ viru vede na cldlr.com/?a=33580&c=92366&s1=3Bcz, kde najdete pár dalších přesměrování (varm.coolsafeads.com/?kw=-1&s1= a poté 4ugzz.sexy.0367.pics se stažením REI495slmCZ.html z téže domény. A přesměrováním zdaleka není konec, dostanete se nakonec na reimageplus.com a v celém tom řetězci je otázka, kolik z těch webů je zneužitých/hacknutých. Pokud budete výše uvedené odkazy zkoumat, zjistíte, že jde navíc jenom o jednu z možných cest.

Konečná destinace každopádně je kdesi na z.dicemob.mobi (patří Zamano.com, poskytovateli mobilních/platebních služeb) a stránka tam po vás bude chtít telefonní číslo.

Pokud ho důvěřivě sdělíte, naletíte na aktuálně nejčastější způsob podvádění – posílání zpoplatněných SMS. Když se podíváte do patičky, zjistíte, že se web tváří, jako by probíhal přes vcelku jasně identifikovatelnou službu působící v Česku.

Cena za jednu SMS je 99 Kč a týdně jich dostanete až deset. Než si tedy uvědomíte, co se stalo, můžete přijít o hezkých pár set korun.

Po vyplnění telefonního čísla vám přijde SMS (případné „Klikněte zde“ otevírá odeslání SMS) a pokud na ni odpovíte, budou vám chodit další a další, které už budou zpoplatněné. Prostě si podvodem objednáte službu, která s viry a bezpečností vašeho telefonu nemá nic společného.

Zasaženy i New York Times

Podle aktuálních zpráv to vypadá, že současná kampaň není jen problémem České republiky. Podle bezpečnostní firmy Malwarebytes obdobné falešné reklamy ohrožují také uživatele velkých zahraničních webů jako je nytimes.co, bbc.com, nfl.com nebo newsweek.com.

I tady jde o podvodné reklamy šířené několika reklamními sítěmi – mezi jejich provozovatele patří Google, AppNexus, AOL či Rubicon. Podvržené reklamy se uživatelům snaží do zařízení instalovat ransomware.

Podobné útoky nejsou ojedinělé – a v Další příklad malvertisingu: na Forbes.com byl v některých reklamách malware zjistíte, že se často týká i renomovaných titulů. Potenciální nebezpečnost reklam je často jedním z argumentů, proč je na internetu blokovat.


Bez antiviru a firewallu platební kartu na internetu používat nesmíte

16.3.2016 Bezpečnost

Četli jste podmínky používání vaší platební karty? Možná budete překvapeni, co všechno podle nich musíte nebo nesmíte dělat při platbách na internetu.
Vlastně to vypadá jako docela dobrá absurdita – kdyby ovšem nešlo o tak důležitý dokument, jako jsou obchodní podmínky pro používání platebních karet. Svá pravidla nedávno aktualizovala tuzemská Fio banka (pro nové smlouvy platí od 8. března, pro dříve uzavřené začnou platit od 9. května). A když se do desetistránkového materiálu začtete, nestačíte se divit, co všechno musíte udělat, abyste jejím podmínkám vyhověli.

Podivil se i bezpečnostní expert Michal Špaček, který jinak obvykle volá po tom, aby se lidé na internetu chovali bezpečněji. „Dozvěděl jsem se například to, že když na počítači nemám antivir, tak ty obchodní podmínky porušuju. A taky bych je porušoval, kdybych nesledoval informace o virech a spyware. Ale to trochu sleduju, takže cajk. Jenže kvůli tomu občas navštěvuju i neznámé stránky, různé blogy nebo články, ostatně, takhle vlastně funguje tenhleten web, že. A tím už zase ty podmínky porušuju,“ upozornil na podmínky Fio banky na svém facebookovém profilu.

Kompletní podmínky najdete na webu banky (PDF) a novinkou v nich je zejména oddíl IVa, který si stojí za to přečíst. Začíná totiž výslovným upozorněním, že všechny v něm napsané věci jsou pro klienta povinné a musí se jimi řídit. Jenže pokud byste je vzali doslova, asi byste kartu spíš vrátili, protože se z jejího používání stává noční můra.

Firewall, antivir a anti-spyware

Některé povinnosti vypadají docela rozumně: klient třeba nesmí používat kartu na veřejně přístupných počítačích (třeba v internetových kavárnách). Jenže pak začne přituhovat: podle Fio banky má klient povinnost „legálně zabezpečit zařízení, prostřednictvím kterého se rozhodne používat platební kartu, firewallem, antivirovou a anti-spyware ochranou, a tyto ochranné prvky pravidelně aktualizovat.“ Ano, pokud nemáte na počítači, kde kartou platíte, firewall, antivir a antispyware, které pravidelně neaktualizujete, porušujete obchodní podmínky.

Ty ovšem porušujete i v případě, že na onom zařízení nemáte „legálně pořízený a pravidelně aktualizovaný operační systém“. Stačí tedy zmeškaná aktualizace a… porušujete podmínky. Máte také „povinnost pravidelně sledovat zprávy výrobce operačního systému o opravách chyb a nedostatků tohoto operačního systému a tyto opravy včas instalovat“.

Nainstalovali jste si někdy nějaký na internetu volně dostupný program? Pokud si nemůžete „…být s dostatečnou mírou jisti, že neobsahují viry nebo spyware“, porušujete podmínky. Smíte také „navštěvovat pouze známé, důvěryhodné a bezpečné stránky na internetu a neotvírat nevyžádané emaily, emaily od neznámých adresátů a emaily s podezřelým názvem nebo obsahem“. A v e-mailové schránce musíte používat spam filtr.

Povinnost mít nainstalovaný antivir, firewall a anti-spyware u Fio banky kupodivu platí i u „vyspělejších mobilních zařízení“ – tedy smartphonů a tabletů „s operačním systémem iOS, Android, Windows Phone a jiným operačním systémem“ (vypadá to, že někdo zkopíroval podmínku z části o PC, aniž by uvažoval o odlišnostech těchto zařízení). Stahovat aplikace z jiných než oficiálních obchodů je podle banky nežádoucí, ale i když se chováte žádoucím způsobem (tedy nestahujete mimo oficiální místa), Fio banka vás upozorní, že je to k ničemu, protože „klient nemůže spoléhat na kontrolu prováděnou provozovatelem operačního systému ve vztahu ke všem aplikacím.“

Zajímalo by mě také, jak si obyčejný laický uživatel poradí s následujícím odstavcem: „Klientovi se doporučuje, aby si před každým zadáním důvěryhodných údajů ověřil, že zařízení používá DNS překladače podporující DNSSEC, a prohlížeč si nastavil tak, aby sám prováděl DNSSEC ověřování.“ I když jde tady jen o doporučení, podle úvodního odstavce i tohle patří mezi povinnosti klienta. A pokud DNS nerozumí, ukládá mu Fio banka v následujícím odstavci další povinnost: doporučuje (tak je to povinnost, nebo doporučení?) „…obrátit se s požadavkem na zabezpečení zařízení a jeho případného komunikačního příslušenství na odborníka.“

Kdo zaplatí škodu

Abychom si dobře rozuměli: skoro všechna výše uvedená opatření skutečně mohou zvýšit vaše bezpečí na internetu, o tom není pochyb. A podle toho, co říká mluvčí Fio banky Zdeněk Kovář, je cílem podmínek přimět klienty chovat se obezřetně při používání platebních karet. „Domníváme se, že rozdělení odpovědnosti podle sféry vlivu je spravedlivé. Banka zajistí své systémy, servery, bankomaty atd. A klient zajistí svá zařízení. Jistě nelze od banky (a zejména od nízkonákladové banky) očekávat, že zajistí dostatečné zabezpečení všech počítačů, tabletů či mobilních telefonů, které klient využívá pro přístup do banky nebo k provádění internetových transakcí platební kartou. Toto musí zajistit sám klient. Proto naše obchodní podmínky obsahují specifikaci toho, co považujeme za dostatečné zabezpečení,“ argumentuje Kovář.

Problém je v tom, že tady nejde o tradiční bezpečnostní doporučení, jejichž dodržování záleží na klientovi. Fio banka všechna výše popsaná opatření dává klientovi jako povinnost a zahrnula je do závazných všeobecných obchodních podmínek. Kromě toho, že jde o materiál, který si málokdo přečte, takže jeho dopad na změnu chování uživatelů bude pravděpodobně limitně blízký nule, jde taky o součást smlouvy, a to, co je v něm napsané, nelze brát na lehkou váhu.

Podle sekce VII, odstavce 4, totiž „majitel účtu odpovídá za škodu způsobenou porušením svých povinností uvedených ve smlouvě nebo podmínkách, není-li stanoveno jinak.“ A v dalším odstavci se dozvíte, že „majitel účtu odpovídá za škodu z neautorizovaných platebních transakcí v plném rozsahu, pokud škodu způsobil svým podvodným jednáním nebo úmyslně či z hrubé nedbalosti porušil některou z jeho povinností vyplývající z čl. III, IV a V podmínek…“

Pokud tedy výše popisovaná opatření doslova nedodržujete a někdo vaši kartu zneužije, máte zaděláno na potenciální problém: banka se může snažit zbavit své odpovědnosti za ztrátu z neautorizovaných (čili podvodníky provedených) plateb. Není samozřejmě jisté, že by banka případný soudní spor s vámi vyhrála, ale vyloučené to také není.

Kontrola jednou denně

Podle zákona o platebním styku (284/2009 Sb.) nese klient v případě zneužití ztracené nebo ukradené karty na případné škodě spoluúčast do výše 150 eur (platí to pro všechny transakce do chvíle, než krádež nebo ztrátu karty bance oznámíte – proto je důležité podobné události nahlašovat co nejdříve).

Podle §116 odstavce 1 b) ale tento limit neplatí, pokud klient „…tuto ztrátu způsobil svým podvodným jednáním nebo tím, že úmyslně nebo z hrubé nedbalosti porušil některou ze svých povinností stanovených v § 101.“ A paragraf 101 říká, že uživatel má povinnost „používat platební prostředek v souladu s rámcovou smlouvou, zejména je povinen okamžitě poté, co obdrží platební prostředek, přijmout veškerá přiměřená opatření na ochranu jeho personalizovaných bezpečnostních prvků.“

Nové podmínky Fio banky se přitom v českém prostředí zdají být poměrně unikátní. Nezkoumali jsme všechny banky, ale v obchodních podmínkách asi desítky těch, které jsme prostudovali, na povinné používání antiviru apod. nenarazíte (Komerční banka jej doporučuje ve svém Průvodci k platebním kartám).

Doplnění 12:00: Jak nás upozornil jeden ze čtenářů, podobné požadavky na své klienty používající internetové bankovnictví ve všeobecných podmínkách klade i Equa bank (PDF).

Obvyklé jsou povinnosti chránit PIN a nikomu ho neříkat a „…zejména nepsat PIN na platební kartu, její obal nebo jiný předmět, který nosíte společně s platební kartou, chránit zadávání PIN před odpozorováním z okolí apod." (Česká spořitelna, PDF) nebo chránit kartu před krádeží a „před přímým působením magnetického pole, mechanickým a tepelným poškozením“ (ČSOB, PDF).

Banky také obvykle trvají na povinnosti, že uživatel musí pravidelně kontrolovat, že kartu pořád má a že ji nikdo nezneužil – podle Komerční banky (PDF) to má dělat „soustavně“, podle ČSOB nebo Fio banky to musí dělat minimálně jednou denně.

Jde o celou řadu požadavků, u kterých banka za normálních okolností nemá šanci ověřovat, že je skutečně děláte. „Kontrolu minimálně jednou denně považujeme za rozumný požadavek. Banka nekontroluje ani nevyžaduje, aby to držitel karty jakkoli prokazoval,“ uvádí na dotaz mluvčí Kovář. Nicméně opět ve spojení s tím, že případnou krádež karty musíte nahlásit bezodkladně, se tu rýsuje zajímavá možnost: co když na ni přijdete později a nahlásíte ji třeba až za dva dny? Banka to může považovat za porušení podmínek a tím pádem vám může zkusit upřít ochranný 150eurový limit.

Stejně tak podle něj Fio banka neověřuje, jestli její klienti dodržují zásady na ochranu svých počítačů a smartphonů. V případě, že dojde na krádež, zneužité nebo podvodné transakce, ale může být vše jinak. „Banka nemá možnost kontroly. Pokud ale fraud vyšetřuje Policie ČR, tak je možné, že v rámci vyšetřování počítač postiženého zkontroluje,“ dodává mluvčí.



Pozor: Co při útoku hackerů nedělat!

13.3.2016 Hacking
Jak zjistit, že k útoku došlo? To dnes představuje nejtěžší otázku v oblasti informační bezpečnosti. Příběhy dlouhé roky neodhalených průniků a útoků se objevují prakticky neustále. Smutné pak je, že když se o průniku dozvíme, často jednáme nejhorším možným způsobem.

„Zamkněte dveře,“ nařídil letový ředitel NASA LeRoy Cain. „Nevypínejte počítače. Nikdo neopustí své místo. Nikdo nebude telefonovat. Zazálohujte všechna dostupná data, odložte své poznámky.“

Kalendář ukazoval 1. února 2003 a letový ředitel právě čelil nejhoršímu možnému scénáři, jaký si bylo možné představit: během přistávacího manévru se nad Texasem rozpadl raketoplán Columbia.

Ač Cainovi stékaly slzy z očí – na palubě stroje bylo sedm astronautů a šance přežít rozpad raketoplánu ve výšce 65 kilometrů při rychlosti 6,5 km za sekundu a obklopeném žhavou plazmou o teplotě několika tisíc stupňů Celsia byla nulová – zachoval si chladnou hlavu.

Postupoval přesně podle předem připravených plánů a zachránil všechna data uložená v počítačích, což později významně pomohlo zrekonstruovat průběh nehody.

Samozřejmě je velmi nepravděpodobné, že by někdo z nás jednou čelil podobné situaci. Na druhé straně si z ní každý z nás může odnést ponaučení při řešení bezpečnostních incidentů.

Obvykle nedostatky

Naším nejčastějším prohřeškem ve chvíli, kdy se „něco stane“, je to, že nemáme plán reakce (Incident Response, IR). Samozřejmě v takové chvíli už je pozdě na něj myslet, ale to je o důvod víc nachystat si jej dříve, než bude pozdě.

Když je jakýmkoliv způsobem bezpečnostní problém odhalený, často se ukáže, že není jasné, co se má dělat. Není stanovená osoba nebo tým, dokonce nebývá stanovený ani postup.

Většinou je pouze vyrozuměn pracovník IT oddělení, ale to se často děje jen jaksi automaticky. V případě absence „horké linky“ nemusí být navíc k zastižení.

Stejně tak nemusí vědět, co přesně má dělat (s informatikem, který vše řeší doporučením restartu, se asi setkal každý z nás). A navíc nemusí mít vůbec zájem incident nějak důkladně šetřit: vždyť incident může (ale samozřejmě také nemusí) ukázat na jeho osobní selhání.

Ostatně to není problém pouze IT pracovníků, i na úrovni organizací je často snaha incidenty „zametat pod koberec“ a zásadně nepřiznávat chybu.

Proto je nezbytně nutné mít alespoň základní plán zvládání bezpečnostních incidentů. Ovšem pozor: plán musí být funkční. Zatímco zhruba šedesát procent organizací jej má, praxe ale ukazuje, že zhruba dvě třetiny plánů v praxi nefungují.

Často se vytvoří, aby se učinilo zadost zadání nebo aby se zaplnila mezera identifikovaná během některého z nesčetných auditů. Byť to zní vznosně, plán zvládání bezpečnostních incidentů je čas od času potřeba prověřit ostrým cvičením. To odhalí drobnosti, které jinak zůstávají přehlédnuté.

Třeba jako v případě jisté newyorské nemocnice, která si bezpečnostní audit nechala zpracovat – konstatovalo se v něm, že záložní dieselové agregáty v suterénu nejsou šťastným nápadem a že v případě velké vody nebudou plnit svoji úlohu.

Nemocnice je proto přesunula do vyšších pater. Auditor byl spokojený, problém se zdál být odstraněný. Pak ale přišel říjen 2012 a udeřil hurikán Sandy. Až v tu chvíli nemocnice s hrůzou zjistila, že agregáty sice přesunula – ale nádrže s naftou zůstaly v zaplaveném suterénu...

Jeden problém navazuje na druhý

Často na bezpečnostní incident reagujeme odstraněním nalezeného malwaru (což je nejčastější forma incidentu), a útok tím máme za ukončený. Jenže...

Tím se připravujeme o stěžejní důkazy, které nám mohou hodně napovědět o tom, kudy se útočník dostal do systému, kdy se tak stalo, jaké byly jeho záměry a co všechno vlastně získal. Druhou chybou, kterou v takové chvíli děláme, je vypnutí počítačů. Tím přicházíme o logy, nenahraditelná data v paměti apod.

Předpokládejme vždy nejhorší možný scénář: útok profesionála. Ten pak těžko použije jeden vektor, v horším případě mu dokonce sednete na vějičku: nastrčí kód, u něhož chce, aby byl nalezený. Skutečné nebezpečí se pak skrývá jinde. Dobrý útočník zkrátka bývá dobře připravený.

Samozřejmě že nikdo nechce, abyste se s rukama v klíně dívali, jak vám útočník stahuje další a další data ze sítě. Ale odstřihnout ho můžeme i jinak než vytržením elektrické šňůry ze zásuvky.

Například aktivací přísných omezení na firewallu nebo převodem veškerého provozu do uzavřené VPN sítě. Útočník sice bude výpadkem datového toku varován, ale vy nepřijdete o cenné informace.

A především: získáte čas a budete se moci rozhlédnout po informačním systému, aby bylo možné zmapovat celou šíři útoku.

Známý je například případ jedné americké banky, kdy útočník umístil do systému škodlivý kód. Po jeho odhalení následoval hloubkový bezpečnostní audit, který zjistil, že útočník ve skutečnosti zanechal v systému přes 300 druhů různého malwaru. Jinými slovy: odhalení jednoho exempláře zabránilo mnohem většímu útoku.

Zatajit, nebo nezatajit?

Kolik IR plánů tedy instrukce týkající se krizové komunikace obsahují? Tedy to, koho, kdy a jak informovat – nebo kdo má právo hovořit. Pokud nás k tomu legislativa nenutí jinak, máme tendenci bezpečnostní incidenty utajovat. Jistá logika v tom je: následná panika může natropit více škody než vlastní incident.

Na druhé straně si pak informace mohou žít svým vlastním životem. „Informovat, či neinformovat“ tak představuje jedno ze zásadních dilemat informační bezpečnosti – ale i to se však dá do značné míry ošetřit v plánech reakce.


Experti bijí na poplach. Vyděračských virů v Česku dramaticky přibylo

13.3.2016 Viry
V posledních týdnech dramaticky narostl počet škodlivých e-mailů, prostřednictvím kterých šíří počítačoví piráti viry. Nejčastěji jde o vyděračské viry z rodiny tzv. ransomwarů. Podle bezpečnostních expertů ze společnosti Eset je Česká republika jednou z nejvíce zasažených zemí, kde se tito nezvaní

Jak se bránit vyděračským virům!

:: Neotvírejte přílohy e-mailových zpráv od neznámých a podezřelých adresátů.
:: Pravidelně zálohujte svoje data. V případě nákazy se počítač jednoduše přeinstaluje a zašifrovaná data se mohou obnovit i bez placení výkupného nebo nutnosti je odšifrovat.
:: Externí disky nebo jiné úložné systémy, na které jsou data zálohována, by neměly být neustále připojeny k počítači. Minimalizuje se tím riziko, že se vyděračský virus zabydlí i u zálohovaných dat.
:: Pravidelně aktualizujte operační systém i jiné programy. Znesnadníte tak práci počítačových pirátů, kteří se snaží objevené trhliny zneužít k propašování škodlivých kódů.
:: Nutné je také pravidelně aktualizovat antivirový program, případně jiné bezpečnostní aplikace.
:: Nepoužívejte programy, pro které již výrobce ukončil podporu. Hrozba nákazy například na Windows XP je mnohonásobně vyšší než u novějších verzí tohoto operačního systému.
„Virová nákaza se šíří prostřednictvím e-mailových zpráv, které obsahují přílohu ve formátu zip. Ta je nejčastěji označena jako faktura nebo pozvání k soudu. Tímto trikem se útočníci snaží oběť navést k tomu, aby otevřela obsah přílohy,“ prohlásil Petr Šnajdr, bezpečnostní expert společnosti Eset.

Podle něj se po otevření souboru nainstaluje do počítače škodlivý kód. Jde například o virus zvaný Nemucod, který se uhnízdí v počítači a může potom stahovat další nezvané návštěvníky.

Tento škodlivý kód začne šifrovat obsah počítače a uživateli oznámí, že za dešifrování musí zaplatit.
Petr Šnajdr, bezpečnostní expert společnosti Eset
Nejčastěji stahuje právě vyděračské viry. „Aktuálně stahuje především různé typy ransomware, například známý TeslaCrypt nebo Locky. Následně tento škodlivý kód začne šifrovat obsah počítače a uživateli zobrazí oznámení, že za dešifrování počítače musí zaplatit,“ dodává Šnajdr.

Ani po zaplacení výkupného navíc nemají uživatelé jistotu, že se ke svým datům skutečně dostanou. Virus je nutné z počítače odinstalovat a data následně pomocí speciálního programu odšifrovat. V některých případech to ale není možné.

Používají stejné šifrování jako finanční instituce
Právě zmiňované dva programy totiž používají poměrně sofistikované šifrování. Jde o obdobu toho, co používají finanční instituce při zabezpečení plateb po internetu.

Právě před jedním ze zmiňovaných vyděračských virů varovala také bezpečnostní společnost Check Point. „Za pouhé dva týdny se Locky pokusil ohrozit uživatele ve více než 100 zemích,“ varoval mediální zástupce Check Pointu Petr Cícha.

„Kyberzločinci infikují systém e-mailem s wordovou přílohou, která obsahuje škodlivé makro. Jakmile uživatel soubor otevře, tak makro spustí skript, který stáhne spustitelný škodlivý soubor, nainstaluje se na počítač oběti a vyhledává soubory, které šifruje. Uživatel potom ani neví, že útok začal právě kliknutím na e-mailovou přílohu,“ doplnil Cícha.

Ostražití by před vyděračskými viry neměli být pouze majitelé klasických počítačů. Loni v červnu bezpečnostní experti odhalili nezvaného návštěvníka, který požadoval výkupné i na mobilním telefonu.


Hackerům se nepovedlo ukrást miliardu dolarů díky překlepu

13.3.2016 Incidenty
Hackerům se nepovedlo ukrást miliardu dolarů díky překlepuVčera, Milan Šurkala, aktualitaCesta k velkému bohatství může být občas ukončena velmi nepříjemným malým detailem. Hackeři dokázali nezákonně získat téměř miliardu dolarů, nicméně při stahování peněz na další účty udělali překlep, což jim naštěstí vše zkazilo.
Během 4. a 5. února 2016 se skupině hackerů patrně podařilo prolomit zabezpečení Bangladesh Bank a dostat se k téměř miliardě dolarů (hovoří se o zhruba 850-870 milionech). Tyto peníze pak převáděli přes různé banky na účty ve Filipínách a Srí Lance. Jen na Federal Reserve Bank přišly desítky žádostí na převody peněz. Povedly se jim čtyři přenosy, každý za zhruba 20 milionů dolarů. Uschovali si tedy lehce přes 80 milionů dolarů, nicméně pátý přenos jim už nevyšel.

Ten směřoval do Shalika Foundation ve Srí Lance, nicméně hackerům se povedlo splést název organizace a místo "Foundation" napsali "Fandation". Toho si všimla Deutsche Bank, přes kterou měly tyto peníze jít a zažádala o vysvětlení této podezřelé transakce, čímž se na celou záležitost přišlo. Bangladesh Bank se už povedlo některé z peněz získat zpátky a nyní chce žalovat Federal Reserve Bank za to, že dostatečně rychle nerozpoznala podezřelé transakce. Bangladesh Bank na situaci nedokázala rychle reagovat, neboť šlo o nepracovní dny.


Barack Obama chce opět backdoor v softwaru ze zákona

13.3.2016 Hrozby
Barack Obama chce opět backdoor v softwaru ze zákonaDnes, Milan Šurkala, aktualitaPoslední týdny se přetřásá kauza FBI a Applu, střídají se názory, zda má Apple odemknout mobil teroristů nebo nikoli. Americký prezident Barack Obama se v jednom rozhovoru zmínil, že zadní vrátka v softwaru by měla být povinná.
V jednom z rozhovorů s americkým prezidentem Barackem Obamou byl dotázán na názor ohledně kauzy FBI a Applu (zda má Apple odemknout mobil teroristy a zpřístupnit tak data pro FBI), ten se ale k tomuto případu nechtěl vyjadřovat. Přesto jeho reakce vcelku mířila právě na tento případ. Hovořil o tom, že nechce, aby vláda mohla prohlížet mobilní telefony, jak se jí zlíbí, ale zároveň podotknul, že neprolomitelné šifrování v uživatelském sektoru je obrovský problém.

Důvodem je např. to, jak by při neprolomitelném šifrování mohly bezpečnostní složky odhalit např. dětskou pornografii, teroristické plány nebo třeba daňové úniky. Už zde je jasné, že chce monitorování ve velkém rozsahu. Dle Obamy by software měl mít zadní vrátka (backdoor), která by umožňovala vybraným lidem dostat se do každého zařízení a chce dosáhnout nějakého kompromisu. Cílem je, aby tento klíč mělo co nejméně lidí, nicméně i tak je rozhodně docela zvláštní využívat nejpokročilejší šifrovací systémy, když víte, že venku je pár lidí, kteří znají klíč "ze zákona". Šifra s klíčem v rukou vlády ale těžko bude "kompromisní". Připomeňme, že soud Apple versus FBI bude už 22. března a už v minulém roce vydal Obama vyhlášku, která nařizuje sdílení dat s vládou.


Adobe updatuje Flash, kritická chyba dovolovala ovládnutí počítače

13.3.2016 Zranitelnosti
Adobe updatuje Flash, kritická chyba dovolovala ovládnutí počítačeDnes, Milan Šurkala, aktualitaKdysi velmi populární Flash se pomalu opouští a není divu. Vedle nepříliš dobrého výkonu má také spoustu bezpečnostních chyb. Poslední update opravuje např. chybu CVE-2016-1010, která dovolila útočníkům převzít kontrolu nad počítačem.
Adobe Flash je čím dál v menší oblibě. Prvně je nahrazován HTML5, za druhé přináší spoustu bezpečnostních děr a poslední aktualizace (např. 21.0.0.182 pro Windows a Mac OS) opravuje celkem 23 bezpečnostních chyb, z nichž mnohé byly označeny jako kritické. Např. chyba CVE-2016-1010 dovolila převzít kontrolu nad počítačem a to se týkalo i mnoha dalších. Navíc jsou známy případy, kdy tato chyba byla využita ke skutečným útokům.

Společnost Adobe tedy doporučuje urychlený update na nejnovější verze tohoto přehrávače napříč všemi platformami. Týká se to tedy Windows, Mac OS, Linuxu i verzí pro mobilní telefony a jejich operační systémy.


Biometrie na vzestupu: Co všechno vám už dnes může přinést?

13.3.2016 Zabezpečení
Biometrické zabezpečení zažívá strmý růst. Je to z velké části i kvůli tomu, že mnoha mobilním uživatelům vyhovuje pohodlnost používání nástrojů, jako je identifikace otiskem prstu. Bude však hrát biometrie významnou roli také v řešeních podnikového zabezpečení?

Bezpečnostní experti upozorňují, že biometrické technologie mají pozitiva i negativa. Na straně pozitiv je biometrie efektivním způsobem prokazování skutečné identity jednotlivých uživatelů.

„Nejviditelnější výhodou je, že se dokazuje identita osoby s větší mírou jistoty,“ tvrdí Jason Taule, ředitel zabezpečení ve firmě FEI Systems, která je poskytovatelem technologických produktů pro zdravotnictví.

„Předpokladem ovšem je, že se biometrie použije v kombinaci s něčím, co tento člověk zná. To je velmi důležité v situacích, kdy dochází k přístupu k systémům a prostředkům vyšší úrovně citlivosti,“ dodává Taule.

S využitím biometrie „víte, že jednotlivec přistupující k zabezpečeným oblastem či informacím je nejen osobou disponující odpovídajícími přihlašovacími údaji, ale je to skutečně osoba, které se přístup udělil“, říká Maxine Most, ředitel společnosti Acuity Market Intelligence. „To zlepšuje zabezpečení a poskytuje to kontrolní záznam.“

Biometrie může také poskytnout větší komfort. „Přestože existují jasné rozdíly mezi různými variantami biometrie (například otisky prstů versus skenování duhovky), výhodou využití této technologie pro autentizaci je skutečnost, že osoba nemůže tento identifikátor zapomenout, jako se to může například stát u hesla, ani ho nemůže někde nechat nebo jí ho někdo nemůže ukrást, jako se to může stát u tokenu,“ popisuje Taule.

To podle něj přináší snížení nároků na linku technické podpory a potenciálně úspory v oblasti nákladů na zaměstnance.

Na rozdíl od metod založených na heslech poskytuje biometrie „silnou autentizaci“, kterou nelze později popírat při soudním sporu, tvrdí Taule. V závislosti na způsobu implementace systému existuje možnost využít biometrii pro ověření totožnosti při vstupu do budovy nebo k autoritě, která poté umožní přístup k dalším zdrojům.

Biometrie může při správném využití „vyřešit mnoho problémů s pouhým využitím uživatelské identifikace a hesel“, tvrdí Mary Chaneyová, hlavní vedoucí týmu správy dat a reakce na incidenty ve finanční instituci GE Capital.

„Pokud použijete dynamické behaviorální biometrické rozpoznávání, jako je například dynamika úhozu do kláves, můžete získat výhodu dvoufaktorové autentizace,“ popisuje Chaneyová.

Použití dynamiky stisků kláves umožňuje organizacím měřit u každé osoby dobu stisku kláves a dobu mezi stiskem dalších kláves, říká Chaneyová a dodává: „Při tomto scénáři poskytuje pouhé zadání hesla dvoufaktorovou autentizaci.“

Kromě toho je podle ní dynamika stisků kláves velmi přesná a není pro uživatele rušivá, což jsou dva z největších problémů při používání biometrie při jakékoli implementaci zabezpečení.

Nesnadné zneužití

Dalším velkým přínosem použití biometriky je, že se velmi těžce falšuje, tvrdí Chaneyová. Při měření obou (fyziologických a dynamických) údajů se zaznamenávají informace pro každou osobu jedinečné a v průběhu času se málokdy mění.

Při správné implementaci není třeba v některých případech nic dalšího dělat, ani si pamatovat. Ztracená ID a zapomenutá hesla budou minulostí, říká Chaneyová.

Protože je osobní údaje nesmírně obtížné padělat, „mohly by se biometrické identifikátory používat k usnadnění jak fyzického přístupu, například v určitých oblastech podnikového areálu, tak i k virtuálnímu přístupu k vybraným místům v podnikovém intranetu“, uvádí Windsor Holden, šéf výzkumu v analytické firmě Juniper Research.

„Tato přihlášení lze přímo propojit s konkrétní aktivitou, takže v případě narušení bezpečnosti v rámci organizace lze rychle identifikovat odpovědnou osobu,“ říká Holden.

Biometrii lze také použít k integraci BYOD (využívání osobních zařízení pro firemní účely) do podnikových bezpečnostních strategií, „protože tak dochází k propojení osob a přístupu pomocí jejich osobních mobilních zařízení“, vysvětluje Most.

Prozatímní negativa

Na straně negativ stále figurují dvě velké nevýhody biometrie – vysoká cena a obavy o zachování soukromí, uvádějí experti...



Flash opět obsahuje kritické chyby, podle Adobe je už používají útočníci

12.3.2016 Zranitelnosti

Firma vydala mimořádné opravy více než dvacítky chyb, řada z nich je kritických, takže potenciálním útočníkům umožňují získat vládu nad systémem.
Není to velké překvapení – tím by spíš bylo, kdyby Flash vydržel delší dobu bez zásadních bezpečnostních incidentů. Adobe aktuálně doporučuje aktualizovat Flash Player na nejnovější verzi – pokud tak neučiníte, vystavujete se riziku napadení svého zařízení.

Jednu z chyb už podle firmy útočníci využívají. „Adobe má informace o tom, že chyba CVE-2016–1010 je aktivně zneužívána v omezeném počtu cílených útoků,“ přiznává na svém blogu.

Zatím neupřesněná chyba podle firmy může vést k tomu, že útočník bude schopný na zařízení spouštět svůj kód.

Adobe tak doporučuje updatovat Flash Player na verzi 21.0.0.182 (Windows a Mac), respektive 11.2.202.577 (Linux). Pokud ovšem Flash Player ve svém zařízení nutně nepotřebujete, je nejlepší jej úplně odinstalovat.

Flash je tak jako tak na ústupu. Google nedávno oznámil, že jeho reklamní systémy od léta přestanou přijímat flashové bannery, jeho podporu omezují i prohlížeče a v mobilních zařízeních si beztak ani neškrtne.



Českem se masivně šíří maily s virovou nákazou a šifrující počítač

11.3.2016 Viry
Ransomware Nemucod se distribuuje jako příloha elektronické pošty, jež se nejčastěji označuje jako faktura nebo pozvání k soudu.

Mimořádný nárůst počtu škodlivých e-mailů obsahujících virovou přílohu zaznamenal Eset. Při jejím otevření se podle jeho expertů do zařízení nainstaluje ransomware, což je škodlivý kód, který zašifruje obsah počítače a za jeho odšifrování požaduje výkupné.

Tato virová nákaza – známá jako JS/TrojanDownloader.Nemucod -- se šíří po celém světě, Česká republika je však prý jednou z nejvíce zasažených zemí.

„Virová nákaza se šíří prostřednictvím e-mailových zpráv, které obsahují přílohu ve formátu zip. Ta je nejčastěji označená jako faktura nebo pozvání k soudu. Tímto trikem se útočníci snaží oběť navést k tomu, aby otevřela obsah přílohy. V té se skrývá javascript soubor, který po otevření do počítače nainstaluje škodlivý kód Nemucod, který může do zařízení stáhnout další malware,“ vysvětluje Petr Šnajdr, bezpečnostní expert v Esetu.

„Aktuálně stahuje především různé typy ransomwaru, například známý TeslaCrypt nebo Locky. Následně tento škodlivý kód začne šifrovat obsah počítače a uživateli zobrazí oznámení, že za dešifrování počítače musí zaplatit,“ dodává Šnajdr.

Tento filecoder je nebezpečný tím, že používá kvalitní šifrování podobné nebo totožné s tím, které používají například finanční instituce při zabezpečení on-line plateb.

Ransomware je typ malwaru, který zabraňuje přístupu k osobnímu počítači či mobilnímu zařízení, či k datům zde uloženým. Pro umožnění přístupu je vyžadováno zaplacení výkupného (ransom). Šifrování je zpravidla natolik silné, že jej nelze prolomit.

Ochrana před ransomwarem podle bezpečnostních expertů:

Neotvírejte přílohy zpráv od neznámých adresátů a případně ani ty, které jste vůbec neočekávali.
Varujte kolegy v odděleních, která nejčastěji dostávají e-mailové zprávy z externího prostředí – například personální či finanční oddělení.
Pravidelně zálohujte obsah svého zařízení. I v případě úspěšné infekce se tímto způsobem budete moci dostat k svým datům. Externí disk nebo jiné úložiště však nemohou být neustále připojené k zařízení, jinak bude jejich obsah také zašifrovaný.
Pravidelně aktualizujte operační systém a ostatní programy, které používáte na svém zařízení. Pokud používáte již nepodporovaný operační systém Windows XP, vážně zvažte přechod na novější verzi Windows.
Bezpečnostní software používejte nejen s nejnovějšími aktualizacemi, ale ideálně i jeho nejnovější verzi.



Chrome i Flash Player obsahují nebezpečné trhliny

10.3.2016 Zranitelnosti
Obezřetní by měli být uživatelé internetu při prohlížení videí i webových stránek. Programy Google Chrome a Adobe Flash Player, které k této činnosti slouží, totiž obsahují nebezpečné trhliny. Záplaty jsou však naštěstí již k dispozici.
Tvůrci webového prohlížeče Chrome už minulý týden vydávali velký balík oprav, který sloužil jako záplata pro více než dvě desítky zranitelností, připomněl server Security Week.

Aktualizace z tohoto týdne opravuje pouze tři trhliny, přesto by s jejich instalací neměli uživatelé zbytečně otálet. Vývojáři totiž jejich důležitost označují jako vysokou. Takovéto chyby zpravidla mohou počítačoví piráti zneužít k propašování škodlivých virů do cizích počítačů.

Chyby jsou obsaženy v Chromu pro Windows, Linux i pro Mac OS X.

Propašovat mohou prakticky libovolný virus
Trhlinám v zabezpečení se nevyhnul ani oblíbený program Flash Player od společnosti Adobe. Ten slouží k přehrávání videí na internetu a na celém světě jej používají milióny lidí. Právě proto se na něj kyberzločinci zaměřují pravidelně a nové aktualizace vycházejí prakticky měsíc co měsíc.

Objevená zranitelnost může vést ke vzdálenému spuštění kódu, tedy k instalaci prakticky jakéhokoliv viru na cizím počítači. Ohroženi jsou přitom majitelé prakticky všech aktuálně dostupných operačních systémů.

Adobe navíc záplatovala tento týden také své další produkty – Acrobat, Reader a Digital Edition.

Chyby jsou i ve Windows a Internet Exploreru
V případě automatických aktualizací se uživatelé Chromu ani programů od Adobe nemusejí o nic starat. Pokud je však tato funkce vypnuta, je nutné navštívit webové stránky tvůrců a nejnovější záplatovanou verzi stáhnout manuálně.

Na pozoru by se měli mít také uživatelé operačního systému Windows a webových prohlížečů Internet Explorer a Edge. Také v nich byly objeveny kritické chyby. Microsoft je tento týden opravil v rámci pravidelných aktualizací, které vycházejí vždy druhé úterý v měsíci.



Čínští ISP vsouvají do stránek malware a inzerci

9.3.2016 Viry

Nejde přitom o nějaké malé poskytovatele připojení, přistiženy byly China Telecom a China Unicom, dva z největších ISP v zemi.
Podle trojice izraelských výzkumníků (viz PDF na Website-Targeted False Content Injection by Network Operators) se čínští poskytovatelé připojení k internetu věnují vsouvání obsahu do stránek, které navštíví jejich uživatelé. V systému proxy serverů do webů přidávají jak reklamy, tak odkazy na malware. Týká se to i situace, kdy návštěvník vstupuje na weby, které jsou hostované v systémech těchto ISP.

Alarmující na těchto aktivitách je, že se jí věnují i dva z největších ISP v zemi, China Telecom a China Unicom. Ty zároveň v zásadě vlastní veškerý provoz, který pochází od menších ISP a probíhá mezi nimi a zbytkem země či světa.

Celé to funguje tak, že je využíván systém detekce specifických URL, které jsou poté přesměrovány a zpracovávány. Ještě zajímavější je, že dochází ke zkoumání procházejících paketů a jejich modifikaci, ale bez zahození originálu. Spolu s originálem je pak posílán i změněný paket.

V praxi to poté znamená, že příjemce může ve finále získat jeden z těchto dvou paketů, originál nebo změněný. Využívá se i 302-Redirect místo původní 200-OK odpovědi, dojde tím k přesměrování na jiné webové stránky.

Zásah do komunikace probíhá ale pouze tam, kde je používána nezabezpečená komunikace, vyhnout se problémům lze tedy důsledným používáním https.


Outlook už e-maily nemaže. Microsoft opravil nepříjemnou chybu

9.3.2016 Zranitelnosti
Uživatelé poštovního klienta Outlook se v minulých dnech mohli setkat s nepříjemnou chybou, kvůli které se mazaly e-maily ze serveru. Díky nové opravě to však už nehrozí. Microsoft vydal aktualizaci v úterý.
Novinky.cz o chybě informovaly minulý týden po upozornění jednoho z čtenářů. [celá zpráva]

Vývojáři z Microsoftu o chybě věděli jen o několik dnů déle. To jinými slovy znamená, že na vytvoření záplaty jim stačily necelé dva týdny. Běžně se v takto krátkém čase řeší trhliny týkající se bezpečnosti uživatelů, o což v tomto konkrétním případě vůbec nešlo.

Microsoft Outlook 2016

Chyba se týkala pouze protokolu POP3
Chyba se týkala pouze uživatelů Outlooku 2016, kteří používali poštovní protokol POP3. Ten funguje tak, že uživateli se do počítače nebo chytrého telefonu stáhnou všechny e-maily a bez ohledu na to, zda je časem smaže či nikoliv, zůstanou uchovány na serveru.

Problém byl ale v tom, že v nejnovější verzi poštovního klienta od společnosti Microsoft byly e-maily mazány ze serveru okamžitě. A to i v případě, že v něm bylo nastaveno, že tak má učinit až po nějaké době.

Stahovat aktualizaci je možné prostřednictvím služby Windows Update.


Triviální chyba umožňovala krádeže účtů na Facebooku opakovaným hádáním hesla

9.3.2016 Zranitelnosti
Triviální chyba umožňovala krádeže účtů na Facebooku opakovaným hádáním hesla
Indický bezpečnostní inženýr Anand Prakash objevil závažnou zranitelnost v zabezpečení největší sociální sítě. Umožňovala změnu hesla oběti jen za pomoci hrubé síly.

Zranitelnost se nacházela v mechanismu obnovy zapomenutého hesla. Uživatel má v takovém případě možnost zaslání kódu pro obnovení hesla přes e-mail nebo telefon. Šestimístné číslo následně zadá přímo na Facebooku, přičemž nastaví heslo nové.

Síť podle Prakash blokuje zadávání kódu po 10 až 12 neúspěšných pokusech. Omezení se však dalo obejít přístupem přes adresy beta.facebook.com či mbasic.beta.facebook.com, kde nebylo implementováno. Útočník tak mohl hádáním číselných kombinací získat přístup k cílenému účtu. Znamená to sice milion možností, ale pro automatický skript by to byla jednoduchá, výkonově nenáročná úloha.

Po nastavení nového hesla se hacker přihlásí do účtu za pomoci e-mailu nebo telefonního čísla dané osoby. Může jít o známé údaje zejména v případech, kdy svou oběť zná.
Facebook se o chybě dozvěděl 22. února a chybu ihned s přispěním Prakashe opravil. Ind na oplátku dostal odměnu ve výši 15 tisíc amerických dolarů (370 tisíc korun).



Bezpečnost u mobilních zařízení

9.3.2016 Mobilní
Mobilní zařízení (tablety a chytré telefony) patří k velice diskutovaným zařízením v dnešním IT prostředí, a to zejména s ohledem na masivní nárůst jejich využití, a na druhé straně k potřebám pro zajištění bezpečnosti při používání těchto zařízení v pracovním prostředí firem.

Uživatelé mobilních zařízení se samozřejmě snaží o maximální využití těchto zařízení i pro pracovní účely, firma ovšem potřebuje také zajistit, aby nedocházelo k ohrožení přístupu k ICT systémům a případnému úniku citlivých dat z firmy. Snahou firem je zavádění různých prostředků, které by měly výše uvedené hrozby eliminovat, tyto prostředky však bohužel poměrně jasně inklinují k tomu, aby se tato zařízení pro jejich uživatele víceméně „uzamkla“.

Nejde samozřejmě o uzamčení zařízení jako takového, ale spíše o limitování využití některých funkcí nebo aplikací, a tím se celkově omezuje uživatelské využití, a to i pro případ využití zařízení pro čistě soukromé účely. Bezpečnost by měla být chápána spíše jako podpůrný prvek pro využití těchto zařízení, a ne fungovat jako sada omezení, které uživateli bude nařizovat, jak může dané zařízení využívat.

Nárůst popularity mobilních zařízení samozřejmě přinesl nové příležitosti a inovační trendy, zatímco současně s tím se objevila také určitá rizika. Hlavním problémem je, že uživatel se s mobilním zařízením pohybuje kdekoli a značnou dobu je mimo dohled a prostory firmy, pro kterou pracuje. Zařízení přitom disponuje možností přihlášení do firemních systémů a možností čtení nebo stahování firemních dat přímo do zařízení. Přitom zařízení může být ukradeno či jinak zneužito, a systémy a data firmy se tak ocitají ve vážném ohrožení.

Další trend, který je v současnosti potřeba vzít do úvahy, je tzv. BYOD (Bring Your Own Device) – tedy situace, kdy si zaměstnanci firem přinášejí do zaměstnání svá vlastní mobilní zařízení (a to podle vlastního výběru a preferencí) a je jim v určité míře umožněno přistupovat k firemním systémům a aplikacím. Když si představíme, jaké operační systémy pro mobilní zařízení jsou na trhu k dispozici (Android, iOS, Windows, BlackBerry), pak je zřejmé, že úloha zajištění jejich bezpečnosti pro IT oddělení je skutečně nelehká. Přestože výrobci OS v poslední době udělali značný pokrok z hlediska možnosti centrální správy a dohledu nad mobilními zařízeními, ale některé tyto systémy se liší svými verzemi na trhu, a tím je centrální správa značně složitější.

Možná ohrožení

V důsledku snadné zranitelnosti se tak stávají mobilní zařízení centrem pozornosti hackerských aktivit více než kterákoli jiná zařízení. Podle zveřejněných statistik společnosti Gartner se očekává, že v roce 2017 bude připadat na tři útoky na mobilní zařízení jeden útok na běžný desktopový počítač.

Mezi známé typy útoků se řadí zejména phishing nebo pharming, jejichž cílem je získání a následné zneužití osobních dat nebo jiných citlivých údajů, které se následně použijí k neautorizovanému přístupu do různých systémů (typicky se může jednat o bankovní účty apod.).

Další potenciální hrozbou se mohou stát i veřejné hotspoty Wi-Fi sítí, kde se v důsledku bezpečnostních nedostatků může naskytnout útočníkům prostor pro sledování komunikace na daném mobilním zařízení, odchytávání hesel, získávání e-mailů apod.

Dalším zdrojem potenciálních problémů jsou cloudové služby, kdy uživatelé mohou z mobilního zařízení ukládat citlivá data například na privátní cloud nebo jiné nedůvěryhodné úložiště.

Velkou hrozbou jsou ale samotní uživatelé mobilních zařízení. Byť IT oddělení definuje určitá pravidla pro používání těchto zařízení a provede správnou konfiguraci přístroje, uživatelé se mnohdy snaží tyto politiky obcházet. A občas je to poměrně jednoduché, protože obchody s aplikacemi nabízejí různé drobné aplikace, které dokážou bezpečnostní funkce jednoduše odblokovat. Dalším úskalím je pak nemožnost kontroly uživatelů, kdy a jak ze svého mobilního zařízení klikají na problematické a nedůvěryhodné odkazy a zařízení si nakazí škodlivým SW (viry, malware apod.).

Přístupy při ochraně zařízení

Pojďme si nyní popsat některé možné bezpečnostní scénáře:

Blokování používání mobilního zařízení:jedním z přístupů bezpečnostní firemní politiky může být snaha o omezení použití mobilního zařízení pouze na dobu, kdy je zaměstnanec na pracovišti, po zbylou dobu by mělo být zařízení blokováno pro použití. Pro uživatele toto opatření příliš uspokojivé určitě není a spíše povede k situaci, že uživatel bude chtít pravidla obcházet anebo zařízení nebude využívat vůbec.

Snaha aplikovat tradiční bezpečnostní přístupy:Jedním z dalších přístupů zajištění bezpečnosti mobilních zařízení je snaha uplatnění stejných bezpečnostních technologií, které jsou používány pro přenosné počítače (filtrování URL adres, IPS, antimalware apod.). Tento přístup však příliš k uspokojivým výsledkům nevede. Jakmile totiž uživatel opustí perimetr firmy, ve které pracuje, nelze již technologii efektivně uplatnit (odlišné připojení k internetu apod.). U jiných technologií, které se instalují na koncová zařízení (antivirové program apod.), zase narážíme na slabý výpočetní výkon nebo výdrž baterie.

Použití softwaru pro správu mobilních zařízení: Jedná se o SW nástroj, který by měl pokrýt komplexní požadavky na správu mobilních zařízení, a to zejména instalaci, údržbu verzí a smazání aplikací, správu zabezpečení a pravidel využívání zařízení a jeho komunikačních/síťových služeb. Samozřejmostí by měla být možnost provedení vzdáleného SW auditu na daném zařízení. Takový SW nástroj by pak měl včas zachytit přítomnost nežádoucí aplikace (nebo i např. jailbreak) nebo nevhodnou konfiguraci zařízení. Na trhu je dnes skutečně široká škála produktů pro správu mobilních zařízení (obecně se tyto SW nástroje označují zkratkou MDM – Mobile Device Management). Většina z nich se obvykle specializuje na celou škálu OS mobilních zařízení. Řešení je postaveno obvykle na principu klient-server, kdy na mobilním zařízení běží agent komunikující se serverovou částí, kam odesílá relevantní informace a zpětně na mobilním telefon přijímá instrukce k provedení konkrétních operací.


Přinášíme detaily k prvnímu vyděračskému malwaru pro Macy

8.3.2016 Viry
Hackeři sice svůj plán nedotáhli do konce, dle všeho však chtěli uživatele Maců přimět k zaplacení desetitisícového výkupného.

Uživatelé Maců se ocitli v ohrožení prvním funkčním ransomwarem cílícím právě na ně. Podle bezpečnostních odborníků se jeho tvůrci snažili najít způsob, jak zašifrovat data, aby uživatele přiměli k zaplacení výkupného.

Zdá se však, že KeRanger, jak byl ransomware nazván, byl objeven o něco dřív, než tvůrci zamýšleli. Odborníci z bezpečnostní společnosti Palo Alto Networks na něj přišli v pátek, jen pár hodin poté, co se dostal do sítě.

Už v pátek odpoledne tak o svém objevu mohli zpravit Apple a společnost tak v neděli mohla anulovat digitální certifikát, který malware využíval k podepisování, a zároveň Transmission, bittorentový klient, který byl zdrojem nákazy, mohl stáhnout infikovanou verzi a vydat bezpečný update.

A i díky tomu, že KeRanger byl opatřen třídenní „inkubační dobou“, kterou potřeboval k tomu, než mohl začít škodit, znepříjemnil život jen hrstce uživatelů. Ti následně čelili rozhodnutí, zda obrečet zašifrovaná data, nebo zaplatit výkupné stanovené na jeden Bitcoin, tedy zhruba 10 tisíc korun.

mbice tvůrců KeRangeru přitom byly daleko vyšší než jen zablokování souborů aktuálně uložených na disku, ransomware měl šifrovat i data zálohovaná prostřednictvím nástroje Time Machine, který je součástí OS X a uživateli je hojně využíván. Přitom právě pravidelné zálohování je jedním z obranných mechanismů, jak se platbě výkupného vyhnout.

„Ransomware je velice výnosná záležitost,“ hodnotí Thomas Reed ze společnosti Malwarebytes. „Pro kyberzločince to je největší zdroj příjmů.“ Podle Reeda se tvůrci škodlivého softwaru na blokování záloh začali soustředit až v poslední době, přičemž zálohování prostřednictvím Time Machine je dle něj nechvalně známé svou křehkostí.

A není tak vyloučeno, že tvůrci KeRangeru měli v úmyslu zálohovaná data nejen zablokovat, ale rovnou zcela zničit. „Pokud Time Machine užíváte s rozumem, je to v pořádku. Jestliže si ale se zálohami pohráváte skrz jinou aplikaci, můžete se dostat do problémů,“ varuje. „Nejlepší variantou je mít záloh několik, ovšem k počítači mít připojenou v daný čas vždy jen jednu.“


Phishing u Seagate, útočníci získali daňové dokumenty W-2 tisíců zaměstnanců

8.3.2016 Phishing
Phishing u Seagate, útočníci získali daňové dokumenty W-2 tisíců zaměstnancůDnes, Milan Šurkala, aktualitaPhishing může někdy pěkně zatopit a občas se jediný útok může týkat tisíců lidí. To se nyní stalo společnosti Seagate, která díky chybě jednoho zaměstnance útočníkům poskytla daňové dokumenty W-2 mnoha tisíců zaměstnanců.
Společnost Seagate řeší zapeklitý problém. Firma se stala obětí phishingu, kdy útočníci poslali e-mail jménem CEO společnosti Stephena Lucza. V něm požadovali daňové dokumenty W-2 zaměstnanců společnosti. Poněvadž žádost vypadala jako pravá, jeden ze zaměstnanců odpověděl a údaje poslal. Bohužel nešlo o legitimní žádost a údaje mnoha tisíců zaměstnanců společnosti Seagate se tak dostaly do nepovolaných rukou.

Úplně stejnou techniku použili útočníci i minulý týden u Snapchatu (opět jménem CEO společnosti požadovali W-2 dokumenty zaměstnanců). Seagate nabídnul dotčeným zaměstnancům dvouleté bezplatné monitorování účtů. Je pravděpodobné, že útočníci chtějí využít tyto údaje k neoprávněnému získání peněz, které se budou vracet z daní.



Nový firewall Cisco namísto omezování uživatelů sám vyhledává hrozby

8.3.2016 Zabezpečení
Cisco přepracovalo své firewally Firepower NGFW tak, aby podle svých slov namísto zaměření na regulaci aplikací naopak omezovaly rizika. Přístup lze prý přirovnat k ochraně rodinného domu – zatímco dříve se chránilo zabezpečením oken a dveří, nově se odhalují potenciální zloději.

Firepower Next-Generation Firewall řady 4100 podle výrobce představuje jejich vůbec první plně integrovaný firewall zaměřený na hrozby. Spolu s ním začala firma nabízet i asistenční službu Security Segmentation Service, která má firmám pomoci zavádět mj. bezpečnostní opatření pro zlepšení souladu s předpisy.

Firepower NGFW například propojuje kontextuální informace o tom, jak uživatelé přistupují k aplikacím, s aktuálními informacemi o hrozbách a s vynucováním pravidel. To urychluje odhalování a potlačování hrozeb.

Produkt je prý také jedním z prvních zařízení se 40Gb ethernetovým připojením v kompaktním provedení pro jednu pozici v racku. Firewall dokáže také na základě přehledu o zranitelnostech, informačních aktivech a hrozbách automatizovat a vylaďovat nastavení bezpečnostních opatření pro rychlé posílení obrany.

Novinka spojuje technologii firewallů a služby pro odhalování hrozeb do jediného řešení. Je založená i na řešeních třetích stran, kdy se umožňuje sdílení bezpečnostních a kontextových informací mezi různými systémy – třeba Radware for Distributed Denial of Service (DDoS).

Podniky tak podle výrobce mohou efektivně propojovat dříve nesourodé informace a díky nim rychleji odhalovat a reagovat na pokročilé útoky bez ohledu na to, kde k nim dojde.



Nebezpečná chyba DROWN je na 11 miliónech webů. V Česku jsou jich tisíce

7.3.2016 Zranitelnosti
Chyba DROWN, kterou mohou počítačoví piráti zneužít k odposlouchávání šifrované komunikace, se týká 11 miliónů webových stránek po celém světě. Upozornil na to server News Factor. V České republice jsou serverů, jež mohou být takto zneužity, tisíce.
O nebezpečné chybě DROWN informovaly Novinky.cz již minulý týden. [celá zpráva]

Už tehdy se hovořilo o tom, že zranitelnost se týká třetiny internetu. Přesné vyčíslení potencionálně nebezpečných serverů však ještě nebylo k dispozici.

S ohledem na 11 miliónů serverů po celém světě, které obsahují chybu DROWN, se zranitelnost logicky dotýká také podstatné části webů v České republice.

„Podle informací, které jsme doposud obdrželi, se problém týká téměř 13 000 IP adres. Všechny provozovatele těchto adres jsme již o tomto problému informovali,“ uvedla pro Novinky.cz analytička Zuzana Duračinská z Národního bezpečnostního týmu CSIRT, který je provozován sdružením CZ.NIC.

Jakých konkrétních webů se chyba týká, však neuvedla. To je vcelku logické, protože jinak by počítačoví piráti získali přehled o tom, na jaké servery se mohou zaměřit.

Uživatelé se bránit nemohou
Duračinská zároveň připomněla, že samotní uživatelé se proti útoku nemohou bránit. „Na straně uživatelů bohužel není možné se jakkoliv bránit. Potřebná opatření musí udělat dotčení provozovatelé služeb,“ doplnila.

Jediné, co mohou uživatelé dělat, je servery obsahující chybu nepoužívat. Ověřit, zda server obsahuje chybu DROWN je možné například zde. Stačí do kolonky vepsat požadovanou adresu a kliknout na tlačítko „Check for DROWN vulnerability”. Systém během chvilky vyhodnotí, zda daný web trhlinu obsahuje, či nikoliv.

Zranitelné mohou být webové stránky, mailové servery a jiné služby.
bezpečnostní analytik týmu CSIRT Pavel Bašta
Chyba se totiž týká šifrované komunikace, konkrétně staršího protokolu SSLv2. Právě kvůli tomu mohou zranitelnost opravit pouze provozovatelé serverů, nikoliv samotní uživatelé. Při návštěvě zranitelných stránek tak uživatelé nemusejí ani vědět, že něco není v pořádku.

Pokud se přihlašují na server, který obsahuje chybu, může být komunikace odposlouchávána. Když tedy zadají na počítači například přihlašovací údaje k internetovému bankovnictví, kyberzločinci se k nim mohou dostat díky chybě DROWN v podstatě ještě dřív, než dorazí na samotný server.

„Zranitelné mohou být webové stránky, mailové servery a jiné služby, které protokol TLS využívají,“ uvedl již dříve bezpečností analytik týmu CSIRT Pavel Bašta.


Plugin pro WordPress se může změnit v hrozbu, stačí změna majitele

7.3.2016 Zdroj: Lupa Hrozby

Roky spolehlivé pluginy pro WordPress se mohou proměnit v zásadní problém. Stačí, když se v nich objeví backdoor, který umožní převzít váš web.
Custom Content Type Manager (CCTM) je poměrně populární plugin pro WordPress, který slouží pro vytváření vlastních typů příspěvků. Najdete jej nainstalovaný na více než desítce tisíc webů. Sucuri ale varuje, že se v CCTM objevil backdoor.

Přišli na něj tak, že řešili napadený web a objevili podezřelý soubor auto-update.php právě ve složce s CCTM. Ten stahuje obsah z hxxp://wordpresscore .com/plugins/cctm/update/ a uloží ho do složky s CCTM jako PHP, tedy spustitelný soubor.

Při bližším zkoumání se potvrdilo, že zadní vrátka jsou přímo součástí CCTM, že nejde o výsledek napadení odjinud. A zjistili také to, že se zadní vrátka v CCTM objevila teprve 16. února 2016 v souvislosti s novým vlastníkem pluginu.

Právě změna vlastníků, ať už tím, že někdo původní plugin koupí, či se k vlastnictví dostane jiným způsobem, bývá nejčastějším momentem, kdy se z neškodných a spolehlivých věcí stávají škodlivé. Samotné CCTM přitom před touto změnou nebylo aktualizované dobrých deset měsíců – to je také jeden z příznaků, že je třeba si dát pozor: dlouho neaktualizované věci, které náhle dostanou aktualizaci. Sucuri upozorňují, že stejný nový vlastník se objevil u Postie pluginu.

Výše zmíněné auto-update.php ale není jedinou nebezpečnou změnou. V index.php se objevil přídavek, který se postará o odeslání informace na výše uvedené wordpresscore .com pokaždé, když se někdo přihlásí do svého webu. Velmi pravděpodobně slouží k tomu, aby se útočník dozvěděl, kde všude je plugin instalovaný.

Ve When a WordPress Plugin Goes Bad je také velmi detailní popis toho, jakým způsobem bylo právě CCTM použito pro hack. Ten spočíval ve využití auto-update.php pro stažení skriptu, který se postaral o změnu (vytvoření) wp-options.php. Následovaly zásahy do dalších souborů s vytvořením nového účtu správce. Změna dalších souborů navíc přinesla to, že útočník získal kompletní přihlašovací údaje.

Což ale není všechno. Další poměrně zvláštní změnou bylo přidání aktivace jquery.js z domény donutjs.com. Ta vypadá, jako kdyby skutečně byla zdrojem pro klasické jQuery, ale má řadu velmi podezřelých příznaků. Při bližším zkoumání zjistíte, že ve skutečnosti o jQuery vůbec nejde, uvnitř najdete pouze další skript, který nahlašuje instalaci/použití CCTM.

Máte ve Wordpressu CCTM nebo Postie?

Pokud ano, pak máte značný problém a měli byste se zbavit nejenom CCTM, ale také znovu nahrát čisté soubory wp-login.php, user-edit.php a user-new.php. Poté změnit hesla všem uživatelům, zrušit uživatele support a odstranit soubor wp-options.php, který se vám objevil v kořenové složce.

Pokud se bez CCTM neobejdete, tak je potřeba jít na poslední verzi, která není postižena – tou je 0.9.8.6. A k tomu nezapomenout na to, že automatické aktualizace (pokud jste je povolili) vám ji opět přepíší na napadenou variantu.


Ransomware je už i na Macu, stačilo stáhnout Transmission

7.3.2016 Zdroj: Lupa Viry

První plně funkční ransomware pro Mac zní jako dost velká věc na to, aby internet propadal panice. A ono se to tak trochu děje.
Palo Alto Networks nabízejí kompletní analýzu ransomware pro OS X skrývajícího se v podobě infikovaného instalátoru pro Transmission bittorent klienta. „KeRanger“, jak Palo Alto Networks tento nový virus pojmenovali, je dost dobře možná druhý ransomware pro OS X v historii (prvním je teoreticky FileCoder objevený Kaspersky Lab v roce 2014).

K infikování instalátorů pro Transmission došlo 4. března a napadena byla verze 2.90. Není známo, jakým způsobem k tomu došlo. Možná je kompromitovaný web, ale žádné bližší informace k dispozici nejsou.

Napadené instalátory jsou plně podepsané vývojářským certifikátem (jiným než běžným) a instalující uživatel nemá ponětí o tom, že vedle Transmission se mu do systému dostal další program.

Ten počká tři dny a poté se spojí s ovládacím serverem s pomocí sítě Tor a zahájí šifrování některých dokumentů a datových souborů v systému. Po dokončení klasicky zobrazí žádost o výkupné (jeden bitcoin). Pokud se budete chtít spoléhat na Time Machine pro obnovení, tak špatná zpráva je, že KeRanger se pokouší zašifrovat i obsah tam uložený.

Na Transmission webu už napadené instalátory nejsou, použitý certifikát byl Applem zneplatněn a antivirová data v XProtect už k KeRangeru obsahují potřebné informace.

Ve výše odkázané kompletní analýze viru je na konci i postup, jak ověřit, zda nejste tímto virem také napadeni. Lze to poznat jak podle přítomnosti některých souborů a disku, tak podle procesů v systému běžících.

Aktualizace XProtect antiviru znamená, že napadané verze Transmission nepůjde spustit. Případně je dobré vědět, že Transmission 2.92 by měla případně také pomoci v odstranění.


Nejlepší Antivir: podle testů AV Comparatives jsou výsledky těsné

7.3.2016 Zdroj: Živě Zabezpečení
Nezávislá testovací organizace AV Comparatives každoročně publikuje zprávu se souhrnnými výsledky z celoročního průběžného testování antivirových programů. Metodika testovaní se skládá z několika kategorií, které jsou hodnoceny zvlášť, přičemž o celkovém výsledku rozhodne souhrn těch dílčích. Hodnotí se úspěšnost v odstraňování malwaru, hledání infikovaných souborů, výkonnost, ochrana v reálném nasazení a proactive test.

Z celkového počtu dvaceti jedna testovaných antivirů všechny obdržely doporučující hodnocení, přesto ale některé vynikají více. Nejlepší hodnocení (Product of the year) obdržel software od Kaspersky Lab (konkrétně Kaspersky Internet Security).

Screen Shot 2016-03-06 at 00.09.36.png

Seznam všech testovaných antivirů a jejich výsledky v jednotlivých kategoriích

K prostudování výsledků nás motivoval rozsáhlý „falešní poplach“, který způsobil software od ESETu minulý týden. Na falešná hlášení se totiž antivirové programy rovněž testují a poslední test specializující se na tuto problematiku provedli v AV Comparatives v září loňského roku. Jak si vedl ESET? Zvítězil ještě spolu s dalšími dvěma programy, protože v rámci testu nenahlásil žádnou chybnou detekci. Případ z minulého týdne byl zjevně ojedinělý.

Screen Shot 2016-03-06 at 00.01.42.png

Testované antiviry v roce 2015

V celkovém hodnocení za rok 2015 získal Kaspersky ve většině kategorií nejlepší hodnocení a obhájil tak své prvenství z předchozího roku. V těsném závěsu se ale nachází hned šestice antivirů, které si také vedly velmi dobře. Tyto antiviry získávají ocenění „Top rated products“. S tímto označením z testu vyšel Avast, AVIRA, Bitdefender, Emsisoft, eScan a ESET.

Screen Shot 2016-03-06 at 00.30.21.png

Výsledky v kategorii „Real-world protection“, zde se hodnotí úspěšnost detektece škodlivého softwaru v reálném nasazení, zohledňuje se také míra falešných poplachů


Na Macy zamířil první funkční ransomware, šířil se skrz bittorrentový klient
7.3.2016 Zdroj: Živě
Viry

Ransomware je speciální typ malwaru, který má po infikaci za úkol zašifrování uživatelských dat. K jejich odemknutí je potom útočníky vyžadován poplatek, většinou v podobě bitcoinů. A zatímco v minulosti byl tento druh útoku doménou systému Windows, o víkendu se pravděpodobně poprvé rozšířil i do OS X. Zdrojem nákazy byl open-source nástroj Transmission, který slouží jako klient pro bittorrentovou síť. Šířil se přitom přes oficiální instalační balík.

Mac-Large.png

Transmission pro OS X, který o víkendu šířil ransomware

I když není jasné, jak se škodlivý kus kódu nazvaný OSX.KeRanger.A dostal do instalátoru, dokázal díky podepsanému vývojářskému certifikátu obejít i ochranu Gatekeeper v OS X. Nic mu potom nezabránilo vytvořit potřebné soubory, zašifrovat uživatelská data a začít komunikovat se servery útočníků prostřednictvím sítě Tor. Tam také byli uživatelé nasměrování pro zaplacení poplatku jednoho bitcoinu, tedy asi čtyř set dolarů, což mělo vést k odemknutí souborů.

Apple zareagoval jak zneplatněním vývojářského certifikátu, takže jsou uživatelé při instalaci důrazně varování před možným rizikem, tak aktualizací antivirového systému XProtect. Na webu Transmission potom visí upozornění na nutný update na verzi 2.92, která přinesla opravu a případné odstranění malwaru z OS.



Studie: devět z deseti SSL VPN je beznadějně nebezpečných

7.3.2016 Hrozby

Používat VPN je v dnešních dnech jedna z důležitých součástí bezpečnější komunikace po internetu. Ale co když samy VPN služby nejsou bezpečné?
Devět z deseti SSL VPN je nebezpečných pro uživatele, používá zastaralé či nedostatečné formy šifrování a představuje hrozbu pro data, která skrz ně posíláte. To je výsledek testu 10 436 veřejně dostupných SSL VPN serverů (z celkového počtu asi 4 milionů náhodně vybraných adres) od těch největších výrobců jako je Cisco, Fortinet či Dell.

77 % z nich používá SSLv3 protokol, zhruba stovka dokonce SSLv2. Oba tyto protokoly jsou nejenom zastaralé, ale hlavně mohou být zneužité řadou zranitelností a útoků. Ani jeden není považován za bezpečný.

76 % používá nedůvěryhodné SSL certifikáty, což je vystavuje riziku MITM (Man in the middle) útoku. Což v praxi může znamenat, že s pomocí falešného serveru se hackeři mohou dostat ke všemu, co posíláte.

74 % má certifikáty s nebezpečným SHA-1 podpisem, 5 % dokonce používá ještě starší MD5 technologie.

41 % používá nebezpečné 1024 bitové klíče pro RSA certifikáty. Obecně se předpokládá, že cokoliv pod 2048 bitů délky není bezpečné.

10 % SSL VPN serverů je založeno na Open SSL a zároveň stále napadnutelné nyní již hodně starým Heartbleed útokem (zranitelnost objevená v dubnu 2014).

Pouze 3 % vyhovují PCI DSS požadavkům a žádné SSL VPN nevyhovují NIST pravidlům.

Podrobnější informace najdete v 90% of SSL VPNs use insecure or outdated encryption, putting your data at risk, tedy přímo u autorů studie (testu), společnosti High-Tech Bridge.



Nebezpečná chyba ohrožuje třetinu internetu. Uživatelé se bránit nemohou

6.3.2016 Zranitelnosti
Bezpečnostní experti odhalili novou nebezpečnou trhlinu zvanou DROWN, která může být zneužita k napadení šifrované komunikace na webu. Kyberzločinci tak mohou snadno odposlouchávat přístupové údaje včetně hesel, nebo například čísla kreditních karet i s ověřovacími prvky. Zranitelnost se týká třetiny internetu, uvedl Národní bezpečnostní tým CSIRT.CZ.
Hlavní problém je v tom, že uživatel se před chybou nemůže nijak bránit. Zatímco před nejrůznějšími viry a trojskými koni jej dokážou ochránit antivirové programy, na zranitelnost DROWN jsou bezpečnostní aplikace krátké.

Chyba se totiž týká šifrované komunikace, konkrétně staršího protokolu SSLv2. Právě kvůli tomu mohou zranitelnost opravit pouze provozovatelé serverů, nikoliv samotní uživatelé. Při návštěvě zranitelných stránek tak uživatelé nemusejí ani vědět, že je něco v nepořádku.

V ohrožení e-mailová komunikace i bankovnictví
„Zranitelné mohou být webové stránky, mailové servery a jiné služby, které protokol TLS využívají,“ konstatoval Pavel Bašta, bezpečnostní analytik CSIRT.CZ, který je provozován sdružením CZ.NIC.

Ten zároveň detailně popsal, jak může být chyba zneužita: „K využití DROWN zranitelnosti může dojít v případě, že služba umožňuje využívaní SSLv2 a TLS zároveň nebo je soukromý klíč využíván ještě na jiném serveru, který podporuje SSLv2. Výsledkem úspěšného zneužití zranitelnosti může být prolomení TLS komunikace mezi serverem a uživatelem.“

Co to znamená pro uživatele v praxi? I když se pohybují na zabezpečených stránkách, například v e-mailové schránce nebo v internetovém bankovnictví, neznamená to, že je jejich komunikace skutečně bezpečná.

Komunikace může být odposlouchávána
Pokud se přihlašují na server, který obsahuje chybu, může být komunikace odposlouchávána. Když tedy zadají na počítači například přihlašovací údaje k internetovému bankovnictví, kyberzločinci se k nim mohou dostat díky chybě DROWN v podstatě ještě dříve, než dorazí na samotný server.

Trhlinu přitom obsahuje nezanedbatelná část webů po celém světě. „Podle předběžných odhadů je zranitelných až 33 % stránek využívajících HTTPS protokol,“ doplnil Bašta.

Jakých konkrétních webů se zranitelnost DROWN týká, však neuvedl. Je nicméně více než pravděpodobné, že jen v České republice budou tisíce serverů obsahujících chybu.

Otázka je, jak rychle dokážou poskytovatelé jednotlivých služeb zareagovat a své systémy skutečně opravit. Bezpečnostní experti o tom vědí své, i přes závažnost Chyby krvácejícího srdce příslušnou záplatu nenainstalovala ani rok po objevení více než polovina firem po celém světě.

Kvůli Chybě krvácejícího srdce mohli útočníci disponovat například přihlašovacími uživatelskými údaji, a to včetně soukromých hesel k e-mailům, sociálním sítím, on-line bankovnictví nebo nejrůznějším internetovým obchodům. Vzhledem k tomu, že řada účtů je navázána na platební karty, byla hrozba nebezpečí o to závažnější.

Mezi postiženými byly i velké portály, jako jsou například Yahoo.com, Flickr.com či Mail.com. I proto se podle BBC jednalo o jednu z nejzávažnějších bezpečnostních trhlin v historii internetu. Chyba, která by v takovém rozsahu vystavila internet potenciálním útokům, se totiž zatím nikdy neobjevila.



Detekce důmyslných útoků pomocí analýzy chování

6.3.2016 Zabezpečení
Big data a strojové učení pomáhají téměř v reálném čase posoudit riziko aktivit uživatelů, zda ještě vyhovují normě či naopak už jsou tzv. za hranou.

Zaměstnanec denně používá během pracovní doby legitimní oprávnění pro přístup k podnikovým systémům z podnikového pracoviště. Systém zůstává v bezpečí. Najednou však dojde po půlnoci k použití stejných oprávnění pro přístup k databázovému serveru a spustí se dotazy, které uživatel nikdy předtím nezadával. Je systém stále v bezpečí?

Možná je. Správci databáze musejí koneckonců dělat údržbu a údržba se obvykle činí po pracovní době – některé operace údržby vyžadují vykonání nových dotazů. Ale možná také není. Mohlo dojít k vyzrazení přihlašovacích údajů uživatele a právě může probíhat pokus o ukradení dat.

Konvenční bezpečnostní kontroly na takovou situaci neposkytnou jednoznačnou odpověď. Statická obrana perimetru již nestačí pro svět, ve kterém se krádeže dat stále častěji vykonávají prostřednictvím ukradených přihlašovacích údajů uživatelů.

Tyto případy však nelze srovnávat se zločinnými zaměstnanci, kteří zneužijí své přihlašovací údaje. Také současná prostředí BYOD mohou zcela zničit statický perimetr, jak dochází k neustálému přidávání nových pravidel pro externí přístup.

Jedním z inovativních přístupů se označuje jako analýza chování uživatelů (UBA, User Behavior Analytics). Dokáže tuto hádanku řešit pomocí analýz big dat a algoritmů strojového učení, které téměř v reálném čase posuzují riziko aktivit uživatelů.

Co umí UBA?

UBA využívá modelování k popisu normálního chování. Toto modelování zahrnuje informace o uživatelských rolích a funkcích z aplikací personálního oddělení a z adresářů včetně přístupu, účtů a oprávnění, aktivity a geografické lokalizační údaje shromážděné ze síťové infrastruktury, upozornění od obranných bezpečnostních řešení atd.

U těchto dat se vyhodnocují souvislosti a analyzují se na základě předchozích a současných aktivit. Tyto analýzy zohledňují mimo jiné také typy transakcí, využívané zdroje, trvání relací, konektivitu a obvyklé chování jedinců ze stejné skupiny.

UBA zjišťuje, co je ještě normální chování a co už jsou nezvyklé aktivity. Jestliže původně anomální chování jedné osoby (například půlnoční databázové dotazy) následně začnou vykonávat i další jedinci z téže skupiny, přestane se to považovat za střední či vysoké riziko.

Dále UBA vykonává modelování rizik. Anomální chování se automaticky nepovažuje za riziko. Musí se nejprve vyhodnotit z perspektivy potenciálního dopadu.

Pokud anomální činnost zahrnuje zdroje, které nejsou citlivé, jako jsou například informace o využití konferenční místnosti, je potenciální dopad nízký. Naopak pokusy o přístup k citlivým souborům, jako je například duševní vlastnictví organizace, však dostávají mnohem vyšší hodnocení.

Následně se riziko pro systém, tvořené určitou transakcí, definuje pomocí vzorce Riziko = Pravděpodobnost x Dopad.

Pravděpodobnost ve vzorci souvisí s pravděpodobností, že je dotyčné chování uživatele anomální. Zjišťuje se s využitím algoritmů pro modelování chování. Dopad se odvodí z úrovně důvěrnosti a důležitosti informace, se kterou se pracuje, a z kontroly, jež se používá pro práci s těmito údaji.

Transakce a jejich vypočítaná rizika se poté mohou spojit s konkrétním uživatelem, který tyto transakce vykonává, a výsledně se určí úroveň rizika.

Výpočet uživatelského rizika obvykle zahrnuje další faktory, jako jsou stupeň důvěrnosti aktiv, oprávnění, potenciální zranitelnosti, zásady atd. Jakékoli zvýšení těchto faktorů zvýší skóre rizika tohoto uživatele.

Všechny faktory v těchto výpočtech mohou ale mít své vlastní váhové hodnoty pro automatické vyladění celkového modelu.

Nakonec UBA sbírá, koreluje a analyzuje stovky atributů včetně situačních informací a informací o hrozbách od třetích stran. Výsledkem je bohatá množina dat s velikostí v řádu petabajtů, která zohledňuje kontext.

Podpora strojového učení

Algoritmy strojového učení UBA mohou nejen odfiltrovat a eliminovat falešné poplachy a vytvořit inteligenci pro riziko, kterou lze využít pro rozhodování, ale mohou také na základě shromažďovaných informací revidovat normy, předpovědi a celkové procesy hodnocení rizik...



OpenSSH 7.2: SHA-2 a chytřejší ssh-agent
5.3.2016
Zabezpečení
Po několika rychle vydaných verzích OpenSSH, opravujících několik závažných bezpečnostních chyb, přichází opět verze s novými funkcemi.
Facebook Twitter Google+ Líbí se vám článek?
Podpořte redakci
8 NÁZORŮ
Bezpečnost (nejen posledních verzí)

Poslední verze, která přišla s novými funkcemi a prošla řádným testováním, byla verze 6.9. Následující verze 7.0p1 přinesla několik nových funkcí, ale hlavně opravovala čtyři závažné bezpečnostní chyby, primárně související s integrací PAM (CVE-2015–6563, CVE-2015–6564), špatným nastavením přístupu k TTY na serveru (CVE-2015–6565) a možností překročit povolený počet pokusů o zadání hesla při využití ChallengeResponseAuthentication (CVE-2015–5600).

Následující verze 7.1p1 vyšla deset dní po verzi 7.0 a opravovala logickou chybu ve vyhodnocování nastavení PermitRootLogin without-password, která mohla nastat v závislosti na nastavení v čase kompilace.

Roaming
Další verze, 7.1p2, přišla v polovině ledna a zakazovala funkci Roaming, která byla ve výchozím nastavení povolená a zneužitelná ze strany modifikovaného serveru (CVE-2016–0777, CVE-2016–0778, CVE-2016–1907). V posledních verzích již existovaly různé obranné mechanismy zabraňující úspěšnému zneužití, ale tato funkce existovala od verze 5.4, tedy více než 6 let a při určitých okolnostech mohla vést k odeslání části paměti s privátním klíčem zákeřnému serveru.

Aktuální verze tedy odebírá celý kód související s funkcí Roaming, který nikdy nebyl pořádně zdokumentovaný, otestovaný a mohl by být zdrojem dalších problémů. Výchozí konfigurace nově nastavuje sandbox před-autentizačního procesu (na Linuxu je dnes většinou použitý seccomp, na OpenBSD pledge) minimalizující jeho privilegia.

X11 a staré algoritmy
Nová verze opravuje další problém spojený s tunelováním X11 protokolu na dnešních systémech bez rozšíření XSECURITY, kdy výchozím chováním bylo tiché ignorování selhání požadavku na Untrusted spojení a použití neomezeného.

Aktuální verze posouvá minimální velikost akceptovaných prvočísel pro výměnu klíčů pomocí DH na 2048 bitů, která je zatím za hranicí potenciálního prolomení (Logjam).

Dále je ve výchozím nastavení klienta zakázána většina historických algoritmů ( blowfish-cbc, cast128-cbc, arcfour-*, ...) na straně klienta. Ty byly již dříve odebrány z výchozí serverové konfigurace. Stejně tak jsou nově zakázány HMAC algoritmy používající ořezané/zkrácené MD5.

Nové funkce

SHA-2
První novinkou, které se můžeme dočkat, je možnost použití SHA-2 256 a SHA-2 512 při autentizace privátním RSA nebo DSA klíčem. V původním protokolu SSH2 (rfc4253) je pevně určen hashovací algoritmus SHA-1, který již není doporučovaný. Proto došlo k rozšíření protokolu (zatím k dispozici jako návrhy, pod hlavičkou Bitvise – komerční SSH server a klient pro Windows) o tyto nové algoritmy pro podpis, o standardní možnost tyto algoritmy oznamovat druhé straně a následně používat. Pro uživatele se v tomto směru nic nemění, ale jedná se o další krok k větší flexibilitě, robustnosti a vyšší bezpečnosti samotného protokolu.

Inteligentní ssh-agent
Další užitečnou funkcí je změna procesu, jakým je možné používat ssh-agent. Dosud bylo potřeba před použitím klíče z ssh, ručně přidat klíče do agenta a klíč „odemknout“. Nyní je možnost přidávat klíče „za běhu“, v tu chvíli kdy klíč poprvé použijeme. To umožňuje omezit počet odemčených klíčů při startu systému na minimum a s vhodným nastavením životnosti klíčů v agentovi (přepínač -t), je můžeme také automaticky „zamykat“. Tato funkce je ve výchozím nastavení vypnutá, ale věřím, že si brzo najde své uživatele, až většina distribucí aktualizuje.

Příklad chování:

[me@f24 ~]$ ssh-copy-id -f -i ./rsa.pub test@f24
test@f24's password:
[me@f24 ~]$ ssh-add -l
The agent has no identities.
[me@f24 ~]$ ssh -i ./rsa -oAddKeysToAgent=yes test@f24
Enter passphrase for key './rsa':
[test@f24 ~]$ logout
Connection to localhost closed.
[me@f24 ~]$ ssh -i ./rsa -oAddKeysToAgent=yes test@f24
[test@f24 ~]$
Kromě striktních možností, které zakazují nebo povolují tuto funkci, existuje také možnost „ask“, která se před přidáním klíče zeptá pomocí dialogu ssh-askpass.

Omezení klíčů na serveru
K dalšímu zjednodušení došlo na straně serveru v možnosti přidávat omezení jednotlivým klíčům. Tato funkce je většinou použita pro skripty provádějící vzdáleně jeden určitý úkol. Dosud bylo potřeba přidávat dlouhý seznam privilegií ( no-pty,no-port-forwarding,no-agent-forwarding,no-X11-forwarding,...), kterými chceme připojujícího se uživatele omezit. Nyní je možné použít klíčové slovo restrict, které nahrazuje všechna zákazová klíčová slova, včetně těch v budoucnosti přidaných, a pokud chceme některou akci povolit, je to možné pomocí explicitního whitelistu ( restrict,pty,port-forwarding,...).

Další rozšíření dostaly také nástroje ssh-keygen a ssh-keyscan, hlavně v souvislostí se zpracováním certifikátů a otisků klíčů.

Opravy chyb

Proběhla aktualizace nástroje ssh-copy-id, který obsahoval v posledních verzích několik problémů. Možnost obměny klíčů sezení (rekey) se dočkala revize pro velké množství přenesených dat, které bylo problémové.

SFTP server vyžaduje rozšířený glob(), jehož struktury nejsou binárně kompatibilní s verzí poskytovanou Linuxem. Tato funkce a její struktury byly přejmenovány jako příprava pro podporu klíčového slovaInclude v rámci konfiguračních souborů.

Více informací naleznete v oficiálním oznámení. Pokud si chcete nové funkce OpenSSH vyzkoušet, balíčky pro aktuální Fedoru jsou již k dispozici.


Historie hackingu: Vývoj virů v dokumentech

5.3.2016 Hacking
Dlouhé roky to byla nezpochybnitelná pravda informační bezpečnosti: dokumenty nemohou obsahovat viry, zavirovat lze pouze spustitelné soubory (maximálně boot sektory disket a disků). Historie nám ovšem už mnohokrát ukázala, že věčné pravdy jen málokdy platí věčně, a v počítačové bezpečnosti zvláště.

Dlouhé roky se viry dokumentům vyhýbaly. Prostě proto, že je nešlo kam vložit: ať se autor snažil sebevíc, nikdy spustitelný kód nedostal příležitost.

Dnes s odstupem času a o desítky let zkušeností (inu, po bitvě je každý generál) můžeme říci, že jsme měli spíše štěstí: nějaká bezpečnostní chyba umožňující spuštění kódu „propašovaného“ do dokumentu by se tehdy už bezesporu našla, zvláště v době, kdy byla bezpečnost přehlíženou Popelkou. Leč nikdo se o nic podobného nepokoušel.

Pokud si odmyslíme možnost bezpečnostní chyby, pak lze konstatovat, že dokumenty škodlivé kódy obsahovat nemohou. Dokument je totiž soubor, který skutečný program (grafický či textový editor apod.) pouze zobrazí, ale nevykoná jej. Jinými slovy – kniha s návodem na výbušninu vám z principu věci v ruce také neexploduje.

MS Office mění hru

Jenže co je jednoduché v reálném světě, bývá v kyberprostoru zpravidla jinak. Stačí se podívat do osudového roku 1995, kdy na svět přišly Windows 95. A s nimi i kancelářský balík Office s netušenými možnostmi a vlastnostmi.

Jednou z nich byla i schopnost vkládat do dokumentů makra. Záměrem tvůrců bylo zjednodušit uživatelům dělání nudných, složitých nebo opakujících se operací: ty bylo možné nahradit vložením skriptu, který za ně vše vykonal.

Tvůrci konceptu ovšem dali makrům do vínku velmi silný jazyk: Visual Basic, což znamenalo, že makra mohla téměř cokoliv včetně formátování disku nebo rozesílání e-mailů.

První demonstrační makrovirus tohoto typu přišel v prosinci 1994 a měl název DMV (Document Macro Virus). Přesněji šlo o dva různé makroviry: jeden pro Word, druhý pro Excel. Šlo jen o ukázkové kódy, které měly sloužit coby varování.

V srpnu 1995 (ve stejném měsíci, kdy se začaly prodávat Windows 95) pak přišel skutečný makrovirus. Jmenoval se Concept a nad jeho původem se dodnes vznáší celá řada otazníků.

Jeho autor měl totiž výtečnou znalost prostředí maker: takovou, jakou nelze dosáhnout ani velmi důkladným studiem. Dodnes se spekuluje (ověřit to pochopitelně nelze), že Concept vytvořil některý ze zaměstnanců Microsoftu, který se na vývoji koncepce přímo podílel.

Concept se každopádně stal jedním z historicky nejrozšířenějších virů. Důvod je jednoduchý: na příchod makrovirů nebyli připraveni uživatelé ani antivirová ochrana. Ti prvně jmenovaní roky poslouchali, že dokumenty prostě nemohou obsahovat viry. Ti druzí pak na tomto předpokladu postavili své algoritmy.

Vše ale bylo třeba změnit a nebylo to vůbec jednoduché. Antivirové firmy například opakovaně (a také marně) žádaly Microsoft o zveřejnění některých funkcí či parametrů, které by jim umožnily efektivně makroviry potírat. Asi nikoho tak nepřekvapí, že podíl makrovirů na celkovém počtu škodlivých kódů skočil během jediného roku z nuly na devadesát procent.

České kotliny se tenkrát tento problém příliš netýkal, protože při překládání kancelářského balíku do češtiny si někdo dal práci a přeložil nejen hlášky, ale i vnitřní strukturu.

Makroviry psané pro anglické prostředí tak v Česku neměly šanci. Když například hledaly instrukci „Open“, nepochodily. Protože v tuzemské struktuře byl příkaz „Otevřít“.

Lotus 123 a JPG

Ale abychom nenasazovali psí hlavu jen systému Windows: makra v dokumentech existovala již dříve. Demonstrativně bylo prokázané, že pro prostředí Lotus 123 bylo možné vytvářet sebereplikační makra. Teoreticky dokonce již od roku 1989, kdy byla tato funkce do prostředí implementována.

Prakticky se ale viry v Lotusu 123 nikdy nestaly problémem. A to díky tomu, že tam implementovaný jazyk byl velmi slabý. A také třeba i proto, že aktivace makra nebyla vůbec jednoduchá a zvládl ji jen zkušený uživatel. Hypotetický makrovirus by tak vyžadoval opravdu významnou pomoc.

Pandořina skříňka se každopádně otevřela. Programátoři objevili sílu maker, takže je začali přidávat do všech možných i nemožných aplikací. Světem se tak začaly šířit makroviry pro Corel (GaLaDRieL) nebo AutoCad (ACAD.Star).

Skutečně značné nebezpečí ale představoval až škodlivý kód Perrun, jenž se objevil v roce 2002 a který byl schopný infikovat formát obrázků JPG.

Řešil to sice jistou obezličkou (do formátu JPG přidával spustitelný kód a pomocí zvláštního EXE souboru s odkazem v registrech se na něm odkazoval), ale zbořil další dogma.

Pak se objevilo ještě několik škodlivých kódů, které byly schopné JPG infikovat (například modifikací metadat), ale naštěstí se příliš neprosadily.

Důvod byl prozaický: ve stejné době vrcholila „zlatá éra e-mailových červů“. Tyto kódy byly mnohem rychlejší, cílenější a pro útočníky pohodlnější, takže tvorba nějakých virů v dokumentech hackery příliš nezajímala.

Což je možná dobře, protože kdyby se škodlivé kódy v obrázcích významně rozšířily, kybernetický svět by zřejmě dnes vypadal krapet jinak.

Návrat krále?

Po určitém útlumu každopádně viry v dokumentech zažily svůj návrat. Nejprve se jim podařilo dobýt PDF formát (před deseti lety byla významná část dokumentů v tomto formátu na webu nějakým způsobem infikovaná, důvodem byla absence záplatovacího mechanismu na straně výrobce programu).

A dnes se hojně využívají k cílovým útokům třeba v případě průmyslové špionáže.



Komplexní bezpečnostní služby včetně školení v češtině nabízí Kaspersky

4.3.2016 Zabezpečení
Služby Security Intelligence Services, které slouží především pro bezpečnostní operační střediska, korporace a poskytovatele služeb, spustil Kaspersky Lab. V jeho rámci Security Intelligence Services mají uživatelé k dispozici data o hrozbách, reporting zpravodajských informací, online a onsite školení a program zvýšení povědomí o bezpečnosti nebo specializované služby jako penetrační testování a posouzení zabezpečení aplikací.

Služby se skládají ze tří hlavních součástí – analýzy bezpečnosti, školení a zpravodajství o hrozbách. Ty jsou navrženy tak, aby splňovaly požadavky korporací, vládních agentur, poskytovatelů internetového připojení, telekomunikačních společností a poskytovatelů bezpečnostních služeb.

Novinka v podobě analýzy bezpečnosti zahrnuje penetrační testování a posouzení zabezpečení aplikací. Tyto služby umožní klientům předvídat specifika kybernetického útoku ještě před tím, než se odehraje. Podporou těchto služeb se zabývá specializovaný tým analytiků Kaspersky Lab, který může otestovat zabezpečení podniku proti široké škále napadení.

Školení kybernetické bezpečnosti uplatňuje techniky herních designů (gamifikace) a je založené na nejnovějších zpravodajských informačních službách v oblasti sociálního inženýrství a cílených útoků, čímž prý ztělesňuje princip prožitkového učení. Tento program určený zaměstnancům je možné vést i v češtině. A konečně zpravodajství nabízí přístup k datům Kaspersky Lab skrze datové kanály pro informace o hrozbách a sledování botnetů. Datové kanály pro informace o hrozbách obsahují nejaktuálnější data o škodlivých programech a URL adresách, phishingových útocích a mobilních hrozbách.

Navíc jsou kompatibilní s oblíbenými SIEM (Security Information and Event Management) řešeními třetích stran. Informace jsou dostupné také ve formě reportingu o hrozbách, který je připravován na míru na základě specifických aspektů prostředí hrozeb a zpráv o nejnovějších a nejsofistikovanějších hrozbách.



Hacknout Pentagon a dostat zaplaceno? Vojáci spouští bug bounty program

3.3.2016 Hacking

Nápady ze Silicon Valley má v rámci amerického ministerstva obrany prosazovat Eric Schmidt.
Ačkoliv plno technologií vzniká napřed pro armádu a pak se teprve dostane do běžného prodeje, v digitálním světě je situace přinejmenším vyrovnaná. Americká armáda chce posílit především v bezpečnosti. Kyberprostor je už prostě dalším bojištěm.

Eric Schmidt se stal hlavou nové pracovní skupiny s názvem Defense Innovation Advisory Board. Ta by měla pomoci Pentagonu vstřebat a nasát nápady ze Silicon Valley. Americká vláda tak zkouší to, o co se poslední dobou snaží i korporace.

Tento týden rozjely úřady vlastní bug bounty program s názvem Hack the Pentagon. V jeho rámci bude platit hackerům za objevení bezpečnostních děr v systémech ministerstva obrany. Kromě toho se často snaží naverbovat hackery, kteří by posílili jednotky pro boj v kyberprostoru.

TIP: Facebook loni hledačům chyb vyplatil skoro milion dolarů

Tím to jen začíná. Schmidtův jedenáctičlenný tým by měl podle informací CNN hledat problémy, se kterými se Pentagon potýká při používání technologií a přinášet rychlá řešení. Zároveň ale nebude mít přístup k vojenským datům.

Schmidt má s vládou dlouholeté zkušenosti. A ne zrovna pozitivní. V zásadě mu vadí, jak moc chtějí úřady strkat nos do databází firem ze Silicon Valley. Je dlouhodobým odpůrcem státního sběru dat a naposledy se připojil k Applu v kauze zablokovaného mobilu střelce ze San Bernardina.


Apple vydal záplatu záplaty. Po aktualizaci lidem přestal fungovat internet

3.3.2016 Zranitelnosti
Bezpečnostní experti uživatelům neustále radí, jak je důležité mít aktualizovaný operační systém, aby se do něj přes nalezené trhliny nedostali žádní nezvaní návštěvníci. Jenže všechny aktualizace se ne vždy povedou, jak se na vlastní kůži v minulých dnech přesvědčili uživatelé počítačů od Applu. Bezpečnostní záplata jim totiž zablokovala internetové připojení.
Problém se týkal uživatelů, kteří používají operační systém OS X El Capitan. Sluší se zmínit, že právě na této verzi funguje drtivá většina notebooků a stolních počítačů od amerického počítačového gigantu. Ten totiž vždy nejnovější verzi systémů nabízí uživatelům jako bezplatnou aktualizaci.

Na minulý týden byla pro El Capitana vydána bezpečnostní záplata, která opravovala chybu týkající se samotného jádra systému. Tu mohli kybernetičtí zločinci zneužít k propašování prakticky libovolného viru na napadený počítač, nebo jej na dálku klidně i ovládnout.

Oprava vyšla během pár dní
S instalací aktualizace tak většina uživatelů z pochopitelných důvodů neotálela. Problém však nastal po instalaci, přestalo totiž fungovat připojení k internetu prostřednictvím ethernetové zástrčky (klasického síťového rozhraní), upozornil server Security Week.

Programátoři amerického počítačového gigantu proto neváhali a během pár dní vydali záplatu záplaty. „Společnost Apple o víkendu vydala opravu bezpečnostní záplaty pro systém OS X El Capitan,“ uvedl bezpečnostní analytik Pavel Bašta z týmu Národního bezpečnostního týmu CSIRT.

Podle něj po instalaci nejnovější aktualizace začne internetové připojení opět fungovat.


Eset expanduje v západní Evropě, otevírá pobočku ve Velké Británii

3.3.2016 Zabezpečení
Během pěti let chce Eset zdvojnásobit lokální tým a výhledově se dostat mezi tři největší prodejce bezpečnostních řešení pro IT ve Velké Británii.

Otevření vlastní obchodní a distribuční pobočky ve Velké Británii navazuje na dlouholetou spolupráci s partnerskou společností DESlock. Společnost Eset provedla akvizici tohoto dodavatele šifrovacích řešení v roce 2015 a rozšířila tak své technologické portfolio.

„Věříme, že spojení lokálního týmu Eset UK s našimi globálními schopnostmi, know-how a zkušenostmi vytvoří dokonalou kombinaci, díky které posílíme naši pozici na britském trhu,“ říká Richard Marko, generální ředitel společnosti Eset. Dodavatel bezpečnostních řešení působí ve Velké Británii prostřednictvím partnerské společnosti DESlock přes deset let.

Pobočku Eset UK se sídlem v Bournemouthu na jihu Anglie povede obchodní a marketingový ředitel společnosti Eset pro region EMEA Miroslav Mikuš. Všichni zaměstnanci bývalého exkluzivního partnera se stávají zaměstnanci společnosti Eset. Ta očekává, že během následujících pěti let by se měl její tým ve Velké Británii přinejmenším zdvojnásobit.

„S týmem ve Velké Británii jsme zejména v posledních letech velmi úzce spolupracovali a velice nás těší, že můžeme tuto spolupráci posunout ještě dále, aby se značka bezpečnostních řešení od společnosti Eset stala atraktivnější jak pro domácnosti, tak pro firmy a běžné uživatele. Výhledově bychom se chtěli dostat mezi tři největší prodejce bezpečnostních řešení pro IT ve Velké Británii,“ říká Mikuš.

„Během prvního roku existence nové pobočky se zaměříme na rozšíření týmu, co nejkvalitnější technologickou podporu a komunikaci s prodejci, abychom v dlouhodobém horizontu optimalizovali naši partnerskou síť ve Velké Británii,” dodává Mikuš.

Vznik samostatné pobočky ve Velké Británii je součástí dlouhodobé strategie společnosti. Jejím cílem je posilovat pozici na tomto nejdůležitějším trhu s bezpečnostními řešeními pro IT v rámci regionu EMEA, aby si v prodejích i nadále udržela dvouciferný meziroční růst.

V Evropské unii provozuje Eset již osm poboček a výzkumných a vývojových center. Otevření britské pobočky následuje po zřízení zastoupení společnosti Eset v Německu, ke kterému došlo v roce 2013.



Apple opravuje chyby v Apple TV. Útočníci přes ni mohli tahat data

2.3.2016 Zranitelnosti
Zhruba 60 chyb opravila společnost Apple ve své chytré krabičce pro „hloupé televize“ Apple TV. Chyby se nahromadily i proto, že firma přistoupila k updatu systému poprvé od loňského dubna. Nová verze systému třetí generace má označení 7.2.1. Firma vydala i dvě záplaty pro čtvrtou generaci Apple TV, která běží na systému tvOS.

Jak píše server Security Week, některé chyby jsou tak závažné, že je mohli útočníci zneužít k spuštění závadného kódu nebo ukradení informací. Stejné chyby, jaké mají aplikace v Apple TV, přitom již firma řešila u stejných aplikací v jiných operačních systémech.


Útok DROWN využívá staré chyby v SSLv2

2.3.2016 Počítačový útok
Informace o útoku nazvaném DROWN (Decrypting RSA with Obsolete and Weakened eNcryption) zveřejnil mezinárodní výzkumný tým 1. března. Využívá 17 let staré chyby v dnes již překonaném, ale stále používaném protokolu SSLv2.

„Jde o vážnou zranitelnost, která se dotýká protokolu HTTPS a dalších služeb závisejících na SSL a TLS, tedy klíčových šifrovacích protokolů nezbytných pro zabezpečení na internetu,“ uvádí autoři studie (dostupná v PDF). „Zranitelné mohou být webové stránky, mailové servery a jiné služby, které protokol TLS využívají,“ dodává český Národní bezpečnostní tým.

Zranitelné jsou ty servery, které:

povolují zastaralý protokol SSLv2
využívají klíč, který je zároveň využit serverem povolujícím SSLv2
Princip útoku DROWN
Princip útoku DROWN: Útočník napadne server požadavky SSLv2 a získá tak údaje, které využije k dekódování dat oběti přenášených přes TLS.Ohrožené jsou servery, které využívají TLS i SSLv2 protokoly, nebo servery, které používají SSLv2 protokol a sdílí klíč s jiným TLS serverem. Celkem je tak zranitelných 33 % webových serverů.
Zobrazit galerii

Podle odhadu autorů je zasažena čtvrtina až třetina všech internetových serverů. „Tento problém je srovnatelný s chybou Heartbleed (více o Heartbleed zde). I v tomto případě může dojít k dešifrování komunikace,“ uvedla pro Technet.cz Zuzana Duračinská, bezpečnostní analytička sdružení CZ.NIC.

Po celém světě jsou zranitelné miliony serverů. V České republice jsou to tisíce. „Podle informací, které jsme včera obdrželi, se problém týká téměř třinácti tisíc IP adres,“ řekla Duračinská. „Všechny provozovatele těchto adres jsme již o tomto problému informovali.“

Řešení: okamžité i dlouhodobé
Každý provozovatel webových serverů si může ověřit, zda je jeho server napadnutelný útokem DROWN. Nejjednodušší ochranou je zakázat protokol SSLv2 na všech serverech. Některé webové servery (např. Microsoft IIS od verze 7.0) a knihovny (např. OpenSSL od verze 1.0.2g) jsou takto již nastavené, u jiných je potřeba toto nastavení upravit.

Uživatelé nemohou pro svou ochranu v tuto chvíli udělat nic, na straně klienta není proti útoku DROWN obrany. Maximálně se mohou vyhýbat serverům, které nejsou zabezpečené. To nám potvrdila i Duračinská: „Na straně uživatelů bohužel není možné se jakkoliv bránit. Potřebná opatření musí udělat dotčení provozovatelé služeb.“

Ohrožené jsou servery, které využívají TLS i SSLv2 protokoly, nebo servery, které používají SSLv2 protokol a sdílí klíč s jiným TLS serverem. Celkem je tak zranitelných 33 % webových serverů.
Dlouhodobé řešení vidí autoři studie v pečlivém zavírání bezpečnostních chyb, odstřihávání zastaralých protokolů a knihoven a omezení opakovaného využívání bezpečnostních klíčů. V současné době ale podle nich „finanční politika certifikačních autorit povzbuzuje firmy k tomu, aby si nakoupily nejmenší možný počet bezpečnostních certifikátů.“


Hacking Team, který dodává sledovací nástroje vládám je zpět. Experti objevili nový malware pro OS X
2.3.2016 Zdroj: Živě 
Viry
Hacking Team je italskou společností, která mimo jiné provozuje malware-as-service. V rámci služeb tedy nabízí třeba sledování pro soukromé subjekty, ale i státní orgány. Minulý rok jsme o něm psali v souvislosti s únikem dat, který odhalil, že si služby Hacking Teamu platí i česká policie. Od té doby se zdála být činnost společnosti utlumená. Nyní však experti objevili nový vzorek malwaru pro OS X, za nímž s největší pravděpodobností rovněž stojí nechvalně proslulí Italové.

Škodlivý kód byl nalezen prostřednictvím služby VirusTotal patřící Googlu, která se stará o online kontrolu souborů. Obsahuje celkem 56 antivirových služeb, které nahraný soubor překontrolují. V době psaní článku vyhodnotilo tento soubor jako malware 19 služeb a například McAfee nebo Security Essentials od Microsoftu jej považují za bezpečný.

blockblock.png
V infikovaném OS X se nachází složka ~/Library/Preferences/8pHbqThW/ a v ní soubor Bs-V7qIU.cYL (zdroj: Patrick Wardle)

O analýzu se postaral expert na reverzní inženýrství Pedro Vilaça. Ten našel v kódu jasné stopy vedoucí k předchozím vzorkům Hacking Teamu. Především potom ve způsobech, které jsou využité pro skrytí malwaru v systému. Samozřejmě existuje šance, že jiná skupina nebo hacker využil uniklých kódů Hacking Teamu a postavil na nich vlastní malware. Pravděpodobnost je však velmi nízká, neboť i IP adresy vedoucí z aktuálního vzorku souvisí s italskou společností.



Šifrování nechápou ani brazilské úřady. Ve vězení skončil viceprezident Facebooku/WhatsApp
2.3.2016
Zabezpečení

Zatímco se ve Spojených státech řeší kauza FBI vs. Apple, v níž odmítá technologický gigant zpřístupnit zašifrovaný obsah telefonu, v Brazílii posunuly úřady podobný spor ještě dál. Doplatil na to viceprezident Facebooku pro Latinskou Ameriku, který má na starosti komunikátor WhatsApp. V úterý jej podle Fortune zatkla policie a skončil ve vazbě.

Důvodem je podobný postoj jako v případě Applu. Provozovatelé aplikace WhatsApp, jež komunikaci šifruje, odmítli zpřístupnit policii komunikaci několika podezřelých. Vydat ji samozřejmě nemohli – na serverech služby je zašifrována. To však brazilským úřadům nezabránilo v tom, aby tento postup označili za maření vyšetřování.

Prvním zásahem bylo odstavení služby na 48 hodin loni v prosinci. Nyní to odnesl vysoký manažer, který byl zadržen při cestě do kanceláře. V prohlášení brazilské policie je uvedeno jako důvod opakované nedodržování nařízení soudu. Ten vyšetřoval několik případů obchodu s drogami.


Hackeři ISIS se netrefili, místo Googlu sestřelili web nabízející SEO
2.3.2016
Hacking
Hackerská skupina Cyber Caliphate Army (CCA) navázaná na teroristickou organizaci ISIS se nechala slyšet, že se hodlá zaútočit na samotný Google. Prostřednictvím sítě Telegram ohlásila útok na pondělí, jenže nejnavštěvovanější web zůstal pochopitelně nedotčený. Místo něj to však odnesl web Add Google Online, který se specializuje na optimalizaci stránek pro vyhledávače (SEO). Informoval o tom Newsweek.

isis-hackers-google-hacked-cca-caliphate-cyber-army.jpg
Útok na Google odnesl web indické společnosti Add Google Online

Na napadeném webu se objevilo logo skupiny obsahující vlajku ISIS s všeříkajícím nápisem HackedBy:CCA. Ačkoliv nemá společnost registrovaná v Indii s Googlem nic společného, přesto si ji útočníci vybrali. Podobně v minulosti útočili na web společnosti zabývající se solární energií, stránky japonské tanečnice nebo firmy prodávající laminátové podlahy. Podle odborníků tím organizace napojená na ISIS chce především demonstrovat rostoucí sílu, která by mohla být v budoucnu použita k útoku na důležitější cíle.

Z napadeného webu Add Google Online se mezi tím stalo pískoviště pro další hackerské skupiny. Aktuálně ji má pod kontrolou n3far1ous a po otevření webu najdete dialogové okno s nápise Eat this ISIS.


Hacknutý web Linux Mint šířil napadenou verzi systému

2.3.2016 Hacking

Stovky lidí si stáhly Linux Mint doplněný o škodlivý kód, zadní vrátka. Útočník je chtěl využít pro vybudování botnetu.
Linux Mint měl před týdnem hacknutý web a lidé, kteří si odtamtud stáhli tuto (třetí nejpopulárnější) distribuci Linuxu, si ve skutečnosti stáhli upravený Mint obsahující backdoor. Pokud vám to připadá nemožné, tak bohužel. Stačí se podívat na Beware of hacked ISOs if you downloaded Linux Mint on February 20th!

Podstatné je, že k napadení došlo, ale velmi rychle se na něj přišlo. Hacker ovlivnil pouze Linux Mint 17.3 Cinnamon ISO a pouze 20. února 2016 (berte v úvahu US časovou zónu).

Napadenou verzi bylo možné stáhnout pouze jako ISO „odkazem z webu“, pokud jste tedy ke stahování používali torrent nebo stahovali přímo z Linuxmint.com (ne přes odkaz na něm), napadenou verzi nemáte. Ověřit si, co jste si případně stáhli, je možné pomocí MD5 kontrolního součtu (najdete je ve výše uvedeném oznámení). Případně podle přítomnosti /var/lib/man.cy v systému.

Podle hackera, který používá jméno „Peace“, si upravený Mint stáhlo několik set lidí, což je poměrně dost, celodenní počet stažení v ten den měl být něco přes tisícovku. Mimo téhle patálie hacker uvádí, že se mu podařilo dvakrát získat i kompletní kopii fóra z webu, jednu z 28. ledna, druhou z 18. února. V té jsou osobní informace uživatelů – e-maily, data narození, profilové obrázky a kódovaná hesla. Ta jsou kódována pomocí PHPass a tím pádem je možné získat jejich čitelnou podobu.

Pokud jste tedy používali fórum na Linux Mint webu, považujte raději vaše tamní heslo za veřejně dostupné. Nejenom proto, že kompletní dump se objevil na dark webu a obsahuje přes 70 tisíc údajů o účtech. Dobrá zpráva je, že haveibeenpwned.com vám umožní zjistit, zda došlo k úniku právě vašeho hesla.

Podle Hacker explains how he put „backdoor“ in hundreds of Linux Mint downloads je „Peace“ sólovým hráčem, který nemá žádné spojení s hackerskými skupinami. Na web Linux Mint se mu podařilo dostat přes zranitelnost, kterou objevil v lednu. 20. února pak nahradil ISO vlastní modifikovanou podobu (velmi pravděpodobně nikoliv ISO přímo na serveru, ale jen odkaz na něj ze stránky s odkazy na stažení, plyne z ostatních informací). Aby se pojistil, tak pozměnil i informace o kontrolních součtech (MD5). Motivací mělo být to, že si chtěl z napadených počítačů vytvořit botnet, k čemuž měl použít známý a snadno použitelný malware jménem Tsunami.

Pokud se vám podařilo v uvedený čas (sobota 20. února, s ohledem na časový posun může jít u nás až o neděli 21. února) stáhnout napadenou verzi Mintu, tak ISO zahoďte, stejně jako případné vypálené DVD. Máte-li už systém nainstalovaný, tak virtuál zlikvidujte, stejně jako případnou USB klíčenku. Instalace na počítači je také ztracená, může tam být cokoliv dalšího, takže vás čeká čistá instalace.



Chrání EU dostatečně naše data? Podle muže, který „porazil Facebook“ ne…

2.3.2016 Bezpečnost
Evropská komise zveřejnila detaily dohody o ochraně dat, uzavřené s USA, tzv. Privacy Shield. „Štít“ nahrazuje dohodu známou jako Safe Harbor, kterou loni v říjnu smetl ze stolu Soudní dvůr Evropské unie, a nastavuje rámec pro přenos osobních dat Evropanů do USA.

Dohoda má zajistit, že osobní data občanů Evropské unie budou v zámoří chráněna stejným způsobem jako v Evropě, tedy jako dle unijního práva. Než nabude platnosti, mohou se k ní ještě členské státy EU, jakož i zástupci států pro ochranu dat, vyjádřit.

Její součástí je mimo jiné závazek k vytvoření postu ombudsmana pro stížnosti občanů EU v souvislosti se sledováním jejich komunikace a internetových aktivit ze strany USA.

Na dohledu nad dodržování pravidel se přitom mají podílet i společnosti sdružené pod hlavičkou DigitalEurope, jako jsou Apple, Google či Microsoft.

„Naše společnosti se zavazují k vysokému stupni ochrany dat během zaoceánských přenosů a také k rychlému zavedení nových pravidel,“ uvedl John Higgins, generální ředitel DigitalEurope.

„Privacy Shield poskytne silnou ochranu soukromí a zákonné jistoty pro podnikatele, a zároveň prohloubí vzájemnou důvěru mezi Amerikou a Evropou,“ uvádí za „druhou stranu“ pro změnu Computer and Communications Industry Association.

Ne každého však nová dohoda uspokojuje. Výhrady má například rakouský právník Max Schrems, který ochranu osobních dat kritizuje dlouhodobě a jehož soudní bitva s Facebookem, ve finále vedla ke konci Safe Harbor.

„Evropská unie a USA se snaží zkrášlit prase vrstvami rtěnky, ovšem klíčové problémy zůstávají nevyřešené,“ nebere si servítky.

A upozorňuje například na to, že i navzdory dohodě mohou zámořské tajné služby sledovat evropské občany v celkem šesti vymezených případech, například při podezření z terorismu či špionáže.

„USA tak vlastně otevřeně přiznávají, že porušují pravidla Evropské unie přinejmenším v šesti případech,“ poukazuje Schrems.

Dokument k Privacy Shield je zatím přístupný pouze anglicky, v případě zájmu si jej však můžete přečíst zde.



Sandboxing Sophosu dokáže zablokovat i pokročilé hrozby

1.3.32016 Zabezpečení
Své řešení Email Appliance rozšířil Sophos o Sandstorm, technologii sandboxingu, která podle něj umožňuje detekci, zablokování i vyřešení i sofistikovaných a neustále se měnících hrozeb.

Sandstorm zajišťuje ochranu proti pokročilým hrozbám typu APT (advance persistent threat) i proti malwaru využívajícímu dosud nezveřejněné zranitelnosti (tedy tzv. zero-day threat).

Současný malware je podle Sophosu navržený tak, aby útočil nenápadně a pomalu a zůstal běžnými prostředky neodhalený, přičemž k zabránění, nebo alespoň oddálení detekce využívá polymorfní i maskovací techniky.

Sandstorm využívá cloudovou technologii, která tyto typy hrozeb izoluje a řeší ještě před jejich proniknutím do podnikové sítě. IT manažeři navíc mají k dispozici podrobné přehledy o chování hrozeb i výsledcích analýz, díky kterým mohou v případě potřeby dále zkoumat jednotlivé bezpečnostní incidenty a přijímat odpovídající opatření.

Technologie Sandstorm tak představuje další vrstvu pro bezprostřední detekci i ochranu. Běžné technologie jsou zpravidla velmi nákladné a pro implementaci i monitoring vyžadují další znalosti z oblasti bezpečnosti. To prý v případě nové technologie Sophosu neplatí.

Sandstorm přitom identifikuje potenciálně nebezpečné chování napříč různými operačními systémy včetně Windows, Mac i Android, a to ve fyzických i virtualizovaných prostředích, v síťové infrastruktuře, v mobilních aplikacích, v elektronické poště, v PDF i wordových dokumentech i ve více než dvou desítkách souborů dalších typů.

Novinka je k dispozici i jako rozšíření řešení pro ochranu webů Web Appliance, které kontroluje obsah webových stránek a blokuje i nejnovější webové hrozby, a také v rámci systému UTM 9.4.



Facebook a Twitter v nebezpečí? Islámský stát vyhrožuje

1.3.2016 Sociální sítě
Vedoucí pracovníci sociálních sítí se stali novým terčem bojovníků samozvaného Islamského státu. Důvodem jsou pokračující snahy o narušení jeho komunikačních a náborových kanálů.

Poprvé se teroristická skupina, zřejmě pod vlivem pokusů sociálních sítí zamezit extremistické komunikaci, odhodlala k přímým výhružkám na výkonné ředitele Facebooku a Twitteru.

V pětadvacetiminutovém videu nazvaném „Flames of the Supporters“ (Ohně přívrženců), publikovaném skrze ruský instant messaging software Telegram, se nacházejí fotografie spoluzakladatele Facebooku Marka Zuckerberga a CEO Twitteru Jacka Dorseyho s digitálně vloženými dírami od kulek. Video zveřejnila divize Sons Caliphate Army, což je domnívaná hackerská skupina Islámského státu.

Kromě toho teroristé zesměšnily snahy sociálních sítí blokovat teroristické skupiny od užívání svých služeb. Ve videu se objevují zmínění hackeři, vkládající propagandu a chlubící se, že hacknuli více než 10 000 facebookových účtů a přes 5000 twitterových profilů.

Videa si poprvé všiml časopis Vocativ, který též ohlásil, že na konci videa je učiněna přímá výhružka Zuckerbergovi a Dorseymu.

„Každý den hlásíte, že blokujete mnoho našich účtů, a k vám my říkáme: To je vše, co umíte?“ Vysmívají se islamističtí hackeři skrze text na videu. „Nedosahujete naší úrovně… když zavřete jeden účet, my si jich na oplátku deset vezmeme a brzy budou vaše jména smazána z vašich stránek, s vůlí Alláhovou, a vy poznáte, že to, co říkáme, je pravda.“

Facebook i Twitter se odmítly k videu vyjádřit. Obě společnosti však daly najevo, že i nadále budou bránit teroristickým skupinám v užívání svých služeb.

Zuckerberg se vyjádřil podobně například na letošním Mobile World Congressu v Barceloně, kdy prohlásil, že nechce, aby teroristé užívali Facebook k přilákání a výcviku nových rekrutů, ani k opěvování útoků.

Twitter zase v únorovém příspěvku na vlastním blogu sdělil, že zablokoval přes 125 tisíc účtů od poloviny roku 2015, a to jen za vyhrožování či za podporu terorismu – většinou souvisejících s Islámským státem. Společnost také vyjádřila snahu o lepší a rychlejší kontrolu oznámení o teroristech užívajících její síť.

„Odsuzujeme užívání Twitteru k podpoře terorismu a pravidla Twitteru jasně říkají, že tento druh chování, stejně jako jakékoli násilné výhružky, není na naší službě povolen,“ napsala společnost v příspěvku.

S viditelnými pokusy obou sociálních sítí o potlačení schopnosti IS fungovat na sítích není překvapivé, že teroristé vrací úder, tvrdí Dan Olds, analytik pro The Gabriel Consulting Group.

„Oba, Zuckerberg i Dorsey, vedou silné sociální sítě, které hrály důležitou roli v náborových snahách Islamského státu,“ řekl Olds. „Když se tyto společnosti snaží IS vyřadit ze hry, není překvapením, že ten odpoví výhružkami.“

Poslední výhružky ovšem zcela zavrhl a prohlásil, že nic nezmění na snahách Facebooku a Twitteru.

„Šlo by však o úplně jinou situaci, kdyby se udál fyzický, organizovaný útok na jednu ze společností nebo její zaměstnance,“ pokračuje Olds. „Úspěšný útok by bohužel mohl věci dost změnit. Ale myslím, že obě společnosti pravděpodobně zvýšily zabezpečení ve světle těchto výhružek; takže provést úspěšný útok by určitě nebylo snadné.“

Jeff Kagan, nezávislý IT analytik, řekl, že předpokládá zvýšení zabezpečení u obou společností, ale nemá dojem, že by se změnilo i něco dalšího.

„Problém je, že nevíme, co brát vážně, a co ne,“ řekl. „Domnívám se, že pokud toto je cesta, jíž se bude situace dál ubírat, nezbývá nám, než se připravit a pokračovat dál v této nové realitě.“

Analytik Zeus Kerravala souhlasí: „Jak Facebook, tak Twitter jsou velké nástroje náboru pro Islámský stát, takže Zuckerberg a Dorsey bezprostředně ohrožují jeho růst.“


Policie si došlápla na nelegální weby. Razie proběhla v sedmi zemích

1.3.2016 Bezpečnost
Rozsáhlou razii proti provozovatelům a uživatelům nelegálních internetových stránek provedla minulý týden policie v sedmi evropských zemích. Prohledala 69 bytů a firem a zadržela devět podezřelých. S odvoláním na německý Spolkový kriminální úřad (BKA) o tom informovala agentura DPA.
Koordinovaná akce se uskutečnila minulé úterý a středu kromě Německa také v Bosně a Hercegovině, Švýcarsku, Francii, Nizozemsku, Litvě a Rusku. Policisté se při akci zaměřili na obchod se zbraněmi, drogami, falšovanými penězi a dokumenty provozovaný prostřednictvím internetových platforem.

Někteří ze zadržených jsou kromě obchodování podezřelí rovněž z toho, že záměrně infikovali cizí počítače škodlivými programy, kradli důvěrná data jako například informace k bankovním účtům a že nabízeli ilegálně streamovací služby či návody na páchání trestných činů.

Hlavním podezřelým je podle německé policie 27letý občan Bosny a Hercegoviny, který je od minulé středy ve vazbě. Od roku 2012 hrál údajně klíčovou roli při provozu nelegálních stránek. Tři Němce a dva Syřany, kteří s ním spolupracovali, zadrželi policisté v Německu. Zabavili u nich množství počítačů a zbraní, celkem téměř 40 kilogramů drog a značnou hotovost.


Úřady nemohou Apple nutit, aby odkódoval iPhone, míní soudce

1.3.2016 Mobilní
Americké ministerstvo spravedlnosti nemůže nutit počítačový gigant Apple, aby Federálnímu úřadu pro vyšetřování (FBI) umožnil přístup k datům v iPhonu při vyšetřování drogového případu v Brooklynu. V pondělí to prohlásil newyorský soudce James Orenstein, uvedla agentura AP. Nedávno přitom soud v Kalifornii Applu nařídil, aby umožnil úřadu přístup k datům v kauze zabijáka ze San Bernardina.
Měl by Apple zpřístupnit data ve svých přístrojích úřadům v případě vyšetřování?
Loni v říjnu soudce Orenstein vystoupil s tím, že novelizovaný zákon z roku 1789, který úřad v souvislosti s vyšetřováním organizovaného zločinu používá, nelze na společnost Apple vztáhnout. Podle právníků od té doby počítačový gigant odmítl žádost o spolupráci v tomto smyslu už nejméně v šesti případech v Kalifornii, Illinois, Massachusetts a v New Yorku.

Orenstein pak podle svého přesvědčení postupuje i v dalších případech, z nichž jeden se týká i rutinního vyšetřování dealera metamfetaminu.

Přístup Applu je jeho příznivci v hojné míře podporován, kvůli kauze odblokování iPhonu střelce ze San Bernardina dokonce uspořádali několik demonstrací. Stanovisko počítačového gigantu se totiž podle nich úzce dotýká svobody každého z nich, která by byla prolomením zabezpečení kvůli získání přístupu k datům ze strany úřadů porušena.

FBI se snažila do uzamčeného iPhonu dostat celé dva měsíce. Útočník ze San Bernardina měl ale svůj iPhone nastavený tak, aby se po zadání deseti nesprávných přístupových hesel automaticky vymazal, s čímž si bezpečnostní experti z FBI evidentně nedokázali poradit.

Vyšetřovatelé proto chtějí nyní po Applu, aby jim udělal „zadní vrátka“ do systému iOS. Ten využívají nejen chytré telefony iPhone, ale také počítačové tablety iPad.

Problém je ale v tom, že implementací takového nástroje do zmiňované mobilní platformy by byla FBI schopna obejít zabezpečení prakticky jakéhokoliv iPhonu nebo iPadu v budoucnosti. A nehraje roli, zda by šlo o přístroj teroristy nebo běžného občana.



Apple TV je děravá jako ementál. Odhaleny byly desítky nebezpečných chyb

29.2.2016 Zranitelnosti
Více než šest desítek bezpečnostních trhlin bylo objeveno v multimediálním centru Apple TV. Některé z objevených trhlin mohli počítačoví piráti zneužít k průniku do zmiňovaného zařízení. Opravy trhlin jsou však již k dispozici.
Nebezpečné chyby se týkají multimediálních center, ve kterých běží starší operační systém tvOS, než je verze 7.2.1. Právě toto vydání obsahuje záplaty pro všechny odhalené zranitelnosti.

Trhliny se týkaly takřka dvou desítek předinstalovaných aplikací, ale například i samotného jádra této televizní platformy, uvedl server Security Week.

Piráti mohli uživatele klidně i odposlouchávat, aniž by si toho všiml
Chyby mohli kybernetičtí nájezdníci zneužít k tomu, aby se dostali k uloženým citlivým informacím, aby způsobili pád určitých aplikací, případně aby spustili libovolný škodlivý kód. To jinými slovy znamená, že mohli uživatele klidně i odposlouchávat, aniž by si toho všiml.

Žádné zneužití chyb ze strany počítačových pirátů však zatím nebylo prokázáno. Přesto bezpečnostní experti upozorňují, že riziko nebylo malé.

Aktualizace přišly až po roce
Problém byl podle bezpečnostních expertů především v tom, že Apple nezáplatoval nebezpečné díry průběžně.

Předchozí verze vyšla loni v dubnu, tedy v podstatě téměř před rokem. Proti tomu například aktualizace pro iPhony a iPady jsou vydávány skoro každý měsíc. Kyberzločinci díky tomu nemají tolik času si systém pořádně „proklepnout“.

Apple TV je v podstatě malá krabička, která je vybavena wi-fi modulem, ethernetovým portem a HDMI výstupem. U televizoru nahrazuje funkce multimediálního centra, do nejnovější verze je ale navíc možné instalovat i aplikace. Nechybí v ní ani virtuální asistentka Siri.



Za ukradená data platí oběti hackerů i miliony dolarů

29.2.2016 Hacking
Pokud by citlivá data firem unikla na internet, mohlo by je to snadno zničit. V minulém roce se mohutně rozšířil nový, znepokojivý trend u kyberútoků: vydírání.

Jen za poslední rok zaplatily některé společnosti přes milion dolarů jako úplatek za mlčení. Kyberútočníci si navykli ukrást citlivá data a hrozit, že je zveřejní online v případě nezaplacení, říká Charles Carmakal, viceprezident skupiny Mandiant, spadající pod protimalwarovou bezpečnostní firmu FireEye.

„Jsme svědky situace, kdy si zloděj úmyslně vybere konkrétní společnost, ukradne její data, zkontroluje je a zná jejich hodnotu,“ pokračuje Carmakal. „Viděli jsme sedmimístné platby od firem, které se bojí uveřejnění svých citlivých údajů.“

Skupina Mandiant ve čtvrteční zprávě zběžně popsala praktiky útočníků, s tím, že manažeři firem jsou někdy hackery dokonce zesměšňováni.

Vydírací útoky jsou ještě sofistikovanější než tzv. ransomware, jako je např. Ctryptolocker: Malware, který zašifruje soubory v počítači a pro jejich zpřístupnění musí majitel zaplatit danou cenu v bitcoinech.

Ač ransomware útoky mohou být zdrcující ve své přímočarosti, obvykle je nutno zaplatit „pouze“ několik stovek dolarů. I tak se ovšem několikrát povedlo hackerům získat vyšší částky.

Součásné vyděračské útoky jsou však mnohem propracovanější a mohou být velice nebezpečné, obzvláště pro velké firmy. Carmakal soudí, že pokud by hackeři zveřejnili některé z ukradených dat, mohli by společnost zcela vyřadit ze hry.

„Realita je, že hodně lidí zaplatí,“ říká.

Pro skupinu jako Mandiant, která zkoumala velké úniky dat u společností jako Target, Home Depot nebo Anthem, může být dost těžké firmám poradit, co v dané situaci udělat, pokračuje Carmakal.

Útočníci často nedávají dostatek času, aby se ověřilo, jestli hackeři blafují, nebo ne. A jsou tací, kteří ve skutečnosti daná data nemají a jen takto shání peníze.

„Co potřebujeme je důkaz, že někdo skutečně má přístup k těm datům,“ říká Carmakal. „Přesvědčíme je, aby nám poslali vzorek, nebo provedeme co nejrychlejší možné vyšetřování.“

Pokud skupina odhalí, že někdo skutečně slídil okolo a s největší pravděpodobností data má, přichází velice těžké a složité rozhodnutí: Protože i když firma zaplatí, nikdo negarantuje, že útočníci přesto data nevypustí do světa.

„Rozhodně existuje riziko v nezaplacení, ovšem stejně tak riziko v zaplacení,“ dodává Carmakal. „Cíl každého je, že firma zaplatí a útočníci smažou ukradená data; ale to, že tak skutečně učinili, vám nikdo nepotvrdí.“



V srpnu se roztrhl pytel s ransomwarem

1.10.2016 SecurityWorld Viry
Check Point Software Technologies zveřejnil nejnovější Index hrozeb, podle kterého došlo v srpnu k nárůstu variant ransomwaru a počtu malwarových útoků na podnikové sítě.

Zároveň byl zveřejněn i žebříček zemí, které jsou nejčastěji terčem kyberútoků. Česká republika se v srpnu umístila na 88. pozici, což je pokles o 12 míst a posun mezi bezpečnější země. Slovensko se umístilo stejně jako v červenci na 77. pozici. Například Litva se naopak posunula mezi nebezpečnější země z 81. na 39. pozici. Na prvním místě se v Indexu hrozeb umístila druhý měsíc za sebou Paraguay.

Během srpna rostl počet aktivních ransomwarových rodin o 12 procent a počet detekovaných pokusů o ransomwarové útoky se zvýšil dokonce o 30 procent. Dvě třetiny všech zachycených ransomwarových rodin se během srpna posunuly žebříčkem hrozeb, většina z nich nejméně o 100 pozic. Podle Check Pointu je nárůst ransomwaru příznakem relativně snadného masového nasazení jakmile je nějaká varianta vytvořena, a důvodem nárůstu je také počet organizací, které za uvolnění důležitých dat radši zaplatí výkupné.

Pro kyberzločince se tak jedná o lukrativní a atraktivní způsob útoku. Pátý měsíc za sebou byl HummingBad nejběžněji používaným malwarem k útokům na mobilní zařízení, ale počet detekovaných incidentů klesl o více než 50 procent.

Check Point zjistil, že počet unikátních a aktivních malwarových rodin byl podobný jako v předchozím měsíci, takže použití škodlivého kódu zůstává na velmi vysoké úrovni. Conficker byl v srpnu zodpovědný za 14 procent všech detekovaných útoků. Malwarová rodina JBossjmx byla zodpovědná za 9 procent zaznamenaných útoků a Sality také za 9 procent. Celkově bylo Top 10 malwarových rodin zodpovědných za 57 procent všech identifikovaných útoků:

↔ Conficker: Červ umožňuje vzdálené operace a stahování malwaru. Infikovaný počítač je pod kontrolou botnetu a je ve spojení s C&C serverem, aby mohl přijímat další pokyny.
↔JBossjmx: Červ, který se zaměřuje na systémy s nainstalovanou zranitelnou verzí JBoss Application Server. Malware vytváří nebezpečnou JSP stránku na zranitelném systému, která vykoná libovolné příkazy. Navíc jsou vytvořena další zadní vrátka, která přijímají příkazy ze vzdáleného IRC serveru.
↔Sality – Vir, který umožňuje útočníkům vzdálené ovládání, stahování a instalování dalších škodlivých kódů do infikovaných systémů. Sality se snaží maskovacími technikami vyhnout detekci a působit tak v systému co nejdéle.

Mobilní malwarové rodiny představovaly i v srpnu významnou hrozbu pro podniková mobilní zařízení. Tři nejrozšířenější mobilní malwarové rodiny byly:

↔ HummingBad: Malware se zaměřuje na zařízení se systémem Android a vytváří trvalý rootkit na zařízení, instaluje podvodné aplikace a umožňuje další škodlivé aktivity, jako například instalace keyloggeru, krádež přihlašovacích údajů a obcházení šifrování e-mailů pro lepší zachycení podnikových dat.

↔ Ztorg: Trojan, který využívá root oprávnění ke stažení a instalaci aplikací na mobilním telefonu bez vědomí uživatele.
↑Triada: Modulární backdoor pro Android, který poskytuje práva superuživatele pro stažení malwaru a jeho vložení do systémových procesů. Triada také umí vkládat falešné URL odkazy do webového prohlížeče.

„Společnosti čelí v souvislosti s ransomwarem absurdní situaci. Pokud výkupné nezaplatí, mohou přijít o důležitá data a cenná aktiva. A pokud zaplatí, jen povzbudí kyberzločince, aby dále využívali tuto lukrativní útočnou metodu,“ říká Nathan Shuchami, ředitel prevence hrozeb ve společnosti Check Point. „Počet aktivních malwarových rodin je i nadále velmi vysoký, protože útočníci cílí na cenná podniková data. Rozsah problému, kterému organizace čelí při ochraně sítě před kyberzločinci, umocňuje šíře útočných metod používaných různými ransomwarovými rodinami.“

Check Point analyzoval i malware v České republice a znovu je na prvním místě Conficker.

Top 10 malwarových rodin v ČR – srpen 2016

Malwarová rodina

Popis

Conficker

Conficker je počítačový červ, který se zaměřuje na operační systém Windows. Využívá zranitelnosti v operačním systému a zkouší odhadnout administrátorské heslo pro další šíření a vytvoření botnetu. Infekce umožňuje útočníkovi získat přístup k osobním údajům uživatelů, jako jsou bankovní údaje, čísla kreditních karet nebo hesla. Červ původně cílil na uživatele komunikačních stránek, jako jsou Facebook, Skype a e-mailové stránky.

Cryptowall

Cryptowall je hlavní ransomwarový trojan, který šifruje soubory na infikovaném počítači a pak žádá po uživatelích zaplacení výkupného za dešifrování. Šíří se prostřednictvím škodlivých reklamních a phishingových kampaní. Cryptowall se poprvé objevil v roce 2014.

Zeus

Zeus je široce rozšířený trojan zaměřený na Windows a nejčastěji je používá ke krádežím bankovních přihlašovacích údajů. Je-li stroj infikován, malware posílá informace, například přihlašovací údaje k účtu, útočníkům pomocí řetězce C&C serverů. Trojan je také používán k distribuci ransomwaru.

Zeus byl poprvé identifikován v červenci 2007, kdy byl použit ke krádeži informací ze United States Department of Transportation. V průběhu několika příštích let malware infikoval stovky tisíc strojů a stal se jedním z největších světových botnetů. Malware byl distribuován především prostřednictvím e-mailů.

V říjnu 2010 zatkla FBI více než sto lidí na základě obvinění ze spiknutí za účelem spáchání bankovních podvodů a praní špinavých peněz, včetně předpokládaného „mozku“ za celým botnetem - Hamza Bendelladjiho, který byl zatčen v roce 2013. V současné době mnoho kyberzločinců využívá vlastní varianty malwaru Zeus, které se obvykle šíří prostřednictvím phishingu a drive-by downloadem.

Locky

Locky je ransomware, který se zaměřuje na platformu Windows. Malware posílá systémové informace na vzdálený server a přijímá šifrovací klíč pro zašifrování souborů v infikovaném systému. Malware požaduje jako výkupné za odemčení souborů platbu ve formě digitální měny bitcoin. Navíc přidává informaci i do registru, aby jej nebylo možné odstranit restartováním systému.

HackerDefender

HackerDefender je rootkit pro Windows 2000 a Windows XP a může fungovat i na pozdějších verzích Windows NT. Rootkit upravuje různé funkce ve Windows a API, aby se vyhnul detekci bezpečnostním softwarem. HackerDefender je široce rozšířený, protože je volně k dispozici na internetu a lze snadno nainstalovat.

RookieUA

RookieUA je určen ke krádežím informací. Získává informace o uživatelských účtech, jako jsou přihlašovací jména a hesla, a odesílá je na vzdálený server. HTTP komunikace probíhá pomocí neobvyklého uživatelského agenta RookIE/1.0.

CTB-Locker

CTB-Locker je ransomware, který se zaměřuje na platformu Windows. Zašifruje všechna uživatelská data a za dešifrování požaduje platbu. Malware se obvykle šíří jako spam s nebezpečnou přílohou ZIP nebo CAB. Malware je s největší pravděpodobností vyvíjen a distribuován ruskými kyberzločinci a je prodáván většinou také ruským subjektům. Jako označení se používají i další názvy, například Critroni nebo Onion. Písmena CTB ve jméně znamenají „Curve-Tor-Bitcoin“. Elliptic Curve pro šifrování a Tor a Bitcoin pro anonymitu výkupného.

Magnitude

Magnitude EK poprvé plnil titulní stránky novin v říjnu 2013, kdy byli php.net návštěvníky přesměroval na svou stránku. Je aktivní dodnes.

Infekce začíná přesměrováním na stránku malwaru Magnitude.

Vstupní stránka obsahuje maskovaný JavaScript, který zjišťuje zranitelné plug-iny a snaží se je zneužít.

Magnitude zneužívá zranitelnosti ve Flash, Silverlight, PDF a Internet Explorer.

Hotbar

Bepush

Bepush je malwarová rodina, která se skládá ze škodlivých rozšíření pro prohlížeče a nejčastěji se zaměřuje na Google Chrome a Mozilla Firefox. Tato rozšíření se šíří prostřednictvím URL adres na webových stránkách sociálních sítí, které přesměrují prohlížeč na škodlivé stránky obsahující falešný Adobe Flash video plug-iny nebo aktualizace, které infikují oběti malwarem. Rozšíření mohou sledovat, které stránky uživatel navštívil, přesměrovat na nebezpečné webové stránky a zveřejňovat informace na sociálních sítích jménem uživatele.



Útočníci na Facebooku kradou přihlašovací údaje administrátorů stránek a čísla platebních karet

30.9.2016 SecurityWorld Sociální sítě
Podle zjištění společnosti Eset se podvodná aktivita dotkla facebookových stránek v Česku i na Slovensku.

Analytici společnosti Eset zaznamenali podvodné aktivity na Facebooku, které cílí na administrátory stránek. Útočníci se zaměřují na české i slovenské firemní a fanouškovské facebookové profily. Jejich správci jsou varováni, že účet byl ostatními uživateli označen za podezřelý a musí jej obnovit. Falešné varování však obsahuje zároveň odkaz na formulář, díky němuž útočník sbírá přihlašovací údaje a čísla platebních karet svých obětí.

„Pokud na tento odkaz administrátor stránky na Facebooku klikne, čeká ho série kroků, během nichž se ho útočníci snaží přimět k vložení svých přihlašovacích údajů, zodpovězení bezpečnostní otázky a zadání údajů o platební kartě. Po jejich odeslání však veškerá data putují přímo k útočníkovi,“ vysvětluje Miroslav Dvořák, technický ředitel společnosti Eset. „To všechno dělá útočník pod hlavičkou facebookové skupiny nazvané Security, která u oběti vyvolává dojem, že jde o oficiální varování,“ dodává Dvořák.

Útočníci kontaktují administrátory tak, že sdílí statusy vybraných stránek, ke kterým přidají varovný text. Tuto informaci vidí jen administrátoři daných stránek v upozorněních, že jejich status někdo sdílel. Běžní fanoušci vytipovaných stránek proto prvotním cílem útočníka nejsou.

„Motivací útočníka mohou být finanční prostředky z platebních karet nebo prodej získané facebookové stránky s vysokým počtem fanoušků, ke které administrátor ztratil přístup. Prostřednictvím skupin s velkým počtem členů je možné šířit spam, reklamu či hoax, tedy poplašné zprávy, jak jsme informovali už v případě falešných reklam na zlevněné brýle Ray-Ban,“ uzavírá Dvořák.

Jak by se měli chránit administrátoři firemních a fanouškovských stránek na Facebooku:

Neklikejte na podezřelé odkazy ve facebookových zprávách, komentářích a sdíleních příspěvcích. Pokud už jste na takový odkaz klikli, nezadávejte do něj přístupová hesla, osobní údaje nebo údaje o platební kartě. Snažte se používat zdravý rozum.
Administrátoři sociální sítě Facebook mohou mít různé úrovně pravomocí. Pokud je skupina lidí spravujících vaši facebookovou stránku větší, omezte jejím členům tyto pravomoci.
Nezapomínejte chránit všechna zařízení, jejichž prostřednictvím spravujete svoji facebookovou stránku. Pokud jste už nad facebookovou stránkou ztratili kontrolu, kontaktujte Facebook prostřednictvím stránky facebook.com/hacked.



Yahoo hledá viníka za únik dat obřích rozměrů: cizí státy?

29.9.2016 SecurityWorld Kriminalita
Firma svalila vinu za nedávný masivní únik dat (500 milionů zasažených uživatelů) na „státem sponzorovanou akci“. Neřekla však, jak k podobnému závěru došla, ani neposkytla žádné důkazy.

Někteří bezpečnostní odborníci uvažují, proč Yahoo k úniku osobních informací neposkytuje detaily, a ani příliš neodpovídá na dotazy.

„Děje se tu něco divného,“ říká Michael Lipinski, hlavní bezpečnostní analytik ve firmě Securonix.

Na žádost o komentář Yahoo neodpovědělo. Společnost vlastní protokoly, které mohou detekovat státem sponzorovaný hacking uživatelských účtů. V příspěvku na blogu z prosince 2015 firma naznačila svou bezpečnostní politiku a napsala, že v takové situaci bude své uživatele varovat.

„Abychom zamezili útočníkům objevit naše detekční metody, veřejně neposkytneme žádné detaily o těchto útocích,“ napsal v té době hlavní bezpečnostní manažer firmy Bob Lord. Dodal, že společnost pošle uživatelům varování o možném útoku pouze „když budeme mít prakticky jistotu.“

Takříkajíc hodit vinu během silně medializovaného úniku dat na státem sponzorované hackery však může být jen pohodlnou a neověřitelnou metodou, jak se chránit před právními kroky i před poškozením pověsti.

„Pokud bych si chtěl ohlídat záda a vypadat, že mám uvěřitelnou výmluvu, státem placení hackeři by mě napadli jako první,“ myslí si Chase Cunningham, ředitel kybernetických operací u bezpečnostní firmy A10 Networks.

Na státem placené hackery je totiž takový pohled, že jsou nezastavitelní a patří k nejlepším na světě, dodal. Cunningham sám hledá vinu spíše u kybernetických zločinců než u elitní skupiny státem podporovaných hackerů.

„Z tohoto prostě není cítit státní aktivita,“ tvrdí. „Vlády zajímá duševní vlastnictví. Emaily a hesla uživatelů Yahoo jim jsou k ničemu.“

Yahoo ovšem může zadržovat informace i kvůli Verizonu, který jej odsouhlasil za 4,8 miliard amerických dolarů odkoupit.

„Nejsem si jistý, zda teď akvizice proběhne,“ říká Lipinski. Verizon by trasakce mohla stát více peněz, když se bude muset postarat i o následky úniku dat.

„Shodit to na státem sponzorovaného hráče jim (Yahoo) může pomoci,“ domnívá se. „Mohou říct ‘není to naše vina, pojištění to pokryje.‘“

Ačkoli Yahoo neposkytlo mnoho důkazů, někteří bezpečnostní odborníci jeho tvrzením věří. Státem sponzorované hackery považují za dosti reálné útočníky; některou z vlád by mohly zajímat např. emailové účty bojovníků za lidská práva.

Další možností je, že za únik dat může zaměstnanec či blízký spolupracovník firmy, který je ve skutečnosti špionem jiné organizace.

Existuje vícero možných důvodu, proč Yahoo zadržuje informace, dodává Vitali Kremez, analytik kyberkriminality u bezpečnostní firmy Flashpoint.

„Bezpečnostní složky státu mohou na věci pracovat a Yahoo nechce ohrozit vyšetřování,“ říká. „Také může připravovat právní kroky.“

Dle vlastních slov se Yahoo o úniku dozvědělo teprve nedávno – ačkoli samotný hack se udál již na konci roku 2014, tedy před téměř dvěma lety. Strůjci útoky tedy měli spoustu času na zneužití, či prodej, dat.

Pokud státem sponzorování hackeři skutečně Yahoo napadli, Kremez se obává, že poškozené mohly být i další firmy – jen o tom nevědí.

„Potřebujeme větší transparentnost,“ dodává. „Všichni bychom rádi věděli, zda toto nezapadá do nějakého většího vzorce.“


Hackeři napadli mobilní telefony amerických demokratů

28.9.2016 Novinky/Bezpečnost Mobilní
Zahraniční hackeři pravděpodobně napadli mobilní telefony některých představitelů americké Demokratické strany. Je o tom přesvědčen Federální úřad pro vyšetřování (FBI), který kvůli tomu požádal demokraty o umožnění přístupu k jejich telefonům, napsala agentura Reuters.
Hackerský útok proti představitelům demokratů, z nichž někteří podle zdrojů Reuters zastávají i volené pozice, se uskutečnil během posledního měsíce. Podle informací z vyšetřování zřejmě za útokem stojí hackeři z Ruska, které američtí představitelé obviňovali i z dřívější krádeže e-mailů z vedení Demokratické strany.

FBI v souvislosti s útokem žádá politiky, jejichž telefon se stal terčem útoku, aby umožnili vyšetřovatelům přístup ke svým zařízením. Chtějí tak zjistit rozsah škod, které mohli hackeři způsobit.

Hackeři v minulých měsících vykradli e-mailové schránky představitelů Demokratické strany. Korespondence, kterou následně zveřejnil server WikiLeaks, vyplynulo, že vedení demokratů dávalo ve stranických primárkách přednost nynější kandidátce na prezidentku Hillary Clintonové před jejím soupeřem Berniem Sandersem. U mnoha Sandersových stoupenců to vyvolalo pobouření.

V srpnu americká média uvedla, že se terčem hackerského útoku stali i republikáni. Útočníci podle médií umístili škodlivý software do počítačů pracovníků kampaně republikánského kandidáta na prezidenta Donalda Trumpa.


Spamu zase přibývá, je ho nejvíc od roku 2010

26.9.2016 Root.cz Spam
Počet rozesílaného spamu se od začátku roku zněkolikanásobil. Důvody nejsou úplně zřejmé. Může jít o změnu techniky i zvýšenou aktivitu botnetů. Past na spam denně pochytá kolem 270 miliónů e-mailů. Talos, výzkumná bezpečnostní divize společnosti Cisco, informuje o zajímavém trendu, který už bychom v roce 2016 asi nečekali. Od jara do léta letošního roku byl zaznamenán opětovný nárůst množství e-mailového spamu. A to až na hodnoty, které byly naposledy zaznamenány v roce 2010. Např. Composite Block List, respektovaná past na spam, v létě přijímala více než tři tisíce spamových e-mailů za sekundu. Ještě na přelomu roku to přitom bylo cca sedmkrát méně. Viz následující graf.

Že nejde o nějakou anomálii nebo chybu měření, ukazují i další statistiky. Data služby SpamCop ukazují, že počet IP adres zapojených v masivním rozesíláním spamu vzrostl na cca 400 tisíc, což představuje přibližně pětinásobek hodnot zaznamenaných na přelomu roku.

Poslat co nejvíc spamu za pár minut
Vysvětlit tento jev není úplně snadné. Podle výzkumníků z Cisco Talos by ho ale, poněkud paradoxně, částečně mohla způsobovat čím dál větší úspěšnost a sofistikovanost spamových filtrů. Ty totiž nový spam obvykle detekují v řádech několika málo minut a spamer má po srandě. Proto se stává efektivnější rozeslání co nejvíce e-mailů v co nejkratším časovém horizontu.

Místo toho, aby spameři své e-maily lépe cílovali nebo používali sněžnicové techniky, aby zůstali pod radarem, z toho udělali závod. Vyšlou co nejvíce e-mailů, jak je jen technicky možné, v co nejkratším čase, a tak po krátkou chvíli mohou úspěšně doručit nevyžádanou poštu do schránek svých obětí, píše Jaeson Schultz, technický šéf Cisco Talos.

Tuto teorii podporuje také fakt, že kolem poloviny denního objemu spamu tvoří vysokoobjemové kampaně, které rozesílají mnoho miliónů e-mailů. Není výjimkou, že e-mail v jednom znění tvoří třeba deset nebo i více procent celkového denního objemu spamu. Také stojí za pozornost, že během víkendů se objem spamu propadne třeba na 20–30 % hodnot pracovního týdne.

Můžou za to botnety?
Je ale nepravděpodobné, že by zmíněné faktory měly na tak vysoký nárůst spamu až takový vliv. V Cisco Talos dále tipují, že jde do jisté míry o práci obrovského botnetu Necurs. Botnety totiž nejsou úplně hloupé a lidé za nimi trochu využívají i techniky sociálního inženýrství.

Aby Necurs skryl skutečnou velikost botnetu, posílá spam pouze z menší části ovládnutých strojů. Napadený stroj může být použit dva nebo tři dny a poté dva nebo tři týdny zase ne. To značně komplikuje práci lidí, kteří reagují na spamové útoky. Mohou si totiž myslet, že daný infikovaný stroj byl nalezen a vyčištěn, ale ve skutečnosti si darebáci z Necursu jen nechávají čas, než zaútočí znovu a znovu, vysvětluje Schultz.

Růst objemu spamu však stále nemá jasné vysvětlení. A i když odpovíme na otázku jak se to děje, tak to ještě neznamená, že budeme znát i odpověď na otázku proč. Důležité je, že spamové filtry fungují dobře a uživatelé nárůst spamu v doručené poště asi příliš neznamenali. Jen provoz filtrů je teď poněkud nákladnější.



Největší DDoS útok v historii, internet věcí útočí

27.9.2016 SecurityWorld Počítačový útok
Soustředit se na zabezpečení internetu věcí by se nyní mělo stát prioritou; pro jeden z největších distribuovaných DoS útoků v historii útočník využil botnet až milionu infikovaných počítačů a zařízení internetu věcí.

Botnet obřích rozměrů, tvořený hacknutými, k internetu připojenými chytrými zařízeními typu kamery, žárovky a termostaty, zaútočil na účet bezpečnostního bloggera, spadajícího pod velkou americkou IT firmu Akamai. Ta mu nakonec musela účet zrušit, neboť jeho obrana zabrala příliš mnoho zdrojů.

Nebylo to tak, že by se firma nepokoušela útoku bránit – tři dny tak činila – ale nakonec se vlivem vysokých finančních nákladů vzdala a zákazníkovi musela účet zrušit, popisuje Andy Ellis, hlavní bezpečnostní manažer firmy.

Akamai tedy zrušila ochranu blogu Briana Krebse „Krebs on Security“, který zůstává nedostupný. Provoz v době útoků činil 665 Gb/s a web zcela zahltil. Velikost útoku je téměř dvojnásobná oproti jakémukoli jinému, který kdy firma zažila.

Analýza botnetu internetu věcí generujícího takový datový provoz podle Ellise zabere určitý čas, ale mohl by vést k lepším obranným nástrojům na zmírnění následků útoku.

Dopad je podobný jako v roce 2010, kdy Anonymous útočili pomocí open-source programu LOIC nebo jako v roce 2014, kdy DDoS útoky dočasně poškodily servery hostingových služeb Joomla a Wordpress.

Lekce pro podniky dle Ellise spočívá v tom, že současné formy ochrany proti DDoS útokům se musí zlepšit, aby se weby zvládly ubránit i vyšším objemům dat.

Internet věcí musí zapracovat na zabezpečení

Podle firmy Akamai stojí za útokem na web Briana Krebse velký botnet, složený primárně ze zařízení internetu věcí. Použito dokonce bylo takové množství zařízení, že útočník ani nemusel využívat běžné taktiky, využívané na zvýšení efektivity jednotlivých přístrojů, sdělil Ellis.

Přesný počet zařízení zneužitých k útoku zatím není znám, ale mohl by snadno dosahovat jednoho milionu.

„Stále se snažíme odhadnout velikost,“ říká Ellis. „Myslíme si, že jde o přehnaný odhad, ale nakonec se může ukázat, že není daleko od pravdy.“

S předpokládaným množstvím zařízení internetu věcí dosahujícího 21 miliard v roce 2020 by velikost botnetů, tvořených těmito relativně nechráněnými přístroji, mohla dosáhnout gigantických rozměrů, myslí si Dave Lewis, významný bezpečnostní odborník Akamai. Sdělil to během čtvrteční konference Security of Things Forum v Cambridgi v Massachussetts.

„Co když útočník do zařízení vpraví kód, aby vytvořil Fitbit botnet?“ Naráží na slavné fitness náramky Lewis. Výzkumníci prokázali, že bezdrátově nahrát do Fitbitu malware jde do 10 sekund, takže nejde o přehánění. Zabezpečení zařízení internetu věcí je skutečně chabé, pokud vůbec existuje.

Některé z přístrojů zjištěné během útoku využívaly klienty, které standardně běží na kamerách.

„Možná jde o podvod, ale možná do útoku opravdu zasáhly kamery,“ věří Lewis. „Jsou tu náznaky, že se v botnetu nacházela zařízení internetu věcí, a ne v malém množství.“

Útočník ani nevyužil klasické metody zesílení distribuovaného DoS útoku typu odražení, takže šlo o legitimní http requesty, potvrdil Ellis.

Mnoho informací o útoku je stále nejasných nebo neznámých. Kdo útočil nebo jaké metody útočník použil k ovládnutí jednotlivých zombie, se lze jen domnívat.

Akamai kontaktovali i jiní poskytovatelé, kteří zažili podobné útoky v menším rozsahu. Z části šlo o herní stránky, o útocích na něž Krebs psal; dle Ellise zde může existovat souvislost.

Firma útok zanalyzuje a vyvine nástroje pro boj s podobnými útoky, dodává.

Poškozený blogger Krebs po útoku o vynuceném smazání jeho účtu tweetnul:

„Nemohu Akamai vinit z jejich rozhodnutí. Asi jsem je dnes stál hodně peněz. Sbohem všichni. Bylo to fajn.“


Podnikovou síť ochrání NetShield

27.9.2016 SecurityWorld Zabezpečení
Produkt NetShield společnosti SnoopWall, který podle dodavatele poskytuje zabezpečení vnitřní sítě, jež nejsou schopné nabídnout současné firewally a antivirové programy, uvedl na náš trh VUMS Datacom.

NetShield představuje novou generaci řešení pro řízení přístupu mobilních i pevných zařízení. Firma pomocí něj získá přehled a kontrolu nad nedůvěryhodnými síťovými aktivitami prostřednictvím dynamického řízení pevných, mobilních a virtuálních koncových zařízení.

Bez-agentová podoba ochrany usnadňuje integraci do stávající podnikové infrastruktury, a navíc je řešení prý snadno spravovatelné, flexibilní, nákladově efektivní a škálovatelné. Navíc se může připojit kdekoliv -- a odhalit či zajistit problém odkudkoliv.

NetShield přináší sadu funkcí Network Access Control (NAC). Implementovaná funkce Pre-Cognition Engine zajišťuje, aby karanténa koncového bodu předcházela infekci. Tento mechanismus tak podle dodavatele zajišťuje umístění do karantény s nulovým výskytem false-positive chyb.

Vlastnosti řešení NetShield podle výrobce:

NAC – aby se ke korporátním sítím připojily pouze důvěryhodné zdroje
Zero-hour malware a phishing karanténa – prevence ransomwaru s nulovou false positive chybou
Vulnerability assessment a patch management
Vykazování shody s bezpečnostními standardy
TLD blokování & Detekce MAC spoof



Internetová bezpečnost: Flash vs. HTML5

25.9.2016 SecurityWorld Bezpečnost
Jste už znechuceni z bezpečnostních děr v řešeních postavených na technologii Flash? Pak vězte, že i HTML5 má své zranitelnosti.

Technologie HTML5 se propagovala jako přirozený a na standardech založený nástupce proprietárních modulů plug-in, jako jsou například přehrávače Adobe Flash Player, pro poskytování bohatých multimediálních služeb na webu. Pokud však jde o bezpečnost, která je jednou z hlavních slabin technologie Flash, ani HTML5 není všelékem.

Ve skutečnosti má HTML5 své vlastní bezpečnostní problémy. Julien Bellanger, výkonný ředitel společnosti Prevoty, která se zabývá monitorováním zabezpečení aplikací, prohlašuje že HTML5 složitost zabezpečení nesnižuje, ale naopak zvyšuje. Upozorňuje, že nad bezpečností HTML5 visel mnoho let otazník a za tu dobu se situace nijak nezlepšila.

Bellanger uvádí následující rizika přinášená technologií HTML5:

Exploity vykreslování obrazu pozadí (canvas image), které mohou způsobit přetečení zásobníku využitelné hackerem k injektáži kódu do relace.
Skriptování mezi weby (XSS), při němž mohou narušitelé ukrást informace z relace v prohlížeči.
SQL injection – záškodnický dotaz se v prohlížeči použije k získání informací z databáze.
CSRF nebo také XSRF (Cross-Site Request Forgeries) s převzetím tokenu uživatele a jeho následným použitím k vydávání se za dotyčného uživatele na webu.

Použití HTML5 také odhaluje více toho, co je k dispozici v počítači či mobilním zařízení, jako jsou například místní úložiště a poloha zařízení. „Aplikace HTML5 mohou přistupovat k těmto platformám, existuje zde možnost zneužití,“ upozorňuje Dan Cornell, technologický ředitel společnosti Denim Group, která poskytuje poradenství v oblasti kybernetické bezpečnosti.

Nezabezpečené prohlížeče

„Problém spočívá v tom, že prohlížeče jsou ve své podstatě nezabezpečené,“ vysvětluje Kevin Johnson, výkonný ředitel konzultační firmy Secure Ideas. Poznamenává, že HTML5 například neposkytuje žádnou ochranu prostřednictvím tzv. sandboxu, jako může poskytnout Flash v prohlížeči Chrome.

„Dalším problémem je, že do HTML5 přidáváme významnou složitost, aniž přidáváme stejnou úroveň kontroly pro uživatele,“ upozorňuje Johnson. Flash si alespoň mohou uživatelé vypnout. HTML5 ale vypnout nelze.

Stále slibující

Navzdory chmurným vyhlídkám nabízí HTML5 naději pro lepší bezpečnost, pokud tvůrci prohlížečů udělají správnou věc, tvrdí Cornell z Denim Group. „Dodavatelé browserů musejí přemýšlet o svých plánech podpory HTML5 a integrovat zabezpečení do svých implementací již od začátku,“ vysvětluje Cornell.

Podle něj mnoho nových funkcí představených v jazyce HTML5 aplikacím poskytuje přístup k citlivému vybavení, takže je potřebné to odpovídajícím způsobem ošetřit.“

A Johnson dodává, že dodavatelé prohlížečů by měli poskytnout uživatelům možnost vypínat funkce, které nechtějí nebo jim nevěří.

Počet používaných prohlížečů také přináší určitou bezpečnost, protože zranitelnosti přítomné v jednom prohlížeči nemusejí existovat v ostatních browserech, uvádí Cornell. To snižuje riziko univerzálně zneužitelné chyby, jaké existuje v případě technologie Flash.

Vývojáři prohlížečů rovněž pracují na celkovém zlepšení zabezpečení, tvrdí Richard Barnes, vedoucí zabezpečení Firefoxu v Mozille. Konkurence mezi Googlem, Microsoftem, Mozillou a Applem znamená ohrožení jejich pověsti v případě problémů se zabezpečením. Všichni hlavní tvůrci prohlížečů proto mají silné bezpečnostní týmy, poznamenává Barnes.

Existuje také celooborové úsilí s cílem zlepšit zabezpečení pro všechny, zmiňuje Barnes. Například ve vývoji je univerzální metoda šifrování a tvůrci prohlížečů se snaží poskytovat uživatelům více informací a kontroly nad tím, co o nich web ví.

Na cestě je také pomoc standardizačního orgánu. Konsorcium W3C (World Wide Web Consortium), které dohlíželo na vývoj HTML5, má svůj návrh specifikace CSP (Content Security Policy, zásady zabezpečení obsahu).

Wendy Seltzerová z W3C uvádí, že nabízí jazyk zásad pro autory webů k omezení aktivního obsahu na jejich webech a ochranu proti injektáži skriptů. Existuje také snaha o vytvoření specifikace bezpečného obsahu (Secure Content), která by měla zajistit, aby výkonné webové funkce pracovaly jen v zabezpečených a ověřených kontextech.

Bezpečnost však nakonec musejí zajistit zejména aplikace, ať už běží v prohlížeči nebo v operačním systému. Bellanger ze společnosti Prevoty doporučuje, aby vývojáři používali návod vytvořený Microsoftem pro životní cyklus bezpečného vývoje, který je určený k zesílení odolnosti aplikací vůči narušením.

„Vývoj aplikace, tak aby byla co nejbezpečnější, je stále odpovědností samotných vývojářů,“ uzavírá Bellanger.



Dějiny psané rootkity

24.9.2016 SecurityWorld Viry
Rootkity představují noční můru všech bezpečnostních specialistů. Jde o aplikace, které nahrazují standardní administrátorské nástroje a umožňují skrývat své aktivity před legitimním uživatelem/správcem. A jejich odhalení je proto velmi komplikované.

Složitost detekce rootkitů je způsobená mimo jiné tím, že když už si někdo dá s vytvořením a instalací rootkitu práci, zpravidla mu na průniku do systému a následném skrytí svých aktivit docela záleží – jak o tom svědčí případ v lednu 2015 uvězněného IT specialisty Eddieho Raymonda Tiptona (51), který býval ředitelem informační bezpečnosti v Multi-State Lottery Association.

Tipton využil své znalosti fungování loterií a ochranných mechanismů k tomu, aby získal přístup k počítači, na kterém se losovala vítězná čísla. Ten je pochopitelně přísně střežený a není napojený na internet. Tipton však dokázal ostrahu obejít přeprogramováním monitorovacích kamer – a do počítače následně skrze Flash disk instaloval právě rootkit, který zajistil vylosování „těch správných“ čísel.

Když se tak stalo, rootkit sám sebe smazal. Tipton podal výpověď a vybral si výhru (což byla právě ona chyba, protože jako bývalý zaměstnanec společnosti byl ihned v hledáčku bezpečnostních procesů – kdyby použil nějakého „bílého koně“, dost možná by se na jeho podvod nikdy nepřišlo).

Název rootkitů je odvozen od „root“ (základ) – což je označení superuživatele na unixové rodině operačních systémů. Rootkit je pak označení programů, které slouží útočníkům k získávání nejvyšších práv v operačním systému (resp. jsou jim v mnoha případech dokonce nadřazené).

Operační systém zajišťuje pro počítač celou řadu základních úkonů počínaje otevíráním souborů až třeba po síťová připojení. Jde o rozhraní API (Application Programmer Interface).

Jak funguje rootkit

Rootkit je přitom aplikace, která nekompromisně zasahuje do této vlastnosti operačního systému a nahrazuje specifické API funkce, takže jejich volání je modifikované. Jinými slovy: rootkit mění způsob, jakým operační systém pracuje.

Uveďme si to na velmi zjednodušeném příkladu. Máme v počítači dvě zcela samostatné aplikace. Dejme tomu, že jedna z nich je textový editor, druhá špionážní program (spyware) zaznamenávající stisknuté klávesy.

Za normálních okolností spustíte textový editor a píšete. Pokud ale do počítače dokáže proniknout útočník, může na spuštění textového editoru navázat právě spuštění druhého programu. V praxi tedy spouštíte textový editor, na úrovni operačního systému je ale zavolaný spyware a následně se kontrola znovu vrátí textovému editoru.

Že to není nic zvláštního? Že něco podobného lze udělat i bez rootkitu? To samozřejmě jde, ale s jedním velkým omezením: pokud modifikujete registry nebo spouštíte spyware, jste zpravidla varovaní antivirovým programem.

Ovšem při použití rootkitu tomu tak není – tato aplikace totiž dokáže onen mezistupeň skrýt (pokud chce). Prostě pro všechny nástroje na nižších úrovních (souborové editory, antivirové programy aj.) žádný mezistupeň není.

Rootkit postavený na nejvyšší úrovni zkrátka „ukazuje“ ostatním aplikacím jen to, co jim chce ukázat. A ty nemají možnost si podávané informace jakkoliv ověřit právě proto, že rootkit hlídá poskytování informací.

Takže i v případě vznesení dotazu to jde přes operační systém (a tedy i přes rootkit), čili opět je vidět jen to, co chce autor rootkitu. Dnešní bezpečnostní aplikace jsou zkrátka založeny na tom, že informace podávané na úrovni operačního systému jsou důvěryhodné. Rootkit ale zcela mění způsob, jakým celý operační systém pracuje.

Rootkit tak může skrýt sám sebe, může se navázat na určité funkce, může skrýt další aplikace, soubory, adresáře, registry, procesy apod. S trochou nadsázky lze říci, že o čem rootkit prohlásí, že neexistuje – tak navenek opravdu neexistuje. Ve skutečnosti to je ale samozřejmě reálné, jen rootkit ví, kde.

Jak šel čas

Rootkity byly teoreticky rozpracované v roce 1983, kdy Ken Thompson z Bell Labs (mj. jeden z tvůrců Unixu) představil koncept modifikovaného kompilátoru, který akceptoval nejen regulérní heslo, ale také heslo „tajného administrátora“. To se nedalo běžnými prostředky zjistit – stejně jako jeho prostá existence.

Trvalo ale několik let, než se celá myšlenka dočkala praktické realizace. Stalo se tak v roce 1990, kdy Lane Davis a Steven Dake vytvořili rootkit pro SunOS Unix. V devadesátých letech byly rootkity používané jako administrátorské nástroje – i jako prostředky k pronikání do systémů. Až v roce 1999 vstoupily na novou půdu, kdy vznikl první rootkitový malware: NTRootkit pro Windows NT (uživatelé Mac OS X si museli ještě deset let počkat).

Největší slávu – byť pochybnou – si rootkity „užily“ v roce 2005, kdy začala společnost Sony BMG chránit některá svá CD protikopírovací ochranou XCP. Po prvním vložení CD s hudbou do počítače se zobrazila EULA.

Do počítače se pak instaloval speciální program, který umožňoval vypálení pouze určitého množství záložních kopií (pro osobní potřebu) a blokoval třeba spouštění hudby přes jiné přehrávače než přes přehrávač dodávaný od firmy Sony.

Problém byl v tom, že docházelo do počítače k instalaci nejen avizovaného softwaru, ale i rootkitu, který jej skryl. A potíž tkvěla i v tom, že tento rootkit bylo možné zneužít k dalším útokům: objeven byl například také v počítačích amerického Pentagonu.



Inteligentní virus pro Android zneužíval popularity Pokémon Go
22.9.2016 Žive.cz
Viry
Více než pět set tisíc obětí si na sklonku léta nainstalovalo aplikaci pro Android jménem Guide For Pokémon Go New. Na tom by nebyl nic zvláštního, kdyby se ovšem nejednalo o sofistikovaný malware, který poté telefon oběti zapojil do botnetu.

Specialisté z Kaspersky Lab nyní virus analyzovali a je to docela nepříjemné čtení – především z pohledu toho, jak se malware chová.

Klepněte pro větší obrázekKlepněte pro větší obrázek
Návod na pokémony měl na Play Storu poměrně důvěryhodné hodnocení, přesto obsahoval zákeřný malware

Program totiž po instalaci nezačal okamžitě útočit, ale vyčkával i několik hodin, během kterých analyzoval, jestli skutečně běží na telefonu a nikoliv třeba ve virtuálním prostředí. Tím se snažil vyvarovat odhalení ze strany Googlu a antivirových společností.

Teprve když si byl program jistý, že je na reálném telefonu (sledoval například, jestli uživatel instaluje i další aplikace), spojil se se serverem operátora a zaslal mu informaci o typu telefonu, poloze a tak dále.

Operátor se poté rozhodl, jestli mu daný telefon vyhovuje a dal mu zelenou k samotné instalaci viru, který se pokusil zneužit zranitelností z posledních let k tomu, aby získal práva root a plnou kontrolou nad systémem.

Inteligentní virus tedy útočil pouze tam, kde se mu to vyplatilo a na ostatních telefonech byl potichu, což ještě více znesnadnilo jeho odhalení. Právě tento způsob chování a šifrování části kódu s virem, kterou obslužná aplikace rozbalí a spustí, jen když se ji to hodí, může obalamutit mnohé automatické systémy na její včasné odhalení. A takový malware pak může přežívat i na oficiálním Play Storu dostatečně dlouho k tomu, aby nakazil tisíce zařízení jako v tomto případě.



To naštve. Lidé instalovali antivirus, a přitom to byl ransomware, který jim zašifroval data
21.9.2016 Zive.cz
Viry
Ransomware je jedním z nejnebezpečnějších typů malwaru, se kterým se může surfař setkat. Zatímco zapojení do spamovacího botnetu oběť fakticky nebolí, protože útočník zneužívá jen její výpočetní výkon a konektivitu, ransomware je vyděračský vir, který vám zašifruje data a klíč získáte až po zaslání určitého obnosu na anonymní bitcoinový účet.

Klepněte pro větší obrázek
Virus se vydával za antivirus, zašifroval data a požadoval výkupné

A tak lidé instalují antiviry, aby je před ransomwarem ochránily. Autoři virů si toho jsou samozřejmě vědomi, proto se pokoušejí situace využít. Před pár dny prolétla internetem zpráva, že jeden z takových virů, DetoxCrypto, se vydával přímo za zbraň, která s ním měla zatočit – za antivirový software Malwarebytes.

Oběti si tedy v dobré víře instalovali antivirový program, ve skutečnosti to však byl ransomware, který jim poté zašifroval data a požadoval výkupné 2 BTC, což po přepočtu činí skoro 30 tisíc Kč.

Klepněte pro větší obrázek
Dokud nezadáte správný klíč, data nezískáte

Podobné platby jsou přitom vždy určitou sázkou do loterie, není totiž vůbec jisté, jestli má ransomware ještě nějakého aktivního operátora, který na platbu opravdu zareaguje. Obrana před tímto typem malwaru je přitom snadná – zálohovat opravdu klíčová data, o která nechceme přijít.


Nový ransomware šifruje autonomně, bez komunikace se zločinci

21.9.2016 ComputerWorld Viry
Novou verzi ransomwaru RAA objevili experti společnosti Kaspersky Lab. Aktualizovaná verze je schopná zašifrovat data off-line, aniž by potřebovala heslo příkazového serveru.

Nový trojan se ke svým obětem dostává e-mailem, ke kterému se připojuje nebezpečný soubor s příponou .js. Experti se domnívají, že díky této verzi malwaru budou podvodníci častěji útočit na podniky.

Ransomware RAA se objevil v červnu 2016 a je prvním ransomwarem, který je kompletně napsaný v JScriptu. Nová verze je ze srpna. Tentokrát je ale škodlivý kód ukrytý v heslem chráněné příloze, kterou je zazipovaný soubor. Kybernetičtí zločinci zavedli toto opatření především proto, aby oklamali AV řešení, pro které je těžší prozkoumat obsah zaheslovaného archivu.

Experti analyzovali e-maily a došli k závěru, že podvodníci raději cílí na společnosti než na běžné uživatele, a to pomocí nebezpečných e-mailů, které informují o nezaplacených platbách dodavatelům.

Podvodníci dodávají komunikaci důvěryhodnost zmínkou, že z bezpečnostních důvodů je přiložený soubor zaheslovaný (heslo je poskytnuté na konci e-mailu) a navíc je chráněný asymetrickým šifrováním. Toto prohlášení může znít uživatelům, kteří se zajímají o bezpečnost, směšně, důvěřivé oběti se ale nechají přesvědčit.

Další postup útoku je podobný tomu u předchozí verze RAA ransomwaru. Oběť otevře soubor .js, který spustí celý škodlivý proces. Trojan ukazuje podvodný textový dokument, který obsahuje náhodnou kombinaci písmen.

Tím se mu podaří zmást svou oběť. Zatímco se napadený uživatel snaží přijít na to, o co jde, RAA na pozadí kóduje soubory uložené v počítači. Nakonec ransomware na ploše vytvoří poznámku o výkupném a všem zašifrovaným souborům dá novou příponu .locked.

V případě šifrovaní dat v počítači oběti nyní RAA vůbec nepotřebuje komunikovat s C&C serverem. To je hlavní rozdíl od předchozí verze. Místo, aby trojan požadoval „master key“ od serveru, generuje, šifruje a ukládá jej přímo v napadeném počítači.

Kybernetičtí zločinci mají k dispozici soukromý klíč, který dokáže rozšifrovat unikátní „master key“. Jakmile oběť zaplatí výkupné, podvodníci ji požádají o zaslání „master key“, který jí vrátí rozšifrovaný společně s částí dešifrovacího softwaru.

Tento postup byl zavedený z důvodu, aby malware mohl počítač zašifrovat nehledě na to, zda je připojený k internetu.

Horší je, že oběti společně s ransomwarem RAA obdrží i trojan Pony. Ten je schopný ukrást hesla všech e-mailových klientů včetně těch korporátních a poslat je útočníkovi. Podvodníci pak mohou díky těmto heslům šířit malware jménem napadeného uživatele. Oběti je pak snadnější přesvědčit, že je e-mail legální.

Z korporátního e-mailu oběti tak může být malware rozšířený celé řadě firemních kontaktů. Podvodníci z nich mohou vybrat určité kontakty, které je zajímají, a provést na ně cílený útok.



Vyděračské viry ještě neřekly poslední slovo. Nová verze straší neuhrazenými pohledávkami

20.9.2016 Novinky/Bezpečnost Viry
Různé verze vyděračských virů, které jsou souhrnně označovány jako ransomware, terorizují uživatele už několik let. Na řadu z nich sice bezpečnostní experti našli lék, kyberzločinci však stále vytvářejí nové a nové verze. Škodlivé kódy, které tahají z uživatelů nemalé peníze, tak rozhodně ještě neřekly poslední slovo.
Ukazuje to například vylepšená verze ransomwaru RAA, před kterou v úterý varovali bezpečnostní experti antivirové společnosti Kaspersky Lab.

Tento nezvaný návštěvník začal kolovat internetem už v polovině letošního roku. Jeho nová verze je však výrazně schopnější. Dokáže totiž zašifrovat data i na počítačích, které nemají přístup k internetu. Dříve přitom museli samotný útok spustit kyberzločinci na dálku – přednastaveným příkazem uloženým na serveru.

Vylepšená varianta se zároveň snaží oklamat různé bezpečnostní aplikace v počítači. Šíří se totiž nejčastěji jako příloha nevyžádaného e-mailu. Tu útočníci zaheslují a uživatel ji musí sám otevřít pomocí přístupového kódu, který je napsán v samotné zprávě. Na zaheslované archivy je totiž většina antivirových programů krátká.

Nezaplacené pohledávky
Kvůli heslu se mohou příjemci nevyžádané zprávy navíc milně domnívat, že nejde o žádný podvod. Zaheslované archivy jsou totiž například v podnicích běžně používány k tomu, aby se k datům nedostal nikdo neoprávněný.

Právě na podniky nová verze ransomwaru RAA cílí. Příjemce nevyžádaných e-mailů se totiž snaží vyděsit tím, že mají nezaplacené platby dodavatelům. Dokument v příloze má dokazovat, že je tomu skutečně tak.

Pokud archiv uživatelé skutečně otevřou, pustí si tím nevědomky do svého počítače nezvaného návštěvníka. Samotný útok pak již probíhá podle tradičního scénáře. Nejprve začne RAA šifrovat obsah počítače a uživateli zobrazí oznámení, že za dešifrování dat musí zaplatit, jinak se ke svým datům údajně již nikdy nedostane.

Ani po zaplacení výkupného ale nemají uživatelé jistotu, že se ke svým datům skutečně dostanou. Virus je nutné z počítače odinstalovat a data následně pomocí speciálního programu odšifrovat. V některých případech to ale není možné.

Za odšifrování chtějí 14 000 Kč
Vyděrači navíc nejsou žádní troškaři, za odšifrování požadují jeden bitcoin, což představuje při aktuálním kurzu více než 14 000 korun. Znovu je ale nutné zdůraznit, že zmiňovanou částku by lidé v žádném případě platit neměli. Útočníci jen shrábnou peníze a pak zmizí.

Kromě vyděračského viru RAA se v archivu ukrývá zároveň také trojský kůň Pony. Ten dokáže krást hesla prakticky ze všech e-mailových klientů. Podvodníci se pak s pomocí tohoto nezvaného návštěvníka snaží šířit vyděračský virus jménem postiženého uživatele i na další jeho známé.

Z řádků výše vyplývá, že před strašícím e-mailem o nezaplacených pohledávkách by se měli mít uživatelé na pozoru i v případě, kdy přijde od skutečně známých uživatelů. Ve skutečnosti se za něj totiž mohou vydávat počítačoví piráti.



Podvodníci se vydávají za pracovníky ČNB. Z důvěřivců lákají informace i peníze

19.9.2016 Novinky/Bezpečnost Phishing
Kyberzločinci v posledních dnech zkoušejí nový trik, jak vylákat z důvěřivců citlivé informace a v některých případech dokonce i peníze. Vydávají se za zástupce České národní banky (ČNB) a prostřednictvím nevyžádaných e-mailů oslovují náhodné uživatele. Před tzv. phishingovými zprávami varovali v pondělí zástupci ČNB.
Podobný trik přitom podvodníci nezkoušejí poprvé. Podvodné phishingové zprávy, které byly rozesílány pod hlavičkou ČNB, se objevily již v minulosti.

„V této souvislosti zdůrazňujeme, že se nejedná o autentickou komunikaci České národní banky, ale o phishingové útoky směřující k vylákání osobních údajů dané osoby. Na jejich základě pak mohou být z bankovních účtů daných osob zcizeny finanční prostředky,“ stojí v prohlášení ČNB.

S ohledem na možné riziko by na podobné e-mailové zprávy neměli uživatelé vůbec reagovat. Samozřejmostí by mělo být, že lidé nebudou nikomu sdělovat autentizační údaje, jako jsou například přihlašovací hesla či PIN.

„Dále rozhodně doporučujeme neotvírat případné přílohy podezřelých e-mailových zpráv ani nespouštět v nich uvedené odkazy na webové stránky,“ konstatovali zástupci banky.

Číhají i na sociálních sítích
Podobné nebezpečí nečíhá na důvěřivce pouze v e-mailové schránce. Vylákat z důvěřivců přihlašovací údaje a potažmo i finanční prostředky se počítačoví piráti snaží také prostřednictvím sociálních sítí. [celá zpráva]

Podvodná nabídka na Facebooku
Podvodná nabídka na Facebooku

Například v minulém týdnu varovala Česká spořitelna před falešnými nabídky na Facebooku. V nich podvodníci slibují za použití nové verze internetového bankovnictví finanční bonus ve výši 1000 Kč. Pokud ale na to uživatelé přistoupí, zadělají si na velké problémy.

Ve skutečnosti totiž samozřejmě o žádnou novou verzi internetové bankovnictví nejde. Kyberzločinci se pouze touto nabídkou na sociální síti snaží vylákat z důvěřivců jejich přihlašovací údaje. Poté jsou jen krůček od toho, aby lidem vybílili účet nebo si jeho prostřednictvím sjednali nějakou půjčku.


Lovci chyb se mohou stát milionáři. Stačí najít jen jednu kritickou trhlinu

19.9.2016 Novinky/Bezpečnost Zranitelnosti
V minulém týdnu odstartovala soutěž zvaná Project Zero. V ní mohou změřit síly hackeři z celého světa, kteří se specializují na operační systém Android. Za nalezení chyb v této platformě totiž mohou získat v přepočtu několik miliónů korun. Upozornil na to server Tech Crunch.
Soutěž se týká výhradně chytrých telefonů Nexus 6P a Nexus 5X, na kterých běží čistá verze operačního sytému Android. Právě v tom je soutěž pro jednotlivé účastníky složitější, nemohou totiž využít trhlin v programech třetích stran, aby se do přístrojů snadno dostali.

Podle pravidel musí hackeři objevit kritickou bezpečnostní chybu, kterou bude možné zneužít na dálku. V praxi to tedy znamená, že musejí být schopni proniknout do přístroje například pomocí textové zprávy nebo e-mailu, a následně v něm spustit libovolný škodlivý kód.

Útočníci mohou znát pouze telefonní čísla a e-mailové adresy uživatelů.
Natalie Silvanovichová, organizátorka soutěže
„Cílem této soutěže je najít zranitelnosti a chyby, které umožňují vzdálené spuštění kódu na zařízeních se systémem Android. Útočníci v tomto případě mohou znát pouze telefonní čísla a e-mailové adresy uživatelů,“ prohlásila Natalie Silvanovichová, která má celou soutěž na starosti.

Kdo takový způsob objeví jako první, získá odměnu 200 000 dolarů, tedy v přepočtu více než 4,8 miliónu korun. Druhý úspěšný řešitel se pak může těšit na pomyslný honorář ve výši 100 000 dolarů (2,4 miliónu korun). Třetí v pořadí pak získá 50 000 dolarů, tedy více než 1,2 miliónu korun.

Zmiňované částky skutečně platí pro objevení jedné jediné chyby. Honorář za práci úspěšného lovce chyb je tak doslova pohádkový.

Velké firmy lákají také na odměny
Lákat na podobné odměny se snaží hackery i řada dalších společností. Stejnou strategii již například několik let razí společnosti Facebook a Microsoft. Letos začala odměňovat lovce chyb také společnost Apple, i u ní si hackeři mohou vydělat klidně několik miliónů korun.

Odměny u Applu jsou odstupňované podle závažnosti a podle toho, jakého operačního systému se týkají. Hledat trhliny totiž hackeři mohou například v mobilní platformě iOS, ale stejně tak v operačním systému Mac OS X.

Americký počítačový gigant slibuje odměny ve výši až 200 tisíc dolarů v případě těch nejkritičtějších chyb, které budou vystavovat velké množství uživatelů útokům. V přepočtu na koruny si tak bezpečnostní experti budou schopni vydělat bezmála pět miliónů korun za odhalení jedné jediné chyby.


Zero day pro MySQL

19.9.2016 Root.cz Zranitelnosti
Dawid Golunski objevil dvě kritické chyby v MySQL (a jeho klonech: MariaDB, PerconaDB) umožňující změnu konfiguračního souboru a tím vzdálené spuštění kódu a eskalaci oprávnění. Postižené jsou verze <= 5.7.14, 5.6.32, 5.5.51 a Dawid informoval projekty o zranitelnostech již 29. července. CVE-2016–6662 umožňuje vzdálenou změnu konfigurace MySQL (my.cnf). K tomu vám stačí oprávněný účet, nebo využití SQL Injection chyby webové aplikace používající postiženou verzi MySQL. Využitím této chyby je možné spustit vlastní kód s oprávněním roota. Před zneužitím chyby vás neochrání ani standardní politiky SELinux, či AppArmor.

Každá instalace MySQL obsahuje mysqld_safe script sloužící pro inicializaci databáze a aktivaci základních bezpečnostních prvků. Tento script ale obsahuje SUID (Set owner User ID up on execution) bit a kdokoliv script spustí, tak běží s oprávněním roota. To není nic neobvyklého, ale je dobrým zvykem držet počet takových programů na naprostém minimu. Sami si to můžete ověřit na vlastním systému a odebrat SUID/SGID s root oprávněním kde je to jen možné.

find / ! \( -wholename '/proc/*' -prune \) -perm -u=s -o -perm -g=s ! -type d
Script dále obsahuje parametr umožňující načíst knihovnu před spuštěním MySQL daemona a to je ta kritická část, protože pak tato knihovna bude spuštěna s oprávněním roota při dalším restartu databáze/systému. Cílem je spuštění mysqld_safe s parametrem –malloc-lib nebo změnit jeden z konfiguračních souborů a přidat parametr malloc_lib s cestou ke knihovně útočníka. Pokud tedy útočník bude mít dostatečné oprávnění (FILE) v MySQL prostředí a bude schopen vložit do systému vlastní kód, tak mu tato chyba umožní plně ovládnout celý systém. První omezení oprávnění by měla řešit druhá chyba (CVE-2016–6663), která se týká zmíněné eskalace oprávnění. Detaily nejsou známy, ale Dawid by je měl (včetně PoC kódu) zveřejnit během několika dnů.

Jeden z příkladů změny konfiguračního souboru:

mysql> set global general_log_file = '/var/lib/mysql/my.cnf';
mysql> set global general_log = on;
mysql> select '
'>
'> ; injected config entry
'>
'> [mysqld]
'> malloc_lib=/var/lib/mysql/mysql_hookandroot_lib.so
'>
'> [separator]
'>
'> ';
1 row in set (0.00 sec)
mysql> set global general_log = off;
Podobná chyba se objevila již v roce 2003 a tento vektor útoku od té doby neměl být možný, avšak Dawid svým PoC kódem dokázal, že tato zranitelnost stále existuje. Především na sdíleném webhostingu je pravděpodobnost zneužití a ovládnutí celých serverů velmi vysoká.

MariaDB a PerconaDB již vydali opravu, Oracle (MySQL) však stále ne (očekává se až 18. října). Dawid doporučuje jako dočasnou ochranu změnit vlastníka konfiguračních souborů MySQL na roota a vytvořit prázdné my.cnf konfigurační soubory ve všech cestách kde je MySQL očekává při startu. Vzhledem ke kompatibilitě klonů s MySQL, jednoduché migraci, použití nejmodernějších technologií, rychlejšímu vydávání oprav, otevřenosti a mnohem vyššímu výkonu (např. XtraDB, Galera) možná bude nejlepším doporučením přejít z MySQL na Mariu, či Perconu.




Nezvaný návštěvník vydělává kyberzločincům peníze. Zobrazuje reklamu a volá na prémiové linky

14.9.2016 Novinky/Bezpečnost Android
Velký pozor by si uživatelé měli dát na nový škodlivý kód zvaný CallJam, který objevili bezpečnostní experti společnosti Check Point. Tento nezvaný návštěvník totiž dokáže z chytrého telefonu volat na placená čísla a tím uživateli pěkně prodražit pravidelné vyúčtování. Navíc zobrazuje reklamu na displeji přístroje, díky čemuž útočníci inkasují další peníze.
Výzkumníci odhalili škodlivý kód ve hře Gems Chest for Clash Royale, kterou bylo možné stahovat pro zařízení s operačním systémem Android v Google Play od letošního května. Od té doby si ji stáhly stovky tisíc lidí.

„CallJam přesměruje oběti na nebezpečné webové servery, které útočníkům generují podvodné příjmy. Aplikace zobrazuje na těchto webových stránkách podvodné reklamy namísto jejich zobrazení přímo na zařízení,“ varoval David Řeháček, bezpečnostní odborník ze společnosti Check Point.

Virus CallJam se maskoval za hru Gems Chest for Clash Royale
Virus CallJam se maskoval za hru Gems Chest for Clash Royale.
FOTO: Check Point

Podle něj si nicméně hned po stažení aplikace mohli zběhlejší uživatelé všimnout, že je něco v nepořádku. „Ještě než malware zneužije infikované zařízení k volání na prémiová čísla, požádá aplikace o udělení oprávnění. Bohužel jak jsme často viděli i u podobných předchozích útoků, většina uživatelů udělí oprávnění dobrovolně a často bez čtení nebo plného pochopení možných následků,“ doplnil Řeháček.

Přístroj pak vytáčí předem vytipovaná čísla, která útočníkům vytvářejí zisk. Peníze jim mimochodem vydělává i reklama, kterou dokáže CallJam také zobrazovat.

„Hra dosáhla relativně vysokého hodnocení, protože uživatelé byli požádáni o ohodnocení hry ještě před spuštěním škodlivých aktivit pod falešnou záminkou a slibem dalších herních bonusů. Je to další příklad, jak mohou útočníci získat pro svou aplikaci vysoké hodnocení a distribuovat ji na oficiálním obchodu s aplikacemi a ohrožovat zařízení a citlivá data,“ konstatoval bezpečnostní odborník.

Objevená hra Gems Chest for Clash Royale, která zákeřný virus obsahovala, byla určena pro operační systém Android. Není nicméně vyloučeno, že CallJam budou útočníci maskovat za úplně jinou aplikaci, případně že se s ním pokusí napálit také uživatele jiných mobilních platforem.

Uzamkne displej mobilu
Na operační systém Android před nedávnem cílila také falešná verze hry Pokémon Go. Šlo o tzv. lockscreen, který uzamkne displej telefonu a tím jej zcela zablokuje. I tohoto záškodníka se počítačovým pirátům podařilo propašovat do oficiálního obchodu Google Play.

„Pokemon GO Ultimate je první zaznamenanou falešnou aplikací v Google Play s funkčností lockscreen. Ve skutečnosti není příliš škodlivá, jejím cílem je skryté klikání na porno reklamy,“ uvedl Petr Šnajdr, bezpečnostní expert společnosti Eset.

Záměr útočníků je tedy zřejmý. Nesnaží se uživatele nějak poškodit nebo odcizit jeho data. Pouze se snaží prostřednictvím umělého navýšení kliků na bannery zvýšit příjmy daných webů z reklamy. Zamčený displej nejde žádným způsobem odemknout.

V mnoha případech je jediným řešením tzv. tvrdý restart zařízení, který se dělá jednoduše vyndáním baterie nebo kombinací určitých kláves. I po restartu ale zvládne nezvaný návštěvník klikat na porno stránky na pozadí a tím ukrajovat výkon smarpthonu.


Aktualizace platformy iOS mění telefony a tablety v nefunkční cihly

14.9.2016 Novinky/Bezpečnost Apple 
Na velmi nepříjemnou chybu mohou narazit uživatelé počítačových tabletů iPad a chytrých telefonů iPhone. Velká aktualizace operačního systému iOS 10 totiž obsahuje chybu, kvůli které se z mobilního přístroje může stát doslova nefunkční cihla.
Aktualizaci vydala firma Apple v noci na středu. A už pouhých pár hodin poté sociální sítě zaplavily stížnosti uživatelů, kteří ostatní upozorňovali na to, že s updatem nemusí být vše v pořádku.

Po neúspěšné aktualizaci na displeji telefonu zůstane hláška o tom, že přístroj je nutné připojit k počítači. Následně se však uživatel dozví, že přišel o svá data, pokud neprovedl dopředu zálohu.

View image on Twitter
View image on Twitter
Follow
PATJEM @patjem
Looks like an iPhone brick after iOS 10 OTA update @iCulture @MacRumors
7:40 PM - 13 Sep 2016
36 36 Retweets 7 7 likes
Jeden z uživatelů si stěžuje na chybu aktualizace na Twitteru.
Zástupci amerického počítačového gigantu zatím oficiálně chybu nepotvrdili. Postižených uživatelů jsou však přinejmenším desítky.

Jen při aktualizaci z telefonu a tabletu
Zatím nejí jasné, jakých konkrétních modelových řad s logem nakousnutého jablka se chyba týká. Zaznamenána totiž byla u novějších i starších iPadů a iPhonů. Jisté je nicméně to, že k problémům došlo vždy při aktualizaci přímo z chytrého telefonu nebo počítačového tabletu.

Tedy jinými slovy – pokud uživatelé update prováděli prostřednictvím počítače, k chybě podle zatím dostupných informací nedošlo.
View image on Twitter
Follow
Seth Weintraub ✔ @llsethj
Wow. iPad pro update failed. I don't even know if I have iTunes or a free USB port!

U: Have to do clean install wtf
7:35 PM - 13 Sep 2016
55 55 Retweets 31 31 likes
Chyba se týká iPhonů i iPadů
Se zablokovaným přístrojem po neúspěšné aktualizaci se údajně nedá nic dělat. Zprovoznit jej je možné pouze uvedením do továrního nastavení. Jak již bylo uvedeno výše, v takovém případě však uživatelé přijdou o uložená data, pokud před instalací neprovedli zálohu.

Stejný problém jako přes kopírák
Podobné případy nejsou nijak výjimečné. V nefunkční cihly proměnila iPhony a iPady také aktualizace, která vyšla v roce 2011.

Tehdy problém tvůrci vyřešili vydáním opravené verze iOS, která již podobné zablokování přístroje nezpůsobovala. Lze tedy předpokládat, že i v tomto případě se problémy vyřeší v některém z dalších updatů.

Kdy by však další aktualizace mohla vyjít, zatím není jasné.


Nový antimalware Kaspersky lépe zabezpečí spojení na citlivé stránky

14.9.2016 SecurityWorld Zabezpečení
Novou verzi Kaspersky Internet Security – multi-device, plně v češtině, uvedl na náš trh Kaspersky Lab. Uživatelům nabízí několik dalších možností, jak zabezpečit svá data na platformách Windows, Mac i Android.
Například verze pro Windows nově zahrnuje například funkci Secure Connection zajistí, že uživatelská data se nemohou během připojení k internetu zachycovat podvodníky. Doplňky Software Updater a Software Cleaner zase mohou pomoci opravit potenciální mezery v zabezpečení zařízení.

Kromě toho je nové řešení vybavené dalšími technologiemi, jako je několikaúrovňová ochrana finančních transakcí (Safe Money), prevence proti instalaci nevyžádaných aplikací (Application Manager, který byl dříve součástí doplňku Change Control) či blokování reklamních bannerů v prohlížeči (Anti-Banner).

Co se týče Secure Connection, tato funkce umožňuje pomocí kódování všech v rámci sítě poslaných i přijatých dat bezpečně se připojit k internetu. To je obzvlášť důležité při realizaci finančních operací, autorizace na webových stránkách nebo přesunu důvěrných informací.

Užitečná je hlavně během cestování, kdy se mnoho lidí častěji připojuje k nezabezpečeným Wi-Fi sítím, aby zůstali ve spojení. Secure Connection se může spouštět jak z hlavní nabídky produktu, tak i automaticky při připojení k veřejné Wi-Fi síti nebo vkládání důvěrných informací například na webové stránky bank, do online úložišť, platebních systémů, e-mailů, na sociální sítě, atd.

Cleaner zase monitoruje všechny aplikace nainstalované v počítači a upozorňuje na ty, které mohou představovat potenciální riziko. Uživatele upozorní v případě, že do jejich zařízení přibyl program bez jejich vědomí (například přídavný software během instalace jiné aplikace) nebo pokud nějaký program zpomaluje jejich zařízení, poskytuje neúplné nebo nesprávné informace o jeho funkcích, funguje na pozadí, zobrazuje bannery a zprávy bez povolení (reklama) nebo je využíván jen zřídka.


Danger je nejrozšířenější virovou hrozbou v Česku, šíří se přes nevyžádané e-maily

14.9.2016 Novinky/Bezpečnost Viry
Na pozoru by se měli mít uživatelé před počítačovým virem zvaným Danger. Tento nezvaný návštěvník se totiž v Česku šíří doslova jako lavina, a to především skrze nevyžádané e-maily. V žebříčku nejrozšířenějších hrozeb antivirové společnosti Eset mu aktuálně patří absolutní prvenství.
Nebezpečný virus, plným názvem JS/Danger.ScriptAttachment, je velmi nebezpečný. Otevírá totiž zadní vrátka do operačního systému. Útočníci pak díky němu mohou propašovat do napadeného počítače další škodlivé kódy, nejčastěji tak šíří vyděračské viry z rodiny ransomware.

Tyto škodlivé kódy začnou šifrovat obsah počítače a uživateli zobrazí oznámení, že za dešifrování počítače musí zaplatit, jinak se ke svým datům údajně již nikdy nedostane. Ani po zaplacení výkupného navíc nemají uživatelé jistotu, že se ke svým datům skutečně dostanou.

Virus je nutné z počítače odinstalovat a data následně pomocí speciálního programu odšifrovat. V některých případech to ale není možné.

Útočníci mohou zařízení ovládat na dálku
Druhou nejrozšířenější hrozbou je škodlivý kód Nemucod. „Společnost Eset v srpnu zaznamenala jeho novou verzi, která šíří do infikovaných zařízení tzv. backdoor, jenž umožňuje útočníkovi toto zařízení ovládat na dálku a bez vědomí jeho majitele,“ uvedl Miroslav Dvořák, technický ředitel společnosti Eset.

Přestože malwaru Nemucod patří ve statistikách hned druhá příčka, jeho podíl mezi zachycenými hrozbami byl pouze 5,4 procenta. I to dosvědčuje, jak velkou hrozbu představuje škodlivý kód Danger, který aktuálně statistikám vévodí.

Třetí místo pak patří viru Java/Adwind. Ten funguje také jako zadní vrátka do systému a je nejčastěji zneužíván pro napadání bankovních účtů. „Celkově představoval 3,8 procenta detekovaných případů,“ doplnil Dvořák.

Seznam deseti nejrozšířenějších hrozeb za měsíc srpen naleznete v tabulce níže:

Deset nejrozšířenějších počítačových hrozeb – srpen 2016
1. JS/Danger.ScriptAttachment (45,26 %)
2. JS/TrojanDownloader.Nemucod (5,4 %)
3. Java/Adwind (3,8 %)
4. PDF/Fraud (3,57 %)
5. VBA/TrojanDownloader.Agent.BOB (2,7 %)
6. VBA/TrojanDownloader.Agent.BRC (2,22 %)
7. VBA/TrojanDownloader.Agent.BPQ (2,06 %)
8. VBA/TrojanDownloader.Agent.BOJ (1,8 %)
9. VBA/TrojanDownloader.Agent.BNH (1,77 %)
10. VBA/TrojanDownloader.Agent.BPB (1,62 %)
Zdroj: Eset




Vir dokáže napíchnout webkameru a poté vydírat oběť kompromitujícími záběry

6.9.2016 Novinky/Bezpečnost Viry
První malware, který dokáže zneužít webkameru na monitoru počítače nebo notebooku a pořizuje citlivé či kompromitující záběry jeho uživatele, aby jej pak útočník mohl vydírat, objevila izraelská bezpečnostní společnost Diskin Advanced Technologies (DAT).
Podle analytičky společnosti Gartner Avivah Litan jde o trojského koně pojmenovaného Delilah, který se šíří prostřednictvím webových stránek s pornografickým obsahem a herních webů. Zatím však není zcela jasné, zda útočníci využívají spíše technické nebo softwarové zranitelnosti obětí.

Mnoho lidí si přelepuje webkamery neprůhlednou páskou.
Delilah je velmi sofistikovaný malware, který vyžaduje vysokou úroveň zapojení lidských operátorů, aby mohl vybrat nejvhodnější „kandidáty“ pro útok. „Jde o malware, který se připojuje k webkameře oběti, aby mohla být natočena bez jejího vědomí. Po instalaci shromažďuje velké množství osobních informací, takže později může uživatele počítače vydírat, nebo jím manipulovat. Ve hře jsou také informace o rodině nebo pracovišti oběti,“ upozorňuje Avivah Litan. Vydíraná oběť pak může na příkaz útočníka provádět činnosti, které poškozují jeho zaměstnavatele.

Pro komunikaci s napadenými uživateli využívají útočníci šifrované kanály jako například VPN nebo TOR. Analytická společnost Gartner zaznamenala podle analytičky Avivah Litan obavy řady svých klientů, kteří se domnívají, že jejich zaměstnanci jsou vydíráni těmito útočníky a působí v jejich prospěch.

„Potenciál zneužití webových kamer je opravdu velký. Mnoho lidí, včetně známých osobností, si proto webkamery na monitorech a laptopech přelepuje neprůhlednou páskou. Mediálně známý je například případ zakladatele Facebooku Marka Zuckerberga,“ říká Petr Šnajdr, bezpečnostní expert společnosti ESET. Přelepenou webkameru má i ředitel americké federální bezpečnostní služby FBI James Comey, který o tom promluvil na dubnovém setkání se studenty Kenyon Colledge v Ohiu. „Viděl jsem to ve zprávách, tak jsem to okopíroval,“ vysvětlil. „Nalepil jsem si kus pásky přes kameru svého osobního notebooku, protože jsem to viděl u někoho chytřejšího.“

Technologie, která dokáže na počítači spustit webkameru a nerozsvítit přitom kontrolku nahrávání, je na světě už dlouho. Nazývá se Remote Administration Tool (RAT). Je to software, který dokáže na dálku ovládat systém, a to i bez vědomí uživatele počítače. Nahrané video umí následně automaticky poslat přes internet kamkoli na světě.


Tenhle web prozradí, jestli se vaše jména a hesla nacházejí v hacknutých databázích
6.9.2016 cnews.cz
Hacking
Dropbox otočil a přiznal, že jej v roce 2012 skutečně hackli. Nešlo jen o spárování účtů Dropboxu a skutečně napadeného LinkedInu, jak ještě tvrdil nedávno. Firma to potvrdila magazínu Motherboard s tím, že uniklá databáze obsahovala údaje 68 680 741 účtů. Útočníci se dostali k e-mailům, ale také zahashované podobě hesel. Zhruba polovinu chránil starý algoritmus SHA-1, druhou půlku pak bezpečnější bcrypt. Všechny hashe prý byly solené, takže měly další stupeň ochrany.

Útočníci se tak nedostali ke skutečnému heslu, ale zároveň není nereálné jej rozlousknout. Bezpečnostní expert Troy Hunt ověřil, že uniklá databáze je skutečná. Otestoval na ni svůj i manželčin účet. Na cracknutí hesel použil Hashcat a prý to ani moc dlouho netrvalo.

Troy Hunt mimochodem provozuje užitečný web haveibeenpwned.com, na kterém si může každý ověřit, jestli se jeho uživatelské jméno nebo heslo někdy objevilo v podobných hackerských úlovcích. Aktuálně eviduje téměř 1,4 miliardy účtů ze 130 stránek. „Vede“ MySpace s 359 miliony ohroženými účty, pak následuje LinkedIn (164 milionů) a Adobe (152 milionů). Databáze Dropboxu je šestá největší.

Můžete stránce důvěřovat? Spíš ano. Troy Hunt je veřejně známá osoba a zaměstnanec Microsoftu. Do jeho vyhledávače navíc nezadáváte hesla, ale pouze e-maily nebo uživatelská jména. Ta lze samozřejmě zneužít k zasílání spamu, ale Hunt údaje neprodává a útočníci už tyto údaje z napadených účtů stejně znají. Jen pozor, vyhledávač je často nedostupný a napíše vám chybu „Oh no - catastrophic failure!“ Nezbývá než počkat.


Únik z Last.fm byl rozsáhlejší, než se zdálo. Opět čas měnit hesla

6.9.2016 Lupa Hacking
Vypadá to, že co se týká bezpečnosti, nemůžete nikomu věřit. A pokud tvrdí, že se skoro nic nestalo, tak to skoro vždy znamená ve skutečnosti kolosální malér.
V roce 2012 z Last.fm uniklo 43 milionů hesel, ale jak velký a nebezpečný únik to byl, se dozvídáme až teď, když jsou všechny e-maily i k nimi patřící hesla dostupná.

Last.fm před léty problém zveřejnil, ale oznámení se tradičně zabývalo hlavně zlehčováním a zametáním pod koberec. Navíc se ukázalo, že hesla jsou čistě MD5, takže bezproblémově rozlousknutelná. Což prakticky znamená, že níže uvedení Leaked Sources všechna hesla získali za dvě hodiny práce.

TIP: Takže opět, vaše heslo je kompromitované a je čas ověřit ho přes www.haveibeenpwned.com a www.leakedsource.com . A nezapomeňte i na to, že únik (taky 2012) z Dropboxu je také veřejný a podobně velký.

Tradičně platí, že lidé v roce 2012 používali stále stejná chronicky známá hesla. Podíváte-li se na deset nejpoužívanějších, najdete totéž, co v ostatních únicích: oblíbené číselné kombinace, heslo „heslo“, ale také ukázku zvrácené logiky lidí, kteří si jako heslo dávají název služby či slovo bezprostředně se službou související („music“).

Heslo Počet použití
123456 255 319
password 92 652
lastfm 66 857
123456789 63 984
qwerty 46 201
abc123 36 367
abcdefg 34 050
12345 33 785
1234 30 938
music 27 975
Uniklá databáze uživatelů z Last.fm navíc obsahuje nejenom e-maily a MD5 hesel, ale také uživatelská jména, datum založení účtu a data týkající se reklamy. V databázi je 43 570 999 účtů. Pokud vás zajímá další žebříček, stavte se u Leaked Source.

Nejvíce e-mailů pochází z @hotmail.com (9,3 milionu), ale těsně následuje Gmail (8,3 milionu). Ze Seznam.cz je zde 70 697 účtů.


Únik 68 milionů hesel z Dropboxu v roce 2012 potvrzen

6.9.2016 Lupa Hacking
Pokud ještě stále neberete vážně e-mail od Dropboxu o nutnosti změnit heslo, tak byste měli. Hesla z roku 2012 skutečně unikla.
V úniku (hacku) hesel z Dropboxu je možné získat informace o celkem 68 680 741 účtů. Hesla samotná nejsou v čitelné podobě a jakkoliv je u řady použit bcrypt, neznamená to, že byste se mohli spolehnout na to, že vaše prastaré heslo nikdo nerozlouskne.

Autenticitu hesel potvrzuje i Troy Hunt, v datech našel jak své staré heslo z roku 2012, tak heslo k účtu jeho manželky. Vedle hesel přes bcrypt je ale řada hesel jen přes SHA1 – což odpovídá i tomu, že zhruba v době úniku Dropbox přecházel právě na podstatně bezpečnější bcrypt. A také opouštěl původní SHA1 podobu bez saltu - nové uložení přes bcrypt je saltované (některé zdroje ale uvádí, že i SHA1 je saltované).

Dropbox na zpřístupnění uniklé databáze zareagoval tím, že v uplynulém týdnu všem účtům, které mohou být postižené, poslal upozornění, že je nutné, aby si nastavily nové heslo, a to staré jim zneplatnil. Pokud vám tedy takovýto e-mail došel, jste mezi těmi, jejichž heslo uniklo. Nevěříte-li, stačí si to ověřit klasicky přes www.haveibeenpwned.com nebo www.leakedsource.com.

Už v roce 2012 se Dropbox zachoval správně, únik dat ohlásil a uživatelům, u kterých měl podezření na únik, už tehdy heslo resetoval. Bohužel až dodnes se nevědělo, kolik hesel přesně se útočníkům (či útočníkovi) podařilo získat.

Zajímavé na úniku je, že se hovoří o tom, že za ním stojí poměrně základní bezpečnostní chyba jednoho z tehdejších zaměstnanců Dropbopxu – používal stejné heslo na více místech a útočníkům se podařilo k němu dostat. A poté se nějak dostali k výše uvedeným datům. Z toho plyne dobré poučení, že by hesla používaná lidmi „ve firmě“ měla být zásadně odlišná od těch, které používají „na internetu“. Nezbývá než doufat, že tohle si firmy typu Dropboxu dokáží uhlídat – nakonec technická řešení v podobě správců hesel pro firmy a týmy by tomu mohla napomáhat více než dostatečně.

TIP: Pokud vy sami používáte Dropbox a ukládáte tam cokoliv jiného než nějaké náhodné hlouposti, tak je dobré vědět, že už poměrně dlouho umožňuje dvoufaktorové ověření a je velmi jednoduché si ho pořídit – potřebné kódy si můžete generovat třeba přes Google Authenticator.

Heslo z LinkedIn stejné jako k Dropbox účtu
Samotný hack Dropboxu podle všeho neproběhl tak, že by se snad útočníci dostali přímo do systému Dropboxu, celé to vypadá na ještě další zanedbání pravidel – tedy uložení dat někam, kde uložena být nemají. To ale Dropbox přiznal už v roce 2012, kdy v oznámení o hacku uvedl, že se útočníkovi v zásadě podařilo dostat na účet u Dropboxu, kam si zaměstnanec firmy uložil data související s projektem – dost dobře možná právě projektem "migrace ze SHA1 na bcrypt.

Jediná vada na kráse oznámení z roku 2012 byla, že Dropbox problém asi přeci jenom trochu zlehčil. Tehdy tvrdil, že vlastně šlo o únik e-mailů zákazníků, který by mohl vést tak maximálně ke spamu. O tom, že unikla i hesla, se tehdy nějak mírně zapomněli zmínit. V roce 2012 se navíc nepředpokládalo, že by mohlo jít o tolik účtů (60 milionů účtů znamenalo zhruba 60 % všech uživatelů, které Dropbox v roce 2012 měl).

Ještě absurdnější je to, že útočníci získali heslo zaměstnance Dropboxu pro LinkedIn, které se shodovalo s jeho heslem u Dropboxu. Z LinkedIn se k účtu navíc dostali tak, že se objevil v úniku tamních hesel. Jde tedy o podobný problém jako při nedávném hacknutí řady účtů na Twitteru. Postiženo bylo dost poměrně prominentních lidí, včetně Marka Zuckerberga.



Přichází nová generace ochrany koncových bodů

3.9.2016 Zabezpečení
Platformy nové generace ochrany koncových bodů (Next Generation Endpoint Protection, NGEPP) spíše, než by hledaly signatury malwaru, jak to dělá tradiční antivirový software, analyzují procesy, změny a připojení, aby tak rozpoznaly aktivitu, která naznačuje nečestné chování. Přestože je tento přístup lepší při zachytávání exploitů nultého dne, i zde existují problémy.

Potíže s novou generací ochrany mohou být různé. Například zprávy o činnosti zařízení lze shromažďovat pomocí klientského softwaru i bez něj.

Podniky se tedy rozhodují, zda použít řešení bez klienta a získávat méně podrobné informace o hrozbách, nebo shromažďovat bohaté podrobnosti, ale s nutností řešit problémy s nasazením, správou a aktualizací, spojené s instalací agentů.

Potom nastává volba, jak zjistit důkazy, že probíhá invaze, a jak se přitom neutopit v záplavě shromážděných dat. Jakmile dojde k odhalení útoků, musejí organizace najít způsob jejich nejrychlejšího zablokování.

Mezi dodavatele, kteří se snaží vyřešit tyto problémy, patří i společnosti se širokou řadou produktů, jako jsou například Cisco nebo EMC, zavedení dodavatelé zabezpečení, jako jsou Bit9+Carbon Black FireEye, ForeScout, Guidance Software, Trend Micro a další, a také novější firmy zaměřené na zabezpečení koncových bodů, jako firmy Cylance, Light Cyber, Outlier Security nebo Tanium.

Je to jen malý vzorek, protože je toto pole přeplněné a konkurenti přicházejí s různými způsoby, jak problémy zvládnout.

Hodnota platforem pro ochranu koncových bodů je v tom, že dokážou identifikovat specifické útoky a urychlit reakci na ně poté, co dojde k jejich detekci. Dělají to tak, že shromažďují informace o komunikaci mezi koncovými body a ostatními zařízeními v síti stejně jako změny vykonané v koncovému bodu samotném, které mohou znamenat ohrožení.

Databáze této telemetrie koncových bodů se potom stává forenzním nástrojem pro zkoumání útoků, mapování jejich rozvoje, zjišťování zařízení, která potřebují nápravu, a případnou predikci možných budoucích hrozeb.

Agent, nebo ne?

Hlavní averze vůči agentům obecně spočívá v tom, že jsou dalším softwarem, který je nutné nasadit, spravovat a aktualizovat. V případě nové generace ochrany koncových bodů poskytují obrovské množství jinak nezískatelných dat o koncových bodech, ale to může být také nevýhoda.

Agenti koncových bodů nashromáždí tolik informací, že může být obtížné odlišit útoky od tzv. šumu pozadí, takže je důležité, aby se práce těchto agentů podpořila analytickým strojem, který dokáže takový objem dat zvládnout, upozorňuje Lawrence Pingree, analytik Gartneru. Množství generovaných dat se liší podle agentů a typů koncových bodů.

Bez agenta mohou platformy ochrany koncových bodů stále shromažďovat cenná data o činnosti zařízení napojením se na přepínač nebo směrovač a sledováním síťových služeb Windows (Windows Network Services) a WMI (Windows Management Instrumentation).

Tyto údaje mohou zahrnovat informace, kdo je přihlášen k zařízení, co uživatel dělá, úrovně oprav, zda běží další agenti zabezpečení, zda jsou připojena USB zařízení, jaké běží procesy a podobně.

Analýza může odhalit, zda zařízení vytvářejí připojení mimo očekávaný rámec, což je možným příznakem bočního pohybu útočníků, kteří hledají způsoby napadení dalších počítačů a eskalace privilegií.

Použití agentů může znamenat nutnost mít další konzoli pro správu, což představuje větší složitost a potenciálně vyšší náklady, upozorňuje Randy Abrams, ředitel výzkumu ve společnosti NSS Labs, která zkoumá platformy NGEPP.

„V určitém bodě to povede i k rozdílu v počtu pracovníků,“ vysvětluje Abrams a dodává: Pro správu všech konzolí může být třeba větší množství personálu, a to se promítá do vyšších nákladů.

Je to také záležitost kompatibility, tvrdí Rob Ayoub, také jeden ze šéfů výzkumu ve společnosti NSS Labs. „Jak zajistíte, aby libovolní dva agenti spolupracovali, a komu zavoláte, pokud kooperovat nebudou?“

Bezpečnost řízení a správy těchto platforem by se měla kontrolovat také, upozorňuje Pingree, aby se minimalizovalo ohrožení platforem samotných od interních útočníků.

Podniky by měly hledat produkty ochrany koncových bodů s nástroji, které umožňují různé úrovně přístupu pro personál IT, jenž má rozdílné role. Bylo by například užitečné povolit omezený přístup pro správce, zatímco inženýři reagující na incidenty by měli větší přístup, vysvětluje Pingree.

Analytické stroje

Analýza je nezbytná, ale také složitá, a to natolik, že to může být samostatná služba, jako je například ta, kterou nabízí společnost Red Canary.

Namísto shromažďování dat z koncových klientů pomocí vlastních agentů využívá senzory dodávané společností Bit9+CarbonBlack. Red Canary tato data obohatí o zpravodajské informace o hrozbách, získané od různých dalších komerčních bezpečnostních firem, vše analyzuje a generuje varování o narušeních, která najde v sítích svých zákazníků.

Tento analytický stroj označí potenciální problémy, ale kontrolu označených událostí vykonávají lidé – analytici, aby ověřili, zda jde o skutečné hrozby. To analytikům podnikového zabezpečení pomáhá omezit počet varování, na která musejí reagovat.

Nově vytvořená společnost Barkly zase uvádí, že pracuje na agentovi pro koncové body, který místně analyzuje situaci koncového bodu a automaticky blokuje škodlivé aktivity. O vykonaných akcích také informuje příslušného správce.

Tyto stroje potřebují připojení k větším zdrojům zpráv o hrozbách, kde jsou informace o charakteristice útoků z hlediska jejich šíření a o aktivitách vedoucích k narušení bez použití kódu, který by bylo možné označit jako malware, uvádí Abrams.

Většina z toho, co se ví o funkcích detekce v rámci koncového bodu a nástrojích reakce, je to, co o jejich schopnostech říkají ti, kdo je i vytvářejí. Pokud je to tedy možné, měli by potenciální zájemci použít zkušební verze, aby si funkce a efektivitu osobně ověřili ještě před nákupem. „Nevýhodou vznikajících technologií je, že nejsou dostatečně otestované,“ upozorňuje i Pingree.

Náprava

Nástroje detekce v koncovém bodu sbírají velké množství dat, která lze takticky použít k zastavení útoků, ale také k podpoře forenzního vyšetřování vývoje událostí – od průniků až po exploity. To může pomoci zjistit, jaká zařízení potřebují ošetření, a někteří dodavatelé se snaží tento proces zautomatizovat...



Experti z CZ.NIC objevili díky routerům Turris potenciální botnet, který útočí na stařičký Telnet
2.9.2016 Zive.cz 
BotNet
Majitelé experimentálních routerů Turris si na nich mohou aktivovat vábničky, které otevřou TCP porty pro komunikaci skrze terminály SSH a Telnet. Útočník ale ve skutečnosti nebude kompromitovat váš router, ten jej totiž mezi tím už dávno přesměroval na serveru CZ.NIC.

Klepněte pro větší obrázek
Pokud máte router Turris a zapojíte jej do systému vábniček (honeypotů) CZ.NIC, sami se můžete podívat, kdo se pokouší dostat na SSH skrze port 22 na vaší IP adrese a jaké příkazy zkouší. Zpravidla jsou stejné, protože je řídí nějaký botnet/automat.

V každém případě platí, že CZ.NIC, který routery Turris provozuje, má k dispozici zajímavá čísla, ke kterým se ostatně dostanou i ostatní členové komunity.

Experti na jaře objevili obrovský skok v útocích na stařičký Telnet, který je přitom spíše na ústupu. Objem útoků byl natolik velký a náhlý, že začali zkoumat zákeřné IP adresy a s pomocí Shodanu zjistili, že se ve velké míře jedná o všemožná zařízení IoT počínaje bezpečnostními kamerami připojenými k internetu a konče multimediálními přehrávači a domácími Wi-Fi routery.

Klepněte pro větší obrázekKlepněte pro větší obrázek
Roboti zdaleka neútočí jen na SSH, zájem o stařičký Telnet je stále obrovský (graf vlevo má logaritmické měřítko). V květnu se nejspíše ozval botnet, který zneužil internet věcí.

Zdá se tedy, že na jaře začal aktivně útočit na stařičký Telnet některý z velkých botnetů, který zneužívá zranitelností v síťových krabičkách, dostane se do jejich nitra a pokouší se skrze ně přihlašovat na Telnet napříč celým spektrem IP adres, do kterého se dostali i majitelé routerů Turris.

Pokud provozujete zařízení připojené k internetu, můžete si bezpečnost jeho IP adresy ověřit pomocí tohoto nástroje od CZ.NICu. Zjistíte, jestli IP adresa náhodou nefiguruje na seznamu útočníků, který ale pochopitelně nemusí být kompletní.


Ransomware jako služba

27.8.2016 SecurityWorld Viry
Experti bezpečnostní firmy odhalují, jak funguje Cerber, jeden z ransomwaru, který funguje na bázi služby, a jak snadné je využít jej pro své nekalé účely.

V 60stránkové zprávě zveřejnil Check Point Threat Intelligence and Research Team ve spolupráci s partnerskou výzkumnou organizací IntSights Cyber Intelligence nové podrobnosti a informace o technickém a obchodním pozadí ransomwaru Cerber.

Z reportu vyplývá, že ze všech ransomwarů má Cerber výrazně vyšší míru infekce a je ziskovější. Cerber v současné době využívá více než 160 aktivních kampaní po celém světě a předpokládané celkové roční příjmy jsou ve výši přibližně 2,3 milionů dolarů.

Každý den je v průměru spuštěno osm nových kampaní. Jen v červenci výzkum odhalil přibližně 150 tisíc obětí v 201 zemích a teritoriích. V České republice byla v červenci infikována zařízení více než 700 uživatelů.

Affiliates program Cerber je také úspěšnou pračkou peněz. Cerber používá bitcoinovou měnu, aby se vyhnul sledování a vytváří pro každou ze svých obětí unikátní peněženku pro příjem finančních prostředků.

Po zaplacení výkupného (obvykle jeden bitcoin, který má ale v současné době hodnotu 590 dolarů) obdrží oběť dešifrovací klíč. Bitcoin je přesunutý k vývojáři malwaru přes službu, která zahrnuje desetitisíce bitcoinových peněženek, takže je téměř nemožné je jednotlivě vysledovat. Na konci tohoto procesu získá vývojář peníze a partneři obdrží svůj podíl.

Cerber také otevírá dveře dalším rádoby hackerům. Umožňuje totiž i netechnickým jednotlivcům a skupinám podílet se na vysoce výnosném obchodu a spouštět nezávislé kampaně s využitím speciálních kontrolních a řídících (C&C) serverů a pohodlného ovládacího panelu, který je k dispozici v 12 různých jazycích.

Expert detailně mapovali od června 2016 komplexní systém vytvořený kolem ransomwaru Cerber a celou globální distribuční infrastrukturu. Byli schopní obnovit virtuální peněženky obětí, což týmu umožnilo sledovat platby a transakce a analyzovat pohyb zisků z malwaru a finanční toky.

Navíc tyto informace prý umožňují vytvořit dešifrovací nástroj, který může opravit infikované systémy, aniž by uživatelé nebo organizace museli kyberzločincům platit výkupné.

Cerber report


Počítače terorizuje nový vyděračský virus. Bezpečnostní experti už mají řešení

27.8.2016 Novinky/Bezpečnost Viry
Internetem se bez nadsázky jako lavina začal šířit nový vyděračský virus zvaný Alma. Tento nezvaný návštěvník zamkne data v počítači a požaduje výkupné. Vrásky na čele nicméně uživatelům příliš dělat nemusí, protože bezpečnostním expertům se na něj podařilo již vyzrát.
Na nového člena z rodiny ransomware, jak jsou souhrnně označovány vyděračské viry, upozornili výzkumníci ze společnosti PhishLabs. Ta se zabývá hledáním a analyzováním nových bezpečnostních hrozeb.

Škodlivý kód Alma útočí prakticky úplně stejně jako ostatní vyděračské viry. Nejprve začne šifrovat obsah počítače a uživateli zobrazí oznámení, že za dešifrování dat musí zaplatit, jinak se ke svým datům údajně již nikdy nedostane.

Výkupné neplatit
Ani po zaplacení výkupného ale nemají uživatelé jistotu, že se ke svým datům skutečně dostanou. Virus je nutné z počítače odinstalovat a data následně pomocí speciálního programu odšifrovat. V některých případech to ale není možné.

To však naštěstí o škodlivém kódu Alma již neplatí. Bezpečnostní experti dokázali v rekordně krátkém čase tohoto nezvaného návštěvníka analyzovat a vyvinout dekryptovací program.

S touto bezplatnou utilitou se uživatelé dostanou zpět ke všem svým datům, aniž by museli vyděračům zaplatit byť jen jedinou korunu. Samotný program i návod k jeho použití je možné stahovat ze stránek tvůrců, k dispozici je však pouze v anglickém jazyce.



Nový virus pro Android je vychytralý, útočníci ho ovládají přes Twitter
27.8.2016 Živě.cz
Viry

Populární sociální síť Twitter nemusí sloužit pouze pro sdílení krátkých příspěvků mezi lidmi. Kyberzločinci totiž dokážou přes Twitter ovládat i své viry.

Bezpečnostní experti odhalili nový škodlivý kód, jehož cílem jsou zařízení s operačním systémem Android. Slouží jako vstupní brána pro další viry, přičemž ho útočníci dokážou nenápadně ovládat přes Twitter. Informace o hrozbě zveřejnila společnost Eset na svém webu.

Malware čeká na příkazy z Twitteru

Malware označený názvem Android / Twitoor se šíří prostřednictvím pochybných internetových stránek s aplikacemi. Byly však zaznamenány i případy, kdy byl odkaz na jeho stažení rozesílán prostřednictvím SMS či MMS zpráv.

Po úspěšném nainstalování zůstane ukrytý v operačním systému, přičemž vyčkává na řídicí příkazy. Na rozdíl od běžných virů, které v mnoha případech komunikují přímo se serverem útočníků a jsou tak odhalitelné na základě datového provozu, tato varianta zneužívá sociální síť Twitter.

V pravidelných intervalech probíhá kontrola předem definovaného twitterového účtů. Na něm autoři zanechávají tweety obsahující zašifrované řetězce. Software je dešifruje a provede příkaz. Řídící twitterový kanál lze samozřejmě průběžně měnit a mezi přijímanými příkazy je například možnost stažení a instalace libovolné aplikace.

Může přijít vydírání

Na základě těchto vlastností dokážou kyberzločinci vytvořit rozsáhlou síť složenou z infikovaných chytrých telefonů. Následné využití takového botnetu může být různé. Lze provádět DDoS útoky, těžit virtuální měny či globálně infikovat stovky telefonů a tabletů malwarem či spamem.

Prostřednictvím Android / Twitoor se v současnosti šíří různé verze bankovních virů. Jak však experti zdůrazňují, útočníci mohou přes botnet kdykoli začít distribuovat jakýkoli jiný typ virů, včetně vyděračského ransomwaru.

Uvedená hrozba sice nebyla nalezena v žádném oficiálním obchodě s aplikacemi, přesto jde o zajímavý obrat ve vývoji škodlivých kódů určených pro chytré telefony. Ovládání infikovaných zařízení přes Twitter přitom není žádnou novinkou. Již v roce 2009 se objevily první botnety zneužívající Twitter. V té době však šlo o počítače s operačním systémem Windows.


Opera pod útokem. Raději resetovala hesla všem svým uživatelům
27.8.2016 cnews.cz
Počítačový útok
Norská Opera právě oznámila, že resetovala hesla svých uživatelů ke službě Opera Sync. Ta slouží k synchronizaci záložek, nastavení, historie i hesel. Důvodem pro tento krok bylo detekování útoku na některé své servery, při kterých zřejmě unikla některá uživatelská data (hesla prý ale jen v zašifrované podobě). Opera přesto raději resetovala hesla všem uživatelům této služby. Pro obnovení stačí kliknout na obnovení hesla a zadání nového.
Počet uživatelů služby Opera Link činí 1,7 milionu, což je ani ne půl procenta všech uživatelů Opery. Přitom Opera Sync je jednou z nejdůležitějších služeb prohlížeče, stejně jako obdobné služby u ostatních prohlížečů. Nedávno měli o koupi Opery zájem Číňané, které se ale (možná naštěstí) nakonec neuskutečnilo.



Druhý Snowden? Hacker dělá NSA vrásky na čele

26.8.2016 Novinky/Bezpečnnost Hacking
Americká tajná služba NSA, jež si díky odhalením Edwarda Snowdena vysloužila pověst světového slídila, teď zažívá horké chvíle. Na digitální aukci se totiž ocitají její vlastní hackerské nástroje, což potvrzují znalci.
„Určitě to vypadá jako nástroje použité NSA,“ citoval server Yahoo francouzského experta Matta Suicheho. Zásluhu na „vykradení“ obávané NSA si připsala hackerská skupina The Shadow Brokers, a slíbila, že zveřejní ještě víc.

Krátce nato se ozval hacker s twitterovým účtem 1x0123 a oznámil, že hodlá nástroje NSA prodat na digitální aukci za osm tisíc dolarů. Z jeho ne zcela jasného vyjádření vyplývá, že je ukradl skupině The Shadow Brokers.

Twitterový účet hackera, který vystupuje pod přezdívkou 1x0123.
Twitterový účet hackera, který vystupuje pod přezdívkou 1x0123.
FOTO: repro Twitter

Nebylo by to poprvé, kdy by něco podobného udělal, a jeho šikovnost před několika měsíci na Twitteru ocenil z ruského azylu i Snowden. „Běžná podezření znovu začínají u Ruska, ačkoli se zdá, že je málo důkazů, jež by taková obvinění doložila,“ napsala agentura Reuters.

Pokud by totiž podle ní nástroje NSA skutečně ukradli Rusové, nemělo by smysl to zveřejňovat, natož je nabízet k prodeji. „Logičtější vysvětlení by byla krádež zevnitř,“ domnívá se agentura, čímž nadhodila možnost, že uvnitř NSA může pracovat další Snowden.

Pokud to tak je, je o důvod víc pochybovat o užitečnosti služby, která tajně shromažďuje soukromé informace miliónů Američanů, ale nedokáže zabránit odcizení svých nejcennějších dat.


Ruský hacker Selezňov byl v USA odsouzen za krádeže karetních dat

26.8.2016 Novinky/Bezpečnnost Hacking
Soud v americkém Seattlu ve čtvrtek uznal ruského hackera Romana Selezňova vinným z krádeže čísel téměř dvou miliónů kreditních karet. Muž, jehož předloňské zadržení na Maledivách označilo Rusko za únos, je podle soudu vinen ve 38 bodech obžaloby zahrnujících mimo jiné počítačové pirátství a podvod, informovala agentura AP. Hrozí mu až 34 let vězení.
Selezňov si podle žalobců přišel na bezmála 17 miliónů dolarů (více než 407 miliónů Kč) tím, že na nelegálních webech prodával identifikační čísla kreditních karet. Ta získával z počítačových systémů pizzerií a restaurantů většinou ve státě Washington na severozápadě USA. Prokuratura uvedla, že takto získal citlivé údaje o 1,7 miliónu karet.
Follow
112 News @112NewsFeed
#US court finds #Russian #hacker #Seleznev guilty of #cybercrimehttp://goo.gl/VqGWGV
10:24 PM - 25 Aug 2016
Retweets likes
Roman Selezňov
Jeho obhájci tvrdili, že žaloba přesvědčivě neprokázala spojitost mezi útoky na počítače podniků a Selezňovem. Rovněž napadli věrohodnost důkazů získaných z jeho laptopu, s nímž podle obhajoby nedovoleně manipulovali příslušníci tajné služby.

Soud dal však za pravdu prokuratuře a o výši trestu se bude rozhodovat 2. prosince.

Selezňov tuto činnost provozoval od roku 2010 až do svého zadržení. Americká justice jej obvinila už v roce 2011, ale v Rusku ho zadržet nemohla. Když v roce 2014 Selezňov odjel na dovolenou na Maledivy, požádal Washington tamní úřady o spolupráci. Podle Ruska šlo o organizovaný únos a porušení mezinárodního práva.



Lidé podceňují zabezpečení. Každý dvanáctý Čech čelil v zahraničí útoku hackerů

22.8.2016 Novinky/ Bezpečnost Zabezpečení
Útoky hackerů nejsou ničím výjimečným, a to ani v době dovolených. V zahraničí se s nimi setkal každý 12. Čech. Vyplývá to z průzkumu antivirové společnosti Kaspersky Lab, podle kterého celkem 15 procent Čechů přišlo někdy v zahraničí o peníze, 12 procent se setkalo s on-line podvodem a osmi procentům někdo zneužil jejich platební karty.
Vzhledem k chování Čechů na cestách nejsou tyto údaje podle Kaspersky Lab překvapující. Průzkum ukázal, že tři čtvrtiny dotázaných se připojují k jakýmkoli veřejným Wi-Fi sítím, které mohou být zneužity kybernetickými zločinci. Přes potenciálně nebezpečná připojení pak téměř polovina českých respondentů používá internetové bankovnictví a více než třetina nakupuje on-line.

Bezpečnou VPN při připojení k veřejným sítím používá pouze 26 procent Čechů. Téměř čtvrtina v průzkumu přiznala, že se při připojování k internetu nijak nechrání.

"Připojit se k internetu pomocí nezabezpečené Wi-Fi sítě v zahraničí je jednoduché. Lidé pak automaticky pokračují v rutinních činnostech, jako je použití internetového bankovnictví nebo nakupování. Nepřemýšlí už ale, jaké následky může jejich chování mít," uvedl analytik Kaspersky Lab David Emm.

Uživatelé by se měli při cestování a připojování k internetu v zahraničí dostatečně chránit. Nikdy by neměli spustit z dohledu své platební karty a k internetu by se měli připojovat pouze pomocí zabezpečeného VPN připojení.



Nebezpečné triky počítačových pirátů

19.8.2016 Securityworld Kriminalita
Kyberzločinci se snaží neustále hledat nové cesty, jak se dostat lidem do PC. V posledních měsících jejich snahy stále častěji směřují také k chytrým telefonům. Často jim přitom nejde pouze o získání citlivých dat, důmyslné podvody jim vydělávají velké peníze.
Jednou z hlavních motivací k šíření nebezpečných virů je relativně snadný zisk. Například díky vyděračskému viru zvanému TeslaCrypt si počítačoví piráti jen za první čtvrtletí letošního roku vydělali podle odhadů FBI více než 200 miliónů dolarů, tedy v přepočtu bezmála pět miliard korun.

Na napadeném stroji dokáže tento nezvaný návštěvník udělat pěkný nepořádek. Nejprve zašifruje všechna data uložená na pevném disku. Za jejich zpřístupnění pak útočníci požadují výkupné, a to klidně i několik tisíc korun. Zmiňované miliardy tak útočníkům zaplatili skutečně samotní uživatelé.

Prostřednictvím dalších virů mohou kyberzločinci zase počítač doslova zotročit, získají tedy nad ním absolutní nadvládu.

Mobily jsou zlatý důl
Podobný nezvaný návštěvník se ale nemusí zabydlet pouze v počítači, v dnešní době dokážou kyberzločinci zotročit i chytrý telefon. Takový úlovek je pak pro piráty doslova zlatý důl.

Většina bankovních účtů je totiž jištěna proti neoprávněnému čerpání financí právě prostřednictvím mobilů – pomocí SMS zpráv. Když se dostanou kyberzločinci do chytrého telefonu, mají bankovní účet doslova na dosah ruky.

Útočníci vyzvou například prostřednictvím nevyžádané pošty klienty internetového bankovnictví k instalaci bezpečnostní aplikace do mobilního telefonu.

Ve skutečnosti se však nejedná o bezpečnostní aplikaci, ale hlášku vygenerovanou virem v počítači.

Před podobnými nezvanými hosty dokážou počítače, tablety i chytré telefony ochránit speciální programy. Kromě klasických antivirů jde například o aplikace, které se soustředí pouze na špionážní software a hledání trojských koní.

Škodlivý kód HummingBad se šíří jako lavina
Bezpečnostním expertům dělá v posledních měsících vrásky na čele škodlivý kód HummingBad, který se zaměřuje na telefony a tablety s operačním systémem Android. Tento nezvaný návštěvník totiž nakazil za pouhých pár měsíců na deset miliónů mobilních zařízení. Vyplývá to z analýzy bezpečnostní společnosti Check Point.

Severokorejský chytrý mobil Arirang

Nezvaný návštěvník dovoluje počítačovému pirátovi převzít nad napadeným strojem absolutní kontrolu. „Tento malware se zaměřuje na zařízení se systémem Android. Vytváří trvalý rootkit na zařízení,“ upozornil David Řeháček, bezpečnostní odborník ze společnosti Check Point. Schopnost škodlivého kódu se v zařízení maskovat – tedy zmiňovaný rootkit – značně znesnadňuje možnost jeho odhalení na napadeném zařízení.

Ve chvíli, kdy se HummingBad na mobilním zařízení zahnízdí, začne dál škodit. „Instaluje podvodné aplikace a umožňuje další škodlivé aktivity, jako například instalace keyloggerů, krádeže přihlašovacích údajů a obcházení šifrování e-mailů pro lepší zachycení podnikových dat,“ konstatoval Řeháček.

Jinými slovy počítačoví piráti převezmou nad napadeným přístrojem naprostou kontrolu. Mohou jen vyčkávat a sledovat aktivitu uživatele, stejně tak ale dovedou odchytávat zprávy týkající se internetového bankovnictví. Teoreticky tedy mohou uživatele připravit o peníze.

HummingBad se šíří zatím výhradně v prostředí platformy Android, a to zpravidla jako součást aplikací z neoficiálních zdrojů. Stejně tak se ale do přístroje může dostat prostřednictvím nevyžádaného e-mailu.

Falešná hra Pokémon Go uzamkne displej mobilu
Hra Pokémon Go je celosvětovým fenoménem. Toho se snaží využít také počítačoví piráti, kteří prostřednictvím falešných verzí šíří škodlivé kódy. Jedním z nich je i nový virus – tzv. lockscreen, který uzamkne displej telefonu a tím jej zcela zablokuje. Upozornili na něj experti antivirové společnosti Eset.

Doposud kyberzločinci šířili škodlivé kódy výhradně prostřednictvím neoficiálních verzí aplikace, které se objevovaly na různých webech. Nikoliv tedy prostřednictvím oficiálních internetových obchodů s aplikacemi.

U nového viru, který se maskuje za hru Pokémon Go, je tomu ale jinak. „Pokemon GO Ultimate je první zaznamenanou falešnou aplikací v Google Play s funkčností lockscreen. Ve skutečnosti není příliš škodlivá, jejím cílem je skryté klikání na porno reklamy,“ uvedl Petr Šnajdr, bezpečnostní expert společnosti Eset.

Záměr útočníků je tedy zřejmý. Nesnaží se uživatele nějak poškodit, nebo odcizit jeho data. Pouze se snaží prostřednictvím umělého navýšení kliků na bannery zvýšit příjmy daných webů z reklamy. Zamčený displej nejde žádným způsobem odemknout.

V mnoha případech je jediným řešením tzv. tvrdý restart zařízení, který se dělá jednoduše vyndáním baterie nebo kombinací určitých kláves. I po restartu ale zvládne nezvaný návštěvník klikat na porno stránky na pozadí a tím ukrajovat výkon smarpthonu.

Virus Keydnap krade hesla
Na pozoru by se měli mít uživatelé počítačů od společnosti Apple. V prostředí operačního systému Mac OS X se totiž šíří nebezpečný virus zvaný Keydnap. Ten dokáže na napadeném stroji udělat pěknou neplechu, především krade hesla k různým službám.

Mac Pro

Podle bezpečnostních expertů se škodlivý kód šíří především v souborech s koncovkou .zip, přičemž se pomocí jiné ikony snaží maskovat za textový dokument nebo obrázek. Nezvaný návštěvník se tak logicky nejčastěji šíří prostřednictvím nevyžádaných e-mailů. V počítači s operačním systémem Mac OS X se pak Keydnap snaží získat přístup k části systému, do které se ukládají hesla. Zároveň se snaží napadený stroj zařadit do tzv. botnetu, tedy do sítě zotročených počítačů.

Počítačoví piráti díky tomu pak mohou z napadeného stroje rozesílat další nevyžádané e-maily, případně je mohou zneužít k útokům typu DDoS. Při něm stovky až tisíce počítačů začnou přistupovat v jeden okamžik na konkrétní server. Ten zpravidla nezvládne tak vysoké množství požadavků zpracovat a spadne. Pro běžné uživatele se takto napadená webová stránka tváří jako nedostupná.

Podle bezpečnostních expertů jsou v bezpečí uživatelé, kteří mají nastavenou funkci Gatekeeper tak, aby umožňovala spouštění pouze aplikací digitálně podepsaných pomocí vývojářského ID přiděleného společností Apple.

Přes Facebook šíří poplašné zprávy
Facebookem se začal šířit nový podvod, prostřednictvím kterého se snaží počítačoví piráti vylákat přihlašovací údaje jednotlivých uživatelů. Kyberzločinci tvrdí, že se Praha stala terčem teroristického útoku. Na poplašnou zprávu se podle bezpečnostních expertů antivirové společnosti Eset nechalo nachytat již několik tisíc Čechů a Slováků.

Útok má poměrně jednoduchý scénář. Na Facebooku některého z přátel se objeví odkaz na falešný zpravodajský článek pojednávající o údajném teroristickém útoku s větším množstvím obětí.

Zpráva má už na první pohled podezřelý titulek „30 minut před: 1 teroristického útoku došlo v Praze, při kterých nejméně 187 lidí bylo zabi”. Je navíc doplněna o fotografii z údajného místa útoku, která však zcela evidentně nepochází z hlavního města České republiky. Pořízena byla při útoku v Bagdádu v roce 2010, další varianta zase používá snímek z nedávného útoku v Nice.

V některých případech navíc kyberzločinci podvodné zprávy ještě více specifikují, aby nalákali co možná nejvíce důvěřivců. Jeden z odkazů, které bezpečnostní experti zachytili, tvrdil, že český prezident Miloš Zeman byl zavražděn ve vlastním domě. K šíření podvodných zpráv útočníci využívají účty na Facebooku, které se jim již podařilo napadnout. Právě proto se mohou podobné zprávy objevovat i pod hlavičkou skutečných přátel.

Smartphone dokážou ovládnout kyberzločinci na dálku
Bezpečnostní experti bijí na poplach. Objevili totiž hned čtyři zranitelnosti, jejichž prostřednictvím mohou počítačoví piráti ovládnout cizí smartphone na dálku. Podle prvních odhadů je v ohrožení více než 900 miliónů chytrých telefonů. Trhliny se týkají výhradně přístrojů postavených na platformě Android.

Celkem čtyři chyby nicméně neobsahuje samotný operační systém, ale ovladače čipsetu od společnosti Qualcomm. Nutno podotknout, že tuto čipovou sadu používá drtivá většina aktuálně nabízených smartphonů. Záplaty pro tři zranitelnosti jsou již k dispozici, na čtvrtou se však stále čeká. Tato chyba je přitom kritická, kyberzločinci ji mohou zneužít k napadení prakticky jakéhokoli přístroje s operačním systém Android 6 a všech dřívějších verzí.

Na přístroj stačí propašovat škodlivou aplikaci, jejímž prostřednictvím počítačoví piráti získají práva administrátora. Pak mohou libovolně přistupovat ke všem datům uloženým v telefonu, případně měnit jeho nastavení. Vše přitom probíhá v tichosti, uživatel si nemusí žádné nekalé aktivity všimnout. Uživatelé by se měli mít na pozoru před instalací programů z neznámých zdrojů. Právě tam se nejčastěji ukrývají nezvaní návštěvníci, které mohou kyberzločinci zneužít.


LOGmanager ve verzi 2.0 nabídne lepší práci s parsery i alerty

19.8.2016 Securityworld Zabezpečení
Novou verze svého řešení LOGmanager, systému pro log management a SIEM, uvedla na náš trh tuzemská firma Sirwisa.
LOGmanager ve verzi 2.0 nabídne lepší práci s parsery i alerty

LOGmanager ve verzi 2.0 nabídne lepší práci s parsery i alerty

Hlavní inovací varianty 2.0 jsou podle výrobce uživatelsky definované parsery přes grafické rozhraní, dále klasifikátory parserů podle zdrojů a nová podoba systému varovných hlášení s velmi detailní definicí podmínek.

V nové variantě LOGmanageru se uživatelé mohou setkat rovněž s přepracovaným uživatelským prostředím GUI, který přináší výrazně rychlejší odezvu webového rozhraní.

Doplněná byla podpora pro správu přidání vlastních certifikátů a aktualizovaný je také Windows Event Sender, agent pro sběr logů z prostředí Windows, který v nové verzi podporuje šifrovaný režim přenosu a ověřování validity certifikátů.

Produkt na našem trhu distribuuje firma Veracomp.


Eset vylepšuje NOD32 i Smart Security

19.8.2016 Securityworld Zabezpečení
Nové verze – varianty 10 -- svých bezpečnostních řešení NOD32 a Smart Security představil Eset. Nabízejí mj. ochranu před skriptovými útoky či zabránění zneužití webové kamery.

Eset zahájil prodej nové řady produktů pro SOHO a domácnosti. Nabízejí řadu nových funkcí, mezi které patří například ochrana před skriptovými útoky, která je součástí antivirové ochrany NOD32 Antivirus.

Smart Security navíc nově obsahuje ochranu webové kamery - uživatel může jednoduše povolit nebo zablokovat aplikace (dočasně i trvale), které se snaží webkameru použít.

Nové funkce v bezpečnostních řešeních Esetu podle výrobce

Ochrana před skriptovými útoky detekuje útoky škodlivých skriptů, které se snaží zneužít prostředí Windows PowerShell, a Javascriptové útoky ve všech běžných internetových prohlížečích. Funkce je obsažena ve všech uváděných produktech.
Ochrana domácí sítě umožňuje otestovat domácí router na různé zranitelnosti, jako je slabé heslo nebo neaktuální firmware. Poskytuje seznam aktuálně připojených zařízení a uživatel je může pro lepší přehlednost řadit do různých kategorií. Funkce je obsažena v produktu Smart Security.
Ochrana webkamery monitoruje všechny procesy a aplikace běžící na počítači a upozorní uživatele na nestandardní použití webové kamery. Funkce je obsažena v produktu Smart Security.


 


Hackeři napadli i počítače amerických republikánů

19.8.2016 Novinky/Bezpečnost Hacking
Hackeři napadli počítače americké Republikánské strany i pracovníků kampaně jejího kandidáta na prezidenta Donalda Trumpa. S odvoláním na zdroje z vyšetřování to ve čtvrtek napsala agentura Reuters. Už dříve americká média oznámila, že hackeři napadli i konkurenční Demokratickou stranu.
Republikánský kandidát Donald Trump
Republikánský kandidát Donald Trump
Podle Reuters hackeři umístili škodlivý software do napadených republikánských počítačů v loňském roce. Trumpova kampaň poté najala bezpečnostní firmu CrowdStrike, která pomáhá i Demokratické straně řešit následky hackerského útoku proti ní. Republikáni se k záležitosti nevyjádřili.

Za útoky na Demokratickou stranu podle amerických vyšetřovatelů stáli hackeři z Ruska. E-maily získané hackery od demokratických představitelů ukázaly, že vedení Demokratické strany dávalo v primárkách přednost Clintonové před jejím soupeřem Berniem Sandersem. Kvůli aféře podala demisi předsedkyně demokratů Debbie Wassermanová Schultzová.


Tajné služby jdou po zranitelnostech v hardwaru

19.8.2016 Root.cz Hacking
bulletin Cisco exploit Hack hacker Hacking kyberbezpečnost NSA zranitelnost
Minulý týden, v pátek, jsme psali o zranitelnosti vzdáleného spuštění kódu v D-link routerech, postihující 11 modelů zařízení.

Nedávný hack Equation Group (úzce spojený s NSA) zveřejnil informaci o exploitech proti síťovému zařízení, vyrobeném největšími americkými výrobci: Cisco, Juniper a Fortinet.

Jen dnes jsme zjistili několik bezpečnostních bulletinů popisujících dvě zero-day zranitelnosti v CISCO ASA Appliances (CVE-2016–6366, CVE-2016–6367), vzdálené spuštění kódu ve FortiOS (SB2016081801) a velmi nepříjemný problém s výchozím veřejným ssh-key ve VMWare Photon OS (CVE-2016–5332).

Cisco potvrdilo EXTRABACON a EPICBANANA exploity, avšak nejsou žádné informace od dalších dodavatelů. Fortinet neudělal oficiální prohlášení, jen uvolnil bulletiny popisující zranitelnost vzdáleného spuštění kódu ve FortiOS. Není známo, zda je problém spojený s únikem.

Začátkem letošního roku musel Juniper čelit backdooru v ScreenOS zdrojovém kódu, který byl přítomen v bezpečnostním řešení minimálně od roku 2009.

Je zřejmé, že takový zájem o zranitelnosti v síťových zařízeních je kvůli nedostatku implementovaných ochranných mechanismů. Zatímco pracovní stanice a servery jsou často aktualizovány a jsou vybaveny firewally a antivirovými softwary, zařízení určené k poskytnutí základní ochrany zklamalo. Proces aktualizace firmwaru pro většinu síťových zařízení je komplikovaný a často vyžaduje dodatečné úsilí od pracovníků IT, anebo může způsobit výpadek.

Situace se zranitelnosmi v hardwaru je velmi znepokojujíci. Zařízení, která by měla poskytovat alespoň nejzákladnější stupeň ochrany pro vaše síťové prostředky, můhou být jednoduše zkompromitována, jako každý jiný hostitel. Už není vůbec bezpečené, spoléhat se jen na zařízení od vašeho dodavatele. A i když máte tucet firewallů, neznamená to, že nemají vadnou implementaci některých síťových protokolů.

Každopádně vám doporučujeme omezit přístup ke službám, které čelí internetu přímo. Můžete použít náš Online scanner zranitelností zdarma k prozkoumání otevřených portů a přítomnosti zranitelného softwaru ve vašem systému.
By Cybersecurity Help =)
anchors in page */ $(document).ready(function() { $('div[class*="rs-img-"] a') //only .filter(function(i) { return $(this).children('img').length > 0; }) .addClass('lightbox') .append('') .filter(function(i) { if(this.nodeName == 'A' && this.href.match(/-orig.[a-z]+$/)) { $(this).addClass('orig'); return false; } else { return true; } }) .attr('rel', 'clanek-img') .fancybox({ 'titleShow' : false, 'transitionIn' : 'elastic', 'transitionOut' : 'elastic' }); });



Terčem hackerů se stala nadace Clintonových. Stopy vedou do Ruska

18.8.2016 Hacking
Nadace Billa a Hillary Clintonové si najala bezpečnostní společnost FireEye, aby po známkách hackerského útoku prověřila její datové systémy. S odvoláním na dva nejmenované zdroje o tom v noci na čtvrtek informovala agentura Reuters. Na veřejnost podle nich zatím neunikl žádný dokument, u kterého by bylo jasně patrné, že se tam dostal prostřednictvím hackerů.
Američtí činitelé pod podmínkou zachování anonymity sdělili, že hackeři použili stejnou techniku jako ruské zpravodajské služby nebo jejich zprostředkovatelé během kybernetického útoku proti institucím z americké Demokratické strany, za kterou Clintonová kandiduje na prezidentku Spojených států. To by prý mohlo naznačovat, že Rusové zaútočili také na nadaci Clintonových.

Jeden z těchto zdrojů a dva američtí činitelé uvedli, že hackeři využili takzvaný cílený phishing. Součástí této techniky bylo podle zdrojů vytváření podvodných internetových stránek a e-mailů, kterými se počítačoví piráti chtěli vlomit do e-mailů pracovníků nadace Clintonových a později do nadace samotné.

Terčem nedávného hackerského útoku na instituce Demokratické strany se staly počítače jejího vedení (DNS) a stranický výbor pro získávání finančních prostředků pro kandidáty do Sněmovny reprezentantů. Americké úřady Moskvu s útokem na tyto počítače oficiálně nespojují a Rusko účast na akci odmítá.



Hackeři se dostali k heslům desítek miliónů lidí. Jsou mezi nimi i Češi

18.8.2016 Novinky/Bezpečnost Hacking
Na pozoru by se měli mít uživatelé, kteří používali internetovou službu iMesh. Počítačoví piráti se totiž dostali k desítkám miliónů uživatelských účtů z tohoto serveru. Kromě přihlašovacích jmen znají také přístupová hesla. Upozornil na to server Leaked Source.
Služba iMesh v současnosti už nefunguje. Únik hesel přesto představuje pro uživatele riziko.
Služba iMesh v současnosti už nefunguje. Únik hesel přesto představuje pro uživatele riziko.
Hackerům se podařilo získat hesla k více než 53 miliónům účtů na službě iMesh. Nejvíce postižených uživatelů je z USA, kyberzločinci se totiž zmocnili bezmála 14 miliónů přihlašovacích údajů Američanů.

Nezanedbatelné procento z úniku nicméně tvoří také Češi. Podle informací serveru Leaked Source, který uniklá hesla analyzoval, bylo kompromitováno přinejmenším 168 tisíc hesel tuzemských uživatelů.

Jak k úniku došlo, zatím není jasné. Služba iMesh totiž oficiálně ukončila svou činnost už zkraje června, v současnosti je tedy nedostupná. Otazník visí také nad tím, zda se databáze počítačoví piráti zmocnili ještě před koncem fungování serveru, nebo až poté.

Ukradená hesla jsou stále hrozbou
Odcizená hesla nicméně představují velkou hrozbu i poté, co služba přestala oficiálně existovat. Celá řada uživatelů totiž používá stejná hesla na různých serverech – na e-mailu, sociálních sítích či například v internetových obchodech. V případě, že stejné přihlašovací údaje používají uživatelé také na jiných službách, měli by neprodleně změnit hesla i tam.

Přímo server Leaked Source již stihl databázi odcizených hesel analyzovat. Na zmiňovaných webových stránkách si tedy uživatelé mohou ověřit, zda se sami stali obětí útoku. Do příslušného okna na úvodní stránce stačí zadat svou e-mailovou adresu, načež uživatel bude upozorněn, zda si má změnit heslo.

Při hledání přitom server Leaked Source neprochází pouze hesla z útoku na službu iMesh, ale také z dalších úniků. V databázi má bezmála dvě miliardy odcizených hesel.


Za únik informací o 1,5 milionu zákazníků přišla pokuta 3,5 milionu korun. Tak dopadl T-Mobile
18.8.2016 Živě
Kriminalita
Úřad pro ochranu osobních údajů (ÚOOÚ) vyčíslil pokutu za červnový únik citlivých dat zákazníků T-Mobilu. Operátor podle úřadu databázi dostatečně nezabezpečil a dopustil se tak správního deliktu, za který má zaplatit pokutu ve výši 3,6 milionu korun. Jde o jednu z nejvyšších pokut, kterou ÚOOÚ kdy udělil. Maximální výše sankce je v tomto případě až 10 milionů korun.

Úřad také odhalil přesnější údaje o zcizených datech. Šlo o osobní údaje zhruba pětiny všech klientů operátora (cca 1,2 milionu zákazníků), přičemž databáze obsahovala jména, příjmení, data narození, adresy, telefonní čísla i čísla účtů zákazníků. Z databáze je ukradl bývalý zaměstnanec operátora.

ÚOOÚ sankci udělil 10. srpna. T-Mobile se proti pokutě může odvolat do 15 dní od rozhodnutí úřadu. Operátor ale této možnosti podle svého vyjádření nevyužije, i když se mu pokuta zdá vysoká:

„Udělený postih akceptujeme, byť se nám pokuta, s ohledem na okolnosti, zdá nepřiměřená. V daném případě šlo o fatální selhání bývalého zaměstnance, který je již trestně stíhán. Ihned po zjištění incidentu jsme zpřísnili bezpečnostní opatření a věříme, že ve spolupráci s ÚOOÚ nastavíme standardy vedoucí k dalšímu zkvalitnění bezpečnosti dat zákazníků.“



Gartner: výdaje na bezpečnost dosáhnou 81,6 miliard USD

17.8.2016 securityworld Bezpečnost
Celosvětové výdaje v oblasti informační bezpečnosti v letošním roce podle analytiků společnosti Gartner porostou o 7,9 %. Největší část peněz půjde do oblasti konzultací a IT outsourcingu, v následujících letech nicméně nejvíce poroste oblast bezpečnostního testování, společně s outsourcingem a prevencí ztráty dat (DLP).

Oblast bezpečnostní prevence bude nadále vykazovat silný růst, neboť řada manažerů bezpečnosti preferuje právě pořizování preventivních opatření. Nicméně řešení jako je správa bezpečnostních informací a událostí (SIEM) či bezpečné webové brány (SWG) nabízejí stále více možností jak bezpečnostní hrozby detekovat a reagovat na ně.

Oblast SWG podle analytiků tak do roku 2020 poroste tempem 5 až 10 procent ročně s tím, jak se organizace budou stále více zaměřovat na detekci a reakci na útoky.

„Rostoucí zájem o řešení pro detekci a odražení útoků je důsledkem neúspěšnosti preventivních opatření při ochraně před agresivními útočníky,“ vysvětluje analytička společnosti Gartner Elizabeth Kimové. „Jednoznačně proto organizacím doporučujeme, aby rovnoměrně investovaly do obou oblastí.“

Podle Kimové budou výdaje na bezpečnost stále více inklinovat směrem ke službám, zejména v důsledku nedostatku vhodných odborníků na pracovním trhu. Objevují se služby jako řízená detekce a odražení útoků (MDR), o něž je zájem zejména mezi organizacemi, které bojují s efektivním nasazením a správou řešení v této oblasti – zejména v případě pokročilých cílených útoků nebo interních hrozeb.

Stále více poskytovatelů MDR se zaměřuje také na středně velké organizace a analytici proto očekávají, že právě tato oblast přispěje k růstu výdajů na bezpečnost jak u velkých, tak u středních a menších podniků.

Naopak růst výdajů v oblastech, jako je bezpečnostní software a řešení pro koncové zákazníky, zabezpečení emailových bran nebo ochrana koncových zařízení, postupně zpomaluje zejména kvůli jejich komoditizaci.

Analytici Gartneru vydali pro oblast informační bezpečnosti také několik předpovědí:

Průměrná prodejní cena firewallů poroste v následujících dvou letech o 2-3 % ročně. Souvisí to zejména s vyšší poptávkou po špičkových modelech ze strany poskytovatelů cloudových i jiných služeb.

Do roku 2018 nasadí 90 procent organizací (tedy o polovinu více než dnes) alespoň jeden typ integrovaného řešení typu DLP. Tato řešení byla doposud nasazována zejména proto, že je vyžadovala legislativa či předpisy, případně pro ochranu duševního vlastnictví, monitoring a zvýšení viditelnosti dat. Nová generace DLP nicméně nabízí analýzu uživatelských entit a chování, analýzu obrazu, strojové učení či techniky pro porovnávání dat.

Rostoucí využívání veřejného cloudu v nejbližších třech letech výrazně neovlivní výdaje na nákup firewallů, následně se ale začne výrazněji projevovat. V minulém roce byly služby SaaS „první“ volbou jen pro 16 % dotazovaných CIO. Přesun do cloudu bude tedy probíhat pozvolna - oblast bezpečnosti SaaS (ale také IaaS a PaaS) budou postupně pokrývat poskytovatelé služeb CASB (zprostředkovatelé zabezpečeného přístupu do cloudu). Výrobci firewallů budou také muset vyřešit otázku „masivního“ dešifrování SSL.

Polovina středních a větších organizací bude do roku 2019 u svých firewallů požadovat pokročilé funkce monitorování provozu. Požadavky na výkon a propustnost už nebudou pro velkou část zákazníků jediným kritériem: mezi stále častěji požadované funkce budou patřit nejen filtrování webových paketů či prevence průniku, ale také izolace (sandboxing) malware.



Virus nakazil statisíce mobilů. Kyberzločinci zneužívají populární aplikaci Prisma

16.8.2016 Novinky/bezpečnost Viry
Prisma je bezesporu jednou z nejpopulárnějších mobilních aplikací letošního léta. Toho si všimli také počítačoví piráti, kteří začali internetem šířit její podvodné verze. Nachytat se nechaly statisíce lidí, uvedli bezpečnostní experti antivirové společnosti Eset.
Zachycené podvodné aplikace byly určeny výhradně pro operační systém Android. Tak velké množství telefonů – dohromady více než 1,5 miliónu – se kyberzločincům podařilo nakazit především proto, že falešné programy propašovali také na oficiální obchod Google Play.

„Většina falešných aplikací Prisma detekovaných na Google Play neměla žádnou funkci pro úpravu fotografií. Místo toho zobrazovaly pouze reklamy, varování nebo falešné průzkumy a nabádaly uživatele, aby poskytli své osobní údaje, nebo si zaplatili falešné a drahé služby prostřednictvím prémiových SMS,“ uvedl Petr Šnajdr, bezpečnostní expert společnosti Eset.

Některé verze obsahují downloader
Některé verze podvodných aplikací nicméně obsahují downloader, prostřednictvím kterého jsou počítačoví piráti schopni do zařízení dostat další nezvané návštěvníky. „Za nejnebezpečnější falešnou verzi aplikace Prisma, jež se vyskytla na Google Play předtím, než byla uvolněna pravá aplikace, považuje společnost Eset aplikaci, která obsahuje malware detekovaný jako Android/TrojanDownloader.Agent.GY,“ konstatoval Šnajdr.

„Ten po infiltraci odesílá informace o napadeném zařízení svému řídícímu serveru a na základě vzdálených příkazů stahuje další moduly a aktivuje je,“ doplnil bezpečnostní expert s tím, že v současnosti již byla tato nebezpečná aplikace z Google Play stažena.

Podvodné aplikace obsahující downloader se nicméně v současnosti mohou šířit přes neoficiální zdroje.

Se snahou podvodníků o šíření podvodných aplikací se mohou uživatelé setkat také u dalších populárních programů. „V podobných případech je třeba být obezřetnější než obvykle. Nad rámec základních doporučení si důkladně zkontrolujte například název dané aplikace a jméno vývojáře. Vše musí přesně souhlasit, nikoli se jen podobat skutečným názvům,“ uzavřel Šnajdr.

Co umí aplikace Prisma?
Aplikace Prisma dovede proměnit obyčejné fotky doslova v umění. Umělá inteligence prý dovede v chytrém telefonu analyzovat jednotlivé aspekty fotografie a pomocí přednastavených algoritmů je převede do umělecké podoby. Samoučící neuronová síť, která malby vytváří, pracuje v cloudovém prostředí.

Ukázka aplikace Prisma

Ukázka aplikace Prisma.
FOTO: archív tvůrců

Zní to poměrně složitě, v praxi je to ale naopak jednoduché. Prisma dokáže například obyčejný portrét převést tak, jako kdyby jej nakreslil nějaký slavný světový malíř.

V aplikaci si uživatelé mohou nastavit, do jakého stylu nebo uměleckého žánru chtějí svoji fotografii přemalovat. Vybírat je přitom možné i z konkrétních malířů a grafiků. V některých případech se přitom momentky změní doslova k nepoznání.


Vedení amerického Kongresu vědělo o ruských hackerských útocích

13.8.2016 Novinky/Bezpečnost Hacking
Americké tajné služby již před rokem informovaly vedení Kongresu USA o ruských hackerských útocích na počítače Demokratické strany. Podle agentury Reuters to v pátek uvedly nejmenované zdroje z prostředí zpravodajských služeb. Hackeři, kteří i podle vysokých představitelů demokratů pocházeli z Ruska, ukradli straně desetitisíce důvěrných e-mailů. Terčem útoků byla i prezidentská kandidátka Hillary Clintonová.
Američtí zpravodajci podle zdrojů Reuters věděli o ruských aktivitách namířených proti demokratům a dlouhodobě je monitorovali. Před rokem pak o nich podle pravidel informovali vedení zákonodárného sboru.

V osmičlenné skupině politiků, kteří se o tom dozvěděli, byli čtyři republikáni včetně šéfa Sněmovny reprezentantů Johna Boehnera a čtyři demokraté. Mezi nimi figuroval i šéf senátní menšiny Harry Reid nebo kongresmanka Nancy Pelosiová.

Právě ona ve středu přišla s obviněním, že za útokem stála Moskva. Pelosiová prohlásila, že útok byl rozsáhlý a škody jsou stále vyšetřovány. Rusku již dříve akci připsala i Clintonová. [celá zpráva]

Veřejnost se o útoku dozvěděla až v červenci během sjezdu demokratů. Podle listu The New York Times zasáhl více než 100 stranických představitelů a skupin spojených s demokraty. Americký činitel obeznámený s vyšetřováním uvedl, že zatím nejsou důkazy, že by hackeři pronikli do osobního serveru Clintonové nebo do utajovaných systémů.

Administrativa prezidenta Baracka Obamy veřejně Rusko za strůjce útoku neoznačila. Vyšetřovatelé ale podle Reuters došli k závěru, že útočníky řídily ruská vojenská rozvědka GRU a kontrarozvědka FSB. Rusko svou účast na útoku popřelo.


Weby Wedosu jsou pod palbou. Firma hlásí plošný DDoS

13.8.2016 Root.cz Počítačový útok
Tuzemská hostingová firma se ocitla pod palbou útoku. Podle hlášení čtenářů jde o akci, která zlobí servery společnosti celý tento týden.
Firma chce vybudovat v jihočeské Hluboké jedno z nejbezpečnějších datacenter v Česku. Tento týden se jí ale nedařilo a ještě v pátek odpoledne bojovala s masivním DDoS útokem.

Sledovat
Hosting WEDOS.cz @WEDOS_cz
Momentálně je na nás veden velmi silný plošný útok. Na vyřešení situace pracujeme. Omlouváme se za komplikace.
Podle čtenáře Jana Nejmana jde tento týden o několikátý útok. „Útok je zřejmě opravdu plošný, Wedos má kompletní výpadek,“ tvrdí Nejman. To potvrzují i dotazy na Twitteru, které kromě dneška zmiňují výpadek osmého, desátého srpna.

Pro webhostingovou firmu to není nic nového. S útoky se setkává pravidelně. Pokaždé ale připomíná, že se na DDoS připravuje a zesiluje obranu.

Wedos dnes webhosting a virtuální servery živí. Za normálních okolností aktivních hostingů hlásí firma 80 tisíc. Za rok 2014 zaznamenal růst obratu o více než 47 procent. „Za rok 2015 bude růst o něco málo menší, protože nemáme IP adresy verze 4, a tak uměle brzdíme prodej virtuálních serverů. Zároveň jsme část sil věnovali přípravě datacentra a hodně úsilí i ochraně proti DDoS útokům,“ tvrdil loni na podzim šéf firmy Josef Grill s tím, že s novou datovou budovou je zaděláno na další růst.


Microsoftu unikl univerzální zavaděč, obchází UEFI Secure Boot

12.8.2016 Root.cz Incidenty

Objevená mezera ve spolupráci Windows a secure boot (UEFI) sice může ohrozit bezpečnost zařízení, ale také umožní instalaci alternativních systémů na zamčená zařízení od Microsoftu.
Dvojice bezpečnostních výzkumníků, kteří si říkají MY123 a Slipstream, zveřejnila informaci, že operační systém Windows obsahuje mezeru umožňující obejít zabezpečení Secure Boot. V tomto případě hovoříme o pomyslném zlatém klíči, protože podle všeho Microsoft tuto mezeru zřídil záměrně, aby mohl takto chráněná zařízení odemknout. O zlatém klíči by se samozřejmě neměl dozvědět nikdo nepověřený. To se ale nepovedlo.

Než se pustíme do popisu samotného problému, upřesněme, co je vlastně secure boot. Jedná se o vlastnost UEFI (nástupce BIOSu), která umožňuje na daném počítači zavést pouze patřičně podepsaný operační systém. Většina prodávaných počítačů sice má secure boot aktivní, nicméně uživatel ho může bez problémů vypnout. To sice omezí zabezpečení, ale zase si potom můžeme snadno instalovat různé linuxové distribuce atp.

Část zařízení má však secure boot nastavený tak, aby UEFI zavádělo pouze systémy podepsané Microsoftem. Mezi ně nepřekvapivě patří hlavně hardware od Microsoftu – chytré telefony, tablety nebo brýle HoloLens. Není to ale problém pouze těchto zařízení. Přestože domácí uživatelé považují secure boot spíš za otravnou omezující věc, některé firmy ho třeba používají a počítají s ním v bezpečnostní strategii.

Chyba v systému pravidel
Výzkumníci svůj objev popsali na speciální stránce (pozor, je trochu hyperaktivní), zde se to pokusíme jednodušeji shrnout. Pravidla secure boot jsou obsažena v binárním blobu ASN.1, který rovněž musí být podepsán Microsoftem a který je načten v rané fázi bootování. Pravidla také obsahují číslo zařízení DeviceID, které se musí shodovat s DeviceID Windows Boot Manager (bootmgr). V opačném případě použije výchozí pravidla.

Problém je v tom, že v jedné z vývojových verzí výroční aktualizace Windows 10, pracovně označované jako Redstone, byla přidána tzv. dodatková pravidla. Ve stručnosti jde o to, že dodatková pravidla, které v Microsoftu zapomněli dát pryč, lze bez další kontroly aplikovat na výchozí pravidla a změnit nastavení. Včetně aktivace testsigningu – to znamená, že se načte jakýkoliv podepsaný systém, je úplně jedno kým. Čili je to v podstatě totéž jako žádné ověření.

Nejde o nějaký backdoor v negativním slova smyslu jako spíš chybu v návrhu řešení, které mělo usnadnit testování vývojových verzí systému bez nutnosti každé sestavení podepisovat. Také je nutné dodat, že Microsoftu neunikl podpisový klíč, jak by se podle označení zlatý klíč mohlo naznačovat. Ohrožena nejsou ani zašifrovaná data v zařízení. Jde zkrátka o mezeru ve Windows Boot Manager.

Řešení a důsledky
Nálezci chybu nahlásili už v březnu tohoto roku. Zpočátku se s nimi Microsoft moc nechtěl bavit, ale nakonec chybu uznal a nálezce finančně odměnil. Ti však opravy považovali za nedostatečné a proto šli s informacemi o chybě na veřejnost. Chyba v bootmgr byla opravena s výroční aktualizací Windows 10. Znamená to, že jsou počítače s touto verzí Windows v bezpečí a nelze na nich spustit Microsoftem nepodepsaný systém? Nikoliv.

Stačí totiž bootmgr nahradit starší problémovou verzí, což je možné, a opět můžete chybu využít a spustit na zařízení v podstatě jakýkoliv systém. Možným řešením by samozřejmě bylo omezení na konkrétní verze bootmgr, ale to by přineslo další velké problémy. Pro Microsoft je prakticky nemožné zablokovat všechny starší verze bootmgr, protože by to rozbilo instalační média, obnovovací oddíly, zálohy a další, píšou výzkumníci.

Chyba je určitě nepříjemná pro všechny, kdo na secure boot spoléhali, ale pravděpodobně se nejedná o kritický bezpečnostní problém. Pro instalaci pozměněné verze systému s bootkitem či rootkitem by útočník zřejmě potřeboval fyzický přístup k zařízení a ne úplně malé množství času.

Jak to ale často bývá, všechno zlé je pro něco dobré. Pro mobily a tablety s Windows se zřejmě začnou vytvářet různé alternativní systémy, linuxové distribuce, androidí ROM atd. A tak zájemci z řad uživatelů budou mít možnost zařízení, kterým už brzy bude končit podpora, znovu oživit. Určitě bude zajímavé sledovat, jak moc se komunita moderů/hackerů bezpečnostní mezery chytne a co všechno vytvoří.

Zadní vrátka nejsou vhodné řešení
Nálezci chyby v prohlášení věnovali i odstaveček FBI, které by tento případ měl ukázat, že backdoory či jiné cílené omezení bezpečnosti rozhodně nejsou dobrý nápad. O tom se čím dál častěji hovoří v souvislosti s možným omezením šifrování, které navrhují někteří američtí polici a často také zástupci bezpečnostních složek. Velmi medializovaná byla kauza odemčení iPhonu teroristů, které požadovala FBI, ale Apple odmítl.

Každá mezera, vytvořená s dobrým či špatným úmyslem, jednou může být zneužita, a to může způsobit dalekosáhlé problémy. Pro příklad nemusíme chodit daleko. Americká TSA (úřad pro bezpečnost v dopravě) certifikovala kufry, ke kterým měla zlatý klíč (ve skutečnosti jich bylo několik), aby mohla rychle prověřovat zavazadla cestujících. Design klíčů unikl na veřejnost a dnes si takový univerzální klíč, který padne do každého zámku schváleného kufru, může vyrobit každý.

V tomto případu nejde o klasický backdoor, ale jasně vidíme, že chyby dělají i v těch největších společnostech. A také vidíme, že zadní vrátka vždy není možné okamžitě zavřít.


Stali jste se obětí hackerského útoku? Tato stránka vám to řekne

12.8.2016 Živě.cz Hacking
Internetoví útočníci několikrát do roka překonají zabezpečení mnoha velkých internetových služeb a na veřejnost se dostanou obrovské seznamy plné e-mailů, hesel a dalších citlivých údajů o jejich uživatelích. Možná i o vás!

Jenže jak zjistit, jestli nejste mezi obětmi i vy? Podobných útoků se totiž v posledních letech odehrálo takové množství, že se v tom už nikdo nevyzná.

Naštěstí existují speciální vyhledávače, kam stačí zadat váš e-mail, který používáte při registraci na internetu. Tyto vyhledávače evidují všechny podobné krádeže dat a váš e-mail poté zkontrolují ve své databázi až stovek milionů uniklých účtů. K nejlepším patří LeakedSource a Hacked-db.

328244923
Na webu LeakedSource stačí ve formuláři vybrat e-mail nebo třeba uživatelské jméno, vyplnit jej a počkat si. Služba se podívá do obří databáze dvou miliard uniklých účtů v minulosti, jestli se tam tyto údaje nacházejí. Služba je placená, základní vyhledání je ale zdarma.

813740107
To je špatné, zadaný e-mail figuruje hned v několika únicích na obří služby Adobe, Linkedin a další. Pokud se vám to také stane a neměnili jste hesla, raději to zvažte.

Ačkoliv jsou podobné vyhledávače zpravidla placené, zdarma vám alespoň vypíšou, jestli je e-mailová adresa také na seznamu některého z minulých útoků. A pokud ano, raději zvažte změnu hesla na internetu, pakliže jste tak už tedy v minulosti neučinili. A zvláště to platí pro ty případy, pokud používáte jen jedno heslo napříč Facebookem a dalšími oblíbenými weby.


Tajné služby USA prý rok sledovaly hackerské útoky Rusů

12.8.2016 Novinky/Bezpečnost Hacking
Americké zpravodajské služby věděly už před rokem, že ruští hackeři útočí na servery Demokratické strany. Agentuře Reuters to ve čtvrtek řekly zdroje obeznámené se situací. Informace ale prý byla tak tajná, že se o útoku nemohli dozvědět ani poslanci Kongresu.
Informace o ruských útocích se dostaly na veřejnost minulý měsíc, kdy Federální úřad pro vyšetřování (FBI) oznámil, že se zabývá útokem na servery stranického ústředí demokratů. O ruském podílu na útoku se ale žádná oficiální zpráva nezmiňuje. Moskva podíl na útoku popřela.

Zpráva o sledování údajného ruského útoku byla přísně tajná, protože jejím vyzrazením by vyšlo najevo, že americké tajné služby hackerský útok monitorují a odhalen by mohl být i způsob, jak to dělají a jakých zdrojů využívají. Na útočné akci se prý podílely dvě ruské zpravodajské služby.

Nový poradní sbor pro kybernetickou bezpečnost
Materiál o sledování „ruské stopy“ byl zakódován a přístup k němu měla jen malá skupina expertů, napsal Reuters. Z veřejných činitelů byla informována jen malá skupina osmi čelných poslanců Kongresu, nazývaná v USA „gang osmi“.

Tvoří ji šéfové obou komor Mitch McConnell a Paul Ryan, předsedové demokratů v obou komorách Nancy Pelosiová a Harry Reid a čtyři členové branných a bezpečnostních výborů Kongresu.

Úřadující šéfka Demokratické strany Donna Brazileová ve čtvrtek oznámila, že vytváří poradní sbor pro kybernetickou bezpečnost, který má „zabránit budoucím útokům a zajistit prvotřídní ochranu serverů Demokratické strany“.



Chyba ohrožuje stovky miliónů uživatelů Windows. Oprava je v nedohlednu

11.8.2016 Novinky/Bezpečnost Zranitelnosti
Poslední generace Windows zavedly úplně nový způsob spouštění samotného operačního systému. Díky tomu by se měla minimalizovat šance, že se během spouštění uhnízdí na pevném disku nějaké viry. Jak se ale nyní ukázalo, tento standard má kritickou bezpečnostní chybu, kterou mohou zneužít počítačoví piráti. V ohrožení jsou stovky miliónů uživatelů.
Jak funguje UEFI a Secure Boot?

Drtivá většina moderních počítů používá UEFI. To se stalo běžně používaným standardem už v době operačního systému Windows 7, samozřejmostí je tedy pochopitelně i v novější verzích operačního systému od Microsoftu.
Výrobci začali na UEFI houfně přecházet, protože tento standard podporoval funkci zvanou Secure Boot. Jak už samotný název napovídá, jejím hlavním úkolem je chránit pevný disk před nezvanými návštěvníky v době, kdy samotný počítač startuje.
Tedy ve chvíli, kdy uložená data ještě nechrání antivirový program. Ten se totiž spouští až po startu samotného systému. V minulosti se totiž objevilo hned několik škodlivých kódů, které dokázaly útočit ještě před startem počítače, viry se jednoduše uhnízdily v zavaděči systému.
Objevená chyba se týká tzv. jednotného rozšiřitelného firmwarového rozhraní (UEFI), které využívá drtivá většina moderních počítačů a notebooků.

Trhlina dává – zjednodušeně řečeno – útočníkům absolutní kontrolu nad spouštěním operačního systému.

Co to znamená v praxi? Ať má uživatel zabezpečen počítač sebelepším antivirovým programem, útočník do něj může kvůli chybě propašovat škodlivý kód ještě před startem operačního systému.

Může totiž prostřednictvím trhliny ovládnout celý spouštěcí proces a jednoduše mu nařídit, aby bezpečnostní kontrolu ignoroval. Účinná obrana proti případnému útoku tak v podstatě nexistuje.

Je to stejné, jako kdyby měli zloději klíče od bytu a jednoduše si odemkli.
S trochou nadsázky se dá říci, že je to stejné, jako kdyby měli zloději klíče od bytu a jednoduše si odemkli. Úplně stejně totiž tímto „klíčem“ dokážou obejít tzv. Secure Boot a propašovat virus na pevný disk. Pokud se nezvaný návštěvník uhnízdí právě v zavaděči, je jeho odstranění velmi složité.

„Zranitelnost UEFI Secure bootu u zařízení s Windows umožňuje hackerům spuštění bootkitů/rootkitů na zařízeních s tímto operačním systémem,“ vysvětlil technickou stránku věci bezpečnostní analytik Pavel Bašta z Národního bezpečnostního týmu CSIRT.CZ.

Na trhlinu upozornili bezpečnostní experti, kteří vystupují na internetu pod přezdívkami My123 a Slipstrea. Ti zjistili, že celý systém je podobným způsobem napadnutelný přinejmenším několik posledních měsíců.

Microsoft problém řeší
My123 a Slipstream amerického softwarového giganta na toto obří riziko, které se týká stovek miliónů uživatelů po celém světě, upozornili již na jaře. „Microsoft se sice pokouší tuto chybu opravit, avšak doposud ne zcela úspěšně,“ konstatoval Bašta.

Některé hlasy zahraničních expertů navíc naznačují, že 100% oprava prakticky není možná. Po důkladnějším zkoumání to tvrdí dokonce i My123 a Slipstream.

„Bezpečnostní analytici se domnívají, že tento bezpečnostní problém nemůže být zcela eliminován,“ uzavřel Bašta.

Zástupci amerického softwarového gigantu se zatím oficiálně k možnému ohrožení uživatelů nevyjádřili.


Secure Boot má chránit Windows před viry. Kvůli chybě ale otevře zadní vrátka útočníkům
11.8.2016 Živě
Zranitelnosti

S příchodem nových verzí Windows a UEFI, které postupně vystřídalo starý BIOS na zánovních počítačích, je start operačního systému mnohem bezpečnější, protože se o něj stará systém Secure Boot, který kontroluje, jestli je vše digitálně podepsané – jak samotný operační systém, tak všechny fáze startu.

Principem Secure Bootu je ochrana před malwarem, který by se chtěl usadit přímo v oblasti zavaděče a načítat viry ve chvíli, kdy je operační systém poměrně bezbranný.

225542173
Startování Windows 10

Bezpečnostní specialisté My123 a Slipstream se však nyní pochlubili (via The Register) se zjištěním, podle kterého byl celý systém nejméně posledních několik měsíců kriticky děravý – chyba pravděpodobně vznikla během vývoje čerstvého Anniversary Updatu.

Oč jde? Aby mohli v Redmondu na desítkách a stovkách modelů notebooků testovat Windows co možná nejflexibilněji, mohou systému Secure Boot přikázat, aby kontrolu startu OS jednoduše ignoroval. Slouží k tomu speciální politika, která se aktivuje hned na začátku celého procesu, takže vývojář poté může spustit jakýkoliv kód i operační systém a zavaděč si bude myslet, že je vše v pořádku.

Pokud by se tato politika dostala do nesprávných rukou, případný útočník by ji mohl použít pro svůj malware, který by poté infikoval počítač na úplném startu OS, kdy je prakticky bezbranný. Nový rootkit/bootkit by rázem mohl ovládnout celá Windows.

A přesně toto se během jara opravdu stalo, dvojice specialistů totiž objevila speciální božskou politiku i v sestaveních Windows, která se dostala k běžným smrtelníkům. Poté informovali Microsoft, který však údajně problém zpočátku ignoroval. Teprve poté, co připravili funkční test zneužití, začali v Redmondu problém řešit a postupně připravili několik záplat Windows, které se v posledních týdnech skutečně nainstalovaly a díru částečně řeší.

647469329
Proof-of-concept s aktivátorem politiky, která zablokuje kontroly v Secure Bootu

Podle My123 a Slipstreama jsou však opravy zatím nedostatečné a Microsoft bude muset ještě zapracovat.

Případ zároveň ukazuje na principiální bezpečnostní chybu, kdy se může celý bezpečnostní systém zhroutit jako domeček z karet, pokud existuje nějaký master klíč, který vše odemkne – v tomto případě ona politika, která vypne veškeré kontroly během startu Windows.

Přesně po takovém „božském klíči“ přitom touží třeba všemožné státní instituce, americká FBI a další, kteří se dušují, potřebují kvůli odhalování trestných činů a teroristických hrozeb tu odemknout zašifrovaný iPhone, tu nahlédnout do šifrované komunikace na WhatsAppu a tak dále. Pokud by jim nějakým master heslem výrobci skutečně vyšli vstříc, riziko vzniku podobné bezpečnostní díry jako v případě Secure Bootu vzroste doslova exponenciálně.



Milióny škodovek a volkswagenů jdou otevřít odposlechnutým kódem
11.8.2016 Zive.cz
Hacking

Pokud odemykáte auto dálkovým ovládáním, vždy hrozí, že někdo odposlechne přenášený kód. Proto jsou tato data šifrovaná, aby byl přenos kódů bezpečný.

Nyní se ale ukazuje, že v případě vozů z koncernu Volkswagen není to zabezpečení na tak skvělé úrovni. Jak upozornil Wired, výzkumníci z univerzity v Birminghamu a německé firmy Kasper & Oswald našli chybu v zabezpečení (PDF), kterou otevřou téměř 100 miliónů automobilů. Jedna chyba otevře cokoli od Volkswagenu za posledních dvacet let, druhá chyba se týká dalších výrobců jako Alfa Romeo, Citroen, Fiat, Ford, Mitsubishi, Nissan, Opel a Peugeot.

Tučně označená auta výzkumníci úspěšně otestovali a otevřeli, kvůli sdíleným modulům je ale postižených mnohem více vozů

Vážnější je ten útok proti Volkswagenu, protože se zjistilo, že pouhé čtyři privátní klíče stačí k otevření 100 miliónů aut. Výzkumníkům se totiž podařilo z vnitřního počítače auta získat privátní klíče. Nezměněné zabezpečení z roku 1995 nebylo pro dnešní prostředky výraznou překážkou.

81145313
Odposlech kódů zajistí klidně malé zařízení schované v kapse

Potom stačí odposlechnout rádiový signál z klíče při otevírání a při znalosti hlavního klíče získat šifrovací klíč pro konkrétní vůz. Odposlech signálu zajistí klidně krabička z Arduina, antény a pár pomocných obvodů.

Druhá chyba cílí na šifrování HiTag2, které je už 18 let staré a najdete jej v miliónech vozů. Tady není ani potřeba znalost hlavního klíče, je ale potřeba odposlechnout alespoň osm signálů pro otevření nebo zavření. To se dá urychlit tak, že budete rušit signál a majitel vozu bude opakovaně zkoušet auto zamknout nebo odemknout. Se znalostí sekvence kódů je pak prolomení šifry s dnešními prostředky otázkou minuty.

Tyto zranitelnosti pouze otevřou automobil. Neřeší obejití imobilizéru, na který se musí používat jiný útok. Ale i na imobilizér už existují hacky.

Už dříve se se ukázala zranitelnost bezklíčových systémů, kdy pro otevření stačí mít klíč v kapse a přiblížit se k autu. Pomocí zesilovačů a opakovačů signálu může útočník zaměřit klíč daleko v domě a otevřít jeho signálem automobil.

Opět se tedy potvrzuje, že pomalý cyklus vývoje počítačů v automobilech a spoléhání se na staré principy zabezpečení dělá z aut snadnou oběť technologicky zdatných zlodějů. Dříve sice stačil zahnutý drát a dnes potřebujete chytrou krabičku s anténami, pokud si ale zloděj vytipuje nějaké auto, základní zabezpečení od výrobce málokdy poskytne těžko překonatelnou překážku.


Hackeři napadli fórum Doty 2, získali téměř 2 miliony loginů

11.8.2016 Zive.cz Hacking
Dota 2 aktuálně patří k nejhranějším hrám vůbec. Není proto divu, že hack oficiálního vývojářského fóra (dev.dota2.com) znamenal nemalý počet účtů, které byly odcizeny. Podle webu LeakedSource.com jde o 1,92 milionů záznamů obsahující uživatelská jména, e-maily, IP adresy a šifrované heslo.

Útočníci získali do databáze diskuzního fóra přístup 10. července a vystačili si s technikou SQL Injection. Proti té nebylo zabezpečeno fórum, které využívalo starší sytém vBulletin. Hesla jsou šifrována pomocí MD5, které není považováno za bezpečné – podle LeakedSource je možné 80 % získaných záznamů konvertovat do čitelného stavu.

Scrn-08-10-001.png
Statistika nejpoužívanějších mailů v odcizené databázi (zdroj: LeakedSource)

Pokud se váš účet nachází v databázi, což lze ověřit na LeakedSource, změňte svoje heslo nejen na fóru, ale také na ostatních stránkách, kde byl využíván stejný login.


Nigerijští weboví podvodníci se nakazili vlastními viry
11.8.2016 Zive.cz
Kriminalita

Skupina nigerijských webových podvodníků nedobrovolně odhalila svoji identitu a ilegální práci. Infikovala totiž sama sebe svým malwarem.

Podvodníci byli nalezeni při útoků jménem wire-wire, který jim umožnil získat velké množství peněz od podniků z celého světa. Uvádí to zpráva serveru IEEE Spectrum. Na případ narazili bezpečnostní experti Joe Stewart a James Bettke.

Typickou podvodnou metodou je v Africe technika známá pod názvem Business Email Compromise (BEC). Spočívá v tom, že kriminálníci pomocí interních podnikových emailů vykonávají podvodné transakce. Wire-wire je sofistikovanější BEC a je tězší jí odhalit. Stewart a Bettke na ni narazili v únoru, jelikož pět podvodníků si infikovalo počítače pomocí stejného malwaru, který používali ke krádežím od jiných.

Malware totiž nepřetržitě posílal screenshoty a úhozy klávesnice z infikovaných počítačů do otevřené webové databáze, kterou Stewart a Bettke našli pomocí nástroje na prohlížení emailových příloh. Zjistili dokonce, že podvodníci trénují nové členy, což více odhalilo jak technika funguje. S každou transakcí Nigerijci získali od 30 000 do 60 000 dolarů. Skupina čítala 30 lidí. Ročně měla na svědomí krádeže v hodnotě 3 milionů dolarů.

Bezpečnostní experti okamžitě postižené společnosti kontaktovali a o podvodu jim řekli. Případ již vyšetřují příslušné nigerijské úřady.



Další zranitelnosti v Androidu, Qualcomm přispěchal s opravami

10.8.2016 Zdroj: SecurityWorld Zranitelnosti
Miliony zařízení s čipovými sadami od firmy Qualcomm, na kterých zároveň běží Android, jsou vystaveny minimálně jedné z čtyř kritických zranitelností. Ty umožní aplikacím i bez patřičných oprávnění převzít nad přístrojem kontrolu.

Všechny čtyři chyby odhalil bezpečnostní analytik Adam Donenfeld z Check Point Software Technologies; nález oznámil v neděli na hackerské konferenci DEF CON v Las Vegas. Qualcommu byly oznámeny již během února a dubna, výrobce na to zareagoval patřičnými opravami, poté, co zranitelnosti shledal vysoce rizikovými.

Bohužel to neznamená, že jsou všechna zařízení chráněna. Z důvodu velké roztříštěnosti ekosystému Androidu běží mnoho mobilů a tabletů na starších verzích operačního systému a již nedostávají aktualizace firmwaru, nebo je získávají až s několikaměsíčním zpožděním. Takovým zařízením pak nebezpečí stále hrozí.

Dokonce ani Google, který vydává bezpečnostní záplaty pro svou Nexus řadu chytrých telefonů a tabletů každý měsíc, ještě neopravil všechny chyby.

Zranitelnostem se jako celku říká QuadRooter, protože při zneužití dávají útočníkovi root pravomoce – tedy nejvyšší možné pravomoce na Linuxu založených systémech, mezi které Android patří. Individuálně se zranitelnosti označují jako CVE-2016-2059, CVE-2016-2503, CVE-2016-2504 a CVE-2016-5340. Nachází se v různých ovladačích, jež Qualcomm dodává výrobcům zařízení.

Během dubna a července Qualcomm vydal aktualizace, které tyto chyby opravují, tvrdí v e-mailu Alex Gantman, viceprezident strojírenské sekce Qualcomm Product Security Initiative.

Google zatím pro svá Nexus zařízení opravil jen tři ze čtyř chyb; vlastní opravy předem sdílí s výrobci a také je publikuje na Android Open Source Project (AOSP), dostanou se k nim tedy téměř všichni.

Zařízení běžící na Androidu 6.0 a více (Marshmallow buildy) s aktualizacemi z 5. května by již měli být chráněny proti všem zranitelnostem s výjimkou CVE-2016-5340. Androidy s oblíbenou verzí 4.4.4 (KitKat) či 5.0.2 a 5.1.1 (Lollipop) s aktualizacemi z 5. května jsou prozatím chráněny jen před dvěmi objevenými chybami, a to CVE-2016-2503 a CVE-2016-2504. V jejich případě je CVE-2016-2059 zneužitelný, Google jej však označil jen jako mírně nebezpečný, vzhledem k existující ochraně systému.

Čtvrtá zranitelnost, CVE-2016-5340, zůstává Googlem neopravena úplně. Výrobci by však mohli získat záplatu přímo od Qualcommu, skrze jeho open-source projekt Code Aurora.

„Této chybě se budeme věnovat v našem nadcházejícím bezpečnostním bulletinu. Partneři Androidu však mohou reagovat rychleji a využít možností veřejné opravy, jíž Qualcomm poskytl,“ popsal mluvčí Googlu skrze e-mail. Zneužití kterékoli z těchto čtyř zranitelností by uživatele vystavilo stažení infikovaných aplikací, řekl dále k věci Google.

„Naše Verify App a SafetyNet ochrany pomáhají identifikovat, zablokovat a odstranit aplikace, které takovéto zranitelnosti zneužívají,“ dodal mluvčí.

Je pravda, že ohrozit přístroje těmito chybami je možné jen skrze závadné aplikace. Přímé způsoby útoku jako prohlížení webu, přiložené soubory v e-mailu nebo SMS v tomto případě nelze aplikovat. Aplikace však dle tvrzení Check Pointu nepotřebují žádná zvýšená oprávnění, což jejich nebezpečí výrazně zvyšuje.

Výzkumníci Check Pointu a Google se mezitím neshodli na nebezpečnosti zranitelnosti CVE-2016-2059. Zatímco Qualcomm ji společně se zbytkem chyb označil jako vysoce rizikovou, Google ji posuzuje jen jako mírně nebezpečnou, neboť podle vyjádření firmy lze rizika zmírnit pomocí nástavby SELinux.

SELinux je rozšíření jádra, které činí zneužití některých chyb výrazně složitější pomocí vynucování přístupu. Mechanismus byl využíván k vynucení sandboxových hranic aplikacím již od verze 4.3 (Jelly Bean).

Check Point ovšem s postojem Googlu nesouhlasí. Během Donenfeldova projevu na DEF CONu ukázal, jak CVE-2016-2059 dokáže „přecvaknout“ SELinux z vynucovacího do liberálního módu, čímž efektivně vyřadí jeho ochranu.

Je těžké identifikovat, která konkrétní zařízení jsou zranitelná, neboť někteří výrobci mohou s aktualizacemi čekat na Google, zatímco jiní již mohli opravu převzít přímo od Qualcommu. Aby si uživatelé sami mohli svůj přístroj otestovat, vydal Check Point aplikaci zdarma zvanou QuadRoot Scanner, dostupnou z obchodu Google Play. Ta uživatelům umožní svá zařízení na tyto čtyři zneužití otestovat.


Tisíce Čechů a Slováků naletěly na status o útoku v Praze. Podvodníci jim ukradli hesla

9.8.2016 Zdroj:Novinky/Bezpečnost Sociální sítě
Jako lavina se českým a slovenským internetem začal šířit nový podvod, prostřednictvím kterého se snaží počítačoví piráti vylákat přihlašovací údaje jednotlivých uživatelů. Kyberzločinci tvrdí, že se Praha stala terčem teroristického útoku. Fiktivní zprávou se však z důvěřivců snaží pouze vytáhnout přihlašovací údaje.
Před novou hrozbou varovali v úterý bezpečnostní experti antivirové společnosti Eset. Ti zároveň upozornili, že na tento trik se nechalo nachytat již několik tisíc Čechů a Slováků.

Útok má poměrně jednoduchý scénář. Na Facebooku některého z přátel se objeví odkaz na falešný zpravodajský článek pojednávající o údajném teroristickém útoku s větším množstvím obětí. Zpráva má už na první pohled podezřelý titulek „30 minut před: 1 teroristického útoku došlo v Praze, při kterých nejméně 187 lidí bylo zabi”. Je navíc doplněna o fotografii z údajného místa útoku, která však zcela evidentně nepochází z hlavního města České republiky. Pořízena byla při útoku v Bagdádu v roce 2010, další varianta zase používá snímek z nedávného útoku v Nice.

Využívají napadené účty
K šíření podvodných zpráv tak útočníci využívají účty na Facebooku, které se jim již podařilo napadnout. Právě proto se mohou podobné zprávy objevovat na zmiňované sociální síti i pod hlavičkou skutečných přátel.

„Pokud na tento link klikne další oběť, neotevře se jí zpravodajský článek, ale falešná verze přihlašovací stránky k Facebooku. Zadáním přihlašovacích údajů je oběť nevědomě předá útočníkovi a ztrácí tím kontrolu nad svým facebookovým účtem. Mezitím mohou útočníci podvodné stránky šířit dál skrze profil nové oběti,“ vysvětlil Pavel Matějíček, manažer technické podpory společnosti Eset.

Podvodníci tedy využívají zájmu lidí o aktuální dění. „Oběť vyplní přihlašovací údaje, protože se domnívá, že se tím dostane ke zpravodajskému článku o velké tragédii, která se měla odehrát geograficky blízko. Útočník proto využívá nejen její zvědavosti, ale i strachu,“ doplnil Matějíček.

Český prezident Miloš Zeman byl zavražděn ve vlastním domě.
Podvodná zpráva na Faceboooku
V některých případech navíc kyberzločinci podvodné zprávy ještě více specifikují, aby nalákali co možná nejvíce důvěřivců. Jeden z odkazů, které bezpečnostní experti zachytili, tvrdil, že český prezident Miloš Zeman byl zavražděn ve vlastním domě.

„V jiných případech útočník přes profil napadeného uživatele okomentuje informaci o teroristickém útoku s tím, že ve svém komentáři označí kontakty této oběti, čímž se snaží nalákat více lidí. Útočníkem ovládaný profil sdílí škodlivý link i do facebookových skupin, jejichž členem je podvedená oběť. Útočník přitom ke sběru používá několik desítek falešných stránek, které Eset pro své uživatele z bezpečnostních důvodů blokuje,“ podotkl manažer technické podpory společnosti Eset.

„Lidé by měli zbystřit vždy, když si od nich nějaká stránka vyžádá přihlašovací údaje k účtu na sociální síti a i v případě, že vypadá jako Facebook, Twitter nebo Instagram. V tom případě oběti stačí zkontrolovat adresu samotné stránky, která se názvu Facebooku či jiné sociální sítě vůbec nepodobá,“ uzavřel Matějíček.

Podvodů na Facebooku přibývá
Facebook využívají počítačoví piráti k útokům stále častěji. Loni se například snažili důvěřivce nalákat na výhru chytrého telefonu iPhone od společnosti Apple. Ve skutečnosti je však zaregistrovali k odběru placených SMS zpráv. 

Prostřednictvím této sociální sítě se počítačoví piráti snaží často vylákat také přihlašovací údaje k internetovému bankovnictví. Z nich pak následně odčerpají peníze, případně si přímo na uživatele zřídí úvěr. Připravit tak klienty mohou o daleko více peněz, než kolik mají naspořeno na účtu.


Hacknout jde i monitor

9.8.2016 Zdroj: SecurityWorlds Hacking
Nevěřte všemu, co vidíte – jak se přesvědčili účastníci každoroční hackerské konference Def Con, hacknout jde i monitor.

V pátek výzkumníci ukázali cestu, jakou lze manipulovat přímo s pixely na displeji monitoru. Odpovědní za tento objev jsou Ang Cui a Jatin Kataria z Red Balloon Security, které zajímalo, jak fungují monitory od firmy Dell a podařilo se jim pomocí reverzního inženýrství dosáhnout zajímavých výsledků.

Rozebrali Dell U2410 na jednotlivé díly a zjistili, že řadič displeje uvnitř může být použit ke změně či záznamu pixelů, které se na obrazovce objevují.

Během své prezentace na Def Conu ukázali, jak mohl jejich hacknutý monitor zdánlivě měnil detaily na webových stránkách. V jednom příkladu vyměnili zůstatek na PayPal účtu z 0 dolarů na 1 milion dolarů, ačkoli ve skutečnosti šlo pouze o rekonfiguraci pixelů na monitoru.

Nejde o zrovna jednoduchý hack – přesněji řečeno, oběma pánům zabral dva roky jejich volného času. Porozumět technologii, provést výzkum a objevit zranitelnost nebylo snadné.

Nezaměřili se však výhradně na značku Dell – prohlíželi též monitory jiných značek, včetně např. Samsungu, Aceru nebo HP, a zjistili, že podobný postup je teoreticky možný u každého z nich.

Kámen úrazu leží ve firmwaru monitorů, respektive softwaru v nich zabudovaném.

„V aktualizacích firmwaru monitorů neexistuje zabezpečení a jsou velmi otevřené,“ popisoval Cui, který je zároveň generálním ředitelem firmy Red Balloon.

Zneužití chyby vyžaduje přímý přístup do monitoru, ať už skrze HDMI nebo USB. Pokud se povede, otevírá dveře jiným útokům, včetně v poslední době všudypřítomného ransomwaru.

Kybernetičtí zločinci by například mohli z pixelů na monitor vyskládat trvalou zprávu a žádat peníze za její odstranění, popisuje Kataria. Nebo by mohli sledovat činnost uživatelé skrze zaznamenávání pixelů – to je potenciálně ještě nebezpečnější.

Oba výzkumníci svůj výzkum prováděli z osvětových důvodů. Jejich objevy jsou dostupné online.

„Je zabezpečení monitoru důležité? Myslím, že ano,“ uzavírá Cui.


Hackeři napadli bitcoinovou burzu Bitfinex. Klienti přijdou o třetinu vkladů

9.8.2016 Zdroj: Novinky/Bezpečnost Hacking
Bitcoinová burza Bitfinex, která přišla při hackerském útoku o bitcoiny za více než 70 miliónů USD (1,7 miliardy Kč), rozdělí ztrátu mezi všechny své klienty. Burza o víkendu oznámila zákazníkům, že přijdou o 36 procent aktiv na svých účtech u burzy. Tyto ztráty jim však chce burza kompenzovat poukázkami.
Ztráty z krádeže při hackerském útoku burza přenese na všechny své klienty a aktiva, tedy nejen na ty klienty, z jejichž účtů se bitcoiny ztratily. Po přihlášení do platformy všichni klienti burzy uvidí pokles hodnoty svého majetku o 36,067 procenta.

Všichni klienti také obdrží poukázky, které jim mají kompenzovat ztráty. Poukázky bude moci burza odkoupit nebo je bude možné vyměnit za akcie společnosti iFinex, která je mateřskou firmou burzy. Bitfinex uvedl, že svoji metodiku vysvětlí později a že o kompenzaci zákazníkům jednal s investory.

Hackeři při útoku ukradli z burzy Bitfinex celkem 119 756 bitcoinů, což byla druhá největší krádež v historii této měny. Ukradený počet bitcoinů představuje zhruba 0,75 procenta z celkového počtu bitcoinů v oběhu.

Bitfinex patří mezi největší bitcoinové burzy na světě. Obchoduje se zde však i s dalšími kryptoměnami. Podle prohlášení burzy přijdou o své peníze nejen ti, kteří mají bitcoinový účet, ale majitelé všech účtů, tedy i účtů s jinými digitálními měnami, napsala agentura Reuters.

Virtuální měny představují velké riziko
Virtuální měna bitcoin vznikla v roce 2009, větší popularitě se ale těší v posledních letech. Vytvořena byla tak, aby se nedala ovlivňovat žádnou vládou ani centrální bankou.

Kybernetické mince "razí" síť počítačů se specializovaným softwarem naprogramovaným tak, aby uvolňoval nové mince stabilním, ale stále klesajícím tempem. Počet mincí v oběhu má dosáhnout nakonec 21 miliónů, což má být kolem roku 2140.

Bitcoiny se těší velké popularitě především coby prostředek pro investici. Kurzy však často kolísají. Evropský bankovní úřad kvůli tomu dokonce varoval spotřebitele, že neregulované virtuální měny představují velké riziko. Jejich vklady totiž nejsou nijak chráněny.


Bruce Schneier: Internet věcí přinese útoky, které si neumíme představit

9.8.2016 Zdroj: Lupa Hacking
Propojení produktů a zařízení reálného světa s internetem zadělává na katastrofu. Tvrdí to známý bezpečnostní odborník Bruce Schneier.
Divíte se Bruce Schneierovi, že varuje před bezpečnostními problémy přicházejícími s nástupem tzv. Internetu věcí (IoT)? Ono se vlastně nejde nedivit. Stačí se podívat na čerstvý případ závažných bezpečnostních děr v „chytrých“ žárovkách od společnosti Osram. Jsou plné zásadních chyb a některé z nich se Osram ani nechystá opravit. Jsou přitom zneužitelné k útoku na domácí či firemní sítě, získávání hesla k bezdrátovým sítím a děravý je i protokol (ZigBee), který používají žárovky pro komunikaci.

Pokud bude výroba internetově připojených produktů neřízeně ponechána v rukou ignorantů, nelze očekávat nic jiného, než před čím Schneier ve svém článku pro magazín Motherboard varuje. Říká, že útočníci mohou s daty dělat tři zásadní věci – krást je, měnit je nebo zabraňovat vlastníkům v přístupu k nim. Právě poslední dva druhy útoků se s příchodem IoT mohou podle Schneiera stát extrémně účinné.

Je rozdíl mezím tím, jestli někdo použije váš chytrý zámek ke zjištění, jestli je někdo doma, a tím, když útočník může zámek odemknout a dveře otevřít, nebo, ještě hůře, když vám dokáže znemožnit dveře otevřít. „Útočník, který vám může zabránit řídit vaše auto či jej dokáže ovládnout, je nebezpečnější než někdo, kdo odposlouchává vaši konverzaci či sleduje, kde se vaše auto nachází,“ říká Schneier.

Manipulace při volbách
Něco na Schneierově tvrzení, že IOT přinese útoky, „které si ještě ani nedokážeme představit“, bude. Pokud seriózní a velké firmy přistupují k bezpečnosti IoT natolik laxně jako Osram, jak asi bude vypadat trh zaplavený levnými IoT senzory a zařízeními z Číny? Stačí se podívat, jak na tom jsou s bezpečností dětské chůvičky. Coby předzvěst stavu zařízení Internetu věcí je to dostatečně vypovídající.

Nakonec už loni hackeři předvedli, jak mohou na dálku ovládat auto. Stejně jako v případě žárovek se zde ukázalo, že Chrysler a jejich UConnect jsou hackerům pro srandu. Od té doby se ukázalo, že podobně laxní přístup k bezpečnosti je v automobilovém průmyslu běžný. Ukázalo se ale také to, že místo zabezpečení se automobiloví výrobci spíše starají o to, jak právně znemožnit zveřejňování informací o jejich mizerné práci.

Schneier pochopitelně upozorňuje, že nástup IoT může znamenat, že někdo ovládne nejen auto, ale dokonce i letadlo. Ale také může zaútočit na medicínská zařízení či prostým ovládáním termostatu způsobit zásadní zvýšení či snížení teploty.

Postupující elektronizace voleb navíc podle Schneiera znamená, že v budoucnosti budeme muset více a více řešit manipulace s hlasováním. A nejde jen o útoky hackerů, ale také o možné zásahy vlád samotných. Poukazuje přitom na čerstvý případ, kdy ruští hackeři pronikli do systému DNC (Democratic National Commitee) a přes WikiLeaks vypustili tisíce interních e-mailů.

Nedostatek zkušeností, ale také povědomí
Už dříve se řešilo, že IoT si bude muset projít stejnou cestou jako každá jiná kategorie zařízení. Počítače i mobily byly před mnoha lety ve stejné situaci, do které se vzápětí dostaly webové aplikace a informační systémy vůbec. Dodnes je možné narazit na děravé weby, na absurdní začátečnické chyby, nedodržování pravidel a postupů, o kterých víme řadu let.

Počítačový i mobilní hardware i software, stejně jako internet, má dnes vybudované tolik potřebné bezpečné architektury, postupy, pravidla. Internet věcí prozatím nic takového nemá. Miniaturnost zařízení a jejich hardware, ale i rozdílné komunikační metody a protokoly, znamenají, že je vše nevyzkoušené. Stejně jako v dřívějších případech i tady navíc občas platí, že se firky snaží některé produkty uvádět na trh co nejrychleji – bez ohledu na to, zda jsou dokončené a bezpečné.

IoT je podobné BYOD, tedy situaci, kdy se do firem přinášejí vlastní zařízení a správci firemních informačních systémů a sítí si s tím moc neví rady. Stejně jako si s tím v zásadě neví rady tvůrci těchto zařízení, protože s nějakým použitím ve firemním prostředí nepočítají.

Jak asi dopadne svět, když podle Gartnerů máme už tento rok využívat 6,4 miliardy zařízení spadajících do IoT. Za další čtyři roky by to mělo být 20,8 miliardy zařízení. Řada z těchto zařízení navíc bude mít oproti běžnému životnímu cyklu mobilních telefonů, tabletů či laptopů podstatně delší životnost. Jak bude výrobce automobilů schopen chránit bezpečnost modelu z roku 2020 o deset let později? Nebo ledničky, která vám doma může stát i dobrých patnáct let? Jak dlouho trvalo, než se Microsoft naučil, jak aktualizovat vlastní operační systém?

Dokud nezemřou první lidé
„Příští prezident bude pravděpodobně nucen řešit rozsáhlé internetové neštěstí, které usmrtí řadu lidí,“ píše Schneier. Můžete si o něm sice říkat, že maluje čerty na zeď a je zbytečně negativní, ale to, co říká, je logické a odpovídá to tomu, že se dnes kdejaká hloupost stává počítačem.

To samotné by až tak velkou hrozbou nebylo, ale vzájemná propojitelnost a ovladatelnost (i na dálku) znamená, že cokoliv takového se může stát terčem útočníků. Nakonec samořiditelná auta sice určitě budou jednou běžně jezdit po silnicích, ale než k nim dojdeme, bude zde ještě mnoho případů, kdy nebude jasné, zda za smrt člověka může auto nebo člověk v něm. Nemluvě o situacích, kdy se má auto rozhodnout, koho obětovat.

Nezbytné ale bude nakonec i to, aby se do celé téhle patálie vložily vlády. Je více než jisté, že bez jasných zákonů, dohledu a tlaku se nic „samo“ nevyřeší. Výrobci IoT zařízení mají nakonec jenom stále stejnou motivaci: co nejdříve uvést na trh a co nejvíce prodat.



Nová chyba Qualcommu ukazuje naplno bezpečnostní problém Androidu
8.82016 Zdroj: Živě
Zranitelnosti
Proběhla bezpečnostní konference Def Con a na světě je rázem několik nově oznámených bezpečnostních problémů. Pro mobilní telefony s Androidem to jsou čtyři bezpečnostní chyby.

Problém je konkrétně v ovladačích Qualcommu, které do mobilního telefonu instaluje výrobce. Tři ze čtyř chyb již mají dostupné opravy a čtvrtá bude brzy následovat. Chyba umožňuje bez upozornění systémem získat větší práva na Androidu 6 a dřívějším. V lepším případě to pomůže k dobrovolnému rootu telefonu, v tom horším získá podvodná aplikace kompletní přístup k vašim datům a nic se nedozvíte.

Když uvidíte obrázek vlevo, máte problém. Pravý uvidíte s procesory Mediatek, Kirin, Exynos a dalšími

V současnosti jsou opravené akorát telefony Nexus 5X, 6 a 6P. Ostatní stále čekají na opravu od výrobce. Každý telefon s procesorem Snapdragon potřebuje opravu. Zda jste postižení, můžete zkontrolovat nástrojem QuadRooter Scanner od tvůrce antivirů Check Point Software.

Bezpečnostní aktualizace pro telefony ale vydává jen velmi málo výrobců. Google se to snaží sice zjednodušit oddělením záplat od větších aktualizací systému, vždy je ale nutná aktivita ze strany výrobce mobilního telefonu. Pokud pro něj zájem o bezpečnost uživatelů končí v okamžiku prodeje telefonu, hrozí tu milióny telefonů se známými, dobře zdokumentovanými, ale neopravenými chybami.

Pokud bude váš telefon zranitelný, měli byste se vyvarovat instalacím aplikací z neznámých zdrojů. Paradoxně může pomoci root telefonu. Pak bude mít uživatel opravdu kompletní kontrolu nad telefonem. Pro neznalého uživatele je ale pochopitelně případný root telefonu spojený s mnoha dalšími bezpečnostními riziky.


Microsoft má problém, uživatelům zamrzá Windows 10 po instalaci Anniversary update
8.82016 Zdroj: Živě
Hrozby

po instalaci výroční aktualizace některým uživatelům zamrzne systém
Závažná chyba znemožní další práci, její odstranění zpravidla obnáší přeinstalování systému nebo návrat na předchozí sestavení
Microsoft má problém, uživatelům zamrzá Windows 10 po instalaci Anniversary update
Microsoft uvolnil výroční aktualizaci Anniversary Update teprve minulý týden a postupně ji distribuuje mezi další uživatele. Podobně jako každý větší update však i tento letní přinesl části uživatelů také velké starosti – systém jim totiž konstantě zamrzá.

Na problém upozornil web Neowin, který čerpá z dlouhého vlákna na Redditu. V tom se sešlo několik stovek komentářů od uživatelů, kterým systém zamrzne ihned po startu či krátce po něm. Aplikace často zobrazí svoje okna, nicméně zůstávají ve stále stejném nečinném stavu. Následně dojde k jejich zčernání a chybové hlášce, že Windows přestal pracovat.

Ačkoliv se ve vláknu objevilo několik možných řešení, ani jedno z nich se nezdá být univerzálním. Někteří z uživatelů vyřešili problém odpojením druhého disku, přeinstalací systému z obrazu ISO, objevil se také krátký návod na úpravu registrů, která může pomoci. U každého řešení však velký počet diskutérů píše, že na situaci nic nezměnilo.

Chyba se objevuje u uživatelů s mnoha různými konfiguracemi – bez ohledu na to, zda se jedná o desktop či notebook a nezáleží ani na konfiguraci samotných komponent. Na fóru Microsoftu pak najdeme popsaný stejný problém, zatím zde však objevíme pouze reakci jednoho ze zaměstnanců podpory v podobě univerzální odpovědi.

Pokud se setkáte s podobným problémem, pak je zatím jediné možné řešení – návrat ke staršímu buildu.


Google: Adware napadá miliony zařízení a poškozuje inzerenty, weby i uživatele

8.8.2016 Mobilní
S pochybnými společnostmi produkujícími podvodné pluginy i aplikace navíc spolupracují i firmy jako Opera, Skype či Yahoo.
Amonetize, InstallMonetizer, OpenCandy a Outbrowse jsou čtyři jména velkých firem, které se specializují na „placení za instalaci“ (PPI, pay per install). Projevují se záplavou aktivit vedoucích k instalaci add-onů či dalšího nechtěného softwaru, který (v tom nejméně škodlivém případě) v tichosti a bez vědomí uživatelů vyměňuje reklamy ve webových stránkách, případně je vkládá tam, kde žádné reklamy na webu nejsou.

V průběhu ročního výzkumu (PDF) Google zjistil, že tyto podvodné aktivity vedly k více než třem miliardám pokusů o stažení a následným desítkám milionů instalací. Nutno dodat, že nechtěných instalací, tedy takových, které uživatel nejen nechtěl, ale ani neschválil. Vedle manipulace s inzercí se adware pokouší i o manipulaci s výsledky vyhledávání nebo sledování chování uživatelů. Ve všech případech jsou tyto aktivity monetizovány.

Ze čtyř výše jmenovaných příkladů už dnes nenajdete InstallMonetizer, který ukončil činnost (ale nepochybně se brzy někde objeví pod jiným jménem), a Outbrowse má momentálně nedostupný web. Další stále fungují.

Některé z dalších ani nijak neskrývají to, že jejich software zasahuje do prohlížečů uživatelů. A chlubí se až zázračnou mírou konverze 95 % (což je vcelku logické, pokud instalují automaticky bez vědomí uživatele).

Co na tom, že ve Wikipedii i na stovkách dalších míst je najdete jasně zařazené mezi malware (viz například adware od Amonetize, malware od OpenCandy, shrnutí o InstallMonetizer na HackerNews) a Google je zaplaven návody, jak tyhle nechtěné věci dostávat z počítačů. Sám Google také při hledání na OpenCandy přímo zobrazí rámeček s upozorněním na to, že OpenCandy je řazeno mezi malware.

Celý model PPI je postaven na tom, že ti, kdo tyto služby nabízejí, neberou žádné ohledy na to, jestli uživatel něco chce instalovat. Za každou instalaci dostávají až 1,50 USD, je tedy více než jisté, že podvodné a automatické instalace jsou zásadním prvkem jejich „obchodního modelu“.

Velmi často se s adwarem a malwarem tohoto typu setkáte v instalačních programech, kde si buď nevšimnete nenápadného varování, nebo žádné varování nedostanete. A zároveň s instalací softwaru, který chcete, se do počítače dostane něco, co nechcete.

Alarmující na analýze od Googlu je, že zjistili využití těchto způsobů šíření softwaru u firem jako je Opera, Skype a Yahoo. Prvně jmenovaná společnost využívala služeb všech čtyř výše uvedených služeb, Skype aktivně využíval OpenCandy a Yahoo služeb Outbrowse, které používaly k instalaci jejich vyhledávání do prohlížečů uživatelů.

Ve spojitosti s výše uvedenou čtveřicí šiřitelů malwaru a adwaru navíc zjistíte, že řada z nich byla klasickými startupy, které se těšily mimořádné pozornosti a obdivu médií. Bez ohledu na to, že miliony uživatelů se marně snažily jejich software dostat z počítačů a nikdo z nich si nelámal hlavu s tím, co vlastně do počítačů napadených jejich softwarem dodávají.



Největší internetové hrozby letošního léta

5.8.2016 Zdroj: Novinky/Bezpečnost  Viry
Hned před několika různými škodlivými kódy by se měli mít na pozoru tuzemští uživatelé. Podle analýzy společnosti Eset se nezvaní návštěvníci šíří především prostřednictvím souborů v nevyžádaných e-mailech – to je případ i škodlivého kódu JS/Danger.ScriptAttachment, který je aktuálně nejrozšířenější internetovou hrozbou.
Ještě v červnu stál malware JS/Danger.ScriptAttachment za čtvrtinou všech odhalených útoků. V červenci to však bylo už více než 45 procent. Jde tedy o téměř dvojnásobný meziměsíční nárůst.

„Škodlivý kód JS/Danger.ScriptAttachment je zákeřný především v tom, že nemusí škodit sám o sobě, ale může do napadeného zařízení stáhnout další druhy malwaru. Nejčastěji jde o ransomware, který zařízení zašifruje a za jeho opětovné zpřístupnění požaduje po oběti výkupné,“ vysvětlil Miroslav Dvořák, technický ředitel společnosti Eset.

Ransomware je souhrnný název pro rodinu vyděračských virů, jako jsou například známí záškodníci TeslaCrypt či Locky. Tyto škodlivé kódy začnou šifrovat obsah počítače a uživateli zobrazí oznámení, že za dešifrování počítače musí zaplatit, jinak se ke svým datům údajně již nikdy nedostane.

Ani po zaplacení výkupného navíc nemají uživatelé jistotu, že se ke svým datům skutečně dostanou. Virus je nutné z počítače odinstalovat a data následně pomocí speciálního programu odšifrovat. V některých případech to ale není možné.

Pozor na bankovní účty
Druhým nejrozšířenějším škodlivým kódem se stal Java/Adwind, přestože jeho podíl byl výrazně nižší – 3,23 procenta. V počítači dovede tento škodlivý kód napáchat velkou neplechu. Otevírá totiž útočníkům zadní vrátka do počítače, prostřednictvím kterých se pak kyberzločinci snaží vysát lidem bankovní účet.

Vrásky na čele dělá bezpečnostním expertům také škodlivý kód Nemucod, který ještě v květnu představoval druhou nejrozšířenější hrozbu. Aktuálně mu díky podílu 3,16 % však patří až třetí příčka.

Nemucod útočí prakticky úplně stejně jako JS/Danger.ScriptAttachment. Uhnízdí se tedy v počítači a může potom stahovat další nezvané návštěvníky.

10 nejrozšířenějších počítačových hrozeb – červenec 2016
1. JS/Danger.ScriptAttachment (45,46 %)
2. Java/Adwind (3,23 %)
3. JS/TrojanDownloader.Nemucod (3,16 %)
4. VBA/TrojanDownloader.Agent.BJL (3,06 %)
5. VBA/TrojanDownloader.Agent.BJQ (2,81 %)
6. VBA/TrojanDownloader.Agent.BKP (2,72 %)
7. VBA/TrojanDownloader.Agent.BJG (2,71 %)
8. VBA/TrojanDownloader.Agent.BJC (1,99 %)
9. VBA/TrojanDownloader.Agent.BJU (1,98 %)
10. VBA/TrojanDownloader.Agent.BKW (1,98 %)
Zdroj: Eset



Hackeři se vydávají za Anonymous a hrozí útokem českým firmám

3.8.2016 Zdroj: Lupa.cz Hacking
Poplatek činí 0,17 bitcoinu. Pod akcí jsou podepsány tři skupiny, v podpisu se vydávají za Anonymous.
Český národní kyberbezpečnostní tým CSIRT.CZ, který na základě spolupráce s Národním bezpečnostním úřadem provozuje sdružení CZ.NIC, v průběhu pondělí zaznamenal ve firmách v celé České republice vyděračský e-mail. Ten po společnostech požaduje zaplacení 0,17 bitcoinu, jinak hrozí „masivním DDoS útokem“.

„Sestřelíme jakoukoliv stránku na české a zahraniční doméně. Dokážeme projít přes CloudFare za pomocí serveru uvnitř ČR. Pokud nezaplatíš, vykucháme tvojí síť. Máš pouze pět dnů na zaplacení na účet bitcoin 14KmxKrAUJFMaL1S9tv22×iuJFpdCvrp5X. Zaplať a tvá IP adresa bude odstraněna ze seznamu. Známe tvou IP a e-mail,“ píše se v dopisech.

TIP: Anonymous shodili web Agrofertu. Chtějí útočit na další firmy a zaměstnance

Útočníci vyhrožují, že ukradnou identitu, napadnou síť a zneužijí data z počítačů. To každopádně trochu nekoresponduje s tím, že hrozí „pouze“ DDoS útokem. Mail obsahuje také vzkaz bezpečnostnímu týmu („Fuck you lamers CSIRT.CZ“) a hlášky „začneme, když to nebudeš čekat“ a „vždy vyhrajeme, ať chceš nebo ne“.

Vydávání se za Anonymous
Pod vzkazem jsou podepsány tři skupiny: TeaMp0isoN, Metasploit Hackers a Russian666. TeaMp0ison byla známá v letech 2011 a 2012, kdy útočila na NATO, OSN, NASA nebo Facebook. Poté se po zatčení dvou členů rozpadla. Nyní se zdá být zase aktivní, i v letošním roce už provedla několik akcí.

Zajímavé je, že je vyděračský e-mail podepsaný sloganem hacktivistického hnutí Anonymous, tedy „We Are Anonymous, We Are Legion, We don‘t Forgive, We don‘t Forget“. Je ovšem pravděpodobné, že se útočníci za Anonymous pouze vydávají. Toto hnutí, které je sice volné a může se do něj v podstatě zapojit kdokoliv, se totiž vyznačuje aktivismem a nikoliv útoky za účelem zisku.

NBÚ a CSIRT.CZ zároveň podle informací Lupy nespojují vyděračský e-mail s akcí, která proběhla v pondělí, kdy Anonymous rovněž pomocí DDoS útoků shodili web Agrofertu a některých dalších firem ze skupiny.

Podle zjištění Lupy se ale na pondělní akci Anonymous měla podílet i skupina Cyber Phantoms. Ta se podle všeho nelegální činností zabývá. Nabízí například hacknutí e-mailu za 30 eur, prolomení Facebooku dělá za 70 eur, stránku hackne za 30 eur, za 24hodinový DDoS útok si účtuje 20 eur. Získává i údaje o kreditních kartách.


Zaplaťte, nebo vás odstřelíme. Kybezločinci straší DDoS útokem

3.8.2016 Zdroj: Novinky/Bezpečnost Hacking
Počítačoví piráti začali v tomto týdnu šířit nevyžádané e-maily, ve kterých vyhrožují příjemcům DDoS útokem. Tedy jinými slovy, že jsou schopni odstřelit jejich webové stránky a servery. Za odvrácení hrozby požadují výkupné. Útok je cílen především na firmy, upozornil Národní bezpečnostní tým CSIRT.CZ.
Výhružný e-mail, ve kterém kyberzločinci vyhrožují DDos útokem
Výhružný e-mail, ve kterém kyberzločinci vyhrožují DDos útokem
„Do e-mailových schránek různých společností se začaly šířit zprávy vyhrožující DDoS útokem,“ uvedl Pavel Bašta, bezpečnostní analytik CSIRT.CZ, který je provozován sdružením CZ.NIC.

Při DDoS útoku stovky až tisíce počítačů začnou přistupovat v jeden okamžik na konkrétní server. Ten zpravidla nezvládne tak vysoké množství požadavků zpracovat a spadne. Pro běžné uživatele se takto napadená webová stránka tváří jako nedostupná.

Platba v bitcoinech
Za odvrácení útoku požadují kyberzločinci výkupné. „Autoři této výhružné zprávy požadují od uživatelů zaplacení 0,17 bitcoinu za to, že na danou síť neprovedou útok,“ konstatoval Bašta.

I když se požadovaná částka může zdát nízká, opak je pravdou. Jeden bitcoin má totiž v současnosti hodnotu zhruba 13 000 Kč. V přepočtu na koruny tak útočníci chtějí zaplatit více než 2200 Kč. Zaplatit je prý nutné do pěti dnů, jinak bude útok proveden.

Bitcoiny přitom kyberzločinci nevolí náhodou. Tato virtuální měna se totiž prakticky nedá vystopovat, což znesnadňuje odhalení počítačových pirátů.

Krádež identity i dat
Kromě DDoS útoku počítačoví piráti ve zprávě tvrdí, že jsou schopni ukradnout identitu z napadeného počítače a zneužít uložená data. Zatím nicméně není znám žádný případ, kdy by počítačoví piráti po zaslání podobných e-mailů skutečně útok provedli. „Pokud byl na vaši společnost tento DDoS útok proveden, kontaktujte nás na adrese abuse@csirt.cz,“ uzavřel Bašta.


Bitcoinová směnárna Bitfinex hlásí útok hackerů a ztrátu skoro 120 tisíc BTC
3.8.2016 Zdroj: Živě
Hacking
Bitcoinovou směnárnu Bitfinex nejspíše někdo vykradl, píše o tom sama služba na svých stránkách a je dočasně mimo provoz. Škody přitom mohou být poměrně vysoké, podle diskuze na Redditu totiž služba přišla o částku okolo 120 000 BTC, což při současném kurzu odpovídá 65 milionům dolarů.

819496351
Krádež na Redditu potvrdil jeden z manažerů služby Zane Tackett

Bitfindex útok hackerů řeší, podle svých slov spolupracuje s policií a případ pouze ukazuje, že bitcoinový ekosystém – respektive podobné koncové služby – má oproti klasickému finančnímu systému ještě své mouchy, nejedná se totiž ani zdaleka o první případ.

138086784
Další oběť kybernetických útoků na slabě zabezpečené bitcoinové transakční služby.


Yahoo řeší, jestli má hacker opravdu údaje o 200 milionech úč­tů

3.8.2016 Zdroj: Lupa Hacking
Hacker spojený s únikem přihlašovacích údajů z MySpace a LinkedIn nabízí na prodej 200 milionů přihlašovacích údajů k účtům do Yahoo!
Za 200 milionů přihlašovacích údajů k účtům v Yahoo! byste museli zaplatit tři bitcoiny. Jejich zdroj, hacker vystupující pod jménem Peace, tvrdí, že pocházejí z roku 2012. S dovětkem „velmi pravděpodobně“. Samotné Yahoo celou záležitost bere velmi vážně a snaží se přijít na to, o co opravdu jde.

Hesla spojená s přihlašovacím identifikátorem jsou hashovaná pomocí MD5, je tedy snadné získat většinu hesel zpět do čitelné podoby. Jako u řady úniků z poslední doby je ale na místě skepse a opatrnost. Nebylo by to poprvé, co se za „únik“ někdo snažil vydávat kompilát přihlašovacích údajů z předchozích úniků.

Brát má přitom kde, k dispozici jsou stovky milionů přihlašovacích údajů z desítek větších úniků z dřívější doby.

Vedle přihlašovacích údajů obsahuje únik i data narození a v některých případech i záložní e-mail.

Motherboard, který zprávu o úniku přinesl jako první, se na vzorku zhruba pěti tisíc přihlašovacích údajů pokoušel ověřit pravost. Jakkoliv se mu podařilo najít řadu údajů, které odpovídají existujícím účtům v Yahoo, pro další se zjistilo pouze to, že jde o již zrušené nebo zablokované účty.

Pokud to chcete hrát na jistotu, tak můžete vaše heslo v Yahoo! považovat za kompromitované a pokračovat obvyklou cestou – změnit heslo u Yahoo! na nové unikátní a silné. A pokud totéž heslo používáte kdekoliv jinde, tak provést změny i tam.

Ověřit si, zda vaše heslo vázané k určitému e-mailu není v některém z dřívějších úniků, je přitom velmi snadné. Na haveibeenpwned.com a www.leakedsource.com stačí zadat váš e-mail, zjistíte, kde se objevil, tedy ve kterém úniku. Druhé jmenované umí vyhledávat i telefonní čísla, jména a příjmení i uživatelská jména.


Prague Hacks – hackathon zaměřený na otevřená data startuje na konci září

3.8.2016 Zdroj: Lupa Kongresy
Víkendový programovací maraton se bude už podruhé zabývat daty, která poskytuje Praha, a to včetně třeba zoologické zahrady.
Jako Londýn nebo Leeds. Fond Otakara Motejla chce v rámci hackathonu na přelomu září a října naplnit „pražský dashboard“, tedy platformu, která bude ukazovat, co všechno lze s otevřenými daty v rámci města dělat. Přihlášky se otevírají dnes.

Loni na prvním ročníku hackathonu vzniklo 13 prototypů aplikací. Šlo třeba o platformu pro sdílení informací o kvalitě škol, model aplikace sledující pohyb prostředků hromadné dopravy v reálném čase nebo prototyp aplikace pro chytré hodinky sledující bezpečnost v ulicích.

Letos by měli během třídenní akce vývojáři v prostorech Node5 pracovat na widgetech a aplikacích, které budou popisovat život v metropoli ve čtyřech tematických oblastech. Těmi by měla být mobilita a obyvatelstvo, volný čas a vzdělávání, dobré vládnutí a transparentnost, a konečně i životní prostředí & sociální služby. Všechny aplikace budou pak zapojeny do výsledného dashboardu. „Dashboard a jeho výstupy budou v otevřeném kódu, aby bylo možné je upravovat a doplňovat i v budoucnu,“ tvrdí Michal Tošovský z Fondu Otakara Motejla.

K dispozici budou data z pražského katalogu otevřených dat, tedy třeba mapové podklady Prahy, jízdní řády MHD, ekonomická data některých městských částí, data pražské ZOO, Technické správy komunikací a plno dalších.

"Na projektech a aktivitách Fondu Otakara Motejla spolupracujeme dlouhodobě. I v případě této akce jsme se rozhodli podpořit ji a to jak finančně, tak především formou poskytnutí konzultací odborníků ze sdružení CZ.NIC. Naše participace na Prague Hacks 2016 bude spočívat ve zprostředkování vybraných dat z projektu Netmetr. V rámci akce budou také kolegové vystupovat jako mentoři, kteří pomohou účastníkům se v datech z toho projektu zorientovat a ukáží jim, jak s nimi vhodně pracovat,“ tvrdí šéf CZ.NIC Ondřej Filip.


Nový Firefox se zaměří na bezpečnost, bude upozorňovat na neobvyklé a nebezpečné soubory při stahování
2.1.2016 Zdroj: Zive.cz
Zabezpečení

Firefox aktuálně umí při stahování varovat uživatele, pokud stahuje nebezpečný obsah z internetu. Ve verzi 48 však bude tento systém rozšířen a nově se naučí rozpoznávat další typy potenciálně nebezpečných souborů. Na novinku upozornil Tom's Hardware.

Firefox bude uživatele nově informovat o potenciálně nechtěném obsahu. V tomto případě se bude jednat o soubory, které nejsou malwarem, ale mohou například po instalaci sbírat osobní informace uživatele.

unwanted-software.PNG
Nové varování před nechtěným a neobvyklým obsahem (zdroj: Tom's hardware)

Dalším novým typem upozornění budou neobvyklé soubory. Prohlížeč zde bude informovat uživatele o tom, že soubor není často stahován a tudíž může být nebezpečný. Tím chce Mozilla ochránit uživatele před podvrženými instalačními soubory. Pokud uživatel bude stahovat nový Flash, který však bude upravenou verzí, Firefox jej může zablokovat na základě toho, že originální Flash bude stahovaný mnohem častěji.

fx48_security_options.png
Funkci bezpečného stahování bude možné zcela vypnout v nastavení prohlížeče
(zdroj: Tom's hardware)

Firefox na oba typy obsahu bude upozorňovat malým symbolem nad ikonou stahování. Pokud se bude jednat o nechtěný či neobvyklý obsah, zobrazí se žlutý vykřičník. V případě, že Firefox detekuje malware, ikona stahování bude doplněna o červený vykřičník.


Vědci prolomili čtečku otisku prstu na telefonu. Stačila jim inkoustovka a vodivý papír
2.1.2016 Zdroj: Živě.cz
Zabezpečení
V posledních letech se na mnoha telefonech vyšší třídy rozšířily čtečky otisku prstu, které nahrazují běžný PIN a jiné formy zabezpečení. Analýza Michiganské státní univerzity však ukazuje, že i tato biometrická ochrana má své limity.

Michigan State University

Výzkumníky z tamního kybernetického oddělení v červnu požádala policie, aby ji pomohli v přístupu do telefonu oběti, který byl chráněný kontrolou otisku prostu. Vědci získali od policie fotografii otisku a na jeho základě vytvořili speciální vodivý 3D model povrchu prstu.

Jenže to nefungovalo, samotný policejní otisk totiž nebyl úplně dokonalý. Výzkumníci se ale nevzdali a pomocí softwaru obraz opravili – dopočítali chybějící místa, zvýraznili linky a tak dále.

Co je však nejpodstatnější, namísto velmi drahé a specializované 3D tiskárny použili v druhém experimentu běžnou inkoustovou tiskárnu a vodivý papír.

A podařilo se! Pomohl jim v tom především samotný telefon oběti Samsung Galaxy S6, který při chybném skenu nevyžadoval zadání kontrolního kódu, takže mohli výzkumníci zkoušet jeden tisk za druhým, dokud se jim to nepodařilo a telefon skutečně neodemkli.

Vlastní postup poté dokázali zopakovat i na telefonu Honor 7 od Huaweie, nicméně (prozatím) neprolomili ochranu iPhonu a některých dalších výrobců.

Podstatné je však to, že k tomu nepotřebovali žádné sofistikované zařízení, ale vystačili s běžnými instrumenty – jedinou specialitou byl vodivý papír.


Česko v datech: Kybernetické útoky v energetice

2.1.2016 Zdroj: SecurityWorld Počítačový útok
Je hrozba útoku na energetické sítě skutečná? Co může znamenat pro koncového odběratele? A jak se proti útokům bráníme v Česku? Podívejte se na názory odborníků a případy z minulosti, které pro vás Česko v datech shromáždilo.

Odpověď na první otázku je jednoduchá a zároveň poněkud znepokojující. Ano, s kybernetickými útoky na společnosti energetického sektoru se dnes odborníci už nesetkávají jen v rovině teoretických úvah, ale i ve skutečnosti. A přizpůsobovat tomu samozřejmě musí i svou práci, stejně jako u jiných útoku, i u hrozeb pro energetické sítě je třeba identifikovat případná rizika a připravit scénáře pro minimalizaci případných škod.

„V současnosti už v podstatě neexistuje složitější energetický systém, který by byl řízený bez využití informačních technologií. Zejména u ovládacích systémů klíčových prvků sice stále existuje velká snaha o striktní oddělení od veřejné sítě, ne vždy je to z provozních důvodů možné,“ vysvětluje Libor Šup, Solutions Architect ze společnosti Unicorn Systems.

Kybernetickým útokem v energetice se míní situace, kdy se hacker nebo skupina hackerů pokusí získat přístup ke klíčovým informacím či prvkům infrastruktury (např. elektrárnám, rozvodným soustavám či řídícím centrům), s cílem ovládat je nebo do nich nahrát škodlivý kód, který bude vykonávat určené příkazy. Motivací pro útočníky může být osobní zisk, zničení vybraného cíle, vyvolání paniky a napáchání dodatečných škod nebo prostě „jen“ chuť ukázat, že něco takového dokáží.

„Podle statistik britského serveru hackmageddon.com byl v roce 2015 celkový počet kybernetických útoků výrazně vyšší než v roce předchozím, a to i navzdory neustále se vyvíjející obraně proti podobným případům. Zhruba za pětinou zaznamenaných útoků stáli nejrůznější aktivisté a skupiny, 10 % útoků je dílem špionáže a jen asi 24 případů z tisíce pak připadá na tzv. kybernetickou válku. Na průmyslové podniky včetně oblasti energetiky mířila celá čtvrtina útoků, daleko za nimi jsou pak vlády, zdravotnická zařízení nebo finanční instituce,” přibližuje strukturu současné kyberkriminalityZuzana Lhotáková, Marketing manager SAS Institute ČR.

„Útočníky můžou být jednotlivci, ale i organizované skupiny aktivistů, teroristé, vládní organizace nebo armáda. Mezi takové skupiny patří například Energetic Bear, která je podle zpráv z několika nezávislých zdrojů zapojena do kybernetické špionáže v oblasti energetiky a škodlivý software z jejich dílny – Havex – je rozšířen po celém světě. Havex se v současnosti nezaměřuje jen na kybernetickou špionáž, ale je schopen také sabotovat infikované systémy. To je velmi závažné zjištění, protože jeho cílem jsou primárně SCADA (Supervisory Control and Data Acquisition) systémy využívané energetickými společnostmi. Energetic Bear mají nejpravděpodobněji sídlo ve východní Evropě a jejich malware se objevil mimo jiné i v Česku. Z činnosti skupiny je patrné, že pracuje v běžném pracovním týdnu, a dá se tedy usuzovat, že se nejedná o nadšence, ale členy nějaké organizace, která bude mít silné finanční zázemí,“ dodává Libor Šup z Unicorn Systems.

Kde už hackeři na energetické systémy zaútočili?

Zpoždění při spouštění íránské jaderné elektrárny
Už v roce 2010 byl zaznamenán kybernetický útok, který měl za úkol oddálit nebo zastavit spuštění jaderné elektrárny v Iránu. Cílem ochromení tehdy nebyla samotná jaderná elektrárna, ale závod na obohacování uranu. Červ Stuxnet vyřadil z činnosti a následně zničil několik stovek centrifug na obohacování uranu tím, že změnil frekvenci jejich otáček.

Nejprve je roztočil nad povolenou hranici a poté jejich otáčky naopak snížil na velmi pomalé. Tím způsobil finanční ztráty i zpoždění při zprovoznění samotné elektrárny. Vzhledem k architektonické složitosti tohoto červa se muselo jednat o experty s obrovským finančním potenciálem.

Stuxnet je natolik kvalitní a modulární systém, že je možné jej u průmyslových systémů využít pro téměř libovolnou podobnou činnost. I proto byly z útoku podezřívány tajné služby USA a Izraele, avšak bez jasných důkazů.

Převzetí kontroly nad vodním dílem v USA

Pravděpodobně jako odvetu za útok proti jaderné elektrárně v roce 2013 podnikla íránská skupina SOBH Cyber Jihad, která se k útoku sama přihlásila, úspěšný kybernetický útok na malou přehradu (přesněji větší stavidlo) poblíž New Yorku. Podařilo se jim na krátkou dobu převzít kontrolu nad ovládacím zařízením a i když se tentokrát jednalo o malé vodní dílo o výšce několika metrů, i tento útok ukázal možné následky plynoucí z nedostatečného zabezpečení.

Únik informací v Jižní Koreji

V prosinci 2014 došlo k útoku na servery společnosti Korea Hydro & Nuclear Power, která v Jižní Koreji provozuje několik jaderných elektráren a hydroelektráren. Došlo k úniku dat, která ovšem podle vyjádření společnosti nepatřila mezi klíčová. Podobné informace však mohou být cenné při plánování dalšího útoku. Možná spojitost s KLDR nebyla potvrzena ani vyvrácena.

Masivní výpadek dodávky elektrického proudu na Ukrajině

V prosinci roku 2015 došlo k rozsáhlému výpadku dodávek elektrické energie v Ivanofrankivské oblasti na Ukrajině. Bez elektřiny tehdy zůstalo po dobu několika hodin až 700 tisíc lidí. Z následných analýz útoku vyplynulo, že se nejednalo o náhodný výpadek, ale koordinovanou součinnost skupiny hackerů. Ti pomocí trojského koně BlackEnergy pronikli do jednotlivých komponent distribučních sítí a následně ji poškodili nebo ochromili. Kromě klasických funkcí destruktivního malware (odstranění systémových souborů, které znemožní spustit systém) se tato varianta speciálně zaměřila na sabotáže v průmyslových systémech. Jednalo se tedy o konkrétní aplikaci běžného malware pro potřeby útoků na podobné cíle. I když konkrétní útočník nebyl odhalen (spekuluje se o jeho napojení na ruské vládní složky), jedná se o první jasně potvrzený útok na rozvodnou elektrickou síť v tomto rozsahu. Podobný trojský kůň byl využit i pro útok na ukrajinská média po volbách nedlouho předtím a spekulovalo se i o hrozbě pro kyjevské letiště, kterou se však údajně podařilo včas zastavit.

„Kybernetické útoky bychom neměli řadit jenom jako problematiku IT. Pro sofistikovaný útok totiž útočník používá více různých prostředků, přičemž nejčastěji využívá psychologický aspekt zranitelnosti uživatele. Oklamáním uživatele totiž útočník umístí do vnitřní sítě organizace falešnou bránu, malware, která pak simuluje interního uživatele. Pak už bezpečnostní brány, firewally, nerozliší komunikace útočníka pod ukradenou identitou oproti oprávněnému uživateli. Ale i proti takovýmto útokům se lze bránit pojetím bezpečnosti multidisciplinárně,” vysvětluje Adrian Demeter, senior manažer Deloitte Security.

Kybernetické útoky a český spotřebitel
Běžnému spotřebiteli nebo firmě se podobné útoky mohou zdát vzdálené a málo pravděpodobné. Ale s nástupem tzv. ‚chytrých domácností‘ a internetu věcí se začíná riziko kybernetických útoků přibližovat i jim.

Reálná je například situace, kdy útočník přepíše údaje na elektroměru se vzdálenou správou nebo vzdáleně zapne v domácnosti spotřebič – například topení – s cílem uměle navyšovat spotřebu energií. Na podobném principu může fungovat převzetí řízení jaderné elektrárny, regulace výpustě přehrady nebo manipulace s přenosovou soustavou či zásobníky plynu.

V současnosti v ČR dochází k pomalému posunu ve vnímání kybernetických hrozeb nejen pro energetický sektor. Děje se tak na základě platného kybernetického či krizového zákona, případně z vůle jednotlivých subjektů.

V neposlední řadě probíhají kybernetická cvičení, která pomáhají hledat možná rizika a nabízet jejich řešení – například v říjnu 2015 proběhlo v Brně pod záštitou Národního centra kybernetické bezpečnosti cvičení simulující útok na elektrárnu i obranu před ním, ve kterém proti sobě stály týmy „útočníků“ a „obránců“.


Podvody na internetu si počítačový pirát vydělal více než 60 miliónů dolarů

2.8.2016 Zdroj: Novinky/Bezpečnost Podvod
V Nigérii byl zatčen muž, který je podezřelý, že pomocí podvodů na internetu obral stovky obětí po celém světě o celkem více než 60 miliónů dolarů (1,45 miliardy Kč). Oznámila to v pondělí podle agentury AFP v nigerijském městě Lagos mezinárodní policejní organizace Interpol. Počítačovému pirátovi pomáhalo v různé míře nejméně 40 lidí v Nigérii, Malajsii a Jihoafrické republice.
"Čtyřicetiletý Nigerijec, známý pod jménem Mike, je podle všeho za podvody v celkové výši přes 60 miliónů dolarů. Po světě jsou stovky obětí," uvedla organizace.

Upřesnila, že podezřelý se především dostával do elektronických pošt malých a středních podniků, a to hlavně v Austrálii, Kanadě, Indii, Malajsii, Rumunsku, Jihoafrické republice, Thajsku a Spojených státech. Podvody prováděl i na webech seznamek a pral špinavé peníze v Číně, Evropě a USA.

Agenti Interpolu dopadli podezřelého a rozbili jeho síť s pomocí nigerijské vládní agentury proti korupci a s pomocí nigerijského výboru EFCC proti ekonomické a finanční zločinnosti v této africké zemi, dodala policejní organizace v prohlášení. V jakém období zadržený své zločiny páchal, neupřesnila.


Pirátství kvete především v Evropě, Česko je na tom však překvapivě dobře
2.8.2016 Zdroj: Živě.cz
Podvod

Organizace MUSO se primárně zabývá ochranou autorského obsahu, zároveň však vytváří analýzy, které se pirátství týkají. Ta nejnovější je globální zprávou o pirátství v celkem padesáti zemích světa. S výsledky, které vyplynuli z posbíraných 141 miliard záznamů o návštěvách na pirátských a streamovacích webech, se MUSO podělilo s TorrentFreakem.

Pohled na žebříček je jasný – pirátství je nejrozšířenější v Evropě a mezi prvními desíti zeměmi nenajdeme jiný než evropský stát. Rekordmanem je Lotyšsko, kde stránky s pirátským obsahem navštěvuje 46 % uživatelů internetu. Následují země jako Bulharsko, Litva, Chorvatsko nebo Španělsko.

Warezu se naopak nedaří ve Vietnamu, Německu, Mexiku nebo Thajsku. V těchto zemích pirátské stránky navštěvuje do tří procent uživatelů:

country1.png

country2.png

country2.png

country3.png

country4.png

country5.png
(zdroj: TorrentFreak)

Relativně dobře je na tom také Česko, i když se v žebříčku umístilo až ve třetí desítce. Konkrétně pirátské weby navštěvuje 8,56 % uživatelů. Těsně před námi je Francie, za námi o půl procentního bodu Švýcarsko. V



Anonymous shodili web Agrofertu. Chtějí útočit na další firmy a zaměstnance

1.8.2016 Zdroj: Lupa.cz Hacking
Operace Blokáda vyvolaná zákonem umožňujícím cenzurovat internet má další pokračování. Shozeny byly weby Agrofertu či Penam.
Skupina, která se označuje za českou odnož hacktivistického hnutí Anonymous, dnes shodila web společnosti Agrofert (agrofert.cz), kterou ovládá ministr financí a šéf ANO Andrej Babiš. Má to být součástí takzvané Operace Blokáda (#OpBlokada), která má být odvetou za schválení zákona o hazardních hrách, v rámci něhož může stát blokovat webové stránky.

Skupina se chce zaměřit na další cíle kolem Babišova impéria. Mezi cíli jsou v dokumentu útočníků uvedeny weby společností HYZA, Čepro, Uniles, PREOL a Wotan Forest. Hacktivisté si vyhlédli také zaměstnance skupiny Agrofert, na které mají mimo jiné útočit spamem.

„Žádáme neprodlené zrušení EET či zákona o cenzuře internetu, jinak budou útoky nadále pokračovat,“ vzkazují hacktivisté k čerstvému útoku na Agrofert.
Web Wotan Forest se dnes občas s výpadky potkává. Stránky Agrofertu začaly po několika hodinách před šestou hodinou večer na pár minut fungovat, po chvilce byly opět nedostupné. Večer přestal fungovat také web pekáren Penam.

Hacktivisté k útokům využívají populární open source nástroj HOIC (High Orbit Ion Cannon). Pro zájemce o zapojení se do útoků je veřejně připraven instalační soubor společně s návodem k použití.

Prostřednictvím DDoS útočili už koncem května, kdy nejdříve shodili web Senátu a následně také policie a strany ČSSD. Akce prý mají pokračovat i nadále.

„Jakmile jednou vznikne státní blacklist, je to cesta k dalším blokacím, které budou o to snazší,“ říká skupina ke svým motivacím. „Ministerstvo financí vedené Andrejem Babišem nyní dostává téměř neomezenou pravomoc cenzurovat internet.“


LastPass měl (opět) problém, útočníci mohli získávat hesla uživatelů

1.8.2016 Zdroj: Lupa.cz Zranitelnosti
Nepříjemná bezpečnostní chyba v prohlížečových rozšířeních pro LastPass umožňovala útočníkům získávat uložená hesla.
Tavis Ormandy, člen týmu u Googlu, který se věnuje vyhledávání chyb, minulý týden zjistil, že LastPass pro Firefox je možné zmást natolik, že vydá hesla pro určitou službu, aniž by uživatel na této službě aktuálně byl. Stačilo k tomu dostat uživatele na připravené webové stránky a požádat LastPass o automatické vyplnění hesla.

Detaily Ormandyho zjištění už jsou známy a dle očekávání jde o zneužití toho, jakým způsobem se LastPass vsunuje do stránek (hlavně do vstupních prvků). Podstatné na nové chybě je, že velmi podobná chyba byla objevena již před rokem a týkala se rozšíření pro Chrome (a byla také již před rokem napravena).

LastPass v LastPass Security Updates uvádí, že opravena byla i čerstvě objevená chyba, a pokud používáte LastPass 4.0+, tak by už problém neměl existovat. Případná ruční instalace opravené verze je možná z lastpass.com/lastpassffx

Připomeňme, že LastPass měl v minulosti už více bezpečnostních problémů (viz například LastPass byl děravý, v případě pochybností si raději změňte heslo), včetně úniku dat (Správce hesel LastPass hlásí únik z databáze, změňte si heslo). Konkurenční správci hesel na tom nebyli o moc lépe.

Jedna z dobrých možností, jak se dalo zabránit zneužití v tomto případě, by bylo vypnutí automatického vyplňování hesel – mírná komplikace pro uživatele, který by zadávání hesel z LastPass musel vyvolávat přes menu. Vedle toho stále platí, že pro důležité služby byste vždy měli používat dvoufaktorové ověření přihlášení.


Kybernetičtí vyděrači jedou. Ransomware je nejziskovější malware

1.8.2016 Zdroj: SecurityWorld Viry
Z kyberzločinu se stává stále větší byznys. Zisky útočníků v první polovině roku 2016 strmě vzrostly a vyděračský software, tzv. ransomware, se stal nejziskovějším typem malwaru v historii. Cílem hackerů přitom nejsou jen firmy, ale stále častěji se zaměřují na neziskové organizace, spolky i charity. Organizace však bezpečnostní hrozby stále podceňují a neprovádějí pravidelné aktualizace, které průniky do sítě výrazně omezují. S těmito závěry přišla pravidelná studie Cisco 2016 Midyear Cybersecurity Report.

Report odhalil, že firmy útočníkům jejich snahu často usnadňují, neboť mají zranitelnou infrastrukturu, neprovádějí dostatečnou bezpečnostní hygienu v síti a probíhající útok nedokážou detekovat včas.

Organizace se potýkají se stále sofistikovanějšími verzemi škodlivého softwaru a u některých důležitých oborů, jako například ve zdravotnictví, dochází k výraznému nárůstu útoků. Společnost Cisco odhaduje, že budoucí ransomware bude mnohem hůře odhalitelný, neboť tolik nezatíží kapacitu procesoru infikovaného zařízení a omezí komunikaci s kontrolními servery.

Nejprve se totiž v systému rozmnoží a až poté spustí vlastní vyděračskou aktivitu s cílem maximalizovat zisky útočníků.

Studie zaznamenala, že v první polovině letošního roku hackerům výnosy z kybernetických útoků výrazně vzrostly. Důvodem jsou nové útočné metody i širší skupina cílů.

„Cisco 2016 Midyear Cybersecurity Report ukazuje, že útočníci stále rozšiřují záběr útoků a více se zaměřují na servery. Útoky častěji cílí na jejich zranitelnosti, a zejména se soustředí na servery Jboss. Globálně byl zjištěn průnik u 10 % z nich. Jedním z evergreenů pak zůstávají pokusy o průnik prostřednictvím Adobe Flash,“ říká Ivo Němeček, obchodní ředitel společnosti Cisco ČR.

Hlavním nedostatkem organizací zůstává neefektivní přehled o stavu a dění v síti a o koncových bodech a jejich aktivitě.

„Firmám stále trvá odhalení průniků do sítě průměrně 200 dní,“ dodává Ivo Němeček.

Studie Cisco 2016 Annual Security Report, publikovaná na začátku letošního roku, zjistila, že 9 z 10 zkoumaných zařízení obsahovaly známé zranitelnosti. I tentokrát testovali bezpečnostní experti více než 100 tisíc zařízení připojených k internetu. Nedostatky se objevily u všech výrobců a typů koncových zařízení. Každé z nich v průměru vykazovalo 28 známých zranitelností. Přitom tato zařízení byla aktivně provozována se známými zranitelnostmi průměrně více než 5 a půl roku.

Více než 9 % z nich dokonce vykazovalo zranitelnosti staré více než 10 let. Bezpečnostní experti se dále zaměřili na softwarovou infrastrukturu a na vzorku více než 3 milionů instalací, především Apache a OpenSSH, zjistili, že obsahují průměrně 16 zranitelností známých již 5 let.

Expertní tým Cisco Talos proto doporučuje 5 jednoduchých opatření, které mohou významně posílit bezpečnost firemního provozu:

Zlepšení bezpečnostní hygieny sítě jejím sledováním, včasnou aplikací oprav a aktualizací, segmentací, zavedením obrany na okrajích sítě, a to včetně zabezpečení e-mailu a internetového provozu a využitím nové generace firewallů a systémů pro prevenci průniků.
Integrace obrany a vybudování jednotné bezpečnostní architektury namísto zavádění dílčích řešení.
Měření doby detekce hrozeb a snaha o její zkrácení na minimum s cílem jejich okamžité neutralizace. Začlenění doby detekce jako klíčové metriky do podnikové bezpečnostní politiky.
Ochrana uživatelů na místech, kde se nachází a kde pracují, nejen systémů, s nimiž přicházejí do styku při připojení do firemní sítě.
Zálohování důležitých dat, rutinní ověřování jeho efektivity a zabezpečení těchto záloh proti napadení.


Biometrické ověřování plateb je za rohem

27.7.2016  Zdroj: SecurityWorld Zabezpečení
Podle nového průzkumu společnosti Visa mají evropští spotřebitelé při platbách kartou zájem využívat biometrické bezpečnostní prvky, a to zejména v kombinaci s dalším zabezpečením. Na 73 % spotřebitelů považuje podle průzkumu dvoufaktorovou autentifikaci platby s využitím biometrického prvku za bezpečný způsob ověření identity majitele účtu.
„Identifikace a verifikace prostřednictvím biometrických prvků v oblasti plateb přináší zjednodušení a zdokonalení spotřebitelského zážitku. Náš průzkum ukázal, že čím dál tím více lidí vnímá biometriku jako důvěryhodnou formu autentifikace a je s používáním této technologie na svých zařízeních obeznámeno,” říká Jonathan Vaux, výkonný ředitel pro inovace společnosti Visa Europe.

Scénář o biometrice jako jediné formě ověřování plateb by ale byl podle Jonathana Vauxe zatím spíše výzvou. „Na rozdíl od ověření PIN kódem, který může být zadaný jen správně nebo nesprávně, je biometrie založená na pravděpodobnosti shody se vzorem. Biometrické prvky fungují proto nejlépe v kombinaci s dalšími zařízeními, geolokačními technologiemi nebo dodatečnými metodami autentifikace,“ dodává Vaux.

Více než polovina Evropanů (51 %) si myslí, že biometrická verifikace, která potvrzuje identitu uživatele měřením jeho charakteristických znaků, jako jsou otisky prstů nebo vzor oční duhovky, proces platby urychlí a zjednoduší. Přes 30 % lidí pak podle průzkumu na biometrické autentifikaci oceňuje, že jejich data zůstanou v bezpečí i v případě ztráty nebo odcizení platebního zařízení.

„Postupně budou mít spotřebitelé možnost vybírat si ze stále více platebních metod. S tím jak se budou měnit naše platební návyky podle místa nákupu a použitého zařízení, budou se těmto případům muset přizpůsobovat i autentifikační metody plateb. Navzdory své pohodlnosti a bezpečnosti tak nebude biometrika jediným řešením a v budoucnosti uvidíme rozličné varianty ověřování v závislosti na konkrétní nákupní situaci,” pokračuje Jonathan Vaux.

Průzkum na 14 000 Evropanech ukázal, že nejdůležitější faktory pro přijetí biometrického ověřování plateb jsou diskrétnost, zkušenost a obeznámenost s tématem. Pro svou jednoduchost a bezpečnost je nejoblíbenější biometrickou metodou ověření otisku prstu. I co se samotné bezpečnosti týče, nejvíce (81 %) respondentů staví na první místo právě otisky prstů. Jako druhá nejbezpečnější biometrická metoda následuje sken oční duhovky se 76 procenty.

I proto více než polovina dotázaných (53 %) preferuje při placení identifikaci otiskem prstu před jinými metodami. 73 % respondentů vyhovuje tato forma biometrické autentifikace dokonce stejně jako vyplnění PIN kódu.

Autentifikace platby rozpoznáním hlasu nebo podle tváře by podle průzkumu zvolilo jen 15, respektive 12 % respondentů, a to v případě nákupu přímo v obchodě i platby online.


Nový průzkum ukazuje na zlepšení v ochraně dat, ale také na vyvíjející se hrozby

27.7.2016 Zdroj: SecurityWorld Zabezpečení
Společnost EMC oznámila výsledky nového průzkumu zabezpečení. Ty odhalily, že organizace podceňují narůstající výzvy spojené s ochranou svých dat a v důsledku toho zakoušejí ekonomické dopady ztráty dat.
Nová zjištění průzkumu EMC Global Data Protection Index 2016, který zpracovala společnost Vanson Bourne jako nezávislou studii podnikového zálohování mezi respondenty z 18 zemí světa, ukazují, že podnikům se sice podařilo omezit dopad čtyř největších tradičních rizik ztráty dat, nejsou však připraveny na nově vznikající hrozby, jež si tak vybírají svou daň namísto tradičních příčin.

V porovnání s výsledky průzkumu EMC Global Data Protection Index 2014 zaznamenalo v posledních 12 měsících ztrátu dat nebo narušení provozu o 13 % více podniků. S tím spojené potíže je stály v průměru 914 000 dolarů.

Společnost EMC zadala aktualizaci průzkumu, aby organizacím pomohla pochopit rychle se měnící podobu rizik ohrožujících podniková data a připravit se na ně. Podle výsledků průzkumu EMC Global Data Protection Index 2016 ztěžují moderní ochranu dat tři hlavní hrozby:

1) Ohrožení záložních dat

Téměř čtvrtina (23 %) respondentů zaznamenala ztrátu dat nebo neplánovaný výpadek systémů vinou bezpečnostního útoku zvenčí. Pokud započítáme i útoky zevnitř, vzroste toto číslo na více než třetinu podniků (36 %).

Podniky při tom stále častěji čelí nejen ohrožení primárních dat, ale také záloh a dalších dat uložených kvůli ochraně. Ať už bojují s kybervyděrači, kteří požadují výkupné za odemknutí dat zašifrovaných škodlivým softwarem (ransomware), nebo s jinými riziky spojenými se zálohováním a ochranou dat, potřebují podniky najít řešení, která přesunou jejich „data poslední záchrany“ do bezpečí.

2) Ohrožení dat v cloudu

Přes 80 % respondentů průzkumu uvedlo, že jejich organizace bude v nejbližších dvou letech provozovat alespoň část z osmi klíčových podnikových aplikací ve veřejném cloudu. Zároveň ovšem jen necelá polovina z nich odpověděla, že chrání data v cloudu před poškozováním, obdobný počet respondentů pak tato data chrání před smazáním.

Více než polovina účastníků průzkumu již ve veřejném cloudu provozuje poštovní aplikaci. A celkově již respondenti do veřejného cloudu přesunuli v průměru 30 % svého IT prostředí.

3) Měnící se potřeby ochrany

Přes 70 % organizací zapojených do průzkumu si není zcela jisto, že by v případě ztráty dat nebo neočekávaného výpadku systémů dokázalo systémy či data plně obnovit.

Sebedůvěrou respondenti neoplývají, ani pokud jde o výkon datových center: 73 % uvádí, že si nejsou zcela jisti, že jejich řešení udrží krok s vyšším výkonem a novými funkcemi flashových úložišť.


Zabezpečte si e-maily pomocí šifrování

27.7.2016 Zdroj: SecurityWorld Zabezpečení
Šifrování e-mailu se natolik zlepšilo, že je pošetilé ho nepoužívat. Hushmail, Virtru, HP Voltage, Datamotion, AppRiver, ProtonMail a Tutanova vás ochrání před slídivýma očima.
Kdysi jsem jako spoluautor napsal knihu o podnikovém e-mailu, ve které jsem přirovnal šifrování e-mailů k „ošklivé ráně v hrudi“. Bylo to v roce 1997, kdy jste si museli veškerou správu šifrovacích klíčů zajistit sami – a to bylo, řekněme, přinejmenším odrazující.

I když se situace od té doby výrazně zlepšila, šifrování poštovních zpráv stále není tak jednoduché, jak by mohlo být, a vyžaduje důkladné studium, chcete-li získat skutečně soukromou komunikaci, kterou nedokážou vaši konkurenti či vládní instituce sledovat.

V minulosti museli příjemci šifrovaných e-mailů používat stejný systém jako odesílatel a mnoho e-mailových klientů bylo v tomto směru obtížné nakonfigurovat.

V současné době nabízí mnoho produktů funkci „šifrování s nulovými nároky na znalosti“, což znamená, že můžete odeslat šifrovanou zprávu i tomu, kdo vámi vybranou šifrovací službu nepoužívá.

K dešifrování zpráv a k napsání odpovědí postačuje poskytnout heslo a v některých případech lze zprávu přečíst jen na základě autentizace, tedy prokázání své identity. Po prvotním navázání komunikace dokáže příjemce celkem snadno komunikovat prostřednictvím šifrovaných zpráv.

Kromě nulové potřeby znalostí šifrování usnadňují moderní produkty zasílání a přijímání zpráv, takže s pomocí modulů plug-in pro aplikaci Outlook a pro prohlížeče je potom šifrování podobně snadné jako stisk jednoho tlačítka.

Všechny testované produkty mají vylepšenou kontrolu nad přenosem zpráv, jako jsou nastavení data vypršení platnosti, možnost odvolat nepřečtené zprávy a zabránit jejich přeposílání, jakmile je příjemce přečte. To vše jsou dobrá znamení, že šifrování konečně dospělo.

Zůstal zde však jeden problém: Způsoby využití e-mailů se také vyvinuly a jsou složitější. Někteří z nás střídají klienty ve stolních počítačích i mobilních zařízeních a také používají jako e-mailového klienta webové rozhraní.

Někteří lidé upřednostňují aplikaci Outlook a mnoho organizací závisí na serverech Microsoft Exchange a také existují desítky poskytovatelů hostovaných e-mailových služeb založených na službách SaaS – jako jsou například Google Apps nebo Office 365.

To znamená, že jakékoliv šifrovací řešení musí pokrýt různé případy použití a různé koncové klienty. Navíc zde stále existuje velký nezájem koncových uživatelů o šifrování zpráv, přestože jim není neznámá sága Snowdena a další poučení o potřebě udržovat zabezpečenou komunikaci.

Pro analýzu současného stavu dostupných řešení jsme otestovali sedm produktů a zjistili, že spadají do tří funkčních skupin.

První jsou hostované e-mailové služby, které využívají komplexní šifrování přenosů zpráv. Obvykle se přitom k zabezpečenému zasílání a příjmu e-mailů používá webový klient daného poskytovatele.

Pokud už používáte hostovanou e-mailovou službu, bude nutné tohoto poskytovatele nahradit jednou z těchto služeb. V této kategorii jsme testovali Hushmail a ProtonMail.

Hushmail již existuje více než deset let, zatímco ProtonMail je relativně nový a stále je v rozšířené betaverzi. Tato kategorie je atraktivní pro menší sítě a místa s okamžitou potřebou šifrování a požadavkem rychlého zavedení.

Druhou skupinou jsou pak brány (gatewaye) pro šifrování e-mailů. Ty byly prvním druhem šifrovacích produktů a stále je lze na trhu nalézt. Vyžadují speciální moduly plug-in nebo servery umístěné v interní infrastruktuře, nakonfigurované za ochranným firewallem s přístupem k vašemu hlavnímu e-mailovému serveru. Do této kategorie patří produkty Datamotion SecureMail a HP Voltage SecureMail.

Tyto brány nabízejí velkou kontrolu nad způsobem zpracování e-mailů, nad případným přechováváním částí zpráv v místních úložištích zařízení i nad možnými způsoby obnovení hesel.

I když je to přitažlivé, s veškerou touto kontrolou přichází také větší náročnost správného nakonfigurování. A to je důvod, proč o tyto gatewaye klesá zájem, zejména nyní, když existuje tolik dalších možností.

Brány jsou stále užitečné pro firmy, které se buď zdráhají využívat cloud, nebo mají specifické důvody týkající se dodržování předpisů pro šifrování své e-mailové komunikace, jako jsou například makléři a zdravotnictví.

A konečně třetí skupinou jsou řešení založená výhradně na koncových klientech, která rozšiřují existující desktopový software pro e-maily, jako jsou například Outlook nebo Apple Mail.

Jde typicky o přídavné nástroje šifrující zprávy pomocí existující e-mailové infrastruktury. Do této kategorie patří Tutanota, Virtru a AppRiver.

Tato řešení jsou oblíbená ve firmách, které používají celou řadu e-mailových klientů a nechtějí rychle nasadit službu univerzálního šifrování nebo nemohou snadno vyměnit části své e-mailové infrastruktury (viz prezentace těchto produktů).

Existuje mnoho dalších šifrovacích služeb, které jsme netestovali, a to ze dvou důvodů. Zaprvé mnoho z nich je podobných službě ProtonMail, ale nabízejí jen šifrování osamocených poštovních schránek a nejsou vhodné pro celopodnikové nasazení.

Zadruhé několik dlouho na trhu působících dodavatelů šifrování se testu nechtělo zúčastnit, a to včetně dodavatelů bran jako Symantec (PGP) nebo ZixCorp.

Vítězové a poražení

Vzhledem k rozmanitosti situací v oblasti e-mailů a typů produktů jsme nemohli zvolit celkového jednoznačného vítěze. Každý z těchto produktů však může být velmi užitečný pro odpovídající situace.

Produkt Tutanota zatím i přes přítomnost některých inovativních funkcí nemůžeme doporučit do doby, než dostatečně dozraje.

Pokud budete využívat pro své e-maily server s internetovými standardy IMAP/SMTP, potom pro vás bude asi nejlepší volbou použít Hushmail nebo Virtru.

Hushmail používá kombinaci různých oborových standardů šifrovacích technologií k přenášení e-mailů z desktopu přes internet. Virtru má zase svůj vlastní ekosystém a sadu doplňků pro aplikaci Outlook, prohlížeče a Gmail, které mohou chránit vaše zprávy.

Pokud používáte MS Exchange nebo IBM Notes, může být lepším řešením Datamotion s jeho vlastní branou. Je ze sedmi testovaných produktů nejdražší, ale nabízí velkou flexibilitu konfigurace.

Voltage je také dobrou alternativou založenou na bráně gateway, pokud potřebujete velký rozsah kontroly pro správu e-mailových přenosů, a může fungovat na serverech platforem Linux i Windows.

Pokud nechcete nasadit šifrování pro každého a chcete tuto možnost poskytnout jen několika zaměstnancům nebo máte-li systém založený na protokolu POP, potom se podívejte na řešení AppRiver.

Jeho zajímavost je mimo jiné způsobená schopností zvládnout přílohy s velikostí až 5 GB, zatímco většina ostatních produktů dokáže zvládnout jen malé přílohy.

Přestože se ProtonMail hodí zejména pro jednotlivce, je ukázkou toho, co současná úroveň soukromí a paranoie dokáže udělat pro zajištění produktu se snadno použitelným šifrováním.

I když jeho uživatelské rozhraní zaostává za některými vyzrálejšími produkty, má několik funkcí, které je dobré prozkoumat, včetně výchozího dvojitého šifrování zpráv a způsobu, jak dokáže automaticky upozornit nové korespondenty na čekající šifrované zprávy.


Digitální stopy a jejich odstraňování

27.7.2016  Zdroj: SecurityWorld Zabezpečení
Jakýkoliv pohyb po internetu zanechává po naší činnosti stopy. A nemusíte být zrovna náčelník Apačů, abyste je našli. Takže jak je dobře zamaskovat?
Digitální stopy jsou informace, které uživatel zanechává v prostředí internetu či jako součást souborů. Tyto stopy o svém tvůrci prozradí víc, než by sám chtěl. Stopy v podobě metadat vznikají i při používání přístrojů z oblasti IT, při práci s různými typy souborů a při řadě dalších aktivit.

Stopy se dělí na aktivní a pasivní. Aktivní vznikají přičiněním uživatele vytvářením profilů, přispíváním na diskuzní fóra, interakcemi na sociálních sítích, nahráváním fotek či jiných souborů aj. Velmi zneužitelné stopy jsou příspěvky do technických fór s celým popisem problému, což často dělají i profesionálové v IT.

Zaujal vás tento článek? Přehled nejzajímavějších zpráv získáte odebíráním našeho newsletteru »
Pasivní stopy vznikají jako vedlejší produkt uživatelovy aktivity, jsou to záznamy serverů o chování konkrétního návštěvníka, délce návštěvy, aktivitě na daném webu, IP adrese a dalších údajích. K těmto informacím uživatel obvykle nemá přístup a může je ovlivňovat maximálně svým chováním či některými nastaveními.

Sledování stop závisí na tom, co se sledující chce dozvědět.

Marketing. Zde sledují mimo jiné pohyb uživatele po internetu, aktivitu a dobu výskytu na stránkách, klikání na odkazy, preference uživatele („to se mi líbí“ na Facebooku) a mnoho dalších aspektů. Marketingové společnosti obvykle data aktivně zaznamenávají a obchodují s nimi v obrovském množství. Dost stránek, které poskytují služby zdarma, funguje na bázi prodeje či výměny informací o uživatelích, případně data využívá pro personalizaci reklamních sdělení.
Kriminalistické vyšetřování. To bere digitální stopu jako důkazní materiál, sleduje podle potřeby data, která hrají roli v objasňování trestné činnosti, jako jsou pohyb uživatele po síti, doba přihlášení, soubory nahrané na internet, soubory v uživatelově zařízení, aktivita na diskuzních fórech aj. Často má k dispozici pokročilé nástroje a postupy, jak překonat běžné zabezpečení uživatelských účtů či jak se dostat k uživatelovým datům.
Kybernetický útočník podle svého záměru může sledovat různé skupiny podle konkrétních specifik (např. uživatele konkrétního serveru či služby) nebo konkrétní osobu. Podle toho přizpůsobuje své jednání, zjišťuje slabiny jak v zabezpečení systému, tak v chování uživatele.


Král nevyžádané pošty? Samuel Wallace

27.7.2016  Zdroj: SecurityWorld Spam
Novináři kvůli upoutání pozornosti nebo zvýšení atraktivity textu rádi nadsazují. A tak se s přízviskem „král spamu“ můžeme setkat u celé řady jmen. Pokud by si někdo ale toto označení skutečně zasloužil, pak je to Samuel Wallace: Hvězda jiných vychází, zazáří a zmizí, ale Wallace spamuje ve velkém bez ohledu na platformu už téměř třicet let.
Samuel Wallace se narodil v roce 1968. Dvakrát se pokusil studovat vysokou školu, ale nikdy neuspěl: vždy skončil v prvním semestru. Přesto se stal jednou z nejznámějších – a nejnenáviděnějších osobností – počítačového světa.

Svoji kariéru ovšem začal už v osmdesátých letech, kdy se věnoval masovému rozesílání reklamních nabídek pomocí faxů. Šlo o tak obtěžující fenomén, že tato praktika musela být v roce 1991 zakázána zákony.

Wallace je několikrát porušil, což mu vyneslo různě vysoké tresty. Až v roce 1995 ho napadlo, že by něco podobného mohl provozovat legálně ve světě počítačů. A založil si firmu Cyber Promotions (známou též jako Cyberpromo).

Pod rouškou reklamní agentury cpal inzerci všude možně. Měl nesmírně agresivní marketing: stal se známý tím, že ve velkém rozesílal reklamní sdělení – na rozesílání reklamních sdělení.

Stal se veřejnou tváří a svérázné metody obhajoval na konferencích nebo v televizních pořadech. Odpůrci mu dali přezdívku „Spamford“. On ji ovšem přijal za svou jako součást identity, dokonce si založil osobní stránku spamford.com.

Záhy se stal jedním z hlavních hráčů na poli e-mailové reklamy, ale to s sebou přineslo i silně negativní odezvu. Neměl problémy se zákonem – což se mu v podnikání nestávalo příliš často – ale byl nenáviděnou osobou v internetové komunitě.

Za chvíli nemohl najít poskytovatele, se kterým by mohl uzavřít smlouvu. Ještě před tím ale jako první začal používat několik taktik, jimiž mátl filtry spamu, obcházel různá pravidla nebo znesnadňoval své pronásledování.

Šlo například o falšování adresy odesílatele, přeposílání zpráv, uvádění většího počtu odesílatelů apod. Některé z těchto úskoků ve světě internetových útoků následně „zlidověly“.

Krok vedle

V roce 1998 Wallace oznámil, že opouští byznys se spamem. Firmu Cyberpromo přejmenoval na GTMI, zůstal jen v roli majitele a tvrdil, že od nynějška bude poskytovat toliko marketingové služby opt-in (tedy takové, se kterými budou oslovovaní předem výslovně souhlasit).

Projekt ale nefungoval, Wallaceho pověst ji stále provázela. Proto se stáhl úplně i z pozice majitele, ale ani to nepomohlo a GTMI později zkrachovala.

Wallace využil svou popularitu a jako DJ Masterweb začal vystupovat v klubech po celém New Hampshiru. Klub Plum Crazy mu dokonce patřil, ale i tento projekt zkrachoval (2004).

Jenže to vše byla podle všeho jen zástěrka spořádaného života, protože zpětně se provalilo, že Wallace měl už od roku 2001 web passthison.com. Ten začal jako první masově využívat k zobrazování reklamních sdělení vyskakovací okna.

Tuto techniku nevynalezl, jen ji převzal z pornografického průmyslu. Nikdo jiný si prostě na takto agresivní chování v počítačích netroufal.

Přechod k vydírání

Zároveň rozjel reklamní projekt SmartBot PRO.NET, ale ten zkrachoval. Záhy se totiž zjistilo (a od října 2004 to vyšetřovala Federální obchodní komise), že jde jen o záminku: nic netušící uživatele totiž infikoval spywarem.

Následně je na tuto skutečnost upozorňoval a za odstranění požadoval poplatek 30 dolarů. Je to snad jediný případ v historii ICT, který nahrává tvrzení „viry záměrně píší antivirové firmy“. I když v tomto případě šlo o cílené útoky, které spadají více mezi vydírání nebo podvod.

V lednu 2005 se záležitost urovnala dohodou: Wallace slibuje, že přestane útočit, na oplátku jsou stažena obvinění vznesená proti němu. Jenže už v březnu 2006 se obvinění znovu objevilo – tentokrát to dohoda nespravuje a soud vyměří pokutu přesahující pět milionů dolarů.

O dva roky později má Wallace opět křížek se zákonem, když jej žaluje služba MySpace za phishing a spamming. S pomocí zakázaných automatizovaných nástrojů totiž vytvořil jedenáct tisíc fiktivních účtů, jejichž prostřednictvím začal bombardovat ostatní uživatele reklamními sděleními, nutil je k instalaci spywaru nebo jim modifikoval prohlížeče.

V červenci 2007 soudce Audrey B. Collins zakázal Wallacemu zakládat nebo spravovat MySpace účty, publikovat zde veřejné komentáře nebo posílat soukromé zprávy. Ten ale rozsudek ignoroval a dál pokračoval ve svých aktivitách.

Rozbíhají se další a další řízení, až je v květnu 2008 odsouzen společně se svým partnerem Walterem Rinesem k zaplacení 230 milionů dolarů. V červnu 2009 musí vyhlásit osobní bankrot.

To už ale proti němu vede žalobu i Facebook. V říjnu 2009 federální soudce Jeremy D. Fogel odsuzuje Wallaceho k uhrazení 711 milionů dolarů Facebooku. A ještě k zaplacení pokuty čtyř milionů za instalaci spywaru.

V srpnu 2011 je před soudem znovu, a to za rozeslání 37 milionů reklamních zpráv na Facebooku (ve skutečnosti jich bylo mnohem více, ale k soudu se dostávají pouze dobře zdokumentované případy).

A naposledy je letos v srpnu shledán vinným za další prohřešky z let 2008 a 2009. Vzhledem k recidivě a opakovanému neuposlechnutí soudních příkazů mu hrozilo až 40 let nepodmíněně, nakonec ale dostává „jen“ tři roky.

Zřejmě ale není všem dnům konec, protože vzápětí vyšlo najevo, že Wallace používal v kybernetickém prostoru ještě jednu identitu: je totiž zároveň dalším známým spammerem vystupujícím pod jménem Davide Sinful-Saturdays Fredericks. A ten byl v minulých letech mimořádně aktivní...


Překvapení: Avast za 1,3 miliard dolarů kupuje AVG

27.7.2016  Zdroj: SecurityWorld Zabezpečení
Dvě původně české antivirové firmy se spojují. Avast si za více než 32 miliard korun kupuje AVG.
To je tedy překvapení. Avast výrobce antivirových programů kupuje svého konkurenta původem také z Československa AVG. Za konkurenční firmu zaplatí 1,3 miliardy dolarů. Obě firmy začínaly na přelomu 80. a 90. let minulého století právě v Praze a v Brně. Dnes sice mají obě v Česku dominantní část vývoje, ale tváří se jako americké společnosti, které se ke svým kořenům přiliš nehlásí.

Podle oznámení obou firem transakce proběhne v hotovosti, kdy Avast zaplatí za jednu akcii 25 USD, což je o 33 % více, než byla v době oznámení cena na akciovém trhu. Celá transakce je již schválena boardem AVG, který ji doporučil akcionářům akceptovat.

Podle vyjádření Avastu pomůže akvize konkurenta zejména v prudce se rozvíjejícím segmentu internetu věcí.

"Získáme náskok," okomentoval akvizici šéf Avastu Vince Stecler.

"Věříme, že spojení s AVG nám přinese další růst a že je vhodné i pro naše akcionáře," prohlásil ředitel AVG Gary Kovacs.

Uvidíme, jak se bude firmám, které vsadily na dostribuci bezpečnostního softwaru zdarma v novém konglomerátu dařit.


České firmy podceňují kybernetické hrozby

27.7.2016  Zdroj: SecurityWorld Hrozby
Společnost VMware zveřejnila výsledky průzkumu zaměřeného na oblast kybernetické bezpečnosti v České republice. Průzkum poukázal na to, že české podniky si riziko kybernetických útoků příliš nepřipouští. Na otázku týkající se zranitelnosti odpovědělo 98 % IT manažerů, že infrastrukturu ve své firmě jako zranitelnou nevnímá.
Češi se v tomto ukazují jako přehnaně optimističtí v porovnání se zbytkem Evropy. Podle průzkumu společnosti VMware v regionu EMEA (Evropa, Střední Východ a Afrika) totiž očekává více než třetina IT manažerů vážný kybernetický útok v příštích 90 dnech.

Jak odhalil výzkum, ochrana proti kybernetickým útokům patří mezi prioritami firem působících v České republice na nejnižší pozice, za klíčovou ji označilo pouze 15 % dotazovaných. První tři místa obsadily tradiční obchodní cíle, jako je růst firmy, akvizice zákazníků a inovace.

Rizika spojená s kybernetickými hrozbami, jako je ztráta intelektuálního vlastnictví, kompromitace zákaznických dat, případně ohrožení třetích stran, přitom mohou mít pro firmu nedozírné následky, ať už se jedná o horší obchodní výsledky, poškození dobrého jména firmy nebo ztrátu konkurenční výhody.

„Zatímco výsledky našeho průzkumu v regionu EMEA poukazují na to, že firmy musí čelit narůstajícímu riziku kybernetických útoků, v České republice je situace velice rozdílná a vážného kybernetického útoku během příštích 90 dnů se obává pouze 5 % dotazovaných. Se vzrůstající digitalizací a zvyšujícím se počtem kybernetických útoků je ochrana firemní infrastruktury stále náročnější. V takovém prostředí už tradiční nástroje a metody nemusí být dostačující,“ komentuje Vladimír Střálka, Country Manager společnosti VMware pro Českou republiku a Slovensko.

Více než tři čtvrtiny dotazovaných (77 %) označily jako největší riziko pro firemní bezpečnost a nejpravděpodobnější terč kybernetického útoku nedbalé nebo nedostatečně informované zaměstnance.

Vlastní zaměstnanci jsou považováni za hrozbu i v případě narušení dat. Podle IT manažerů jsou nejčastější příčinou úniku dat nevyškolení zaměstnanci (79 %), zaměstnanci ztrácející mobilní zařízení (55 %) a nepoctiví zaměstnanci (52 %).


Pozor! Na discích z druhé ruky zůstává plno privátních informací

27.7.2016 Zdroj: SecurityWorld Hrozby
Než svůj starý HDD odhodíte pryč nebo přeprodáte skrze bazarovou službu, jakými jsou eBay či Craigslist, dejte si pozor, aby vaše data byla opravdu pečlivě smazána; jinak by se mohla dostat do nepovolaných rukou.
Nová studie prokázala, že velká část uživatelů nechtěně dává k dispozici osobní fotky, finanční údaje a různá další data kvůli nedokonalému smazání dat.

Blancco Technology Group, firma, specializovaná právě na mazání dat, provedla na toto téma průzkum. Náhodně nakoupila 200 secondhandových úložných jednotek přes eBay a Craigslist; cílem bylo zjistit, zda se společnosti podaří nějaká data „zachránit“.

Výsledek je ohromující. V neuvěřitelných 78 % disků se objevují zbytková data, která by šla obnovit. Z celkového počtu náhodně vybraných 200 disků tak celých 156 alespoň nějaká data obsahuje.

Jen o něco méně, 67 %, tedy 134 disků, obsahuje data osobní: fotografie, životopisy, finanční údaje. Pokud by dostaly do špatných rukou, mohly by vést až k ukradení identity a dalším podvodům, varuje firma.

Již rozumnější číslo, 22 disků, tedy 11 %, zahrnuje i data firemní: Emaily, tabulky, zákaznické informace.

Vydaná studie výtečně podtrhuje existující bezpečnostní vady s elektronikou z druhé ruky. Předchozí majitelé často nevymažou správně všechna data uvnitř. Kupříkladu digitální fotokopírky se občas předprodávají i přesto, že mají v paměti stále ještě všechny dokumenty, které kdy oskenovaly.

Staré HDD mohou být přímo zlatým dolem pro hackery. Smazání dat se může zdát majiteli jednoduché, ale pouhé přesunutí souborů do koše opravdu nestačí, varuje Blancco ve své studii.

V jiných případech uživatel využije funkci rychlého formátování, která je však podobně neúčinná: Tento způsob data nevymaže natrvalo, pouze je nechá skryté, avšak obnovitelné, píše se v textu.

Ze všech prozkoumaných disků mělo pouhých 10 %, tedy 20 disků, všechna data bezpečně vymazána, popisuje firma. Uživatelům tak radí použít patřičný software ke správnému odstranění všech souborů.

Tyto nástroje mohou např. veškerou paměť disku dočasně zahltit nesmyslnými informacemi: Tím zajistí, že žádná zbytková data uživatele nebudou obnovitelná.

Blancco studii provedla v prvním čtvrtletí tohoto roku, většina disků byla klasickými HDD.


Nepodlehněte nebezpečným rozhraním API

27.7.2016 Zdroj: SecurityWorld Hrozby
Podle webu programmableweb.com v současné době existuje více než 13 700 veřejně dostupných rozhraní API. Ne všechny jsou ale bezpečné. Jaké kroky byste měli udělat, aby se mohly obavy rozplynout?
Mnoho zákazníků kaváren Starbucks bylo šokovaných, když se zjistilo, že kyberzločinci kradou peníze z jejich kreditních karet a platebních účtů tím, že se vlomí do jejich mobilních aplikací Starbucks.

Příčinou byla pravděpodobně díra v rozhraní API, přestože nebyla na webu Starbucks, ale v další aplikaci, kde došlo ke krádeži a použití zprofanovaných hesel.

Web Moonpig s blahopřáními a mobilní aplikace Snapchat měly podobný osud v důsledku rozhraní API, které řídí způsob komunikace aplikací mezi sebou a s daty, se kterými aplikace pracují.

Nedávno způsobilo nezabezpečené rozhraní API, že web Moonpig vystavil osobní záznamy a dílčí údaje o kreditních kartách svých tří milionů zákazníků. Dva exploity v rozhraní Snapchat API zase hackerům dovolily zjistit souvislost mnoha telefonních čísel se jmény a vytvořit miliony falešných účtů.

API láká hackery

Proč se rozhraní API tak často stávají cílem hackerů? Protože jsou všude, uvádí Randy Heffner, analytik zabezpečení ve společnosti Forrester Research. Každá firma si vytváří své rozhraní API pro podporu svého webu či mobilní aplikace, protože jim to umožňuje rychlejší inovace a integraci vnějšího obsahu.

Salesforce.com generuje 50 procent svých příjmů právě prostřednictvím rozhraní API, Expedia.com generuje dokonce 90 procent a také eBay uvádí, že 60 procent jeho příjmů pochází z rozhraní API.

„Širší pozornost věnovaná rozhraním API dává hackerům nové a zajímavější pole působnosti,“ vysvětluje Heffner.

Většina rozhraní API je k dispozici komukoli z internetu, protože běží na webových serverech. Stejně jako webové stránky mohou být i rozhraní API předmětem zkoumání a procházení od vyhledávacích botů či hackerů.

Zabezpečení API je tedy oblastí, která vyžaduje specifický podnikový pečlivý dohled, dodává Heffner.

„Nechceme rozhraní API připomínající ponorky, běžící tiše a s hloubkovým ponorem, protože pokud jednou někdo pronikne na váš web, zjistíte to velmi rychle. Pokud však někdo pronikne do vašeho API, nemusíte to zjistit vůbec.“

Důvody zranitelností

Proč se ale v rozhraních API vyskytují chyby zabezpečení? Vývojáři nebývají dostatečně zdatní v oblasti zabezpečení a rychlost uvádění na trh ovlivňuje veškeré testování a péči, kterou mohou programátoři věnovat svému kódu.

„Tráví mnohem více času přinášením hodnot do aplikací než péčí o jejich zabezpečení, což může vést ke vzniku bezpečnostních děr,“ vysvětluje Allyn Fay, technický marketingový manažer společnosti Ping Identity, která je dodavatelem systémů pro správu identit a přístupu.

Také mezi samotnými vývojáři rozhraní API se velmi málo komunikuje, což brání vzniku širších bezpečnostních standardů.

„V každé společnosti mají všechny obchodní jednotky mandát publikovat rozhraní API, a přitom vzájemně spolu nekomunikují,“ tvrdí Subra Kumaraswamy, šéf zabezpečení produktů ve společnosti Apigee, která vyvíjí rozhraní API.

„Pokud jsem jednotka, která zajišťuje dodávky, nebo platební společnost vytvářející platební rozhraní API,“ nebavíme se o tom mezi sebou, dodává Kumaraswamy.

A co víc, vývojáři jsou pod tlakem, aby rychleji inovovali, což může také vytvářet zranitelnosti, uvádí Kumaraswamy. „Můžete dělat chyby ať už tím, že neúmyslně způsobíte únik dat nebo že do rozhraní API nedáte ty správné kontroly.“

Tady jsou příklady kroků, které byste měli učinit, pokud chcete, aby byla vaše rozhraní API bezpečná.

1. Ucpávání děr

Vývoj aplikací nevykazuje nějaké známky zpomalení, ale firmy mohou podniknout kroky k ucpání děr v rozhraních API.

Když přijde na zabezpečení aplikací a rozhraní API, „ve webových aplikacích obvykle musíte jen ověřit totožnost koncového uživatele. Ve světě rozhraní API musíte také autentizovat aplikaci,“ uvádí Kumaraswamy.

„Pokud například používáte AirBnB nebo aplikaci Uber, tato řešení volají svá rozhraní API, takže tím dochází k jejich autentizaci.“ V případě webu Moonpig došlo k vynucování autentizace, ale ne autorizace, dodává Kumaraswamy.

Použití standardizovaného protokolu, který existuje jak pro autentizaci, tak i pro autorizaci, je základem k bezpečnému používání rozhraní API, dodává Fay.

Pokud to uděláte správně, bude rozsah integrovaného zabezpečení založen na standardu a nebude se v různých aplikacích lišit.

2. Šifrování přenosů

Vždy šifrujte citlivá data, radí Heffner. Nikdy nevytvářejte bezpečnostní díru tím, že byste používali přenosy přímo čitelného textu.

Vývojáři by měli používat SSL certifikáty pro webová rozhraní API, která přenášejí citlivé informace mezi programem v koncovém bodu a rozhraním webové služby, protože hackeři mohou tato data odposlouchávat.

Pokud použijete své rozhraní API v rámci podadresáře své aktuální webové aplikace, můžete použít stejný bezpečnostní certifikát, který máte pro své webové stránky.

3. Ochrana přihlašovacích údajů

Pochopte správně způsob správy přihlašovacích údajů pro aplikaci a jejich důležitost pro jednotlivé druhy scénářů, dodává Heffner.

„Kdybych byl bankou vykonávající finanční transakce s partnerem, existuje řada vrstev připojení, které bych chtěl mít – jako je VPN na SSL – nebo bych používal digitálně podepsané tokeny SAML apod. jako součást úplného bezpečnostního systému,“ tvrdí Heffner

Podle něj, když se použije více bezpečnostních mechanismů, ztěžuje to náročnost a počet úkonů, které musí někdo udělat, když chce takové spojení odposlouchávat.

Digitálně podepsané tokeny také mohou být jednou ze součástí bezpečnostního systému. Tokeny jsou řetězce znaků, které jednoznačně identifikují uživatele. Lze je ukládat v databázi a poskytnout přístup jen v případě, že uživatel zadá správné uživatelské jméno a heslo.

Token se potom použije uživatelem rozhraní API k přístupu k metodám rozhraní API.

4. Vyhněte se statickým a vestavěným heslům

Když je logika vestavěná do aplikace, je velmi těžké to změnit, vysvětluje Fay. Chcete-li změnit zásady nebo zaktualizovat zabezpečení, není vestavění veškeré této logiky do mobilních aplikací úplně dobrou věcí.

Vývojáři si někdy zjednodušují život obyčejnými hesly nebo ukládáním ID a hesel místně v mobilní aplikaci, a to je z bezpečnostního hlediska obrovský problém. „Statická hesla by se opravdu neměla používat,“ připomíná Fay.

5. Svému rozhraní API předávejte jen nutné informace

Vývojáři často vezmou všechny informace, které mají o uživateli, a předají je rozhraní API, protože nevědí, jaká data jsou třeba, říká Fay.

„Zajistěte, abyste přenášeli jen takové informace, které potřebujete,“ doporučuje Fay a dodává: „Je to více záležitost soukromí než zabezpečení,“ ale může to být zneužívané v metodách sociálního inženýrství.


Podvodné e-maily hackerům vydělávají miliardy dolarů

27.7.2016  Zdroj: SecurityWorld Spam
Americká FBI varuje pod podvodnými e-maily. Agresivita útočníků za půl druhého roku výrazně stoupla.
Podvodné emaily představují evidentně výdělečný byznys. Podle posledních statistik americké FBI si jejich původci, často se vydávající za ředitele společností, vydělali minimálně 3,1 miliardy dolarů.

Zprávy, které podvodně přimějí zaměstnance společností k odeslání financí na konto hackerů, jsou podle varovného reportu FBI rozšířené po celém světě. A množství peněz, které se podvodníci pokusili takto získat, prý od ledna loňského roku vzrostlo o 1300 %.

Jen v samotných Spojených státech tak důvěřivci přišli za poslední tři roky o 960 milionů dolarů, přičemž počet obětí v globálu přesáhl 22 tisíc. Scénář je v mnoha případech stejný: podvodníci se vydávají za výkonné manažery společnosti (dle bezpečnostní společnosti Trend Micro je takových až třetina) nebo za dodavatele, což se jim snadno daří prolomením zabezpečení a napíchnutím se do e-mailových účtů skutečných manažerů, odkud pak posílají klamavé zprávy s žádostmi o provedení platby.

Proto se pro tento druh kyberzločinu vžilo označení „CEO Fraud“ (Ředitelský podvod) či „The Supplier Swindle“ (Dodavatelský švindl). V jiných případech se podvodníci ani do účtů těch, za které se chtějí vydávat, nenabourávají a jednoduše si vytvoří účet podobný. Jsou i případy, kdy se vydávají například za právní zástupce a naléhají na oběť, ať jim zašle finance za důvěrné právní služby.

A jako pojistku prý někteří přidávají i ransomware atak v podobě e-mailu se škodlivou přílohou nebo odkazem směřující na škodlivé stránky.

Podle FBI tímto způsobem řádí v 79 světových zemích, většina podvodných účtů je však registrována v Číně a Hong Kongu. FBI má přitom za to, že podvodníci své cíle před útokem důkladně sledují, zaměstnanci by proto měli být opatrní, jaká data a profesní informace sdílejí na sociálních sítích.

Spamy by v žádném případě neměli otevírat a jakékoliv transakce by měli ověřit ideálně přímým telefonátem s příjemcem částky.


Jak nejlépe vysvětlit bezpečnostní rizika

27.7.2016 Zdroj: SecurityWorld Zabezpečení
Šéfové zabezpečení informací již nějakou dobu slyší, že by se měli naučit lépe „mluvit, aby jim ostatní v podniku rozuměli“. Je to jeden ze způsobů, jak lze získat respekt a předejít riziku být vnímaný především jako někdo, na koho se svalí veškerá vina v případě výskytu problému.
Pro ty, kdo přemýšlejí o způsobu, jak lépe vysvětlit podstatu problému firemního zabezpečení, přináší rady Chris Wysopal, spoluzakladatel a technický ředitel společnosti Veracode.

Níže uvedené poznatky byly jádrem Wysopalovy přednášky nazvané „Perspektiva ředitele zabezpečení informací při jednání s vedením firmy o kybernetické bezpečnosti“ na letošní konferenci RSA v San Francisku.

Změna myšlení

Prvním krokem je podle něj naučit se myslet jako vůdce podniku namísto „někoho, kdo jen spravuje technologie zajišťující provoz firmy“.

Uznává, že ještě tak před třemi až čtyřmi roky to byla primární role šéfa zabezpečení informací.

„Tato pozice se však mění způsobem, který zvyšuje její viditelnost pro nejvyšší vedení firmy. Teď jsou tito lidé lídry dohlížejícími na podniková oddělení při zavádění aplikací SaaS. Musejí ale přitom spolupracovat s dalšími odděleními, která mají na starost právo, předpisy, vztahy s veřejností atd.,“ říká Wysopal.

Kromě toho „se také mění sféra hrozeb“, popisuje Wysopal a dodává: „Existují věci mimo kontrolu šéfa zabezpečení informací, jako jsou například dodavatelský řetězec nebo poskytovatelé různých služeb. Používání technologií umožňuje růst podniku, ale také to přináší zvýšení rizika.“

Vedení firem konečně bere tato rizika více na vědomí. A tak zatímco se nároky a tlak na šéfa zabezpečení zvyšují, vznikají tím také další příležitosti.

„Připravenost na narušení a reakce na narušení jsou žhavá témata,“ uvádí Wysopal. „V důsledku toho jsou viditelnost, připravenost a plán pro vztahy s veřejností definitivně záležitosti, které nejvyšší vedení firmy zajímají.“

Konkrétní rady pro komunikaci

Aby bylo jisté, že budou naslouchat, nabízí Wysopal konkrétní radu – začít stručně, protože v praxi mívá šéf zabezpečení informací na přesvědčování obvykle jen cca 15 minut.

Toto přesvědčování není vhodné založit na nějakých tabulkách, grafech a technických pojmech – tedy záležitostech, které netechniky nedokážou plně zaujmout.

„Jsou to inteligentní lidé, ale nejsou obvykle technicky orientovaní,“ upozorňuje Wysopal. „Myslete tedy v pojmech, jako byste mluvili se svou matkou.“

Jeho krátký seznam komunikačních dovedností pro ředitele zabezpečení informací zahrnuje následující rady:

Nepoužívejte akronymy jako DDoS. Používejte slova, a nikoli pouhá písmena.
Používejte vizualizaci, a ne text.
Používejte čísla, zejména finanční vyjádření, například ztráty vznikající z úniku dat, aby členové vedení dokázali srovnávat rizika s náklady.
Používejte přirovnání k něčemu podobnému, co manažeři znají.
Vysvětlete, jak funguje školení. Můžete například měřit efektivitu školení týkajícího se phishingových útoků.
Ptejte se členů vedení, co chtějí získat od svých plánů pro zabezpečení informací.
Zdůrazněte, že neexistuje žádná organizace, která by se nemusela obávat narušení bezpečnosti.
Zdůrazněte, že se podnikové zabezpečení musí implementovat do celého podniku: Je třeba zaangažovat nejen oddělení IT, ale také právní, produkční a oddělení vztahů s veřejností.
Kybernetická bezpečnost musí být pro přežití značky záležitostí dlouhodobé strategie.
Wysopal upozorňuje, že šéfové zabezpečení také musejí vysvětlovat úroveň rizika v pojmech, kterým budou členové vedení firmy rozumět. To znamená zmínit narušení v podobných oborech a popsat, jak k nim došlo.

Také to znamená vysvětlit, kdo může zvenku zaútočit na vaši konkrétní firmu a proč. Co by pravděpodobně chtěli útočníci získat?

„U maloobchodníků je to docela jasné,“ vysvětluje Wysopal. Není žádným překvapením, že chtějí získat informace o platebních kartách. Ve zdravotnictví chtějí informace, které lze přiřadit ke konkrétním lidem, a podobně.

„Hrozba tedy souvisí s vaší činností. Co by chtěl útočník zpeněžit?“

Vypíchnutí největších rizik

Nakonec Wysopal připomíná, že by šéf zabezpečení informací měl „vysvětlit pět nejdůležitějších rizik pro svou firmu a ukazatele, které informují o úrovni, na jaké je jim firma vystavená“.

Mělo by se také určit, zda mají rizika tendenci růst, klesat nebo zůstávají stejná.

„A konečně by tito manažeři měli rovněž vysvětlit, jak jejich společnost tato rizika spravuje a udržuje je v přijatelných mezích,“ uzavírá Wysopal.


Otisky prstů? Zastaralé; do módy přijde snímání duhovky

27.7.2016 Zdroj: SecurityWorld Biometrika
Okolo inovativních platebních systémů z roku 2014 typu Apple Pay nebo Samsung Pay byl sice zpočátku obrovský humbuk, ale růst tomu neodpovídal. To by však mohly změnit nové biometrické bezpečnostní technologie, které překonají klasický „fingerprint“ systém, tedy sken otisků prstů.
Mezi takové nové metody by mohla patřit čtečka žilního řečiště v dlani nebo i takové senzory, které rozpoznají uživatelův styl psaní či pohybu.

Pro nákupy v internetovém prostředí by zase mohla nastoupit autentizace pomocí oční duhovky. A i když většina bank stále užívá SMS zprávy pro potvrzení transakce, hledají novější a bezpečnější metody; a tady se dostávají do hry kombinovaná řešení – tak například obličejový, hlasový a behaviorální sken najednou by připustil jen opravdu minimální šanci na zneužití.

Prodejci chytrých telefonů a developeři platebních systémů také musí brát v úvahu kombinovaná řešení a dát do praxe nové biometrické technologie, myslí si Tiffany Huangová, analytička v podniku Lux Research. Nedávno zveřejnila padesátistránkovou zprávu, týkající se právě zabezpečení mobilních plateb pomocí biometrických snímačů.

„Biometrika je nutná k vylepšení systému mobilních plateb,“ sdělila Huangová v interview. „Těžko zvítězí jen jediný typ biometrického řešení, alespoň ze střednědobého až dlouhodobého hlediska.“

Jeden z důvodů pomalého nasazení mobilních plateb ve Spojených státech i jinde po světě je především to, že uživatelé nevidí přidanou hodnotu v používání mobilního zařízení namísto kreditní karty, dodává. Kreditní karty s čipy by nakonec mohly pomoci zvýšit zájem o platby přes mobilní telefon, ale zatím to nevypadá, že by rozdíl byl nějak markantní.

Jeden z amerických průzkumů z minulého roku, jenž se tázal 2 137 občanů, zjistil, že celých 75 % nepoužívalo mobilní telefon k platbě, protože jim přijde jednodušší zaplatit bankovkami či kreditní nebo debetní kartou. Také 59 % se bálo o bezpečnost a soukromí u svých transakcí.

Huangová provedla průzkum v desítkách firem, fungujících ve složitém ekosystému mobilních plateb, včetně např. bank a finančních institucí nebo hardwarových a softwarových vývojářů, a zhodnotila nové biometrické technologie z hlediska jednoduchosti použití, bezpečnosti a ceny. Kromě skenu otisků prstů hodnotila také snímání dlaňových žil, duhovek, elektrokardiogramů, hlasů a obličejů.

Rozmanitost biometrických řešení je důležité pro celé spektrum mobilních plateb: V obchodě by například zákazníci pravděpodobně nechtěli čekat ve frontě na hlasovou nebo obličejovou autentizaci. Huangová mezitím zjistila, že optimální by byly skeny dlaňových žil, ty však jsou bohužel velice drahé.

Jsou také relativně vzácné, neboť vyžadují velkou čtečku, která porovnává schémata žil v ruce, popisuje. Avšak na oplátku jsou snímky dlaňových žil stonásobně bezpečnější než skeny otisků prstů, neboť jsou unikátnější než otisky prstů a navíc se dají jen těžko zfalšovat, protože se nachází až pod kůží.

Čtečky otisků prstů, používané např. v Apple Pay nebo v Samsung Pay, jsou v současnosti stále ještě nejvyspělejší technologie a hardware pro ně je relativně levný. Jenže tyto senzory se dají, lidově řešeno, „oblbnout“, třeba duplikací otisků prstů, což je jedním z důvodů, proč finanční instituce hledají bezpečnější alternativy.

Jednou z možností by byl tzv. behavioral tracking – sledování chování uživatele. Využitím senzorů, které již ve většině mobilních telefonů jsou, jako je akcelerometr, gyroskop, dotykový displej nebo GPS, by uživatel mohl být autentizován vzorcem chování; zkrátka tím, jak s telefonem zachází.

U chytrých hodinek by zase mohl být rozpoznán pohyby zápěstí. GPS by kupříkladu mohla určit, zda lokalita nákupu sedí s běžnou rutinou uživatele. Huangová však zjistila, že taková autentizace vykazuje jen 80 – 90% přesnost; tedy nižší než u jiných typů biometrie. To by tedy vyžadovalo ještě přidání klasického hesla či jiné běžné autentizační metody.

Existuje množství malých startupů, které na behaviorálních senzorech pracují – například Biocatch, AimBrain, XYverify nebo Plurilock.

Ve své zprávě Huangová popsala, že právě mobilní průmysl bude klíčový v tom, které biometrické technologie budou populární. „Mnoho firem stále shání důkazy o tom, že zrovna tato konkétní biometrie je bezpečná,“ vysvětluje. Také shledala, že s tím, jak vznikají nové mobilní platební platformy, bude pro vývojáře technologií velmi těžké zařídit, aby trhu dominoval jen jediný typ biometrického snímání.

„Mobilní platby se neuchytily tak rychle, jak jsme si mysleli, ale letos by měly nastartovat,“ říká. „Jakmile bude biometrie dostatečně uchycena, aby ujistila uživatele a banky o její bezpečnosti, povede to k rychlému nárůstů plateb skrze chytré telefony.“

Kromě potvrzení toho, že biometrické technologie fungují, výrobci také budou muset upřít pozornost na adresování obav uživatelů o svoje soukromí.

„Existují obavy z narušení soukromí u biometriky jako takové, nejen u mobilních transakcí,“ zakončuje Huangová. „Někteří zákazníci nechtějí něco jako kameru u svých transakcí, protože to vytváří dojem Velkého bratra. Je pravda, že postoj uživatelů k biometrii je zatím zdrženlivý.“


Startupová společnost využívá umělou inteligenci k detekci kyberútoků – dřív, než se vůbec stanou

27.7.2016 Zdroj: SecurityWorld Zabezpečení
Prevence je lepší, než následné řešení potíží, věří společnost Cylance, která se zaměřuje na využití umělé inteligence k detekci a prevenci kyberútoků. Ve středu oznámila, že se jí podařilo vybrat celých 100 milionů dolarů (přes dvě miliardy korun) v Series D fázi financování. Novou peněžní injekci firma využije k rozšíření svých prodejních, marketingových a strojních oblastí.
Vlajková loď společnosti, nazvaná CylanceProtect, slibuje na umělé inteligenci založené zabezpečení koncových bodů, avšak za využití pouhého zlomku systémových zdrojů, vyžadovaných valnou většinou dnešních řešení. Tuto úsporu umožňují nové technologické inovace typu strojového učení.

Zatímco současné způsoby jako podpisy, heuristické algoritmy nebo sledování chování mají především reaktivní přístup, tj. reagují až na započatou hrozbu a vyžadují připojení k internetu, Cylance využívá umělou inteligenci k proaktivní analýze charakteristik souborů, a předvídá ještě před spuštěním na local hostu, zda jsou nebezpečné, nebo ne.

Detailněji: Cylance extrahuje miliony unikátních charakteristik kódu a analyzuje je proti naučeným statistickým modelům, aby odhalil cíle onoho kódu. Namísto spolehání se na porovnávání hashe a hashovací algoritmy, Cylance odhadne případné nekalé záměry souboru za méně než 100 milisekund. Spuštění souboru tak jde zabránit ještě v jeho rané fázi.

CylanceProtect ochrání proti různým systémovým a paměťovým útokům, spear phishingu (cílený phishing), zero day útokům, elevacím oprávnění, skriptům a nakaženým programům, říká Cylance. Eliminuje tak nutnost antivirového, detekčního a prevenčního softwaru. Připojení k internetu ani každodenní aktualizace nejsou nutné.

Podle firmy mají již přes tisíc zákazníků.

„Náš cíl změnit fungování zabezpečení koncových bodů pomocí strojového učení, abychom se díky němu naučili přemýšlet stejně, jako kyberútočníci, byl úspěšný,“ říká ředitel Cylance Stuart McClure. „Nyní musíme zajistit, že bude [náš program] vložen do rukou bezpečnostních expertů v podnicích, organizacích a vládách jak rychle to jen bude možné.“


Nová chyba ve Windows vás zahltí nechtěnou reklamou

27.7.2016  Zdroj: SecurityWorld Zranitelnosti
Nová verze malwaru DNS Unlocker umožňuje měnit výchozí konfiguraci DNS, díky čemuž může zasažené uživatele začít zásobovat nadměrnou reklamou.
Analytici Esetu detekovali novou verzi adwaru DNS Unlocker s unikátní schopností měnit výchozí konfiguraci DNS. Typickým příkladem, jak DNS Unlocker ovlivňuje napadený počítač, je zobrazování reklam, které jako zdroj uvádí DNS Unlocker, a několika variantami podvodných stránek upozorňujících na údajnou nákazu počítače.

„DNS útoky nejsou tak destruktivní – řekněme v porovnání s ransomwarem – a bývalo vždy jednoduché je eliminovat. U nové varianty DNS Unlocker to však už neplatí,“ říká Petr Šnajdr, bezpečnostní expert v Esetu.

Analytici zjistili, že nový typ DNS Unlocker dokáže oklamat operační systém Windows tak, aby zobrazoval jiné hodnoty nastavení DNS, než je tomu ve skutečnosti.

„V grafickém rozhraní se nadále zobrazuje, že používáte automaticky přiřazenou adresu DNS serveru, ale ve skutečnosti používáte adresu statickou. Stručně řečeno, jedná se o DNS útok, který si vynutí používání podvržených serverů DNS. Proto jde o problém, který je pro běžného uživatele velmi těžko řešitelný,“ tvrdí Šnajdr.

Základní problém prý spočívá v tom, jak systém Windows pracuje s DNS adresami. Podrobné informace o svých zjištěních proto Eset zaslal Microsoftu, který podle jeho slov uznal, že jde chybu, ale bohužel ji neklasifikoval jako potenciální zranitelnost.

"Jelikož úprava registru vyžaduje administrátorská práva, nepovažujeme tento problém za natolik nebezpečný, abychom ho řešili prostřednictvím servisu MSRC,“ odpověděli zástupci Microsoftu.

Možná preventivních opatření podle Esetu:

Nenechávejte uživatele s administrátorskými právy surfovat na internetu; pokud ano, pak pouze v nezbytných případech.
Pokud zaregistrujete nevyžádané reklamy, zejména v případě, pokud mají dole v patičce uveden původ DNS Unlocker, zkontrolujte si nastavení DNS serverů v pokročilém menu nastavení TCP/IP.
Pokud spatříte pop-up okno s nabídkou nějakého druhu podpory, buďte extrémně opatrní a před jakýmkoli dalším krokem si zkontrolujte nastavení DNS.
Pokud máte jakékoli pochybnosti o nastavení DNS, můžete odstranit podezřelé položky na kartě DNS na stránce pokročilých nastavení TCP/IP. Kontrolou počítače pomocí některých on-line skenerů lze také malware DNS Unlocker odstranit.
Dodržujte všechna základní pravidla pro bezpečné používání internetu, včetně toho, abyste používali kvalitní bezpečnostní řešení.


Výzkum: Zaměstnanci nedbají na bezpečnost

27.7.2016  Zdroj: SecurityWorld Hrozby
Dobrou zprávou je, že oproti loňsku výrazně vzrostl počet lidí, kteří k zajištění vzdáleného přístupu k datům používají bezpečné firemní nástroje. Špatnou zprávou je, že současně roste i počet lidí, kteří si stále práci domů posílají přes soukromý email.
Využívání firemního cloudu letos oproti roku 2015 výrazně vzrostlo (z 29 % na 43 %) a Česko se tak z loňských spodních příček dostalo na evropský průměr (45%). Téměř polovina (46 %) zaměstnanců si ale stále ještě posílá pracovní soubory na soukromý email, což je o 7 procentních bodů více než loni.

Využívání spotřebitelských úložišť se zdvojnásobilo (ze 14 % na 30 %). Soukromé maily ani běžná úložiště přitom nemohou zajistit potřebnou míru ochrany citlivých obchodních informací. Vyplývá to z nového ročníku průzkumu Náskok díky technologiím, který si nechal zpracovat Microsoft.

Lidé chápou nutnost dobře chránit informace, ke kterým na dálku přistupují. 9 z 10 šéfů a 79 % zaměstnanců zdůraznilo, že při práci mimo kancelář je nezbytné zajistit bezpečnost dat.

„Jenže praxe stále ještě pokulhává. Používání soukromých mailů pro sdílení pracovních dokumentů může pro firmy představovat časovanou bombu,“ uvedl Ondřej Novodvorský, ředitel pro malé a střední firmy z Microsoftu. "Do práce patří profesionální pracovní nástroje a platí to i o technologiích."

Není přitom řešním mobilitu omezovat. V letošním průzkumu uvedly téměř tři čtvrtiny (72 %) zaměstnanců českých SMB, že možnost pracovat mimo kancelář zvyšuje jejich produktivitu. Firmy by se jejím omezením připravily o důležitý zdroj výkonnosti, kreativity i nových obchodních příležitostí.

„Lidé dnes mobilně žijí a jsou zvyklí komunikovat a sdílet na dálku. Pokud firma svým zaměstnancům nenabídne bezpečné nástroje a nenaučí je správně používat, najdou si jinou cestu. A to může být pro bezpečnost firemních dat velký problém,“ řekl Ondřej Novodvorský.


Neopravená chyba ve WordPress pluginu ohrožuje tisíce webů

27.7.2016 Zdroj: SecurityWorld Zranitelnosti
Vada v zásuvném modulu Mobile Detector v oblíbeném systému pro správu obsahu umožnil hackerům nahrát škodlivá data na servery.
Během posledního týdne se útočníkům podařilo zneužít chybu, která se objevila v oblíbeném WP Mobile Detector pluginu, instalovaném na více než 10 tisíc webových stránkách.

Vývojář zásuvného modulu chybu opravil již v úterý ve verzi 3.6; uživatelé by se tak měli ujistit nejen, že mají nejnovější verzi pluginu, ale také, zda nejsou jejich stránky již napadeny.

Zneužití je možné díky skriptu zvaném resize.php a umožňuje vzdáleným útočníkům nahrávat soubory na webový server. Mezi takové soubory mohou patřit např. backdoor shell skripty, které hackerům poskytnou zadní vrátka přístupu na server a umožní jim vkládat části kódu na webové stránky.

Chybu objevil bezpečnostní systém Wordpressu PluginVulnerabilities.com poté, co sledoval requesty na soubor wp-content/plugins/wp-mobile-detector/resize.php, ačkoli ten na serveru neexistoval. To znamená, že někdo používal automatický sken, aby vyhledal tento konkrétní soubor, což obvykle bývá právě z důvodu možné zneužitelné chyby.

Výzkumníci z bezpečnostní agentury Sucuri, specializované na webové zabezpečení, analyzovali logy z firewallu společnosti a nalezli několik pokusů o zneužití chyby, začínaje 27. květnem; tedy čtyři dny před vydáním opravné aktualizace. Je však možné, že útočníci o vadě věděli již dříve.

WP Mobile Detector (pozor na záměnu s jiným, nenakaženým pluginem jménem WP Mobile Detect) měl na počátku května přes 10 tisíc aktivních instalací. Nyní se toto číslo smrsklo na pouhou pětinu, ale z části je to i proto, že po detekci chyby WordPress zásuvný modul na čas odstranil.

Aby útočníci mohli vadu v resize.php zneužít, musí server mít povolenu funkci allow_url_fopen. To do jisté míry limituje nebezpečnost závady.

Protože není jasné, kolik webových stránek bylo nakaženo, je dobrý nápad, jste-li uživatelem dané aplikace, zkontrolovat svůj server.

„Valná většina zranitelných stránek je nyní infikována spamem skrze doorway weby, odkazujících obvykle na pornostránky,” popisuje výzkumník ze Sucuri Douglas Santos. „Standardně najdete složku gopni3g v kořenovém adresáři, která obsahuje soubor story.php (která doorwaye umožňuje), .htaccess a podsložky se spam soubory a šablonami.”


Flowmon nabídne monitoring sítě i přes mobil

27.7.2016 Zdroj: SecurityWorld Zabezpečení
Flowmon Friday – to je název akce, v rámci které firma Flowmon Networks koncem května seznámila veřejnost s novými řešeními zaměřenými na monitorování a bezpečnost počítačových sítí. Partnerem konference baly IDG Czech Republic.
Během programu se návštěvníci mohli seznámit s novinkami v řešení Flowmon, jako je například nová architektura ukládání datových toků, větší viditelnost do aplikační vrstvy nebo rychlejší detekce incidentů, a vývojem technologie monitorování síťového provozu.

Vedle toho Pavel Minařík, technický ředitel Flowmon Networks, představil zbrusu novou mobilní aplikaci pro operační systémy iOS a Android. Díky ní mají uživatelé Flowmonu přehled o své síti kdekoliv a kdykoliv na svém mobilním zařízení.

Z řad technologických partnerů vystoupil na konferenci Jaromír Pilař z Cisco Systems, který se věnoval síťové infrastruktuře jako klíčovému prostředku pro detekci a kontrolu hrozeb.

Praktická nasazení a přínosy řešení Flowmon napříč různými segmenty pak postupně představili Miloš Němec z Kofoly, Aneta Coufalíková z Centra CIRC Ministerstva obrany, Daniel Dvořák z Vysoké školy chemicko-technologické v Praze a Filip Višenka ze Slovenské spořitelny.

Na konferenci byli také vyhlášeni nejúspěšnější partneři společnosti za rok 2015. Titul českého Distributora roku si odnesl Veracomp, partnerem roku pak společnost Dimension Data. Obě ocenění předal Zoltán Csecsödi, nový obchodní ředitel Flowmonu pro Českou republiku, jenž byl na konferenci oficiálně ve funkci představen.

„Příští rok to bude deset let existence Flowmonu. Z malého týmu se nám podařilo vytvořit úspěšnou společnost, které se daří růst u nás i v zahraničí,“ dodal Rostislav Vocilka, ředitel společnosti Flowmon Networks.


Mobilní platby: Zabezpečí vás při nich lépe hardware, nebo software?

27.7.2016 Zdroj: SecurityWorld Mobilní
Platební systémy se stále častěji dostávají do hledáčku obchodníků i uživatelů. Je ale jejich používání opravdu bezpečné? A které řešení se ukazuje jako vhodnější?
Google oznámil svou platformu Android Pay a jedná s operátory o předinstalaci tohoto systému do telefonů se systémem Android. Samsung zase o prázdninách v Evropě zprovoznil svůj vlastní platební systém Samsung Pay, PayPal se oddělil od firmy eBay a koupil dodavatele platební technologie, firmu Xoom.

Pro spotřebitele se rozhodnutí pravděpodobně zredukuje na to, zda mít telefon iPhone nebo Android a jaké aplikace je snadnější používat a jsou akceptované většinou obchodníků.

Obchodníci pokračují v implementacích podpory pro mobilní platby. Naštěstí se nebudou muset rozhodovat mezi podporou platforem Apple a Google – přidání podpory pro jednu automaticky znamená schopnost akceptovat druhou.

Ale co používané back-endové technologie? Jak na tom jsou z hlediska bezpečnosti? Podle bezpečnostních expertů existuje několik způsobů realizace a každý má své vlastní bezpečnostní důsledky.

Hardware versus software

Hlavním rozdílem mezi platformou Apple Pay a většinou ostatních mobilních platebních platforem je, že Apple Pay používá hardwarové zabezpečení a bezpečnostní prvek uvnitř telefonu, chráněný proti neoprávněné manipulaci.

V telefonech iPhone se pro další zabezpečení používá kombinace se čtečkou otisků prstů.

Podle Adama Kujawy, šéfa antimalwaru ve společnosti Malwarebytes, se nepřenášejí žádné nešifrované osobní údaje. Jediné dosud ohlášené bezpečnostní problémy se týkají úvodního nastavení, kdy podvodníci dokázali přesvědčit operátory k přiřazení ukradených platebních karet ke svým telefonům iPhone.

Zloději by navíc teoreticky mohli dokázat oklamat čtečky otisků prstů a uskutečnit neoprávněné platby, uvádí Kujawa. Největší nevýhody platformy ApplePay však podle něj nejsou technické, ale spíše praktické.

Tyto telefony jsou totiž relativně drahé a neexistuje žádný způsob placení v případě, když například dojde k vybití baterie iPhonu.

Hlavní alternativou pro bezpečnostní prvek je HCE (Host Card Emulation – hostitelská emulace karty, kterou v tuzemsku nyní začíná jako prý první lokální banka provozovat Komerční banka). Je to softwarová alternativa k hardwarově založenému zabezpečení a používá cloudový tokenizační proces.

„Z bezpečnostního hlediska poskytuje HCE nejlepší ochranu, protože šifrování a předávání vašich finančních informací je v rukách příslušné banky a neexistuje spojení mezi platebními informacemi a samotným zařízením v případě, že dojde k jeho krádeži,“ tvrdí Kujawa.

Existuje zde však riziko, že by mohly speciálně vytvořené škodlivé aplikace unést proces HCE a ukrást uživatelům peníze.

Ideální kombinací by podle Kujawy byl bezpečný prvek v zařízení v kombinaci s HCE a biometrickou autentizací.

Mobilní telefony versus web

Přes všechny diskuze týkající se ApplePay a toho, co Google a Samsung mohou nebo nemohou dělat, nemá většina uskutečněných mobilních plateb se žádnou z těchto technologií nic společného.

Namísto toho jsou webové platby vykonané jednoduše prostřednictvím prohlížečů v mobilních zařízeních nebo specializovaných aplikacích. Například Amazon má nákupní aplikaci pro chytré telefony či tablety a PayPal disponuje mobilní aplikací, která vám umožní poslat peníze přátelům.

Podle platební společnosti Adyen tyto dva druhy mobilních plateb tvoří 27 procent všech on-line plateb v prvním čtvrtletí letošního roku, což je nárůst o 39 procent ve srovnání se stejným obdobím loňského roku.

Malá část těchto mobilních plateb se týká lokálních nákupů – například tak můžete platit v kavárnách Starbucks a za svou jízdu s využitím služby Uber pomocí jejich aplikací.

Tyto osobní mobilní platby vytvořily podle agentury Forrester Research jen v USA obrat 3,74 miliardy dolarů. Forrester však očekává, že porostou rychleji než další druhy mobilních plateb a do roku 2019 dosáhnou 34,2 miliardy dolarů.

S ohledem na bezpečnost je nevýhodou tohoto přístupu totéž co u jakéhokoli webového platebního systému, popisuje Andrew Blaich, bezpečnostní analytik ve společnosti BlueBox Security. Pokud by došlo k úniku dat, mohli by počítačoví zločinci potenciálně ukrást všechny uložené finanční informace o uživatelích.

„Pokud někdo ukradne vaše uživatelské jméno a heslo, může se za vás vydávat a vaším jménem i platit,“ upozorňuje Blaich.

Kromě toho může dojít ke kompromitaci samotných mobilních aplikací, popisuje Andrew McLennan, viceprezident společnosti Metaforic, která se zaměřuje na mobilní bezpečnost. To se již stalo oběma aplikacím – Starbucks i Uber.

Hackeři mohou stáhnout aplikace, udělat root zařízení, v případě potřeby vypnout bezdrátovou konektivitu a poté vynaložit veškerý potřebný čas k analýze aplikací.

„Jakmile to dokončí, mohou na základě získaných informací vytvořit zbraně pro hromadné útoky – od jednoduchých krádeží po zákeřnější sbírání osobních dat pro budoucí použití daleko od původní aplikace,“ varuje McLennan.

Není to buď, anebo

Vzhledem ke způsobu, jakým funguje technologie NFC, pokud terminál akceptuje jeden platební systém, například Apple Pay, potom dokáže automaticky akceptovat další, jako je například Google Wallet..


Nástroje pro penetrační testování: Vyberete si?

27.7.2016  Zdroj: SecurityWorld Zabezpečení
Pokud nemáte žádné obavy, že by vaše IT vybavení mohli napadnout zahraniční či místní útočníci, je pro vás tento článek zbytečný. Pokud však žijete ve stejné realitě jako zbytek z nás, mohou vám rady od skutečného profesionála, týkající se solidních nástrojů pro preventivní penetrační testování, velmi pomoci.
Evan Saez, který je nadšencem, návrhářem a programátorem penetračního testovacího nástroje a pracuje jako analytik kybernetických hrozeb ve společnosti Lifars, promluvil o nejnovějších a nejlepších penetračních nástrojích a o vhodném způsobu jejich použití. Tady jsou jeho postřehy.

Dostupné nástroje pro penetrační testování

Nástroje pro penetrační testování, o kterých se zde bude mluvit, zahrnují Metasploit, Nessus Vulnerability Scanner, Nmap, Burp Suite, Owasp ZAP, SQLmap, Kali Linux a Jawfish (Evan Saez je vývojářem projektu Jawfish).

Tyto nástroje jsou klíčem k zabezpečení podniku, protože jsou to ty samé produkty, které používají útočníci. Pokud nenajdete své díry a neopravíte je, najdou je oni.

Metasploit je framework s větší základnou programátorských fanoušků, který se rozšiřuje o vlastní moduly fungující jako testovací nástroje k otestování slabin v operačních systémech a aplikacích.

Lidé vydávají tyto vlastní moduly na serverech GitHub a Bitbucket. Bitbucket je stejně jako GitHub on-line repozitářem pro programátorské projekty.

„Metasploit je zřejmě nejpopulárnějším řešením svého druhu pro penetrační testování,“ uvádí Saez.

Nessus Vulnerability Scanner je na signaturách založený nástroj pro vyhledávání zranitelností. „Nessus dokáže pouze porovnávat výsledky skenování s databází známých signatur zranitelností,“ popisuje Saez.

Síťový skener Nmap umožňuje penetračním testérům zjistit typy počítačů, serverů a hardwaru, které má podnik ve své síti.

Skutečnost, že jsou tyto stroje identifikovatelné prostřednictvím těchto externích sond, je sama o sobě zranitelností. Útočníci používají tyto informace k vytvoření základů pro útoky.

Burp Suite je dalším oblíbeným nástrojem pro penetrační testování, určeným pro webové aplikace. Mapuje a analyzuje webové aplikace, vyhledává a umí zneužít zranitelnosti, jak uvádí společnost PortSwigger, která je dodavatelem nástroje Burp Suite pro zabezpečení webu.

Owasp ZAP (Zed Attack Proxy) je řešení pro penetrační testování webových aplikací od neziskového projektu Owasp (Open Web Application Security Project). Nabízí automatizované a manuální skenování webových aplikací, jehož účelem je pomoci nováčkům i zkušeným profesionálním penetračním testérům. ZAP je open source systém dostupný na webu GitHub.

SQLmap automatizuje odhalování děr typu SQL Injection. Ty se potom snaží zneužít a získat úplnou kontrolu nad databázemi a hostujícími servery.

Kali Linux představuje komplexní nástroj obsahující předinstalovanou sadu specializovaných penetračních testovacích (a bezpečnostních a forenzních) nástrojů. „Obsahuje nástroje použitelné pro lidi, kteří nemají v oblasti bezpečnosti žádné znalosti,“ popisuje Saez.

Jawfish je na rozdíl od většiny nástrojů založených na signaturách řešením, které využívá genetické algoritmy. „Genetické algoritmy hledají věci v kontextu vyhledávání,“ vysvětluje Saez.

Na základě vyhledávacích kritérií, jak se Jawfish dostává blíže k tomu, co se hledá (v tomto případě zranitelnost), nakonec nějakou může najít. Jawfish nevyžaduje databázi signatur.

Jak je používat

Metasploit, Nessus Vulnerability Scanner, Nmap, Burp Suite, Owasp ZAP, SQLmap, Kali Linux a Jawfish mají své specifické využití. Většina podniků tak bude potřebovat více nástrojů.

Metasploit nabízí jak rozhraní Ruby, tak i příkazový řádek, takže si váš penetrační testér může vybrat libovolné z nich v závislosti na tom, co právě chcete dělat.

„Rozhraní Ruby je vhodnější pro testování velmi rozsáhlé sítě, protože spouštění příkazů z příkazového řádku by bylo příliš zdlouhavé,“ vysvětluje Saez.

Nessus Vulnerability Scanner hledá otevřené porty v počítačích a firewallech a instalace potenciálně zranitelného softwaru. „Pokud jde o penetrační testování, je tento nástroj méně užitečný, protože je příliš nápadný a při zjišťování zranitelností jde tzv. předními dveřmi a komunikuje s operačním systémem.

Toto řešení se obvykle používá při kontrole dodržování předpisů ke zjišťování, zda jsou nainstalované všechny záplaty,“ vysvětluje Garrett Payer, vedoucí technolog v konzultační a implementátorské společnosti ICF International.

Nmap je dobré používat k vyhledávání hostitelů, otevřených portů, verzí softwaru, operačních systémů, verzí hardwaru a zranitelností – obecně k mapování terénu pro síťový útok.

Je užitečný v každé fázi penetračního testování, kdykoli máte novou sadu hostitelů, portů a dalších prostředků, které je potřebné identifikovat, například při zadávání nového segmentu sítě.

„Tento systém nabízí funkci skriptování a je užitečný pro výčet uživatelského přístupu,“ dodává Payer.

K mapování webových aplikací používejte Burp Suite a webový prohlížeč. Nástroje uvnitř sady Burp Suite zjišťují funkcionalitu aplikací a bezpečnostní díry a potom zahájí vlastní útoky.

Burp Suite automatizuje opakované funkce, a přitom uživateli ponechává volbu pro případy, kdy penetrační testér potřebuje kontrolu nad jednotlivými možnostmi testování.

„Tento funkcemi nabitý nástroj zkoumá skriptování mezi weby a další zranitelnosti pomocí proxy,“ popisuje Payer. „Přináší to transparentnost toho, co webové stránky vlastně posílají na server.“

Owasp ZAP vykonává různá skenování a testy včetně skenování portů, skenování hrubou silou a fuzzingu za účelem nalezení nezabezpečeného kódu. Penetrační testéři používají intuitivní grafické uživatelské rozhraní podobné aplikacím Microsoftu a některé nástroje pro design webu (jako je například Arachnophilia).

Poté, co začnete surfovat a uděláte na webu potřebné úkony, znovu použijete ZAP a můžete vidět kód a co se stalo při těchto činnostech. Owasp ZAP nastavíte jako proxy server a začne kontrolovat webový provoz, který zpracovává.

„Tento nástroj je novější než Burp Suite, nemá tolik funkcí, ale je zdarma jako open source. Poskytuje podmnožinu funkcí a grafické uživatelské rozhraní, které je užitečné pro lidi, kteří s penetračním testováním webových aplikací teprve začínají,“ uvádí Payer.

Řešení SQLmap se používá pomocí příkazů Pythonu na příkazové řádce k testování nesprávně naprogramovaných webových stránek a adres URL spojených s databázemi. Pokud škodlivě vytvořený odkaz (URL) do databáze vyvolá chybu, potom je takový odkaz předmětem útoku.

SQLmap se instaluje do operačního systému Ubuntu Linux ve virtuálním stroji. „SQLmap je vhodný pro skriptování. Umí zjistit takové věci, jako například zda programátor parametrizoval vstupy,“ uvádí Payer.

Pokud ne, mohou penetrační testér či útočník odeslat jméno, středník a SQL příkaz a spustit ho v databázi a získat kontrolu, vysvětluje Payer.

Nainstalujte si Kali Linux a spusťte libovolný z desítek integrovaných nástrojů pro penetrační testy a útoky. „Kali Linux je k dispozici s velkým množstvím uživatelské dokumentace,“ uvádí Saez.

Penetrační testovací řešení Jawfish můžete zkusit použít pomocí dostupného formuláře grafického uživatelského rozhraní. Jednoduše zadejte IP adresu serveru, zranitelnou webovou adresu na této IP adrese, zranitelnost, metodu a cílový text.

Nástroj vrátí cílový text, když se vám podaří úspěšně napadnout tuto adresu. Je to ale zcela nový systém a není zatím prověřený pro podnikové nasazení...


Teroristé sdílejí poznatky s kyberzločinci – jak moc jsou tyto skupiny propojené?

27.7.2016 Zdroj: SecurityWorld Hrozby
Nejvíce informací o zneužívání legitimních nástrojů a služeb na internetu sdílejí dvě skupiny: kyberzločinci a teroristické organizace, jak zjistili experti Trend Micro. Odlišují se však motivy, které je k tomu vedou – prvně jmenovaní jsou motivovaní finančním ziskem, druzí mají za cíl šířit především propagandu.
On-line přítomnost teroristických organizací a kyberzločinců se v mnohých bodech překrývá. Obě skupiny komunikují prostřednictvím stejných kanálů a používají stejné technologie, což ve výsledku značně komplikuje možnosti jejich sledování.

Při nezákonné činnosti v on-line prostředí jde vždy o zneužití zákonných nástrojů a služeb. Příkladů těchto aktivit je mnoho, od využívání zranitelností v softwaru, webových stránkách a internetových aplikací přes hostování škodlivých složek v cloudových službách až po využívání tzv. clickbait příspěvků a odkazů na sociálních sítích.

Teroristé a kyberzločinci sdílejí i společné komunikační metody. Aby si zachovali anonymitu, využívají obě skupiny především nástroje určené pro ty, kteří mají legitimní důvod skrývat svoji identitu (např. novináři, interní informátoři či aktivisté).

Podle analytiků Trend Micro patří mezi nejvyužívanější komunikační kanály tzv. deep web (webstránky a databáze, které neindexují běžné internetové vyhledávače a jsou dostupné pouze prostřednictvím systému TOR - The Onion Router, určeného na anonymní prohledávání webu), bezpečné, nesledovatelné e-mailové služby a sociální média.

Teroristé používají stejné metody, ale za jiným účelem – na rozdíl od vydírání primárně pro komunikaci, koordinaci a šíření propagandy.

Jedním z nejvýraznějších rozdílů mezi kyberzločinci a teroristy je úsilí těch druhých o šíření propagandy. Zatímco hlavním cílem kyberzločinců je především krádež finančních prostředků v elektronickém prostředí a udržení si anonymity, teroristé se snaží hlavně o to, aby se jejich odkaz rozšířil mezi co možná nejširší publikum v naději na získání potenciálních sympatizantů.


Chrome má desítky bezpečnostních chyb. Některé jsou velmi vážné

27.7.2016 Zdroj: Novinky/Bezpečnost Zranitelnosti
V oblíbeném webovém prohlížeči Chrome bylo objeveno bezmála pět desítek bezpečnostních chyb. Nová verze tohoto browseru však veškeré trhliny opravuje. S instalací aktualizace by tak uživatelé neměli otálet.
Nová verze Chromu s pořadovým číslem 52 opravuje celkem 48 zranitelností. Z nich 11 je přitom označeno nálepkou „vysoce závažné“.

To jinými slovy znamená, že je počítačoví piráti mohou zneužít k tomu, aby do počítače propašovali prakticky libovolný škodlivý kód. Stejně tak ale mohou přistupovat k nastavení napadeného stroje či uloženým datům na pevném disku.

Důležité aktualizace zlepšují funkčnost
Zbylé tři desítky aktualizací slouží především ke zlepšení funkčnosti jednotlivých součástí internetového prohlížeče. Tyto důležité záplaty by nicméně neměly pro uživatele představovat žádné velké bezpečnostní riziko.

Stahovat nejnovější Chrome 52 je možné prostřednictvím automatických aktualizací.

V případě, že uživatelé nemají nastavenou automatickou instalaci aktualizací, neměli by s jejich stažením otálet. V opačném případě nechávají pro počítačové piráty otevřena zadní vrátka do svých počítačů.

Nainstalovat aktualizaci manuálně je možné prostřednictvím nápovědy, konkrétně v části „O aplikaci Chrome“. Po rozkliknutí této nabídky se uživateli automaticky nabídne instalace nejnovější verze.


IPhony a iPady mají kritickou chybu. Mohou být napadeny přes MMS zprávu

27.7.2016  Zdroj: Novinky/Bezpečnost Mobilní
Na první pohled neškodná MMS zpráva může být počítačovými piráty využita k tomu, aby ukradli citlivé informace z chytrých telefonů iPhone od společnosti Apple. Vzhledem k tomu, že škodlivý kód může být šířen například také přes aplikaci iMessage, jsou v ohrožení také tablety iPad. Upozornil na to server Security Affairs.
Zranitelnost je známá pod kódovým označením CVE-2016-4631. K úspěšnému útoku stačí na telefon nebo tablet oběti zaslat speciálně upravenou zprávu. Problém nastane ve chvíli, kdy uživatel takovouto zprávu na displeji svého jablečného zařízení zobrazí.

Útočník touto cestou získá identifikační údaje o uživateli, které jsou uloženy v zařízení. Stejným způsobem ale může zjistit také uložená hesla k WiFi sítím nebo přihlašovací údaje k e-mailovým schránkám.

Kritická chyba se týká API ImageIO, což je rozhraní používané pro zpracování obrazových dat.

V ohrožení i počítače
Není bez zajímavosti, že stejné API používají také počítače od Applu, tedy stroje s operačním systémem Mac OS X, ale dokonce i chytré hodinky Apple Watch. V budoucnu by tak teoreticky mohli být útočníci schopni napadnout stejným způsobem také tato zařízení.

Podle bezpečnostních expertů z týmu Talos společnosti Cisco, kteří zranitelnost objevili, již byly zaznamenány první útoky, kdy se speciálně upravenou útočnou zprávu snažili kyberzločinci šířit prostřednictvím internetového prohlížeče Safari.

Útok je tolik zákeřný především proto, že uživatelé nemusí nic stahovat. Už pouhým otevřením zprávy vystavují své zařízení riziku. Vhodné je tedy z bezpečnostního hlediska neotvírat zprávy z neznámých zdrojů.

Na riziko útoku nicméně již vývojáři společnosti Apple zareagovali. Po instalaci nejnovějších verzí operačních systémů by měla být všechna jablečná zařízení proti této hrozbě chráněna.


Hackeři si došlápli na jednoho z šéfů Sony, nabourali se na jeho Twitter

27.7.2016 Zdroj: Novinky/Bezpečnost Hacking
Neuplyne prakticky týden, aby se hackerská skupina OurMine nenabourala na účet na sociální síti nějaké známé osobnosti technologického světa. Tentokrát se jejich obětí stal Shuhei Yoshida, ředitel videoherní divize společnosti Sony. Kyberzločinci se nabourali na jeho Twitter.
Na účet získali podle všeho hackeři přístup ve středu. Aby skutečně dokázali, že se na účet skutečně nabourali, zveřejnili jménem Yoshidy příspěvek ve znění „Xbox 4 Ever“, což v předkladu znamená Xbox napořád. Připomeňme, že jde o televizní konzoli od Microsoftu, která je přímou konkurencí pro Sony Playstation.

Většinou přitom hackeři ze skupiny OurMine postupují při útocích daleko obezřetněji. Uživatele zpravidla pouze upozorní, že testovali zabezpečení jeho účtu a že je má kontaktovat, aby se na jeho sociální síť nedostal nikdo jiný.

Yoshida útok hackerů a jejich posměšný tweet nijak nekomentoval. Podle všeho má však již nyní ke svému účtu na Twitteru opět přístup.

Úlovků mají hackeři více
Skupina OurMine, která podle všeho pochází ze Saudské Arábie, má tak další velký úlovek na svém kontě.

Zkraje června se hackerům podařilo napadnout Twitter a některé další on-line účty šéfa Facebooku Marka Zuckerberga. Krátce nato provozovatelé Twitteru zablokovali účet hackerů na této sociální síti, prostřednictvím kterého skupina informovala o úspěšných útocích. 

Na přelomu května a června se pak skupině OurMine podařilo získat přístup k internetovým účtům zakladatele Microsoftu Billa Gatese či zpěváka Christiana Collinse.


Škodlivý kód HummingBad infikoval deset miliónů tabletů a smartphonů

27.7.2016 Zdroj: Novinky/Bezpečnost Mobilní
Bezpečnostním expertům dělá v posledních měsících vrásky na čele škodlivý kód HummingBad, který se zaměřuje na chytré telefony a tablety s operačním systémem Android. Tento nezvaný návštěvník totiž nakazil za pouhých pár měsíců na deset miliónů mobilních zařízení. Vyplývá to z analýzy bezpečnostní společnosti Check Point.
Že se HummingBad šíří jako lavina, varovali bezpečnostní experti již před třemi měsíci. 

Tehdy se však počty napadených přístrojů počítaly tak maximálně na desetitisíce. Kyberzločinci ale novou hrozbu šířili jako zběsilí, za pouhého čtvrt roku se tak z HummingBadu stala jedna z nejobávanějších mobilních hrozeb.

Nezvaný návštěvník dovoluje počítačovému pirátovi převzít nad napadeným strojem absolutní kontrolu. „Tento malware se zaměřuje na zařízení se systémem Android. Vytváří trvalý rootkit na zařízení,“ upozornil David Řeháček, bezpečnostní odborník ze společnosti Check Point.

Instaluje podvodné aplikace a umožňuje další škodlivé aktivity
bezpečnostní odborník David Řeháček
Schopnost škodlivého kódu se v zařízení maskovat – tedy zmiňovaný rootkit – značně znesnadňuje možnost jeho odhalení na napadeném zařízení. Ve chvíli, kdy se HummingBad na mobilním zařízení zahnízdí, začne dál škodit. „Instaluje podvodné aplikace a umožňuje další škodlivé aktivity, jako například instalace keyloggerů, krádeže přihlašovacích údajů a obcházení šifrování e-mailů pro lepší zachycení podnikových dat,“ konstatoval Řeháček.

Jinými slovy počítačoví piráti převezmou nad napadeným přístrojem naprostou kontrolu. Mohou jen vyčkávat a sledovat aktivitu uživatele, stejně tak ale dovedou odchytávat zprávy týkající se internetového bankovnictví. Teoreticky tedy mohou uživatele připravit o peníze.

HummingBad se šíří zatím výhradně v prostředí platformy Android, a to zpravidla jako součást aplikací z neoficiálních zdrojů. Stejně tak se ale do přístroje může dostat prostřednictvím nevyžádaného e-mailu.

Na Android cílí i další viry
Na pozoru by se měli mít uživatelé Androidu také před novou hrozbou zvanou Godless, což v překladu znamená neznaboh či bezbožník. „Tento malware umí využít několik postupů k získání vyšších oprávnění,“ konstatoval Pavel Bašta, bezpečnostní analytik CSIRT.CZ, který je provozován sdružením CZ.NIC.

To jinými slovy znamená, že útočníci mohou získat nad napadeným přístrojem absolutní kontrolu. Mohou do něj propašovat prakticky jakýkoliv jiný škodlivý kód, mohou odposlouchávat komunikace či odchytávat přihlašovací údaje uživatelů.

Doposud stihl Godless nakazit několik stovek tisíc přístrojů po celém světě, v ohrožení je ale daleko více uživatelů. „Podle výzkumu specialistů firmy TrendMicro je schopen infikovat zhruba 90 procent všech smartphonů se systémem Android 5.1 nebo starší verzí,“ podotkl Bašta.

Virus Godless se přitom kyberzločincům podařilo propašovat už i do oficiálního obchodu společnosti Google. Ani stahování aplikací z oficiálních zdrojů tak není pro uživatele zárukou stoprocentního bezpečí. 

S oběma viry by si měla poradit většina antivirových programů. Ty ale na tabletech a mobilech používá málokdo.


Bezpečnostní experti vyzráli na vyděračské viry. Všechny soubory však nezachrání

27.7.2016 Zdroj: Novinky/Bezpečnost Viry
Vyděračské viry se těší mezi počítačovými piráty v posledních měsících obrovské popularitě. To by se ale mohlo v dohledné době změnit. Tým bezpečnostních výzkumníků totiž nalezl řešení, jak proti těmto nezvaným návštěvníkům požadujícím výkupné účinně bojovat. Všechna data však experti zachránit nedovedou.
Rozhodujícím nástrojem v boji proti vyděračským virům z rodiny ransomware má být CryptoDrop, tedy softwarové řešení pocházející od týmu výzkumníků z University of Florida a Villanova University. To spolupracuje s existujícími antivirovými programy.

„Funguje to jako systém včasného varování, přičemž je pár desítek souborů ‚obětováno‘ za ušlechtilým účelem zabránění větším ztrátám. V průběhu jejich zpracování ransomwarem totiž algoritmus sbírá cenné informace, které následně využije k zastavení postupu této nákazy,“ vysvětlil fungování nového programu Pavel Bašta, bezpečnostní analytik Národního bezpečnostního týmu CSIRT.CZ.

CryptoDrop v operačním systému v reálném čase sleduje, jak dochází k modifikaci souborů bez přičinění uživatele. Stejně tak ale dokáže sledovat síťovou komunikaci, aby byl schopen vyděračský virus zachytit.

Zatím se jen testuje
Zatím však bezpečnostní experti široké veřejnosti novinku nenabídli. „Špatná zpráva pro současné oběti ransomwaru je, že toto řešení je zatím pouze ve fázi testování. Výzkumníci zatím hledají investora, který by jim pomohl jejich koncept uvést do života jako komerční produkt. O efektivnosti jejich řešení prý však není pochyb,“ konstatoval Bašta.

„Zkoušeli jsme náš detektor na několika stovkách vzorků aktivního ransomwaru a úspěšně jsme detekovali plných 100 % těchto vzorků," pochlubil se pro server Helpnetsecurity.com Nolen Scaife, jeden z autorů projektu CryptoDrop.

Další člen týmu, Patrick Traynor, svého kolegu doplnil, že při odhalování vyděračských virů pomocí nové metody bývá „obětována“ zhruba desetina souborů. V konečném důsledku je to ale daleko lepší řešení, než kdyby uživatelé přišli o všechna uložená data.

CryptoDrop je vyvíjen v současnosti pouze pro platformu Microsoft Windows, přestože počítačoví piráti nasazují vyděračské viry i na dalších operačních systémech – například na Linuxu nebo Mac OS X. Zda bude novinka dostupná také pro zmiňované platformy, se teprve ukáže.

Útoků přibývá
Od dubna 2015 do března 2016 bylo zaznamenáno více než 700 tisíc útoků těchto nezvaných návštěvníků. O rok dříve přitom bylo zaznamenáno pětkrát méně útoků, jak ukázala analýza antivirové společnosti Kaspersky Lab.

Útoky vyděračských virů mají prakticky vždy stejný scénář. Nezvaný návštěvník zašifruje uložená data na pevném disku. Útočníci se snaží v majiteli napadeného stroje vzbudit dojem, že se ke svým souborům dostane po zaplacení pokuty. Ta byla údajně vyměřena za používání nelegálního softwaru apod.

Ani po zaplacení výkupného se uživatelé ke svým datům nemusí dostat. Místo placení výkupného je totiž nutné virus z počítače odinstalovat a data rozšifrovat, což ale nemusí být vůbec jednoduché. A v některých případech to dokonce nejde vůbec.

Placení výkupného je pro počítačové piráty v podstatě motivací k dalším útokům, upozornil server The Hacker News. Relativně snadný zisk jim pouze potvrdí to, že podobné útoky se jim vyplatí.


Virus Keydnap útočí na počítače od Applu. Krade na nich hesla

27.7.2016 Zdroj: Novinky/Bezpečnost Viry
Na pozoru by se měli mít uživatelé počítačů od společnosti Apple. V prostředí operačního systému Mac OS X se totiž šíří nebezpečný virus zvaný Keydnap. Ten dokáže na napadeném stroji udělat pěknou neplechu, především krade hesla k různým službám.
Před novou hrozbou varovali výzkumníci antivirové společnosti Eset.

Podle nich se škodlivý kód šíří především v souborech s koncovkou .zip, přičemž se pomocí jiné ikony snaží maskovat za textový dokument nebo obrázek. Nezvaný návštěvník se tak logicky nejčastěji šíří prostřednictvím nevyžádaných e-mailů.

Problém nastane ve chvíli, kdy uživatelé zavirovaný soubor otevřou. „Uživatel otvírající fiktivní dokument ve skutečnosti spouští spustitelný soubor pro Mac OS, který záhy stáhne další části malwaru. Nejdříve dojde ke stažení a spuštění hlavní backdoor komponenty, dále pak ke stažení náhodného obrázku, který nahradí právě spuštěný downloader, a nakonec dojde i na jeho zobrazení uživateli,“ popsal fungování škodlivého kódu Miroslav Dvořák, technický ředitel společnosti Eset.

Snaží se zotročit počítač
V počítači s operačním systémem Mac OS X se pak Keydnap snaží získat přístup k části systému, do které se ukládají hesla. Zároveň se snaží napadený stroj zařadit do tzv. botnetu, tedy do sítě zotročených počítačů.

Počítačoví piráti díky tomu pak mohou z napadeného stroje rozesílat další nevyžádané e-maily, případně je mohou zneužít k útokům typu DDoS. Při něm stovky až tisíce počítačů začnou přistupovat v jeden okamžik na konkrétní server. Ten zpravidla nezvládne tak vysoké množství požadavků zpracovat a spadne. Pro běžné uživatele se takto napadená webová stránka tváří jako nedostupná.

Podle bezpečnostních expertů jsou v bezpečí uživatelé, kteří mají nastavenou funkci Gatekeeper tak, aby umožňovala spouštění pouze aplikací digitálně podepsaných pomocí vývojářského ID přiděleného společností Apple. Na toto bezpečnostní opatření jsou zatím kyberzločinci krátcí.

Útoky nejsou výjimečné
Útoky na uživatele využívající platformu Mac OS X nejsou v poslední době ničím výjimečným. Před pár měsíci se například objevily vyděračské viry z rodiny ransomware, které dokázaly počítač zablokovat a za jeho odemčení požadovaly výkupné.

Konkrétně šlo o škodlivý kód KeRanger, který byl až překvapivě sofistikovaný. První tři dny si totiž oběti vyděračského viru patrně ani nevšimly, že je něco v nepořádku. Nezvaný návštěvník zůstal schovaný na pozadí a vyčkával na svou příležitost. Teprve po zmiňovaných 72 hodinách se aktivoval a začal v operačním systému Mac OS X působit problémy.

Vyděrači v případě platformy Mac OS X přitom nebyli žádní troškaři, za odšifrování dat chtěli zaplatit jeden bitcoin, což tehdy představovalo více než 10 000 korun.


Milióny chytrých telefonů jsou v ohrožení. Stačí se připojit na veřejnou wi-fi

27.7.2016  Zdroj: Novinky/Bezpečnost Mobilní
Velmi nebezpečnou chybu objevili bezpečnostní experti v chytrých telefonech s operačním systémem Android. Útočníci ji mohou zneužít k tomu, aby spustili prakticky libovolný škodlivý kód. Stačí přitom, aby se uživatel připojil například na veřejnou wi-fi síť. Upozornil na to server Security Affairs.
Chyba se týká chytrých telefonů od společnosti Xiaomi a dalších uživatelů, kteří na svých přístrojích používají grafickou nadstavbu MIUI.
Chyba je obsažena v grafické nadstavbě operačního systému Android, kterou používají chytré telefony od Xiaomi. Tento čínský výrobce ji nicméně nabízí volitelně k instalaci na prakticky libovolný přístroj s Androidem.

V ohrožení jsou tak všichni uživatelé, kteří tzv. MIUI rozhraní používají. Podle odhadů bezpečnostních expertů se chyba týká přinejmenším několika miliónů uživatelů.

V tomto čísle jsou přitom započítány pouze prodané přístroje od Xiaomi. Po započítání všech instalací rozhraní MIUI tak může výt výsledná cifra ještě vyšší.

Útočníci mohou nainstalovat libovolný škodlivý kód
Trhlina přitom představuje poměrně velké riziko. Útočníci ji totiž mohou zneužít k tomu, aby do přístroje nainstalovali prakticky jakýkoliv škodlivý kód. Mohou tak šířit vyděračské viry, stejně jako nejrůznější keyloggery – tedy programy schopné zachytávat přihlašovací údaje.

Chybu však mohou počítačoví piráti zneužít pouze v případě, že se připojí na stejnou wi-fi síť jako jejich oběť.

To jinými slovy znamená, že útok může probíhat například v internetové kavárně nebo jiném místě, kde je nabízen bezdrátový přístup zadarmo. Samozřejmě k napadení chytrého telefonu ale může dojít klidně i v podnikové síti.

Nejnovější verze grafické nadstavby MIUI již trhlinu neobsahuje. Bezpečnostní experti proto doporučují uživatelům co nejdříve provést aktualizaci, aby nedávali počítačovým pirátům své přístroje všanc.


Falešná hra Pokémon Go uzamkne displej mobilu. A kliká na lechtivé weby

27.7.2016  Zdroj: Novinky/Bezpečnost Mobilní
Hra Pokémon Go je celosvětovým fenoménem. Toho se snaží využít také počítačoví piráti, kteří prostřednictvím falešných verzí tohoto titulu šíří škodlivé kódy. Jedním z nich je i nový virus – tzv. lockscreen, který uzamkne displej telefonu a tím jej zcela zablokuje. Upozornili na něj bezpečnostní experti antivirové společnosti Eset.
Doposud kyberzločinci šířili škodlivé kódy výhradně prostřednictvím neoficiálních verzí aplikace, které se objevovaly na různých webech. Nikoliv tedy prostřednictvím oficiálních internetových obchodů s aplikacemi.

U nového viru, který se maskuje za hru Pokémon Go, je tomu ale jinak. „Pokemon GO Ultimate je první zaznamenanou falešnou aplikací v Google Play s funkčností lockscreen. Ve skutečnosti není příliš škodlivá, jejím cílem je skryté klikání na porno reklamy,“ uvedl Petr Šnajdr, bezpečnostní expert společnosti Eset.

Kyberzločinci vydělávají peníze
Záměr útočníků je tedy zřejmý. Nesnaží se uživatele nějak poškodit, nebo odcizit jeho data. Pouze se snaží prostřednictvím umělého navýšení kliků na bannery zvýšit příjmy daných webů z reklamy.

Zamčený displej nejde žádným způsobem odemknout. V mnoha případech je jediným řešením tzv. tvrdý restart zařízení, který se dělá jednoduše vyndáním baterie nebo kombinací určitých kláves. I po restartu ale zvládne nezvaný návštěvník klikat na porno stránky na pozadí a tím ukrajovat výkon smarpthonu. Nutné je tedy aplikaci Pokemon GO Ultimate z přístroje odinstalovat.

Chování nezvaného návštěvníka totiž mohou útočníci relativně snadno změnit. „Pokud jde o funkčnost falešné aplikace uzamykání displeje, útočníci by mohli přidat jen výzvu k uhrazení výkupného a vytvořili by tak první ransomware na Google Play, který uzamyká obrazovku,“ konstatoval Šnajdr.

Vyděračské viry z rodiny ransomware dokážou podobným způsobem zablokovat chytrý telefon, případně také počítač či tablet, a zašifrují uložená data v přístroji. Za jejich odemčení pak útočníci požadují výkupné.

„Pokémon Go je tak lákavá hra, že její uživatelé mají i přes všechna varování bezpečnostních expertů tendenci podstupovat riziko a stahují vše, co se Pokémonů týká. Ti, kteří opravdu nemohou odolat pokušení, by měli přinejmenším dodržovat základní bezpečnostní pravidla,“ doplnil bezpečnostní expert společnosti Eset.

Do města i terénu
Hra se těší tak nebývalé popularitě především proto, že hráči musí aktivně hledat pokémony ukryté různě po městě. Stačí spustit aplikaci v chytrém telefonu a podle mapy pak vyrazit na lov. Samotný odchyt pak probíhá prostřednictvím zabudované kamery v mobilu nebo tabletu. Přes displej mobilního zařízení totiž ve skutečném prostoru uživatelé virtuální příšerky vidí.

Za vývojem titulu Pokémon Go stojí vývojářské studio Niantic, které získalo licenci od společnosti Nintendo.


Slibují 400 Kč. Místo toho lidem vybílí účet

27.7.2016 Zdroj: Novinky/Bezpečnost Podvod
Starý trik oprášili během víkendu počítačoví piráti. Vydávají se za zástupce banky a důvěřivcům nabízejí vyzkoušení nového internetového bankovnictví. Za to jim slibují i finanční bonus. Ve skutečnosti jde však o podvod, jak varovali v noci ze soboty na neděli zástupci České spořitelny.
Podvodná nabídka na Facebooku
Podvodná nabídka na Facebooku
Podvodná nabídka cílí právě na klienty spořitelny. A kyberzločinci si tuto banku patrně nevybrali náhodou, protože Česká spořitelna o víkendu skutečně své internetové bankovnictví, tedy službu Servis24 vylepšovala.

Někteří uživatelé se tak mohli nechat napálit proto, že podvodná nabídka na sociální síti Facebook je odkazem na skutečně novou verzi internetového bankovnictví.

Neklikat, nevyplňovat
I s ohledem na to se zástupci banky od finančního bonusu okamžitě distancovali.

„Upozorňujeme na podvodný profil na Facebooku, který se snaží vzbudit dojem, že patří České spořitelně. Podvodníci na tomto profilu nabízejí ‚nové internetové bankovnictví SERVIS 24‘,“ stojí ve varování banky.

Falešnou službu Servis24 je možné poznat podle chybné webové adresy.
Falešnou službu Servis24 je možné poznat podle chybné webové adresy.
FOTO: Česká spořitelna

Skutečná podoba služby Servis 24
Skutečná podoba služby Servis 24
FOTO: Novinky

„Důrazně varujeme před jakoukoliv reakcí na výzvy uvedené na tomto profilu. V žádném případě neklikejte na nabízený odkaz a svoje údaje nevyplňujte nikam jinam než na oficiální stránky www.servis24.cz. Podvodníci by se jinak mohli dostat k vašim penězům,“ konstatovali zástupci České spořitelny.

Právě podle webové adresy totiž uživatelé mohli poznat, že jde o podvod. Odkaz na Facebooku totiž směřoval na stránky servis24.ic.cz.

Stejný trik zkoušeli už dřív
Pokud uživatelé podvodníkům naletěli, měli by co nejdříve kontaktovat svou banku. „V případě jakýchkoli pochybností nás kontaktujte na bezplatném telefonním čísle 800 207 207,“ uvedli zástupci České spořitelny.

Obezřetní by v případě podobných nabídek měli být také uživatelé jiných bankovních institucí. Není totiž vyloučeno, že stejný trik budou počítačoví piráti zkoušet příště pod hlavičkou úplně jiné společnosti.

Prostřednictvím Facebooku se počítačoví piráti nesnaží uživatele tuzemských bankovních institucí napálit poprvé. Prakticky na chlup stejnou taktiku zkoušeli také minulý měsíc. 

Ukázka podvodné reklamy na Facebooku
Ukázka podvodné reklamy na Facebooku


Neoficiální verze hry Pokémon Go mohou obsahovat viry, varovali tvůrci

27.7.2016 Zdroj: Novinky/Bezpečnost Mobilní
Tvůrci titulu Pokémon Go varovali uživatele, že by neměli stahovat neoficiální verze této hry. Podle nich se totiž nebývalé popularity novinky snaží využít i počítačoví piráti, kteří prostřednictvím neoficiálních verzí mohou šířit škodlivé kódy.
„Doporučujeme instalovat Pokémon Go pouze prostřednictvím oficiálních obchodů Google Play a App Store. Stažení z jiných zdrojů může představovat riziko,“ varovali vývojáři ze studia Niantic.

Novinka je od minulého týdne dostupná pouze ve vybraných zahraničních státech. Zájem o Pokémon Go je ale tak vysoký, že návody na stažení titulu i v jiných zemích se šíří internetem doslova jako lavina.

Lidé mají o novinku takový zájem, že jsou ochotni instalovat neoficiální verzi hry klidně i z neznámých zdrojů. A to platí i o Češích, v tuzemsku totiž hra stále není oficiálně dostupná, přestože ji již celá řada lidí hraje.

Na první pohled přitom uživatelé nemusí vůbec poznat, že je neoficiální verze aplikace nějak závadná. Nezvaný návštěvník k ní může být pouze přibalen, ve smartphonu pak může potají odchytávat SMS zprávy nebo přihlašovací údaje k různým službám, a to včetně internetového bankovnictví.

Do města i terénu
Hra se těší tak nebývalé popularitě především proto, že hráči musí aktivně hledat pokémony ukryté různě po městě. Stačí spustit aplikaci v chytrém telefonu a podle mapy pak vyrazit na lov. Samotný odchyt pak probíhá prostřednictvím zabudované kamery v mobilu nebo tabletu. Přes displej mobilního zařízení totiž ve skutečném prostoru uživatelé virtuální příšerky vidí.

Za vývojem titulu Pokémon Go stojí vývojářské studio Niantic, které získalo licenci od společnosti Nintendo. To už čelí kvůli novému titulu prvním problémům. Jak se totiž ukázalo, tvůrci měli díky hře přístup k osobním datům a nastavením uživatelských účtů na Googlu. 

Stále populárnější hra už podle BBC řadu lidí vystavila nebezpečným situacím. Někteří lidé si totiž způsobili zranění, když v mnohdy nepřehledném terénu nevěnovali pozornost svým krokům a sledovali displej mobilu.

 


Hra Pokémon Go představuje bezpečnostní riziko. Tvůrci se mohou zmocnit cizích účtů

27.7.2016  Zdroj: Novinky/Bezpečnost Mobilní
Nebývale populární hra Pokémon Go je ke stažení teprve pár dní a tvůrci již byli nuceni řešit první bezpečnostní incident. Ukázalo se totiž, že hráči nevědomky dávali kompletní přístup ke svým účtům na Googlu. Tvůrci tak teoreticky mohli číst e-maily nebo měnit nastavení.
Hra Pokémon Go vzbudila velký rozruch především mezi hráči. K dispozici je od konce minulého týdne a za pouhých pár dní si ji stáhly milióny lidí.

Ti mohou prostřednictvím svých mobilních zařízení hledat pokémony ukryté různě po městě. Stačí spustit aplikaci v chytrém telefonu a pak pomocí zabudované kamery v prostoru hledat, kde se malé roztomilé příšerky ukrývají.

Ukázka z aplikace Pokémon GO
Ukázka z aplikace Pokémon Go
FOTO: David Ryneš, Novinky

Hra je ke stažení zadarmo. Jediné, co uživatelé potřebují, je herní účet. Prostřednictvím něj pak pokémony sbírají. Zaregistrovat se je buď možné na stránkách hry, nebo využít rychlejší způsob – přihlásit se pomocí svého e-mailu na Googlu.

Tato možnost přitom platí nejen pro uživatele Androidu, ale například také platformy iOS od Applu. Přihlašovat se pomocí e-mailu mohou také majitelé iPhonů.

Právě možnost přihlášení prostřednictvím účtu na Googlu ale nadzvedla bezpečnostní experty ze židle, jak upozornil server Neowin. Po přihlášení totiž uživatelé dávají tvůrcům k dispozici kompletní přístup ke svému účtu na Googlu. Ti pak teoreticky mohou číst všechny e-maily nebo například měnit různá nastavení.

Oprava zatím chybí
Za vývojem titulu Pokémon Go stojí vývojářské studio Niantic, které získalo licenci od společnosti Nintendo. Zástupci studia již potvrdili, že k osobním datům a nastavením skutečně mohou mít přístup. V žádném případě však prý nebyla žádná data zneužita.

Podle tvůrců jde o chybu, která bude opravena při nejbližší možné aktualizaci aplikace. Kdy se tak stane, však neprozradili.

V současnosti tak milióny fanoušků, kteří titul Pokémon Go hrají, dávají své důvěrné údaje všanc.


Nejbezpečnější router jde do výroby. Vytvořili jej Češi

27.7.2016  Zdroj: Novinky/Bezpečnost Zabezpečení
V tomto týdnu odstartovala výroba údajně nejbezpečnějšího routeru na světě, který by měl zamezit hackerům a škodlivým programům v přístupu do domácí sítě. Není bez zajímavosti, že za zmiňovaným projektem Turris Omnia stojí čeští tvůrci.
BEZ KOMENTÁŘE: Co se skrývá pod plastovým krytem? Hardwarová výbava routeru Turris Omnia
Jak funguje Turris Omnia? Uživatel se nemusí o nic starat

Práce na projektu Turris započaly v roce 2013, tehdy vznikly i první routery, které byly testovány na omezeném množství českých uživatelů.
Na první pohled vypadá Turris Omnia jako obyčejný router, uvnitř nenápadné bílé krabičky se ale ukrývají pokročilé technologie. Zařízení pohání dvoujádrový procesor Marvell Armada 385, který je taktovaný na 1,6 GHz, a 1 GB operační paměti. Dále jsou k dispozici dva USB 3.0 konektory či slot na SIM kartu.
Vše navíc pracuje pod operačním systémem Turris Omnia, díky kterému dokáže router rychle reagovat pomocí aktualizace systému na aktuální hrozby. Aktualizace přitom přichází přímo od sdružení CZ.NIC, uživatel se nemusí o nic starat. Pro ještě vyšší zabezpečení je novinka vybavena speciálním čipem, jenž se stará o šifrování a identifikaci routeru.
úterý 12. července 2016, 15:25
Unikátní router Turris Omnia pochází z dílen sdružení CZ.NIC, které je správcem české národní domény.

Právě šéf sdružení Ondřej Filip v pondělí potvrdil, že jde novinka do výroby. „Posledních deset dnů jsme strávili testováním předvýrobních prototypů. Ignorovali jsme přitom víkend i svátky, vše jsme podřídili testování. Vše se zdá být perfektní, výroba tedy může začít,“ prohlásil Filip.

„Nečekejte však, že dodávky routeru započnou hned zítra. Celý proces výroby bude trvat několik týdnů,“ konstatoval šéf sdružení CZ.NIC. Prvních zařízení se tak zákazníci dočkají pravděpodobně v průběhu září.

Lidé poslali milióny
V první vlně se vyrobí tisíce routerů, které získají přednostně lidé, kteří si je objednali už na konci loňského roku prostřednictvím crowfundingového serveru Indiegogo.com. Právě ten nápadití jedinci a malé podniky využívají k získání potřebných financí pro rozjetí masové výroby.

Na zmiňovaném serveru zaujala novinka tisíce lidí, díky čemuž si čeští tvůrci připsali na svůj účet přesně milión a 518 amerických dolarů, tedy v přepočtu více než 24 miliónů korun. Právě tyto prostředky posloužily k tomu, aby mohla výroba začít.

Router mimochodem dostane každý, kdo přispěl v kampani na serveru Indiegogo částkou alespoň 179 dolarů (4500 Kč). 

Lze předpokládat, že za podobnou cenu se nakonec novinka objeví i ve volném prodeji.


Hacker se chlubí, že získal údaje o desítkách tisíc uživatelů Amazonu

27.7.2016 Zdroj: Novinky/Bezpečnost Hacking
Hacker vystupující na internetu pod přezdívkou 0x2Taylor se podle všeho naboural na jeden ze serverů společnosti Amazon. Podařilo se mu z něj odcizit osobní údaje o desítkách tisíc uživatelů elektronických čteček a tabletů Kindle.
Hacker prý nalezl hned několik bezpečnostních chyb, které mohly být kýmkoliv zneužity. Proto na ně upozornil zástupce společnosti Amazon.

Když se ani po třech dnech nikdo z technické podpory neozval, rozhodl se 0x2Taylor jednat. Sám podnikl útok na server Amazonu, během kterého se údajně zmocnil více než 80 000 osobních údajů. K dispozici má údajně přihlašovací údaje, ale například i telefonní čísla a adresy uživatelů.

„Je to opravdu velká společnost a měla by mít dostatek peněz, aby si zajistila správnou obranu,“ uvedl hacker podle serveru Security Affairs.

Data uživatelů skončila na internetu
Sám zároveň přiznal, že za objevení chyb požadoval po Amazonu částku 700 dolarů, tedy více než 17 tisíc korun. Firmy totiž zpravidla takto velkými sumami hackery skutečně odměňují, pokud je upozorní na nějaké závažné chyby.

Amazon však žádný odměňovací program pro počítačové piráty nemá. To je pravděpodobně i jeden z hlavních důvodů, proč na žádost hackera nikdo nereagoval.

Příliš eticky se ale nakonec 0x2Taylor nezachoval. Data 80 000 uživatelů totiž zveřejnil na internetu, stáhnout si je tak nyní může prakticky kdokoliv.

Amazon útok nepotvrdil
Společnost Amazon zatím únik dat oficiálně nepotvrdila. Zatím tedy bohužel není jasné, zda k útoku skutečně došlo.

V minulosti se již totiž několikrát stalo, že se počítačoví piráti chlubili i prací, kterou neodvedli. Zkraje května se například jeden hacker snažil rozprodat databázi 272 miliónů odcizených hesel. Nakonec se ale ukázalo, že šlo o podvod. 

Z preventivních důvodů by si i přesto měli uživatelé zařízení Kindle změnit svá přístupová hesla. V případě, že stejná hesla používají i na jiných službách, změna by se měla týkat i jich. Pro počítačové piráty totiž není nic jednoduššího než odcizené údaje vyzkoušet na jiných webových službách.


Jak firmy ztrácejí cenná data a phishingová kampaň na iTunes

27.7.2016 Zdroj: Novinky/Bezpečnost Phishing
Svět bezpečnostních technologií se prudce vyvíjí a s ním i hrozby, kterým musí čelit. Pojďme se podívat na nejdůležitější události uplynulých dní, jak je zachytili bezpečnostní experti společnosti ESET.
Zaměříme se na podrobné informace o nejčastějších příčinách ztráty firemních dat, vylepšení dvoufaktorové autentizace společnosti Google, závažný únik dat u společnosti Acer a další phishingovou kampaň zaměřenou na zákazníky společnosti Apple.

Nejčastější důvody ztráty firemních dat
Josep Albors ze společnosti ESET popsal některé z hlavních příčin ztráty firemních dat, spojované s poškozením zařízení – například při pádu z výšky na zem. „Pokud hrozí, že dojde k takové události, která by mohla společnost dostat do vážných problémů, když včas nezareaguje adekvátním způsobem, je nejlepším řešením myslet včas na prevenci a zajistit patřičná opatření pro obnovu ztracených dat v co nejkratší možné době,“ říká Josep Albors.

Google zjednodušil dvoufaktorovou autentizaci
Společnost Google oznámila, že výrazně zjednodušila proces ověřování identity pomocí dvoufaktorové autentizace. Uživatelům bude na jejich zařízení chodit dotaz, zda se pokoušejí připojit na svůj účet. Jediné, co budou muset udělat, je potvrzení „ano“ nebo „ne“. Nastavení této služby je velmi jednoduché, zároveň jde o vysoce efektivní vyšší úroveň zabezpečení soukromí.

Kyberútoky mají být zahrnuty do mezinárodního humanitárního práva
Nejnovější zpráva Globální komise pro správu internetu uvádí, že závažnost dopadů kybernetických útoků začíná být tak velká, že by měly být zahrnuty do mezinárodního humanitárního práva. Podle autorů zprávy je vzájemné propojení zařízení využivajících internet a samotné ekonomiky tak velké, že potenciální dopad kybernetického útoku vyvolaného vládou některého státu by byl obrovský.

Zakladatel Facebooku Mark Zuckerberg si přelepuje páskou webkameru
Selfie snímek zakladatele Facebooku Marka Zuckerberga pořízený u příležitosti dosažení mety 500 miliónů uživatelů měsíčně u sociální sítě Instagram vyvolal nečekané diskuse. Ukázalo se, že šéf Facebooku je velmi opatrný, pokud jde o jeho bezpečnost a soukromí – notebook v pozadí, který velmi pravděpodobně patří právě Zuckerbergovi, měl přelepenou webkameru i audio vstup.

Acer zaznamenal závažný únik dat
Prakticky každý den se dozvídáme o nových případech závažných úniků citlivých dat. Nejnovější obětí hackerů se stala společnost Acer, která podle médií podala podnět kalifornskému Úřadu generálního prokurátora kvůli narušení databáze svých zákazníků. Předpokládá se, že útok mohl ovlivnit až 34 500 klientů Aceru.

Hackeři tvrdí, že zavirovali databázi iTunes
Kyber zločinci se opět zaměřili na zákazníky společnosti Apple a pokusili se proniknout do jejich účtů, aby získali informace o online platbách. Nejnovější případ se týká podvodného varování před virem v databázi obchodu iTunes. Bezpečnostní expert Graham Cluley popsal, že oběti útoku jsou vyzvány, aby „znovu ověřily údaje o účtu“ a zadali přihlašovací údaje, osobní data a nakonec i informace o platbách v tomto eshopu.


Americká vláda musí posílit kyberbezpečnost, prohlásil Obama

27.7.2016 Zdroj: Novinky/Bezpečnost Zabezpečení
Vláda Spojených států musí v době moderních technologií a věku chytrých telefonů posílit svou kybernetickou bezpečnost. V neděli to během návštěvy Španělska prohlásil americký prezident Barack Obama, který mimo jiné potvrdil, že do systémů Bílého domu pronikli hackeři.
„Jsem z toho znepokojen, nemyslím si, že ji (kybernetickou bezpečnost) máme bezchybnou. Musíme se více snažit, musíme se učit z chyb," řekl Obama na tiskové konferenci v Madridu. „Víme, že jsme měli v Bílém domě hackery," dodal.

O průniku do počítačových systémů sídla amerického prezidenta se již několikrát spekulovalo. Například letos v dubnu list The New York Times s odvoláním na nejmenované americké představitele uvedl, že ruským počítačovým pirátům se podařilo získat přístup k neutajovaným Obamovým e-mailům.

Obama již v sobotu hovořil v souvislosti s aférou Hillary Clintonové o tom, že ho nemile překvapilo, jak americké ministerstvo zahraničí nakládá s tajnými informacemi.

Federální úřad pro vyšetřování (FBI) zjistil, že Clintonová v době, kdy ministerstvo vedla, posílala přes svůj soukromý e-mail utajovaná data. Podle FBI se podobně lehkovážně chovali i další představitelé ministerstva.


Nebezpečný virus se šířil Facebookem. Za dva dny napadl tisíce uživatelů

27.7.2016 Zdroj: Novinky/Bezpečnost Viry
Doslova jako lavina se sociální sítí Facebook šířil před pár dny nebezpečný virus. Díky němu mohli počítačoví piráti ovládat napadené stroje, nebo dokonce odcizit internetovou identitu dotčených uživatelů – tedy vystupovat na síti jejich jménem. Před hrozbou varovali ve čtvrtek bezpečnostní analytici antivirové společnosti Kaspersky Lab.
Virus se masivně šířil přes Facebook na konci června. Tehdy obdržely tisíce nic netušících uživatelů zprávu od svých přátel s tím, že byli zmíněni v nějakém komentáři na zmiňované sociální síti. Ve skutečnosti odesílatelem nebyli přátelé, ale kyberzločinci.

Prostřednictvím zprávy se do počítače nahrál malware, jehož součástí bylo i škodlivé rozšíření pro internetový prohlížeč Chrome. Ten sloužil k zachycení přihlašovacích údajů na Facebook. Díky tomu se pak počítačoví piráti mohli vydávat za uživatele, jejichž počítače napadli, a dále šířit nebezpečný virus.

Na napadeném stroji mohli kyberzločinci podle bezpečnostních analytiků změnit nastavení soukromí na Facebooku či stahovat do počítače jakákoliv data – klidně i další škodlivé kódy. „Díky databázi přátel pak mohl šířit malware mezi další uživatele nebo například spamovat, odcizit identitu či podvodně lajkovat a sdílet obsah,“ upozornili experti z Kaspersky Lab.

Blokoval weby bezpečnostních společností
Nezvaný návštěvník byl přitom vcelku sofistikovaný. Dokázal totiž blokovat některé webové stránky a internetové služby, z napadených strojů se tak například nebylo možné přihlásit na weby poskytovatelů bezpečnostního softwaru. Tím malware znesnadňoval možnost odinstalování v případě odhalení.

Největšímu riziku byli údajně vystaveni majitelé počítačů s operačním systémem Windows, méně pak smartphonů se systémem od Microsoftu. Stroje s Androidem a iOS byly vůči útokům imunní, protože škodlivý kód využíval nekompatibilní knihovny.

Nebezpečný virus se podle studie Kaspersky Lab nejvíce šířil v Brazílii. Infikovány byly ale také některé stroje v Evropě, například v Německu či v Portugalsku. Zda nezvaný návštěvník ohrozil také tuzemské uživatele, zatím není jasné.

Facebook virus odstřihnul
V současnosti by nicméně nově objevený malware již hrozbu představovat neměl. Bezpečnostní experti Facebooku totiž již virus odstřihli tím, že zablokovali cestu používanou k jeho šíření z infikovaných strojů.

Napadené stanice je ale samozřejmě nutné ještě odvirovat. To by měla bez problémů zvládnout většina aktualizovaných antivirových programů.

Nejvíce byli postiženi uživatelé v Brazílii, Polsku, Peru, Kolumbii, Mexiku, Ekvádoru, Řecku, Portugalsku, Tunisku, Venezuele, Německu a v Izraeli.


Kyberzločinci se zaměřili na majitele webových stránek. Lákají přihlašovací údaje

27.7.2016  Zdroj: Novinky/Bezpečnost Podvod
Počítačoví podvodníci se tentokrát zaměřili na majitele různých internetových domén. V nevyžádaných e-mailech jim tvrdí, že potřebují ověřit jejich domény. Ve skutečnosti se však snaží pouze vylákat přihlašovací údaje. Na novou vlnu spamových zpráv upozornil registrátor Forpsi. Právě na jeho klienty je totiž útok cílen.
„Musíme zkontrolovat Forpsi domény, laskavě klikněte zde pro kontrolu nyní,“ tvrdí podvodníci ve phishingové zprávě.

Pod slůvkem zde se přitom ukrývá odkaz na podvodné webové stránky, které jsou hostované na italském serveru elenamagnelli.it. Není nicméně vyloučeno, že v dalších zprávách budou kyberzločinci používat odkazy i na jiné weby.

„Na zaslaný link neklikejte, stránka obsahuje falešný přihlašovací formulář. V žádném případě do formuláře nezadávejte své přihlašovací údaje,“ stojí v prohlášení společnosti Forpsi, která na nový podvod upozornila.

Mohou přesměrovat internetový provoz
Pokud uživatelé své přihlašovací údaje vyplnili, měli by si co nejdříve změnit heslo, případně kontaktovat technickou podporu.

S přihlašovacími údaji mohou počítačoví piráti přesměrovávat provoz internetových stránek na podvodné weby, měnit různá nastavení nebo se dostat i k datům uloženým na FTP.

Heslo se vyplatí změnit i v případě, kdy uživatelé používají stejné přihlašovací údaje na jiných internetových službách. Pro útočníky totiž není nic jednoduššího než odcizené jméno a heslo vyzkoušet i na dalších webech.


Podvodníci se vydávají za pracovníky ČOI, snaží se vylákat peníze

27.7.2016 Zdroj: Novinky/Bezpečnost Podvod
Česká obchodní inspekce (ČOI) upozornila na podvodné e-maily, které jsou rozesílány jejím jménem. Obsah e-mailu vzbuzuje zdání, že jde o oficiální kontrolu ČOI. V e-mailech přitom stojí, že během „kontroly” stránek podnikatele či živnostníka byly zjištěny údajné nedostatky a je nabízena pomoc za úplatu. ČOI to uvedla v tiskové zprávě.
"ČOI zaznamenala v posledních hodinách velký počet stížností a dotazů na nevyžádané maily, které jsou rozesílány z e-mailové adresy kontrola@wwwcoi.cz. Tyto e-maily nejsou odesílány z České obchodní inspekce," uvedl mluvčí inspekce Jiří Fröhlich.

ČOI doporučuje podnikatelům na tyto e-maily nereagovat. Vyzvala také ty, kteří takový e-mail obdrželi, aby na něj inspekci upozornili. "Veškerá podání v této věci budou následně hromadně předána Policii ČR pro podezření z naplnění skutkové podstaty trestného činu podvodu," dodal Fröhlich.


Bezpečnostní programy mají kritické chyby, které mohou zneužít kyberzločinci

27.7.2016  Zdroj: Novinky/Bezpečnost Zranitelnosti
Počítačoví experti uživatelům neustále kladou na srdce, jak důležité je používat antivirové programy a další bezpečnostní nástroje. Ani takovým aplikacím se ale nevyhýbají chyby, které mohou být nakonec zneužity počítačovými piráty. Na vlastní kůži se o tom přesvědčili vývojáři společnosti Symantec.
Ve více než dvou desítkách programů této společnosti, které měly uživatele chránit před nebezpečnými viry a počítačovými piráty, byly nalezeny nebezpečné trhliny. Ty obsahovaly produkty Symantec i Norton.

Konkrétně zranitelnosti byly objeveny v programech Norton Security, Norton 360, Symantec Endpoint Protection, Symantec Email Security, Symantec Protection Engine a řadě dalších. Problém se přitom netýká pouze operačního systému Windows, ale i dalších platforem.

Propašovat mohli libovolný virus
Chyby mohli kyberzločinci zneužít k propašování prakticky libovolného škodlivého kódu na cizí počítače. Bez jakýchkoliv sofistikovaných technik tak na napadených strojích mohli odposlouchávat uživatele, případně přistupovat k jejich datům.

„Objevené zranitelnosti jsou tak špatné, jak jen to jde. Piráti se mohli dostat na cizí počítače bez jakékoliv interakce uživatele,“ přiblížil riziko nebezpečných trhlin bezpečnostní expert Pierluigi Paganini na serveru Security Affairs.

Společnost Symantec naštěstí vydala pro objevené trhliny aktualizace. S ohledem na možná rizika by s jejich instalací uživatelé neměli otálet.


Úřad prověří krádež dat T-Mobilu, firmě hrozí pokuta až 10 miliónů

27.7.2016 Zdroj: Novinky/Bezpečnost Hacking
Úřad pro ochranu osobních údajů (ÚOOÚ) zahájil správní řízení s mobilním operátorem T-Mobile kvůli tomu, že jeden ze zaměstnanců společnosti ukradl osobní údaje klientů. Ochránci dat firmu podezírají z nedostatečných bezpečnostních opatření. Hrozí jí až desetimiliónová pokuta.
Jeden ze zaměstnanců operátora T-Mobile ukradl osobní údaje klientů a prodával je dál. Únik dat vyšetřuje policie, která propuštěného zaměstnance už obvinila. Napsala to začátkem června Mladá fronta Dnes (MfD), které to potvrdila mluvčí operátora Martina Kemrová.

Podle deníku se případ stal v dubnu a jde v něm o údaje zhruba 1,5 miliónu zákazníků. 

V případě porušení zákona o ochraně osobních údajů může úřad uložit právnické osobě pokutu až 10 miliónů korun, uvedl již dříve k případu mluvčí ÚOOÚ David Pavlát.

Zákon o elektronických komunikacích podle úřadu ukládá povinnost mít zpracován technicko-organizační systém, a to včetně dokumentace na zajištění ochrany údajů a důvěrnosti komunikací.

Hesla prý neukradl
Charakter odcizené databáze byl podle mluvčí T-Mobile marketingový. "Nešlo o data lokalizační či provozní ani o citlivé údaje typu hesel. Jediné nebezpečí, které by hypoteticky mohlo našim zákazníkům hrozit, je případně oslovení nevyžádanými marketingovými nabídkami," uvedla.

ÚOOÚ upozornil, že lidé, kteří mají důvodné obavy o bezpečnost svých osobních údajů a chtějí zjistit, zda se jich únik týká a případně v jakém rozsahu, se mohou obrátit s žádostí o vysvětlení přímo na T-Mobile. Bližší informace, jak žádost podat, jsou na webových stránkách ÚOOÚ v sekci Poradna.

T-Mobile je s šesti milióny mobilních zákazníků největší mobilní operátor v zemi. Patří do skupiny Deutsche Telekom.


Vyděračské viry útočí stále častěji

27.7.2016 Zdroj: Novinky/Bezpečnost Viry
Na pozoru by se měli mít uživatelé před vyděračskými viry. Mezi počítačovými piráty jsou totiž tyto škodlivé kódy stále více populární. Od dubna 2015 do března 2016 bylo zaznamenáno více než 700 tisíc útoků těchto nezvaných návštěvníků. Vyplývá to z analýzy antivirové společnosti Kaspersky Lab.
O rok dříve přitom bylo zaznamenáno pětkrát méně útoků virů z rodiny ransomware – tedy vyděračských škodlivých kódů.

Útoky vyděračských virů mají prakticky vždy stejný scénář. Nezvaný návštěvník zašifruje uložená data na pevném disku. Útočníci se snaží v majiteli napadeného stroje vzbudit dojem, že se ke svým souborům dostane po zaplacení pokuty. Ta byla údajně vyměřena za používání nelegálního softwaru apod.

Ani po zaplacení výkupného se uživatelé ke svým datům nemusí dostat. Místo placení výkupného je totiž nutné virus z počítače odinstalovat a data rozšifrovat, což ale nemusí být vůbec jednoduché. A v některých případech to dokonce nejde vůbec.

Placení výkupného je pro počítačové piráty v podstatě motivací k dalším útokům, upozornil server The Hacker News. Relativně snadný zisk jim pouze potvrdí to, že podobné útoky se jim vyplatí.

Ve hře jsou miliardy
Tak velké popularitě se vyděračské viry těší především proto, že jsou pro piráty velmi výhodným byznysem. Podle odhadů amerického Federálního úřadu pro vyšetřování (FBI) jeden konkrétní škodlivý virus vydělal počítačovým pirátům miliardy. 

Počítačoví piráti si měli přijít na velké peníze díky škodlivému kódu zvanému TeslaCrypt. Jen za první čtvrtletí letošního roku jim tento nezvaný návštěvník vydělal podle odhadů FBI více než 200 miliónů dolarů, tedy v přepočtu bezmála pět miliard korun.

V současnosti již TeslaCrypt hrozbu nepředstavuje, protože útočníci zveřejnili dešifrovací klíč a uživatelům se za způsobené problémy omluvili.

Peníze ale samozřejmě nikomu nevrátili. A nic nenasvědčuje tomu, že by se miliardy nebo samotné počítačové piráty vyšetřovatelům podařilo vypátrat. Slehla se po nich zem.

Pozor na mobily a chytré televizory
Ostražití by před vyděračskými viry neměli být pouze majitelé klasických počítačů. Loni v červnu bezpečnostní experti odhalili nezvaného návštěvníka, který požadoval výkupné i na mobilním telefonu. 

Minulý měsíc pak začal internetem kolovat nezvaný návštěvník, který výše popsaným způsobem dokáže zamknout i chytrý televizor. Za jeho odemčení pak požadují podvodníci opět výkupné.


Hackeři si došlápli na šéfa Googlu, nabourali se na jeho Twitter

27.7.2016 Zdroj: Novinky/Bezpečnost Hacking
Hackerská skupina OurMine se v posledních týdnech zaměřuje na napadání účtů známých osobností, a to především z toho technologického světa. Na začátku června získala přístup na některé internetové účty šéfa Facebooku Marka Zuckerberga, nyní se jí podařilo úspěšně proniknout na twitterový účet šéfa Googlu Sundara Pichaie.
Hackeři se na mikroblogovací síť Twitter dostali oklikou. Využili již dříve objevené chyby oblíbené služby Quora, kterou Pichai také používá. Ta si mezi uživateli vysloužila popularitu především tím, že sdružuje nepřeberné množství odpovědí na různorodé otázky.

Přes servery služby Quora se počítačoví piráti dostali až na Twitter hlavy Googlu. Pak již útok pokračoval klasickým způsobem, jménem Pichaie hackeři zveřejnili na jeho Twitteru zprávu o tom, že byl jeho účet napaden.

„Pouze testujeme vaše zabezpečení,“ uvedli hackeři na sociální síti Twitter. Zprávu, kterou Pichai ve skutečnosti nepsal, mohlo vidět přes půl miliónu lidí. Právě tolik lidí totiž šéfa Googlu na zmiňované mikroblogovací síti sleduje.

Čestní hackeři
Skupina OurMine postupuje při svých hackerských útocích poměrně čestně. Nikdy nemění uživatelům hesla a jejím hlavním cílem je skutečně pouze upozornit na to, že zabezpečení uživatelů může být narušeno.

To koneckonců udělala i v případě šéfa Facebooku Marka Zuckerberga, na jehož účty se dostala na začátku června. Využila k tomu databázi uniklých hesel ze služby LinkedIn. Přestože to bezpečnostní experti důrazně nedoporučují, Zuckerberg používal na různých službách jedno stejné heslo.

Na přelomu května a června se pak skupině OurMine podařilo získat přístup k internetovým účtům zakladatele Microsoftu Billa Gatese či zpěváka Christiana Collinse.

Minulý týden pak úspěšně napadla twitterový účet Dicka Costola, bývalého šéfa mikroblogovací sítě Twitter.

Podle dřívějšího prohlášení pro server The Next Web má skupina OurMine pouze tři členy a pochází ze Saúdské Arábie.


Nebezpečný virus infikoval stovky tisíc mobilů a tabletů

27.7.2016  Zdroj: Novinky/Bezpečnost Viry
Národní bezpečnostní tým CSIRT.CZ varoval před novým virem, který se zaměřuje výhradně na mobilní zařízení. V různých koutech světa zvládnul nakazit už několik stovek tisíc tabletů a chytrých telefonů. V nich přitom dokáže udělat poměrně velkou neplechu.
Nezvaný návštěvník se jmenuje Godless, což v překladu znamená neznaboh či bezbožník. Soustředí se přitom výhradně na zařízení vybavená operačním systémem Android. „Tento malware umí využít několik postupů k získání vyšších oprávnění,“ konstatoval Pavel Bašta, bezpečnostní analytik CSIRT.CZ, který je provozován sdružením CZ.NIC.

To jinými slovy znamená, že útočníci mohou získat nad napadeným přístrojem absolutní kontrolu. Mohou do něj propašovat prakticky jakýkoliv jiný škodlivý kód, mohou odposlouchávat komunikace či odchytávat přihlašovací údaje uživatelů.

Naváže se na legitimní aplikace
Doposud stihnul Godless nakazit více než 850 tisíc přístrojů po celém světě, v ohrožení je ale daleko více uživatelů. „Podle výzkumu specialistů firmy TrendMicro je schopen infikovat zhruba 90 % všech smartphonů se systémem Android 5.1 nebo starší verzí,“ podotkl Bašta.

Podle něj se škodlivý kód dokáže navázat na legitimní aplikace, takže si jej uživatelé mohou stáhnout do mobilního telefonu nebo počítačového tabletu, aniž by o tom měli ponětí. Virus se přitom kyberzločincům podařilo propašovat už i do oficiálního obchodu společnosti Google.

Ani stahování aplikací z oficiálních zdrojů tak není pro uživatele zárukou 100% bezpečí.

Škodlivých kódů pro mobily přibývá
Nárůst mobilních hrozeb je v posledních měsících stále patrnější. „V únoru se vůbec poprvé dostal do Top 10 škodlivých kódů mobilní malware, v březnu trend pokračoval,“ podotkl David Řeháček, bezpečnostní odborník ze společnosti Check Point.

Podle něj dělá bezpečnostním expertům v současnosti velké vrásky na čele především hrozba zvaná HummingBad. 

HummingBad se může šířit jako příloha nevyžádaného e-mailu, stejně tak ale může číhat na podvodných webech. Na smartphonech s operačním systémem Android vytváří trvalý rootkit, může se tedy v zařízení maskovat, což velmi znesnadňuje možnost jeho odhalení na napadeném zařízení. Ve chvíli, kdy se HummingBad na mobilním zařízení zahnízdí, začne dál škodit.


Piráti šmírovali uživatele přes chytrý televizor

27.7.2016 Zdroj: Novinky/Bezpečnost Hacking
Není žádným tajemstvím, že počítačoví piráti se v dnešní době dokážou už bez větších obtíží nabourat klidně i do chytrého televizoru. Ten s pomocí sofistikovaného škodlivého kódu poté mohou proměnit doslova v nástroj na šmírování, jak se o tom na vlastní kůži přesvědčil jeden pár z Anglie.
V jejich chytrém televizoru se totiž uhnízdil nezvaný návštěvník, prostřednictvím kterého mohli počítačoví piráti na dálku ovládat některé funkce, aniž by o tom měli majitelé ponětí.

Muž a žena, kteří se stali obětí útoku, měli tu smůlu, že si pořídili poměrně sofistikovaný televizor. Ten byl vybaven vlastním operačním systémem a navíc byl plně připraven na videokonference, byla v něm tedy zabudovaná webkamera a samozřejmě také mikrofon.

A přesně toho kyberzločinci využili, jak upozornil server Uniland. Pár totiž začali na dálku šmírovat. Pomocí webkamery a mikrofonu. Podařilo se jim natočit například i to, jak se na sedačce před TV oddávají milostným radovánkám.

Lechtivé video zveřejnili na webu
Páru pak udělali ze života doslova peklo, protože intimní záběry z jejich soukromí nahráli na server s erotickou tematikou. Tím se vlastně přišlo i na to, jak záběry vznikly, a že muže a ženu počítačoví piráti šmírovali prostřednictvím chytrého televizoru.

Právě provozovatelé zmiňovaných pornostránek celou kauzu zveřejnili. Obrátil se na ně totiž pár, který je požádal o stažení videa. Provozovatelé jim vyhověli a zveřejněním detailů chtěli prý upozornit na rizika, která chytré televizory představují.

Většina počítačů je totiž proti vyděračským virům chráněna pomocí antivirových programů, například u televizorů ale zabezpečení řeší jen málokdo. Výrobci přitom antiviry pro chytré televizory nabízejí již několik let. Většina uživatelů si patrně ale ani neuvědomuje, že i tato zařízení mohou být napadena.

Virus dokáže uzamknout televizor
Právě kvůli tomu se kyberzločinci pravděpodobně zaměřují na televizní systémy stále častěji. V polovině června se například ukázalo, že chytrý televizor může být napaden například i vyděračským virem.

Ten přístroj uzamkne a za jeho zpřístupnění požaduje zaplatit výkupné. Vyděračský škodlivý kód se jmenuje Flocker a kromě TV dokáže podobným způsobem potrápit také uživatele klasických počítačů, jak již dříve varovali bezpečnostní výzkumníci antivirové společnosti Trend Micro.


Hackeři získali přístup na účet exšéfa Twitteru

27.7.2016  Zdroj: Novinky/Bezpečnost Hacking
Hackerská skupina OurMine, která na začátku června získala přístup na některé internetové účty šéfa Facebooku Marka Zuckerberga, má další cenný úlovek. Tentokráte se nabourali na twitterový účet Dicka Costola, bývalého šéfa mikroblogovací sítě Twitter. Upozornil na to server The Hacker News.
Na twitterový účet Costola se počítačoví piráti dostali podle všeho už na konci minulého týdne. Pod jeho jménem pak zveřejnili několik příspěvků, které dokazují, že se na účet exšéfa Twitteru skutečně nabourali.

„Tady je OurMine, pouze jsme testovali zabezpečení vašeho účtu. Prosíme, kontaktujte nás,“ uvedli hackeři o víkendu na Twitteru. Jen pár desítek minut po zveřejnění však byly veškeré příspěvky od počítačových pirátů smazány.

Costolo po útoku pouze konstatoval, že hackeři nezískali přístup k jeho twitterovému účtu, ale k aplikaci, prostřednictvím které se přihlašoval k Twitteru. Šlo prý o starou aplikaci, kterou už dávno nepoužíval.

Úlovků mají hackeři více
To ale samozřejmě nemění nic na tom, že skupina OurMine, která podle všeho pochází ze Saudské Arábie, má další velký úlovek na svém kontě.

Zkraje června se hackerům podařilo napadnout Twitter a některé další on-line účty šéfa Facebooku Marka Zuckerberga. Krátce nato Twitter zablokoval jejich účet na Twitteru, prostřednictvím kterého informovali o úspěšných útocích. 

Na přelomu května a června se pak skupině OurMine podařilo získat přístup k internetovým účtům zakladatele Microsoftu Billa Gatese či zpěváka Christiana Collinse.


Internet Explorer i Windows mají kritické bezpečnostní chyby

27.7.2016 Zdroj: Novinky/Bezpečnost Zranitelnosti
Společnost Microsoft v úterý vydala pravidelný balík záplat pro chyby ve svých produktech. Kritické zranitelnosti byly odhaleny v operačním systému Windows, kancelářském balíku Office a webových prohlížečích Internet Explorer a Edge.
Kritické chyby mohou počítačoví piráti zneužít k tomu, aby do počítače propašovali prakticky libovolný škodlivý kód. Stejně tak ale mohou přistupovat k nastavení napadeného stroje či uloženým datům na pevném disku.

Pro kritické zranitelnosti bylo vydáno celkem pět bezpečnostních záplat. Pro všechny objevené chyby jsou již k dispozici záplaty. Microsoft je vydal v rámci pravidelných aktualizací, které vycházejí vždy druhé úterý v měsíci.

11 důležitých updatů
Zbylých 11 updatů, které vyšly společně s balíkem pravidelných aktualizací, zástupci amerického softwarového gigantu označují jako důležité.

Ty slouží především ke zlepšení funkčnosti samotného systému, ale například také kancelářského balíku Office. Důležité záplaty by neměly pro uživatele představovat žádné velké bezpečnostní riziko.

S aktualizacemi neotálet
Stahovat všechny záplaty pro kritické trhliny, které vyšly společně s balíkem pravidelných běžných aktualizací, je možné prostřednictvím služby Windows Update.

V případě, že uživatelé nemají nastavenou automatickou instalaci aktualizací, neměli by s jejich stažením otálet. V opačném případě nechávají pro počítačové piráty otevřena zadní vrátka do svých počítačů.


Proč si lidé zakrývají kameru na notebooku

27.7.2016 Zdroj: Novinky/Bezpečnost Zabezpečení
Během poloviny posledního desetiletí se technologický průmysl předháněl v tom, abychom měli čím dál lepší kamery v zařízeních, která každodenně používáme. Ovšem tento trend s sebou teď začíná př