čtvrtek 27. února 2014

Seznam.cz hodlá aktivně bránit e-mailové schránky svých uživatelů

Rozhodl se tak na základě stále se zvětšujícího množství e-mailových účtů zneužívaných k rozesílání spamu.

Mezi opatření, které hodlá Seznam u napadených schránek učinit patří dočasné zablokování, po kterém bude uživateli při přihlášení automaticky vnucena změna hesla, která bude ještě ke všemu potřeba potvrdit kódem zaslaným do SMS. Další novinkou bude zobrazení banneru informujícího o připojování k účtu z cizího státu. Osobně se mi žádnou výzvu ani informaci vyvolat nepodařilo.

David Finger, produktový manažer služby Seznam.cz E-mail, k tomu řekl: Blokaci považujeme za jediný možný způsob, jak uživatelům naznačit, že je s jejich schránkou něco v nepořádku. Pro jejich bezpečnost po nich budeme vyžadovat změnu hesla a zároveň jim doporučujeme i odvirovat počítač. Toto opatření nám také pomůže snížit odchozí spam ze schránek Seznam.cz, a tím se vymanit z tzv. black-listů, kam nás zařazují další poskytovatelé e-mailových schránek právě proto, že od nás k nim přichází spam. Pomůžeme tak vyřešit potíže, které uživatelé mohou mít s odesíláním zpráv například na e-maily od společnosti Microsoft.

Zároveň společnost vyzývá uživatele k opatrnosti při pohybu na síti, k dodržování zásad internetové bezpečnosti a k opatrnému zacházení s hesly k e-mailovým účtům.

středa 26. února 2014

Reklamy na Youtube šíří malware

Malware se nenachází na Youtube jako takovém, viníkem je v tomto případě reklamní síť, kterou Youtube využívá.

Bezpečnostní experti z Bromium Labs zjistili, že reklamní síť YouTube byla neznámými útočníky zneužita k šíření škodlivého kódu, lépe řečeno k přesměrování uživatele na škodlivé webové stránky. Počet obětí útoku, které se útočníkům podařilo reálně ohrozit není v současnosti známý, ovšem když uvážíme, že má Youtube 1 miliardu unikátních návštěvníků měsíčně, mohl by mít komplexnější útok téměř globální dopad.

Samotný útok neměl nijak zvláštní průběh. Oběť byla unesena na stránky pod kontrolou útočníka, které hostovaly Styx Exploit Kit zneužívající zranitelnost v Javě k instalaci bankovního trojanu Caphaw. Jediná zajímavost je, že malware je schopen detekovat konkrétní verzi Javy nainstalované v počítači uživatele, a na základě toho zneužít vhodné zranitelnosti.

Konkrétně mohl tedy útok vypadat nějak takto:

  1. Uživatel si pustí video na Youtube.
  2. Na stránce je několik náhledů dalších videí. Uživatel na jeden takový klikne.
  3. Uživatel sleduje další video. V pozadí je uživatel přesměrován na škodlivé reklamy GoogleAds (*. Doubleclick.net).
  4. Malware přesměruje uživatele na "foulpapers.com".
  5. V této stránce se nachází iframe načítající data z "aecua.nl".
  6. Na aecua.nl se již nachází samotný Exploit Kit, který začíná pracovat.

Škodlivé reklamy na Youtube

Servery sloužící k šíření malwaru se nacházejí v Evropě a autoři trojanu využívají pro komunikaci s C&C centrem techniky DGA, což ve zkratce znamená, že malware pravidelně generuje velké množství doménových jmen, přes které jsou pak řídící servery dostupné.

Škodlivá kampaň již byla stažena a bezpečnostní tým Google celý incident vyšetřuje. Je také dobré říci, že malware zneužíval přibližně rok staré zranitelnosti, tudíž se uživatelé s plně aktualizovaným softwarovým vybavením nemají čeho bát.

pátek 21. února 2014

Adobe vydává další záplatu na 0-day zranitelnost Flashe

Tento měsíc je to již druhá oprava vydaná nad rámec běžného aktualizačního cyklu.

Aktualizace APSB14-07 řeší tři zranitelnosti v Adobe Flash, včetně chyby CVE-2014-0502, která je hojně zneužívána k útokům na uživatele prostřednictvím webových stránek. Chyba byla objevena asi před týdnem společností FireEye.

Uživatelé s plně aktualizovaným systémem se nemají čeho bát. Ke zneužití zranitelnosti je potřeba, aby se útočníkovi podařilo vyhnout ASLR, proto útok směřuje pouze na určité konfigurace:

  • Stroje s Windows XP (ASLR není vůbec přítomná)
  • Stroje s Windows 7 a s nainstalovanou Javu 1.6, která umožňuje obejít ASLR. Java 1.6 je ovšem obecně náchylnější k mnohem závažnějším chybám.
  • Stroje s Windows 7 a s neaktualizovanou verzí sady Office 2007 nebo Office 2010.

Opět platí zásada, že je potřeba aktualizovat, jak nejrychleji to půjde.

úterý 18. února 2014

Odebráním administrátorských práv běžným uživatelům se dá zmírnit až 92% kritických zranitelností v produktech Microsoftu

Vyplývá to z výzkumu společnosti Avecto, která analyzovala všechny bezpečnostní bulletiny, které firma Microsoft vydala v roce 2013.

Výsledky také ukázaly, že odstranění administrátorských práv by mělo zmírnit 96% kritických zranitelností, které ovlivňují operační systém Windows, 91% kritických zranitelností, které ovlivňují Microsoft Office a 100% zranitelností v aplikaci Internet Explorer.

Pokud malware infikuje uživatele s právy administrátora, může to způsobit neuvěřitelnou škodu jak na místní úrovni, tak i v kontextu celé sítě. Kromě toho uživatelé (zaměstnanci...) s právy administrátora mají přístup k instalaci, úpravě a mazání softwaru a veškerých souborů, stejně tak jako mohou měnit nastavení systému.

Paul Kenyon, spoluzakladatel a viceprezident společnosti Avecto k tomu řekl: Nebezpečí příliš vysokých práv přidělených uživatelům je zdokumentovaný už velice dlouhou dobu, ovšem stále velké množství podniků si není vědomo toho, jak velké škody jim to může způsobit. Tato analýza se týká čistě známých zranitelností, ale počítačoví zločinci nacházejí stále nové a nové chyby. Obrana proti těmto neznámým hrozbám je obtížná, ale odstranění administrátorských práv běžným uživatelům je jedno z nejúčinnějších preventivních opatření."

sobota 15. února 2014

Na 300 tisíc uživatelů naletělo podvodným aplikacím na Google Play

Škodlivé aplikace přihlašují uživatele k odběrům prémiových SMS.

Zákeřné aplikace, které přihlašují uživatele k odběru prémiových SMS bez jejich svolení, na Google Play objevili odborníci z Panda Security. Podle informací, které mají k dispozici, si tyto aplikace stáhlo minimálně 300 tisíc uživatelů, ovšem skutečný počet může převyšovat i 1 milion obětí. Mezi škodlivé aplikace patří například “Easy Hairdos”, “Abs Diets”, “Workout Routines” nebo “Cupcake Recipes”.

Útok má vždy stejný scénář. Po stažení a instalaci aplikace musí uživatel potvrdit podmínky používání služeb. Poté jsou mu zobrazeny informace o dietách nebo účesech, ale zároveň se aplikace pokusí získat, pochopitelně bez vědomí uživatele, jeho telefonní číslo a přihlásit ho k odběru prémiových SMS, přičemž číslo naše aplikace získávají z jiné, a nutno říci, že velice populární aplikace, totiž WhatsApp.

Pokud by se útočníkům podařilo od každého uživatele získat řekněme 20 liber, jejich celkový zisk by se pohyboval mezi sympatickými 6 a ještě sympatičtějšími 24 miliony liber.

Bez ohledu na bezpečnostní řešení nainstalované na mobilních zařízeních, by si uživatelé měli vždy pečlivě přečíst seznam oprávnění, které aplikace vyžaduje před instalací. Pokud aplikace vyžaduje neadekvátní oprávnění, měl by se uživatel zamyslet, jestli se jedná o aplikaci důvěryhodnou a jestli ji vůbec potřebuje.

Web a Twitter časopisu Forbes hacknut

Za útokem nestojí nikdo jiný, než fanatičtí příznivci prezidenta al-Asada ze Syrian Electronic Army.

Co se týče webové stránky časopisu, tak hackeři přidali článek s názvem "Hacked by Syrian Electronic Army", zveřejnili obrázek z administrace a pravděpodobně také zcizili přihlašovací údaje asi 1 milionu uživatelů.

SEA také převzala oficiální Twitter účet Forbesu a některých jeho zaměstnanců, konkrétně @ForbesTech, @samsharf, @TheAlexKnapp, kde zanechali několik tweetů o následujících slovech:

Důvodem k tomutu hacku bylo několik článků zaměřených proti Sýrii a samotné Syrian Electronic Army.

pátek 14. února 2014

Falešné SSL certifikáty se snaží vydávat za certifikáty bank, Facebooku nebo Googlu

Analytici společnosti Netcraft objevili značné množství falešných SSL certifikátů, které se snaží vydávat za certifikáty bank, sociálních sítí, elektronických obchodů apod.

Certifikáty se používají k přesvědčení uživatelů, že jsou na správné webové stránce, i když tomu tak není. To útočníkům umožňuje provést MitM útok a získat tak veškeré informace odeslané od uživatelů.

Falešné certifikáty nesou názvy odpovídající jménům svých cílů (např. www.facebook.com). Vzhledem k tomu, že certifikáty nejsou podepsány důvěryhodnými certifikačními autoritami, není pravděpodobné, že by takový útok prošel u webového prohlížeče, ovšem s rostoucím množství mobilních aplikací, roste i riziko, že tato aplikace nebude dostatečně kontrolovat platnost SSL certifikátů.

Samotný falešný certifikát k provedení útoku nestačí. Útočník také musí být v pozici, aby mohl odposlouchávat síťový provoz, který teče mezi mobilním zařízením oběti a servery se kterými chce komunikovat. Nejjednodušším způsobem, i s ohledem na povahu mobilních zařízení, se zdá být vytvoření bezdrátového přístupového bodu. Útočník tak může snadno sledovat veškerý síťový provoz, stejně jako měnit DNS záznamy.

Mezi falešnnými SSL certifikáty, které byly objeveny, byl jeden použit k "legitimizaci" phishingové stránky tvářící se jako Facebook a běžící na serveru na Ukrajině, jiný servírovaný z Rumunského stroje se snažil vydávat za různé služby Googlu, několik dalších ospravedlňovalo falešné stránky významných ruských bank, a jeden dokonce Apple iTunes.

středa 12. února 2014

Evropu a Spojené státy zasáhl největší DDoS všech dob

Ještě před týdnem byl historicky největším DDoS útokem ten na Spamhaus. Nyní je všechno jinak.

Matthew Prince, CEO CloudFlaru, řekl na Twitteru, že na jejich servery míří velký NTP reflection attack, který se zdá být vůbec největším v historii. Útok by měl mít totiž sílu 400 Gbps, tedy o 100 Gbps více, než útok na Spamhaus z loňského roku.

Paradoxní je, že minulý měsíc vyšel na blogu CloudFlare rozsáhlý článek věnující se právě na NTP založeným DDOS útokům, které v posledním době dělaly vrásky na čele mnohým herním serverům a poskytovatelům internetu.

Protokol NTP využívá UDP portu 123 a používá se pro synchronizaci vnitřních hodin počítačů po paketové síti s proměnným zpožděním. Tento protokol tedy zajišťuje, aby všechny počítače v síti měly stejný a přesný čas.

Odborníci trvdí, že tento protokol je velmi dobře zneužitelný k zesílení DDoS útoků, jelikož na krátkou žádost klidně i s podvrženou IP adresou odpoví poměrně dlouhou odpovědí. Seznam otevřených NTP serverů zároveň umožňuje útočníkovi provést DDoS proti téměř jakékoliv síti.

Nalezena Remote Code Execution zranitelnost v jednom z rozšíření pro Joomlu

Tisíce webových stránek běžících na CMS Joomla! a používajících rozšíření JomSocial je náchylných k Remote Code Execution útoku.

Rozšíření je v současné době uvedeno na seznamu zranitelných pluginů. Tato chyba je hojně zneužívána a několik desítek uživatelů již hlásilo, že jim někdo naboural webové stránky.

Chyba se nachází v kontroleru "photos". Parametry zpracovávané pluginem 'Azrul' nejsou řádně escapované a jsou rovnou předány funkci call_user_func_array. To umožňuje útočníkovi zavolat libovolnou statickou třídu s použitím libovolného množství parametrů. Nebo použít CStringHelper::escape a pak spustit libovolný PHP kód.

Platný požadavek by tedy mohl vypadat nějak takto:

POST / index.php HTTP/1.0
Host: example.com
...
option = community &
no_html = 1 &
task = azrul_ajax &
func = fotky, ajaxUploadAvatar &
TOKEN = 1 &
arg2 = ["_D_", "Event"] a
arg3 = ["_D_", "374"] a
arg4=["_d_","%7B%22call%22%3A%5B%22CStringHelper%22%2C%22escape%22%2C%20%22%40exit%28%40eval%28%40base64_decode%28%27ZWNobyAnSGVsbG8gV29ybGQnOw%3D%3D%27%29%29%29%3B%22%2C%22assert%22%5D%7D"]
Přičemž token je třeba nahradit 32 znaků dlouhým hexa kódem, který vyčteme ze skrytého input, jenž má hodnotu 1 a najdeme na každé stránce.

Všem administrátorům používajícím toto rozšíření se doporučuje aktualizovat na nejnovější verzi 3.1.0.4.

pondělí 10. února 2014

Z banky Barclays unikly osobní informace klientů - před 3 lety

Slavná britská banka Barclays byla tento pátek nařčena z toho, že někdo ukradl osobní a finanční údaje asi o 27000 jejích zákaznících, které neznámý útočník dále prodává.

Kauza byla publikována v The Mail on Sunday, a je založena pouze na částečné informaci - vzorku z ukradených. Zdroj údaje poskytl kvůli tomu, aby byli postižení zákazníci o problému informováni a lépe se tak připravili na případné telefonáty obchodníků.

Ukradené záznamy by měly obsahovat jméno zákazníka, datum narození, číslo národního pojištění, adresu, telefonní číslo, číslo pasu, zaměstnání, povolání, příjmy, rozsáhlé informace o finančním stavu, jakožto i jejich finanční cíle, a dokonce i některé informace o zdraví a soukromých zájmech.

Informátor - bývalý komoditní makléř - uvedl, že každý záznam byl ceněný na 50 liber (1600 Kč), a že mnozí obchodníci neváhali kradené údaje koupit. O souborech se měl dozvědět v září 2013, kdy byl šéfem společnosti požádán, aby data prodal dál, jelikož této firmě již nebyla k ničemu. Z reportérova vyšetřování ovšem vyplývá, že by informace mohly pocházet až z roku 2011.

Stále zůstává neznámou, jak byly záznamy ukradeny. Pravděpodobně se o tom postaral nějaký bývalý (nebo současný) zaměstnanec. Banka každopádně ihned zahájila vyšetřování. Zdá se však neuvěřitelné, že únik dat nebyl po celou tu dobu žádným kontrolním mechanismem banky zachycen.

Nový Mac trojan krade Bitcoiny

Aplikace by měla odesílat a příjímat platy na Bitcoin Stealth adresy, ale ve skutečnosti monitoruje provoz sítě a krade Bitcoiny.

Nový trojan má označení OSX/CoinThief.A a míří pouze na uživatele Mac OS X. Tento software byl distribuován přes aplikaci s názvem "StealthBit", která byla až do nedávné doby k dispozici na GitHubu. Možná se divíte, jakto, že si toho nikdo nevšiml, když jsou k dispozici zdrojáky. Je to jednoduché, kontrolní součty zdrojových kódů, které neodpovídali předkompilované verzi, si nikdo nezkontroloval.

Malware instaluje rozšíření do prohlížečů Safari a Google Chrome a samostatný program, který běží na pozadí. Všechny nainstalované aplikace pak sledují síťový provoz a hledají přihlašovací údaje k webovým stránkám zaměřeným na BTC a k BTC peněženkám. Zjištěné údaje pak hlásí vzdálenému kontrolnímu centru a případně se umí postarat i o samotné zcizení této virtuální měny. Rozšíření prohlížeče se tváří jako blokování vyskakovacích oken.

Vypadá to, že trojen nedosáhl příliš velkého rozšíření, ale při dnešních cenách bitcoinů se útočník mohl docela pěkně obohatit.

Co z tohoto případu vyplývá za ponaučení? Nevěřte všemu open-source softwaru, vždy kontrolujte kontrolní součty a úplně neznámé aplikace raději spouštějte ve virtuální mašině. Ukládání BTC na USB disk také není od věci.

neděle 9. února 2014

Google blokuje stránky využívající reklamní systém MadAdsMedia

Tisíce majitelů webových stránek, kteří využívají reklamní systém MadAdsMedia, bylo zřejmě velice překvapeno, když jim prohlížeč místo hlavní stránky zobrazil varování, že stránka obsahuje malware.

Ještě ráno nebylo známo, jestli Google zablokoval stránky nedopatřením, nebo jestli reklamní systém distribuoval malware. Nyní už je vše jasné, jeden ze serverů byl opravdu hacknut, a reklama obsahovala škodlivý kód.

Podle posledního vyjádření pracovníků společnosti MadAdsMedia se zatím, i přes usilovnou práci techniků, nepodařilo problém vyřešit a asi 8% reklamních rámů stále distribuuje malware.

Není to poprvé, kdy se útočníci zaměřili na on-line reklamní systém, nedávno muselo podobnému problému čelit třeba Yahoo!.

sobota 8. února 2014

Britská policie bude mít "zadní vrátka" do databáze NHS

Z rozhovoru s bývalým stínovým ministrem vnitra vyplývá, že policie nebude potřebovat k prohlížení zdravotních záznamům lidí žádné povolení.

National Health Service je označení tří veřejně financovaných zdravotních systémů ve Velké Británii, ve kterém je v současné době registrováno okolo 65 milionů lidí, přičemž Spojené království má v současné době okolo 62 milionů občanů. Novela se netýká pouze policie, nově by měli mít přístup do databáze i některé výzkumné týmy, licencovaná lekářská zařízení, ale i některé soukromé firmy. K dispozici by jim měly identifikátory v systému, data narození, PSČ, informace o etnickému původu, pohlaví a samozřejmě i některé zdravotnické záznamy.

Zastánci tvrdí, že novinka, která se netýká jen policie, povede zejména k obrovskému pokroku v medicíně, což bude v konečném důsledku zachraňovat životy, protože to umožní výzkumníkům sledovat, jaký dopad mají různé léky a způsoby léčby na pacienty.

Phil Booth ze společnosti medConfidential, která vede kampaň na ochranu soukromí pacientů, řekl: To je přesně to nebezpečí, které přichází, když vytvoříte obří databázi citlivých informací - všichni včetně vlády se chtějí k těmto informacím dostat.

Mluvčí ministerstva zdravotnictví se snaží kritiky uklidnit, údajně existují silné právní záruky, jež ochraňují soukromí pacientů. Pokud lidé nechtějí, aby byla nějaké data takto sdílena, mohou zajít za svým lékařem, který se postará o to, aby informace o zákroku nebyla nikomu dostupná.

Na Floridě byli zatčeni 3 překupníci bitcoinů

Tři muži byli obviněni z praní špinavých peněz. Podle odborníků jde o první případ, kdy byli prodejci bitcoinů obviněni na základě státních zákonů na obranu proti praní špinavých peněz.

Obvinění se pohybovali okolo webové stránky localbitcoins.com, která je pravděpodobně jedním z posledních zdrojů opravdu anonymních bitcoinů. Celý systém funguje na principu výměny bitcoinů za dolary tváří v tvář, na což překupníci také doplatili.

Tajnému agentovi se údajně podařilo přemluvit obviněné k předání bitcoinů za 30000 dolarů. Získané bitcoiny měl podle vymyšleného příběhu použít k nákupu kradených informací o kreditních kartách pocházejících z útoku na řetězec Target. Při následných domovních prohlídkách bylo u každého obviněného zadrženo okolo 400 dalších BTC.

Ze soudních dokumentů k případu také vyplývá, že všechny aktivity okolo této virtuální měny jsou velmi, velmi podrobně sledovány tajnými službami.

čtvrtek 6. února 2014

Syrian Electronic Army se podařilo hacknout Facebook

Nebojte se, Vaše soukromé fotky zůstanou pořád soukromé a Vaše zprávy nevisí nikde na internetu.

Omlouvám se za trochu bulvární titulek. Ve skutečnosti se lidem z SEA podařilo nabourat "pouze" správce Facebookových domén, konkrétně společnost MarkMonitor Inc., které ovšem spravuje domény i PayPalu nebo Ebaye.

MarkMonitor Administrator panel

Syrian Electronic Army pozměnila kontaktní informace náležící k Facebookové doméně. Hackerům se nakonec nepodařilo doménu unést, proces změny nameserverů údajně trval příliš dlouho. Pokud by byl útok úspěšný, bylo by postiženo řádově několik milonů uživatelů.

Útok by měl být odpovědí na nedávné smazání účtů několika disidentů, kteří měli publikovanými informacemi porušovat podmínky Facebooku. Údajně tak došlo ke ztrátě velice důležitých informací o vnitřních konfliktu v Sýrii.

Lovecké sezóna v Sochi právě začíná

Z místa konání olympijských her přicházejí zprávy o bezpečnostních opatřeních, které ruská vláda podnikla. Vypadá to, že co se týče kybernetické bezpečnostni návštěvníků, organizátoři si s ní příliš hlavu nelámou.

Ano, je to tak. Podle amerického reportéra stanice NBC Richarda Engela jsou všechny wi-fi sítě v Sochi odposlouchávány mnoha hackery. A u wi-fi sítí to zdaleko nekončí. Z notebooků a smartphonů připojených k těmto sítím jsou údajně stahována privátní data.

Aby nedošlo k pochybnostem, že si reportér malware do Sochi přivezl, byly zakoupeny úplně nové notebooky i smartphony. A výsledek? Do 15 minut byly všechny přístroje nakažené. A podvržené e-mailové adresy byly v několika málo minutách plné personalizovaných nabídek.

Podle pracovníků z KasperskyLab, společnosti, která má na starosti právě kybernetickou bezpečnost her, se v Sochi nachází tolik zařízení, že není v jejich silách zabránit všem útokům.

Kdo za útoky stojí není jisté. Možná se jedná o práci tajných služeb, nikdo by se tomu ostatně nedivil. Jiné hlasy ale mluvím o tom, že by mohlo jít o poměrně trapnou propagandu NSA, která by se tímto mohla snažit odvrátit pozornost od svých vlastních kauz.

středa 5. února 2014

Kritická zranitelnost Adobe Flash Playeru hojně zneužívána, aktualizujte

Firma Adobe vydala nouzovou opravu kritické zranitelnosti postihující Flash Player pro Windows, Linux a OS X.

Pokud se útočníku podaří chyby využít, může získat vzdálený přístup k počítači oběti.

Zranitelnost objevili asi před týdnem odborníci z Kaspersky Lab při analýze neznámého SWF exploitu. První technické informace ovšem poskytli až dnes, po uvolnění opravy.

Škodlivý SWF soubor nejdříve provede kontrolu verze operačního systému na kterém Flash Player běží. Pokud se jedná o exploitovatelný systém, je řízení předáno fuknci, která sestaví ROP řetězec v závislosti na verzi Flashe a OS. Poté už je chování celkem předvídatelné, dojde ke stažení a spuštění malwaru, který krade hesla ze schránek různých programů (Foxmail, OperaMail, Opera, Mozilla Firefox, Safari, IncrediMail, Pidgin, Thunderbird apod.), z formulářů pro přihlášení na rozličné webové stránky (např. Twitter, Facebook, Yandex.ru, Mail.ru nebo Yahoo) a který se také postará o otevření zadních vrátek do systému.

Exploit je schopný pracovat na následujících verzích Flash Playeru:

  • 11.3.372.94
  • 11.3.375.10
  • 11.3.376.12
  • 11.3.377.15
  • 11.3.378.5
  • 11.3.379.14
  • 11.6.602.167
  • 11.6.602.180
  • 11.7.700.169
  • 11.7.700.202
  • 11.7.700.224
Společnost Adobe důrazně doporučuje aktualizace Vašeho softwarového vybavení.