CERT RSS

Pretplati se na CERT RSS feed
Osvježeno: prije 53 minute 28 sekundi

Google Chrome upozorenja za nesigurne HTTP stranice

prije 3 sata 35 minuta

Google je u siječnju počeo prikazivati upozorenja u adresnoj traci web preglednika Chrome o nesigurnim web stranicama koje zahtijevaju unos lozinke ili podataka o kreditnoj kartici.

Stručnjaci iz Chrome Security tima tvrde da se broj posjećivanja HTTP stranica koje zahtijevaju unos povjerljivih informacija smanjio za 23% od inačice Chrome 56, a da u inačici 62 žele napraviti još veći pomak. Nova inačica očekuje se u listopadu ove godine, a njome će se sigurnosna upozorenja pojavljivati za unos bilo kojih podataka na HTTP stranicu, ali i za bilo koju HTTP stranicu otvorenu u anonimnom prozoru. Kao objašnjenje za ovakav postupak navode da lozinke i podaci o kreditnim karticama nisu jedini tipovi podataka koji bi trebali biti privatni, već ni jedan korisnički podatak ne bi trebao biti dostupan drugim korisnicima na mreži.

HTTP stranice šalju podatke u tekstualnom formatu od web pretraživača do poslužitelja, stoga prijenos tih podataka nije siguran. No svijest o zaštiti podataka sve više raste iako većina korisnika kod otvaranja anonimne kartice ima lažan dojam o privatnosti i sigurnosti. Stručnjaci naglašavaju da će Chrome postepeno stavljati sigurnosna upozorenja na sve HTTP stranice, bez obzira jesu li ili nisu otvorene u anonimnom prozoru.

Sve više web sjedišta svakodnevno koristi HTTPS protokol, a projekti poput "Let's encrypt" koji pružaju besplatne TLS certifikate velikim su djelom zaslužni za to.

27.04.2017threatpost.com array(0) { }

Otkrivena je ranjivost u pregledniku Microsoft Edge

uto, 2017-04-25 16:00

Otkrivena je ranjivost u pregledniku Microsoft Edge koja napadaču omogućava dohvaćanje korisničkih lozinki i kolačića vezanih uz razne mrežne usluge. Ranjivost je otkrio sigurnosni stručnjak Manuel Caballero koji već dulji niz godina pronalazi ranjivosti u preglednicima Edge i Internet Explorer.

Posljednja u nizu ranjivosti što ih je Caballero otkrio odnosi se na premošćivanje SOP (Same Origin Policy) funkcionalnosti koja je onemogućavala stranici A da pokreće skripte sa stranice B. Ovaj propust omogućava napadaču pokretanje zlonamjernog koda u trenutku kada žrtva pristupi zaraženoj stranici. Sam primjer napada te više različitih metoda prikazan je u video primjeru napada dostupnom na ovoj poveznici.

Sigurnosni stručnjak Manuel Caballero tvrdi kako se napad može izvesti na više načina te kako može poslužiti za dohvaćanje podataka vezanih uz razne usluge servisa Twitter, Facebook, Amazon i drugih. Također napominje da bi ovaj napad mogao zahvatiti mnogo veći broj korisnika kada bi napadač koristio reklame za širenje zlonamjernog sadržaja.
 

 

24.04.2017bleepingcomputer.com array(0) { }

Zlonamjerni sadržaj tri godine dostupan na Google Play trgovini

pet, 2017-04-21 16:30

Android aplikacija imena "System Update" nalazi se na službenoj Google Play Trgovini od 2014. godine, kada je zadnji put nadograđena, iako sadrži Spyware zlonamjerni sadržaj.

Google je službeno djelovao tek ovaj tjedan, nakon što je zaprimio prijavu tvrtke za sigurnost mobilnih uređaja Zscaler, ali prije no što je sporna aplikacije uklonjena preuzelo ju je između milijun i pet milijuna korisnika.

Informacije o aplikaciji na Google Play trgovini bile su veoma šturo navedene i sastojale su od jednostavnog opisa prema kojem aplikacija "vrši nadograđivanje sustava te omogućava posebne mogućnosti lociranja". Iz osvrta se korisnika može iščitati kako aplikacija ne vrši nadogradnju te kako nakon prvog pokretanja nestaje sa zaslona.

Prema stručnjacima iz tvrtke Zscaler, koji su navedenu aplikaciju detaljno ispitali, "System Update" djeluje poput zlonamjernog sadržaja iz Spyware skupine SMSVova te prikuplja podatke o zadnjoj poznatoj lokaciji korisnika i pohranjuje ih na uređaj.

Napadač, nakon što dođe do preuzimanja zlonamjernog sadržaja na uređaj, može pokrenuti naredbe putem kojih može dohvatiti trenutnu lokaciju korisnika, ali i izmijeniti lozinku uređaja.

Istraživači nisu mogli utvrditi iz kojih razloga napadači prikupljaju podatke o lokaciji korisnika, ali smatraju kako ova informacija može biti iskorištena na više načina.

20.04.2017bleepingcomputer.com array(0) { }

Godišnji izvještaj rada Nacionalnog CERT-a

sri, 2017-04-19 11:41

Objavljen je godišnji izvještaj o aktivnostima Nacionalnog CERT-a u 2016. godini u kojem je dan pregled sigurnosti na Internetu u Republici Hrvatskoj i u svijetu.

U 2016. godini Nacionalni CERT, odjel Hrvatske akademske i istraživačke mreže - CARNet, nastavio je svoju proaktivnu i reaktivnu ulogu kako bi se smanjio rizik od pojave sigurnosnih incidenta i umanjila šteta pri njihovom nastupanju. Nastavio je razvijati suradnju s institucijama izvan RH kao što su drugi CERT timovi i institucijama EU-a i NATO-a te s ostalim tijelima unutar RH, a sve u svrhu razvitka zajedničkih interesa u području informacijske sigurnosti.

Nacionalni CERT u 2016. godini ostvario je značajne pomake na području nacionalne i međunarodne suradnje, daljnjeg usavršavanja djelatnika te na području povećanja razine spremnosti na odgovor na sve složenije sigurnosne izazove. Godišnji izvještaj možete pronaći na ovoj poveznici.

19.04.2017cert.hr array(0) { }

Ranjivost Magento online trgovine

pet, 2017-04-14 13:08

Sigurnosni stručnjaci iz tvrtke DefenseCode otkrili su ranjivost na platformi za e-trgovinu Magento koja napadačima dozvoljava postavljanje i pokretanje zlonamjernog koda na poslužiteljima online trgovina.

Neotklonjena ranjivost nalazi se u funkcionalnosti koja dohvaća naslovne slike za video sadržaj objavljen na usluzi Vimeo. U slučaju kada URL fotografije pokazuje na neku drugu datoteku, na primjer PHP skriptu, Magento će je svejedno preuzeti kako bi je ovjerio. Ako se ne radi o slikovnoj datoteci, pojavit će se "Disallowed file type" obavijest, no datoteka neće biti uklonjena s poslužitelja. Potencijalni napadač ovu ranjivost mogao bi iskoristiti za izvršavanje proizvoljnog programskog koda tako da najprije navede Magento na preuzimanje .htaccess konfiguracijske datoteke koja omogućava pokretanje PHP skripte unutar mape za preuzimanje, a zatim preuzme zlonamjernu PHP datoteku. PHP datoteka, kada dođe do poslužitelja, djeluje kao backdoor i omogućava udaljeni pristup što napadačima pruža mogućnost otkrivanja povjerljivih informacija.

Ranjivost je moguće iskoristiti jedino ako napadač ima pristup korisničkom računu na zahvaćenom web sjedištu. Korisnici svoje podatke mogu učiniti dostupnima ako posjete posebno oblikovanu web stranicu, a u pozadini imaju pokrenutu uslugu Magento.

Magento u pisanoj izjavi navodi da istražuju navedeni propust te nisu upoznati sa slučajevima u kojima je došlo do uspješnog iskorištavanja ranjivosti te da će je otkloniti u jednoj od sljedećih nadogradnji. Stručnjaci iz tvrtke DefenseCode savjetuju svim korisnicima da koriste opciju "Add Secret Key to URLs" kako bi smanjili razinu prijetnje.

13.04.2017pcworld.com array(0) { }

Microsoft Word dokumenti šire Dridex

uto, 2017-04-11 15:58

Zaraženi dokumenti koji iskorištavaju zero day ranjivost programa Microsoft Word poslani su milijunima korisnika diljem svijeta. Cilj je napada širenje malvera Dridex, jednog od najopasnijih bankovnih malvera na Internetu.

Ranjivost je značajna po tome što zaobilazi sigurnosna ograničenja ugrađena u operacijski sustav Windows, ne iziskuje omogućavanje makro naredbi te se odnosi i na operacijski sustav Windows 10 kojeg se smatra najsigurnijim operacijskim sustavom Windows.

Navedeni sigurnosni propust pogađa sve verzije programa Word za operacijski sustav Windows, a do sada nije isključena mogućnost da se propust može iskoristiti za kompromitaciju računala na Mac operacijskom sustavu.

Sigurnosni su stručnjaci iz tvrtki McAfee i FireEye upozorili kako se zlonamjerni Word dokument prilaže porukama elektroničke pošte, ali nisu otkrili rasprostranjenost te konačan cilj same kampanje.

Microsoft, koji je prema podacima dobivenih iz tvrtke McAfee upoznat s ranjivošću još od siječnja ove godine, još uvijek nije objavio sigurnosnu preporuku koja bi se odnosila na ovu ranjivost.

Prema riječima sigurnosnih stručnjaka iz više tvrtki, vjeruje se kako će Microsoft otkloniti ranjivost u sklopu svojih tjednih nadogradnji svakog utorka. No upozoravaju kako opasnost još uvijek postoji te savjetuju korisnicima da s oprezom pristupaju otvaranju Word dokumenata koje su primili putem elektroničke pošte, čak i kada su pošiljatelji pouzdane osobe.

Istraživači iz tvrtke McAfee ustanovili su kako se opasnost otklanja ako se dokumenti pregledavaju u "Zaštićenom prikaz" (engl. Protected View).

11.04.2017arstechnica.com array(0) { }

Mreža botova koja uništava mrežne uređaje

pet, 2017-04-07 16:44

Sigurnosni su stručnjaci otkrili niz napada kojima je cilj oštećenje usmjernika, premosnika i ostalih uređaja spojenih na Internet u toj mjeri da u potpunosti onemogući rad uređaja.

PDoS botovi (engl. Permanent Denial-of-Service) pretražuju Internet tražeći uređaje koji koriste Linux operacijski sustav, a kod kojih se administracijskom sučelju može udaljeno pristupiti koristeći tvornički zadane podatke za prijavu. Jednom kada bot pronađe ranjivi uređaj, dolazi do pokretanja niza naredbi koje brišu podatke pohranjene na uređaju, onemogućavaju rad uređaja te prekidaju njegovu vezu s Internetom. Kada se u obzir uzmu vrijeme i trošak popravka samog uređaja, za tipičnog je korisnika zaraženi uređaj nepodoban za korištenje i popravak.

U periodu od četiri dana tijekom prošlog mjeseca, sigurnosni su stručnjaci iz tvrtke Radware otkrili gotovo 2250 pokušaja PDoS napada na uređaje u tu svrhu razvijenom honeypotu. Napadi su dolazili iz dva botnet izvora, nazvana BrickerBot.1 i BrickerBot.2. BrickerBot.1 je u međuvremenu ugašen, ali je BrickerBot.2 nastavio s napadima te se pokušava spojiti s uređajem u Radware honeypotu svakih dva sata. Navedeni botovi napadaju stvarne uređaje koji koriste tvornički zadane postavke te ne ostavljaju jednoznačne tragove po kojima bi korisnik mogao odrediti što se dogodilo i zašto.

06.04.2017arstechnica.com array(0) { }

Otkrivena nova prijetnja za korisnike Android uređaja

uto, 2017-04-04 15:54

Prošloga je ljeta objavljeno kako je poznata grupa trgovaca "cyber oružjem" NSO Group razvila mobilni spyware nazvan Pegasus kojim su brojne agencije na nacionalnoj razini vršile promatranje aktivista na području Bliskog Istoka. Ova inačica namijenjena iOS operacijskom sustavu koristila je tri različita propusta u iOS operacijskom sustavu, nazvana Trident, kako bi omogućila napadaču preuzimanje zlonamjernog sadržaja na zaraženi uređaj. Nakon preuzimanja zlonamjernog sadržaja, napadač može u potpunosti nadgledati rad uređaja. Apple je na otkrivanje Pegasusa reagirao nadogradnjom sustava kako bi zaštitio svoje korisnike na uređajima iPhone i iPad.

Međutim, zajedničkom akcijom sigurnosnih stručnjaka iz tvrtki Google i Lookout otkriven je novi spyware namijenjen uređajima na Android operacijskom sustavu. Google je novu prijetnju prigodno nazvao Chrysaor, prema bratu mitskog Pegaza, upravo zato što se ova dva malvera veoma slično ponašaju u različitim okruženjima. Obje verzije imaju mogućnost praćenja tipaka na zaslonu, prenošenja slike i zvuka, pristupa podacima različitih preuzetih aplikacija kao što su WhatsApp, Skype, Facebook i Twitter te uvida u povijest preglednika i imenik uređaja. Poput iOS verzije, Chrysaor također posjeduje mogućnost samouništenja te brisanja tragova o svojem postojanju sa zaraženog uređaja kako bi otežao otkrivanje prijetnje.

Za razliku od Pegasusa koji je uređaju pristupao putem navedenih ranjivosti, Chrysaor koristi tehniku "Framaroot" koja napadaču dopušta promjenu dozvola na uređaju te preuzimanje zlonamjernog sadržaja. Zlonamjerni se sadržaj, u slučaju malvera Chrysaor, preuzima kada korisnik, nakon što pristupi phishing stranici, odabere opciju koja mu nudi preuzimanje "legitimnog" sadržaja na uređaj.

U suradnji sa stručnjacima iz tvrtke Lookout, Google je o prijetnji obavijestio moguće mete, onemogućio preuzimanje zlonamjernog sadržaja te ponudio informacije o otklanjanju. Kako se danas koristi sve veći broj mobilnih uređaja, polje njihove sigurnosti postaje sve važnije pitanje u kontekstu računalne sigurnosti te stručnjaci iz obje tvrtke upozoravaju kako će broj mogućih prijetnji sve više rasti, a zlonamjerni će sadržaj postajati sve složenijim što će njegovo otkrivanje dodatno otežati.

 

04.04.2017zdnet.com array(0) { }

Pronađene zlonamjerne reklame u aplikaciji Skype

pet, 2017-03-31 15:53

Više je korisnika usluge Skype izrazilo zabrinutost što se u aplikaciji pojavljuju reklame koje, u slučaju pristupa, vode do zlonamjernog sadržaja.

Vijesti o ovome propustu prvi su se put pojavile na društvenoj mreži Reddit i u njima se navodi kako se na početnoj stranici aplikacije Skype pojavljuje lažna, zlonamjerna reklama koja korisniku savjetuje preuzimanje nadogradnje za Flash aplikaciju.

Prema navedenome, pristupom se na reklamu pokreće preuzimanje HTML aplikacije koja se izgledom doima legitimnom, ali koja, nakon pokretanja, preuzima zlonamjerni sadržaj koji šifrira podatke na računalu i traži otkupninu za dešifriranje.

Korisnik koji je prijetnju primijetio nije pokrenuo aplikaciju već je analizirao zlonamjerni sadržaj i rezultate analize postavio na Reddit.

Reklama koja je korisnicima savjetovala preuzimanje lažne Flash nadogradnje namijenjena je računalima s Windows operacijskim sustavom. Antivirusni programi nisu mogli otkriti prijetnju zbog načina na koji se sadržaj preuzimao, a domena na kojoj se sadržaj nalazio više nije dostupna što onemogućava točno utvrđivanje vrste zlonamjernog sadržaja, iako se s velikom sigurnošću može reći kako je najvjerojatnije riječ o ransomware tipu malvera.

Prijetnje ovoga tipa nisu novost te se ovu prijetnju može promatrati kao nastavak nedavne ransomware Locky kampanje upravo zbog sličnosti u načinu širenja zlonamjernog sadržaja.

Nije poznato koliko je različitih domena korišteno u ovoj kampanji, ali može se pretpostaviti kako su korištene domene registrirane te obrisane u kratkom roku kako bi se spriječila identifikacija napadača te onemogućio rad sigurnosnih stručnjaka na otklanjanju prijetnje.

Ova prijetnja nije prva zabilježena prijetnja putem reklama ugrađenih u aplikaciju Skype. 2015. godine portal Threadpost izvijestio je kako su primijećene zlonamjerne reklame u aplikaciji Skype, a slične su prijetnje zabilježene i u 2016. godini.

Microsoft se, za sada, još uvijek nije službeno oglasio navedenoj prijetnji.

30.03.2017zdnet.com array(0) { }

Otkriven sigurnosni propust na Docs.com

uto, 2017-03-28 15:58

Otkriven je sigurnosni propust na Microsoft web sjedištu za besplatno dijeljenje dokumenata Docs.com koje je povezano s uslugom Office 365 te se koristi za dijeljenje i uređivanje dokumenata. Potencijalni propust predstavlja tražilica koja se nalazi na početnoj stranici usluge, a putem koje se može pristupiti svim dokumentima postavljenima na web sjedištu.

Nažalost, velik broj korisnika nije bio upoznat ni s radom stranice ni s činjenicom kako su svi postavljeni dokumenti javno dostupni. Microsoft u službenom opisu usluge navodi kako je "Docs.com usluga koja korisnicima dopušta stvaranje i dijeljenje portfolija sa suradnicima, kolegama, autorima te dolazi s nizom ugrađenih usluga poput analitičkih alata, elektroničke pošte i alata za dijeljenje većem broju korisnika" što ne sugerira mnogo o eventualnoj dostupnosti dokumenata putem tražilica.

No, velik broj korisnika Docs.com koristi kako bi dijelili sadržaj među sobom unutar neke organizacije, ali i ciljano suradnicima izvan matičnih organizacija. Nažalost, nisu imali na umu činjenicu da se njihovi dokumenti indeksiraju te postaju dostupni putem tražilica.

Unutar samo nekoliko sati sigurnosni su stručnjaci otkrili cijeli niz dokumenata s povjerljivim podacima, od čega je značajan broj bio dostupan pretragom ključnih riječi "lozinka" i "broj računa".

Ubrzo nakon što je obaviješten Microsoft, tražilica je uklonjena s početne stranice usluge Docs.com, ali još uvijek postoje ugrađene tražilice za pretragu svih dokumenata dostupnih putem ove usluge, a velikom je broju dokumenata moguće pristupiti i putem tražilica Google i Bing.

Microsoft je ranije objavio dokument u kojem se Office 365 administratorima savjetuje o načinima na koje mogu upravljati korisničkim ovlastima te im ograničiti pristup dokumentima. U dokumentu se navodi kako, zbog činjenice da Docs.com ne zadovoljava okvire što ih postavlja usluga Office 365, administratori moraju vlastoručno odobriti korisničke račune korisnika koji bi se uslugom Docs.com htjeli služiti.

Microsoft je tijekom jučerašnjeg dana pokušavao otkloniti pronađeni propust, a korisnicima je savjetovano da podese postavke svojeg sigurnosnog računa prijavom na web sjedište Docs.com

 

27.03.2017arstechnica.com array(0) { }

Word dokument širi makro malver

pet, 2017-03-24 16:03

Nakon što su sigurnosni stručnjaci prošli mjesec otkrili prvi ikada World dokument koji je dijelio maliciozni sadržaj putem makro funkcionalnosti na macOS-u, prošli je tjedan otkriven Word dokument koji istovremeno širi zlonamjerni sadržaj kako na Windows tako i na macOS operacijskim sustavima.

Zlonamjerne Office datoteke s priloženim makro skriptama koje preuzimaju zlonamjerni sadržaj se u kontekstu računalne sigurnosti nazivaju "makro malverima".

Prvi su se "makro malveri" na Windows operacijskim sustavima pojavili 90-ih godina, ali do nedavno nisu mogli zaraziti računalo s macOS operacijskim sustavom čak i u slučaju kada su bili otvoreni u odgovarajućoj verziji paketa Office za macOS.

Prvi, u potpunosti razvijen i funkcionalan macOS makro malver primijetili su početkom veljače sigurnosni stručnjaci iz tvrtke Symantec i Synack. Zlonamjerni je Word dokument koristio Python kod ugrađen u makro skriptu kojim se omogućavalo preuzimanje zlonamjernog sadržaja s udaljenog poslužitelja.

Prošlog su tjedna sigurnosni stručnjaci iz tvrtke Fortinet otkrili sličan Word dokument koji je na isti način širio zlonamjerni sadržaj. Za razliku od prvog macOS makro malvera, ova inačica prilikom pokretanja pokušava utvrditi o kojem je operacijskom sustavu riječ te nakon određivanja pokreće odgovarajuću funkcionalnost.

Bez obzira na operacijski sustav, obje se inačice slično ponašaju. Nakon pokretanja spajaju se na C&C poslužitelj te na računalo preuzimaju zlonamjerni sadržaj. Ova sigurnosna prijetnja predstavlja prvi zabilježeni slučaj napada u kojem je u jednoj makro funkcionalnosti objedinjen zlonamjerni sadržaj i za Windows i za macOS operacijske sustave.

Iako ovakvi incidenti ne predstavljaju novost za korisnike operacijskih sustava Windows, korisnici bi se macOS operacijskih sustava trebali upoznati te pripremiti za ovu novu prijetnju.

23.03.2017bleepingcomputer.com array(0) { }

Ransomware Locky gubi na zastupljenosti

uto, 2017-03-21 15:55

U proteklih je 6 mjeseci broj zaraza ransomwareom Locky u padu te se očekuje kako će krajem ovog mjeseca dostići najmanji broj zaraza mjesečno u povijesti svojeg djelovanja. Otkad je prvi put zabilježen, u veljači 2016. godine, Locky je bio jedna od najaktivnijih i najprisutnijih vrsti ransomwarea na internetu.

Od početka djelovanja moglo se jasno zaključiti kako je za rast ransomwarea Locky zaslužna botnet mreža Necurs koja se koristila za slanje spam pošte. Prije no što se Locky pojavio, Necurs je isključivo korišten za širenje bankarskog trojanca imena Dridex. Ubrzo nakon pojave ransomwarea Locky, Necurs počinje zamjenjivati Dridex novim zlonamjernim sadržajem. U kojoj je mjeri mreža Necurs zaslužna za širenje ransomwarea Locky govori podatak kako je Locky prvi ransomware kojeg je sigurnosna tvrtka Check Point navela kao 3 najveće malver prijetnje u rujnu 2016. godine.

Početkom 2017. godine mreža Necurs počinje u sve manjoj mjeri širiti ransomware Locky, a sve češće ostale vrste ransomwarea kao što su Cerber, Spora i Shade. Značajno je kako je Locky u 2016. godini nadograđivan na mjesečnoj bazi te je kroz svoj razvoj prolazio kroz ekstenzije Zepto, Odin, Shit, Thor, Aesir, ZZZZZ i Osiris. No, u 2017. godini nije zabilježena ni jedna nova inačica.

Na temelju ovih podataka može se zaključiti kako postoji veza između ransomwarea Locky i botnet mreže Necurs. Upravo je najveći dio spam pošte kojom se širio Locky poslan s Necurs mreže što daje naslutiti kako se iza ransomwarea Locky i botnet mreže Necurs nalazi ista grupa. Kako u 2017. godini nije zabilježena nova inačica ovog ransomwarea te je broj zabilježen incidenata u značajnom padu, možemo očekivati kako će se trend opadanja nastaviti te će se Locky prestati koristiti, a u najboljem se slučaju možemo nadati kako će osobe zaslužne za razvijanje ovog ransomwarea dati na javnom korištenje dati ključeve za dešifriranje podataka kao što je napravila grupa TeslaCrypt.

20.03.2017bleepingcomputer.com array(0) { }

Korištenje DMARC-a moglo bi iskorijeniti spam

pet, 2017-03-17 15:55

Stručnjaci iz Nacionalnog centra za kibernetičku sigurnost Ujedinjenog Kraljevstva tvrde kako nas jedan korak dijeli od kraja spam pošte. Kibernetički kriminal poput phishinga i distribucije malvera mogao bi, prema riječima sigurnosnih stručnjaka, biti iskorijenjen kada bi se poduzeli određeni jednostavni koraci u borbi protiv zlonamjernih aktivnosti. Ti koraci podrazumijevaju usvajanje koncepta "aktivne obrane" za koji se smatra kako bi trebao imati veliki značaj u prevenciji manje prisutnih aktivnosti kibernetičkog kriminaliteta na internetu.

Aktivna se obrana odnosi na otklanjanje propusta te ispravljanje grešaka u trenutačnoj internetskoj infrastrukturi s ciljem onemogućavanja obavljanja kriminalnih aktivnosti.

Značajna je činjenica kako spam, iako je veoma jednostavan oblik kibernetičkog kriminala, još uvijek zauzima ključno mjesto u arsenalu kibernetičkih kriminalaca te ga se koristi za dijeljenje malvera i ransomwarea te za phishing kampanje. Sigurnosni stručnjaci iz Nacionalnog centra za kibernetičku sigurnost Ujedinjenog Kraljevstva napominju kako bi se prijetnja mogla značajno umanjiti kada bi se poduzeo niz praktičnih koraka.

Jedan od prijedloga je korištenje DMARC-a (engl. Domain-based Message Authentication, Reporting & Conformance) te autentikacije putem adrese elektroničke pošte. Na ovaj bi se način korisniku omogućilo razlučivanje legitimne od spam pošte uz cjelovremeno slanje izvještaja i sigurnosnih preporuka. Nažalost, nedavnim je istraživanjem ustanovljeno kako se ovi mehanizmi ne koriste često, tj. kako se DMARC-om služi svega 15% tvrtki za pružanje usluga vezanih uz kibernetičku sigurnost.

Unatoč slaboj zastupljenosti, stručnjaci navode kako bi implementacija DMARC-a zadala snažan udarac kibernetičkim kriminalcima te omogućila značajno višu razinu sigurnosti. No implementacija DMARC-a predstavlja veoma složen proces i pogrešno podešavanje navedenog može dovesti do onemogućavanja slanja i primanja pošte.

U izvješću Nacionalnog centra za kibernetičku sigurnost Ujedinjenog Kraljevstva kao jedna od najvećih prijetnji poslovnom sektoru navedena je upravo povećana prisutnost malvera. U tekstu se navodi kako kibernetički kriminalci koji razvijaju zlonamjerni sadržaj cijelo vrijeme rade na novim načinima kako izvesti uspješan napad ili otkriti neku ranjivost u sustavu. Izvješće završava posebnim upozorenjem koje se odnosi na rastuće, sigurnosno osjetljivo područje IoT uređaja te se posebno ističe sve veća važnost pravovremenog odgovora na sve veću razinu prijetnji.

 

17.03.2017zdnet.com array(0) { }

Novi Imeij IoT malver cilja AVTech opremu

uto, 2017-03-14 15:56

Nova vrsta malvera nazvana Imeij otkrivena je u nadzornoj opremi koju proizvodi tajvanski proizvođač AVTech. Prema istraživačima tvrtke Trend Micro, malver iskorištava sigurnosni propust kojeg inženjeri tvrtke AVTech nisu uspjeli otkloniti zakrpom iz listopada 2016. godine.

U protekloj je godini zabilježen porast broja IoT malvera koji se u sve većoj mjeri koriste prilikom izvršavanja DDoS napada. Iako je dugo vremena malver GafGyt bio najzastupljeniji IoT malver, u 2016. godini je zabilježen uzlet novih vrsta malvera kao što su Mirai, LuaBot, Rex, PNScan, LizardStresser, Hajime te drugih. 

U usporedbi s 2016. godinom, 2017. godina donosi manji broj novih IoT prijetnji što je objašnjeno pretpostavkom kako napadači nadograđuju postojeće vrste malvera, umjesto razvijanja potpuno novih. Tako je prva nova vrsta malvera zabilježena ove godine upravo Imeij malver kojeg su pronašli istraživači tvrtke Trend Micro.

Malver Imeij nije složen poput ostalih IoT malvera te koristi samo jedan sigurnosni propust za napade. Informacije su o navedenom propustu objavili u listopadu 2016. godine sigurnosni stručnjaci iz tvrtke Search-Lab nakon neuspjelih pokušaja kontaktiranja tajvanskog proizvođača AVTech. Pet mjeseci nakon objave informacija o propustu, razvijen je malver Imeij koji koristi jedan od 14 objavljenih propusta kako bi zaraženu opremu uključio u DDoS botnet mrežu. Malver, koji napada ARM uređaje bazirane na Linuxu, prikuplja podatke o zaraženom uređaju, šalje ih na udaljeni poslužitelj te može, na zahtjev napadača, pokrenuti DDoS napad. Valja napomenuti kako navedeni malver na zahtjev napadača ima mogućnost brisanja tragova o svojem postojanju sa zaraženog računala. 

Imeij nema sličnosti s ostalim vrstama malvera koji napadaju IoT uređaje te za razliku od malvera Mirai koji cilja veći broj IoT platformi i koristi brute force napade kako bi dobio pristup uređaju, malver Imeij širi sam napadač tražeći AVTech uređaje te pristupajući njima putem poznatog propusta.

 

14.03.2017bleepingcomputer.com array(0) { }

Na Google Play trgovini pronađen veoma složeni adware

pet, 2017-03-10 15:35

Sigurnosni su stručnjaci otkrili novu vrstu adware malvera koji cilja Android uređaje, a koji je uspješno pronašao put do Google Play trgovine. Ova nova vrsta adware malvera, nazvana "Skinner", uspjela je impresionirati sigurnosne stručnjake koji tvrde kako razina kompleksnosti ovog malvera nije uobičajena kod ostalih adware malvera.

Prema istraživačima tvrtke "Check Point", koji su prvi primijetili ovu novu prijetnju, "Skinner" malveri su veoma vješto prikriveni te se prikazuju kao jedan od modula aplikacije u koju su ugrađeni.

Za razliku od ostalih vrsta malvera koji koriste komercijalne alate za prikrivanje kodova, "Skinner" koristi vlastiti alat koji onemogućava sigurnosnim stručnjacima brzu analizu i otkrivanje prijetnje.

Prije pokretanja, "Skinner" radi niz provjera koje su slične provjerama što ih rade malveri koji su namijenjeni računalima, ali su netipične za malvere koji ciljaju mobilne uređaje.

"Skinner" se neće pokrenuti sve dok korisnik samostalno ne pokrene aplikaciju. Nakon što ovaj uvjet bude zadovoljen, malver će pokušati provjeriti je li riječ o stvarnom mobilnom uređaju ili je pokrenut u emulatoru. Kao zadnju provjeru, malver će pokušati ustanoviti je li aplikacija koju korisnik pokreće preuzeta s Google Play trgovine.

U slučaju da su zadovoljeni svi uvjeti, "Skinner" će početi prikupljati podatke sa zaraženog uređaja te će ih slati na adrese C&C poslužitelja.

Nakon što uspješno prikupi podatke korisnika, malver će početi prikazivati reklame koje su vezane uz aplikacije slične preuzetoj kako bi umanjio sumnju korisnika da je uređaj zaražen.

Ovakvo složeno ponašanje pri kojem adware malver prikazuje reklame koje djeluju kao da su namijenjene korisniku i činjenica kako koristi vlastiti alat za prikrivanje uz izvođenje provjera okoline, odvaja ovaj malver iz skupine uobičajenih Android adware malvera.

Prema podacima što ih je objavila tvrtka "Check Point", "Skinner" je pronađen u samo jednoj aplikaciji dostupnoj na Google Play trgovini. Iako je spornu aplikaciju koristilo svega 10 000 ljudi, zabrinjavajuć je podatak kako je ovaj malver neometano djelovao 2 mjeseca do trenutka kada je otkriven.

10.03.2017bleepingcomputer.com array(0) { }

WikiLeaks objavio detalje o alatima i resursima za hakiranje od CIA-e

sri, 2017-03-08 15:49

Wikileaks je objavio velik broj povjerljivih podataka poveznih s CIA-om te se s velikom sigurnošću može reći kako je riječ o najvećoj objavi povjerljivih podataka povezanih s CIA-om ikada.

U sklopu WikiLeaks akcije nazvane "Year Zero" u utorak, 7. veljače, objavljen je prvi dio arhive nazvan "Vault 7" koji se sastoji od 8761 dokumenta u kojima su navedene informacije o nizu sigurnosnih propusta kod uređaja koji koriste iOS, Android i Microsoft Windows operacijske sustave.

WikiLeaks je potvrdio kako je riječ o dokumentima koji su dobavljeni iz CIA-ine cyber obavještajne službe. Samu autentičnost objavljenih podataka teško je dokazati, ali kako WikiLeaks ima dugu povijest objave povjerljivih dokumenata, za očekivati je kako su objavljeni dokumenti autentični.

Inicijalna je analiza dokumenata pokazala visoku razinu sposobnosti CIA-e da, između ostalog, ostvari pristup pametnim telefonima i popularnim aplikacijama za dopisivanje putem društvenih mreža, npr. WhatsApp aplikacije za dopisivanje.

Informacije o propustima CIA je prikupljala iz velikog broja izvora koji uključuju ostale agencije koje djeluju na prostoru SAD-a, privatne tvrtke, ali i posebni odjel unutar same agencije koji je u sklopu svojih djelatnosti razvijao malvere pomoću kojih je CIA mogla ostvariti pristup pametnim telefonima.

Wikileaks dodatno navodi kako je CIA-ina skupina za hakiranje do kraja 2016. godine imala preko 5000 registriranih korisnika te je razvila više od 1000 različitih sustava za hakiranje, trojanaca, virusa te ostalih malvera. Objavljeni su dokumenti pokazali kako CIA ima sposobnost uključivanja kamera i mikrofona na pametnim telefonima, što im je otvaralo mogućnost da pristupe platformama društvenih medija prije nego što bi sadržaj bio šifriran.

U dokumentima koji su dijelom arhive "Vault 7" također su potanko opisane tehnike pomoću kojih je CIA pristupala pametnim televizorima te ih pretvarala u nadzorne uređaje za prisluškivanje. Tehnika "Weeping Angel" omogućavala je CIA-i da pametne televizore postavi u stanje "Fake-Off", tj. stanje u kojem je televizor naizgled ugašen, ali zapravo radi te putem mikrofona prikuplja podatke koje prosljeđuje na CIA-ine poslužitelje.

Također se spominje i malver naziva "Hammer Drill" koji može djelovati na više platforma poput Microsofta, Linuxa, MacOS-a te drugih, a širi se preko prijenosnih medija. Posebno je zanimljiva sposobnost ovog malvera, poznata kao "Air Gap Jumping" da pristupi računalima koja nisu spojena izravno na internet ili na druga računala s izravnom vezom na internet

Uz popisa svih alata, objavljeni dokumenti donose opsežne upute o tome na koji način se alatima za hakiranje služiti te bilješke osoba koje su te alate testirale. Također su navedeni i savjeti o tome na koji način podesiti Microsoft Visual Studio, čemu je CIA dala oznaku "Secret/NOFORN".

Neki od dokumenata daju nagovijestiti kako CIA razvija alate za daljinsku kontrolu određenih softvera u vozilima novijih generacije što bi im, u krajnjem slučaju, omogućilo izazivanje nesreća koje bi bilo gotovo nemoguće otkriti.

07.03.2017thehackernews.com array(0) { }

Novim prijedlogom zakona vlada SAD-a želi omogućiti žrtvama pristup računalima napadača

uto, 2017-03-07 15:42

Vlada Sjedinjenih Američkih Država počela je raspravljati o prijedlogu zakona koji bi žrtvama cyber napada omogućio obranu za vrijeme samog napada, tj. zakonski bi dopustio žrtvama pristup računalima napadača tijekom napada.

Novi bi zakon, u slučaju da bude odobren, dopustio žrtvama cyber napada pristup računalu napadača bez autorizacije u svrhu prikupljanja informacija. Tako prikupljene informacije mogle bi biti iskorištene za ometanje samog napada u stvarnom vremenu, ali bi mogle poslužiti i kao vrijedan izvor informacija nadležnim službama.

U slučaju odobravanja ovog prijedloga zakona, velika bi se odgovornost stavila u ruke žrtava napada pa stoga ne čudi niz ograničenja koja bi određivala što žrtve prilikom prikupljanja informacija s računala napadača smiju napraviti.

Prilikom ovakvog tipa prikupljanja informacija zabranjeno bi bilo poduzimati akcije koje bi za rezultat imale fizičku opasnost za napadača i uništenje informacija pohranjenih na računalu napadača. Ograničenja bi se također odnosila i na one akcije koje bi mogle prijetiti javnom dobru i sigurnosti.

Žrtva bi, u slučaju odobravanja navedenog prijedloga zakona, informacije s računala napadača mogla prikupljati isključivo u svrhu ispitivanja te u svrhu poduzimanja neinvazivnih akcija kojima bi se napad mogao omesti.

Iako ovakvi koraci u svijetu računalne sigurnosti nisu novina, ono što ovaj prijedlog zakona čini različitim od dosadašnjih jest činjenica kako prikupljanje informacija ne vrše nadležne službe već sama žrtva čime se umanjuje mogućnost neovlaštenog zadiranja u privatnost. Trenutno je zakonski dozvoljeno isključivo pasivno obrambeno djelovanje u vidu korištenja vatrozida te antivirusnih programa što ponekad nije dostatan odgovor na povećani broj sve složenijih napada.

Ovaj prijedlog zakona trenutno je u fazi javne rasprave, a cijela je radna verzija dostupna putem poveznice u nastavku:

https://www.scribd.com/document/341082461/Discussion-Draft-ACDC

 

07.03.2017bleepingcomputer.com array(0) { }

Pronađeno 26 propusta u najpoznatijim aplikacijama za pohranu lozinki

pet, 2017-03-03 15:44

Skupina njemačkih stručnjaka za sigurnost otkrila je 26 sigurnosnih propusta kod devet najpopularnijih aplikacija za pohranu lozinki koje čine MyPasswords, Informaticore, LastPass, Keeper, F-Secure Key, Dashlane, Hide Pictures Keep Safe Vault, Avast Passwords i 1Password. Svaka je od navedenih aplikacija u trenutku testiranja bila instalirana na najmanje 500 000 uređaja diljem svijeta, a neke od njih imaju i više milijuna korisnika. Podaci o propustima objavljeni su početkom ovoga tjedna. Istog su dana otklonjena 23 propusta, a preostala su 3 propusta otklonjena 2 dana poslije.

Istraživačka skupina navodi kako je u aplikacijama nađeno niz različitih propusta koji su navedeni u nastavku:

  • Aplikacije su spremale glavne lozinke nezaštićenoj .txt datoteci
  • Glavne su lozinke bile šifrirane, ali je glavni ključ za šifriranje bio trajno zapisan u kod aplikacije
  • Aplikacije su ostavljale lozinke u međuspremniku čime se otvarala mogućnost ostalim aplikacijama da ih dohvate
  • Poneke su aplikacije za pohranu lozinki nakon deinstalacije s uređaja ostavljale podatke iz kojih je bilo moguće izvući prethodno pohranjene lozinke
  • Prilikom automatskog upisivanja lozinki u pregledniku postojala je mogućnost phishing napada
  • Neke su od navedenih aplikacija za pohranu lozinki dolazile u paketu s preglednicima koji su imali niz propusta

Prema riječima istraživačke skupine, sveukupni su podaci veoma zabrinjavajući te pokazuju kako mnoge od aplikacija ovog tipa ne pružaju dovoljnu razinu sigurnosne pouzdanosti, a korisniku pružaju lažnu sigurnost te ih tako izlažu visokom riziku.

Cijelo je izvješće dostupno putem poveznice u nastavku:

https://team-sik.org/trent_portfolio/password-manager-apps/

 

03.03.2017bleepingcomputer.com array(0) { }

Nacionalni CERT na sastanku Mreže europskih timova za obradu računalno-sigurnosnih incidenata

uto, 2017-02-28 14:00

Mreža europskih timova za obradu računalno-sigurnosnih incidenta (CSIRT) održala je prvi formalni sastanak 22. i 23. veljače na Malti. Mreža CSIRT-ova nastala je temeljem direktive o mrežnoj i informacijskoj sigurnosti (NIS Direktiva) koju je donijela Europska Unija. NIS Direktiva donesena je s ciljem postizanja visoke razine sigurnosti mreže i informacijskih sustava unutar EU, doprinosa razvoju povjerenja među državama članicama te promicanja brze i učinkovite operativne suradnje. Na sastanku su uz predstavnike zemalja članica bili prisutni i predstavnici europskog CERT-a, ENISA-e te Europske Komisije. Hrvatsku je na sastanku zastupala dvočlana delegacija koju su činili stručnjaci iz CARNetovog odjela za Nacionalni CERT te Zavoda za sigurnost informacijskih sustava (ZSIS). Na sastanku su usvojeni poslovnik i zadaci Mreže te kratkoročni ciljevi koje bi Mreža trebala ostvariti u narednih 18 mjeseci.

28.02.2017NCERT array(0) { }

Izveden prvi SHA1 napad kolizijom

pet, 2017-02-24 14:50

Google je objavio kako je SHA-1 sigurnosni algoritam postao je i službeno zastarjelim nakon što je uspješno izveden prvi napad kolizijom. SHA-1 je sigurnosni algoritam koji se koristi za generiranje kriptografskih sažetaka koji bi, u teoriji, trebali biti jedinstveni za svaki odsječak podataka te bi trebali jamčiti autentičnost datoteke.

Sigurnosni je algoritam SHA-1 razvijen od strane Agencije za nacionalnu sigurnost SAD-a (NSA) te je algoritam pušten u opticaj 1995. godine. Da ga je načeo zub vremena pokazalo se 2005. godine kada je skupina stručnjaka za šifriranje otkrila teoretske propuste koji bi mogli poslužiti za kompromitaciju SHA-1 pomoću napada kolizijom. Ovaj tip napada podrazumijeva stvaranje nove datoteke s jednakim SHA1 enkripcijskim sažetkom od strane napadača te zamjenu postojeće valjane datoteke novom, kompromitiranom datotekom uz veoma malu mogućnost otkrivanja napada.

Iako su stručnjaci za šifriranje savjetovali tvrtkama da naprave prijelaz sa SHA-1 na novije SHA-2 i SHA-3 sigurnosne algoritme, značajan je pad popularnosti SHA-1 doživio tek 2015. godine kada je objavljen dokument naziva "The SHAppening" u kojem je prikazano na koji način povećanje računalne moći umanjuje enkripcijsku moć SHA-1 algoritma. Nedugo nakon što je objavljen "The SHAppening", tvrtke iza preglednika poput Firefoxa, Chromea i Edgea započele su s ubrzanim prelaskom na neki od novijih sigurnosnih algoritama.

Google se ubrzo nakon izlaska ovog dokumenta obratio dvojici istraživača koji su sudjelovali u navedenom radu te im ponudio mogućnost daljnjeg istraživanja SHA-1 sigurnosnog algoritma uz pomoć Googleovih stručnjaka za šifriranje. Zahvaljujući računalnim resursima što ih je Google dao na raspolaganje, ovaj je tim stručnjaka objavio nedavno novi dokument u kojem je potanko opisan SHA-1 napad kolizijom. Kao dokaz su priložena dva .pdf dokumenta različitog sadržaja, ali s istim enkripcijskim sažetkom.

Dobra je vijest što su istraživači opisali SHA-1 napad kolizijom kao jedan od najvećih računalnih izazova u povijesti te navode kako napad ovog tipa neće biti financijski moguće izvesti u doglednoj budućnosti.

Unatoč tome, Google planira objaviti kod koji je korišten prilikom napada u roku od 90 dana, što daje vremena tvrtkama da naprave prijelaz na neki od pouzdanijih sigurnosnih algoritama. 

24.02.2017bleepingcomputer.com array(0) { }

Stranice