CERT RSS

Pretplati se na CERT RSS feed
Osvježeno: prije 2 sata 8 minuta

Sigurnosni nedostaci WPA protokola

uto, 2017-10-17 16:41

Sigurnosni su stručnjaci otkrili niz ranjivosti u jezgri WPA2 (Wi-Fi Protected Access II) protokola koje potencijalnom napadaču mogu omogućiti ostvarivanje pristupa bežičnoj mreži te pratiti internet komunikaciju. 13 godina stara WiFi metoda autentikacije, WPA2, od nedavno je kompromitirana što utječe na gotovo sve bežične uređaje. Tim istražitelja proveo je KRACK (engl. Key Reinstallation Attack) napad kojim su dokazali na koji je način moguće kompromitirati bežičnu i otkriti osjetljive informacije poput brojeva kreditnih kartica, lozinki, IM poruka, e-mailova i fotografija. Kako nije riječ o ranjivosti pojedinog proizvoda, već o ranjivosti samog Wi-Fi standarda, gotovo svi uređaji koji koriste WPA2 protokol podložni su napadu. Uz WPA2, KRACK pogađa i cijeli niz sigurnosnih mehanizama te se može reći kako su gotovo svi uređaji koji koriste bežičnu vezu ranjivi.

Valja napomenuti kako KRACK ne omogućava napadaču otkrivanje ispravne lozinke bežične mreže, već mu omogućava pregled i dešifriranje podataka prenesenih pogođenom bežičnom vezom, stoga izmjena lozinke bežične mreže ne sprječava niti ublažava mogući napad.

Sama tehnika opisana je u izvješću skupine sigurnosnih stručnjaka.

Otkriveni nedostaci bi mogli biti iskorišteni ako napadač uspješno navede žrtvu na reinstalaciju već korištenog ključa što za posljedicu može imati razne kriptografske napade naspram kriptografskih algoritama korištenim kod WPA1 i WPA2 protokola.

Neki operacijski sustavi već su izdali zakrpu za navedene ranjivosti, stoga se savjetuje da primijenite zakrpu čim bude dostupna.

 

15.10.2017thehackernews.com array(0) { }

Otkriven način zloupotrebe Dynamic Data Exchange (DDE) značajke u MS Office paketu

pet, 2017-10-13 15:33

Sve je veći broj novih oblika cyber kriminala i tradicionalne tehnike kojima su se napadači do sada služili bivaju zamijenjene sve novijim i inovativnijim tehnikama.

Sigurnosni stručnjaci iz tvrtke Cisco Talos otkrili su kampanju širenja zlonamjernog sadržaja koja je koristila zlonamjerni Microsoft Word dokument koji je izvršavao zlonamjerni programski kod na zaraženim računalima. Specifičnost kod ovog zlonamjernog sadržaja jest činjenica da za napad ne koristi Macro naredbe ili narušavanje integriteta radne memorije.

Ovu tehniku stručnjaci iz tvrtke Sensepost opisali su u izvješću u kojem stoji kako zlonamjerni sadržaj koristi ugrađenu DDE (engl. Dynamic Data Exchange) funkcionalnost u MS Office paketu kako bi izvršio pokretanje proizvoljnog programskog koda koda. Korisniku se prilikom pokretanja koda ne pokazuje upozorenje, već samo skočni prozor u kojem se traži dozvola za pokretanje.

DDE protokol koriste mnoge aplikacije, u koje spadaju Excel, Word, Quattro Pro i Visual Basic, kako bi dijelile sadržaj između dvije pokrenute aplikacije.

Microsoft ovaj propust ne smatra prijetnjom, a njihov je stav kako je DDE protokol dodatna funkcionalnost koja se ne može ukloniti, može je se samo poboljšati. Kako trenutno ne postoji mogućnost onemogućavanja pokretanja koda putem DDE funkcionalnosti, korisnicima se preporučuje praćenje sistemskih zapisa kako bi otkrili moguću prijetnju. Također, najbolja je zaštita još uvijek odgovorno i oprezno postupanje s dokumentima pristiglih s nepoznatih adresa.

12.10.2017thehackernews.com array(0) { }

Apple izdao zakrpu zbog curenja lozinki u High Sierra OS-u

pet, 2017-10-06 15:50

Apple je izdao zakrpu za nedostatak u novom operacijskom sustavu macOS High Sierra. Otkriveni nedostaci zahvaćaju komponente StorageKit i Security, a ovisno o tipu nedostatka mogli bi biti iskorišteni za pristup šifriranom dijelu APFS-a ("Apple File System") ili otkrivanje korisničkih lozinki. Brazilski sigurnosni stručnjak Matheus Mariano iz tvrtke Leet Tech otkrio je spomenutu ranjivost te je privatno obavijestio sigurnosnu službu tvrtke Apple, a nakon što je zakrpa izdana je i potanko opisao nedostatak.

Mariano je u objavi pojasnio kako je našao nedostatak kojemu je dodijeljena oznaka CVE-2017-7149. Prilikom stvaranja novog APFS diska moguće je unijeti sigurnosnu lozinku te sigurnosno pitanje vezano uz lozinku, a nedostatak je uzrokovao pokazivanje lozinke u polju sigurnosnog pitanja. Također, Mariano je napomenuo kako ovaj nedostatak pogađa isključivo Mac računala koja imaju SSD tvrdi disk (engl. Solid State Drive).

Mariano je cijeli postupak objavio i putem video uratka dostupnog u nastavku.

Apple je nadogradnju izdao u veoma kratkom roku, a korisnicima se savjetuje primjena nove nadogradnje ili onemogućavanje sigurnosnog pitanja vezanog uz lozinku. Također, Apple je na svojim stranicama korisničke podrške objavio i korake kojima se objašnjava kako povratiti, izbrisati te izraditi sigurnosne kopije APFS diskova nakon nadogradnje operacijskog sustava.

 

05.10.2017bleepingcomputer.com array(0) { }

Otkrivene "zero day" ranjivost u Wordpress dodacima

uto, 2017-10-03 15:43

Hakeri su iskoristili tri "zero-day" ranjivosti kako bi omogućili backdoor pristup stranicama koje koriste Wordpress. Prema sigurnosnom upozorenju što ga je objavila tvrtka Wordfence, "zero-day" ranjivosti zahvaćaju tri Wordpress dodatka - Appointments, RegistrationMagic-Custom Registration Forms i Flickr Gallery. Autori pogođenih dodataka izdali su sigurnosne nadogradnje kako bi onemogućili izvršavanje daljnjih napada.

Brad Haas, sigurnosni stručnjak u tvrtki Woodfence, pojašnjava kako korištenjem ove ranjivosti napadač može navesti web sjedište da preuzme udaljeni sadržaj te ga postavi na lokaciju koju je napadač odabrao. Haas također navodi kako je ranjivost veoma lako iskoristiti te kako nije potreba autentikacija napadača na zahvaćenom web sjedištu kako bi se ranjivost iskoristila.

Ova "zero-day" ranjivost otkrivena je nakon što su sigurnosni stručnjaci iz tvrtke Wordfence analizirali niz napadnutih stranica kojih je prema zadnjim pokazateljima 21 000. Ranjivosti je dodijeljena visoka ocjena na CVSSv3 skali te je klasificirana kao "kritična".

Vlasnicima web sjedišta preporučuje se nadogradnja ranjivih inačica ili uklanjanje pogođenih dodataka s web sjedišta kako bi uklonili ugrozu.

U nastavku prenosimo poveznice do stranica zahvaćenih dodataka putem kojih možete primijeniti sigurnosnu nadogradnju:

Appointments

RegistrationMagic-Custom Registration Forms

Flickr Gallery

 

02.10.2017bleepingcomputer.com array(0) { }

Bankarski trojanac Retefe od rujna koristi EternalBlue

pet, 2017-09-29 15:49

Retefe, bankarski trojanac, od 5. rujna koristi ranjivost EternalBlue kako bi zarazio računala koja nisu na vrijeme izvršila sigurnosnu nadogradnju. Nakon pojave prvih bankarskih trojanaca Emotet i TrickBot koji koriste EternalBlue ranjivost, Retefe je također počeo koristiti istu ranjivost kako bi omogućio napadačima širenje zaraze na računala koja imaju zastarjeli SMBv1 protokol.

Grupa napadača koja stoji iza zlonamjernog ransomware sadržaja Retefe do sada nije ciljala veliki broj korisnika te su njihovi napadi usredotočeni na korisnike banaka u Austriji, Švedskoj, Švicarskoj i Japanu. Grupa je aktivna od 2013. godine, a zanimljivo je kako je zaslužna i za razvijanje bankarskog trojanca namijenjenog uređajima koji koriste macOS operacijski sustav.

Ono što razlikuje Retefe od ostalih sličnih zlonamjernih sadržaja jest funkcionalnost koja mu dopušta preusmjeravanje prometa na lažirane stranice koje se nalaze na poslužiteljima napadača. Otkrivanje napadača dodatno otežava činjenica kako se većina poslužitelja nalazi na Dark Webu što zapravo pronalazak odgovornih čini gotovo nemogućim.

Prema dosadašnjim saznanjima, Retefe se najviše spominje u kontekstu švicarskih banaka, a nadležna CERT služba aktivno prati Retefe, ali i sve slične inačice zlonamjernih bankarskih trojanaca. Detaljnu analizu širenja ovog bankarskog trojanca donosi Proofpoint u izvješću objavljenom na njihovom web sjedištu.

27.09.2017bleepingcomputer.com array(0) { }

Zlonamjerni Android sadržaj koristi ranjivost "Dirty COW"

uto, 2017-09-26 16:44

Devet godina stara kritična ranjivost otkrivena je u gotovo svim inačicama Linux operativnih sustava i trenutno ju iskorištava mnogo zlonamjernog sadržaja. Nazvana "Dirty COW", ova ranjivost nosi oznaku CVE-2016-5195, a potencijalnim napadačima omogućuje stjecanje uvećanih ovlasti. Ovoj ranjivosti sigurnosni stručnjaci pristupaju veoma ozbiljno iz više razloga. Naime, veoma je lako razviti zlonamjerni sadržaj koji pouzdano radi s jedne strane, a s druge strane, ranjivost "Dirty COW", kao dio jezgre operacijskog sustava Linux, zahvaća gotovo sve distribucije ovog operacijskog sustava otvorenog koda.

Posebno zabrinjava činjenica kako 1200 zlonamjernih Android aplikacija koristi ovu ranjivost kako bi ostvarili pristup zaraženom uređaju. Sigurnosni su stručnjaci iz tvrtke Trend Micro objavili kako je otkriven zlonamjerni Android sadržaj nazvan ZNIU koji koristi ranjivost "Dirty COW". Uspješno iskorištena, ova ranjivost omogućava zlonamjernoj aplikaciji ostvarivanje administrativnog pristupa uređaju unutar 5 sekundi.

Ranije ovog tjedna, Linus Torvalds je priznao kako je prije 11 godina prvi put zamijetio ovu ranjivost, ali kako ju nije zakrpao jer ju je tada nije bilo lako iskoristiti.

Prema web sjedištu posvećenom ovoj ranjivosti, jezgra operacijskog sustava Linux je zakrpana, a svi su veći distributeri već izdali zakrpe za popularnije distribucije RedHat, Ubuntu i Debian.

26.09.2017thehackernews.com array(0) { }

Otkrivene dodatne informacije o zlonamjernom sadržaju u aplikaciji CCleaner

pet, 2017-09-22 15:10

Prema izvještaju sigurnosnih stručnjaka iz tvrtke Cisco Talos Group, skupina nepoznatih napadača koji su preuzeli poslužitelj tvrtke Piriform kako bi proširili inačicu aplikacije CCleaner sa zlonamjernim sadržajem u drugoj je fazi napada ciljala najmanje 20 međunarodnih tehnoloških korporacija. Ranije ovoga tjedna iz tvrtke Avast je objavljeno kako druga faza napada nije pokrenuta te kako korisnici zaraženih računala moraju preuzeti novu inačicu kako bi se zaštitili.

Međutim, tijekom analize upravljačkih poslužitelja otkriven je zlonamjerni sadržaj namijenjen točno određenim računalima. Prema izvještaju, ciljane su korporacije bile:

  • Google
  • Microsoft
  • Cisco
  • Intel
  • Samsung
  • Sony
  • HTC
  • Linksys
  • D-Link
  • Akamai
  • VMware
  • Daljnjom je analizom ustanovljeno kako je zlonamjernim sadržajem koji je širen za vrijeme prve faze napada zaraženo gotovo 700 000 uređaja, a kako je zlonamjernim sadržajem druge faze zaraženo 20 računala koja su odabrana na temelju naziva računala, domenskog imena te IP adrese.

Sigurnosni stručnjaci iz tvrtke Kaspersky su u spornom zlonamjernom sadržaju pronašli sličnosti s alatima što ih koristi kineska hakerska grupa Axiom, također poznata pod imenima APT17, Group 72, DeputyDog, Tailgater Team, Hidden Lynx i AuroraPanda.

Nažalost, ako je računalo zaraženo zlonamjernim sadržajem druge faze, samo uklanjanje aplikacije s računala neće umanjiti opasnost te se preporučuje vraćanje računala u stanje kakvo je bilo prije zaraze korištenjem sigurnosnih kopija.

 

20.09.2017http://thehackernews.com array(0) { }

Otkriven backdoor alat u aplikaciji CCleaner

pon, 2017-09-18 16:09

Korisnicima aplikacije CCleaner za operacijski sustav Windows savjetovano je nadograđivanje zato što je u spomenutoj aplikaciji otkriven backdoor alat. Ovaj alat omogućava preuzimanje raznog zlonamjernog sadržaja na računalo, poput keyloggera ili ransomwarea, a trenutno se procjenjuje kako broj kompromitiranih računala prelazi više milijuna. Prema riječima Avasta, tvrtke iza aplikacije CCleaner, 2,27 milijuna korisnika na računalu ima kompromitiranu inačicu, ali napominju kako nema razloga za paniku.

Aplikacija CCleaner je veoma popularna aplikacija za održavanje računala i do sada je preuzete više od 2 milijarde puta, a prema riječima Avasta, svakog tjedna se preuzima 5 milijuna inačica što ovu prijetnju čini veoma ozbiljnom upravo zbog globalne popularnosti ove aplikacije.

Detaljnom analizom je ustanovljeno kako je prva kompromitirana inačica objavljena još 15. kolovoza te se širila sve do 12. rujna kada je postavljena nova, ispravna inačica.

Sam bi zlonamjerni sadržaj u aplikaciji slao šifrirane informacije o zaraženom računalu poslužitelju napadača. Informacije su se sastojale od imena računala, pokrenutih procesa te instaliranih aplikacija. Specifičnost ovog zlonamjernog sadržaja je i korištenje algoritma za generiranje domena (DGA), funkcionalnosti koja omogućava stvaranje novih domena nakon što su postojeće domene napadača uklonjene.

Prema riječima tvrtke Piriform, koja je u vlasništvu Avasta, sporne su inačice kompromitirane prije objave, a trenutno je u procesu istraga kojom se želi utvrditi kako je do kompromitacije došlo. Nakon što je zlonamjerni sadržaj otkriven, Piriform je putem automatske nadogradnje svim pogođenim korisnicima isporučio ispravnu inačicu te, prema službenoj izjavi, nikakva šteta nije prouzročena te je prijetnja pravovremeno uklonjena. Također, iz Avasta tvrde kako napad nije izvršen do kraja i kako je vjerojatno uspješno provedena samo prva faza napada, tj. postavljanje backdoor alata na računala putem aplikacije CCleaner. Druga faza, preuzimanje zlonamjernog sadržaja na računalo nije izvedeno, a svim se korisnicima savjetuje da nadograde svoju inačicu putem službene stranice Piriforma.

 

18.09.2017forbes.com array(0) { }

ExpensiveWall zlonamjerni malware sadržaj prijeti Androidu

pet, 2017-09-15 16:46

Google je iz Google Play trgovine uklonio 50 aplikacija u kojima se nalazio zlonamjerni malware sadržaj ExpensiveWall. Ovaj zlonamjerni sadržaj, koji je preuzet između milijun i 4,2 milijuna puta, sa zaraženog uređaja šalje SMS poruke kojima korisnika prijavljuje na nepostojeće "premium" usluge putem kojih napadači ostvaruju novčanu dobit.

Prema riječima sigurnosnih stručnjaka iz tvrtke Check Point, ExpensiveWall pripada novoj skupini zlonamjernih malware sadržaja koja se razlikuje od dosadašnjih zbog korištenja napredne tehnike obfusciranja sadržaja koja sažima i šifrira zlonamjerni sadržaj čime se zaobilazi detekcija. Također, ExpensiveWall može biti prilagođen kako bi prikupljao povjerljive podatke na uređaju, ali i audio i video zapise sa zarađenog uređaja.

Google je sve zaražene aplikacije uklonio 7. kolovoza, međutim, zlonamjerni se sadržaj ponovno pojavio u nizu novih aplikacija. Također, sigurnosni stručnjaci iz tvrtke Check Point savjetuju korisnicima koji su sporni sadržaj preuzeli uklanjanje istog s uređaja jer se uklanjanjem aplikacije iz Google Play trgovine ne uklanja sadržaj preuzet na uređaj. Jednom kada se aplikacija sa zlonamjernim malware sadržajem preuzme na uređaj, od korisnika se traži da odobri aplikaciji niz mogućnosti, od spajanja na internet do slanja SMS poruka bez znanja korisnika.

Nakon što je sredinom godine u nizu aplikacija otkriven zlonamjerni malware sadržaj Judy koji je preuzet između 4,5 milijuna i 18.5 milijuna puta te imajući na umu širenje zlonamjernog malware sadržaja ExpensiveWall, možemo sa sigurnošću reći kako mobilni uređaji postaju sve češćom metom napada koji su svakim danom sve složeniji.

 

14.09.2017threatpost.com array(0) { }

[UPOZORENJE!] Phishing kampanja

uto, 2017-09-12 12:48

VAŽNO! Posljednjih dana zabilježeno je više pokušaja prijevara koje ciljaju više različitih skupina korisnika. Riječ je o klasičnom pokušaju prijevare phishing porukama gdje je cilj napadača stjecanje novčane dobiti.

Kako bi elektronička poruka izgledala što uvjerljivije, prevaranti koriste stvarna imena visoko pozicioniranih osoba u tvrtki/instituciji. U ovom slučaju, ovisno o tipu funkcije, prevaranti se predstavljaju imenom predsjednika Uprave, predsjednika Upravnog vijeća, ravnatelja i sl. S navedenih se adresa djelatnicima računovodstva i drugim odgovornim osobama šalju lažni zahtjevi za uplatom određene svote novca.

Prema trenutno dostupnim podacima, kod spornih se poruka lažira adresa pošiljatelja, odnosno "From" polje, u kojem stoji ime ovlaštene osobe koja doista i radi u ciljanoj tvrtki/instituciji, a u polju "To" se nalazi ime djelatnika iz ciljane tvrtke/institucije, dok se u polju "Subject" pojavljuju riječi "Platiti", "Plaćanje", "Bankovni transfer", "Hitno plaćanje", "Molim hitno plaćanje i slično".

Kako smo zaprimili više prijava za nekoliko različitih phishing kampanja koje ciljaju razne sektore, molimo vas da budete oprezni prilikom svih internet plaćanja i dobro provjerite sve informacije prije nego izvršite bilo kakvu uplatu. Posebno budite oprezni ako Vam na službenu adresu elektroničke pošte stigne zahtjev o uplati s adrese elektroničke pošte nadređene osobe.

U nastavku prenosimo presliku ekrana jedne od takvih poruka, ali imajte na umu kako je riječ o više kampanja te sadržaj poruke može biti u nešto izmijenjenom obliku. Dodatno, osim s adrese elektroničke pošte nadređene osobe, poruku bi mogli zaprimiti s izvora koji se predstavlja kao neka institucija u RH. Upozorenje o kampanji ove vrste možete pročitati i na stranicama Porezne uprave.

 

12.09.2017Nacionalni CERTSlike:  array(0) { }

GrowCERT - CARNetov novi EU projekt

pon, 2017-09-11 15:03

GrowCERT - Jačanje kapaciteta Nacionalnog CERT-a i poboljšanje suradnje na nacionalnoj i europskoj razini provodi CARNet – Hrvatska akademska i istraživačka mreža, a sufinanciran je sredstvima Europske komisije putem Instrumenta za povezivanje Europe (CEF – Connecting Europe Facility).

Svrha i opći cilj projekta je poboljšati pripremljenost / spremnost i odaziv na kibernetičke prijetnje kritičnih hrvatskih nacionalnih infrastruktura i CARNet-a - Hrvatske akademske istraživačke mreže / Nacionalnog CERT-a (nacionalne računalne infrastrukture za hitne intervencije). Doprinos općem cilju bit će postignut kroz jačanje hrvatskih nacionalnih kapaciteta za prikupljanje, analizu i razmjenu informacija o kibernetičkim incidentima i prijetnji kibernetičkoj sigurnosti stvaranjem platforme za prikupljanje statističkih podataka i sigurnosnih incidenata na nacionalnoj i europskoj razini.

Uz razvoj i kreiranje platforme provodit će se aktivnosti podizanja svijesti i osposobljavanja CARNet-ovih / zaposlenika Nacionalnog CERT-a, nabava hardvera, softvera i licenci s više performansi. Time će se razviti dodatne usluge za poboljšanje reagiranja na kibernetičke prijetnje, uključujući i nacionalni popis SPAM-a, sustav za širenje informacija o otkrivenim ranjivostima i alat za otkrivanje Web defacement-a (izmijenjen izgled početne stranice web sjedišta) i drugih zlonamjernih sadržaja na webu. Krajnji rezultat projekta u obliku razvijenih softverskih alata za Platformu CSP (Core Service Platform) kao mehanizma za suradnju.

Projekt se sastoji od šest glavnih aktivnosti:

  • Aktivnost 1 – Upravljanje projektom
  • Aktivnost 2 – Podizanje svijesti o kibernetičkim prijetnjama i mogućim rješenjima
  • Aktivnost 3 – Razvoj platforme za prikupljanje statističkih podataka i sigurnosnih incidenata na nacionalnoj i europskoj razini
  • Aktivnost 4 – Podizanje ukupne razine internetske sigurnosti (kupnja hardvera, softvera, licenci, razvoj usluga i platforme)
  • Aktivnost 5 – Jačanje kapaciteta zaposlenika u području računalne sigurnosti
  • Aktivnost 6 – Komunikacija i vidljivost

Ukupna vrijednost projekta je 984.132,81 euro.
Projekt se provodi od 1. srpnja 2017. do 30. lipnja 2019.

 

 

11.09.2017Nacionalni CERT array(0) { }

Raste broj SynAck napada

sri, 2017-09-06 14:47

U protekla dva dana zabilježen je porast aktivnost relativno nepoznate vrste zlonamjernog ransomware sadržaja imena SynAck. Prvi slučaj zaraze zlonamjernim malware sadržajem SynAck zabilježen je 3. kolovoza, a sigurnosni su stručnjaci u veoma kratkom roku ustanovili kako je riječ o potpuno novoj vrsti ovog zlonamjernog sadržaja.

Tijekom cijelog prošlo mjeseca SynAck nije dostigao visoku razinu prijetnje, ali prošli je tjedan zabilježen porast aktivnosti na stranicama usluge ID-Ransomware čime je ovaj zlonamjerni sadržaj privukao pozornost sigurnosnih stručnjaka.

Nakon analize SynAcka, sigurnosni su stručnjaci portala Bleeping Computer otkrili tri različite inačice ovog zlonamjernog malware sadržaja. Inačice se razlikuju na temelju poruka što ih napadači ostavljaju nakon što dođe do šifriranja podataka. SynAck također ne ostavlja poruku na zaslonu računala, već ju pohranjuje u .txt datoteku koja se nalazi na radnoj površini računala. Za razliku od ostalih zlonamjernih ransomware sadržaja, SynAck svakoj šifriranoj datoteci dodjeljuje drugačiju ekstenziju koja se sastoji od niza nasumično generiranih znakova, npr. cert.jpg.XbMiJQiuoh.

U Bitcoin novčaniku napadača trenutno ima 98 Bitcoina, a sigurnosni stručnjaci smatraju kako je ovaj novčanik povezan uz uslugu RaaS (Ransomware-as-a-Service) o čemu više možete pročitati u prethodno objavljenoj novosti.

05.09.2017bleepingcomputer.com array(0) { }

Razgovarali smo s jednim od utemeljitelja FSec konferencije

pet, 2017-09-01 13:57

U sklopu najave konferencije o informacijskoj sigurnosti FSec2017 razgovarali smo s doc. dr. sc. Tonimirom Kišasondijem s Fakulteta organizacije i informatike iz Varaždina, predsjednikom organizacijskog odbora i jednim od utemeljitelja konferencije, koji nam je odgovorio na par pitanja vezanih uz samu konferenciju.

Poštovani gospodine Kišasondi, zahvaljujemo na trudu i vremenu koje ste izdvojili u vrijeme zadnjih priprema za konferenciju. FSec2017 je najvažnija nezavisna konferencija o informacijskom sigurnosti u Hrvatskoj. Možete li na opisati kako su izgledali počeci 2010. godine i kako je došlo do ideje da se organizira ovakva konferencija?

Ideja za FSec je nastala nakon posjeta mene i mojeg prijatelja Kosta na 27th Chaos Communication Congress u Berlinu, konferenciju koja uz informacijsku sigurnost ima dosta drugih interesnih područja, većinom
vezanih uz "hakerski" mentalitet. To je ostavilo dosta veliki dojam na mene. Okupljanje preko 10 000 ljudi na jednom mjestu, koje zanima struka, prijenos znanja i kako da nešto nauče. Zezancija je pala na temu zašto to nemamo kod sebe u Hrvatskoj i 9 mjeseci nakon toga, organizirali smo FSec paralelno s FOI-evom znanstvenom konferencijom CECIIS prije 7 godina. Bilo nas je oko 40-ak. Stali smo u kafić na Fakultetu. Od 40 smo linearno rasli prema 150 i u jednom trenu jednostavno nismo mogli više ostati na FOI-u jer je najveća dvorana na Fakultetu postala premala te smo konferenciju morali preseliti u veći prostor. Odluka je pala na HNK Varaždin u kojem smo drugu godinu za redom. I eto nas tu, nije par desetaka tisuća ljudi kao na DEFCON-u ili CCC-u ali prešli smo 300 ljudi koje zanimaju teme iz informacijske sigurnosti u RH. Ako uzmemo u obzir da konferencija nema komercijalni interes nego skupljamo sponzorstva i ulažemo sve u unaprjeđenje konferencije, mi smo zadovoljni.


Kakvi su Vaši dojmovi nakon šest održanih FSec konferencija? Gdje vidite FSec za pet godina?

Nakon 6 konferencija dojmovi su kako je to puno posla. Iz jednog "underground" okupljanja smo se dotakli i korporativnih tema i stvari koje zanimaju korporativnu publiku do tema koje su bitne za cjelokupnu nacionalnu sigurnost iz aspekta informacijske sigurnosti. Trenutno imamo u programu svega, od jako tehničkih tema do organizacijskih tema, za svakoga ponešto. Plan za 5 godina je raditi isključivo na kvaliteti sadržaja koja se plasira posjetiteljima. To znači i promjene, ali ipak treba eksperimentirati.

Ono što FSec predstavlja je jednu platformu gdje se okuplja ekipa koja dijeli interes dijeljenja znanja i ekspertizu u području informacijske sigurnosti. Od početne trojke, Vlatka Košturjaka, Igora Vuka i mene, koja je osnovala prvi FSec, polako smo proširivali organizacijski odbor. Tu je i veza NCERT-a i FSec-a. Predavanje o stanju informacijske sigurnosti u RH je na prvoj konferenciji držao vaš kolega iz NCERT-a Domagoj Klasić, a do sve većeg uključivanja NCERT-a u FSec dolazi uključivanjem vaših kolega Tonija Gržinića i Marka Staneca u organizacijski tim konferencije.

U organizaciju su se uključivali kroz godine i drugi, Tomislav Androš, Ksenija Cajzek, Dalibor Dukić, Mario Harjač, Vitomir Margetić, Dobrica Pavlinušić, Slaven Smojver, Ivan Špoljarić, Miroslav Štampar, Ivo
Ugrina, Neven Vučinić, Vedran Vukovac i Bojan Ždrnja. Ima nas 18, ali posla je za barem 40 ljudi. Ja sam izuzetno zahvalan cijelom organizacijskom odboru konferencije jer to bez njih to ne bih mogao napraviti.


Ovogodišnja konferencija ugošćuje značajne predavače na velikom broju predavanja i radionica. Kakva su Vaša očekivanja od ovogodišnje konferencije? Želite li neke teme posebno izdvojiti?

Mislimo da svatko može pronaći svoju nišu i interes te da imamo dosta dobro pokrivene teme. Od organizacijskih predavanja poput "How we do CISO @ KPN" gđe Jaye Baloo, "Trouble with updates" Ryana Lackeya, "Targeted Attacks in 2017" Aimea iz Kasperskog do tehničkih predavanja o fuzzanju browsera Ivana Fratrića iz Google Project Zeroa, "HTTP for good and bad" Xaviera Mertensa, napadima na DVR sustave Istvana Totha. Dotaknuli smo se dvije velike teme, GDPR-a kroz okrugli stol i radionicu o GDPR-u te okrugli stol o direktivi PSD2 koja se odnosi na servise plaćanja. Čak imamo i predavanje o NIS direktivi EU. Gotovo cijeli spektar interesa iz informacijske sigurnosti je pokriven i skoro svatko može pronaći predavanje koje mu je interesantno. Imamo 2 dana i 3-4 tracka predavanja, tako da je sadržaja više nego dovoljno. Dobra stvar je da snimamo neka predavanja pa ljudi mogu popratiti ono što ih zanima ako propuste neko predavanje.


Smatrate li kako se sigurnosti informacijskih sustava pridaje dovoljno pažnje u svakodnevici? Na koji način možemo, na razini cjelokupne populacije, podići razinu sigurnosti računalnih sustava?

Odgovor na ovo pitanje je: kako tko. Ne želim posebno neke hvaliti niti prozivati. U svojem poslu gdje u sklopu laboratorija za otvorene sustave i sigurnost radimo sigurnosne provjere, u praksi sam vidio vrlo dobro zaštićenih sustava gdje to nisam očekivao do užasno ranjivih sustava gdje sam očekivao daleko veću razinu sigurnosti i svijesti. Mislim da je vrijeme da u informacijskoj sigurnosti počnemo pričati o odgovornosti. Auto industrija je došla do toga, prije ili kasnije će i IT industrija morati prići tome.

Jedno od tih pitanja je bi li poduzeća koja razvijaju aplikacije za svoje klijente trebala razvijati sigurne aplikacije? Smatra li se sigurnost sustava jednako funkcionalnim zahtjevom kao i ispravan rad
aplikacije? Imamo sve više priče o novim tehnologijama kao što su autonomna vozila, bitcoin i blockchain. U tim domenama softverska ranjivost može biti iskorištena za ubojstvo ili za krađu više milijuna eura. Prvo još nismo vidjeli kako bi znali za sigurno, ali drugo smo vidjeli kroz DAO hack i ranjivost u multi-sig verifikaciji ethereum walleta. Zadnjim napadom su kriminalci oštetili 3 walleta za oko 32 milijuna USD, a to je tek izolirani incident i početak. Interesantno je pitanje što će se dogoditi kada te tehnologije dođu u široki opticaj na međunarodnoj razini. SWIFT je prikazao dokaz koncepta na Burrow blockchainu, ISO ima radnu skupinu o blockchain / ledger specifikaciji i prije ili kasnije će i klasične mreže poput SWIFT-a prijeći na blockchain.

Cijeli će ekosustav postati interesantniji zbog GDPR-a prema kojem su predviđene drakonske kazne u slučaju gubitka osobnih podataka klijenta. Uzmite kao primjer situaciju kao u SAD - curenje podataka demokratskog komiteta i podataka o sigurnosnim provjerama zaposlenih u državnoj upravi. To otvara i nove mogućnosti u haktivizmu i korporativnoj špijunaži kroz namjerna curenja osobnih podataka s ciljem financijske štete ili novih oblika ucjene. Umjesto kriptiranja podataka, napadaču je dovoljno da prijeti javnom objavom osobnih podataka klijenta. Definitivno živimo u interesantnim vremenima punima novih izazova.

Podizanje razine sigurnosti je jednostavno, treba pridodati važnost informacijskoj sigurnosti, podizati svijest kod zaposlenika i managementa, a tu je bitan pristup prema kojem zaposlenike ne treba tretirati nekompetentne dronove, nego ih motivirati da budu bolji i da budu proaktivni u području informacijske sigurnosti. Prije 3 FSeca je CISO jedne veće banke u Sjedinjenim Američkim Državama govorio o tome kako imaju program "guardiana" prema kojem zaposlenici koji utvrde mailove s phishing porukama ili malicioznim kodom dobivaju bonuse kada incidente prijave uredu informacijske sigurnosti koji ih blokira diljem tvrtke. Tehničke mjere u informacijskoj sigurnosti su bitne, ali ključ su još uvijek ljudi, procesi i sistematičnost u primjeni slojevite zaštite.

 

01.09.2017Nacionalni CERT array(0) { }

FSec2017 - konferencija o informacijskoj sigurnosti

uto, 2017-08-29 16:27

U Hrvatskom narodnom kazalištu u Varaždinu 7. i 8. rujna održat će se FSec2017, najvažnija nezavisna konferencija o informacijskoj sigurnosti u Hrvatskoj. Konferenciju FSec2017 organiziraju zaposlenici i alumni Fakulteta organizacije i informatike, volonteri te pripadnici Hrvatske zajednice otvorenog koda, a organizatori ističu da je riječ o najvažnijoj konferenciji o informacijskoj sigurnosti u Hrvatskoj i regiji. Na samoj će se konferenciji okupiti više od 300 sudionika naše zemlje, regije i svijeta. Predavači na konferenciji predstavljaju renomirane svjetske i domaće tvrtke i organizacije koje se bave informacijskom sigurnošću, a dolaze iz hakerske zajednice Chaos Computer Club i kompanija Google, Cisco, Wire, Kaspersky ResetSecurity. Posebno valja izdvojiti sljedeće predavače i njihova predavanja:

  • Alan Đurić, izvršni direktor tvrtke Wire i jedan od suosnivača Skypea, s predavanjem o privatnosti podataka i sigurnosti komunikacije na Internetu
  • Ryan Lackey, direktor tvrtke ResetSecurity iz Silicijske doline i sudionik Y Combinator programa
  • Jaya Baloo, direktorica informacijske sigurnosti u KPN-u, vodećem telekomu u Europi
  • Ivan Fratrić, Google Project Zero tim s predavanjem o sigurnosti Internet preglednika
  • Vanja Švajcer, Cisco Talos s temom predavanja o analizi malicioznog koda
  • Sva, Chaos Computer Club s predavanjem o privatnosti

Danas pojmovi informacijske i kibernetičke sigurnosti predstavljaju ključne izazove s kojima se susreću sva visoko digitalizirana društva pa tako i Republika Hrvatska. Kako bi se postigla i održala zadovoljavajuća razina sigurnosni na ovim područjima potrebno je osigurati dostupnost broja angažiranih i kompetentnih stručnjaka, ali i podići svijest javnosti o postojećim rizicima te primjerenim načinima zaštite. Školovanje stručnjaka i podizanje svijesti o rizicima i primjerenim načinima zaštite predstavljaju jedne od glavnih zadaća FSec konferencija, kako prošlih tako i ovogodišnje.

Program konferencije podijeljen je na dva tematska dana – strateški i tehnički, te su pripremljena dva okrugla stola o društveno i tehnološki značajnim temama GDPR i o normi za e-plaćanje PSD2. Uz konferencijski program održat će se i Job Fair na kojemu je cilj spojiti zainteresirane poslodavce i sigurnosne stručnjake.

29.08.2017Nacionalni CERTSlike:  array(0) { }

Ransomware-as-a-service

pet, 2017-08-25 15:06

Sve je veći broj prijetnji zlonamjernim ransomware sadržajem i cyberkriminalci zarađuju mnogo novaca koristeći WannaCry, NotPetya i LeakerLocker zlonamjerni sadržaj. Posebno je zabrinjavajuća činjenica kako se u posljednje vrijeme mogu pronaći servisi koji tehnički nevještom korisniku nude jednostavnu mogućnost stvaranja novog zlonamjernog ransomware sadržaja (engl. ransomware-as-a-service - RaaS). Na ovaj način tehnički nepotkovani korisnici mogu zlonamjerni sadržaj poslati velikom broju korisnika što uvelike otežava osiguravanje adekvatne zaštite.

Operacijski sustav Android također se sve češće spominje u kontekstu zlonamjernog ransomware sadržaja. Uz ostale prijetnje namijenjene ovom operacijskom sustavu, sigurnosni stručnjaci iz tvrtke Symantec upozoravaju kako se sve češće mogu pronaći aplikacije koje omogućavaju stvaranje zlonamjernog ransomware sadržaja na uređajima koji koriste Android operacijski sustav.

Aplikacije za stvaranje vlastitog ransomware sadržaja ne razlikuju se pretjerano od ostalih aplikacija kojima se svakodnevno služimo. Korisnik željenu aplikaciju treba preuzeti na uređaj, instalirati te pokrenuti kako bi došao do sučelja u kojem može odabrati pojedinosti svojeg zlonamjernog ransomware sadržaja. Korisnik na ovaj način može odabrati uvjete koje treba zadovoljiti kako bi došlo do šifriranja zaraženog uređaja, koje ikone i animacije želi koristiti, ali i vrstu šifriranja. Nakon što je unio željene vrijednosti, pritiskom na tipku "Create" korisnik pristupa sučelju za plaćanje putem kojega može i kontaktirati osobu koja je aplikaciju za stvaranje zlonamjernog ransomware sadržaja razvila. Nakon uplate, na uređaj se preuzima paket koji sadrži zlonamjerni sadržaj i koji je spreman za daljnje širenje.

Napadači ovako razvijenim zlonamjernim sadržajem mogu zaključati zaražene uređaje, promijeniti PIN, obrisati datoteke te onemogućiti uklanjanje zlonamjernog sadržaja. Ovakve aplikacije predstavljaju značajnu prijetnju zato što za stvaranje i širenje zlonamjernog sadržaja nije potrebno biti tehnički vješt, a k tome i uvelike skraćuju proces razvijanja zlonamjernog sadržaja što koristi i tehnički potkovanijim napadačima.

Prateći naputke u nastavku možete se zaštititi od zlonamjernog ransomware sadržaja:

  • Redovito izrađujte sigurnosne kopije podataka.
  • Pobrinite se da svi uređaji koriste posljednju inačicu antivirusnog programa.
  • Izbjegavajte preuzimanje sadržaja s nepoznatih izvora.
  • Ne otvarajte privitke elektroničke pošte koja je stigla s vama nepoznatog izvora.
  • Koristite se internetom odgovorno i savjesno.

 

24.08.2017thehackernews.com array(0) { }

Otkriven novi zlonamjerni cryptocurrency miner sadržaj

uto, 2017-08-22 15:32

Nova vrsta malware sadržaja imena CoinMiner uzrokuje probleme korisnicima i sigurnosnim tvrtkama. CoinMiner spada u skupinu zlonamjernog cryptocurrency miner sadržaja, a koristi ranjivost EternalBlue kako bi se proširio i WMI kako bi pokretao proizvoljni programski kod.

CoinMiner je zlonamjerni sadržaj koji se pokreće u memoriji, a koristi više razina upravljačkih poslužitelja kako bi pokrenuo mnoštvo skripata koje su mu potrebne kako bi zarazio računalo. S više funkcionalnosti, ovaj zlonamjerni sadržaj predstavlja velik rizik za mnoga računala koja koriste nenadograđene operacijske sustave i antivirusne programe.

Kako bi izbjegli zarazu potrebno je zakrpati ranjivost EternalBlue koja je korištena i u kampanjama zlonamjernim sadržajima WannaCry i NotPetya, a za koju je Microsoft objavio zakrpu pod oznakom MS17-010. U slučaju da ne postoji mogućnosti izvršavanja nadogradnje, zaraza se može izbjeći i onemogućavanjem SMBv1 protokola na ranjivim računalima.

Sigurnosna tvrtka Trend Micro, zaslužna za otkrivanje ovog zlonamjernog sadržaja, također preporučuje onemogućavanje WMI funkcionalnosti na uređajima na kojima nije potrebna ili ograničivanje prava pristupa na administrativnu osobu.

Detaljnim uputama kako onemogućiti SMBv1 protokol i WMI funkcionalnost možete pristupiti ovdje i ovdje. Izvještaj tvrtke Trend Micro možete pronaći ovdje.

22.08.2017bleepingcomputer.com array(0) { }

Otkrivene "zero day" ranjivosti u aplikaciji Foxit PDF Reader

pet, 2017-08-18 15:31

Sigurnosni su stručnjaci otkrili dvije "zero day" ranjivosti (ranjivost za koju još nije izdana sigurnosna zakrpa) u aplikaciji Foxit Reader koja napadačima omogućava pokretanje proizvoljnog programskog koda na ciljanom računalu, osim u slučajevima kada korisnik zaraženu datoteku otvori u Safe Reading Mode funkcionalnosti.

Prvu ranjivost, oznake CVE-2017-10951, otkrio je sigurnosni stručnjak Ariele Caltabiano u suradnji sa skupinom Zero Day Initiative, a drugu, oznake CVE-2017-10952, otkrio je sigurnosni stručnjak iz tvrtke Offensive Security Steven Seeley.

Ove ranjivosti mogu biti iskorištene ako korisnik na računalu otvori posebno oblikovani zlonamjerni .pdf dokument koji se distribuira phishing porukama. Potencijalni udaljeni napadači ranjivosti mogu iskoristiti za izvršavanje proizvoljnog programskog koda.

Foxit je navedene ranjivosti odbio zakrpati zato što vjeruju kako ne bi radile ispravno uz Safe Reading Mode funkcionalnost. Foxit je u izjavi naveo kako "Foxit Reader i PhantomPDF imaju ugrađenu "Safe Reading Mode" funkcionalnost koja je automatski uključena, a za koju vjeruju kako može uspješno zaštiti računalo od neautoriziranih JavaScript napada".

Međutim, sigurnosni stručnjaci vjeruju kako ova funkcionalnost ne uklanja opasnost u potpunosti te smatraju kako bi napadači u budućnosti mogli zaobići ovu zaštitu te iskoristiti postojeće ranjivosti.

Ako se služite aplikacijama Foxit Reader i PhantomPDF, svakako uključite funkcionalnost "Safe Reading Mode". Također, mogućnost napada možete umanjiti i isključivanjem opcije "Enable JavaScript Actions" unutar postavki zahvaćenih aplikacija.

Korisnicima se preporuča da s posebnim oprezom na računala preuzimaju te otvaraju datoteke koje su primili iz nepoznatih izvora.

17.08.2017thehackernews.com array(0) { }

Adobe Flash ranjivost omogućava pribavljanje Windows povjerljivih korisničkih podataka

pet, 2017-08-11 15:17

Ranije ovog tjedna, Adobe je objavio zakrpu za ranjivost u Adobe Flash Player programskom paketu koja je napadačima omogućavala pribavljanje Windows povjerljivih korisničkih podataka za prijavu na računalo. Napadima ove vrste podložni su programski paketi Microsoft Office 2010, 2013 i 2016 te preglednici Firefox i Internet Explorer. 

Sigurnosnom je propust u dodijeljena oznaka CVE-2017-3085, a pogađa aplikaciju Flash player od inačice 23.0.0.162 do 26.0.0.137 podržan na operacijskim sustavima Windows XP, 7, 8.x i 10.

Ranjivost je otkrio stručnjak za računalnu sigurnost Björn Ruytenberg, a riječ je novijoj inačici propusta kojoj je dodijeljena oznaka CVE-2016-4271 za koju je Adobe izdao zakrpu u rujnu 2016. godine.

Tada je Ruytengerg otkrio kako putem Flash datoteke može ostvariti vezu između računala i udaljenog SMB poslužitelja te s računala preuzeti podatke za prijavu. Nakon što je Adobe izdao zakrpu, napadačima nije trebalo mnogo vremena za pronalazak načina kako zaobići zaštitu, a detaljan opis moguće je pronaći na Ruytenbergovom blogu.

U opisu što ga je poslao portalu Bleeping Computer, Ruytenberg navodi kako postoji više različitih vektora napada.

  • Internetska stranica

   Posjećivanjem kompromitirane stranice koja koristi Flash aplikaciju sa zlonamjernim sadržajem

  • Elektronička pošta, Windows dijeljenje datoteka

      Otvaranjem HTML datoteke sa zlonamjernim Flash sadržajem na računalu

  • Microsoft Office

      Otvaranjem dokumenta u kojem je ugrađen zlonamjerni Flash sadržaj.

Sama prijetnja ocijenjena je relativno niskom ocjenom na CVSS (Common Vulnerability Scoring System) indeksu, ali sigurnosni stručnjaci napominju kako se ovaj propust može veoma uspješno koristiti u usmjerenim phishing napadima na pojedine tvrtke ili pojedince.

 

11.08.2017bleepingcomputer.com array(0) { }

Google poslao upozorenje programerima koji razvijaju dodatke za Google Chrome

uto, 2017-08-08 15:30

Stručnjaci za sigurnost iz tvrtke Google poslali su upozorenje svim programerima koji razvijaju dodatke za preglednik Google Chrome zbog povećanog broja uspješno izvedenih phishing napada putem kojih su napadači ostvarili pristup nizu popularnih dodataka.

U prethodnoj smo novosti pisali o preuzimanju dva dodatka za Google Chrome putem kojih su napadači korisnicima u prikaz stranice ubacivali reklamni sadržaj, a nove informacije o ovoj kampanji prenosi portal Bleeping Computer. Naime, otkriveno je kako su veoma diskretni napadi na razvojne programere krenuli prije gotovo dva mjeseca. Sve su sporne poruke sadržavale isti tekst u kojem se napadač predstavljao kao djelatnik tvrtke Google i u kojem je stajalo kako je dodatak prekršio pravila korištenja usluge Chrome Web Store.

U tekstu poruke bila je dostavljena poveznica uz uputu kako se treba prijaviti s njihovim korisničkim računima kako bi im se pokazao status dodatka.

Nakon što se niz žrtava na lažnoj stranici prijavio, napadači su iskoristili njihove podatke kako bi napravili izmjene na dodacima te ih proširili na uređaje korisnika.

Razvojni programer OinkAndStuff, pojedinac iza dodataka Blue Messenger i Websta for Instagram, također je jedna od potencijalnih žrtava ove kampanje. Poruku elektroničke pošte koja je pristigla na njegovu adresu prenosimo u nastavku:

 

                              

 

OinkAndStuff je primijetio adresu pošiljatelja te je o mogućoj prijetnji veoma brzo obavijestio Google koji je onemogućio pristup stranici što nije spriječilo napadače u daljnjim pokušajima s različitih adresa. Nakon nekoliko prijava i velikog broja blokiranih stranica, Google je odlučio stati na kraj ovim napadima te je svim razvojnim programerima poslao obavijest koju prenosimo u nastavku:  

 

                             

07.08.2017bleepingcomputer.com array(0) { }

Napadači preuzeli proširenje za preglednik Google Chrome

pet, 2017-08-04 11:51

Pojedinac koji stoji iza dodatka za preglednik Google Chrome nazvanog Web Developer ponovno je stekao kontrolu nad njime nakon što je nepoznati napadač uspio ostvariti pristup njegovom korisničkom računu te putem spomenutog dodatka širiti zlonamjerni sadržaj.

Razvojni programer Chris Pederick objavio je kako je 2. kolovoza primio zlonamjernu phishing poruku elektroničke pošte putem koje je napadač ostvario pristup njegovom Google računu razvojnog programera.

Napadač je pristup iskoristio kako bi u proširenje ubacio zlonamjerni sadržaj te kako bi zaraženu inačicu ( 0.4.9 ) učinio javno dostupnom za gotovo milijun korisnika. Zlonamjerni je sadržaj, nakon što se našao na računalima korisnika, u prikaz internetskih stranica koje su korisnici posjećivali ubacivao reklamni sadržaj. Google je nakon nekoliko sati uklonio zlonamjerni sadržaj te je već istog dana, nakon što je Pederick pristupio svojem korisničkom računu, objavljena nova inačica ( 5.0 ) bez zlonamjernog sadržaja.

Pederick je detalje samog napada opisao na svojem blogu, a izvješću o napadu se može pristupiti putem poveznice.

Napadi ovakvog tipa nisu rijetkost te svakako valja spomenuti kako je unazad zadnjih tjedan dana zabilježen još jedan slučaj gotovo istovjetnog napada. Napadači su pomoću phishing poruke elektroničke pošte ostvarili pristup korisničkom računu tima razvojnih programera zaslužnih za Google Chrome proširenje imena Copyfish te su, putem navedenog proširenja, korisnicima u prikaz internetskih stranica ubacivali reklamni sadržaj.

 

03.08.2017bleepingcomputer.com array(0) { }

Stranice