CERT RSS

Pretplati se na CERT RSS feed
Osvježeno: prije 2 minute 7 sekundi

[Upozorenje] Zabilježena zlonamjerna kampanja putem elektroničke pošte

pet, 2017-12-15 13:29

VAŽNO! Zabilježena je nova phishing prijetnja putem elektroničke pošte u kojoj se pošiljatelj lažno predstavlja u ime FINA-e gdje napadač vještim navođenjem pokušava namamiti potencijalnu žrtvu na preuzimanje maliciozne datoteke preko umetnute zlonamjerne poveznice u tekstu poruke. Tekst poruke je gramatički korektan te lako navodi korisnika na pokretanje poveznice.

Pošiljatelj poruke predstavlja se u ime FINA-e a lažnom e-mail adresom 'finamhch@business28.web-hosting.com'. U naslovu poruke stoji 'Elektronička obavijest o pokretanju ovršnog postupka', a u tekst poruke umetnut je phishing URL koji korisniku nudi preuzimanje zlonamjerne datoteke. Phishing URL nalazi se na lažnoj domeni 'fina.online' (stvarna domena FINA-e je 'fina.hr'). Savjetuje se blokiranje prometa prema IP adresi 68.65.122.71 i gore spomenutoj domeni.

Iza zlonamjerne datoteke nalazi se ransomware zlonamjerni program koji šifrira datoteke na računalu te zauzvrat traži otkupninu za dešifriranje šifriranih podataka. Prema nekim saznanjima, u slučaju pokretanja, malware se širi po lokalnoj mreži pogođene ustanove/tvrtke. U slučaju zaraze savjetuje se izoliranje zaraženog računala iz mreže.

Niže je slika s prikazom phishing poruke.

Nacionalni CERT poslao je prijavu za blokiranjem lažne domene i uklanjanje phishing URL-a te uklanjanje maliciozne datoteke. Sve korisnike pozivamo na oprez prilikom otvaranja poruka elektroničke pošte.

15.12.2017Nacionalni CERTSlike:  array(0) { }

Zabilježen novi tip ransomware zlonamjernog programa

uto, 2017-12-12 13:21

Novi zlonamjerni ransomware sadržaj nazvan File Spider trenutno se širi putem neželjene pošte i cilja korisnike u Bosni i Hercegovini, Srbiji te Hrvatskoj. Sam zlonamjerni ransomware sadržaj nalazi se u privitku neželjene pošte u zlonamjernoj Word datoteci.

Naslovi spornih poruka su "Potrazivanje dugovanja" i drugi slični naslovi vezani uz naplatu dugova, novac te poslovanje. Nakon što žrtva na računalu otvori zlonamjerni Word dokument, aplikacija će ponuditi opciju "Enable Editing" te "Enable Content". Nakon što korisnik odobri obje opcije, makro naredba ugrađena u zlonamjerni Word dokument preuzima izvršnu datoteku s udaljenog računala, pohranjuje ju u mapu %AppData% \Spider te pokreće.

Jednom pokrenuta macro naredba u zlonamjernom dokumentu, preuzima i izvršava ransomware na računalu, što će izazvati izvršavanje dva procesa naziva "enc.exe" i "dec.exe". "Dec.exe" proces neprimjetno se pokreće u pozadini, pruža GUI sučelje i služi za dešifriranje, dok "enc.exe" proces šifrira podatke na računalu. 

Prilikom šifriranja, ransomware će preskočiti datoteke smještene u niže navedenim mapama:

  • tmp
  • Videos
  • winnt
  • Application Data
  • Spider
  • PrefLogs
  • Program Files (x86)
  • Program Files
  • ProgramData
  • Temp
  • Recycle
  • System Volume Information
  • Boot
  • Windows

U svakoj mapi u kojoj se nalazi šifrirana datoteka, pojavit će se i datoteka HOW TO DECRYPT FILES.url, koja će nakon pokretanja, otvoriti video upute kako dešifrirati podatke.

Također, na radnoj će se površini računala pojaviti datoteka DECRYPTER.url koja pokreće "dec.exe" datoteku. Nakon toga, "enc.exe" stvara datoteku %UserProfile%\AppData\Roaming\Spider\5p1d3r te se gasi. Nakon što "dec.exe" otkrije da je ta datoteka napravljena, žrtvi se prikazuje GUI sučelje s porukom napadača.

Prateći naputke u nastavku možete se zaštititi od zlonamjernog ransomware sadržaja:

  • Redovito izrađujte sigurnosne kopije podataka. 
  • Pobrinite se da svi uređaji koriste posljednju inačicu antivirusnog programa.
  • Izbjegavajte preuzimanje sadržaja s nepoznatih izvora. 
  • Ne otvarajte privitke elektroničke pošte koja je stigla s vama nepoznatog izvora. 
  • Koristite se internetom odgovorno i savjesno. 
  • Sumnjive privitke skenirajte putem usluge VirusTotal 

 

 Indikatori kompromitacije (IOCs) navedeni su ovdje.

 

11.12.2017bleepingcomputer.comSlike:  array(0) { }

Microsoft je izdao izvanrednu sigurnosnu nadogradnju Malware Protection Engine

pet, 2017-12-08 14:35

Microsoft je izdao izvanrednu sigurnosnu nadogradnju za kritičnu ranjivost izvršavanja udaljenog proizvoljnog programskog koda u funkcionalnosti Malware Protection Engine (MPE) alata koja je napadaču dozvoljavala preuzimanje kontrole nad korisničkim računalom.

Ovu funkcionalnost čine sigurnosni mehanizmi poput skeniranja, detekcije i čišćenja koji su dio svih antivirusnih programa koje Microsoft razvija.

Ova ranjivost pogađa veliki broj sigurnosnih proizvoda tvrtke Microsoft kao što su Windows Defender i Microsoft Security Essentials uz Endpoint Protection, Forefront Endpoint Protection te Exchange Server 2013 i 2016. Ova ranjivost, kojoj je dodijeljena oznaka CVE-2017-11937, pogađa proizvode Windows 7, Windows 8.1, Windows 10, Windows RT 8.1 te Windows Server.

Ranjivost je moguće iskoristiti kada funkcionalnost Malware Protection Engine skenira posebno prilagođenu datoteku koju je izradio napadač. Uspješno izvedeni napad omogućava napadaču preuzimanje kontrole nad računalom korisnika, a samu je datoteku moguće isporučiti do ciljanog računala različitim načinima kao što su aplikacije za dopisivanje, elektronička pošta te preuzimanjem s internetske stranice.

Prema riječima Microsofta, ranjivost je uklonjena prije nego što ju je itko mogao iskoristiti, a svim se korisnicima preporučuje hitna nadogradnja operacijskog sustava. Samu ranjivost otkrio je Nacionalni centar za cyber sigurnost Ujedinjenog kraljevstva.

07.12.2017thehackernews.com array(0) { }

Google uvodi nove sigurnosne regulacije

uto, 2017-12-05 16:16

Google pokušava stati na kraj neželjenim i zlonamjernim Android aplikacijama koje prikupljaju podatke o korisniku bez njihova odobrenja. Ovakav tip regulacije posljedica je objave dodatnih pravila vezanih uz Android aplikacije nazvanih "Unwanted Software Policy for Android devices". Prema riječima predstavnika tvrtke Google, do siječnja 2018. godine svakom će korisniku na uređaj pristizati upozorenje ako dođe do neovlaštenog rukovanja njegovim povjerljivim podacima kao što su broj mobilnog uređaja i adresa elektroničke pošte.

Ovakav postupak tvrtke Google ne čudi ako imamo na umu činjenicu kako je ova godina bila ispunjena aplikacijama koje su uklonjene s usluge Google Play. Prošlog je tjedna Google uklonio aplikaciju Tizi koja je prikupljala podatke o korisnicima. Također, u kolovozu su uklonjene tri aplikacije za dopisivanje koje su sadržavale zlonamjerni sadržaj nazvan SonicSpy.

Google novim pravilima želi regulirati korištenje povjerljivih podataka, ali i uvesti sustav obavještavanja korisnika o tome koje točno podatke pojedine aplikacije koriste. Prema riječima Paula Stantona, predstavnika tvrtke Google, svaka aplikacija će korisnika morati obavijestiti o načinu na koji koristiti povjerljive podatke. Dodatno, u slučajevima kada aplikacija prikuplja podatke koji nisu izravno vezani uz funkcionalnost iste, korisnik će prijenos tih podataka morati dodatno odobriti. Također, aplikacija će morati ponuditi objašnjenje zašto koristi te podatke te u koju će se svrhu oni koristiti.

 

04.12.2017threatpost.com array(0) { }

NATO vježba "Cyber Coalition 2017"

pet, 2017-12-01 09:44

Hrvatska akademska i istraživačka mreža - CARNet sudjelovala je u desetoj po redu NATO vježbi zaštite NATO i nacionalnih računalnih sustava pod nazivom "Cyber Coalition 2017".

Vježba, između ostalog, obuhvaća obranu od malvera, hibridne izazove koji uključuju i društvene mreže te napade na mobilne uređaje. Testirane su operativne i pravne procedure te suradnja s akademskom zajednicom i privatnim sektorom.

Trodnevnom vježbom, u kojoj je sudjelovalo 25 NATO članica, NATO partnerske zemlje te Europska unija rukovodilo se iz Estonije, dok je većina sudionika bila na svojim uobičajenim radnim mjestima.

Više informacija o vježbi dostupno je na službenim stranicama Oružanih snaga RH, SHAPE-a i NATO-a.

01.12.2017Nacionalni CERT array(0) { }

[UPOZORENJE!] Phishing kampanja

sri, 2017-11-29 11:58

VAŽNO! Proteklih dva tjedna zabilježena je phishing kampanja s ciljem kompromitacije korisničkog računala, a time i krađe povjerljivih podataka sa sustava. Pošiljatelj poruke predstavljao se u ime Porezne uprave s lažnom e-mail adresom i lažnom domenom u e-mail adresi 'pdv@porezna-uprava.net', dok je u naslovu poruke stajalo 'Novi Zakon za 2018'. U tekstu phishing poruke umetnut je phishing URL koji korisniku nudi preuzimanje zlonamjerne datoteke. Phishing URL nalazio se na lažnoj domeni 'porezna-uprava.net'.

Niže je slika s prikazom teksta phishing poruke.

Phishing URL kao i pripadajuća domena su blokirani, tj.  nisu aktivni, ali pozivamo na oprez jer nije isključena mogućnost da je napadač ponovno aktivira na nekom drugom web poslužitelju.

U slučaju pokretanja preuzete maliciozne datoteke, ista komunicira s upravljačkim poslužiteljem (C&C) na IP adresi 81.4.125.50 na sljedećim domenama:

* consaltingsolutionshere.com

* kimdotcomfriends.com

* bestfriendsroot.com

Nacionalni CERT korisnicima savjetuje blokadu mrežnog prometa prema gore navedenim domenama te istovremeno provjeru ima li pokazatelja o zabilježenim konekcijama prema zlonamjernim domenama. Također jedan od indikatora provjere kompromitacije računala je i utvrđivanje postojanja aktivnih procesa na sustavu naziva weather.exe i serk.exe.

29.11.2017Nacionalni CERTSlike:  array(0) { }

Nacionalno istraživanje o navikama i ponašanju djece i mladih na Internetu

pon, 2017-11-27 14:41

Svjetski konzorcij EU Kids Online objavio je 21. studenog 2017. preliminarne rezultate nacionalnog istraživanja sigurnosti djece i mladih na internetu. Riječ je o prvom nacionalnom komparativnom istraživanju o medijskim navikama djece, kao i praksama i stavovima njihovih roditelja, te iskustvima i sigurnosti djece na Internetu. Istraživački tim EU Kids Online Hrvatska čine:

Doc. dr. sc. Igor Kanižaj, Fakultet političkih znanosti Sveučilišta u Zagrebu
Doc. dr. sc. Dunja Potočnik, Institut za društvena istraživanja u Zagrebu
Izv. prof. dr. sc. Dejan Vinković, Institut sinergije znanosti i društva
Ivana Ćosić Pregrad, Poliklinika za zaštitu djece Grada Zagreba
Lana Ciboci, Edward Bernays Visoka škola za komunikacijski menadžment


Istraživanje je provedeno u 33 zemlje koje su članice EU Kids Online konzorcija, a opći cilj istraživanja bilo je stjecanje uvida u navike djece pri korištenju Interneta i suvremenih tehnologija, ispitati učestalost i oblike izloženosti djece uznemirujućim sadržajima i nasilju te ispitati zaštitne faktore i ulogu okoline u zaštiti i edukaciji djece i mladih o opasnostima na Internetu.

U istraživanju je sudjelovalo 1.017 djece u dobi od 9 do 17 godina te onaj roditelj koji ima više uvida u prakse djeteta na Internetu. Ključni rezultati istraživanja su:

  • Djeca Internetu najčešće pristupaju preko pametnih telefona i računala/laptopa/notebooka
  • Gotovo polovica djece u dobi od 9 do 11 godine, 2/3 djece u dobi od 12 do 14 godina te 3/4 djece u dobi od 15 do 17 godina uvijek kada želi ili treba može pristupiti Internetu.
  • Svako četvrto dijete u dobi od 9 do 14 godina te svako treće dijete u dobi od 15 do 17 godina je u potpunosti ili uglavnom zabrinuto za svoju privatnost na Internetu.
  • Najkorištenija društvena mreža među djecom od 9 do 17 je Facebook, dok se na drugom mjestu nalazi Instagram.
  • Svako deseto dijete u dobi od 15 do 17 godina prihvaća sve zahtjeve za prijateljstvom drugih ljudi na društvenim mrežama. Istovremeno, gotovo svako četvrto dijete te dobi svakoga tjedna traži na Internetu nove prijatelje ili kontakte. Ovakav rezultat sugerira da su mladi usmjereni na socijalizacijski aspekt kojeg nude društvene mreže i Internet, što je dijelom očekivano s obzirom na to da se djeca i mladi ove dobi nalaze u razvojnom periodu kada su im odnosi s vršnjacima i drugim ljudima važni, pri čemu su usmjereni na istraživanje i eksperimentiranje u svijetu koji ih okružuje. Podaci također sugeriraju da većina mladih ove dobne skupine ima određenu kritičnost u prihvaćanju zahtjeva za prijateljstvom kada se radi o internetskim prijateljima, no i dalje postoji manja skupina mladih koji pokazuju rizična ponašanja na Internetu.
  • Svako peto dijete u dobi od 9 do 17 godina u potpunosti ili uglavnom ne zna promijeniti postavke privatnosti, npr. na društvenim mrežama.
  • Svako četvrto dijete u dobi od 9 do 11 godina je reklo da se tvrdnja „Znam kada smijem i kada ne smijem dijeliti informacije na internetu“ u potpunosti ili uglavnom ne odnosi na njih.
  • Gotovo svako treće dijete u dobi od 9 do 17 godina je u posljednjih godinu dana komuniciralo na Internetu s osobama koje nisu upoznali uživo. To je činilo svako deseto dijete u dobi od 9 do 11 godina, svako četvrto dijete u dobi od 12 do 14 godina te gotovo 1/2 djece u dobi od 15 do 17 godina. I ovaj podatak sugerira da su djeca, čak i ona mlađe dobi, usmjerena na socijalizaciju i komunikaciju s drugima na društvenim mrežama uključujući i njima nepoznate ljude.
  • Više od 1/10 djece u dobi od 9 do 17 godina se u posljednjih godinu dana susrelo uživo s osobom koju su upoznali na Internetu. To je napravilo svako četvrto dijete u dobi od 15 do 17 godina i svako deseto dijete u dobi od 12 do 14 godina. Djeca koja više vremena provode na Internetu češće odlaze na takve susrete. Podatak sugerira da djeca i mladi komunikaciju i odnose započete na društvenim mrežama i u virtualnom svijetu razvijaju i prenose u opipljivi (offline) život i ne iznenađuje podatak da broj susreta s internetskim prijateljima raste s dobi. Adolescenti su usmjereni na istraživanje i zainteresirani za upoznavanje novih ljudi, propituju različite dijelove svog identiteta, usmjereni su na sadašnjost i kratkoročne ciljeve, manje su kritični pri donošenju odluka i vrlo često vjeruju da su neranjivi, da ne mogu stradati. Upravo zbog ovih obilježja, ova skupina djece i mladih koja odlazi na susrete s internetskim prijateljima, izlaže se riziku da postanu žrtve uznemirujućih iskustva i seksualnog zlostavljanja.
  • Kada ih je zadnji put na Internetu nešto uznemirilo ili im zasmetalo, više od pola djece u dobi od 9 do 17 godina je zatvorilo aplikaciju, svako treće dijete je blokiralo osobu kako ih ona više ne bi mogla kontaktirati, svako četvrto dijete ignoriralo je problem, a svako peto dijete promijenilo je postavke privatnosti.
  • U proteklih godinu dana više od pola djece u dobi od 9 do 17 godina primilo je povređujuću ili neprimjerenu poruku. Pritom je takvu poruku primilo više od 1/3 djece u dobi od 9 do 11 godina, gotovo 1/2 djece u dobi od 12 do 14 godina te gotovo 3/4 djece u dobi od 15 do 17 godina. Djeca koja su tijekom tjedna i preko vikenda više vremena provodila na Internetu, češće su dobivala takve poruke.
  • Više od 1/10 djece u dobi od 9 do 17 godina bilo je zastrašivano na Internetu u posljednjih godinu dana.
  • Gotovo 2/3 djece u dobi od 9 do 17 godina na Internetu je u proteklih godinu dana vidjelo seksualne fotografije ili film gole osobe, a da im nije bila namjera vidjeti ih. S tim se susrelo 3/4 djece u dobi od 9 do 11 godina, više od 2/3 djece u dobi od 12 do 14 godina te gotovo 2/3 djece u dobi od 15 do 17 godina. Ovakav podatak sugerira da je prisutnost seksualnih sadržaja na Internetu zaista velika i čini se lako dostupna djeci i mladima. Ovakav nalaz također može ukazivati i na potrebu edukacije i podučavanja i mlađe djece o mogućim rizicima i njihovoj sigurnosti. Osnovni cilj ove edukacije je podrška djeci i mladima da što ranije nauče kontrolirati sadržaje s kojima se susreću na Internetu, te da se znaju snaći u njima potencijalno neugodnim i uznemirujućim situacijama.
  • Roditelji češće o aktivnostima na Internetu razgovaraju s djecom mlađe dobi. Istovremeno, roditelji puno češće nadziru aktivnosti na Internetu mlađe djece, ali i mlađoj djeci češće daju savjete što učiniti ako ih netko uznemirava na Internetu.

Više informacija možete pronaći i na službenoj stranici hrvatskog projekta putem poveznice u nastavku:

http://hrkids.online/

 

21.11.2017HR Kids Online array(0) { }

HUB izdao upozorenje korisnicima zbog povećanog broja lažnih oglasa

pet, 2017-11-24 15:15

Hrvatska udruga banaka jučer je izdala upozorenje na svojem web sjedištu hub.hr koje se odnosi na sve veći broj lažnih oglasa na društvenim mrežama.

U upozorenju se korisnike poziva da online kupnji povodom svjetskog shopping vikenda "Black Friday" pristupaju s dodatnim oprezom. Naime, povećan je broj lažnih web oglasa u kojima se korisnicima nudi povoljna kupnja razne brendirane robe što predstavlja ozbiljan rizik veoma velikom broju korisnika koji bi na spornim stranicama mogli ostaviti svoje osobne i povjerljive podatke. Neki od primjera navode kako se prilikom otvaranja poveznica s lažnim oglasima od korisnika traži unos osobnih podataka, a nakon odabira plaćanja otvara se stranica s početnim slovima "http" , umjesto "https".

HUB u članku na svom web sjedištu navodi kako se najbolje zaštiti, a njihove savjete prenosimo u nastavku:

Upozoravamo korisnike da pri kupnji na internetu obavezno:

  • sami upisuju web adresu prodajnog mjesta
  • nikada na web adresu prodajnog mjesta ne dolaze putem poveznica (linkova) sa stranica društvenih mreža ili putem sličnih poruka
  • prije unošenja podataka o kartici provjere ima li internetska adresa na početku sličicu neotključanog lokota i počinje li s: "https", kao u primjeru
  • klikom na sličicu lokota provjere pripada li URL adresa prodajnom mjestu.

Na taj način korisnici će izbjeći troškove za transakcije koje nisu izvršili.

Cijelu novost možete pročitati putem poveznice

23.11.2017Hrvatska udruga banaka array(0) { }

Ranjivost Intel procesora

uto, 2017-11-21 15:00

Intel je zakrpao ranjivost procesora koja je milijune korisnika računala izlagala računalno sigurnosnim prijetnjama. Intel je zakrpu izdao za više modela procesora, a ranjivost je zahvaćala više milijuna računala, poslužitelja i IoT uređaja (Internet of Things).

Najkritičnija ranjivost odnosila se na prepisivanje spremnika u jezgri operacijskog sustava za Intel Management Engine (ME) firmware koja je potencijalnim napadačima omogućavala izvršavanje proizvoljnog programskog koda na zahvaćenom sustavu.

Intel Management Engine koristi se za lokalno i udaljeno upravljanje sustavom, a može se koristiti čak i kad je računalo isključeno. To je odvojen procesor od onog koji je ugrađen u chipset matične ploče na računalima s Intel procesorima i koristi MINIX operacijski sustav. ME ima puni pristup sistemskoj memoriji računala, kao i mrežnim adapterima. Međutim, operacijski sustav ne može pristupiti ME-u, a sigurnosni su stručnjaci ukazali da je gotovo nemoguće onemogućiti funkcionalnost kako bi se spriječilo moguće iskorištavanje ranjivosti. Ono što povećava rizik je činjenica da je ME pokrenut dok god je računalo uključeno u struju, čak i kad su ostavi dijelovi sustava isključeni.

Osim što ranjivost potencijalnim napadačima omogućava izvršavanje proizvoljnog programskog koda, može biti iskorištena za rušenje servisa ili za zaobilaženje sigurnosnih ograničenja.

Tvrtka je navela popis proizvoda koji su ranjivi na navedenu ranjivost:

  • 6th, 7th, and 8th generation Intel Core processors
  • Xeon E3-1200 v5 and v6
  • Xeon Scalable range
  • Xeon Processor W family
  • Atom C3000 processor family
  • Apollo Lake Atom E3900 series
  • Apollo Lake Pentium processors
  • Celeron N and J series processors

Intel je izdao alat za Microsoft Windows i Linux administratore koji testira sustav na ME ranjivost. Tvrtka također poziva korisnike da provjere nadogradnje firmwarea.

21.11.2017itnews.com.au array(0) { }

Otkrivena 17 godina stara ranjivost u Microsoft Office paketu

pet, 2017-11-17 14:56

Microsoft je ovog utorka izdao zakrpu za 17 godina staru ranjivost koja je udaljenim napadačima omogućavala izvršavanje proizvoljnog programskog koda u funkcionalnosti programskog paketa Microsoft Office koji se zove Microsoft Equation Editor. Ranjivosti je dodijeljena oznaka CVE-2017-11882, a zakrpana je u sklopu Microsoftovog paketa zakrpa. Microsoft je ranjivosti dodijelio oznaku "Važno" na skali prijetnje, s čime se ne slažu stručnjaci iz tvrtke Embedi koji su ranjivost otkrili. Prema njihovom sudu, ranjivost je "Iznimno opasna", odnosno "kritična".

U izvješću objavljenom u utorak, stručnjaci iz tvrtke Embedi tvrde kako ranjivost predstavlja prijetnju zato što se nalazi u svim inačicama programskog paketa Microsoft Office u proteklih 17 godina. Također, ranjivost je moguće iskoristiti na svima inačicama operacijskog sustava Windows.

Funkcionalnost Microsoft Equation Editor dolazi u paketu s programskim paketom Microsoft Office, a koristi se za umetanje i uređivanje složenih jednadžbi.

Prva inačica funkcionalnosti Equation Editor objavljena je u studenom 2000. godine, a od tada se koristila u sklopu programskog paketa Office 2000 i Office 2003. Kasnije su verzije programskog paketa Office imale noviju inačicu ove funkcionalnosti, ali su također imale i stariju inačicu kako bi se moglo pristupi datotekama koje nova inačica nije podržavala.

Svim korisnicima, osim primjene izdanih zakrpa, stručnjaci iz tvrtke Embedi savjetuju onemogućavanje EQNEDT32.EXE u Windows registru kako bi se spriječilo daljnje iskorištavanje ranjivosti.

15.11.2017threatpost.com array(0) { }

Nacionalni CERT objavio DNSSEC dokument

pon, 2017-11-13 16:36

Nacionalni CERT, u suradnji s Fakultet elektrotehnike i računarstva Sveučilišta u Zagrebu, donosi dokument koji je izradio Laboratorij za sustave i signale Zavoda za elektroničke sustave i obradu informacija. U dokumentu se donosi pregled rada IP adresa, DNS-a, sigurnosnih problema vezanih uz DNS te DNSSEC-a, sigurnosne nadogradnja DNS-a čija je svrha upravo sprečavanje bilo kakvog lažiranja DNS odgovora.

Poveznicu do dokumenta prenosimo u nastavku:

http://www.cert.hr/sites/default/files/DNSSEC.pdf

ICANN (engl. The Internet Corporation for Assigned Names and Numbers) je nedavno objavio kako će odgoditi promjenu kriptografskih ključeva koji štite sustav domenskih imena DNS (engl. Domain Name System). Sama se promjena trebala odviti 11. listopada ove godine, no pokazalo se kako mnogi pružatelji usluga spajanja na internet i mrežni operateri nisu spremni za promjenu ključa te je najvjerojatnije kako će do promjene kriptografskih ključeva doći u prvoj četvrtini 2018. godine.

13.11.2017Nacionalni CERT array(0) { }

Buduće sigurnosne značajke u pregledniku Google Chrome

pet, 2017-11-10 15:58

Google je objavio da će ugraditi tri nove sigurnosne značajke u svoj popularni web preglednik Chrome. Nove bi značajke trebale sprječavati web stranice od neprimjetnog preusmjeravanja korisnika na neželjene URL-ove. U njihovoj izjavi, Google je istaknuo kako će jedna od značajki biti posebno usmjerena ka sprječavanju kampanja zlonamjenog oglašavanja (Malvertising) za distribuiranje zlonamjernog programa. Zlonamjerno oglašavanje uključuje umetanje zlonamjernog ili tzv. "malware-laden" oglasa unutar pouzdanih internetskih oglašivačkih mreža i web stranica.

Primjerice, ono što će se blokirati je novi prozor kada korisnik pokrene prikrivenu poveznicu ili oglas maskiran u tipke, kao što su kontrole za pokretanje video sadržaja.

Iz tvrtke naglašavaju da će spomenute značajke biti u funkciji s inačicom Chrome 64, koja će biti objavljena u siječnju 2018.

Uz to, Google je objavio alat naziva “Abusive Experience Report” koji će administratorima web sjedišta omogućiti uvid u kompatibilnost njihovih web stranica.

09.11.2017latesthackingnews.com array(0) { }

Otkrivena kritična ranjivost u Tor internet pregledniku

sri, 2017-11-08 14:30

Talijanska tvrtka za računalnu sigurnost, "We Are Segment", otkrila je kritičnu ranjivost, naziva "TorMoil" u poznatom besplatnom programu za anonimno pregledavanje sadržaja internet stranica - Tor Browser. Ovom su ranjivošću zahvaćeni korisnici Mac i Linux operativnih sustava na kojima se pogoni Tor internet preglednik, a koja može dovesti do otkrivanja stvarne javne IP adrese računala koju korisnik ima dodijeljenu od svojeg pružatelja internet usluga. S obzirom da web preglednik Firefox dijeli izvorni kod s neprofitnom organizacijom Tor Project, tako i cijeli propust proizlazi iz samog preglednika uzrokovanog nepravilnim upravljanjem file:// URL-ova, odnosno ako korisnik pokrene lokalnu adresu datoteke (file://) usmjerit će ga prema posebno oblikovanoj web stranici gdje bi se njegov operativni sustav mogao direktno spojiti na udaljeno računalo. Detalji cijelog propusta još uvijek nisu javno objavljeni, kao ni precizniji pokazatelji o tome iskorištava li se ova ranjivost. Sigurnosna zakrpa je izdana s inačicom 7.5a7 za macOS i Linux korisnike pa se savjetuje žurna primjena.

06.11.2017ZDNet array(0) { }

Oracle izdao zakrpu za kritičnu ranjivost

čet, 2017-11-02 15:53

Oracle je objavio novu izvanrednu zakrpu za kritičnu ranjivost koja je udaljenim napadačima dopuštala pristupanje softveru bez autentikacije. Otkrivena ranjivost, oznake CVE-2017-10151, napadaču omogućava kompromitaciju funkcionalnosti Oracle Identity Managera putem neautoriziranih mrežnih napada.

Ranjivosti je na CVSS skali dodijeljena ocjena 10, najviša moguća ocjena.

Napadači mogu s udaljenog računala preuzeti upravljanje nad softverom bez korištenja ispravnih korisničkih podataka za prijavu.

Prema izvješću NIST-a, ranjivost je veoma lako iskoristiti. Oracle Identity Manager je funkcionalnost koja upravlja korisničkim računima i korisničkim pristupom sustavima.

Sama ranjivost pogađa verzije 11.1.1.7, 11.1.1.9, 11.1.2.1.0, 11.1.2.2.0, 11.1.2.3.0 i 12.2.1.3.0.

Oracle savjetuje što brže primjenjivanje zakrpe s obzirom na visoku kritičnost ove ranjivosti.

Prošlog je mjeseca Oracle objavio 252 zakrpe za otkrivene ranjivosti. Najviše se zakrpa odnosilo na Oracle Fusion Middleware, Oracle Hospitality, Oracle MySQL, PeopleSoft te Javu.

01.11.2017zdnet.com array(0) { }

Nacionalni CERT obilježava 10 godina postojanja

pon, 2017-10-30 07:16

Ove godine, Nacionalni CERT, Nacionalno središte za računalnu sigurnost, obilježava 10 godina svog postojanja.

Nacionalni CERT (engl. Computer Emergency Response Team) osnovan je 30. listopada 2007. godine kada je Upravno vijeće CARNeta prema obvezama Zakona o informacijskoj sigurnosti donijelo izmjene statuta kojima je uspostavljen Odjel za Nacionalni CERT. Tim putem Nacionalni CERT preuzeo je sve poslove koje je obavljao CARNet CERT kao jedini CERT u RH od 1996. godine. Na ovaj način CARNet je omogućio bolju brigu o sigurnosti javnih informacijskih sustava kroz djelatnost Nacionalnog CERT-a te pružio kvalitetniju uslugu korisnicima u sustavu znanosti i obrazovanja kroz aktivnosti tadašnjeg CARNetovog Odjela za računalnu sigurnost (2016. godine pripojen je Odjelu za Nacionalni CERT). Nakon ustrojstva Nacionalnog CERT-a započinje uspostava hijerarhijski ustrojene infrastrukture CERT timova koja je nužna za preventivno djelovanje i učinkovitu koordinaciju pri rješavanju sigurnosnih incidenata vezanih uz informacijsko komunikacijske sustave.

Prema tome, Nacionalni CERT obrađuje incidente i brine za očuvanje informacijske sigurnosti u Republici Hrvatskoj već deset godina. Podsjetimo, prema Pravilniku o radu Nacionalnog CERT-a, on se bavi incidentom ako se jedna od strana u incidentu nalazi u Hrvatskoj, odnosno ako se nalazi u .hr domeni ili u hrvatskom IP adresnom prostoru, osim tijela državne vlasti (ZSIS CERT). Nacionalni CERT ima zadaću donositi upute, smjernice, preporuke, savjete i mišljenja u području svoje nadležnosti.

Rast Nacionalnog CERT-a možda će najbolje pokazati i usporedba brojki u posljednjih nekoliko godina. Web sjedištu cert.hr 2013. godine pristupilo je prosječno 8 749 jedinstvenih korisnika mjesečno dok je ove godine mjesečni prosjek gotovo 14 000 jedinstvenih korisnika. Predviđeni broj incidenata u 2017. godini neće biti mnogo veći od broja obrađenih incidenata u 2015. godini, proaktivnim mjerama taj će se broj pokušati smanjiti. Također, Nacionalni CERT nastavlja s pisanjem novosti iz svijeta sigurnosti informacijskih sustava te objavom upozorenja o potencijalnim prijetnjama na stranicama web sjedišta cert.hr, ali i web sjedišta antibot.hr koji od 2015. godine bilježi rast broja jedinstvenih posjetitelja te je u 2017. godini prešao brojku od prosječno 3 700 posjetitelja mjesečno. Abuse služba, koja se bavi incidentima kad je izvor u carnet.hr domeni, bilježi stalni pad broja incidenata što pokazuje rast osviještenosti korisnika o računalnoj sigurnosti. Tako je u 2013. godini zabilježeno prosječno 494 incidenta mjesečno vezanih uz Abuse službu, a 2017. godine, nakon stalnog pada, mjesečni prosjek iznosi 209 incidenata.

Nacionalni CERT i u narednim će godinama savjesno i odgovorno obavljati svoj posao kako bi, u suradnji s drugim odgovornim tijelima, očuvao informacijsku sigurnost u Republici Hrvatskoj. Konstantnom edukacijom zaposlenika, nadogradnjom opreme i alata, suradnjom s odgovornim tijelima na međunarodnoj i nacionalnoj razini, provjerama ranjivosti, objavom sigurnosnih preporuka, podizanjem svijesti korisnika o računalnoj sigurnosti i mnogim drugim aktivnostima Nacionalni CERT i dalje će ustrajati stručno, kvalitetno i učinkovito koordinirati pri rješavanju računalno sigurnosnih incidenata. U današnje digitalno doba sve je više računalno sigurnosnih prijetnji, no zajedničkim snagama može se odgovoriti na njih. Stoga svim korisnicima interneta u Republici Hrvatskoj Nacionalni CERT stoji na raspolaganju na dobro poznatim e-mail adresama incident@cert.hr (za prijavu incidenta) te ncert@cert.hr (za opće upite, savjete i informacije). Zajedno učinimo internet sigurnijim mjestom.

30.10.2017Nacionalni CERTSlike:  array(0) { }

Obnovljen Sporazum između MUP-a i CARNeta (Nacionalnog CERT-a)

pet, 2017-10-27 13:54

Ovih dana, nakon tri godine, obnovljen je Sporazum o suradnji na prevenciji i rješavanju računalnih incidenata i drugih oblika računalnog kriminaliteta između MUP-a i CARNeta (Nacionalnog CERT-a). Sporazum je obnovljen kako bi sporazumne strane i dalje surađivale u cilju očuvanja sigurnosti kibernetičkog prostora Republike Hrvatske.

Suradnja je potrebna zbog masovne, intenzivne uporabe računala i druge elektroničke opreme te interneta, sofisticiranih metoda zlouporaba informacijske tehnologije, iskorištavanja računalno-sigurnosnih slabosti, upotrebe zloćudnog softvera, mogućnosti ostvarivanja visokog stupnja anonimnosti, kao i drugih čimbenika kojima smo svjedoci u današnjem digitalnom dobu.

S obzirom na činjenicu da suvremeni način borbe protiv računalnog kriminaliteta, kao osnovni preduvjet uspješnosti, podrazumijeva dijeljenje informacija između relevantnih institucija i visoki nivo tehničkih predznanja, MUP i CARNet suglasno su osigurali međusobnu suradnju kako bi uvijek bili spremni na računalno sigurnosne izazove kojih je svakim danom sve više.

Mjesec listopad europski je mjesec cyber sigurnosti te se diljem Europe održavaju razne kampanje podizanja svijesti korisnika o sigurnosnim aspektima korištenja interneta, produbljuje se suradnja između ekspertnih skupina za računalnu sigurnost, razmjenjuju se informacije o računalno sigurnosnim incidentima itd. Kako se mjesec cyber sigurnosti obilježava i u Hrvatskoj, ovim se sporazumom produbljuje suradnja između tijela nadležnih za računalnu sigurnost u RH te predstavlja temelj za daljnji razvitak sposobnosti za odgovaranjem na računalno-sigurnosne ugroze.

27.10.2017Nacionalni CERT array(0) { }

BadRabbit ransomware širi se Europom

sri, 2017-10-25 15:52

 BadRabbit, novi ransomware nalik na one koje smo doživjeli u svibnju i lipnju ove godine, ponovno je masovno zahvatio nekoliko država istočne Europe. Glavnina napada ciljala je javni i privatni sektor, na primjer ukrainski aerodrom, sustav podzemne željeznice, ukrainsko Ministarstvo infrastrukture, tri ruske novinarske agencije itd. Brzina širenja slična je onoj kod WannaCry i NotPetya ransomwarea.

Ovaj ransomware pogađa Windows operacijske sustave, i to verzije od XP do 10. BadRabbit koristi nekoliko vektora napada, a jedan od njih je ranjivost SMB protokola koja se iskorištavala i u prethodno navedenim ransomware kampanjama. Microsoft je u ožujku izdao zakrpu za EternalBlue ranjivost, a u svibnju je izdao zakrpu za starije verzije Windowsa. Bez obzira na primijenjene zakrpe, čak i potpuno zakrpani operacijski sustavi mogu biti ranjivi.

Prema izvještaju stručnjaka za računalnu sigurnost, malware je zapakiran kao nadogradnja Flash Playera, a širi se nakon što korisnici posjete neku od kompromitiranih web stranica koje vrše preusmjeravanje na domenu 1dnscontrol[.]com na kojoj se nalazi maliciozna datoteka. Prije zaraze samog sustava šalje se POST zahtjev prema statičkom IP-u te se skupljaju podaci o zahvaćenom računalu. Nakon što se malware instalira na korisničko računalo, iskorištava se SMB protokol za dalje širenje mrežom. Malware na navedenoj domeni bio je aktivan otprilike šest sati prije nego što je domena uklonjena. Za sada nema poznatih alata za dešifriranje podataka šifriranih BadRabbit zlonamjernim sadržajem. 

Za prevenciju od zaraze sustava svakako redovito nadograđujte operacijske sustave, izrađujte sigurnosne kopije podataka, nemojte izlagati SMB protokol mreži (blokiranje TCP/445 porta ili onemogućavanje SMBv1 protokola),  ne koristite administratorske ovlasti na računalu dok to nije potrebno te onemogućite WMIC (Windows Management Instrumentation Command-line).

25.10.2017Nacionalni CERT array(0) { }

Stvarajmo zajedno sigurno društvo u kibernetičkom prostoru

uto, 2017-10-24 15:22

S ciljem jačanja kapaciteta Nacionalnog CERT-a i poboljšanja suradnje na nacionalnoj i europskoj razini CARNet je pokrenuo dvogodišnji projekt pod nazivom GrowCERT koji je predstavljen u ponedjeljak, 23. listopada u prostorijama CARNeta. Projekt u vrijednosti od gotovo 985 000 eura sufinanciran je sredstvima Europske komisije putem Instrumenta za povezivanje Europe (CEF - Connecting Europe Facility).
Projekt GrowCERT predstavio je pomoćnik ravnatelja CARNeta za Nacionalni CERT Tomislav Štivojević koji je istaknuo kako je kibernetička sigurnost novi izazov i zadaća globalnog digitalnog društva te su njeno očuvanje, zaštita i jačanje prepoznati kao preduvjet ostvarivanja vizije Nacionalne strategije kibernetičke sigurnosti koja glasi: “Sigurno društvo u kibernetičkom prostoru”.

Provedbom projekta doprinosi se jačanju hrvatskih nacionalnih kapaciteta za prikupljanje, analizu i razmjenu informacija o kibernetičkim incidentima i prijetnjama kibernetičkoj sigurnosti korištenjem novo razvijene platforme za prikupljanje podataka o sigurnosnim incidentima na nacionalnoj i europskoj razini.

Projektno sufinanciranje od strane Europske komisije omogućilo je dodatna ulaganja u ljudske i tehničke kapacitete Nacionalnog CERT-a čime će Nacionalni CERT biti u mogućnosti razvijati nove usluge poput izrade nacionalnog popisa pošiljatelja neželjene elektroničke pošte (SPAM Blacklist), sustava za distribuciju informacija o otkrivenim ranjivostima i alata za otkrivanje izmijenjenih izgleda stranica web sjedišta (web defacement) i drugih zlonamjernih sadržaja u kibernetičkom prostoru u ovlasti Nacionalnog CERT-a.

Prije predstavljanja novog projekta održano je predavanje o GDPR-u – Općoj uredbi o zaštiti osobnih podataka koja stupa na snagu 25. svibnja 2018. godine, te o CSP-u (Core Service Platform) – europskoj platformi za razmjenu informacija o kibernetičko sigurnosnim incidentima. Predavanje su održali stručnjaci iz tvrtke Deloitte angažirani na projektu SMART 2014/1079 financiranom od strane Europske komisije u svrhu provedbe pripremnih aktivnosti za pokretanje CEF Core Service Platform za CERT-ove u Europskoj uniji.

24.10.2017Nacionalni CERTSlike:  array(0) { }

Zaraženo osam aplikacija na Google Play trgovini

pet, 2017-10-20 12:52

 Google je uklonio osam aplikacije iz svoje Google Play trgovine zato što je otkriveno kako su zaražene zlonamjernim sadržajem namjenjenim za Android uređaje.

Prema riječima sigurnosnih stručnjaka iz tvrtke Symantec, zaražene aplikacije su predstavljene kao dodatni sadržaj za popularnu igru, Minecraft Pocket Edition, a preuzete su između 600 000 i 2,6 milijuna puta. Sve je aplikacije razvio isti studio imena FunBaster, a Google ih je uklonio 6. listopada. Također, Google je koristeći mogućnost izravnog uklanjanja aplikacija iste uklonio s većine zaraženih uređaja.

Ime ovog zlonamjernog sadržaja potječe iz načina na koji ovaj sadržaj djeluje. Nakon preuzimanja na uređaj, Sockbot pokreće SOCKS proxy na svim zaraženim uređajima te čeka naredbe s udaljenog komandnog i kontrolnog poslužitelja.

Daljnjom je analizom ustanovljeno kako zlonamjerni uređaj prima informacije o reklamnom sadržaju, poput tipa i veličine reklame, iako sam Sockbot nema funkcionalnost prikaza reklamnog sadržaja na zaraženim uređajima. Također, stručnjaci su otkrili kako osoba iza komandnog i kontrolnog poslužitelja može zlonamjerni sadržaj koristiti kako bi preusmjerila zlonamjerni sadržaj, ali i pokrenula DDoS napad.

Za sada svi tragovi upućuju kako je Sockbot u trenutku kada je otkriven još uvijek bio u fazi razvijanja. Nažalost, Sockbot nije prvi zlonamjerni sadržaj ovog tipa koji je pogodio ovako velik broj uređaja. U kolovozu ove godine, Android botnet mreža WireX je onemogućena nakon što je zaraženo 120 000 uređaja koji su se koristili u DDoS napadima.

19.10.2017bleepingcomputer.com array(0) { }

Sigurnosni nedostaci WPA protokola

uto, 2017-10-17 16:41

Sigurnosni su stručnjaci otkrili niz ranjivosti u jezgri WPA2 (Wi-Fi Protected Access II) protokola koje potencijalnom napadaču mogu omogućiti ostvarivanje pristupa bežičnoj mreži te pratiti internet komunikaciju. 13 godina stara WiFi metoda autentikacije, WPA2, od nedavno je kompromitirana što utječe na gotovo sve bežične uređaje. Tim istražitelja proveo je KRACK (engl. Key Reinstallation Attack) napad kojim su dokazali na koji je način moguće kompromitirati bežičnu i otkriti osjetljive informacije poput brojeva kreditnih kartica, lozinki, IM poruka, e-mailova i fotografija. Kako nije riječ o ranjivosti pojedinog proizvoda, već o ranjivosti samog Wi-Fi standarda, gotovo svi uređaji koji koriste WPA2 protokol podložni su napadu. Uz WPA2, KRACK pogađa i cijeli niz sigurnosnih mehanizama te se može reći kako su gotovo svi uređaji koji koriste bežičnu vezu ranjivi.

Valja napomenuti kako KRACK ne omogućava napadaču otkrivanje ispravne lozinke bežične mreže, već mu omogućava pregled i dešifriranje podataka prenesenih pogođenom bežičnom vezom, stoga izmjena lozinke bežične mreže ne sprječava niti ublažava mogući napad.

Sama tehnika opisana je u izvješću skupine sigurnosnih stručnjaka.

Otkriveni nedostaci bi mogli biti iskorišteni ako napadač uspješno navede žrtvu na reinstalaciju već korištenog ključa što za posljedicu može imati razne kriptografske napade naspram kriptografskih algoritama korištenim kod WPA1 i WPA2 protokola.

Neki operacijski sustavi već su izdali zakrpu za navedene ranjivosti, stoga se savjetuje da primijenite zakrpu čim bude dostupna.

 

15.10.2017thehackernews.com array(0) { }

Stranice