CERT RSS

Pretplati se na CERT RSS feed CERT RSS
Osvježeno: prije 1 sat 39 minuta

VMware kritična ranjivost s ocjenom 9.9

sri, 2024-01-17 13:36

VMware, kompanija koja se bavi tehnologijom virtualizacije i oblaka, izdala je upozorenje o postojanju ranjivosti u njihovim proizvodima s najvišom mogućom CVSS ocjenom kritičnosti – 9.9.

Ranjivost je dobila oznaku CVE-2023-34063.

Pogođeni proizvodi:

  • VMware Aria Automation (ranije poznat kao vRealize Automation)
  • VMware Cloud Foundation (Aria Automation)

U Aria Automation-u postoji ranjivost nedostatka kontrole pristupa (Missing Access Control vulnerability) pomoću koje autentificirani napadač može ostvariti neovlašteni pristup udaljenim organizacijama i procesima.

Za otklanjanje ove ranjivosti odmah preuzmite dostupne zakrpe koje su naveden u tablici:

ProductVersionRunning OnCVE IdentifierCVSSv3SeverityFixed VersionWorkaroundsAdditional DocumentationVMware Aria Automation8.16AnyCVE-2023-34063N/AN/AUnaffectedN/AFAQVMware Aria Automation8.14.xAnyCVE-2023-340639.9critical8.14.1 + PatchN/AFAQVMware Aria Automation8.13.xAnyCVE-2023-340639.9critical8.13.1 + PatchN/AFAQVMware Aria Automation8.12.xAnyCVE-2023-340639.9critical8.12.2 + PatchN/AFAQVMware Aria Automation8.11.xAnyCVE-2023-340639.9critical8.11.2 + PatchN/AFAQVMware Cloud Foundation (Aria Automation)5.x, 4.xAnyCVE-2023-340639.9criticalKB96136N/AFAQ

Za više informacija o ovoj ranjivosti posjetite stranicu VMwarea.

The post VMware kritična ranjivost s ocjenom 9.9 first appeared on CERT.hr.

Kako se pomoću YouTube-a šire malveri

uto, 2024-01-16 14:48

Otkriveno je da zlonamjerna grupa aktera koristi YouTube za širenje Lumma Stealer malvera.

Putem YouTube videa reklamiraju „krekirane“ inačice aplikacija i vode žrtve kroz proces instalacije.

Napadači koriste skraćene poveznice, najčešće pomoću TynURL i Cuttly servisa koje pokreću preuzimanje .NET datoteke za dohvat Lumma Stealer malvera.

Vektor napada – YouTube

Najprije akter preuzme kontrolu nad nečijim YouTube računom te objavi video u kojem objašnjava preuzimanje krekirane verzije određene aplikacije – nude mogućnost besplatnog korištenja programa koji se inače plaća.  

U opisu videa se nalazi poveznica koja pokreće preuzimanje ZIP datoteke sa skrivenim zlonamjernim kôdom koji služi za kasniju fazu napada.  ZIP datoteka sadrži „installer“ koji pokreće preuzimanje Lumma Stalera.

Slika: YouTube kanal koji reklamira besplatnu verziju Sony Vega pro 20 programa (Izvor: fortinet.com)

Lumma stealer je vrsta zlonamjernog softvera koji može ukrasti osjetljive podatke s računala. Krade podatke o sustavu, povijest pretraživanja, podatke o kripto novčanicima i podatke o dodacima u pregledniku. Napisan je u C programskom jeziku i prodaje se na forumima Dark weba. Kako bi izbjegao detekciju, koristi se različitim tehnikama obfuskacije. Tako napadači preusmjeravaju standardni tok procesa, a sam proces ne otvara nove prozore kako ga žrtva ne bi primijetila.

Detalje o ovoj vrsti napada možete pročitati OVDJE.

The post Kako se pomoću YouTube-a šire malveri first appeared on CERT.hr.

UPOZORENJE! IVANTI KRITIČNE RANJIVOSTI

čet, 2024-01-11 10:03

Otkrivene su 0-day ranjivosti u Ivanti Connect Secure-u (ICS) (prije poznat kao Pulse Connect Secure) i Ivanti Policy Secure pristupnicima (engl. gateways).

Ranjive su sve podržane verzije – verzije 9.x i 22.x (podržane verzije možete provjeriti OVDJE).

Ranjivosti:

CVE-2023-46805 (Authentication Bypass) CVSS 8.2

ranjivost omogućuje zaobilaženje autentifikacije u web komponenti Ivanti ICS-a i Ivanti Policy Secure-a te napadaču omogućuje pristup nedostupnim resursima.

CVE-2024-21887 (Command Injection) CVSS 9.1

– ranjivost omogućuje unos naredbi u web komponente ICS-a i Ivanti Policy Secure-a. Autentificiranom administratoru omogućuje slanje posebno napravljenih zahtjeva i izvršavanje proizvoljnih naredbi na uređaju.

Ako se ove dvije ranjivosti iskoriste zajedno, napadač ne mora biti autentificiran kako bi slao zlonamjerne zahtjeve i izvršavao proizvoljne naredbe u sustavu!

Dok se ne izdaju zakrpe za ove ranjivosti, potrebno je što prije poduzeti mitigacijske mjere.

Ivanti je izdao datoteku koju je potrebno što prije implementirati, a može se preuzeti na njihovom portalu.

Detaljan opis primjene mitigacije nalazi se OVDJE.

U slučaju otkrivanja ranjivosti hitno obavijestite Ivanti i Nacionalni CERT na adresu incident@cert[.]hr kako bi spriječili iskorištavanje ranjivosti i buduće računalno-sigurnosne incidente.

Pratite obavijesti Nacionalnog CERT-a.

Nakon izdavanja zakrpi bit će ih potrebno instalirati u što kraćem roku.

[ZAKRPA]

Najnovije informacije o ranjivostima možete pratiti na poveznici:

https://forums.ivanti.com/s/article/CVE-2023-46805-Authentication-Bypass-CVE-2024-21887-Command-Injection-for-Ivanti-Connect-Secure-and-Ivanti-Policy-Secure-Gateways?language=en_US

The post UPOZORENJE! IVANTI KRITIČNE RANJIVOSTI first appeared on CERT.hr.

Nova Uredba Europske unije iz područja kibernetičke sigurnosti

sri, 2024-01-10 16:07

Uredba 2023/2841 o utvrđivanju mjera za visoku zajedničku razini kibernetičke sigurnosti u institucijama, tijelima, uredima i agencijama Unije, objavljena 18. prosinca 2023. godine, stupila je na snagu 7. siječnja 2024. godine.

Cilj ove Uredbe je utvrđivanje mjera kojima se nastoji postići visoka zajednička razina kibernetičke sigurnosti unutar subjekata Unije. Uredba se primjenjuje na subjekte Unije (institucije, tijela, uredi i agencije Unije koji su osnovani Ugovorom o Europskoj uniji, Ugovorom o funkcioniranju Europske unije (TFEU) ili Ugovorom o osnivanju Europske zajednice za atomsku energiju ili na temelju tih ugovora). Uredbom se osniva novi Međuinstitucionalni odbor za kibernetičku sigurnost – IICB i uređuje status CERT-EU-a.

Uredba je usklađena s cijevima koji su utvrđeni Strategijom EU za sigurnosnu uniju i Strategijom EU-a za kibernetičku sigurnost te je u skladu s drugim aktima iz područja kibernetičke sigurnosti, a to su NIS 2 Direktiva, Akt o kibersigurnosti i Preporuke Komisije o koordiniranom odgovoru na kibernetičke incidente i kibernetičke krize velikih razmjera.

Cilj je NIS 2 Direktive postići visoku zajedničku razinu kibernetičke sigurnosti širom Unije kako bi se poboljšalo funkcioniranje unutarnjeg tržišta. Stoga je važno da se i subjekti Unije prilagode utvrđivanjem pravila koja su u skladu s NIS 2 Direktivom. Nužno je da svaki subjekt Unije uspostavi unutarnji okvir za upravljanje kibernetičkim sigurnosnim rizicima, jer se tako može postići visoka zajednička razina kibernetičke sigurnosti. Za upravljanje kibernetičkim sigurnosnim rizicima, svaki subjekt Unije trebao bi poduzeti odgovarajuće i razmjerne tehničke, operativne i organizacijske mjere.

Uredbom se uspostavlja unutarnji okvir za upravljanje kibernetičkim sigurnosnim rizicima, upravljanje i kontrolu rizika, te izvještavanje i razmjenu informacija o rizicima. Uredbom se osniva novo tijelo Međuinstitucionalni odbor za kibernetičku sigurnost – IICB čiji je zadatak praćenje provedbe Uredbe, pružanje podrške subjektima Unije u provedbi Uredbe, nadzor nad provedbom i strateško usmjeravanje CERT-EU-a. Postojeći CERT-EU sad postaje Služba za kibernetičku sigurnost institucija, tijela, ureda i agencija Unije, ali zbog prepoznatljivosti zadržava skraćeni naziv – CERT-EU.

Subjekti Unije uspostavit će unutarnje postupke upravljanja kibernetičkom sigurnosti i postupno će uvesti posebne mjere upravljanja kibernetičkim sigurnosnim rizicima predviđenim Uredbom.

Iako se odnosi na tijela Unije, korisno je pogledati odredbe Uredbe i upoznati se s tekstom članaka koji uređuju sljedeće:

  • Okvir za upravljanje kibernetičkim sigurnosnim rizicima – članak 6
  • Procjena zrelosti kibernetičke sigurnosti – članak 7
  • Mjere upravljanja kibernetičkim sigurnosnim rizicima – članak 8
  • Aranžmani za razmjenu informacija o kibernetičkoj sigurnosti -članak 20
  • Obveze izvješćivanja – članak 21
  • Koordinacija i suradnja pri odgovoru na incidente – članak 22
  • Upravljanje velikim incidentima – članak 23

Sadržaj Uredbe se može iskoristiti kao smjernica koja daje obrise okvira u kojima će se kretati obveze subjekata iz opsega primjene NIS 2 Direktive. Dok čekamo donošenje novog Zakona o kibernetičkoj sigurnosti te pripadajućih provedbenih ataka, iz odredbi Uredbe mogu se napraviti planovi aktivnosti kao priprema za sve što nas kao obveznike primjene NIS 2 Direktive očekuje.

Izvor: https://ec.europa.eu/commission/presscorner/detail/hr/ip_23_6782, Uredba 2023/2841

Izvori dokumenata na hrvatskom jeziku:

UREDBA (EU, Euratom) 2023/2841 EUROPSKOG PARLAMENTA I VIJEĆA od 13. prosinca 2023. o utvrđivanju mjera za visoku zajedničku razinu kibernetičke sigurnosti u institucijama, tijelima, uredima i agencijama Unije

KOMUNIKACIJA KOMISIJE EUROPSKOM PARLAMENTU, EUROPSKOM VIJEĆU, VIJEĆU, EUROPSKOM GOSPODARSKOM I SOCIJALNOM ODBORU TE ODBORU REGIJA o strategiji EU-a za sigurnosnu uniju COM(2020) 605 final

ZAJEDNIČKA KOMUNIKACIJA EUROPSKOM PARLAMENTU I VIJEĆU Strategija EU-a za kibersigurnost za digitalno desetljeće  JOIN(2020) 18 final

DIREKTIVA (EU) 2022/2555 EUROPSKOG PARLAMENTA I VIJEĆA od 14. prosinca 2022. o mjerama za visoku zajedničku razinu kibersigurnosti širom Unije, izmjeni Uredbe (EU) br. 910/2014 i Direktive (EU) 2018/1972 i stavljanju izvan snage Direktive (EU) 2016/1148 (Direktiva NIS 2)

Uredba (EU) 2019/881 Europskog parlamenta i Vijeća od 17. travnja 2019. o ENISA-i (Agencija Europske unije za kibersigurnost) te o kibersigurnosnoj certifikaciji u području informacijske i komunikacijske tehnologije i stavljanju izvan snage Uredbe (EU) br. 526/2013 (Akt o kibersigurnosti)

PREPORUKA KOMISIJE (EU) 2017/1584 оd 13. rujna 2017. o koordiniranom odgovoru na kiberincidente i kiberkrize velikih razmjera

The post Nova Uredba Europske unije iz područja kibernetičke sigurnosti first appeared on CERT.hr.

Zloupotreba umjetne inteligencije

sri, 2023-12-27 15:29

Neočekivano brz razvoj umjetne inteligencije i njezina svestrana primjena doveli su do toga da su se razvile i neke nove, zlonamjerne aktivnosti na koje trebamo obratiti pozornost.

U ovom dokumentu pročitajte koje su to mogućnosti zloupotrebe umjetne inteligencije, mogu li se one otkriti i kako se zaštititi.

zloupotreba_umjetne_inteligencijeDownload

The post Zloupotreba umjetne inteligencije first appeared on CERT.hr.

Kibernetičke prijetnje na koje trebate paziti u 2024. godini

čet, 2023-12-21 16:04

Napadači svakodnevno prilagođavaju svoje djelovanje, a s razvojem novih tehnologija možemo očekivati nove oblike napada i sve realnije imitiranje osoba, legitimnih institucija i usluga. Morate biti svjesni da je kibernetički prostor jedno veliko igralište koje osim korisnog, poslovnog i zabavnog sadržaja ima i zlonamjerne stranice, datoteke i korisnike.

Razvoj umjetne inteligencije i mogućnost kreiranja lažnog, ali uvjerljivog sadržaja dovodi do sve veće potrebe propitkivanja onoga što vidimo i čujemo. Nove tehnologije sve uspješnije kopiraju izgled, govor i kretnje, a kriminalci će te alate pokušati iskoristiti kako bi vas lakše prevarili.

  • Brza zarada – poziv na ulaganje

„Dobar dan zovem iz agencije za ulaganje…“ sve se češće čuje u slušalici našeg telefona. Inflacija potiče građane na smanjenje troškova ili na traženje dodatnih oblika zarade. Zato, ne čudi što su se kriminalci sjetili ovog oblika prijevare. Obećavanjem brze i lake zarade, potkrijepljene primjerima koji su se dogodili u prošlosti (npr. velik rast na tržištu kriptovaluta) prevaranti se isključivo žele domoći vašeg novca. Često žele saznati podatke vaše bankovne kartice ili token mobilnog bankarstva kako bi preuzeli kontrolu nad njime.

  • Čudotvorni lijekovi

„Bolestan čovjek ima samo jednu želju…“  i spreman je isprobati razne opcije kako bi prebrodio svoje tegobe. Internet nam omogućuje pristup velikom broju informacija, pa tako ponekad odlučimo potražiti objašnjenje i moguće rješenje za svoje zdravstvene probleme. Ako ste mislili da kriminalci imaju barem toliko obzira i ne žele zarađivati na bolesnima, prevarili ste se. Osim što će uzeti vaš novac, a lijek možda nikada neće stići na vašu adresu, postoji i mogućnost da lijek koji dođe, negativno djeluje na vaše zdravstveno stanje. Lijekove i slične peparate nabavljajte samo putem ovlaštenih i stručnih prodavatelja nakon konzultacije sa svojim doktorom.

  • Nagradne igre

Samo ostavite svoje podatke, a mi ćemo kontaktirati sretne dobitnike. Lažne nagradne igre služe za krađu osobnih podataka, a ti podaci se koriste za druge prijevare. Ako upišete svoje ime i prezime te kontakt podatke (email i broj telefona), obratite pažnju na poruke i pozive koji vam dolaze u narednom periodu. Ako vam počnu stizati sumnjive ponude, nemojte nasjesti na njih.

  • Romantična prijevara

Uz osobe s financijskim problemima i bolesne, na meti su i usamljene osobe u potrazi za partnerom. Nakon što osjete da su zadobili vaše povjerenje, prevaranti kreću sa zahtjevima poput uplate novca. Cilj prevaranata je u vama izazvati snažne osjećaje kako ne biste mogli kritički razmisliti i prepoznati prijevaru.

  • Nedostavljena pošiljka i povrat novca

Kupovina putem interneta je u porastu i ponekad ni sami ne znamo koliko paketa očekujemo. Napadači i to pokušavaju iskoristiti kako bi od vas ostvarili financijsku korist. Budite oprezni sa zahtjevima koji vas traže unos podataka s obrazloženjem za povrat novca. Pratite brojeve pošiljki koje očekujete i obavezno provjeravajte adrese (URL-ove) stranica na kojima upisujete svoje podatke.

  • Država daje novac

Lažne vijesti mogu završiti krađom podataka. Osim što mogu koristiti identitet poznatih osoba, prevaranti će imitirati i izgled nekog novinskog portala. Ako ne prepoznate da se vijest koju čitate nalazi na lažnom portalu dovodite se u opasnost. Ako vam je vijest sumnjiva, provjerite ju vlastitim istraživanjem. Posebno treba biti oprezan s vijestima koje se pojavljuju kao objave na društvenim mrežama.

  • Kompromitiran je Vaš bankovni račun

Ako dobijete mail od banke da je potrebno učiniti određene korake za zaštitu računa, budite na oprezu. Banka vas nikada neće tražiti da im putem maila šaljete svoju lozinku, podatke o bankovnoj kartici, kao ni token mobilnog bankarstva. Ako posumnjate da su vaši podaci ukradeni (ili ste ih dali nekome) hitno sa svojom bankom poduzmite sve potrebne radnje za zaštitu vašeg novca.

  • Ucjena zbog neprimjerenog sadržaja (sextortion)

Često korištena i masovna pojava je ucjena i iznuda novca. Napadači vas pokušavaju uvjeriti da posjeduju vaše snimke i fotografije u kompromitirajućim trenucima te da će ih, ako brzo ne uplatite novac na njihov račun, podijeliti s vašim prijateljima, rodbinom i suradnicima. Slanjem velikog broja mailova nadaju se da će netko povjerovati u njihove prijetnje i u strahu uplatiti novac.

  • Lažne stranice za krađu podataka

Prevaranti kreiraju brojne internetske stranice koje imitiraju poznate institucije, servise ili trgovine modnih brendova kako bi ukrali vaše podatke. Kad se god nađete na stranici, bez obzira što vam ona izgleda legitimno, provjerite adresu (URL) na kojem se ona nalazi. Prevaranti koriste URL-ove koji izgledaju slično službenim URL-ovima, a ponekad koriste i nazive institucije, brenda ili usluge u malo izmijenjenom obliku.

  • Besplatna verzija plaćene verzije

Brojne usluge uz besplatnu nude i plaćenu verziju. Plaćena verzija korisniku nudi dodatne sadržaje, mogućnosti ili pogodnosti, ali je ponekad preskupa da bi si ju mogli priuštiti. Prevaranti koriste ovakve prilike te besplatno nude plaćene verzije. Preuzimanjem sumnjivih datoteka iz neslužbenih izvora riskirate preuzimanje datoteke sa zlonamjernim kôdom i kompromitaciju svog uređaja. Aplikacije preuzimajte samo iz službenih izvora i koristite antivirusne programe koji će vam pomoći u otkrivanju kompromitiranih datoteka.

The post Kibernetičke prijetnje na koje trebate paziti u 2024. godini first appeared on CERT.hr.

Cybersecurity Ninja

pon, 2023-12-18 10:33

Brošura Cybersecurity Ninja od sada je dostupna i u digitalnom izdanju. Brošura je nastala u sklopu IVLP Impact Awards projekta i usmjerena je na sigurnost mladih na internetu. U brošuri možete na jednostavan i jasan način saznati više o vrstama zlonamjernog sadržaja na internetu, socijalnom inženjeringu, prijetnjama na društvenim mrežama, pravilima kibernetičke sigurnosti, savjete za dobru lozinku te o digitalnom tragu. Učenici mogu pronaći savjete za sigurnost školskog računala dok roditelji mogu pronaći kratki vodič o sigurnosti njihove djece na internetu. Napomena: Izradu brošure financirao je U.S. Department of State’s Bureau of Educational and Cultural Affairs u suradnju s Meridian International Center.

Napomena: Izradu brošure financirao je U.S. Department of State’s Bureau of Educational and Cultural Affairs u suradnju s Meridian International Center.

Cybersecurity_NinjaDownload

The post Cybersecurity Ninja first appeared on CERT.hr.

Europska unija će uložiti više od 760 milijuna eura u digitalnu tranziciju i kibernetičku sigurnost

pet, 2023-12-15 15:55

Komisija je usvojila izmjene i dopune programa Digitalna Europa za 2024. godinu, dodijelivši 762,7 milijuna eura za digitalna rješenja u korist građana, javne uprave i poduzeća. Program Digitalna Europa je ključan za provođenje projekata koje države članice ne bi mogle provesti same.

Izmijenjeni glavni dio Programa s proračunom za 2024. od gotovo 549 milijuna eura usredotočit će se na provedbu projekata koji koriste digitalne tehnologije kao što su obrada podataka, oblak i napredne digitalne vještine. Radni program će pokrenuti potporu za neometanu provedbu projekata Digitalnog desetljeća u više zemalja, uključujući prilike za Europske konzorcije digitalne infrastrukture (EDIC). Nove mjere podržat će provedbu Zakona o umjetnoj inteligenciji i razvoj europskog ekosustava umjetne inteligencije, s naglaskom na mala i srednja poduzeća.

Komisija je preostalih 214 milijuna eura za 2024. godinu izdvojila za kibernetičku sigurnost kako bi se povećala kolektivna otpornost EU na prijetnje. Mjere financirane ovim programom provodit će Europski centar kompetencija kibernetičke sigurnosti.

Prvi pozivi za Program bit će objavljeni početkom 2024.

Više informacija pročitajte na:

Radni programi

Kako ostvariti financiranje

The post Europska unija će uložiti više od 760 milijuna eura u digitalnu tranziciju i kibernetičku sigurnost first appeared on CERT.hr.

Kako koristiti ChatGPT na siguran način?

čet, 2023-12-14 14:32

Sve što unesemo u ChatGPT se pohranjuje i koristi za njegovo daljnje ‘treniranje’ (bilo to uneseno u obliku teksta, u obliku prijenosa datoteke ili davanja povratnih informacija), a podaci korisnika mogu biti dijeljeni s trećim stranama (uz pristanak ili u posebnim okolnostima). Nove tehnologije otvaraju mogućnosti za nove kompromitacije.

Kako do toga ne bi došlo, proučite našu brošuru u kojoj ćete pronaći 11 smjernica za sigurnije korištenje ChatGPT-a i sličnih AI modela.

Smjernice-za-sigurno-koristenje-AI-modelaDownload

The post Kako koristiti ChatGPT na siguran način? first appeared on CERT.hr.

Završio je projekt Cybersecurity Ninja

sri, 2023-12-13 15:35

U sklopu edukativnog Cybersecurity Ninja projekta, provedeno je 10 radionica u 5 hrvatskih gradova, educirane su 384 osobe, osmišljena je i u 500 primjeraka otiskana edukativna brošura „Cybersecurity Ninja“ te je sa stručnjacima provedena rasprava o zaštiti djece i ulaganju u buduće stručnjake iz područja kibernetičke sigurnosti. 

Kibernetička sigurnost je vrlo živo i dinamično područje koje se mijenja iz dana u dan. Napadači vješto osmišljavaju nove napade i načine zaobilaženja zaštitnih mjera kako bi ostvarili svoje ciljeve. Zato je vrlo važno raditi na podizanju svijesti i znanja naših državljana, poglavito djece, o kibernetičkoj sigurnosti. 

CYBERSECURITY NINJA – Educating Young People and Their Parents on How to Fight Cybersecurity Challenges, projekt je financirala Vlada Sjedinjenih Američkih Država, U.S. Department of State, Bureau of Educational and Cultural Affairs u kojem su CARNET i Nacionalni CERT sudjelovali kao projektni partneri. 

Ciljeve projekta osmislila je i provela gđa. Vlatka Jajetić, voditeljica Službe za obradu incidenata i upravljanje kibernetičkom sigurnosti Nacionalnog CERT-a.  

Projektni ciljevi su uključivali edukaciju djece i mladih te njihovih roditelja i nastavnika o kibernetičkoj sigurnosti, ali i raspravu sa stručnjacima o načinima ulaganja u mlade i stvaranja stručnjaka iz ovog područja. 

U sklopu projekta provedeno je 10 radionica u 5 hrvatskih gradova (Rijeka, Split, Osijek, Varaždin i Zagreb), educirane su 384 osobe (221 učenik i 163 odraslih) te je osmišljena i u 500 primjeraka tiskana edukativna brošura „Cybersecurity Ninja“. Projekt je bio i medijski popraćen, a ostvarene su nove te dogovorene buduće suradnje koje će zasigurno pomoći širenju svijesti o kibernetičkoj sigurnosti djece i prijetnjama s kojima se svakodnevno susrećemo. 

U petak, 8. prosinca 2023. održano je završno događanje na kojem su predstavljeni ciljevi i rezultati projekta te je održana panel rasprava na temu „Zaštita djece na internetu i ulaganje u buduće stručnjake“. Panel raspravu moderirala je voditeljica projekta gđa. Vlatka Jajetić, dok su panelisti bili priznati stručnjaci usko povezani s temom: g. Alen Delić (Hrvatska udruga menadžera sigurnosti), doc.dr.sc. Lana Ciboci Perša (Hrvatsko katoličko sveučilište), gđa. Marina Dimić Vugec (Nacionalni CERT), gđa. Valerija Golubić (Ministarstvo unutarnjih poslova) i g. Zlatan Morić (Visoko učilište Algebra). 

G. Delić naglasio je nedostatak tema koje su vezane uz sigurnost djece na internetu te potrebu za više ovakvih projekata na kojima zajednički trebamo raditi kako bismo postigli najbolje rezultate. Predstavljen je projekt udruge Sonda u koji su uključeni najmlađi naraštaji te kroz edukativne radionice potiču svijest mladih o nenasilnoj komunikaciji na internetu. 

Gđa. Ciboci , koja se između ostalog bavi borbom protiv maltretiranja na internetu (eng. cyberbullying) naglašava da ne smijemo zanemariti odgovornost roditelja kad se radi o temama zaštite djece na internetu. Ne trebamo osuđivati roditelje već im pomoći da se educiraju te da znanje prenesu na svoju djecu. Kad se radi o nasilju nad djecom na internetu, njemu vrlo često doprinose i sami mladi time što sudjeluju u dijeljenju nepoćudnog sadržaja te nemaju razvijenu svijest o posljedicama koje takav čin ostavlja na žrtve.  

Gđa. Marina Dimić Vugec naglasila je važnost uključivanja i edukacije djece od ranih nogu u područje kibernetičke sigurnosti te je podijelila informacije o uspješnosti Hacknitea (CTF natjecanja iz područja kibernetičke sigurnosti za srednje škole) koji se održava od 2020. godine, a već je polučio rezultate u vidu stvaranja novih stručnjaka iz područja kibernetičke sigurnosti. Također je naglasila, kako će se u budućim projektima naglasak staviti na uključivanje skupina koje su trenutno slabije zastupljene u području kibernetičke sigurnosti.

Gđa. Golubić naglasila je i opisala intenzivan trud koji MUP ulaže u suzbijanje nasilja nad djecom na internetu, ali da nažalost statistike upućuju da nepoćudnog sadržaja koji uključuju maloljetne osobe ima i u Hrvatskoj. Naglašava da zakoni pokrivaju takve slučajeve, no često počinitelji ovih djela nisu svjesni da se radi o kaznenom djelu, te se nepoćudni sadržaji dijele i među mladima koji ne znaju da su te radnje zabranjene, ili u nekim slučajevima namjerno dijele nepoćudan sadržaj jer misle da ne mogu kazneno odgovarati jer nisu punoljetni.     

G. Morić naglašava da je interes mladih odnosno studenata za područje kibernetičke sigurnosti manji od očekivanog. Trebat će nam neko vrijeme da stvorimo nove stručnjake i potaknemo dodatan interes. Predstavljeni su planovi i programi koje Algebra provodi u području kibernetičke sigurnosti te je naglašena važnost suradnje i razmjene informacija između privatnog sektora i akademske zajednice.     

Ovim putem zahvaljujemo Veleposlanstvu SAD-a u Hrvatskoj i Vladi SAD-a na financiranju projekta, Meridian International Centru na pomoći u administrativnoj provedbi projekta i svima koji su doprinijeli osmišljavanju i provedbi projektnih ciljeva. Zahvaljujemo stručnjacima koji su svojim znanjem potaknuli raspravu i promišljanje o važnim pitanjima poput zaštite najranjivijih skupina, a posebno zahvaljujemo svih učenicima, nastavnicima, roditeljima i ostalim polaznicima naših radionica na iskazanom interesu za ovu temu i trudu koji su uložili u edukacije kako bi usvojeno znanje mogli prenositi dalje i doprinijeti zajedničkoj borbi protiv kibernetičkog kriminala. 

#SurfajSigurnije

The post Završio je projekt Cybersecurity Ninja first appeared on CERT.hr.

SpyLoan Android malware je preuzelo više od 12 milijuna korisnika

čet, 2023-12-07 15:33

Više od 12 milijuna korisnika preuzelo je putem Google trgovine aplikacije koje u sebi sadrže zlonamjerni kôd, a ne zna se koliko ih je još preuzelo putem trećih strana i sumnjivih stranica.

SpyLoan Android služi za krađu  osobnih podatak s uređaja kao što su korisnički računi, podaci o uređaju, ispis poziva, instalirane aplikacije, događaji iz kalendara, podaci o wi-fi mreži te metapodaci slika, a u opasnosti je i popis vaših kontakata, lokacija te poruke.

Aplikacije zarađene ovim malverom predstavljaju se kao financijske aplikacije za brzo i lako ostvarivanje zajmova. Napadači djeluju tako da nagovore žrtve na pozajmice s velikim kamatama, a zatim ucjenjuju žrtve kako bi im platili.

bleepingcomputer.com

BleepingComputer navodi kako je od početka godine otkriveno 18 takvih aplikacija.

Ovakve aplikacije prilikom objave na Google trgovini su u skladu sa svim uvjetima i pravilima privatnosti koje Google od njih traži, a zatim unutar aplikacije preusmjeravaju žrtvu na zlonamjerne stranice koje imitiraju legitimne financijske institucije.

Aplikacije također od korisnika traže sumnjiva dopuštenja. Tako npr. traže pristup kameri, popisu poziva, listi kontakata i sl.

Kako bi se zaštitili od ove prijevare, budite oprezni i zajmove ugovarajte samo s provjerenim i registriranim financijskim institucijama, čitajte recenzije korisnika i dobro proučite zahtjeve za dopuštenja koje vas aplikacija traži.

#SurfajSigurnije

The post SpyLoan Android malware je preuzelo više od 12 milijuna korisnika first appeared on CERT.hr.

Stranice