Seznam všech aktualit

Zpět do aktualit

V USA chytli skupinu zlodějů. Stihli si přivydělat 45 milionů dolarů

10.5.2013 | Batou

V USA chytli skupinu hackerů, která si pomocí údajů z ukradených debetních karet přišla během pár dní údajně až na bezmála 900 milionů korun.

Cílem krádeže byly 2 banky, jedna ve Spojených arabských emirátech a druhá v Ománu. Udělali přes 40 tisíc výběrů po celém světě. Došlo k nim nejdříve v prosinci 2012, pak znovu v únoru tohoto roku.

Všech 7 zadržených je údajně ze stejného amerického města. Dostali se na servery společností, které zpracovávají finanční transakce vlastníků karet, odblokovali limity pro jednorázový výběr a s pomocí ukradených údajů se zmocnili uložených peněz. Získané prostředky se snažili vyprat nákupem luxusního zboží.

Např. jen v New Yorku stihla skupina za 10 hodin vybrat z 3000 bankomatů 2,4 milionů dolarů. Některé zachytila kamera.

Rubrika: Bankovní bezpečnost | Comments: 0 | Viewed: 2957x | Rate: 0/0


Adobe varuje před novou kritickou zranitelností v ColdFusion

9.5.2013 | Batou

Včera večer se objevila nová zranitelnost v technologii ColdFusion. Tento značkovací jazyk, podobný HTML je určen pro klientskou stranu webových aplikací a krátce po roce 2000 ho koupilo Adobe. Zranitelnost se týká verzí 10, 9.0.2 a starších pro všechny běžné operační systémy. Informovali o tom na svém webu ([link]).

Tato kritická zranitelnost umožňuje útočníkům vzdálený přístup k datům uložených na serveru. Exploit pro tuto zranitelnost je údajně veřejně dostupný. Podle Adobe se však nemusejí obávat ti uživatelé, kteří nemají veřejně zpřístupněné adresáře CFIDE/administrator, CFIDE/adminapi a CFIDE/gettingstarted. Pro zbylé zákazníky doporučuje Adobe následovat příručky ColdFusion Lockdown Guid (PDF - pro verzi 9 [link] a 10 [link]).

Nalezení tohoto problému je připisováno Marcinu Siedlarzimu ze Symantecu, Adobe plánuje hotfix na 14. května.

Rubrika: Slabá místa | Comments: 0 | Viewed: 2863x | Rate: 0/0

Jaký je nejběžnější typ útoku na webu?

9.5.2013 | Batou

Tuto otázku se snažila zodpovědět firma Whitehat Security. V jejich zprávě Annual Website Security Statistics ([link]), která vyšla počátkem května, se dozvíme například to, že 86 % testovaných stránek mělo alespoň jednu zranitelnost. Pozitivnější čísla nabízí pohled na průměrný počet vážných zranitelností na jednu stránku (definovaných jako těch, při nichž útočník ze systému odcizí nějaká citlivá data, udělá defacement atp.). Potvrdila se klesající tendence - od roku 2011 (79) se toto číslo snížilo na 56.

Překvapením je SQL injection - zakladatel Whitehat Security Jeremiah Grossman k tomu říká: „Přes všechny škody, které SQLi způsobí, není v součásné době v naší top 10, konkrétně je na 14. místě.“ Tento výsledek odpovídá zhruba 7 % z milionů testovaných stránek. Je rozdílný oproti jiným studiím, např. z roku 2011 ([link]). Zajedno je např. IBM, které také vidí větší hrozby jinde, např. v XSS ([link]). Pravdou však je, že útočníci využívají zranitelnost také v závislosti na tom, „po čem jdou“.

Co je tedy nejfrekventovanější? Podle Whitehat je to z 43 % XSS. Podvrhnutí obsahu je s 13 % na druhém místě, třetí je s 11 % únik informací. Pomyslnou bramborovou medaili získalo CSRF ([link]). Pro více informací o XSS doporučuji skvělou knihu od cCuMiNna ([link]).

Rubrika: Hacking | Comments: 2 | Viewed: 2799x | Rate: 0/0

„Nový“ malware cíleně útočí na Citibank

8.5.2013 | Batou

Nový malware šířící se spamem se zaměřuje na klienty banky, sbírá hesla a otevírá zadní vrátka pro následný vzdálený přístup.

Zprávy jsou zasílány do fakturačního oddělení jedné z největších světových bank a obsahují přílohu, ve které je zabalený dokument ukrývající škodlivý kód. V těle zprávy útočníci žádají příjemce, aby neodpovídali klasicky tlačítkem „Odpovědět“. Namísto toho se mají podívat do přílohy na detaily o kontaktu. E-mail je také několikrát nazýván jako důvěrný.

Po rozbalení .zip souboru čeká na příjemce překvapení v podobě trojana Zbot (známý též jako Zeus [link]), který okamžitě zablokuje firewall, slídí po heslech a připraví zmiňovaný backdoor. Pomocí toho posléze dotahá další malware. Společnost Bitdefender ho označuje jako Trojan.GenericKD.973769 a nabízí řešení na ochranu.

Rubrika: Bankovní bezpečnost | Comments: 0 | Viewed: 3192x | Rate: 0/0

Shrnutí zabezpečení mobilního bankovnictví

7.5.2013 | Batou

Dnešní trošku neobvyklou „novinkou“ je výcuc z článku shrnujícího bezpečnost mobilního bankovnictví v současné době. Vyšel na blogu Petra Dvořáka sice již 8. dubna, avšak jistě stojí za povšimnutí. Mobilní bankovnictví je po tom internetovém na velkém vzestupu a určitě stojí za to, zamyslet se nad tím jak funguje a jaké výhody/nevýhody plynou z jeho používání ať už z hlediska bezpečnosti, či komfortu. Jistě se hodí podotknout, že autor pracuje ve společnosti, zabývající se vývojem mobilních aplikací i pro celkem významné společnosti ([link]).

První část je zaměřená na autentizaci. Autor zde popisuje 3 základní možnosti, jak je možné obecně v nějakém systému autentizovat uživatele - trefně to přirovnává k větám:
1. „Něco vím.“ (PIN, heslo,...)
2. „Něco mám.“ (certifikát, telefon,...)
3. „Něco jsem.“ (otisk prstu, analýza duhovky,...)

Ve světě mobilů se využívájí prevážně první dva faktory a vývojáři mobilních aplikací stojí před úkolem správně je implementovat. Přitom se musí vypořádat s přenosností zařízení, velmi častým online připojením a třeba také různými sítěmi wifi s různě důslednými zabezpečeními.
Mobilní telefon samotný je brán nejčastěji jako 2. faktor autentizace, také proto je v současné době prakticky vyloučeno prohlásit útok nějakého sofistikovaného programu za nemožný. Podle autora však ještě nenastal ten pravý boom mobilního malware. U většiny bank je mobilní bankovnictví aktivováno pomocí internetového bankovnictví - dojde k výměně klíčů a náš telefon se spojí s účtem v bance. Až se zvýší hrozba mobilního malware, začne se využívat třeba TrustZone na ARM procesorech ([link]) či čipy s technologií SecureID ([link]).

Druhá část je věnovaná SMSkám v mobilním bankovnictví. Podle autora hloupost. Pokud je totiž již na mobilu zabydlený malware, může si libovolně „číst“ příchozí zprávy (např. v Androidu to může dělat libovolná aplikace bez speciálních práv), nebo měnit ty odchozí (třeba upravovat formuláře těsně před odesláním).

Důležitou součástí mobilního bankovnictví jsou také hesla, tedy v našem rozvržení první faktor. Jako příklad je zde uváděn systém, využívající Raiffeisenbank:
- PIN uložený v mobilu slouží k lokálnímu „odemčení úložiště“ dlouhých klíčů, které jsou vytvářeny náhodně při aktivaci, neposílá se ani do banky.
- Při odšifrování lokálního klíče se do banky posílá požadavek na kontrolu, zda je správný. To probíhá přes HTTPS a navíc ani neposíláte pravý klíč, jen jeho derivát.
- Po několika neúspěšných přihlášeních vám banka účet zablokuje.
Pokud útočník zruší druhý ochranný faktor (ukradne vám telefon), musí prolomit onen PIN. Má několik možností - sociální inženýrství, odpozorování hesla (zajímavé video, např. o strojové analýze odrazu v brýlích a jiných možnostech - [link]), bruteforce (celkem vtipné, když vezmeme v úvahu max. délku 9 znaků, ale pouze 5 pokusů) a útok „dolováním hesla“ z paměti zařízení (prováděné třeba vykutáleným „opravářem“). Snahou aplikace je vždy to, aby se PIN v paměti vyskytoval co nejméně to jde. Napomáhá se tomu např. implementací šifrované klávesnice či speciálními moduly, které se starají o nemožnost přečtení ani právě otevřeného klíče.

Ani limit 2 min na odlášení aplikace, která je na pozadí (platí pro Mobilní eKonto) se podle autora článku nezdá býti dlouhá. Pádným argumentem je (ne)pravděpodobnost, že se útočník trefí do tohoto času a ve srovnání s uživatelovým pohodlím je to jistě cena přijatelná.
Pro aktivní operace jsou vyžadována hesla a při určitém časovém limitu je sezení ukončeno ať se nám to líbí, či ne.

V závěru je tedy celkem rozumné podotknout, že mobilní bankovnictví je v současné době zabezpečné dostatečně, podobně jako bankovnictví na desktopu.

Rubrika: Bankovní bezpečnost | Comments: 0 | Viewed: 2527x | Rate: 0/0

Zero-day exploit pomohl při útocích na americký úřad

7.5.2013 | Batou

V jednom z posledních útoků na americké úřady se minulý týden útočníkům podařilo umístit malware na stránky s cílem kompromitovat tamní Ministerstvo energetiky.

Web úřadu U.S. Department of Labor's (zabývající se mzdami, nezaměstnaností, statistikou z oboru zaměstnanosti atp.) byl modifikován a využíval 0-day zranitelnost v IE8 k tomu, aby malwarem nakazil počítače nic netušících návštěvníků. Bylo to na stránce o nemocích spjatých s jadernou energií.

Co se týče zmíněného malware, mělo se jednat o variantu čínskými hackery velmi oblíbené Poison Ivy. Více na webu firmy AlienVault ([link]). Pravděpodobně se jednalo o cílený útok, zaměřující se na určitou skupinu pravděpodobných návštěvníků webu, tzv. wattering hole attack. V tomto případě nejspíše o úředníky amerického Ministerstva energetiky. Tak jako v mnoha cílených útocích byl malware většinou nerozpoznatelný antivirovými programy.

Je velmi pravděpodobné, že se mohlo jednat o útoky „špionážního typu“. Útoky následují po sérii krádeží, provedených údajně čínskými agenty ([link]). Při nich bylo „ukradeno intelektuální vlastnictví“ obranných technologií několika britských firem. Anup Ghosh, majitel firmy Invincea k tomu řekl: „V podstatě se kradou obranná technologická tajemství přímo před našimi nosy, je to celkem drzé. V jakém bodě si jako stát uvědomíme situaci a řekneme dost, tady jste již překročili červenou linii?“

Rubrika: Hacking | Comments: 1 | Viewed: 2795x | Rate: 0/0

Přispějte na vznik filmu o Linuxu

7.5.2013 | Emkei

Na Kickstarteru se objevil nový projekt zasluhující naši pozornost. Brian Thomason žádá deset tisíc dolarů, za které by chtěl natočit dokument o Linuxu, svobodném softwaru a jejich historii. Plánuje vyzpovídat lidi co stáli u jeho vzniku, podívat se do úspěšných open source firem atp. Otázkou je, zda za tak málo peněz lze natočit kvalitní film.

Rubrika: Ostatní | Comments: 1 | Viewed: 3613x | Rate: 0/0

Zajímavé cvičení v laboratoři NATO - red team vs. blue team

3.5.2013 | Batou

Toto velmi zajímavé cvičení se v dubnu odehrálo pod záštitou NATO, konkrétně jednoho jejich kybernetického centra v Talinnu (CCDCOE) pod názvem Locked Shields 2013. Účastnilo se ho 9 členů NATO, včetně Slovenska či Polska.

Cvičení, odehrávající se ve smyšlené zemi Boolea, se zůčastnilo více týmů. Zelený, bílý a žlutý se zaměřovali na organizaci celé akce, těmi nejdůležitějšími však byly týmy červený a modrý. Zatímco červený měl za úkol všemi běžně dostupnými prostředky (získání přístupových údajů, DoS,...) co nejvíce poškodit či kompromitovat systém, úkol modrých byl cílovou síť ochránit.

Akce probíhala v tamních laboratořích, v urputném boji zvítězili modří ([link] , vyhlášení výsledků proběhlo 26. dubna). Na webu CCDCOE se můžete dočíst více - [link] . Luxusní LAN party, co říkáte?

Rubrika: Síťová bezpečnost | Comments: 0 | Viewed: 2916x | Rate: 0/0

Kolik toho o vás prozradí společnosti jako Google, Facebook, Twitter... vládním organizacím

3.5.2013 | .cCuMiNn.

Na srovnání několika nejpoužívanějších internetových služeb v otázkách ochrany uživatelského soukromí se podívala organizace Electronic Frontier Foundation.

Výsledkem je odkazovaný podrobný report, ze kterého nejlépe vyšel Twitter následovaný Googlem, Dropboxem, nebo službou LinkedIn.

Rubrika: Identita a soukromí | Comments: 0 | Viewed: 3042x | Rate: 0/0

Kritické zranitelnosti v Instagram OAuth

2.5.2013 | .cCuMiNn.

Známý facebookový hacker Nir Goldshlager, který v posledních měsících zveřejnil hned několik kritických zranitelností v implementaci Facebook OAuth, přichází nyní s dalším oznámením. To se tentokrát týká bezpečnostních chyb v Instagram OAuth, které útočníkovi umožňují získat kontrolu nad jakýmkoliv účtem.

Útočník se díky zranitelnostem může dostat například k soukromým fotografiím nebo komentářům, které může nejenom prohlížet, ale i mazat, nebo přidávat.

Podle Nira prý existují dva způsoby, jak toho dosáhnout. První způsob umožňuje únos účtu přímo přes Instgram OAuth, kdežto druhý k únosu využívá Facebook OAuth dialog.

Za vším prý stojí nedostačně ošetřený parametr redirect_uri. Pokud se k doméně uvedené v tomto parametru přidá další posfix, může dojít k přesměrování autorizačního tokenu na doménu vlastněnou útočníkem.

V odkazovaném článku najdou zájemci ukázkový PoC a demonstrační video.

Rubrika: Hacking | Comments: 0 | Viewed: 3265x | Rate: 0/0


Stránky: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133 134 135 136 137 138 139 140 141 142 143 144 145 146 147 148 149 150 151 152 153 154 155 156 157 158 159 160 161 162 163 164 165 166 167 168 169 170 171 172 173 174 175 176 177 178 179 180 181 182 183 184 185 186 187