Jak prezydenci USA zabezpieczają swoje tajne rozmowy?(wideo)

Data: 11.07.2020 09:51

Autor: ziemianin

youtube.com

#aktualnosci #codziennaprasowka #informacje #wiadomosci #cyberbezpieczenstwo #bezpieczenstwo #telefony #tajnytelefon #ciekawostkihistoryczne #technologia

Dziś każdy z nas może prowadzić tajne rozmowy telefoniczne przy pomocy smartfona i specjalnej aplikacji. Ale jeszcze kilkadziesiąt lat temu nie było to takie proste.

Jak prezydenci USA zabezpieczają swoje tajne rozmowy?(wideo)

W tym odcinku opowiem historię telefonu STU-III, który był używany w Stanach Zjednoczonych do prowadzenia tajnych rozmów.

Dowiesz się:

• Jak szyfrowano rozmowy podczas II Wojny Światowej

• Jak wyglądała maszyna SIGSALY oraz mechanizm „turn tables”

• Na czym polega szyfr z kluczem jednorazowym

• Co to jest KSD-64 czyli fizyczny klucz z materiałem kryptograficznym

• Jak wyglądała procedura inicjalizacji bezpiecznego telefonu

• Co trzeba było zrobić aby wykonać bezpieczne połączenie

• Jak sprawiono, że klucz bez telefonu był bezużyteczny

• Co robiono w sytuacjach awaryjnych podczas próby kradzieży telefonu

Stan bezpieczeństwa stron internetowych posłów RP 2020

Data: 25.06.2020 14:04

Autor: ziemianin

poc.org.pl

#cyberbezpieczenstwo #poslowie #zabezpieczenia #sejm #aktualnosci #codziennaprasowka #informacje #wiadomosci #polska #politycy #PolskaObywatelskaCyberobrona

Nasi członkowie podjęli się przetestowania stron internetowych posłów RP. Celem projektu było uzyskanie informacji o poziomie ich bezpieczeństwa. Badanie skupiło się na wykryciu podatności oraz błędów konfiguracyjnych, które mogłyby zostać wykorzystane przez potencjalnych atakujących. W wyniku przeprowadzonej analizy ustalono, że wszystkie badane strony internetowe posiadały co najmniej jeden problem dotyczący bezpieczeństwa. Ponadto sformułowano scenariusze pokazujące potencjalne zagrożenia wynikające ze znalezionych błędów.

Stan bezpieczeństwa stron internetowych posłów RP 2020

Pełny publiczny raport “Stan bezpieczeństwa stron internetowych posłów RP 2020” do pobrania

Przed publikacją tego raportu, w lutym 2020, skontaktowaliśmy się z właściwymi organami, przekazując szczegółowe dane o znalezionych podatnościach. Stowarzyszenie działało zgodnie z zapisami ustawy o krajowym systemie cyberbezpieczeństwa oraz dobrymi praktykami stosowanymi przez ośrodki zajmujące się cyberbezpieczeństwem. Z informacji jakie posiadamy, poszczególne kluby poselskie otrzymały przygotowane przez Polską Obywatelską Cyberobronę indywidualne raporty bezpieczeństwa stron internetowych posłów za pośrednictwem dedykowanego do przekazywania takich informacji zespołu CSIRT NASK.

Przygotowaliśmy też infografikę opisującą najważniejsze aspekty badania do pobrania po kliknięciu w obrazek

Przeprowadzone działania wylistowane chronologicznie:



Data    Działanie



21.04.2019 – 03.06.2019 Przeprowadzenie badania stron posłów na sejm VIII kadencji RP



06.08.2019  Przekazanie 243 raportów szczegółowych oraz jednego raportu zbiorczego do Ośrodka Informatyki Kancelarii Sejmu



05.11.2019  Wysłanie wiadomości e-mail z prośbą o informacje na temat podjętych działań



11.2019 – 12.2019   Przeprowadzenie badania stron posłów na sejm IX kadencji RP



13.02.2020  Przekazanie 148 raportów szczegółowych i jednego raportu zbiorczego do CSIRT NASK



27.02.2020  Rozesłanie raportów do klubów poselskich przez CSIRT NASK



05.03.2020  Wysłanie pisma do Ośrodka Informatyki Kancelarii Sejmu



24.06.2020  Udostępnienie publicznej wersji raportu opisującego przeprowadzone badania

#ZaufanaTrzeciaStrona: Co się dzieje w sieci Tor – od historii polskich serwisów po teraźniejszość

Data: 25.06.2020 13:51

Autor: ziemianin

zaufanatrzeciastrona.pl

#zaufanatrzeciastrona #aktualnosci #codziennaprasowka #informacje #wiadomosci #cyberbezpieczenstwo #artykulsponsorowany #Aruba #ArubaCloud #TOR #webinar

Jak działa Tor i kto za to płaci? Kim byli Borat i Master0? Dlaczego padły PBM, ToRepublic i Hydra? Skąd wzięła się Cebulka? Tematów związanych z siecią Tor, a szczególnie jej polską częścią, nie brakuje. O wszystkich opowiem już wkrótce.

#ZaufanaTrzeciaStrona: Co się dzieje w sieci Tor – od historii polskich serwisów po teraźniejszość

Sieć Tor to temat rzeka. Krąży wokół niej wiele mitów, a jak wiecie, ja lubię mity obalać, zatem czas najwyższy opowiedzieć, co jest prawdą, a co fałszem i czy jestem tym Krangiem, czy nie. Zapraszam na nowy webinar pod patronatem Aruba Cloud, tradycyjnie w dwóch terminach:

[poniedziałek, 29 czerwca, godzina 20:00](https://arubacloud.clickmeeting.pl/co-w-sieci-tor-slychac/register)

[wtorek, 30 czerwca, godzina 12:00](https://arubacloud.clickmeeting.pl/co-w-sieci-tor-slychac-2/register)

Skoro chcecie o tym Torze…

Po poprzedniej serii webinarów, poświęconych usługom VPN, wypełniliście około tysiąca ankiet, w których wskazywaliście, jaki temat mam poruszyć w kolejnym wydaniu. Na drugim miejscu popularności znajdował się właśnie Tor, więc czas zrealizować wasze życzenia.

Wybór tematów kolejnego webinara

O czym będę opowiadał? Harmonogram wygląda tak:

00:00 – Start, wstęp, czym jest Tor, kto za to płaci i jak to działa

00:15 – Czy Tora da się zhakować – trochę historii

00:30 – Historii ciąg dalszy, tym razem polskie strony w Torze na przestrzeni dziejów i ich losy

00:50 – Co dzisiaj można w Torze znaleźć, a czego nie

00:55 – Sesja pytań od uczestników

xx:xx – Zakończenie webinara, gdy skończą się wam pytania (albo mi odpowiedzi, ale to się jeszcze nie zdarzyło)

W godzinę ciężko wyczerpać temat, ale postaram się poruszyć najważniejsze wątki i podzielić niektórymi teoriami, szczególnie dotyczącymi losów polskich serwisów w sieci Tor. Oczywiście na koniec odpowiem na każde wasze pytanie (również te o koniach i kaczkach).

Zalecam szybką rejestrację, bo choć przy webinarze o VPN-ach udało się namówić Arubę na dwie edycje ekstra, to nie ma gwarancji, że powiedzie się i tym razem – a limit wynosi 1000 osób na jedną sesję. Kto pierwszy, ten lepszy.

Do zobaczenia online!

#Niebezpiecznik Ktoś wykradł hackerskie narzędzia elitarnej jednostce CIA

Data: 17.06.2020 10:54

Autor: ziemianin

niebezpiecznik.pl

#aktualnosci #codziennaprasowka #informacje #wiadomosci #CIA #wikileaks #wyciek #Niebezpiecznik #cyberbezpieczenstwo

“jakim cudem WikiLeaks zdobyło nasze zabawki!?”

#Niebezpiecznik Ktoś wykradł hackerskie narzędzia elitarnej jednostce CIA

Bolesne decyzje o zatrzymaniu operacji wywiadowczych. Upokarzające ostrzeganie zaprzyjaźnionych wywiadów o tym jak bardzo nawalili Amerykanie. Zorientowanie się, co się stało dopiero po roku od kradzieży danych, kiedy część z nich pojawiła się na WikiLeaks. To grzechy CIA i opis największego wycieku rządowych narzędzi hackerskich w historii.

W sieci właśnie ukazał się raport z października 2017 roku, dotyczący wyników śledztwa.

Raport jest ocenzurowany, ale mimo to można z niego wyczytać kilka smaczków na temat funkcjonowania jednostki Center for Cyber Intelligence (CCI), która tworzyła hackerskie narzędzia, z jakich korzystał wywiad USA w swoich operacjach na całym świecie.

Zadaniem pracowników CCI jest co prawda wyszukiwanie podatności w oprogramowaniu wykorzystywanym w sieciach “wroga” i tworzenie oprogramowania, które je wykorzysta do kradzieży danych i inwigilacji, a nie zabezpieczanie swoich systemów. Ale wszyscy komentatorzy są zgodni. Poziom zabezpieczeń był poniżej krytyki…

Jak do tego doszło? Ona tego nie wie

Tak bardzo poniżej krytyki, że w zasadzie — jak przyznaje raport — bez publikacji na WikiLeaks (wyciek o pseudonimie Vault 7) agencja nigdy nie dowiedziałaby się że została okradziona. Ale się dowiedziała. Po roku od incydentu (w dniu publikacji na WikiLeaks).

Sam wyciek narzędzi hackerskich był dla CIA o tyle upokarzający, że nastąpił 3 lata po wyniesieniu danych przez Edwarda Snowdena z NSA. Raport podsumowuje to tak:

CIA zbyt wolno wdrażało zabezpieczenia, o których (po kradzieży dokumentów przez Snowdena — dop. red.) wiedziało, że są konieczne. Nasze najważniejsze “cyber bronie” nie były odpowiednio odseparowane od siebie, użytkownicy którzy mieli do nich dostęp dzielili hasła administratorskie, a systemy nie kontrolowały tego co jest podpinane do portów USB.

Brak było też monitoringu. Po wycieku nie udało się ustalić ile dokładnie danych skradziono ponieważ nie dało się tego wyczytać z logów. Rarpot wyjawia, że mogło to być między 180 gigabajtów a 34 terabajtów danych. Co za precyzja!

Najtrudniej jest się bronić przed swoimi

USA o kradzież danych podejrzewa Joshue Schulte, byłego pracownika CIA. Toczy się przeciw niemu śledztwo. On sam nie przyznaje się do winy, a jego obrońcy podnoszą, że nie tylko on miał dostęp do tych danych, a sama sieć w CIA była tak dziurawa, że źródłem wycieku mógł być każdy.

Przypomnijmy, że wyciek miał miejsce 3 lata po kradzieży danych z NSA przez Edwarda Snowdena i 6 lat po wyniesieniu tajnych notatek dyplomatycznych przez Chelsea Manning. Te incydenty powinny były nauczyć Amerykanów co zrobić, aby nie doszło do kradzieży danych z CIA. Ale nie nauczyły. Mądry Amerykanin po szkodzie…

Systemy firm na całym świecie, nie tylko CIA, są narażone na wycieki danych. Nie tylko w skutek ataków, ale również poprzez ich wyniesienie przez pracowników. Nic nie wskazuje na to, że sytuacja się zmieni. Po prostu coraz więcej systemów przetwarza nasze dane i nie zawsze ktoś odpowiednio opiekuje się tymi systemami.

#ZaufanaTrzeciaStrona Hej, chcesz coś z Avonu? Raczej nie w tym tygodniu

Data: 16.06.2020 13:11

Autor: ziemianin

zaufanatrzeciastrona.pl

#aktualnosci #codziennaprasowka #informacje #wiadomosci #Avon #incydent #ransomware #cyberbezpieczenstwo #atak #haker #atakihakerskie #informatykasledcza

Jedna z największych globalnych firm produkujących i dystrybuujących kosmetyki, popularna także w Polsce, doświadczyła ogromnej awarii. Od tygodnia nie działają kluczowe systemy i firma nie informuje, kiedy działać zaczną. Czyżby ransomware?

#ZaufanaTrzeciaStrona Hej, chcesz coś z Avonu? Raczej nie w tym tygodniu

irmy na całym świecie padają ofiarami ataków, w których dane są wykradane i szyfrowane, a następnie wymuszany jest okup za ich odzyskanie i nieujawnianie. Wiele wskazuje na to, że także Avon padł ofiarą takiego właśnie ataku.

Nic nie działa

Od jednego z czytelników otrzymaliśmy wiadomość wskazującą na poważne problemy kosmetycznego giganta:

Zamówienia nie są realizowane od co najmniej 4 czerwca, nie są księgowane płatności, nie można sprawdzić stanu realizacji zamówienia. Dodzwonić się też nie można i w zasadzie jedyny kanał kontaktu to czat na stronie. Ale i tak nic się nie można dowiedzieć.

Jak można taką wiadomość zweryfikować? Najlepiej krok po kroku. Zacznijmy od firmowej witryny Avon Hmmm.

Aktualny wygląd strony Avon.pl

Strona wygląda na bardzo mocno zredukowaną pod względem treści – de facto są tam tylko linki do innych stron i mętna informacja o „zmienianiu się dla Ciebie”, która brzmi jak „przerwa serwisowa” w wydaniu kosmetycznym. Sprawdzamy więc strony w innych krajach. Avon.de – to samo, tylko obrazek inny. Avon.cz – tak samo jak w polskiej wersji. Coś jest na rzeczy. Ale co?

Krok drugi – wiedzeni intuicją wpisujemy w Google „avon ransomware” i trafiamy na artykuły informujące, że aktualny właściciel Avonu, brazylijska firma Natura, przywraca do działania systemy Avonu po „cyberincydencie”. Grzebiemy dalej, aż docieramy do oficjalnego komunikatu giełdowego, który nie dodaje zbyt wiele do obrazu sytuacji. Komunikat z 12 czerwca mówi, że o incydencie firma informowała 9 czerwca i obecnie próbuje przywrócić do działania systemy na różnych rynkach, prowadzi śledztwo i nie przyznaje się jeszcze do wycieku danych. Brzmi jak solidne potwierdzenie, ale przyda się jeszcze jakieś źródło.

Avon jest dość popularny w Polsce, więc zobaczmy, co piszą jego konsultantki na Facebooku. Firma ma oczywiście aktywnie prowadzony profil, na którym pojawiają się mniej lub bardziej optymistyczne posty. Już 8 czerwca firma przeprasza za „awarię strony”.

Przeprosiny za awarię

Warto też zaglądać w komentarze – pod nowszymi wpisami są dziesiątki komentarzy osób zajmujących się dystrybucją produktów, które nie mogą doczekać się dostaw zamówionych towarów i nie wiedzą, co mówić swoim klientom. Firma odnosi się do skarg w następujący sposób, dwie wersje komentarza, bo był edytowany

Widać zatem, że brak konkretnej daty przywrócenia dostępu do systemów czy realizacji zamówień. Nie przeszkadza to w prowadzeniu pozytywnej komunikacji – za to należy się komuś medal.

Dobry news

Podsumowanie

Systemy nie działają od tygodnia na skutek cyberincydentu. Nie wiadomo, kiedy wrócą. Oficjalnie nie wiadomo, co było przyczyną ataku – ale na nasze oko najwięcej wskazuje na incydent ransomware o sporym zasięgu.

Dla osób, które nie wiedzą, skąd tytuł artykułu – to nawiązanie do słynnego w internecie dialogu z Facebooka – patrz poniżej.


Jeśli w sieci zacznie się szukać informacji na temat “cyberincydentu”, to trafić można na ten artykuł z “branżowego” serwisu, którego autorzy zdają się mieć informacje z pierwszej ręki.

#ZaufanaTrzeciaStrona Uwaga na nowe ataki pod hasłem aktywacji konta Allegro

Data: 15.06.2020 20:05

Autor: ziemianin

zaufanatrzeciastrona.pl

#aktualnosci #codziennaprasowka #informacje #wiadomosci #Allegro #dotpay #oszusci #cyberbezpieczenstwo

Są tacy przestępcy, którzy ciągle używają sprawdzonych schematów oszustwa i trwają przy nich miesiącami, a są tacy, którzy są bardziej kreatywni i co chwilę próbują nowych sztuczek. Dzisiaj pokażemy efekt działania tej drugiej grupy.

#ZaufanaTrzeciaStrona Uwaga na nowe ataki pod hasłem aktywacji konta Allegro

Wiele osób zgłasza nam nowy, dobrze przygotowany scenariusz ataku. Przestępca zadbał zarówno o treść wiadomości, jak i o adresy, na które po drodze trafiają ofiary. Po drodze można nie tylko stracić pieniądze, ale i dane uwierzytelniające do Allegro.

Aktywacja konta Allegro

Scenariusz wygląda dość wiarygodnie. Oto treść wiadomości:

Szanowni Państwo

Informujemy, że zgodnie z interpretacją ustawy z dnia 1 marca 2018 r. o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu, serwis Allegro jest zobowiązany do zapobiegania występowaniu zjawiska prania pieniędzy i finansowania terroryzmu będącego skutkiem świadczenia usług dla osób fizycznych lub innych podmiotów posiadających zdolność do czynności prawnych.

W związku z powyższym serwis Allegro został zobligowany do regularnego weryfikowania tożsamości swoich użytkowników. Wszystkie konta zweryfikowane przed 1 czerwca 2020 muszą przejść ponowną weryfikację.

Możesz aktywować konto, korzystając z wpłaty online i przelewając na nasz rachunek najmniejszą możliwą kwotę – 1,01 zł. Aktywacja służy wyłącznie potwierdzeniu poprawności danych rejestracyjnych. Po aktywacji wpłaconą kwotę zwrócimy w całości na rachunek, z którego została przesłana. Środki odeślemy w ciągu 3 dni roboczych po aktywacji.

Proces aktywacji możesz przejść klikając w poniższy link:

AKTYWACJA KONTA ALLEGRO

Sama wiadomość wygląda tak

Link do „aktywacji konta” prowadzi, w zależności od wersji wiadomości, do stron:

https://allegro4.pl/login/auth.php

https://allegro5.pl/login/auth.php

Co ciekawe, na tym samym adresie IP (w Home.pl, niestety nadal aktywnym) znaleźliśmy też domenę allegrolokalnie1.pl, ale nie udało nam się złapać jej treści.

Pod ww. adresami czeka fałszywy panel logowania Allegro

Dane, które podamy, trafią do skryptu pod adresem

http://allegro5.pl/activate/veryfication.php

Jak widać, znajomość angielskiego nie jest mocną stroną napastnika. Stamtąd ofiara trafia na

http://allegro5.pl/activate/przelew.php

Kolejna strona złodzieja

Tam z kolei ma kliknąć w „Przejdź do PayU”. Tym razem link prowadzi do

https://allegrofinanse2.pl/MYNKgeHn/hz6hZnA

gdzie czeka już dobrze nam znany formularz udający panel szybkich płatności.

Prawie bez błędów

Wiadomość jest skonstruowana poprawnie. Nadawcą jest admin@allegro4.pl, do wysłania użyty został ten sam serwer Home.pl, na którym stoi złośliwa witryna. W zasadzie jedynym błędem, rzucającym się w oczy, jest określenie „przelewając na nasz rachunek najmniejszą możliwą kwotę – 1,01 zł” – pewnie wszyscy wiecie, że przelać można także 0,01 zł. Poza tym kampania jest całkiem solidnie przygotowana, a strony są aktywne od kilkunastu godzin – można się zatem spodziewać, że ofiar nie brakuje.

Aktualizacja: Jak donoszą czytelnicy, sformułowanie o 1,01 zł jest skopiowane z procesu aktywacji konta Allegro. Pytanie zatem, dlaczego Allegro uznało akurat taką kwotę za „najmniejszą możliwą”. Ktoś zgadnie?

Oszustwa „na Dotpaya / Payu”

Myślicie, że wasi rodzice albo inne bliskie osoby mogą się złapać na taki atak? Chcecie spać spokojniej? Zafundujcie im kurs wideo Bezpieczeństwo Dla Każdego. Pokazujemy w nim podobne scenariusze i w przystępny sposób tłumaczymy, jak najprościej odróżnić strony prawdziwe od fałszywych. Uważne zapoznanie się z naszymi lekcjami pozwala nauczyć się rozpoznawać takie ataki i uchronić się przed nimi w przyszłości.

Poznaj siatkę trolli, która promowała ProteGo na Twitterze

Data: 11.06.2020 09:29

Autor: ziemianin

niebezpiecznik.pl

#analiza #ciekawostki #OSINT #ProteGo #rzad #socialmedia #trolle #Twitter #aktualnosci #codziennaprasowka #informacje #wiadomosci #cyberbezpieczenstwo

Wczorajsza akcja promowania aplikacji ProteGo na Twitterze nie wyglądała na spontaniczny zryw. Za istotną jej część odpowiadają konta utworzone w podobnym czasie i obserwujące siebie nawzajem. Postanowiliśmy zrobić ich krótką analizę.

Poznaj siatkę trolli, która promowała ProteGo na Twitterze

CZEŚĆ BOCIE!

Jak zapewne wiecie, po serii fatalnych wpadek i potknięć, rząd próbował przedwczoraj odbudować zaufanie do aplikacji ProteGo organizując spotkanie z ministrem Zagórskim i jej twórcami. Przyglądaliśmy się i wyszło naprawdę nieźle (minister przekreślił kuriozalne pomysły i zadeklarował ochronę prywatności użytkowników). Niestety, odbudowywane przez ministra zaufanie, ktoś znów przekreślił, rozpoczynajac akcję mało wyszukanego promowania aplikacji ProteGo na Twitterze kontami prorządowych trolli. Sygnalizowaliśmy wam ten temat, ale dziś przybliżymy wam wyniki analizy tej trollowej akcji.

Jednym z najbardziej rozpoznawalnych trolli chwalącym ProteGo był prof. Krzysztof Mantucki, bliżej niezidentyfikowany i nieistniejący w oficjalnych rejestrach osób z tytułami naukowymi polski uczony, na Twitterze nowy ale “kochający Polskę od zawsze”.

prof. Krzysztof Mantucki

Profil pana profesora nie jest teraz tak ładnie widoczny bo Twitter wykrył na nim podejrzaną aktywność. Niezależnie od tego jeszcze dziś rano na Twitterze dało się znaleźć sporo tweetów z kont ewidentnie trollowych i chwalących ProteGo. Postanowiliśmy odsiać z nich te Tweety, które zostały opublikowane przez konta spełniające trzy kryteria tzn.:

konta założone po marcu 2020 r.,

publikujące wyłącznie lub niemal wyłącznie treści polityczne,

śledzone przez inne konta potencjalnie “trollowe” lub śledzące po kilka takich kont.

Czytając tę analizę dalej pamiętajcie o tym, że wybór materiału był ograniczony powyższymi kryteriami.

Kto polecał ProteGo?

Przejrzeliśmy ponad 100 wpisów chwalących ProteGo i opublikowanych na różnych kontach. Z nich wszystkich wyodrębniliśmy 20 kont spełniających wyżej wspomniane kryteria. Te konta to:

[@AlekDlaPolski](/u/AlekDlaPolski)

[@AniaCzajka2](/u/AniaCzajka2)

[@BonkoMaciek](/u/BonkoMaciek)

[@FMikucki](/u/FMikucki)

[@g_iz](/u/g_iz)***** <——- nazwa profilu zanonimizowana (potem się dowiecie dlaczego)

[@jerzyoksinski](/u/jerzyoksinski)

[@JolantaGwiazdo1](/u/JolantaGwiazdo1)

[@KDlapolski](/u/KDlapolski)

[@LucynaRacibor](/u/LucynaRacibor)

[@MarysiaAnuszki1](/u/MarysiaAnuszki1)

[@Natalia62715984](/u/Natalia62715984)

[@PaweldlaPolski](/u/PaweldlaPolski)

[@PiotrekKisiele1](/u/PiotrekKisiele1)

[@polski_tomek](/u/polski_tomek)

[@przewoznicki](/u/przewoznicki)

[@rochocka](/u/rochocka)

[@SadurskiKamil](/u/SadurskiKamil)

[@sOrzeDlaPolski](/u/sOrzeDlaPolski)

[@UrbanowiczDr](/u/UrbanowiczDr)

[@ZelaznickiBart](/u/ZelaznickiBart)

Wszystkie te konta poza chwaleniem ProteGo (czasem po kilka razy dziennie) konsekwentnie wyrażały poparcie dla urzędującego prezydenta lub dla rządu. Większość została utworzona w czerwcu i rozpoczęła publikowanie w dniach 3-4 czerwca.

Uwaga: Nie twierdzimy, że absolutnie każde z tych kont jest kontem osoby nieistniejącej. Znamy z własnego doświadczenia sytuację, gdy konta spełniające wszelkie kryteria trollowości okazywały się autentycznymi kontami żywych ludzi albo wręcz żywi ludzie funkcjonowali w siatce trolli. Ustalmy zatem – powyższe konta spełniają nasze kryteria i tyle.

Twarze trolli

Większość wymienionych kont nie wyglądała autentycznie. Były na nich pojedyncze fotki osoby odwróconej tyłem albo pokazanej w oddali na tle jakiegoś zabytku (dość klasyczne podejście). Kilka kont miało fotografie twarzy, w których układ oczu, twarzy i nosa sugerował, iż zdjęcie zostało pobrane z serwisu ThisPersonDoesnotexist.com.

Trzy konta miały zdjęcia ewidentnie “podkradzione” z różnych miejsc w sieci. Oto dwa przykłady.

1

2

Prosty przekaz

Tweety publikowane przez konta poddane analizie były zwykle niedługie i – przyznajmy to – nie były szczególnie pomysłowe np.

Pobieramy  [#ProteGo](/t/ProteGo)

Ekstra, właśnie instaluję! [#ProteGo](/t/ProteGo)

Bardzo dobra aplikacja – działa bez zarzutów [#ProteGo](/t/ProteGo)

To serio może pomóc [#ProteGo](/t/ProteGo)

Warto korzystać z [#ProteGo](/t/ProteGo)

Korzystamy dobrze działa  [#ProteGo](/t/ProteGo)

Super sprawa [#ProteGo](/t/ProteGo)

Popieram [#ProteGo](/t/ProteGo)

Pomoże zwalczyć koronawirusa [#ProteGo](/t/ProteGo)

Fajna apka [#ProteGo](/t/ProteGo)

Dobra robota [#ProteGo](/t/ProteGo)

Ale były też przykłady poezji trollowej. Jeden z Tweetów po prostu nas ujął:

Cieszę się że coraz bardziej dbamy o bezpieczeństwo i rozwój cybernetyki [#ProteGo](/t/ProteGo)

Ze słowem “cybernetyka” spotkaliśmy się ostatnio chyba w książkach Lema. Przyznajmy, że to ma swój smaczek :).

Kto kogo śledzi?

Następnie prześledziliśmy powiązania między kontami wybranymi do analizy sprawdzając kto śledził kogo, wykorzystując techniki i narzędzia o których uczymy podczas naszych silnie praktycznych warsztatów z OSINT-u (Białego Wywiadu), czyli technik namierzania osób i firm w internecie. Graf poniżej właściwie wyjaśnia wszystko. Jak widzicie – wszystkie konta coś ze sobą wiąże.

W tej siatce prorządowych kont istotna była pani Marysia (@MarysiaAnuszki1) oraz “naukowcy” tzn. prof. Mantucki (trudny do zidentyfikowania) i dr Urbanowicz (równie trudny, przynajmniej jeśli chodzi o doktora nauk społecznych).

Profesor Mantucki najczęściej retwitował profil @PopieramyPMM wyrażający poparcie dla premiera. Pani Marysia podawała dalej tweety innych trolli, ale też uparcie też wspierała profil @PopieramyPMM oraz wiceministra Andruszkiewicza. Podobnie z dr Urbanowiczem. Właściwie to analiza tweetów sugeruje, że trolle były bardziej “prorządowe” niż pro-prezydenckie.

Grzegorza ciekawy przypadek

Z pewnego powodu interesujące było konto pana Grzegorza I. To jest właśnie to konto, którego nazwę “zanonimizowaliśmy” już na początku tekstu oraz na grafie. Wyglądało przekonująco.

Na Twitterze Pan Grzegorz przedstawia się jako społecznik i instruktor ZHR. Rzeczywiście, da się znaleźć inne ślady jego życia w sieci np. na profilu facebookowym Chorągwi Północno-Wchodniej Harcerzy. Jest tam fotka z twarzą, która wygląda znajomo no i użytkownik jest oznaczony.

Trzeba więc przyznać, że w naszej sieci kont było jedno wyglądające autentycznie. Coś takiego widzieliśmy nie raz i w niejednej sieci trolli.

Cóż… nie jest winą pana Grzegorza, że jest on śledzony z typowych kont trollowych. Sam jednak również śledzi takie konta m.in. pana dr Urbanowicza, prof. Mantuckiego i innych. Teoretycznie mamy trzy możliwości:

pan Grzegorz świadomie śledzi konta trolli;

pan Grzegorz zaczął śledzić konta trolli bo uznał, że warto śledzić kogoś o podobnych poglądach; (albo z innego powodu — ciężko powiedzieć — w końcu możemy i powinniśmy śledzić ludzi o różnych, odmiennych od naszego światpoglądach aby poszerzać horyzonty)

pan Grzegorz nie pilnuje swojego konta lub nie wie, że ma konto na Twitterze (to ostatnio mało prawdopodobne, ale jednak musimy to wziąć pod uwagę.

Jak widzicie, w tekście dokonaliśmy “anonimizacji” danych Pana Grzegorza. Owszem, osoby zainteresowane tematem bez problemu ustalą jego imię i nazwisko. Nie uważamy też, aby ta anonimizacja była konieczna ale i tak ją wprowadziliśmy. Wiemy, że kiedyś pan Grzegorz będzie starszy i może nie chcieć, by po wpisaniu do Google jego nazwiska wyskakiwał od razu ten artykuł z Niebezpiecznika. Powiedzmy, że to taka nasza grzeczność w jego stronę.

Polityku, przeczytaj to

Analizując konta trolli zauważyliśmy jeszcze jedną ciekawą rzecz. Część z trolli wymienionych w tej analizie jest śledzona przez polityków i to nie tylko lokalnych, ale również czołowych lub zajmujących stanowiska w rządzie. Nie będziemy w tym miejscu ich wymieniać, ale nietrudno to sprawdzić. Oczywiście nie jest wykluczone, że ktoś chce śledzić po prostu konta zbliżone ideowo, ale też nie można całkiem wykluczyć celowego wspierania takich kont. Doradzamy ekipom dbającym o social media znanych osób aby nie wspierały trolli. Źle to wygląda.

Problem społeczny

Powyższa analiza powinna dawać nam do myślenia pod jednym względem. Działania “trolli internetowych” są kosztowne i ktoś za nie płaci. Czy rząd? Nie. Płacą partie polityczne (różne partie), ale te dostają pieniądze m.in. z budżetu państwa. Koniec końców społeczeństwo płaci za okłamywanie samego siebie co naszym zdaniem nie jest zdrowe.

Być może rozwiązaniem tego problemu mogłoby być zwiększenie przejrzystości finansowej partii politycznych albo jak niektórzy sugerują zaprzestania finansowania ich z budżetu (zostawiamy decyzję mądrzejszym od nas; wszystko ma plusy i minusy). W obecnym świecie ciężko się jednak łudzić, że nawet tak drastyczne zmiany spowodują, żeróżne opcje polityczne nie będą sięgać po te (często bardzo łatwie do uruchomienia) wspomagacze i amplifikatory.

Pytanie czy takie działania są faktycznie skuteczne? Nawet te realizowane bardziej sensownie? Czy po prostu ten mechanizm działa, bo politycy, jako osoby nie zawsze techniczne, wierzą, że liczba serduszek i retwitów może kształtować opinie…

Jak Facebook kupił exploita na Tailsy by pomóc w złapaniu groźnego przestępcy

Data: 11.06.2020 01:07

Autor: ziemianin

zaufanatrzeciastrona.pl

#ZaufanaTrzeciaStrona #cyberbezpieczenstwo #nekanie #zastraszanie #aktualnosci #codziennaprasowka #informacje #wiadomosci #facebook #exploit #0day #Tails

Przestępca był niebezpieczny. Od dłuższego czasu zdalnie niszczył życie wielu dziewczynom na całym świecie, do tego groził bezpośrednią przemocą. Używał przy tym bardzo skutecznych narzędzi, przez co był niechwytny. Do czasu.

Jak Facebook kupił exploita na Tailsy by pomóc w złapaniu groźnego przestępcy

Facebook z przemocą online ma do czynienia od zawsze, bez przerwy i na dużą skalę. Będąc popularnym narzędziem komunikacji młodzieży, stanowi także platformę dla wszelkiej maści stalkerów i szantażystów, którzy tam właśnie szukają swoich ofiar i się z nimi komunikują. Facebook z tym zjawiskiem walczy, ale żadnemu ze sprawców nie poświęcił tyle uwagi, co Busterowi Hernandezowi. Ale po kolei.

Sprytny sprawca, liczne ofiary

Przez wiele lat ktoś szantażował nieletnie dziewczyny. Najpierw tworzył fałszywe profile na Facebooku, potem zaczepiał swoje ofiary i wmawiał im, że dysponuje ich nagimi zdjęciami. Następnie wyłudzał zdjęcia i filmy – a wtedy już możliwości szantażu były dużo większe. Sprawca był wyjątkowo bezwzględny. Swoim ofiarom groził nie tylko przesłaniem zdjęć i filmów ich bliskim i znajomym, ale także przesyłał szczegółowe opisy tego, jak planuje je zgwałcić, jeśli nie prześlą kolejnych zdjęć. Groził także wymordowaniem ich rodzin oraz zamachem bombowym lub atakiem na szkołę, do której uczęszczała ofiara. Jego groźby spowodowały, że kilka szkół i centrum handlowe były przez 1 dzień zamkniętych z obawy przed zamachem. Gdy ofiary rozważały samobójstwo, obiecywał, że ich nagie zdjęcia umieści na pośmiertnej stronie pamiątkowej. Niektóre z jego ofiar były tak szantażowane latami. Oto przetłumaczony fragment jego groźby:

Chcę zostawić po sobie ślad śmierci i ognia. Po prostu wejdę jutro do twojej szkoły, zamorduję całą twoją klasę a ciebie zostawię na sam koniec. I gdy będziesz krzyczała i błagała mnie o litość, poderżnę twoje gardło od ucha do ucha.

Jak rozwiązać trudny problem

Facebook był świadomy jego działania. Widząc skalę przestępstw i tragedii nastolatek pracownicy Facebooka czuli silną potrzebę zatrzymania sprawcy. Niestety amerykańskie organa ścigania nie potrafiły zidentyfikować autora ataków. W sprawę zaangażowane było nawet FBI, które próbowało użyć technik pozwalających na przełamywanie zabezpieczeń systemu operacyjnego sprawcy, jednak ten atak się nie powiódł, ponieważ przestępca używał systemu Tails. To dedykowany system operacyjny, kierujący ruch przez sieć Tor i pozwalający uniknąć wielu błędów pozwalających na łatwą deanonimizację atakującego. Tails jest używany przez tysiące dziennikarzy, sygnalistów czy obrońców praw człowieka na całym świecie. Niestety dla wyjątkowo obrzydliwego przestępcy stał się także skutecznym sposobem unikania odpowiedzialności.

Hernandez był uważany przez pracowników Facebooka za najgorszego przestępcę, jakiego kiedykolwiek spotkali na swojej platformie. Facebook był tak zdeterminowany, by go powstrzymać, że jego sprawie przydzielił na dwa lata dedykowanego pracownika. Co więcej, opracowano narzędzia oparte o uczenie maszynowe, by szybciej i skuteczniej identyfikować nowe konta Hernandeza, a przy tym także jego ofiary. A kont zakładał dziesiątki. To jednak było nadal za mało – Hernandez nadal był na wolności.

Facebook zdecydował się na niespotykane wcześniej rozwiązanie. Aby złapać Hernandeza firma wynajęła dostawcę, który za kwotę przekraczającą 100 000 dolarów napisał exploita, wykorzystującego nieznany wcześniej błąd w odtwarzaczu multimedialnym wbudowanym w system Tails. Następnie exploit został przekazany, za pośrednictwem innej firmy, w ręce FBI. FBI z kolei skorzystało z pomocy jednej z ofiar. Nastoletnia dziewczyna została zmuszona przez przestępcę do nagrania filmu ze swoim udziałem i wrzucenia go na wskazane konto Dropboksa. Dziewczyna nagrała film (lecz nie o treści oczekiwanej przez przestępcę) a FBi wzbogaciło plik o dodatkowy fragment, wykorzystujący błąd w odtwarzaczu i zmuszający komputer Hernandeza, by połączył się z serwerem kontrolowanym przez FBI i przekazał informacje o prawdziwym adresie IP. Poniżej komunikacja z przestępcą dotycząca tego filmu.

Po otrzymaniu filmu nie spełniającego jego oczekiwań Hernandez groził rodzinie ofiary, wysyłając zdjęcie noża, którym planował zaatakować jej bliskich.

Groźby przestępcy

Na szczęście atak FBI się powiódł. Po otrzymaniu adresu IP i ustaleniu adresu domu, w którym przebywał Hernandez, FBI rozpoczęło podsłuch jego łącza internetowego i obserwację nieruchomości. Ustalono, że zawsze, gdy podejrzany był aktywny w sieci, ruch z jego domu wychodził do sieci Tor a on sam zawsze był na miejscu. To wystarczyło, bo zdobyć nakaz przeszukania – a znalezione dowody powinny wystarczyć, by Hernandez resztę życia spędził w więzieniu. Ponad 100 ofiar i wiele lat dręczenia znalazło w końcu swój finał.

Kontrowersje

Działanie Facebooka nie ma precedensu. Firma zamówiła exploita na system używany przez wiele osób tylko po to, by złapać jednego przestępcę. Czy postąpiła słusznie? Naszym zdaniem tak. Czy istnieje ryzyko, że FBI użyło exploita także do innych celów? Tak. Czy cel zawsze uświęca środki? Nie.

Facebook nie przekazał informacji o użytym exploicie autorom Tailsa. Podobno podczas jednej z aktualizacji systemu, już po skutecznym ataku na Hernandeza, podatny kod został usunięty z odtwarzacza bez dodatkowej interwencji.

Czy Google zainstalował nam oprogramowanie namierzające bez naszej zgody?

Data: 11.06.2020 00:35

Autor: ziemianin

youtube.com

#aktualnosci #codziennaprasowka #informacje #wiadomosciosc #google #aplikacja #android #apple #sledzenie #cyberbezpieczenstwo #telefony #smartfony #iphone

Okazuje się iż korporacja Google zainstalowała fundamenty oprogramowania namierzającego ludzi rzekomo zarażonych wirusem bez jakiegokolwiek poinformowania i zgody użytkowników. Nie pojawiła się absolutnie żadna notyfikacja na moim telefonie iż taka funkcjonalność została dodana do systemu operacyjnego. Wszystkie osoby które to sprawdziły również mają to u siebie. Oczywiście, do pełnej funkcjonalności niezbędna jest "rządowa aplikacja" ale i tak jest to bardzo niefajny ruch ze strony Google.

Czy Google zainstalował nam oprogramowanie namierzające bez naszej zgody?

Atak na ponad milion witryn wykorzystujących WordPressa

Data: 04.06.2020 15:48

Autor: ziemianin

threatpost.com

#aktualnosci #codziennaprasowka #informacje #wiadomosci #cyberbezpieczenstwo #komputery #WordPress #atak #przestepca #plugin

Przed kilkoma dniami doszło do wielkiego atak na 1,3 miliona witryn korzystających z oprogramowania WordPress. Przestępcy próbowali ukraść pliki konfiguracyjne oraz informacje potrzebne do logowania do bazy danych. Nieudana próba ataku została przeprowadzona na stare luki XSS w pluginach i skórkach do WordPressa.

Atak na ponad milion witryn wykorzystujących WordPressa

Jak poinformowali specjaliści z firmy Wordfence, którzy powstrzymali napastników, przestępcy chcieli pobrać pliki wp-config.php. Ich zdobycie pozwoliłoby im na uzyskanie dostępu du baz danych. Pomiędzy 29 a 31 maja zaobserwowano i zablokowano ponad 130 milionów prób ataku skierowanych przeciwko 1,3 milionowi witryn. Szczyt nastąpił 30 maja. W tym dniu dokonano 75% wszystkich prób nielegalnego zdobycia danych, usiłując wykorzystać dziury w pluginach i skórkach na platformach WordPress, czytamy w wydanym komunikacie.

Badacze połączyli te ataki z działaniem tej samej grupy, która 28 kwietnia próbowała wstrzyknąć na witryny złośliwy kod JavaScript. Jego zadaniem było przekierowywanie użytkownika z uprawnieniami administratora na złośliwą witrynę, z której można było dokonać ataku. Oba ataki udało się połączyć dzięki temu, że zarówno w kwietniu jak i maju przestępcy korzystali z tej samej puli 20 000 adresów IP.

Eksperci przypominają właścicielom witryn, że jeśli ich strona padła ofiarą ataku, należy natychmiast zmienić hasła dostępu oraz klucze uwierzytelniające. Jeśli konfiguracja twojego serwera pozwala na uzyskanie zdalnego dostępu do bazy danych, napastnik, który zdobył taki dostęp może z łatwością dodać konto administratora, uzyskać dostęp do poufnych informacji lub w ogóle zlikwidować twoją witrynę. Nawet jeśli twój serwer nie pozwala na zdalny dostęp do bazy danych, to jeśli napastnik zdobył klucze uwierzytelniające, może ich użyć do ominięcia kolejnych zabezpieczeń, czytamy w oświadczeniu.

Osoby korzystające z WordPressa powinny też upewnić się, czy wykorzystują najnowsze wersje dodatków i czy na bieżąco łatają pojawiające się dziury. Warto przypomnieć, że przed kilkoma tygodniami znaleziono dwie dziury w pluginie Page Builder. Plugin ten jest zainstalowany na milionie witryn, a zanlezione dziury pozwalają przestępcom na przejęcie kontroli nad witryną.

#Niebezpiecznik Wyciek danych klientów Decathlon

Data: 03.06.2020 20:12

Autor: ziemianin

niebezpiecznik.pl

#aktualnosci #codziennaprasowka #informacje #wiadomosci #cyberbezpieczenstwo #wyciekdanych #decathlon #wycieki #sms

Decathlon zaczął właśnie informować swoich klientów, że ich dane mogli pozyskać włamywacze. Oto wiadomość, jaką otrzymują niektóre z osób, które pozostawiły Decathlonowi swoje dane:

#Niebezpiecznik Wyciek danych klientów Decathlon

Oto pełna treść komunikatu, wytłuszczenia nasze:

Dzień dobry,

piszemy do Ciebie, gdyż otrzymaliśmy informację, że doszło do naruszenia bezpieczeństwa Twoich danych osobowych. Kwestie bezpieczeństwa naszych klientów traktujemy priorytetowo, dlatego proszę, przeczytaj uważnie poniższą wiadomość.

1. Co się stało?

Dnia 27 kwietnia 2020 r. wieczorem, doszło do nieuprawnionego zalogowania się do systemu podwykonawcy Decathlon. Jest to narzędzie informatyczne służące do wysyłki wiadomości SMS (tzw. “bramka SMS”). Po zalogowaniu osoby nieuprawnione wygenerowały raport z działań, podejmowanych przez Decathlon za pośrednictwem tej platformy, za okres od 23.02.2020 r. do 24.04.2020 r. Nie mamy informacji o tym, czy pobrane w ten sposób dane zostały w jakikolwiek sposób wykorzystane.

2. Co to oznacza dla Ciebie?

Twój numer telefonu był w pobranym raporcie. Doszło w ten sposób do naruszenia poufności Twoich danych osobowych, przez co osoby nieuprawnione mogły uzyskać dostęp do następujących danych:

    Twojego numeru telefonu;

    numeru zamówienia złożonego przez Ciebie w Decathlon;

    kodu do odbioru Twojego zamówienia internetowego Decathlon. 

WAŻNE: raport nie zawierał żadnych innych danych osobowych dotyczących Twojej osoby takich jak: imię, nazwisko czy adres zamieszkania.

W zaistniałej sytuacji jesteśmy zobowiązani poinformować Cię, że możliwe konsekwencje naruszenia Twoich danych osobowych obejmują:

    w przypadku otrzymania wiadomości SMS zawierającej link – skorzystanie z zamieszczonego linku może doprowadzić do: złamania zabezpieczeń urządzenia, pobrania zapisanych na nim plików, dostępu do aplikacji zainstalowanych na urządzeniu, wyłudzenia pieniędzy lub dodatkowych danych osobowych;

    uzyskanie przez osoby nieuprawnione Twojego numeru telefonu i jego wykorzystanie dla własnych celów – ryzyko podszycia się pod inną osobę lub instytucję w celu wyłudzenia dodatkowych danych lub określonych informacji.

3. Jakie działania podjęliśmy jako Decathlon?

Mimo że nie posiadamy informacji o dalszym wykorzystaniu danych, do których dostęp uzyskały osoby trzecie w wyniku tego incydentu, zapewniamy Cię, że traktujemy tę sprawę bardzo poważnie. Po otrzymaniu w dniu 29 maja 2020 r. potwierdzenia wystąpienia zdarzenia niezwłocznie podjęliśmy następujące działania:

    zgłosiliśmy incydent do Prezesa Urzędu Ochrony Danych Osobowych w celu podjęcia stosownych działań ochronnych;

    zobowiązaliśmy naszych dostawców do wdrożenia dodatkowych zabezpieczeń ograniczając dostęp do systemów informatycznych;

    wprowadzamy dodatkowe poziomy zabezpieczeń dostępu do przetwarzanych danych. 

4. O co prosimy Ciebie?

W celu zminimalizowania ewentualnych negatywnych skutków naruszenia zalecamy, aby:

zignorować podejrzane wiadomości SMS i nie klikać w podane w nich linki;

zachować ostrożność w sytuacji odbierania połączeń telefonicznych przychodzących z nieznanych numerów telefonów.

Jeżeli masz dodatkowe pytania w zakresie naruszenia, prosimy o kontakt z Inspektorem Ochrony Danych (IOD) wyznaczonym przez Decathlon sp. z o.o. – panem Maciejem Kaczmarskim. Z inspektorem można skontaktować się za pośrednictwem wiadomości e-mail: iod@decathlon.com lub pisemnie pod adresem: Decathlon sp. z o.o., Inspektor Ochrony Danych Osobowych, ul. Geodezyjna 76, 03-210 Warszawa.

5. Przepraszamy

Chcieliśmy serdecznie przeprosić za zaistniałą sytuację. Zapewniamy, że temat bezpieczeństwa danych osobowych jest dla nas priorytetem. Między innymi dlatego zależy nam, aby w sposób wyczerpujący wyjaśnić ten incydent i poinformować właścicieli skradzionych numerów telefonów, nawet jeśli nie wiemy, czy było to celowe czy przypadkowe działanie a także czy dane te zostały wykorzystane w jakikolwiek sposób.Wydarzenie to stanowi dla nas mobilizację do zwiększenia wymagań w kwestii bezpieczeństwa wobec naszych dostawców i wdrożonych zabezpieczeń.

Ze sportowymi pozdrowieniami, David Derouané, Dyrektor Generalny Decathlon Polska

Ważne! Prosimy nie odpowiadaj na tego e-maila bezpośrednio.Jeśli chcesz się z nami skontaktować to nasz zespół jest do Twojej dyspozycji, napisz do

nas klikając adres mailowy: kontakt@decathlon.pl Administratorem Państwa danych osobowych jest Decathlon sp. z o. o. z siedzibą w Warszawie ul. Geodezyjna 76, 03-290 Warszawa. Szczegółowe informacje dotyczące zasad przetwarzania danych osobowych znajdą Państwo w polityce prywatności.

Pocieszające jest to, że wyciek nie dotyczy wszystkich klientów, gdyż logi wskazują na pobranie raportu z od lutego do kwietnia i to tylko i wyłącznie tych klientów, do których Decathlon, jak rozumiemy, wysyłał komunikaty marketingowe jako SMS-y. Nie wiadomo ilu jest poszkodowanych, ale — patrząc po tym ilu naszych Czytelników otrzymało tę wiadomość — szacujemy że sporonaście tysięcy :)

Naszym zdaniem, tego typu dane (numer telefonu) z punktu widzenia złodzieja najkorzystniej będzie wykorzystać do ataków phishingowych (także z wykorzystaniem złośliwego oprogramowania), podszywając się pod Decathlon i prosząc np. o uzupełnienie danych lub oferując atrakcyjną zniżkę w zamian za… Atak nie wygląda aż tak strasznie jak przedstawia to Decathlon w swoim komunikacie (że po jednym kliknięciu w link, ktoś przejmuje kontrolę nad smartfonem). To możliwe w bardzo skrajnych przypadkach i raczej zdarza się w przypadku zupełnie innych ofiar niż klienci sklepu sportowego :)

#bezpiecznyblog Śledzenie i profilowanie użytkowników w internecie

Data: 30.05.2020 20:50

Autor: ziemianin

youtube.com

#bezpiecznyblog #cyberbezpieczenstwo #internet #webbrowser #przegladarkainternetowa #aktualnosci #codziennaprasowka #informacje #wiadomosci

Rozmowa o dopasowywaniu wyświetlanych w internecie reklam w oparciu o wszechobecne w sieci mechanizmy śledzące i profilujące. Rozmawiamy m.in. o ciasteczkach, odcisku palca przeglądarki, giełdzie reklam i reklamach puszczanych w trakcie podcastów.

#bezpiecznyblog Śledzenie i profilowanie użytkowników w internecie

Tematem dzisiejszego podcastu jest Śledzenie i profilowanie użytkownika w internecie oraz sposób w jaki te informacje są dalej wykorzystywane przez strony, które odwiedzamy, do wyświetlania nam reklam.

Zaufana Trzecia Strona: Grupy ransomware, przed którym nie uchronią żadne backupy

Data: 28.05.2020 21:44

Autor: ziemianin

zaufanatrzeciastrona.pl

#aktualnosci #codziennaprasowka #informacje #wiadomosci #artykulsponsorowany #CyberArk #ransomware #webinar #wyciek #cyberbezpieczenstwo

Coraz więcej firm przekonuje się boleśnie, że kopia bezpieczeństwa nie chroni przed skutkami ataku ransomware. Niestety już kilkanaście grup przestępców stosuje nową taktykę – prawie każdy atak ransomware to dzisiaj wyciek danych.

Zaufana Trzecia Strona: Grupy ransomware, przed którym nie uchronią żadne backupy

W ostatnich latach wiele firm nauczyło się, by kopie bezpieczeństwa robić regularnie i kompleksowo, przechowywać odłączone od sieci i często testować. Nie nauczyły się tego same – pomogły w tym wielce ataki ransomware, gdzie przestępcy szyfrowali dane i żądali wysokich opłat za ich odszyfrowanie. Gdy jednak coraz więcej ofiar odmawiało płatności („mamy backupy i możecie nam skoczyć”), przestępcy sięgnęli po nową strategię – przed szyfrowaniem dane wykradają i grożą ich ujawnieniem. Bywa, że firmy płacą teraz dwa okupy – jeden za odzyskanie danych, drugi za skasowanie kopii znajdującej się w rękach przestępców.

Nowa strategia, nowe ofiary

AKO, Clop, DoppelPaymer, Maze, Nemty, Nephilim, Netwalker, Pysa, Ragnar Locker, REvil / Sodinokibi, Sekhmet, Snatch, CryLock, ProLock, Snake – to nazwy grup, które oprócz szyfrowania plików ofiar także ujawniają ich dane. Większość z nich ma swoje dedykowane serwisy WWW, gdzie można zapoznać się z listą ofiar i pobrać wykradzione informacje tych ofiar, które nie zapłaciły okupu.

Fragment strony przestępców

4 czerwca (w czwartek za tydzień) o tych nowych atakach opowiem podczas webinaru organizowanego przez e-Xim IT oraz CyberArk. Będziemy zaglądać na strony atakujących i omawiać sposoby, w jakie osiągają swoje niecne cele. Pokażemy także fragmenty negocjacji z napastnikami. Wraz ze mną prezentację poprowadzi Marcin Paciorkowski, który pokaże rozwiązania CyberArk, utrudniające życie przestępcom. Tak jak ja lubię opowiadać ciekawe historie (a tych nie zabraknie), tak Marcin z pasją pokazuje sprytne technologie takie jak zarządzanie poświadczeniami, izolację sesji, ograniczanie uprawnień czy kontrolę aplikacji. Przerwanie procesu działania przestępców jest możliwe – trzeba tylko podejść do tego z pomysłem – a Marcin te pomysły zademonstruje.

Obiecuję, że będzie ciekawie. Już teraz możecie zapisać się, by nas posłuchać. Formularz jest prosty – są tylko trzy pola. Do zobaczenia 4 czerwca!


Jeden z komentarzy:

2020.05.28 10:35 Tomasz Klim #

„prawie każdy atak ransomware to dzisiaj wyciek danych”

Co najmniej nie w Polsce. Od kilku już lat zajmuję się odzyskiwaniem danych po atakach ransomware i widzę, że w Polsce cały czas dominuje Dharma (oczywiście w różnych wersjach) – przypuszczam, że głównie ze względu na możliwość infekcji automatycznej przez dziurawe RDP wystawione bezpośrednio do Internetu.

Natomiast nie słyszałem jeszcze o żadnej wersji Dharmy, przy której mowa by była również o jednoczesnym wykradaniu danych.

Rząd Wielkiej Brytanii przygotowuje się do wprowadzenia nowego „cyfrowego paszportu zdrowia”

Data: 28.05.2020 10:17

Autor: ziemianin

covipass.com

#aktualnosci #codziennaprasowka #informacje #wiadomosci #wielkabrytania #koronawirus #COVIPASS #kontrola #zdrowie #kod #cyberbezpieczenstwo

"Rząd Wielkiej Brytanii przygotowuje się do wprowadzenia nowego „cyfrowego paszportu zdrowia”, aby monitorować prawie każdy aspekt życia obywateli w imię wzmocnienia zarządzania zdrowiem publicznym.

Rząd Wielkiej Brytanii przygotowuje się do wprowadzenia nowego „cyfrowego paszportu zdrowia”

Brytyjska firma ds. Bezpieczeństwa cybernetycznego VST Enterprises, we współpracy z rządem Wielkiej Brytanii, opracowała aplikację o nazwie „COVI-PASS” do śledzenia „historii testów Covid-19 i odpowiedzi immunologicznej oraz innych istotnych informacji zdrowotnych” przy użyciu zastrzeżonego kodu matrycowego o nazwie „VCode”.

Sam „VCode” jest opisywany jako kompletna technologia, która może przechowywać każdy wrażliwy szczegół o twoim życiu, za pomocą oprogramowania szyfrującego klasy wojskowej.

Kod może przechowywać wszystko od szczegółów tożsamości, w przypadku informacji alarmowych, dokumentacji medycznej, metod płatności, numerów rejestracyjnych samochodów, danych wizytówek, linków do mediów społecznościowych i wielu innych informacji z tego samego kodu"


Proszę nie traktować tych informacji, jak fikcję, zabawę, nierealną przyszłość.

W Chinach, rodziny, które przez takie aplikacje nie mogą swobodnie przemieszczać się, na pewno nie są szczęśliwe.

Do tego chcą doprowadzić korporacje: zamknąć nas w świecie ich aplikacji, w świecie ich systemu komputerowego.

Nie wolno się zgadzać na tego typu aplikacje, bo przyjdzie taki czas, że będą… przymusowe.

Zaufana Trzecia Strona - Jak ktoś ukradł Radkowi 2000 PLN z konta IKEA Family

Data: 19.05.2020 13:48

Autor: ziemianin

zaufanatrzeciastrona.pl

#IKEA #IKEAFamily #kradziez #wlamanie #wyciek #aktualnosci #codziennaprasowka #informacje #wiadomosci #cyberbezpieczenstwo #zakupy

Czy można kupić płytę indukcyjną za złotówkę zamiast za 1999 PLN? Można, trzeba tylko najpierw włamać się na cudze konto IKEA Family i wykorzystać znaleziony tam kod rabatowy. Posłuchajcie historii ofiary takiej kradzieży.

Zaufana Trzecia Strona – Jak ktoś ukradł Radkowi 2000 PLN z konta IKEA Family

Cztery dni temu opisaliśmy ciekawy atak na konta klientów sklepu IKEA. Ktoś wykorzystywał loginy i hasła wykradzione z innych serwisów, by zdobywać dostęp do kont w programie IKEA Family, a następnie wykradał stamtąd kody rabatowe. IKEA po pewnym czasie atak wykryła i konta zablokowała – jednak wygląda na to, że złodzieje działali już co najmniej od początku maja. Ale po kolei.

Ktoś był na moim koncie, ktoś używał moich kodów

Zgłosił się dzisiaj do nas Radek, który pokazał, jak stracił kod wart 2000 PLN. Nie mamy 100% dowodów, że historia Radka jest związana z tym samym incydentem, ale moment zdarzenia oraz jego przebieg pasują do historii włamań na konta IKEA Family ujawnionej 9 dni po kradzieży.

Radek jest regularnym klientem sklepów IKEA i użytkownikiem karty IKEA Family. Gdy 14 maja dostał powiadomienie o możliwym nieautoryzowanym dostępie do jego konta i konieczności zmiany hasła, zalogował się i hasło zmienił. Jak sam przyznaje, nie przejrzał wtedy historii transakcji. Gdy dwa dni później chciał zrobić zakupy, zauważył, że na koncie brakuje kodu rabatowego na 2000 PLN. W historii transakcji znalazł za to taką, której nie pamiętał. Historia transakcji Radka

Radek był pewien, że nie robił zakupów 4 maja za 1 PLN. Gdy zajrzał w szczegóły transakcji, znalazł tam taki oto widok:

Zakupy Radka

Teraz nie miał już wątpliwości – płyta indukcyjna HÖGKLASSIG, standardowo kosztująca 1999 PLN, została przez kogoś kupiona za 1 PLN (opłacone gotówką w sklepie w Łodzi). W tym samym momencie jego kod rabatowy o wartości 2000 PLN został zredukowany do kwoty 2 PLN, co odpowiada różnicy po nieautoryzowanej transakcji.

Kod rabatowy Radka

Szybki zakup, szybka sprzedaż

Radek bez problemu odnalazł swój towar wystawiony na sprzedaż w internecie. Co ciekawe, ten sam sprzedawca oferuje także inne podobne towary produkowane przez IKEA, wystawione kilka dni po feralnej transakcji.

Radkowi pozostało zgłosić sprawę na policję i reklamację do sklepu IKEA. Niestety z żadnego z tych miejsc na razie nie otrzymał odpowiedzi.

Morał z tej historii

We wszystkich miejscach, gdzie przechowujecie coś stanowiącego instrument płatności lub jego równowartość (serwisy z podpiętą kartą płatniczą, kupony rabatowe czy nawet gry online z wartościowymi przedmiotami), używajcie unikatowych haseł. Unikatowe hasła przechowujcie w menedżerze haseł. A gdy dostajecie informacje o incydencie bezpieczeństwa, sprawdzajcie od razu historię transakcji.

Jak jeszcze zadbać o bezpieczeństwo swoich kont w sieci? Mówimy o tym podczas naszego kursu wideo Bezpieczeństwo Dla Każdego. W prostych słowach tłumaczymy, jak podnieść bezpieczeństwo swoich kont i unikać sytuacji stresowych towarzyszących ofiarom wycieków. Do tego kurs zawiera 23 inne tematy, ważne dla każdego użytkownika sieci – każdy znajdzie tam coś ciekawego.

Uwaga na najnowszy scenariusz oszustwa „na prognozę pogody”

Data: 14.05.2020 08:50

Autor: ziemianin

zaufanatrzeciastrona.pl

#dotpay #fraud #oszustwo #PayU #prognoza #SMS #pogoda #podpucha #cyberbezpieczenstwo #aktualnosci #codziennaprasowka #informacje #wiadomosci #zaufanatrzeciastrona

Kiedyś, dawno, dawno temu, istniała taka usługa telefoniczna jak Pogodynka. Nie, nie była to aplikacja – był to numer telefonu (9221?) pod którym za niewielką opłatą można było wysłuchać prognozy pogody. Dzisiaj cena może być większa.

Uwaga na najnowszy scenariusz oszustwa „na prognozę pogody”

Złodzieje nie śpią, bo trzymają portfele. Nasze portfele. Niestety ich kreatywność w dobieraniu się do pieniędzy ofiar nie zna granic. Mieliśmy już oszustwa „na rezygnację z gier„, „na rezygnację z horoskopu”, „na rezygnację z seks ogłoszeń”, „na rezygnację z ogłoszeń gejowskich”, „na rezygnację z ochrony telefonu” – czas zatem na rezygnację z prognozy pogody.

Usługa METEO24 aktywna!

Przykład wiadomości, od której się zaczyna,

Wiadomość od złodzieja

Usluga METEO24 aktywna ! W kazdy dzien wyslemy Ci SMS z nadchodzaca pogoda. Koszt1SMS=30,86zl. Mozesz zrezygnowac z uslugi tu www.pogodameteo.net?3Q

My już wiemy, co będzie dalej – SMS zgodny jest z dość popularnym kilka miesięcy temu wzorcem, na przykład:

Faktycznie, pod adresem pogodameteo.net czeka na nas znajomy ekran.

Okazuje się, że można „zrezygnować z usługi” także nie podając rzekomo wymaganego numeru telefonu – tym razem złodziejom nie chciało się nawet implementować mechanizmu weryfikującego, czy osoba „rezygnująca” faktycznie otrzymała SMS-a. Niechlujność wygląda z każdego rogu – nie zgadza się nawet kwota rzekomej opłaty (30,75 vs 30,86). Oczywiście termin 30 minut też jest fikcyjny, jak cała witryna. Próba „rezygnacji” zabiera nas na kolejną podstronę

Tam mamy jeszcze szansę się rozmyślić – jeśli jednak będziemy uparcie chcieli definitywnie zrezygnować, trafimy na witrynę płatności, pod innym adresem https://pogodasub.com/5871. Tam czeka już fałszywy panel płatności PayU.

hoć finisz nie różni się od innych, analogicznych oszustw, to ścieżka do niego prowadząca była ostatnio rzadko spotykana, zatem warto ostrzec bliskich i znajomych.

Oszustwa „na Dotpaya / Payu”

Samemu tematowi tego rodzaju oszustw poświęcony jest osobny odcinek naszego kursu wideo Bezpieczeństwo Dla Każdego. Pokazujemy w nim ten i podobne scenariusze i tłumaczymy, jak najprościej odróżnić strony prawdziwe od fałszywych. Uważne zapoznanie się z naszymi lekcjami pozwala nauczyć się rozpoznawać takie ataki i uchronić przed nimi w przyszłości. Przyda się Waszym bliskim i znajomym.

Ktoś podając się za urzędnika Ministerstwa Cyfryzacji dzwoni do Polaków i prosi o pokazanie. . .

Data: 08.05.2020 12:19

Autor: ziemianin

niebezpiecznik.pl

#daneosobowe #MinisterstwoCyfryzacji #wyudzenia #cyberbezpieczenstwo #aktualnosci #codziennaprasowka #informacje #wiadomosci

Wczoraj otrzymaliśmy informacje o niepokojących próbach kontaktu, które dotyczyły kilku osób z różnych części Polski. Jedyne co udało nam się ustalić, że łączy te osoby, to fakt iż były one na kwarantannie. Osoby te relacjonowały, że odebrały telefon od kogoś, kto przedstawiając się za pracownika Ministerstwa Cyfryzacji, Kazimierza “Szmita”, prosił o “uzupełnienie brakujących danych”. Ciężko powiedzieć jak brzmi nazwisko, może to być Szmid, Schmitd, etc., dlatego stosujemy zapis fonetyczny.

Ktoś podając się za urzędnika Ministerstwa Cyfryzacji dzwoni do Polaków i prosi o pokazanie dowodu do kamerki

Pokaż dowód do kamerki

Kazimierz Szmit dzwonił z numerów:

+48 225568403

+48 532519883

+48 532519893

i proponował rozmówcom instalację aplikacji Microsoft Teams i dołączenie do videokonferencji, w ramach której mieli oni pokazać mu dowód osobisty zbliżając go do kamery w swoim urządzeniu. Szmit prosił też o podanie “adresu zamieszkania w Polsce”.

Uspokójmy, że nie chodziło tu o infekcję telefonu rozmówcy. Szmit nie przekazywał złośliwego linka do aplikacji Microsoft Teams, a kazał ją pobrać z oficjalnego sklepu. Odrzucał też prośby o rozmowę na WhatsAppie, tłumacząc “że jest mniej bezpieczny” (głos narratora: nie jest).

Nasi rozmówcy byli zdezorientowani. Zastanawiali się skąd ktoś z Ministerstwa miałby mieć ich numer telefonu. Po rozmowach udało się ustalić, że każda z tych osób miała lub wciąż ma zainstalowaną rządową aplikację Kwarantanna Domowa. Zastanawialiśmy się więc, czy ktoś nie wykorzystał przypadkiem opisywanego przez nas niedawno błędu dotyczącego prywatności w aplikacji Kwarantanna Domowa, który umożliwia sprawdzenie, czy dany numer jest — czy nie jest — osobą na kwarantannie. To tłumaczyłoby pozyskanie numerów osób, które faktycznie są na kwarantannie.

Natychmiast po otrzymaniu wiadomości, wysłaliśmy też zapytanie do Ministerstwa Cyfryzacji z prośbą o komentarz, czy prowadzi tego typu akcję “uzupełniania danych” w tak dziwny sposób i czy Pan Szmit/Szmitd/Schmitd istnieje. Nie otrzymaliśmy odpowiedzi na wszystkie z zadanych pytań, ale krótkie oświadczenie, z którego wynika, że:

Pan Szmit jest prawdziwy. I faktycznie prosi o pokazywanie dowodów do kamery 😳

Nie prowadzimy „akcji uzupełniania danych” użytkowników aplikacji „Kwarantanna domowa”. Numery telefonów, które Państwo wskazaliście są wykorzystywane przez pracowników Ministerstwa Cyfryzacji zajmujących się potwierdzaniem tymczasowych profili zaufanych. Więcej o tej e-usłudze przeczytacie Państwo tutaj – https://www.gov.pl/web/gov/zaloz-profil-zaufany Pracownicy potwierdzający tymczasowe profile zaufane nie mają dostępu do danych użytkowników aplikacji „Kwarantanna domowa”. Z użytkownikami aplikacji „Kwarantanna domowa” mogą kontaktować się jedynie osoby obsługujące infolinię dedykowaną użytkownikom apki.

Ministerstwo nie potwierdziło personaliów wskazywanej przez rozmówców osoby, ale ktoś o tak brzmiących danych w MC pracuje.

Czy to dobry pomysł?

Redakcja Niebezpiecznika stoi na stanowisku, że niezależnie od powodu i tego jak ktokolwiek się przedstawi w rozmowie telefonicznej, nigdy nie powinniście przekazywać mu żadnych danych. Ani adresu, ani PESEL-u, ani tym bardziej nie zgadzać się na prowadzenie wideorozmowy i pokazywanie dokumentów do kamerki.

Pamiętajcie, że jeśli ktoś Was nagra lub zrobi zdjęcie jak machacie dowodem do kamery, to może to potem wykorzystać, wraz z innymi Waszymi danymi, do zaciągnięcia pożyczki na Wasze konto albo otwarcia rachunku bankowego, aby zrobić z Was słupa.

Mamy jednak obecnie w taką sytuację, że być może niektórzy dla własnej wygody zdecydują się na kompromisy. Jeśli zrobią to świadomie — ich prawo i ich ryzyko. Do przetwarzania danych z dowodów są w Polsce uprawnione pewne firmy i instytucje na mocy odpowiednich ustaw. MC jest jedną z nich i w przeciwieństwie do wielu innych dostęp do wyglądu Waszych dokumentów ma.

Proces (komunikacji) weryfikacji do poprawy?

Coś jednak w tym procesie Ministerstwa Cyfryzacji chyba nie zagrało, skoro kiedy ruszyła “weryfikacja nową metodą”, ludzie — słusznie — są zaniepokojeni i zgłaszają ten incydent jako próbę wyłudzenia danych.

Nie wiemy, być może Ministerstwo niezbyt mocno komunikuje obywatelom, jak taka weryfikacja profilu będzie przebiegać. Być może urzędnicy niezbyt jasno tłumaczą o co chodzi. A być może, rozmowy weryfikacyjne są odbywane z dużym opóźnieniem w stosunku do czasu złożenia przez kogoś wniosku (tak, że osoba zapomina, że o coś takiego wnioskowała). Coś tu jednak chyba trzeba lekko skorygować w tym procesie weryfikacji, skoro budzi wśród osób lęk.

Jedna z osób, którą po wyjaśnieniach MC uspokoiliśmy, że dzwonił do niej prawdziwy urzędnik, a nie oszust, odparła, że:

“o taki profil to jeśli wnioskowałem, to mogłem wnioskować bardzo dawno temu, jedyne co mi przychodzi do głowy, to że robiłem to przed wyborami. W ostatnich tygodniach nie przypominam sobie składania takiego wniosku“

Co ciekawe, w ministerialnej instrukcji stoi, że do rozpoczęcia rozmowy z urzędnikiem potrzebny jest kod, będący numerem wniosku. Nasi rozmówcy również nie przypominają sobie, aby Szmit im taki numer podawał.

Spodziewamy się, że nie tylko jeden urzędnik, którego telefony zaniepokoiły naszych Czytelników, odpowiada za taką weryfikację na Polskę. Być może inni, urzędnicy rozmowę prowadzą inaczej lub kontakt nawiązują z osobami proszącymi o profil zaufany w jakiś inny sposób, bardziej zapadający im w pamięć i dlatego rozmowy nie budzą obaw, a my nie mamy zgłoszeń.

Dlatego dajcie znać, jeśli przeszliście taką weryfikację i napiszcie jak ona wyglądała. Oraz z jakiego miejsca (strony, aplikacji) trafiliście na formularz składania wniosku o tymczasowy profil zaufany. Dajcie też znać, jeśli ostatnio ktoś do Was dzwonił, poprosił o pokazanie dowodu do kamery, a Wy tego nie zrobiliście i do teraz uważaliście, że dzwonił do Was oszust.

Władmir Lewin — największy cyberprzestępca XX wieku

Data: 06.05.2020 20:30

Autor: dobrochoczy

dobreprogramy.pl

Dawno, dawno temu niejaki Władimir Lewin stał się głównym sprawcą największej serii cyberataków na znany bank w XX wieku (chodzi tutaj o amerykański Citibank). Od tego czasu wokół Rosjanina krąży tak wiele mitów i półprawd, że ciężko jednoznacznie stwierdzić, w jaki sposób tego się dopuścił. Zresztą to tylko jedna z niewiadomych w powikłanym życiu Lewina. A jak chcecie poznać pozostałe z tych sekretów, to przeczytajcie resztę tego tekstu. Myślę, że nie pożałujecie, gdy dobrniecie do końca. #hacking #cyberbezpieczenstwo #kradziez #banki #ciekawostki #rosja

WhatsApp pozywa do sądu twórców szpiegowskiego Pegasusa

Data: 05.05.2020 21:42

Autor: ziemianin

fudzilla.com

#Pegasus #NSOGroup #WhatsApp #pozew #wlamanie #szpiegostwo #cyberbezpieczenstwo #aktualnosci #codziennaprasowka #informacje #wiadomosci

Firma WhatsApp pozwała do sądu izraelską firmę NSO Group, twórcę oprogramowania szpiegowskiego Pegasus, którą oskarża o przeprowadzenie ataku na swoje serwery i włamanie do telefonów około 1400 użytkowników WhattsAppa, w tym wysokich urzędników rządowych, dziennikarzy i działaczy praw człowieka.

WhatsApp pozywa do sądu twórców szpiegowskiego Pegasusa

Producent WhatsAppa twierdzi, że Izraelczycy ponoszą odpowiedzialność za liczne naruszenia praw człowieka, w tym włamania na telefony dysydentów z Rwandy i dziennikarzy z Indii.

Przez wiele lat NSO Group utrzymywała, że produkowane przez nią oprogramowanie szpiegowskie jest używane przez rządy w walce z terrorystami i kryminalistami. Twierdziła przy tym, że nie wie, w jaki sposób jej klienci, np. rząd Arabii Saudyjskiej, korzysta z Pegasusa.

Tym razem jednak NSO Group mogła posunąć się za daleko. W pozwie sądowym WhatsApp informuje, że prowadzone przez firmę śledztwo wykazało, że to serwery NSO Group, a nie jej klientów, brały udział w ataku na 1400 użytkowników aplikacji WhatsApp. Jak dowiadujemy się z dokumentów, ofiary najpierw odebrały połączenie telefoniczne z aplikacji i w tym momencie zostały zainfekowane szkodliwym kodem. Następnie NSO wykorzystała sieć komputerów do monitorowania i aktualizacji Pegasusa zaimplementowanego na telefonach użytkowników. Te kontrolowane przez NSO serwery stanowiło centralny węzeł, za pomocą którego NSO kontroluje operacje prowadzone przez swoich klientów oraz sposób wykorzystania Pegasusa.

WhatsApp twierdzi, że NSO uzyskała nieautoryzowany dostęp do jej serwerów dokonując inżynierii wstecznej aplikacji i omijając dzięki temu zastosowane w niej zabezpieczenia, które uniemożliwiają manipulowaniem mechanizmem połączeń. Jeden z inżynierów WhatsAppa złożył zaprzysiężone zeznanie, w którym stwierdza, że w 720 przypadkach w szkodliwym kodzie, jakim zainfekowany telefony, zawarty był adres IP serwera, z którym miały się one łączyć. Serwer ten znajduje się w Los Angeles i należy do firmy, której centrum bazodanowe jest używane przez NSO.

NSO utrzymuje, że nie wie, w jaki sposób klienci tej firmy wykorzystują Pegasusa, ani kto jest celem ataków. Jednak John Scott-Railton z Citizen Lab, który pomagał WhatsApp przy tej sprawie mówi, że NSO kontroluje serwery biorące udział w ataku, zatem zna logi oraz adresy IP ofiar ataków.

Zatrzymani Polacy, którzy handlowali loginami i hasłami na ogromną skalę

Data: 05.05.2020 20:13

Autor: ziemianin

zaufanatrzeciastrona.pl

#combo #haslo #Infinity #Black #login #wyciek #darknet #aktualnosci #codziennaprasowka #informacje #wiadomosci #cyberbezpieczenstwo #policja #aresztowanie #przestepczosc

Rzadko się zdarza, by to Polska była miejscem zatrzymań cyberprzestępców działających na globalnej scenie hakerskiej. Okazuje się jednak, że mamy w kraju przedsiębiorczych młodzieńców, handlujących na dużą skalę cudzymi danymi.

Zatrzymani Polacy, którzy handlowali loginami i hasłami na ogromną skalę

Wasze loginy i hasła to popularny towar w internecie. Wiele osób go kupuje, niewiele sprzedaje. Oto historia jednej z grup sprzedających loginy i hasła.

Zatrzymania w kilku województwach

Dzisiaj rano polska policja wydała komunikat, w którym poinformowała o zatrzymaniu przestępców „sprzedających dane w darknecie”. Brzmi ciekawie, prawda? Z komunikatu nie dowiemy się zbyt wiele. Ot, zatrzymano 6 osób, zyski ok. 1,5 mln, przejęto złotówki, euro, kryptowaluty i Hondę Civic. Za co jednak poszły do aresztu?

Dotyczą one [zarzuty – przyp. red.] udziału w zorganizowanej grupie przestępczej zajmującej się bezprawnym pozyskiwaniem i zbywaniem baz danych. Podejrzanym zarzucono także czyny polegające na zbywaniu programów komputerowych umożliwiających nieuprawniony dostęp do zasobów przechowywanych w systemach informatycznych, […]

Przestępcy oferowali do sprzedaży za pośrednictwem serwisu Darknet bazy danych pochodzące z włamań do systemów informatycznych. Darknet – to zbiorcza nazwa określającą różne anonimowe strony internetowe, sklepy, fora dyskusyjne i inne serwisy dostępne w Internecie. W przeciwieństwie do zwykłych stron internetowych nie są one dostępne przez adres www i nie można ich znaleźć w zwykłych wyszukiwarkach. Serwis umożliwiał nabycie baz kradzionych z różnych krajów, nie tylko europejskich. Nabywane dane służyły następnie do kradzieży tożsamości, a także do oszustw. Oferowane do sprzedaży bazy z danymi można było zakupić jedynie za kryptowaluty. 

Serwis Darknet… No cóż, ani nie był to serwis Darknet, ani serwis w darknecie – ale o tym za moment, bo jeszcze musimy ustalić, kto wpadł w ręce organów ścigania.

Do zatrzymania doszło we współpracy z policją szwajcarską oraz Europolem – szukamy zatem kolejnego wpisu i trafiamy na komunikat Europolu. Tu okazuje się, że szwajcarska policja zatrzymała szwajcarską grupę przestępców, wymieniającą wykradzione punkty z programów lojalnościowych na elektronikę. Najwyraźniej jednak konta do swoich przestępstw kupowała od innej grupy – polskiej. Z tego artykułu dowiemy się więcej. Grupa nazywała się Infinity Black i sprzedawała tzw. „combos”, czyli zestawy login/e-mail i hasło.

Tu słowo wyjaśnienia – wasz login i hasło do forum dla wędkarzy ma swoją wartość, niezwiązaną z forum dla wędkarzy. Przestępcy biorą login (e-mail) oraz hasło i sprawdzają, czy działa w innych serwisach. Dropbox, Facebook, LinkedIn, Booking, Uber, Steam i setki, tysiące innych serwisów, gdzie można coś ukraść i sprzedać. Dlatego tak ważne jest posiadanie różnych haseł. I na tym właśnie zarabiała grupa Infinity Black.

Infinity Black

Europol informuje, że grupa miała trzy zespoły – jeden pisał narzędzia do testowania jakości wykradzionych danych (tzw. checkery, czyli skrypty testujące loginy i hasła), drugi te dane sprawdzał, trzeci zaś sprzedawał te sprawdzone. Działalność prowadzona była za pomocą dwóch platform – w ich bazach danych policja znalazła 170 milionów rekordów. To prawdopodobnie oznacza 170 milionów par login-hasło.

Tak się składa, że znaleźliśmy grupę Infinity Black na forum nulled.to. Obecnie konta jej członków są zbanowane, a ogłoszenia skasowane – ale z internetu nic do końca nie ginie. Oto profil jej szefa – Polaka.


Jeżeli zaciekawiło to pozostała treść na stronie źródła:

Polecam poczytać komentarze pod treścią artykułem.

Wyciekły adresy emailowe i hasła WHO, NIH, Wuhan Lab i Fundacji Gatesów

Data: 25.04.2020 13:54

Autor: ziemianin

bibula.com

#aktualnosci #codziennaprasowka #informacje #wiadomosci #koronawirus #coronavirus #cyberworld #haker #who #cyberbezpieczenstwo #hakerzy #4chan

Niemal 25 tysięcy adresów e-mailowych i haseł pojawiło się w internecie, pochodzących, m.in. ze Światowej Organizacji Zdrowia (WHO), Narodowego Instytutu Zdrowia (NIH), Laboratorium Wirusologii w Wuhan oraz Fundacji Billa i Melindy Gates.

Wyciekły adresy e-mailowe i hasła WHO, NIH, Wuhan Lab i Fundacji Gatesów

Aktywiści internetowi skupieni w anonimowej grupie o nazwie 4chan, opublikowali dane kilkunastu organizacji i instytucji zajmujących się pandemią koronawirusa – potwierdziła m.in. organizacja SITE Intelligence Group. Organizacja SITE określana jako “niezależna pozarządowa instytucja tropiąca ekstremistów”, jest powiązana z izraelskim Mossadem i kierowana przez byłych pracowników wywiadu oraz oficerów wojskowych. Rita Katz, dyrektor SITE, w oczywistym dla tej organizacji tonie, zrzuciła winę na wiadome grupy“. – Neo-naziści i biali rasiści (supremacists) wykorzystali okazję, aby opublikować listy…” – powiedziała żydowska działaczka.

Dane zawierają m.in. 9,938 adresów należących do NIH, 6,857 adresów Centra Kontroli i Prewencji Chorób (CDC), 5,120 należących do Banku Światowego, czy 2,738 danych WHO.

Według wypowiedzi specjalisty od IT, Bernardo Mariano ze Światowej Organizacji Zdrowia, dane wyciekły w wyniku wcześniejszych prób hakerskich, prawdopodobnie jeszcze z 2016 roku. Potwierdził on jednak, że około 400 z tych adresów WHO jest aktualnych, jakkolwiek oświadczył, że WHO używając uwierzytelnienia wielopoziomowego (2FA), jest bezpieczne.

Jeśli wierzyć pojawiającym się zrzutom ekranu pokazującym adresy i hasła niektórych osób, uwagę zwracają hasła członków Fundacji Gatesów. Na przykład osoba zarejestrowana w domenie gatesfoundation.org jako margaret (nazwisko zostało wymazane), używała jakże wymownego hasła “lucifur13“.

Niezweryfikowane zdjęcie ekranu pokazuje również chińską aplikację, której tłumaczenie “Splicing HIV” into “coronavirus” rozpaliło spekulacje, jakoby COVID-19 posiada genetycznie modyfikowane proteiny pochodzące z wirusa HIV. Teoria ta została kilka tygodni temu podana przez naukowców hinduskich, którzy jednak szybko wycofali z przestrzeni internetowej swoje pierwsze badania, by potem im zaprzeczyć.

Teorię tę potwierdza jednak m.in. profesor Luc Montagnier, laureat Nagrody Nobla w dziedzinie medycyny w 2008 przyznanej za badania nad wirusem HIV, który mówi, że SARS-CoV-2 jest zmodyfikowanym przez człowieka wirusem, a naukowcy wykorzystywali koronawirusy do opracowania szczepionki przeciw AIDS. Twierdzi on, że w genomie SARS-CoV-2 znaleziono fragmenty DNA HIV. Na pytanie, czy badany koronawirus może pochodzić od pacjenta, który w innym przypadku byłby zakażony wirusem HIV, prof. Montagnier odpowiedział wprost „– Nie. … Aby wstawić sekwencję HIV do tego genomu, potrzebne są narzędzia molekularne, a to można wykonać tylko w laboratorium”.

Izraelscy naukowcy wykradają dane za pomocą... wentylatora w komputerze?

Data: 23.04.2020 11:46

Autor: ziemianin

arxiv.org

#aktualnosci #codziennaprasowka #informacje #wiadomosci #ciekawostki #cyberbezpieczenstwo #komputery #smartfony #hacking

Izraelscy naukowcy wykradają dane za pomocą… wentylatora w komputerze?

Wideo demonstrujący praktyczne wykorzystanie AiR-ViBeR.

Jak przeprowadzić atak hakerski na komputer? Pewnie słyszeliście o złośliwym oprogramowaniu i lukach bezpieczeństwa. Ale co powiecie na atak za pomocą… wentylatora w komputerze?

Nowy sposób ataku zademonstrował Mordechai Guri z Cyber Security Research Center na Uniwersytecie Bena Guriona w Izraelu. AiR-ViBeR pozwala na wykorzystanie zmiennej prędkości obrotowej wentylatora do generowania zmiennego natężenia wibracji, które następnie są odbierane przez specjalnie urządzenie odsłuchowe (np. smartfon) i zamieniane na postać binarną. Brzmi jak SF? Nie, to się dzieje naprawdę!

AiR-ViBeR pozwala na wykradanie poufnych informacji z komputera bez podłączenia do Internetu, ale prędkość przesyłu danych jest tutaj BARDZO ograniczona. Warto również wspomnieć, że możliwość wykorzystania tego typu ataku jest bardzo mała, więc należy go traktować bardziej jako ciekawostkę niż faktyczne zagrożenie dla bezpieczeństwa IT.

Spokojnie, nie musicie demontować wentylatorów w komputerze :).

Kristina Sweczinskaja — była cyberzłodziejka z dużym stężeniem seksapilu

Data: 06.04.2020 20:43

Autor: dobrochoczy

dobreprogramy.pl

Przed Wami historia „najseksowniejszej hakerki świata”, bo tak właśnie blisko dekadę temu światowe media ochrzciły Kristinę Sweczinskaję. Niewątpliwie w tym czasie jej błękitne oczy o hipnotyzującym spojrzeniu i nienaganna figura robiły niesamowite wrażenie. To zaś dawało słowiańskiej piękności sporą szansę na zrobienie kariery aktorskiej lub w modelingu. Jednak ona wbrew swym atrybutom fizycznym spróbowała bardziej hardcorowej metody zarobienia sporych pieniędzy. A wszystkich co chcą wiedzieć, w jak niecny sposób Rosjanka tego się dopuściła, zapraszam do lektury tejże publikacji. #cyberbezpieczenstwo #haker #kradziez #ciekawostki #bezpieczenstwo

Zaufana Trzecia Strona - Co wygrzebaliśmy z kupionych kart pamięci – opowieści ku przestrodze

Data: 13.03.2020 11:37

Autor: ziemianin

zaufanatrzeciastrona.pl

#aktualnosci #codziennaprasowka #informacje #wiadomosci #zaufanatrzeciastrona #cyberbezpieczenstwo #informatyka #dane

Wczoraj dość obszernie opisaliśmy nasz eksperyment, polegający na zakupieniu 40 używanych kart pamięci i analizie ich zawartości. Czas zatem najwyższy, by pokazać, co konkretnie na poszczególnych kartach udało się nam znaleźć.

Zaufana Trzecia Strona – Co wygrzebaliśmy z kupionych kart pamięci – opowieści ku przestrodze

W poprzedniej części omówiliśmy badanie od strony technicznej oraz ogólny obraz wyłaniający się z przeprowadzonej analizy. Wspomnieliśmy też o konsekwencjach tej sytuacji dla rynku konsumenckiego i biznesu prowadzonego w mniejszej skali. Jak również o problemach bazowania na „ustawieniach domyślnych” przez użytkowników pozbawionych dobrodziejstw płynących z posiadania wcale nie najtańszych zespołów zajmujących się bezpieczeństwem.

W tym miejscu musimy dodać, że karty SD to najprawdopodobniej jedynie czubek góry lodowej i można zaryzykować ekstrapolowanie uzyskanego wyniku także na pozostałe nośniki. Sytuacja robi się naprawdę ciekawa, gdy pojawia się silniejszy impuls finansowy, by jednak odzyskać jakąś cześć środków włożonych w zakup. W przypadku samych dysków SSD na najpopularniejszym polskim portalu aukcyjnym znaleźliśmy ponad 1000 ofert w kategoriach „używane” bądź „po zwrocie”. Należy głęboko powątpiewać, że wszystkie z nich zostały poddane właściwej procedurze przed wystawieniem na sprzedaż. Ten sam problem najprawdopodobniej dotyczy także sprzętu poleasingowego. Pozostawia to ogromne pole do działania, jeśli chodzi o zakres upowszechniania wiedzy o zagrożeniach, jak też konstrukcji odpowiednich polityk i doradztwa w przypadku mniejszych podmiotów gospodarczych. To jednak tylko i aż rozważania oparte na statystyce.

. . . pozostała treść na stronie źródła

Haker przejął kamery monitoringu indyjskich scammerów. Do śledztwa włączyło się BBC

Data: 05.03.2020 04:35

Autor: ziemianin

youtube.com

#aktualnosci #codziennaprasowka #informacje #wiadomosci #scammer #oszust #cyberbezpieczenstwo

Prawdziwą plagą stali się oszuści, którzy z hinduskim akcentem podają się za pracowników technicznych Microsoftu lub serwisantów Windows i pod pretekstem sprawdzenia problemów instalują na komputerach ofiar oprogramowanie szyfrujące, które wymaga wpłacenia okupu. Mimo że Microsoft aktywnie zwalcza takie firmy, niczym głowy hydry wyrastają nowe. Scammerzy bywają rozzuchwaleni i bezwzględni, wyciągają pieniądze nawet od dzieci i niepełnosprawnych. To wkurzyło paru hakerów, którzy postanowili atakować ich na własną rękę i podzielić się materiałami z dużą stacją telewizyjną.

Haker przejął kamery monitoringu indyjskich scammerów. Do śledztwa włączyło się BBC

Materiał BBC

Ataki wymierzone w oszustów mogą przybierać różne formy, od marnowania ich czasu poprzez wkręcanie (np. przydzielenie im dostępu do maszyny wirtualnej, w której nie mogą nam zaszkodzić), poprzez zagłuszanie połączeń, kontaktowanie się z ofiarami w celu pomocy, kończąc na włamaniu się do ich systemu, wyłączeniu go i publicznej demaskacji, co czasem prowadzi do konieczności zwinięcia interesu. Takiego włamu do systemu call center dokonał jeden z tropicieli scammerów, przedstawiający się jako Jim Browning. Brytyjczyk pisze:

Kiedy scammer połączył się z moim PC, mogłem odwrócić połączenie i odkryć, że mają CCTV. Zobaczycie najbardziej szczegółowe exposé scamu z pomocą techniczną w historii YouTube'a. Firma nazywała się Faremart.com — to biuro podróży w Delhi, które używa budynków i telefonii VOIP do przeprowadzania różnych oszustw. Są jednym z setek scammerskich call centre'ów w Indiach i jako ta grupa wyciągają z oszustw 3 miliony dolarów rocznie. 

Browning pokazał, jak uzyskał dostęp do obrazu z kamer monitoringu rozmieszczonych w całym budynku, a także do nagrań rozmów i systemu z numerami telefonów. Ustawiając swoje tło pulpitu na jaskrawy kolor, haker mógł zobaczyć na jednej z kamer, kto dokładnie przegląda teraz jego komputer. Pracownik posługiwał się oczywiście fałszywymi danymi, a sama pomoc techniczna działała pod przynajmniej kilkoma różnymi nazwami. Szczegóły znajdują się w opisie filmu. Udało się też ustalić personalia pracowników oraz namierzyć jaskinię scamerów, salę ukrytą na tyłach "legitnego" biurowca. To dopiero pierwsza część tego najdalej chyba posuniętego raw footage odkrywającego kulisy oszustwa. Kolejne części haker zamierza opublikować odpowiednio 9, 16 i 23 marca. Materiałem podzielił się również z Panoramą (programem BBC), która nagrała na ten temat dokument. Dzięki temu wiedza o oszustach weszła dosłownie do mainstreamu.

Śledztwo dotyczące Faremart i włamanie się do jego systemu nie było legalne, ale słuszne, ponieważ pomogło nagłośnić ważną sprawę. Jak podaje BBC, w samej tylko Wielkiej Brytanii miesięcznie odbiera się 21 milionów telefonów od scammerów, a właściciele call centers wyciągają z procederu setki tysięcy dolarów miesięcznie. Z szefem tego konkretnego rozmawiała przez telefon korespondentka BBC. Warto posłuchać. Firmy te są w jakimś stopniu zwalczane przez indyjskie służby, jednak nie można powiedzieć, by były w tych wysiłkach specjalnie gorliwe i skuteczne.

Włamanie na witrynę www Narodowego Banku Polskiego

Data: 27.02.2020 01:08

Autor: ziemianin

zaufanatrzeciastrona.pl

#aktualnosci #codziennaprasowka #informacje #wiadomosci #haker #wlamanie #cyberbezpieczenstwo #nbp

Czy można włamać się na stronę jednego z najważniejszych polskich urzędów i zamieścić tam pozdrowienia dla kolegów? Okazuje się, że dla azjatyckich nastolatków to nic trudnego. Na szczęście nie mieli innych pomysłów…

Włamanie na witrynę www Narodowego Banku Polskiego

Pewien Anonimowy Anonim podesłał nam link do ciekawej informacji. W repozytorium dowodów włamań, znanym ze swojej rzetelności, znaleźć można [ślad po ciekawym włamaniu]()https://www.zone-h.org/mirror/id/33228784?hz=2, do którego doszło przed 21 lutego 2020. Ofiarą ataku była strona Narodowego Banku Polskiego, a włamywacz postanowił zamieścić tam krótki tekst na dowód swoich umiejętności.

W całej tej katastrofie głównym elementem optymizmu jest tożsamość włamywacza czy też ich grupy. Pobieżne przejrzenie osiągnięć autorów kryjących się pod pseudonimem lulzkid wskazuje, że mogą oni pochodzić z Azji i należą do wymierającego gatunku hakerów. Na przejętych witrynach zamieszczają swoje apele do świata lub pozdrowienia dla znajomych, podczas gdy w rzeczywistości mogli narobić sporo bałaganu na polskim rynku finansowym.

. . . reszta tekstu na stronie źródła

Długość ma znaczenie!

Data: 19.02.2020 14:50

Autor: ziemianin

news.softpedia.com

#aktualnosci #codziennaprasowka #informacje #wiadomosci #cyberbezpieczenstwo #komputery #haslo #password #bezpieczenstwo #technologia #fbi #news #softpedia #hasla #menedzerhasel #bezpieczenstwoit

Długość ma znaczenie! Taki wniosek można wysnuć po lekturze artykułu ze wskazówkami FBI dotyczącymi tego, jak stworzyć dobre hasło – takie, z którym cyberprzestępcy nie uporają się tak łatwo.

Długość ma znaczenie!

Choć w społeczeństwie rośnie świadomość zagrożeń, wciąż zdecydowanie za często wybieramy beznadziejne hasła, takie jak „123456”, „qwerty” czy „abc123”. Nie stanowią one większej przeszkody dla cyberprzestępców i jest tak z co najmniej kilku powodów. Ostatnio zwróciło na to uwagę FBI, publikując wskazówki na temat tego, jak stworzyć dobre hasło.

(FBI radzi) jak stworzyć dobre hasło

Czy „h@5Ełk0” to dobre hasło? Jeszcze niedawno eksperci odpowiedzieliby, że tak – w końcu ma co najmniej 7 znaków, małe i duże litery, cyfry oraz znaki specjalne. Dziś jednak wiemy już, że jest ono niewiele lepsze niż proste „hasełko” (a może nawet gorsze, bo trudniejsze do zapamiętania). Podstawowa informacja, którą każdy powinien znać, jest taka, że to długość jest tym, co ma największe znaczenie. Im więcej znaków do odgadnięcia, tym trudniejsze zadanie dla cyberprzestępcy i jego narzędzi.

FBI radzi konkretnie, by stosować hasła o długości co najmniej 15 znaków. Powinny zawierać kilka połączonych ze sobą słów – najlepiej w nieoczywisty sposób, ale łatwy do zapamiętania dla danego użytkownika. Jeśli ma na przykład na ścianie kalendarz z galopującym koniem, to hasło „kalendarzZgalopującymKONIEM” może sprawdzić się bardzo dobrze. A jak jeszcze dodamy jakieś cyfry i znaki specjalne, to już w ogóle będzie idealnie. Nie należy jednak podawać osobistych informacji.

Co jeszcze radzi FBI? Wyłączenie podpowiedzi (mogących ułatwiać zadanie cyberprzestępcom) i prowadzenie częstych audytów w środowisku firmowym. A co z menedżerami haseł? W tej kwestii „federalni” nie wypowiadają się jednoznacznie. Z jednej strony ostrzegają, że gdy cyberprzestępca zdobędzie hasło do sejfu, to pozna wszystkie nasze hasła, z drugiej jednak słusznie zauważają, że takie programy pozwalają skuteczniej chronić konta w różnych serwisach (zachęcając do stosowania różnych haseł).

Warto też wiedzieć, że absolutnie nie ma potrzeby częstego zmieniania haseł (nieważne, czy za „częste” uznamy co 30 dni, co 3 miesiące czy co rok). Eksperci są aktualnie zgodni co do tego, że zmiana jest zalecana dopiero w momencie, gdy istnieje podejrzenie, że ktoś poznał nasze hasło (w przypadku zauważenia czegoś niepokojącego czy też pojawienia się informacji o wycieku).

Podsumowując – dobre hasło to takie, które:

nie zostało przez nas wykorzystane nigdy wcześniej (ani później), 







jest długie (najlepiej nie mniej niż 15 znaków),







zawiera duże i małe litery (cyfry i znaki specjalne też są mile widziane), 







nie zawiera żadnych informacji osobistych (np. imienia, ważnych dat itp.), 







nie jest jednym wyrazem słownikowym (nawet długim), 







nie jest proste do zgadnięcia (nawet dla bliskiej osoby), 







ale jest łatwe do zapamiętania.

Czy wasze hasła spełniają te warunki? Jeśli nie, to zalecam zmianę.

#niebezpiecznik mBank poprosił klientów o . . . wrzucenie zdjęć kart płatniczych na Instagrama

Data: 17.02.2020 12:04

Autor: ziemianin

niebezpiecznik.pl

#niebezpiecznik #aktualnosci #codziennaprasowka #informacje #wiadomosci #cyberbezpieczenstwo #instagram #wtf

Ta dość kuriozalna sytuacja miała miejsce na oficjalnym profilu mBanku na Instagramie. Jak poinformowali nas Czytelnicy, mBank poprosił klientów aby wrzucili “zdjęcie swojej ulubionej karty” na Instagrama:

#niebezpiecznik mBank poprosił klientów o . . . wrzucenie zdjęć kart płatniczych na Instagrama

3 mity cybersecurity | Piotr Konieczny z niebezpiecznik.pl | TEDxKatowice

Data: 15.02.2020 12:13

Autor: ziemianin

youtube.com

#aktualnosci #codziennaprasowka #informacje #wiadomosci #TEDxTalks #cyberbezpieczenstwo #nauka #internet #komputery #smartfony #niebezpiecznik

Umiejętność bezpiecznego poruszania się po internecie na komputerze i smartfonie oraz dbania o swoją prywatność staje się coraz ważniejsza. Niestety, temat jest dość skomplikowany i choć stosunkowo świeży, to już zdążył obrosnąć w mity. Ludzie "zabezpieczają" się ale niestety nie przed tymi zagrożeniami, przed którymi powinni. Zaklejają kamerki w laptopach, choć są narażeni na zupełnie inne ryzyka niż podglądanie. Dlatego wciąż dane, pieniądze i tożsamość internautów są regularnie wykradane. W trakcie prelekcji podpowiem jakie działania nie mają sensu, a na co faktycznie warto zwrócić uwagę tak, aby robiąc jak najmniej, zabezpieczyć jak najwięcej naszego cyfrowego świata. Piotr Konieczny, ekspert ds. bezpieczeństwa, od 14 lat pomaga największym polskim i zagranicznym firmom w zabezpieczaniu ich sieci oraz serwisów internetowych. Absolwent Glasgow Caledonian University. Laureat prestiżowej nagrody Digital Shapers 2018 magazynów Forbes i Business Insider oraz wielokrotny zdobywca nagród za najlepsze prelekcje na największych polskich konferencjach poświęconych bezpieczeństwu IT. Założyciel Niebezpiecznik.pl, firmy doradczej konsultującej projekty informatyczne pod kątem bezpieczeństwa. W ramach Niebezpiecznik.pl Piotr zarządza zespołem wykonującym audyty i testy penetracyjne systemów teleinformatycznych oraz prowadzi szkolenia zarówno dla administratorów i programistów jak i zwykłych pracowników polskich firm, którzy w ramach swoich służbowych obowiązków korzystają z komputerów i internetu. This talk was given at a TEDx event using the TED conference format but independently organized by a local community. Learn more at

3 mity cybersecurity | Piotr Konieczny z niebezpiecznik.pl | TEDxKatowice

Nie czekaj na hakera - sam przetestuj, jak bezpieczna jest twoja sieć

Data: 11.02.2020 13:54

Autor: ziemianin

tiny.pl

#aktualnosci #codziennaprasowka #informacje #wiadomosci #komputery #siecikomputerowe #wifi #cyberbezpieczenstwo #poradnik #komputerswiat

Każdy z nas ma w domu sieć bezprzewodową. Jednak czy jesteśmy pewni, że jest ona bezpieczna? Czy urządzenia, które są do niej podłączone, są odpowiednio zabezpieczone? Na te pytania pomogą nam odpowiedzieć testy penetracyjne.

Nie czekaj na hakera – sam przetestuj, jak bezpieczna jest twoja sieć

poniżej całość, jakby komuś nie pasował portal KomputerŚwiat


Artykuł powstał w ramach akcji Onetu z okazji "Dnia Bezpiecznego Internetu", który jest inicjatywą Komisji Europejskiej i ma na celu zwrócenie uwagi na problemy bezpiecznego dostępu do zasobów internetowych. Korzystając z sieci jesteśmy narażeni na kradzież pieniędzy, danych, na naruszenie wizerunku czy dobrego imienia. W ramach kampanii podpowiadamy, jak uchronić się przed atakami hakerów, zabezpieczyć swoją pocztę elektroniczną, ale przede wszystkim siebie i dzieci przed zagrożeniami, które czyhają w Internecie.

Testy penetracyjne to inaczej sprawdzenie podatności na atak – sieci, urządzeń, aplikacji, właściwie wszystkich elementów infrastruktury sieciowej i sprzętów, które są do niej podłączone, a nawet osób, które z niej korzystają. Głównym celem wykonywania takich testów wcale nie jest włamanie się zdalnie na inną maszynę, ale wyszukanie luk bezpieczeństwa, które mogłyby to umożliwić potencjalnemu atakującemu. Wykryte luki można załatać, tych nieznanych – nie. Jest to bardzo obszerny dział, który obejmuje nawet interakcje międzyludzkie.Testy penetracyjne mogą imitować ataki, jakie mogą wystąpić w naszej sieci domowej.

Możemy podzielić je na dwie główne kategorie – pasywne i aktywne. Te pierwsze polegają na zebraniu informacji, śledzeniu, podsłuchiwaniu, analizie ruchu sieciowego. Prowadzą one do właściwego ataku aktywnego, którego celem jest modyfikacja danych użytkownika, przejęcie kontroli nad jego urządzeniem lub zakłócenie jego pracy.

Uwaga! Przeprowadzając analizę bezpieczeństwa lub wykonując testy penetracyjne w jakiejkolwiek sieci, musimy mieć na to pozwolenie administratora tej sieci. Możemy więc swobodnie testować własną sieć, której jesteśmy właścicielami.

Testy w naszej sieci: krok po kroku

W większości przypadków przeprowadzając testy, musimy myśleć jak osoba, która chciałaby uzyskać dostęp do naszych danych, czyli jak potencjalny atakujący. Warto przeanalizować poszczególne kroki, które są do tego niezbędne, i sprawdzać naszą ochronę na każdym z etapów.

  1. Włamanie się do sieci Wi-Fi z wykorzystaniem narzędzia aircrack-ng.

  2. Skanowanie sieci w poszukiwaniu celów ataku i sprawdzanie, jakie porty są otwarte – narzędzie Nmap.

  3. Jeśli system jest niezabezpieczony lub ma luki w zabezpieczeniach, możliwe, że bez większego trudu uda się uzyskać dostęp, stosując narzędzie Metasploit; jeżeli nie jest to możliwe, atakujący szuka innego punktu zaczepienia.

  4. Podsłuchiwanie sieci, analizowanie całego ruchu w celu wychwycenia haseł dostępu, adresów e-mail i innych wrażliwych danych – narzędzie Wireshark.

  5. Atak drogą mailową za pomocą Metasploit lub innych podobnych narzędzi.

  6. Instalacja backdoora na urządzeniu ofiary w celu utrzymania kontroli nad jego urządzeniem.

Jest to tylko przykładowy przebieg ataku – lub testu penetracyjnego. Jak widać, zaczyna się on od włamania do sieci Wi-Fi.

A zatem jej dobre zabezpieczenie to podstawa. Bez włamania do naszej sieci możliwości skutecznego ataku są dość małe – musielibyśmy sami otworzyć zainfekowany załącznik w e-mailu lub kliknąć na niebezpieczny link w internecie. Zobaczmy więc, jak włamać się do własnej sieci, by poznać jej słabe punkty.

Ataki pasywne

W tej kategorii możemy wyróżnić kilka przykładów ataków:

Social Engineering – jest to sposób na pozyskanie wrażliwych danych przy wykorzystaniu ludzkiej lekkomyślności i braku wiedzy. W tym celu wysyła się fałszywe e-maile, przegląda wyrzuconą dokumentację, podgląda użytkownika przy logowaniu itp.

Skanowanie sieci – ta metoda pozwala na poznanie topologii atakowanej sieci, dzięki temu możemy dowiedzieć się, jakie urządzenia korzystają z danej sieci, jakie porty są otwarte itp.

Sniffing – ten atak pasywny polega na monitorowaniu i rejestrowaniu całego ruchu sieciowego lub jego części w atakowanej sieci. Odpowiednio wykonany może umożliwić odkrycie haseł, loginów, a nawet prywatnych rozmów użytkowników.

Łamanie hasła – dzięki tej metodzie atakujący może, korzystając z metody siłowej (brute-force), złamać zabezpieczenie, wystarczy odpowiednio dużo czasu i mocy obliczeniowej. Łamanie hasła w sposób niezauważalny dla użytkownika jest uważane za atak pasywny. 

Ataki aktywne

Tego typu ataków jest znacznie więcej niż pasywnych. Oto najważniejsze:

Spoofing – ten typ ataku polega na podszywaniu się pod inny autoryzowany w danej sieci komputer. Celem jest oszukanie systemów zabezpieczających. Umożliwia to bezproblemowe uzyskanie dostępu na przykład do sieci, w której aktywne jest filtrowanie MAC.

Hijacking – czyli przechwytywanie sesji, polega na przechwyceniu sesji w protokole TCP. Dzieje się to po tym, jak atakujący zrywa połączenie między serwerem i klientem, aby móc zastąpić klienta i bez konieczności logowania kontynuować komunikację.

Koń trojański – popularnie nazywany trojanem. Jest to program, który może podszywać się lub wchodzić w skład dowolnej aplikacji i po zainstalowaniu przez użytkownika wykonuje w tle różne operacje, które zaprogramował atakujący, na przykład zapisuje hasła lub inne dane.

Ataki typu DoS – jest to typ ataków, które mają na celu uniemożliwienie dostępu do różnych usług zwykłym użytkownikom. Polegają one głównie na spamowaniu połączeń, które mają za zadanie wyczerpać zasoby serwera lub dowolnego urządzenia sieciowego, czego skutkiem będzie przerwa w pracy. 

Kali Linux

W przeprowadzeniu testów w naszej sieci pomoże nam system do zadań specjalnych – Kali Linux. Jest to dystrybucja Linuxa, która ma już wbudowane praktycznie wszystkie aplikacje i pakiety potrzebne do sprawdzenia stanu ochrony sieci bezprzewodowej i nie tylko. Do naszej dyspozycji będziemy mieli blisko 350 różnego rodzaju narzędzi, które zostały podzielone na 14 kategorii. Obraz ISO systemu w wersji Live znajduje się na płycie DVD dołączonej do Komputer Świata Special.

Tworzymy bootowalny pendrive

W celu przetestowania systemu Kali Linux musimy go uruchomić w wirtualnej maszynie lub utworzyć specjalny nośnik, z którego uruchomimy wersję Live. Pomoże nam w tym program Rufus, który znajduje się na płycie DVD.

Uruchamiamy go na naszym komputerze. Podpinamy nośnik USB. Upewniamy się, że u góry okna Rufusa został wybrany odpowiedni nośnik USB. Następnie wskazujemy obraz ISO , który ma być umieszczony na noś­niku. Obraz znajduje się na płycie w folderze Kali Linux, wybieramy go, a następnie klikamy na Start. Uwaga! Pamiętajmy, że ten proces całkowicie usunie dane z pendrive’a. Należy też pamiętać, że jest to wgrywanie wersji Live na nośnik, a nie instalacja systemu. Instalację możemy uruchomić z bootowalnego nośnika z Kali Linux.

Uruchamiamy bootowalny pendrive

Na nośniku powinniśmy mieć już system Kali Linux w wersji Live, dzięki temu możemy uruchomić system, zapoznać się z jego wyglądem i funkcjami, zanim go zainstalujemy na stałe. Po włożeniu nośnika do portu USB musimy zrestartować komputer i przy jego starcie wcisnąć F8 lub F12 – uruchomi się Boot Menu, dzięki czemu będziemy mogli wybrać nośnik USB do startu komputera. Następnie za pomocą strzałek wskazujemy opcję Live i zatwierdzamy wybór klawiszem Enter w celu uruchomienia systemu do testów. Gdybyśmy chcieli zainstalować Kali Linuxa, wybieramy opcję Graphical install.

Jeśli nasza płyta główna nie wspiera Boot Menu, będziemy musieli uruchomić ustawienia BIOS-u – najczęściej przy starcie komputera za pomocą klawisza F1, F2, F10, Delete lub Esc, a następnie ustawić priorytet startu z płyty CD/DVD.

Uwaga! Dokładny poradnik, jak zainstalować Linuxa, znajdziemy w KŚ+. Nie instalujmy systemu Linux na tym samym dysku co system Windows – w trakcie instalacji wszystkie dane z wybranego nośnika zostaną usunięte.

Z jakiej wersji korzystać

Jeśli zamierzamy tylko przetestować system Kali Linux i sprawdzić działanie różnych narzędzi systemu, korzystajmy z wersji Live. Należy jednak pamiętać, że żadne działania wykonywane w takiej wersji systemu nie są zapisywane na stałe i po ponownym uruchomieniu wszystkie ustawienia, aktualizacje, zapisane dane zostaną usunięte. Jeżeli zamierzamy dłużej korzystać z systemu, wskazana jest instalacja, ponieważ na przykład część narzędzi może wymagać aktualizacji do poprawnego działania.

Pierwsze kroki w Kali Linux

  1. Jeśli zdecydowaliśmy się na instalację systemu, w jej trakcie możemy od razu ustalić język systemu oraz login i hasło użytkownika. W przypadku korzystania z wersji Live domyślny login to root,

a hasło to toor.

Podajemy je na ekranie logowania i zatwierdzamy, wciskając klawisz Enter lub klikając na Next i Unlock.

  1. Następnie, aby zmienić język na polski, klikamy w górnym prawym rogu ekranu na strzałkę na pasku zadań, a następnie na symbol Narzędzi.

  2. Teraz po lewej stronie klikamy na Region & Language, a po prawej na Language,

z listy wybieramy język polski i klikamy na Restart w celu zresetowania sesji użytkownika.

Po ponownym zalogowaniu będziemy mogli testować system Kali Linux w języku polskim.

  1. Domyślnie nie możemy umieszczać skrótów do programów na pulpicie, a jedynie foldery – warto o tym pamiętać. Po lewej stronie znajduje się pasek szybkiego dostępu, na którym znajdują się programy z kategorii Ulubione.

Po kliknięciu prawym przyciskiem myszy na ikonę wybranej aplikacji możemy ją usunąć z tej kategorii. Dodawanie ulubionych wygląda bardzo podobnie. Wystarczy prawym przyciskiem myszy kliknąć na ikonę aplikacji i wybrać opcję Dodaj do ulubionych.

  1. Na samym dole paska szybkiego dostępu znajduje się przycisk, który pozwala na wyświetlenie programów zainstalowanych w systemie.

Nie znajdziemy tu jednak wszystkich narzędzi, ponieważ niektóre z nich dostępne są tylko po wpisaniu odpowiedniej komendy w terminalu.

  1. Górny pasek podzielony został na kilka elementów. Możemy traktować go jak pasek zadań w systemie Windows. Po kliknięciu na Programy otworzy się menu z wszystkimi aplikacjami podzielonymi na odpowiednie kategorie.

Po kliknięciu na Miejsca będziemy mogli szybko dostać się do najważniejszych folderów w systemie i dysku.

  1. Po prawej stronie paska znajduje się ikona kamery.

Jest to skrót do programu EasyScreenCast, który pozwala na nagrywanie ekranu pulpitu z możliwością nagrywania wielu ekranów oraz dodatkowo jest możliwość jednoczesnego nagrywania materiału z kamery internetowej.

  1. Klikając w górnym prawym rogu ekranu na strzałkę, otworzymy specjalne menu, dzięki któremu będziemy mogli szybko zapoznać się z informacjami o sieci czy poziomie głośności, a dodatkowo zablokować lub wyłączyć system. Klikając na ikonę narzędzi, otworzymy Ustawienia systemowe.

Pierwsze kroki po instalacji

Po zainstalowaniu systemu pierwsze, co powinniśmy zrobić, to pełna aktualizacja systemu i wszystkich jego pakietów.

  1. Uruchamiamy Terminal.

  2. Wpisujemy komendę sudo apt-get update i zatwierdzamy klawiszem Enter.

  3. Następnie ponownie podajemy komendę sudo apt-get upgrade i zatwierdzamy.

  4. Pojawi się informacja o tym, jakie pakiety zostaną zaktualizowane i ile danych musimy pobrać z internetu. Wystarczy nacisnąć klawisz T, zatwierdzić całą operację klawiszem i poczekać na jej zakończenie.

  5. W trakcie instalacji aktualizacji proces może się zatrzymywać, a my będziemy musieli na przykład potwierdzić licencję lub zgodzić się na instalację, wystarczy wybrać TAK i wcisnąć Enter lub nacisnąć Q. Proces aktualizacji najlepiej powtarzać przynajmniej raz na tydzień.

Armitage: szukamy urządzeń podatnych na ataki

  1. Uruchamiamy terminal, wpisujemy polecenie service postgresql start i zatwierdzamy klawiszem Enter.

  2. Klikamy w górnym lewym rogu na Programy, Exploitations Tools, Armitage.

  3. Następnie łączymy się z lokalną bazą danych, która zostanie automatycznie utworzona – dane powinny wczytać się automatycznie. Klikamy na Connect.

  4. W kolejnym oknie klikamy na Yes, aby uruchomić specjalny serwer RPC usługi metasploit.

Musimy poczekać na zainicjalizowanie bazy i nawiązanie połączenia – może to potrwać nawet około 5 minut.

  1. Po pomyślnym nawiązaniu połączenie pojawi się główne okno programu Armitage, który ułatwia odnajdywanie słabych punktów na urządzeniach w sieci.

  2. Zaczynamy od sprawdzenia topologii sieci, czyli wyszukania urządzeń podłączonych do sieci. Na górnym pasku klikamy na Hosts, Nmap Scan, Quick Scan (OS detect).

Podajemy adres naszej sieci z końcówką /24, aby przeskanować całą sieć. (Aby znaleźć adres, uruchamiamy terminal, wpisujemy i zatwierdzamy komendę ifconfig; szukamy interfejsu sieciowego, którym się łączymy (wlan0 dla połączeń bezprzewodowych) i przy polu inet znajdziemy nasz adres IP;

adres sieci to nasz adres IP z maską /24). Klikamy na OK.

  1. Po zakończeniu skanowania w panelu w prawym górnym rogu pojawią się maszyny, które zostały wykryte, a zamiast pulpitów będą wyświetlone ich logotypy systemów. Dzięki temu łatwo rozpoznamy urządzenia pracujące z Linuxami i Windows.

  2. Na górnym pasku klikamy na Attacks, Find Attacks.

Dzięki temu przy każdej maszynie pojawi się możliwość wybrania ataku.

  1. Znajomość słabości i umiejętność ich wykorzystania wymaga specjalistycznej wiedzy. W wypadku większości osób wystarczy wykonanie testu Hail Mary.

Polega on na uruchomieniu ataku na wszystkie wyszukane urządzenia przy wykorzystaniu wszystkich dostępnych możliwych form ataku. Jeśli w wyniku tego ataku uzyskamy dostęp do jednej z maszyn, jej ikona zmieni kolor na czerwony. W naszym przypadku maszyny testowe były zaktualizowane i nie można było się w ten prosty sposób do nich włamać (co nie znaczy, że jest to niemożliwe).

Łamanie zabezpieczeń Wi-Fi

Do tego celu służy specjalny pakiet aircrack-ng, który składa się z kilku narzędzi mających jasny i określony cel, analiza sieci bezprzewodowych i łamanie ich zabezpieczeń. W internecie znajduje się lista adapterów i kart sieciowych, które są zatwierdzone przez twórców tego programu. Nie będziemy mogli z niego korzystać na typowej karcie w laptopie, ponieważ takie karty nie zapewniają obsługi tak zwanego trybu monitora, który jest niezbędny do wykonania ataku.

A oto w skrócie cała procedura łamania zabezpieczeń w przypadku enkrypcji WPA2:

  1. Uruchamiamy terminal i wpisujemy komendę airmon-ng start wlan0.

Uruchomi to tryb monitora wlan0mon na karcie Wi-Fi i pozwoli na skanowanie w poszukiwaniu sieci.

  1. Następnie wpisujemy airodump-ng wlan0mon – rozpocznie się skanowanie sieci w naszym otoczeniu.

  2. Dzięki temu będziemy mogli dowiedzieć się między innymi, jak zabezpieczone są poszczególne sieci. My oczywiście włamujemy się do naszej sieci, do której znamy hasło.

  3. Wpisujemy komendę airodump-ng --bssid XX:XX:XX:XX:XX -c Y --write Plik1 wlan0mon.

Zamiast X podajemy adres MAC z kolumny BSSID, a zamiast Y numer kanału z kolumny CH, które będą widoczne na ekranie przy punkcie 2.

  1. Teraz musimy przechwycić zakodowane hasło dostępu do sieci. Uda się to wtedy, gdy jakiś użytkownik połączy się z tą siecią lub my wymusimy rozłączenie użytkownika, który za chwilę automatycznie się połączy – będziemy mogli wtedy przechwycić zakodowane hasło.

  2. W nowym oknie terminalu wpisujemy komendę aireplay-ng --deauth 100 -a XX:XX:XX:XX:XX:XX wlan0mon, ponownie w miejsce X podajemy adres MAC routera.

  3. W głównym oknie z punktu 4 w prawym górnym rogu powinien pojawić się napis WPA handshake oraz adres MAC punktu dostępowego.

Możemy zamknąć wszystkie terminale, ponieważ hasło jest już zapisane w pliku Plik1 na naszym komputerze.

  1. Teraz powinniśmy użyć słownika. Słownikiem może być każdy plik TXT (zawierający możliwe hasła: jeden wiersz, jedno hasło). Słowniki możemy tworzyć sami lub wyszu­kać je w internecie. W nowym terminalu wpisujemy komendę aircrack-ng Plik1-01.cap -w [lokalizacja słownika] i zatwierdzamy.

Łamanie hasła taką metodą może być bardzo czasochłonne i nieefektywne, gdyż do ataku wykorzystywany jest słownik. Jeśli hasła nie ma w słowniku, nie zostanie znalezione.

  1. W przypadku specjalnie ustalonego hasła 0123456789 czas łamania był bardzo krótki, ponieważ jest to proste hasło. Zwykły komputer sprawdza około 500 haseł na sekundę.

Cały proces jest znacznie trudniejszy i bardziej skomplikowany, możemy jednak wyciąg­nąć z tego naukę – im dłuższe i bardziej złożone hasło, tym trudniejsze do złamania. Zaleca się stosowanie hasła przynajmniej 16-znakowego, składającego się z małych i dużych liter, cyfr oraz znaków specjalnych. Nasze hasło będzie wtedy praktycznie nie do złamania, dzięki czemu będziemy bezpieczni.

Skanowanie wewnątrz sieci

Korzystając ze skanera Nmap oraz nakładki graficznej Zenmap, możemy szybko przeanalizować naszą sieć i sprawdzić, co jest widoczne dla atakujących oraz czy musimy martwić się otwartymi portami.

  1. Klikamy na Programy, 01-Information Gathering, zenmap.

  2. Uruchomi się program z interfejsem graficznym, który ułatwi nam korzystanie ze skanera Nmap.

  3. W polu Cel wpisujemy adres początkowy naszej sieci, na przykład 192.168.1.1/24. Opcja /24 pozwala na przeskanowanie wszystkich adresów tej podsieci.

  4. W polu Profil wybieramy opcję Ping scan, aby sprawdzić, jakie urządzenia są aktywne w sieci, lub Intense Scan – skan, który trwa bardzo długo, ale pozwala na poznanie wielu szczegółów.

  5. Skanowanie rozpocznie się po kliknięciu na Start i może zająć dłuższy czas (w zależności od opcji).

  6. Po jego zakończeniu możemy dowiedzieć się na przykład, jaki system jest używany na danym komputerze lub urządzeniu i jakie porty są otwarte. Najważniejsza informacja to otwarte porty na danym urządzeniu – warto sprawdzić, czy każdy z podanych portów jest bezpieczny i czy nie jest potencjalnym miejscem ataku, ewentualnie warto wyszukać w internecie informacje o tym, jak zamknąć konkretny port, jeśli stanowi zagrożenie.

Wireshark: sniffing – przechwytujemy hasło

Jest to sniffer, czyli program, który przechwytuje i analizuje pakiety sieciowe przepływające w sieci. Oznacza to, że dzięki niemu będziemy mogli podsłuchiwać innych użytkowników w naszej sieci, a nawet pozyskiwać ich prywatne informacje.

  1. Klikamy w górnym lewym rogu na Programy, Sniffing & Spoofing, Wireshark.

  2. W głównym oknie programu wybieramy interfejs sieciowy, który wykorzystamy do przechwytywania pakietów, w naszym przypadku będzie to bezprzewodowy interfejs wlan0. Klikamy na górnym pasku na symbol płetwy w celu rozpoczęcia nasłuchu.

  3. W tle będziemy mogli zaobserwować mnóstwo pakietów sieciowych, nas jednak interesują pakiety, które mogą zawierać hasło i login użytkownika.

  4. Na innym urządzeniu w sieci wchodzimy na stronę z logowaniem i podajemy dane logowania (musi to być strona korzystająca z protokołu HTTP), na przykład http://www.techpanda.org, i wpisujemy dane: login – testowe@konto.pl, hasło – testowehaslo. Klikamy na Submit.

  5. Wracamy do programu Wireshark i klikamy na górnym pasku na ikonę czerwonego kwadratu w celu zatrzymania nasłuchu. Potem w polu Filtrów wpisujemy http i klikamy na strzałkę.

  6. Szukamy pakietu, który w kolumnie Info będzie miał zapis POST, i na niego klikamy.

  7. Teraz w dolnym oknie rozwijamy listę HTML Form URL. Na samym dole będziemy mieć przechwycone wszystkie pola formularza, który wypełnialiśmy, w tym wypadku adres e-mail oraz hasło, które podawaliśmy.

Metoda ta działa tylko na witrynach, które nie korzystają z szyfrowania. Dlatego tak ważne jest, aby korzystać z VPN lub logować się tylko i wyłącznie na witrynach, które korzystają z szyfrowanego protokołu HTTPS.

Ransomware RobbinHood wykorzystuje do ataku lukę w sterowniku Gigabyte

Data: 10.02.2020 16:05

Autor: ziemianin

borncity.com

#aktualnosci #codziennaprasowka #informacje #wiadomosci #Gigabyte #RobbinHood #malware #ransomware #exploit #sterownik #hakerzy #cyberbezpieczenstwo

Ransomware o nazwie RobbinHood wykorzystywał lukę w oficjalnych sterownikach Gigabyte do infekowania komputerów i przejmowania nad nimi kontroli.

Ransomware RobbinHood wykorzystuje do ataku lukę w sterowniku Gigabyte

Zdaniem firmy Sophon, która zajmuje się cyberbezpieczeństwem, ransomware o nazwie RobbinHood wykorzystuje lukę w oficjalnych sterownikach Gigabyte do infekowania komputerów i przejmowania nad nimi kontroli. Proceder działać ma na systemach Windows 7 lub nowszych i pomimo faktu, że tajwański producent w przeszłości zaprzeczał twierdzeniom o podatności swojego sterownika na ataki, to jednak zdaniem Sophos grupa hakerów wykorzystuje tego exploita. Gigabyte niewątpliwie ponosi przynajmniej częściową odpowiedzialność za pierwotne zbywanie doniesień o luce w 2018 roku, kiedy to specjaliści ds. bezpieczeństwa informowali o zagrożeniu. Koniec końców, presja opinii publicznej sprawiła, że producent potwierdził istnienie luki, ale zamiast ją załatać w starszych płytach głównych, firma zdecydowała się zakończyć wsparcie dla tego sterownika. Teraz użytkownicy zaś płacą tego cenę, gdyż Gigabyte umożliwił hakerom wykorzystanie tego drivera do przeprowadzenia ataków.

Zdaniem Sophos, odpowiedzialna jest także firma Verisign, która zajmuje się przyznawaniem certyfikatów bezpieczeństwa. Dwa lata po tym jak Gigabyte zaprzestał wsparcia dla felernego sterownika, wciąż oznaczony jest on w systemach Windows i wielu programach antywirusowych jako „zaufany”, a to właśnie za sprawą certyfikatu Verisign. Atakujący mogą więc skorzystać z drivera do modyfikacji kernela Windows i wyłączenia programów antywirusowych oraz innych zabezpieczeń przed złośliwym oprogramowaniem, przejmując tym samym kontrolę nad naszą maszyną. Sophos podkreśla także unikalny charakter programu ransomware wykorzystywanego w tym przypadku. Firma twierdzi, że dotychczas nie spotkała się z tego typu oprogramowaniem wykorzystującym zaufany sterownik do przeprowadzenia ataku, mającego na celu uśmiercenie antywirusów.

Większość aplikacji bezpieczeństwa posiada swoistą listę "zaufanych programów” dopuszczanych domyślnie przy wszystkich instalacjach. Jest to kompromis, dzięki któremu unikają one zbyt dużej liczby programów blokowanych przypadkiem przez użytkowników. Niemniej jednak, twórcy złośliwego użytkowania coraz częściej wykorzystują te listy do swoich celów. Jeśli zaś uda im się przekonać antywirusa, że ich malware jest jednym z programów z listy, mogą później praktycznie dowolnie wykorzystać nasz sprzęt. Jak zaś pokazuje przypadek RobbinHood, nawet jeśli nasz OS jest w pełni zaktualizowany i załatany, hakerzy wciąż mogą znaleźć luki na naszym komputerze, które następnie wykorzystują do swoich celów. Tym samym, Sophos podkreśla jak istotne jest poleganie nie tylko na jednym programie antywirusowym czy przestrzeganie pewnych praktyk, takich jak korzystanie domyślnie z konta z ograniczonym dostępem, robienie regularnych kopii bezpieczeństwa czy ustawianie dwustopniowej weryfikacji.

Wpadka Google: Twoje prywatne filmy mogły trafić na konta innych użytkowników

Data: 05.02.2020 19:56

Autor: ziemianin

niebezpiecznik.pl

#aktualnosci #codziennaprasowka #informacje #wiadomosci #ArchiwumX #daneosobowe #Google #wyciek #cyberbezpieczenstwo

Google właśnie poinformowało niektórych swoich użytkowników, że mogło niechcący ujawnić innym ich prywatne nagrania przechowywane w usłudze Google Photos. I choć każdy powinien zdawać sobie sprawę z tego, że to co trzyma w chmurze może w każdej chwili zostać upublicznione (nie tylko przez atak hakerów, ale też przez błąd oprogramowania), to takie sytuacje mimo wszystko zawsze mało komfortowe…

Wpadka Google: Twoje prywatne filmy mogły trafić na konta innych użytkowników

To nie mój filmik!

Na przestrzeni ostatnich miesięcy dwóch naszych Czytelników zgłaszało nam, że w ramach danych zgromadzonych na ich kontach Google Photos pojawiły się im filmy, których nie rozpoznają. Filmy nienależące do nich. Choć mieliśmy kilka hipotez, z wielu powodów nie byliśmy tego w stanie tego incydentu wyjaśnić, ani zweryfikować w pełni. Zgłoszenia te, jak wiele innych, odłożyliśmy do naszej szuflady “Archiwum X“. A dziś je wyciągamy, bo najświeższy komunikat Google może być wyjaśnieniem tych przypadków. I niestety potwierdzeniem obaw naszych Czytelników, którzy widząc nie swoje filmy na swoim koncie, zastanawiali się, czy przypadkiem ich filmy nie pojawiły się na kontach kogoś innego… Wyglada na to, że mogły. Oto oświadczenie, jakie Google wystosowało do osób, których “dotknął ten błąd”

Pal licho filmy, Google pomieszało całe skrzynki pocztowe!

Ten incydent, to dobry moment, aby przypomnieć sprawę, jaką ok. 4 lata temu zgłosił nam jeden z Czytelników, którego firma korzysta z Google Suite (usługi chmurowej dla firm). Na skutek nieszczęśliwego splotu wypadków, firma straciła dane z konta jednego z pracowników i skorzystała z opcji przywrócenia ich z kopii bezpieczeństwa. Dane zostały przywrócone, ale nie dotyczyły tego pracownika, a kogoś zupełnie innego, z innej firmy…

Niestety, z tamtym Czytelnikiem straciliśmy kontakt na skutek (nomen omen) naszej automatycznej polityki kasowania e-maili od Czytelników :-) Ale jeśli nas teraz czyta, niech się odezwie na google@niebezpiecznik.pl — z chęcią się dowiemy jak dalej potoczyła się ta sprawa. A jeśli czyta nas inna firma, której kilka lat temu Google wysłało (jeśli wysłało) informację, że ich dane przez przypadek przekazali innej firmie, to też niech do nas napisze :)

O ransomware w polskich gminach, czyli historie z happy endem i bez

Data: 27.01.2020 17:48

Autor: ziemianin

zaufanatrzeciastrona.pl

#aktualnosci #codziennaprasowka #informacje #wiadomosci #malware #ransomware #zlosliweoprogramowanie #cyberbezpieczenstwo #komputery

Co szyfruje komputery w polskich gminach i firmach? Dlaczego z reguły danych nie można odzyskać, czasem jednak można i dlaczego jest to takie trudne? Na te pytania odpowie dzisiaj przedstawiciel zespołu CERT Polska.

O ransomware w polskich gminach, czyli historie z happy endem i bez

Ransomware nie trzeba większości Czytelników przedstawiać. Oprogramowanie to szyfruje dane i wymusza okup – opłatę za odszyfrowanie. Z roku na rok coraz więcej osób zdaje sobie sprawę z zagrożenia i z konieczności obrony. Mimo tego sytuacja się nie poprawia. Coraz więcej osób pada ofiarą ataku. Sytuacja jest szczególnie dramatyczna w małych firmach lub organizacjach, które nie mają środków na zapewnienie bezpieczeństwa IT na odpowiednim poziomie.

Jako CERT Polska często się z tym spotykamy – np. w przypadku gmin, szpitali, szkół itp. W miarę możliwości staramy się takim organizacjom pomagać, ale zazwyczaj jedyne, co można zrobić, to przywrócenie backupu. Gorzej, jeśli go nie ma… albo został zaszyfrowany razem z danymi. W tym artykule skupimy się na tym, dlaczego danych nie można odzyskać, czemu czasami się da oraz w jaki sposób przygotować się na atak ransomware.

Założenia działania ransomware

Przede wszystkim należy podkreślić jedną rzecz: poprawne użycie kryptografii gwarantuje, że zaszyfrowane dane nie będą mogły zostać odszyfrowane bez klucza deszyfrującego, znajdującego się w posiadaniu przestępców. Stosowane algorytmy są w tym momencie w 100% bezpieczne i bez względu na przypadek użycia (czy to bezpieczne połączenia z serwerem, czy szyfrowanie dysków ofiar) są odporne na wszelkie próby złamania.

Zazwyczaj nawet posiadając wszelkie materiały w postaci oryginalnej próbki złośliwego oprogramowania, wykonanej analizy powłamaniowej oraz z błogosławieństwem Shamira nie będziemy w stanie odzyskać zaszyfrowanych plików.

Detale techniczne

Ransomware regularnie chwali się, że używa różnych “wojskowych” (military grade) algorytmów szyfrowania – najczęściej są to AES i RSA. Można się zastanawiać, czemu jeden nie wystarczy?

Odpowiedzią jest natura ich działania. AES (Advanced Encryption Standard) jest przykładem algorytmu szyfrującego symetrycznie. W skrócie, oznacza to, że szyfrowanie i deszyfrowanie danych odbywa się za pomocą tego samego klucza. Jeśli więc przestępca chce szyfrować pliki tylko za pomocą AES, to musi wysłać wygenerowane klucze na swój serwer, aby móc potem żądać za nie okupu. To problematyczne dla przestępcy, bo musi utrzymywać infrastrukturę, za którą trzeba płacić i która może być w każdym momencie zdjęta albo przejęta. Dodatkowo infekcja nie uda się w przypadku problemów sieciowych.

Z pomocą przychodzi RSA. W przeciwieństwie do AES jest to szyfr asymetryczny. Do szyfrowania i deszyfrowania wykorzystywane są dwa matematycznie powiązane klucze – publiczny i prywatny. Jak sama nazwa wskazuje, jeden z nich jest publicznie znany, a drugi zna tylko właściciel. Dzięki matematycznym czarom właściwościom za pomocą klucza publicznego możemy dowolnie szyfrować dane, ale deszyfrować możemy je tylko za pomocą klucza prywatnego

Tak naprawdę w przypadku RSA to, który klucz nazywamy publicznym, a który prywatnym, to trochę kwestia umowna. Można też np. szyfrować dane kluczem prywatnym, a deszyfrować kluczem publicznym. Ma to nawet zastosowania praktyczne, np. w przypadku podpisów kryptograficznych.

Dlaczego w takim razie używać dwóch algorytmów zamiast samego RSA? Odpowiedź jest prosta – kryptografia asymetryczna jest bardzo kosztowna obliczeniowo. Zaszyfrowanie całego dysku tym algorytmem zajęłoby dziesiątki godzin. Popularnym sposobem jest zatem szyfrowanie właściwych danych za pomocą AES z wygenerowanym losowo kluczem, a następnie zaszyfrowanie tego klucza za pomocą publicznego klucza RSA. Działa tak większość programów szyfrujących większe ilości danych, w tym na przykład GPG.

Case study 1: Szczęście sprzyja lepszym szczęśliwym

Z drugiej strony, poprawne użycie algorytmów kryptograficznych przez programistę nie jest takie proste, jak się wydaje. AES i RSA to tylko niskopoziomowe bloki, które trzeba umieć odpowiednio połączyć, aby stworzyć kompletny program. Na szczęście (dla nas) twórcy ransomware to też ludzie i zdarza im się pomylić. Dzięki temu czasami udaje się stworzyć narzędzie deszyfrujące pliki bez płacenia (tzw. dekryptor). Pokaźną kolekcją takich dekryptorów zarządza organizacja NoMoreRansom.

Kilka tygodni temu trafił nam się właśnie taki przypadek. Otrzymaliśmy z gminy Kościerzyna próbkę złośliwego oprogramowania i komplet zaszyfrowanych plików. W toku analizy okazało się, że ta próbka należy do mało znanej odmiany ransomware (rodzina Mapo). Był to pierwszy dobry znak – im starsza i bardziej popularna rodzina, tym większa szansa, że patrzyła na nią wcześniej już rzesza analityków i nasza kolejna analiza nic nie da. I odwrotnie – nowe i mało znane rodziny są wdzięcznym tematem do analizy i dają nadzieję na odzyskanie plików.

Tak też było w tym przypadku – udało się napisać dekryptor i odszyfrować gminę (a także parę innych prywatnych podmiotów, które się do nas zgłosiły – to niekoniecznie standard na świecie, ponieważ CERT-y poziomu krajowego często nie przyjmują zgłoszeń od prywatnych podmiotów). Trzeba jednak zaznaczyć, że to wyjątek, a nie reguła i zazwyczaj nie można liczyć na to, że komuś uda się napisać dekryptor.

Case study 2: Kiedy wyszło jak zwykle

Trochę inna sytuacja miała miejsce parę tygodni później (tym razem nie możemy niestety podać nazwy gminy). Był to ciekawy przypadek. Rodzina złośliwego oprogramowania, która zaszyfrowała zasoby, była już badaczom dobrze znana. Konkretna próbka użyta w ataku miała jednak dosyć dziwny sposób generowania klucza. Zamiast skorzystać z losowych danych dostarczanych przez system, autor postanowił opracować własny sposób generowania losowych kluczy do szyfrowania plików. Generowanie klucza zależało od stanu kilku różnych zegarów systemowych. Z pomocą dobrze przeprowadzonej analizy powłamaniowej istniałaby możliwość odzyskania kluczy do szyfrowania plików… Niestety podczas obsługi incydentu po stronie gminy wykonano kilka pochopnych działań. Najgorszym z nich było zrestartowanie komputera, przez co:

stracony został dokładny stan zegarów systemowych (które mogłyby pomóc w odzyskaniu klucza),

klucze szyfrujące, które ciągle mogły być w pamięci procesu, zostały wymazane,

ransomware zadbało o ponowne uruchomienie się przy restarcie systemu i zaczęło szyfrować kolejne pliki za pomocą nowo wygenerowanych kluczy.

Co zrobić lepiej

Oczywiście, jak w przypadku większości zagrożeń, najlepszą metodą jest atak profilaktyka. O wiele lepiej jest w ogóle nie doprowadzić do zaszyfrowania naszych dysków, niż liczyć na szczęście i szukać dziur w algorytmie szyfrowania.

Jak ustrzec się przed ransomware:

Stale edukuj swoich użytkowników. Nawet najlepsze techniczne zabezpieczenia nie pomogą, jeśli Twoi użytkownicy nie będą przestrzegać podstawowych zasad bezpieczeństwa.

Wykonuj regularnie kopię zapasową istotnych danych. Zadbaj o to, by co najmniej jedna kopia zapasowa była przechowywana na odizolowanym systemie, niedostępnym z maszyn, których kopie przechowuje.

Zadbaj o odpowiednią architekturę sieci. Wyodrębnij odpowiednie segmenty, zwróć szczególną uwagę na to, jakie usługi dostępne są pomiędzy poszczególnymi maszynami oraz z internetu.

Na bieżąco aktualizuj system operacyjny oraz oprogramowanie.

Używaj aktualnego oprogramowania antywirusowego na serwerze poczty oraz stacjach roboczych.

Ratunku, zaszyfrowałem się

Zdarza się nawet najlepszym. Co zrobić, żeby zwiększyć szanse na odzyskanie danych?

W przypadku ataku ransomware:

Jak najszybciej odizoluj zarażone maszyny od reszty sieci – odłącz je od wszelkich połączeń sieciowych (przewodowych i bezprzewodowych) oraz urządzeń do przechowywania plików (dyski przenośne i podobne).

W celu zmaksymalizowania szans odzyskania danych nie wyłączaj komputera. Hibernacja systemu to też dobra (i ekologiczna) opcja.

Zrób zdjęcie ekranu z komunikatem wyświetlanym przez ransomware. Upewnij się, że wszystkie informacje są na zdjęciu czytelne. Przegraj plik z notatką okupu (ransom note) i przykładowe zaszyfrowane pliki na czysty przenośny nośnik danych (np. pendrive) – będą jeszcze potrzebne. Jeśli jesteś biegły w obsłudze komputera, spróbuj też znaleźć próbkę złośliwego oprogramowania na dysku (wskazówka: ransomware bardzo często dopisuje się do autostartu).

Odwiedź stronę nomoreransom.org, gdzie znajdziesz narzędzie pozwalające określić, do jakiej rodziny należy dany ransomware, a także dowiesz się, czy są znane metody odszyfrowania danych bez płacenia okupu. Prawdopodobnie przyda się tutaj ransom note albo zaszyfrowany plik.

Jeżeli NoMoreRansom ma odpowiedni dekryptor, postępuj ściśle według instrukcji dla danego narzędzia. Jeśli się uda, gratulacje: trafiłeś na ten ułamek ransomware, który dało się zdeszyfrować. Jeśli nie, czytaj dalej.

Rozważ zgłoszenie incydentu do CERT Polska – najlepiej zaraz po wykryciu zdarzenia. W tym celu skorzystaj z https://incydent.cert.pl. W zgłoszeniu przekaż informacje o podjętych do tej pory krokach oraz inne informacje, o które zostaniesz poproszony w formularzu, według najlepszej wiedzy na moment zgłoszenia.

Jeśli dysponujesz kopią zapasową, sformatuj dysk, zainstaluj system od nowa i przywróć dane z backupu.

Jeśli nie dysponujesz kopią zapasową i zgłosiłeś incydent do CERT Polska albo innego zespołu bezpieczeństwa, poczekaj na wynik analizy. Nie ma co robić sobie za dużych nadziei, w >95% przypadków ofierze nie da się pomóc. UWAGA: Większość „firm od odzyskiwania danych” to oszustwo. Danych zazwyczaj nie da się odzyskać bez płacenia, więc takie firmy działają tylko jako pośrednicy między przestępcami a ofiarami (negocjują zniżkę, a później biorą swoją prowizję). Nie warto się na to nabierać – jak już dawać się okraść, to tylko raz na infekcję ;)

Po usunięciu skutków ataku spróbuj ustalić, w jaki sposób do niego doszło oraz podejmij działania zapobiegawcze, by uniemożliwić powtórzenie się sytuacji (edukacja użytkowników, zabezpieczenia fizyczne, aktualizacja oprogramowania).

Armia USA każe żołnierzom zostawić smartfony w domu. I ma rację

Data: 21.01.2020 19:29

Autor: ziemianin

niebezpiecznik.pl

#aktualnosci #codziennaprasowka #informacje #wiadomosci #cyberbezpieczenstwo #armia #wojsko #telefony #smartfony

W związku z napięciami pomiędzy USA a Iranem, Stany Zjednoczone w trybie nagłym wysyłają dodatkowych żołnierzy do baz w Iraku. I każą tym żołnierzom zostawić w domu całą swoją elektronikę — od smartfonów przez laptopy do tabletów aż po inteligentne zegarki.

Armia USA każe żołnierzom zostawić smartfony w domu. I ma rację

Żadnej prywatnej elektroniki

Decyzja podyktowana jest troską o dobro żołnierzy i ich sojuszników. Przełożeni boją się, że prywatne urządzenia narażą armię na straty — nie tylko bezpośrednie (np. poprzez zdradzenie lokalizacji na skutek zapostowania przez żołnierza zdjęcia z metadanymi w internecie), ale także pośrednie — w wyniku operacji PsyOp.

Żołnierze, jak większość młodych osób, aktywnie korzystają z mediów społecznościowych. Niestety, często dzielą się w nich zbyt wieloma informacjami, które choć są z pozoru nieistotne, to po analizie przez “wroga” mogą zdradzić nie tylko nastroje panujące w obozie przeciwnika, ale i szczegóły jego uzbrojenia czy przyszłe plany.

Podczas ataku Rosji na Ukrainę, na Instagramie mogliśmy obserwować ruchy “zielonych ludzików” i rodzaj ich uzbrojenia bezpośrednio na Instagramie.

Amerykanie z kolei zdradzili lokalizację swoich baz, ponieważ ich żołnierze biegali dookoła nich z zegarkami markującymi lokalizację w celu wyliczenia osiągnięć sportowych.

Co żołnierze robią wieczorami w internecie?

Kolejnym ryzykiem jest możliwość werbowania żołnierzy na agentów i informatorów (mniej lub bardziej świadomych). Swobodna rozmowa z żołnierzami może też mieć zgoła inne konsekwencje — od lat znany jest problem uwodzenia żołnierzy.

Proceder może skończyć się wysłaniem przez wojaka swoich odważnych zdjęć do — jak mu się wydaje — zainteresowanej nim kobiety. Problem w tym, że po pewnym czasie na koncie kobiety ujawnić może się mężczyzna, grający rolę ojca, który poinformuje żołnierza, że przez tygodnie gorszył nieletnią co jest przestępstwem. Za zachowanie “kompromitujących treści” w tajemnicy ojciec zażąda opłaty — lub informacji. W przeszłości tego typu szantaże zakończyły się nawet samobójstwami oszukanych żołnierzy.

Ale poza samobójstwami zdarzają się też standardowe zabójstwa. W ciągu ostatnich lat wielu izraelskich żołnierzy straciło życie, bo umówili się na randkę (przez internet) z “lokalną” kobietą, którą okazał się być agent Hamasu. Ci, którzy mieli więcej szczęścia złapali tylko wirusa na swoim urządzeniu, nakłonieni do zainstalowania “specjalnej aplikacji do randkowania“.

Na marginesie — dane ze swojego urządzenia (w tym zapisaną przez jego smartfona historię lokalizacji) żołnierz może też stracić bez infekcji złośliwym oprogramowaniem. Wystarczy, że po prostu zgubi swój telefon lub ktoś mu go ukradnie, a następnie telefon zostanie poddany analizie. To ryzyko istnieje także podczas przekraczania granicy, na której straż graniczna może zażądać dostępu do urządzenia i przeprowadzi jego “obrazowanie”.

Można prościej

Dużą skuteczność mają też klasycznie ataki internetowe na żołnierzy. Po odkryciu, że John stacjonuje w bazie, która interesuje jego przeciwników, namierzane są konta Johna w internecie, a następnie przeprowadza się na nie ataki zgadywania hasła (jeśli rekordy na temat Johna występują w wyciekach danych) lub w kierunku Johna leci klasyczny phishing. Wszystko po to, aby poczytać, co John na temat służby mógł napisać swoim bliskim w e-mailach albo na Messengerze.

Co na to żołnierze?

Możemy założyć, że większość z nich — co dziś naturalne — jest uzależniona od mediów społecznościowych i ciężko będzie im rozstać się z urządzeniem z którym jako cywile spędzają większość swojego wolnego czasu. Po zostawieniu lub konfiskacie swojego smartfona, żołnierze nierzadko wydają pieniądze w lokalnym sklepie na “tymczasowy” telefon. To niezbyt dobry pomysł, bo okazuje się, że niektóre z telefonów sprzedawanych w okolicach baz wojskowych mają preinstalowane złośliwe oprogramowanie.

Spora odpowiedzialność ciąży więc na kontrwywiadowczym zabezpieczeniu danej misji i bazy. Na szczęście “nieautoryzowane urządzenia elektroniczne” będące w posiadaniu żołnierzy można wykrywać (nie tylko IMSI Catcherami), więc oficerowie służb stacjonujący w bazie mają szansę namierzyć tych wojaków, którzy do bana na elektronikę nie podchodzą zbyt poważnie.

Wygląda na to, że na wojnę bezpieczniej będzie ruszyć bez smartfona a z wysłużoną gazetą i na kilka miesięcy zastąpić grę w angry birds klasycznymi szachami…

Jak zabezpieczyć router – bezpieczeństwo sieci domowej? (podcast audio)

Data: 19.01.2020 19:42

Autor: ziemianin

youtube.com

#aktualnosci #codziennaprasowka #informacje #wiadomosci #cyberbezpieczenstwo #komputery #router #siecikomputerowe

Domowy router stanowi swoistą pierwszą linię obrony przed atakującymi.

Jak się przed nimi obronić? Na jakie zagrożenia jesteśmy narażeni? Co warto sprawdzić?

Jak zabezpieczyć router – bezpieczeństwo sieci domowej? (podcast audio)

Materiał w formie tekstowej: Jak zabezpieczyć router – bezpieczeństwo sieci domowej?

Spis treści

Wprowadzenie

Serwer DHCP

Dane DNS

DNS hijacking

Atak DDOS

Dyski i drukarki

Udostępnianie plików

WPA2

Sieć lokalna

Lokalizacja WIFI

WPS

UPNP

Port forwarding

Aktualizacje

Błędy bezpieczeństwa

Lista komputerów

Wprowadzenie

Jeżeli słuchasz tego podcastu to znaczy, że posiadasz dostęp do Internetu. Jest więc spora szansa, że w zaciszu Twojego mieszkania znajduje się router, który dostarcza Internet do komputera, telefonu i tabletu. Urządzenia te zazwyczaj są schowane za meblami i przypominamy sobie o nich raz na jakiś czas, gdy potrzeba chwili nakazuje nam ich restart. Ale ich zadanie jest o wiele większe niż tylko rozdzielanie pakietów do odpowiednich miejsc. Możesz sobie z tego nie zdawać sprawy, ale router stanowi swoistą pierwszą linię obrony przed atakującymi, którzy czyhają na nasze wirtualne zasoby.

Cześć. Ja jestem Kacper Szurek i w dzisiejszym odcinku podcastu Szurkogadanie opowiem o bezpieczeństwie domowych routerów. Co może nam grozić, jeżeli przestępca przejmie nad nimi kontrolę? Jakie opcje może wykorzystać przeciwko nam, a także jak możemy się przed tym obronić? Jeżeli materiały tego rodzaju Ci się podobają zapraszam do dołączenia do grupy od 0 do pentestera na Facebooku.

Podcast ten można również znaleźć na Spotify oraz Google i Apple Podcasts oraz Anchor.

Serwer DHCP

Zacznę od wyjaśnienia, jak atakujący może wykorzystać nasz domowy router przeciwko nam. Domowy router nie służy tylko do rozdzielenia Internetu przychodzącego z jednego kabla naszego dostarczyciela usług na wiele komputerów. Posiada wiele innych, wbudowanych funkcji. Jedną z nich jest serwer DHCP. Ten to serwer automatycznie przydziela nam adres IP, którym będzie się posługiwał nasz komputer. Wykorzystując analogię – każdy komputer podłączony do sieci, aby mógł z niej korzystać, musi mieć swój adres IP. Tak jak każde mieszkanie musi mieć swój numer – aby listonosz wiedział, gdzie dostarczyć listy. Po włączeniu komputera, router zazwyczaj przesyła nam pakiet z adresem IP, którego powinniśmy używać.

Dane DNS

Oprócz tego, przekazuje tam również adres serwera DNS. Ludzie są bowiem słabi w zapamiętywaniu liczb – a adres IP to właśnie taki ciąg. Zamiast tego wolimy wykorzystywać nazwy, które coś dla nas znaczą. Jeżeli bowiem chciałbyś odwiedzić moją stronę, prościej jest mi powiedzieć abyś wpisał w przeglądarkę ciąg „szurek.pl”. Wtedy to Twoja przeglądarka i system operacyjny komunikują się z serwerem DNS, pytając jaki adres IP ma serwer „szurek.pl”. Serwer DNS zwraca odpowiedni wynik i dopiero wtedy można połączyć się z odpowiednim komputerem w sieci. Tak działa to normalnie. Ale jeżeli atakujący posiada dostęp do routera – może przeprowadzić atak DNS hijacking.

DNS hijacking

Wtedy nasz komputer otrzyma błędny adres serwera DNS, który jest kontrolowany przez przestępcę. Niesie to za sobą różnorakie konsekwencje. Po pierwsze – osoba po drugiej stronie będzie wiedziała, jakie adresy stron odwiedzamy. Zapytanie o każdy taki adres bowiem trafia do serwera DNS. Po drugie – jeżeli tylko będzie miała na to ochotę – będzie mogła zwrócić nam błędny adres IP serwera, o którego adres prosimy. Czyli zamiast łączyć się z serwerem naszego banku, możemy połączyć się z komputerem atakującego.

Ale atak może się odbywać na innej płaszczyźnie. Przez router przepływa bowiem cały ruch internetowy. Złośliwy aktor może dla przykładu modyfikować treść dowolnej strony, którą przeglądamy – doklejając do niej nowy kawałek kodu. Ten to może wykonywać najróżniejsze czynności. Logować wciśnięte klawisze, kopać kryptowaluty, czy też modyfikować podawane w formularzach dane. Wszystko zależy od inwencji twórcy. Jeżeli ściągamy jakiś plik z serwisu, automatycznie w locie może podmienić jego zawartość na inną, wygenerowaną przez niego. To może prowadzić do dalszej infekcji nie tylko naszego routera, ale także systemu operacyjnego na komputerze. Wszak ściągnęliśmy plik ze strony, której ufamy i nie spodziewaliśmy się, że mogła ona zawierać jakieś złośliwe elementy.

Te ataki są niwelowane przez protokół HTTPS i szyfrowanie połączenia. O ile bowiem atakujący może podmienić adres IP, to nie może stworzyć odpowiedniego certyfikatu. Więcej o tym temacie opowiadam w innym podcaście na temat protokołu HTTPS. Tylko, to zabezpieczenie działa jedynie w przypadku protokołu HTTPS. Musimy więc być tego świadomi.

Atak DDOS

Ale atak może zaszkodzić nie tylko nam. Na świecie istnieją bowiem miliony routerów. Znajdując błąd w jednym z nich – atakujący może zaatakować wszystkie z danej serii, a następnie wykorzystać do niecnych celów. Jednym z takich celów jest atak DDoS – kiedy to wiele różnych routerów wykonuje zmasowany atak na jedną stronę internetową. Cel jest jeden – doprowadzić do tymczasowej awarii strony, tak aby nie mogli z niej korzystać inni użytkownicy. Nie brzmi to jakoś złowrogo, ale zastanówmy się nad potencjalnymi konsekwencjami. Przed nami czarny piątek – jeden z lepszych okresów dla wszystkich sklepów internetowych, gdzie sprzedaż produktów trwa w najlepsze. Kilkuminutowy atak podczas takiego dnia to już realne straty dla sklepów, liczone w setkach złotych. Ale to nie wszystko.

Dyski i drukarki

Do niektórych routerów można podpiąć zewnętrzne dyski twarde oraz drukarki. Dzięki temu wszyscy domownicy mają dostęp do ważnych dla nich plików w obrębie całego mieszkania. To samo tyczy się atakującego, który może wykorzystać tak zebrane informacje do podszycia się pod nas lub do szantażu. Może również dla żartu uruchomić drukowanie 1000 stron w nocy na naszej domowej drukarce. Dalej, routery posiadają wbudowaną zaporę sieciową. Ona to działa trochę jak zawór jednostronny. My – możemy łączyć się z zewnętrznymi stronami i oglądać ich zawartość. Równocześnie zewnętrzne podmioty nie mogą bezpośrednio łączyć się z naszymi komputerami – ponieważ nie pozwoli na to firewall. Atakujący odpowiednio modyfikując konfigurację, może umożliwić dostęp do naszych komputerów.

Udostępnianie plików

Często zdarza się, że w obrębie sieci lokalnej udostępniamy niektóre pliki z naszego komputera, tak aby inni użytkownicy mieli do nich dostęp. Teraz – dostęp do nich jest również możliwy z zewnątrz. Jak widać zagrożeń jest wiele – wszystko zależy od kreatywności przestępców. Wiemy już, że router należy chronić. Ale jak to robić?

WPA2

Jeżeli korzystasz z Wi-Fi – włącz szyfrowanie WPA2 z AES. Co więcej, hasło tam używane powinno być długie i skomplikowane. Dlaczego? Ktoś, kto to będzie chciał skorzystać z Twojego Wi-Fi do niecnych celów nie musi cały tydzień siedzieć w samochodzie pod Twoim blokiem. Wystarczy, że raz pójdzie wyprowadzić psa z odpowiednim sprzętem. Ten sprzęt pobierze odpowiedni pakiet. Można go potem wykorzystać do przeprowadzania ataków siłowych w domu – bez dostępu do routera. Jeżeli więc nasze hasło ma tylko kilka znaków – szybko zostanie złamane. Atakujący będzie próbował wszystkich możliwych kombinacji. Nowoczesny sprzęt jest w stanie sprawdzić kilkaset tysięcy takich haseł na sekundę. Równie dobrze, jeżeli nie wykazaliśmy się kreatywnością – hasło może znajdować się w jednym z wcześniejszych wycieków danych. Wtedy złamanie go to tylko czysta formalność.

Sieć lokalna

Dzięki temu ktoś otrzyma dostęp do naszej sieci lokalnej. A to oznacza, że ma bezpośredni dostęp do naszych komputerów. Jeżeli ich nie aktualizujemy, bądź znajdują się tam stare wersje podatnych programów – możemy być narażeni. Co więcej, ktoś może wykorzystać nasz Internet i przeprowadzić jakąś nielegalną czynność. A wtedy to do naszych drzwi zapuka policja z prośbą o wyjaśnienia. Nazwa sieci nie powinna bezpośrednio wskazywać na naszą osobę. Sieć Kowalskiego to niekoniecznie dobry pomysł.

Lokalizacja WIFI

Zwłaszcza, że istnieją projekty, które zbierają informacje na temat dostępnych w danej lokalizacji sieci Wi-Fi. Informacje te służą niektórym usługom do geolokalizacji użytkownika, w sytuacji w której sygnał GPS nie jest dostępny. Okazuje się bowiem, że skanując listę dostępnych sieci i porównując ją z wirtualną bazą, możemy z dużą dozą prawdopodobieństwa określić, gdzie znajduje się dany użytkownik. Nazwy sieci w skali świata rzeczywiście się powtarzają. Ale już ich kombinacje – czyli fakt, że w danym miejscu użytkownik widzi sygnał sieci kowalski, test i kwiatek niekoniecznie. Pozostając w temacie haseł. Warto zmienić login i hasło do interfejsu graficznego urządzenia, tak aby przestała działać standardowa kombinacja admin/admin. Równocześnie dostęp do interfejsu graficznego powinien być dostępny tylko od strony portów LAN. Tłumacząc to nieco prościej – tylko z poziomu naszego mieszkania powinniśmy móc zalogować się do panelu admina. Można to łatwo sprawdzić, korzystając na moment z Internetu mobilnego w naszym telefonie. Jeżeli w przeglądarce podamy adres IP domowego Internetu, nie będąc równocześnie do niego podłączonymi – i otrzymamy możliwość wpisania hasła – koniecznie warto wyłączyć odpowiednią opcję.

WPS

Jeżeli nasz router posiada opcję WPS – wyłączmy ją. W teorii miała przyspieszyć parowanie komputera z nową siecią Wi-Fi. Zamiast przepisywać długie i skomplikowane hasła – wystarczył krótki pin lub wciśnięcie przycisku na obudowie urządzenia. Obecnie, standard ten uznawany jest za niebezpieczny i powinno się go wyłączyć. Możemy również zmienić adres serwera DNS na taki, który zapewni nam odpowiednią dawkę prywatności. Jednym z wyborów może być 1.1.1.1 należący do Cloudflare.

UPNP

Kolejny protokół, który należy wyłączyć to UPnP. Został on stworzony dla wszystkich urządzeń IOT, które znajdują się w naszym mieszkaniu. Mowa tu więc o wszystkich inteligentnych czajnikach, oczyszczaczach powietrza czy też odkurzaczach. One to wysyłając odpowiednie dane do routera, mogą odblokować odpowiednie porty na firewallu– tak aby mogły działać prawidłowo. Tylko, że urządzenia IOT nie słyną z dobrego bezpieczeństwa. Umożliwianie dostępu do nich z zewnątrz niekoniecznie jest najlepszym pomysłem. Zwłaszcza, jeżeli nie jesteśmy w pełni świadomi tego faktu a czynność ta dzieje się bez naszego udziału. Porty te można również odblokować samemu.

Port forwarding

Zazwyczaj opcja ta kryje się pod nazwą “port forwarding”. Jeżeli nigdy z niej nie korzystałeś – sprawdź czy nie znajdują się tam dziwne wpisy. Droższe routery pozwalają na stworzenie dodatkowej sieci Wi-Fi – tak zwanej sieci gościa. Zazwyczaj, jest ona odseparowana od normalnej sieci WIFI – to znaczy, że urządzenia z jednej sieci nie widzą tych z tej drugiej. Teoretycznie sieć taka powstała, abyśmy mogli udostępnić domowy Internet naszym gościom, którzy przyszli na kilkugodzinną imprezę na nasze mieszkanie. Ale równie dobrze, można wykorzystać tą funkcję do udzielenia dostępu do Internetu urządzeniom, którym nie za bardzo ufamy. Chociażby urządzeniom IOT.

Aktualizacje

Pamiętajmy o aktualizacjach. Niektóre routery (chociażby firmy Mikrotik) mogą same zaktualizować swój system – tak jak robi to Windows. Warto umieścić router w niedostępnym dla postronnych osób miejscu.

Dlaczego? Niektóre urządzenia posiadają na swoich obudowach porty USB, do których można wpiąć routery LTE lub też inne kompatybilne nośniki. Wtedy cały nasz ruch może trafiać do serwera kontrolowanego przez atakującego. Co więcej, routery posiadają przycisk resetu, który usuwa wszystkie hasła i przywraca urządzenie do stanu fabrycznego. Stąd też, bezpieczeństwo zależy także od braku fizycznego dostępu do urządzenia.

Wyłącz również opcję odpowiadania na pakiety ping. W przypadku niektórych routerów warto “przeklikać”” się przez dostępne w panelu opcje. Dla przykładu NetGear zbiera anonimowe statystyki, które to można wyłączyć z poziomu odpowiedniej opcji. Jeżeli widzisz nazwę, której nie rozumiesz – najprawdopodobniej jej nie potrzebujesz.

Błędy bezpieczeństwa

A takich dodatkowych usług może być wiele: SSH, telnet, SNMP. Jeżeli dopiero stoisz przed wyborem odpowiedniego dla siebie urządzenia, warto przed zakupem przeprowadzić na jego temat krótkie poszukiwania. Wystarczy w wyszukiwarce użyć nazwy modelu i dodać słowo kluczowe „exploits”, „bug”, „vulnerability”. Dowiesz się wtedy czy na urządzenie nie ma obecnie jakiejś znanej, a nienaprawionej przez producenta luki.

Urządzenia tego typu często mają dość krótki czas życia. Zdarza się zatem, że błąd istnieje – został zgłoszony, ale producent nie zamierza go naprawić. Dlatego też warto sprawdzić, czy producent wydaje regularne aktualizacje oprogramowania. Samo istnienie błędu to nie koniec świata. Błędy bezpieczeństwa zdarzają się każdemu.

Ważne jest natomiast jak szybko producent na nie reaguje i czy udostępnia odpowiednie łatki bezpieczeństwa. Większość urządzeń pozwala na zapisywanie logów ze swojego działania: w tym zdarzeń dotyczących bezpieczeństwa. Ale nie oszukujmy się, panel sterowania routerem to nie jest pierwsze miejsce, do którego trafiamy każdego poranka. Można więc rozważyć opcję wysyłania emaila – w przypadku specjalnych zdarzeń.

Lista komputerów

Sporo urządzeń pozwala na podgląd aktualnie podpiętych poprzez Wi-Fi komputerów – w tym nazw, którymi się one posługują. Jeżeli widzisz tam zbyt dużą liczbę laptopów, bądź też nie rozpoznajesz któregoś z nich – może pora na zmianę hasła? Nigdy nie wiadomo czy sąsiad nie wykorzystuje naszego połączenia.

Na koniec całej tej konfiguracji warto potwierdzić, czy rzeczywiście nic nam nie umknęło. Serwisy takie jak Shodan czy też Censys nieustannie skanują wszystkie adresy w Internecie, sprawdzając, co się na nich znajduje. Jeżeli w daną wyszukiwarkę wpiszemy nasz publiczny adres IP – powinniśmy otrzymać puste wyniki. Oznacza to bowiem, że żadna usługa nie jest dostępna z zewnątrz.

W innym wypadku – albo dane firmy są nieaktualne albo też musimy przyjrzeć się, dlaczego niektóre porty są dostępne.

Więcej informacji na ten temat można odnaleźć na stronie routersecurity.org1. Znajduje się tam kompletna lista punktów, które powinniśmy sprawdzić na naszym routerze.

I to już wszystko w tym odcinku. Podobało się? Pokaż odcinek znajomym. A ja już dzisiaj zapraszam do kolejnego odcinka. Cześć!

#ZaufanaTrzeciaStrona - Analiza złośliwego kodu dla amatorów na świeżym przykładzie

Data: 16.01.2020 06:19

Autor: ziemianin

zaufanatrzeciastrona.pl

#aktualnosci #codziennaprasowka #informacje #wiadomosci #komputery #cyberbezpieczenstwo #zlosliwykod #malware #trojan #ZaufanaTrzeciaStrona #informatyka

Chcecie zobaczyć, jak radzimy sobie z analizą ataków, dysponując jedynie przeglądarką i kwadransem wolnego czasu? Pokażemy to na ciekawym przykładzie ataku z dzisiejszego poranka. Doświadczenie w analizie nie jest wymagane ;)

#ZaufanaTrzeciaStrona – Analiza złośliwego kodu dla amatorów na świeżym przykładzie

Czasem widzimy różne ataki i zastanawiamy się, czy są ciekawe (czyli warte opisania), czy też niekoniecznie. Wstępna analiza przebiegu ataku pozwala podjąć szybką decyzję, czy zawracać głowę prawdziwym analitykom malware’u. Oczywiście przedstawiona poniżej metoda obarczona jest sporymi błędami, ale to prawdopodobnie najlepsze, na co stać amatora z przeglądarką jako głównym narzędziem pracy.

Niepozorny e-mail

W nasze ręce trafił wczoraj rano e-mail, który na pierwszy rzut oka wyglądał dość niepozornie. Mieliśmy 3 identyczne kopie i przekonanie, że coś chyba jest nie tak.

Nagłówki wiadomości przekonały nas, że coś jest na rzeczy.

Do: undisclosed-recipients:;

Authentication-Results: server.linux80.papaki.gr; spf=pass (sender IP is ::1) smtp.mailfrom=sekretariat@ppuport.pl smtp.helo=webmail.apricotandsea.com

X-Sender: sekretariat@ppuport.pl

X-Ppp-Message-Id: 20200113082135.31371.26021@server.linux80.papaki.gr

Return-Path: sekretariat@ppuport.pl

X-Ppp-Vhost: apricotandsea.com

Received: from server.linux80.papaki.gr (server.linux80.papaki.gr [138.201.37.101]) by XXX (Postfix) with ESMTPS id 47x64d3QS0z1w7K for XXX@XXX.pl; Mon, 13 Jan 2020 09:21:37 +0100 (CET)

Received: from webmail.apricotandsea.com (localhost.localdomain [IPv6:::1]) by server.linux80.papaki.gr (Postfix) with ESMTPSA id 13E2A1A49E10; Mon, 13 Jan 2020 10:21:34 +0200 (EET)

f6283fe0d66176eac98a83372ac6d088@ppuport.pl

Received-Spf: pass (server.linux80.papaki.gr: connection is authenticated)

Wynika z nich, że choć adres rzekomego nadawcy jest w domenie PL, to serwery pośredniczące w wysyłce były w domenach COM i GR. Po co polska firma miałaby wysyłać wiadomości z greckiego serwera? Badamy dalej.

Cóż to za potwór w załączniku

Plik załącznika to prawdopodobnie kluczowy element pułapki. Nie będziemy go otwierać lokalnie, tylko od razu przekażemy ekspertom online. Wchodzimy zatem na stronę

https://app.any.run/

Wgrywamy plik na serwer i czekamy, co się stanie. A dzieje się całkiem sporo. Pod adresem

https://app.any.run/tasks/2ed4abe1-4021-4fe6-bea6-11f227e792b8/

możecie znaleźć wynik analizy. Ten serwis pozwala nawet obserwować, co dzieje się na ekranie komputera w trakcie uruchamiania załącznika. Widzimy zatem, że uruchomiony zostaje Word (w końcu to plik .DOC). W bocznym pasku po chwili widzimy przebieg wydarzeń.


pozostała treść na stronie źródła

Ransomware ewoluuje – nowa grupa dodaje okup za nieujawnienie danych

Data: 13.01.2020 19:54

Autor: ziemianin

zaufanatrzeciastrona.pl

#codziennaprasowka #informacje #wiadomosci #aktualnosci #cyberbezpieczenstwo #atak #PulseSecure #ransomware #Sodinokibi #Travelex

Cyberprzestrzeń nie lubi pustki. Po zakończeniu świadczenia usługi Ransomware-as-a-Service GrandCrab, pojawia się nowa usługa, nowy malware, jeszcze groźniejszy, jeszcze skuteczniejszy. Każdy ma coś do stracenia – tę zasadę wykorzystują przestępcy.

Ransomware ewoluuje – nowa grupa dodaje okup za nieujawnienie danych

Nauczeni doświadczeniem specjaliści bezpieczeństwa coraz skuteczniej wdrażają mechanizmy ochrony (a w zasadzie odzyskiwania danych) na wypadek ataku ransomware. Przestępcy zauważyli, że ofiary nie chcą płacić. Skuteczne uruchomienie procedur odzyskiwania („Disaster Recovery”) sprawia, że przestępcy musieli znaleźć inny sposób czerpania zysków ze swojej działalności. Jest to kolejny przypadek, w którym stawką jest nie tylko odzyskanie danych, by zapewnić utrzymanie ciągłości działania firmy, ale także ochrona ich poufności.

Zaufana Trzecia Strona - „Płać za zwrot danych” już nieaktualne – teraz jest „Płać albo publikujemy”

Data: 09.01.2020 00:56

Autor: ziemianin

zaufanatrzeciastrona.pl

#codziennaprasowka #informacje #wiadomosci #aktualnosci #cyberbezpieczenstwo #Wlamania #Zlosniki #Maze #ransomware #ryuk #Suthwire #WorldHostingFarmLimited

Autorzy ransomware najwyraźniej zauważyli możliwość zwiększenia konwersji swoich przymusowych klientów – oprócz szyfrowania danych zaczęli je wykradać i grozić upublicznieniem. Jedna grupa nawet założyła w tym celu własny serwis WWW.

Zaufana Trzecia Strona – „Płać za zwrot danych” już nieaktualne – teraz jest „Płać albo publikujemy”

Rok 2019 przyniósł istotne zmiany w krajobrazie ataków ransomware. Coraz częściej widzimy na polskim rynku i poza nim ataki wycelowane w przedsiębiorstwa. Nazwy takie, jak Ryuk, LockerGoga, MegaCortex, Maze czy RobbinHood, budzą niemiłe wspomnienia niejednego prezesa. W ostatnim roku część przestępców porzuciła szyfrowanie dysków osób prywatnych i skoncentrowała się na działalności b2b. Rozpoznają biznes ofiary, szacują potencjalne straty, zdobywają uprawnienia administratora domeny i uruchamiają procedury szyfrowania jednocześnie na setkach lub tysiącach stacji roboczych i serwerów. Odpowiednio do większego wysiłku, który wkładają w swoją działalność, zwiększyli także kwoty oczekiwanych okupów. Stawki zaczynają się od 100 000 – 200 000 PLN, ale widzieliśmy też takie po kilka milionów. Cześć organizacji płaci, część odzyskuje z backupów – i ta druga grupa jest głównym problemem przestępców. Przestępcy postanowili ten problem zaadresować w ciekawy, choć niepokojący sposób.

ciąg dalszy na stronie źródła

Gdy przestępcy brakuje talentu, a też chce kraść pieniądze

Data: 29.12.2019 21:57

Autor: ziemianin

zaufanatrzeciastrona.pl

#codziennaprasowka #informacje #wiadomosci #aktualnosci #zaufanatrzeciastrona #cyberbezpieczenstwo #bank #login #phishing #SmartCare #sms

Czasem trafiamy na naprawdę świetnie przygotowane ataki. Przemyślane scenariusze oszustw, historie wiarygodne i dopracowane, wdrożenia bezbłędne i skuteczne. Nie o takim ataku chcemy wam jednak dzisiaj opowiedzieć.

Gdy przestępcy brakuje talentu, a też chce kraść pieniądze

Nie każdy przestępca jest na tyle inteligenty, by wymyślać nowe, kreatywne ataki (jak np. fałszywe panele Dotpay/PayU) lub skutecznie kopiować metody już sprawdzone (jak np. fałszywe panele Dotpay/PayU). Co zatem robi przestępca, gdy nie potrafi wykazać się finezją, znajomością psychologii i ludzkiego umysłu? Takiemu złodziejowi pozostaje determinacja, a jej efekty możecie podziwiać poniżej.

Usługa, której nie było

Jeden z naszych Czytelników, Paweł, zwrócił naszą uwagę na ciekawą próbę oszustwa. Paweł łączył ją z atakiem na Virgin Mobile, ale na razie nie widzimy związku. Sam atak opisany został tydzień temu na Wykopie (czemu nie tagujesz @BlindHeron?). Do Wykopowicza, jak i do Pawła przyszedł SMS o takiej oto treści:

Przypominamy o korzystaniu z aktywnej uslugi SmartCare dla numeru: [tu numer] Oplata zostanie naliczona automatycznie na numer telefonu dnia: 13.01.2020. Formularz zgloszenia telefonu do naprawy oraz opcja rezygnacji z uslugi dostepne na: smartcare.xn.pl.

Wiadomość wysłana była z bramki internetowej. Co czeka na ofiarę? Obrazki mówią same za siebie.

Krok pierwszy – rzekoma witryna serwisu naprawiającego telefony, gdzie wykupiliśmy podobno pakiet za 59,99 miesięcznie, ale możemy z niego zrezygnować.

Proces rezygnacji zaczyna się od podania numeru telefonu – można wpisać dowolny.

Okazuje się, że za rezygnację musimy zapłacić 10 PLN „w systemie SmartPay”.

Mamy kilka banków do wyboru.

Następnie mamy wprowadzić swój PESEL i nazwisko panieńskie matki.

W zależności od wybranego banku musimy przepisać kod z SMS-a

…lub przepisać kod z wiadomości głosowej.

Na koniec dowiadujemy się, że płatność została przyjęta.

Czy to ma szansę zadziałać

Scenariusz ataku i rodzaj gromadzonych danych wydaje się wskazywać na próbę nieautoryzowanej aktywacji aplikacji mobilnej wybranego banku na cudzym urządzeniu. Po dokonaniu takiej aktywacji złodziej może – w zależności od limitów transakcyjnych dla kanału mobilnego – ukraść ok. 1000 – 2000 PLN.

Samo oszustwo wygląda tak trywialnie, że aż trudno uwierzyć, by było prawdziwe. Gdyby nie dwie relacje osób, które wiadomość otrzymały, to obstawialibyśmy eksperyment naukowy mający na celu weryfikację, jak daleko zajdzie ofiara mimo tak oczywistego oszustwa.

Znamy jednak życie i w związku z tym nie możemy wykluczyć, że ktoś się dał na to złapać. Jeśli macie informacje o skuteczności tego ataku (widzieliście w swoim banku ofiary lub jesteście jego sprawcami), to chętnie dowiemy się, jak wyglądały statystyki. Chyba że to jednak badanie naukowe – wtedy czekamy na publikację.

Co robić?

Skoro czytacie ten artykuł w naszym serwisie, to zapewne nie musimy wam tłumaczyć, jak się przed tym atakiem bronić. Prosimy jednak, byście przy każdej okazji tłumaczyli swoim bliskim i znajomym, że login i hasło do banku można podawać tylko na stronie banku i nigdy nie będzie żadnego powodu, by podać je na jakiejkolwiek innej witrynie. A strona banku musi mieć w adresie domenę banku i nic innego. Może kogoś kiedyś w ten sposób uratujecie.

Technikalia

W chwili pisania tego artykułu witryna wczytywana jest z adresu:

pomoc.kylos.pl

A ciąg URL-i wygląda np. tak:

http://pomoc.kylos.pl/rezygnacja.php

http://pomoc.kylos.pl/sprawdz.php

http://pomoc.kylos.pl/wybor.php

http://pomoc.kylos.pl/santander.php

http://pomoc.kylos.pl/santandersms.php

http://pomoc.kylos.pl/santanderok.php

Ważne dane tysięcy klientów wyciekły z Virgin Mobile Polska

Data: 26.12.2019 14:25

Autor: ziemianin

telepolis.pl

#codziennaprasowka #informacje #wiadomosci #aktualnosci #polska #telefoniakomorkowa #Virginmobile #hakerzy #operatorzykomorkowi #cyberbezpieczenstwo #cyberatak

Hakerzy zyskali dostęp do danych tysięcy klientów Virgin Mobile Polska. Chodzi m.in. o imiona i nazwiska oraz numery PESEL

Ważne dane tysięcy klientów wyciekły z Virgin Mobile Polska

W Virgin Mobile doszło do wycieku danych tysięcy klientów, w tym ich imion i nazwisk oraz numerów PESEL. Jak poinformował operator, wyciek nastąpił na skutek ataku hakerskiego na jedną z aplikacji informatycznych firmy.

Virgin Mobile Polska w oświadczeniu wyjaśniło, że do ataku hakerskiego na firmę doszło w dniach 18-22 grudnia 2019 roku. Zaatakowana aplikacja "umożliwiała dostęp do danych rejestrowych" klientów spółki – chodzi m.in. o imiona i nazwiska oraz numer PESEL lub numer dokumentu potwierdzającego tożsamość.

Atak na Virgin Mobile Polska. Wyciekły dane, klienci informowani są SMS-owo

Operator podkreśla jednak, że chodzi o dane 12,5 proc. klientów prepaid, czyli telefonów "na kartę". Dane abonentów, według Virgin, nie wyciekły – przynajmniej dopóki nie korzystali oni również z kart prepaid. "Osoby, których dane wyciekły, zostały o tym poinformowane SMS-owo" – podkreśla Virgin.

Jeśli jednak ktoś posiada nieaktywny numer w Virgin, powinien skontaktować się z infolinią w celu ustalenia, czy jego dane mogły wyciec. Operator doradza kontakt telefoniczny również klientom, którzy dokonywali cesji numeru na inną osobę.

Spółka zapewniła w oświadczeniu, że od razu po ataku podjęła "działania mające na celu zabezpieczenie danych abonentów przed dalszymi atakami" oraz "złożyła stosowne zawiadomienie do organu nadzoru zgodnie z RODO" i "złoży również zawiadomienie o podejrzeniu popełnienia przestępstwa do organów ścigania".

Spółka wzmocniła również procedury uniemożliwiające wykorzystanie danych abonentów, które zostały nielegalnie pozyskane (wprowadzenie dodatkowych/ponadstandardowych środków weryfikacji tożsamości), do składania dyspozycji dotyczących umów o świadczenie usług telekomunikacyjnych z tymi abonentami.

Virgin Mobile podkreśliło też, że w ramach ataku hakerzy nie uzyskali dostępu ani do baz ani infrastruktury operatora, a jedynie części danych udostępnionych w jednej aplikacji.

Zaufana Trzecia Strona - Nie dajcie się złapać na tę sprytną sztuczkę w czasie zakupów

Data: 02.12.2019 23:15

Autor: ziemianin

zaufanatrzeciastrona.pl

#codziennaprasowka #informacje #wiadomosci #aktualnosci #cyberbezpieczenstwo # #Allegro #falszywysklep #OLX #oszustwo #PayU #platnosc

Black Friday, Cyber Monday, święta tuż za pasem… Nic dziwnego, że przestępcy wszelkiej maści powrócili do oszustw z wykorzystaniem prawdziwych płatności PayU w fałszywych serwisach internetowych. Sprawdźmy, co nowego wymyślili.

Zaufana Trzecia Strona – Nie dajcie się złapać na tę sprytną sztuczkę w czasie zakupów

Oszustwa tego typu spopularyzowały się kilka miesięcy temu. Na z3s opisywaliśmy już okradanie nieświadomych użytkowników zarówno na fałszywym, jak i na prawdziwym Allegro. Sztuczkę tę z powodzeniem stosowali także twórcy stron podszywających się pod różne sklepy internetowe. Na trop kolejnych oszustów wpadli specjaliści działu bezpieczeństwa Ceneo.pl, którzy podzielili się z nami swoimi ustaleniami – za co dziękujemy.

Oszustwo krok po kroku

Zaczyna się od oferty sprzedaży sprzętu elektronicznego, np. iPhone’a, w bardzo atrakcyjnej cenie. Oszust (lub oszustka) publikuje ją w którymś z serwisów ogłoszeniowych – poniżej macie przykład z OLX. Pracownicy Ceneo, którzy badali sprawę, donoszą, że podobne ogłoszenia pojawiały się też w mediach społecznościowych.

Kolejnym krokiem jest rozmowa z potencjalnym klientem – albo telefonicznie, albo z użyciem SMS-ów. Przestępca umawia się na sprzedaż za pośrednictwem stron udających Allegro (takich jak allegro.media.pl i allegro.targi.pl) albo zarejestrowanych na nowo domen po nieistniejących już sklepach (np. rcplus.net.pl), które oszust rekomenduje ofierze.

Obie znane nam domeny prowadzące do fałszywego Allegro zostały zarejestrowane za pośrednictwem 101domain GRS Ltd. z siedzibą w Irlandii. Domenę allegro.targi.pl utworzono 23 listopada, a allegro.media.pl – 20 dni wcześniej i w jej sprawie toczy się już postępowanie wyjaśniające. Dane abonenta, jak to zwykle w takich przypadkach bywa, zostały utajnione. Pod adresem rcplus.net.pl jeszcze w ubiegłym roku funkcjonował sklep dla miłośników modelarstwa i zdalnie sterowanych pojazdów, cieszący się dobrą opinią na Ceneo i Opineo. Według ogólnie dostępnych rejestrów firma zawiesiła działalność pod koniec sierpnia 2018 r. Do ponownej rejestracji domeny – tym razem za pośrednictwem serwisu Domena.pl – doszło 10 października, niestety tutaj również dane abonenta nie są dostępne.

Wróćmy jednak do naszego oszusta. Jeśli ofiara złapie przynętę, zamawia on w legalnie działającym sklepie jakiś produkt, tak by kwota płatności zgadzała się z tą, którą ustalił z klientem. Oczywiście nie płaci za zamówienie, tylko – podobnie jak w opisywanych przez nas wcześniej przypadkach – link do płatności wysyła ofierze lub zamieszcza na podrobionej stronie.

Po zaksięgowaniu płatności legalnie działający sklep wyśle towar na adres, który został podany przez oszusta – chodzi zwykle o paczkomaty. Zdarzało się też, że pod adresem pocztowym paczkomatu osoba działająca na zlecenie przestępcy odbierała przesyłkę od kuriera. Sprawą zainteresowali się już funkcjonariusze z Komendy Wojewódzkiej Policji w Krakowie z Wydziału do Walki z Cyberprzestępczością. W chwili pisania tego artykułu żadna z wymienionych w nim stron nie działała, co nie znaczy, że nie pojawiły się nowe.

Jak się bronić przed takimi oszustwami

Przede wszystkim nie zapominajcie – i uświadomcie swoich znajomych – że jeśli jakaś oferta wygląda na zbyt piękną, by była prawdziwą, to prawdopodobnie prawdziwa nie jest. Inną ważną zasadą jest opłacanie tylko tych zamówień, które zostały przez was samodzielnie wygenerowane na stronach odpowiednich serwisów (uważajcie zwłaszcza na linki wysyłane SMS-em). Przed dokonaniem zakupów w konkretnym sklepie sprawdzajcie, czy aby na pewno korzystacie z właściwej strony – często adresy fałszywych sklepów zawierają drobne literówki lub dodatkowe słowa.

Włamał się do banku, ukradł pieniądze, opublikował raport z włamania

Data: 17.11.2019 22:07

Autor: ziemianin

zaufanatrzeciastrona.pl

#codziennaprasowka #informacje #wiadomosci #zaufanatrzeciastrona #cyberbezpieczenstwo #bank #Kajmany #PhineasFisher #PwC #wlamanie #wyciek

Rzadko mamy okazję czytać profesjonalne raporty z udanego włamania do banku. Jeszcze rzadziej raporty te publikuje sam włamywacz, nie mówiąc o bug bounty dla innych hakerów za kolejne włamania.

Włamał się do banku, ukradł pieniądze, opublikował raport z włamania

To jest jedna z ciekawszych historii, jakie przydarzyły się w ostatnich latach w naszej branży. Pamiętacie Phineasa Fishera, który włamał się do sieci producentów oprogramowania szpiegowskiego takich jak Gamma Group czy Hacking Team? Włamywacz nie poprzestał na tych atakach – jak twierdzi, w roku 2016 włamał się także do pewnego banku na Wyspie Man. Nie tylko ukradł stamtąd ponad 2 TB danych, ale wśród opublikowanych dokumentów zamieścił raport firmy PwC ze swojego włamania. Do tego ogłosił nagrodę dla innych włamywaczy, prawdopodobnie finansowaną ze środków wykradzionych z zaatakowanego banku. Co za historia! Ale po kolei.

2 TB danych z banku obsługującego bogaczy

Na Twitterze pojawił się wpis organizacji „Distributed Denial of Secrets” zawierający link do informacji wykradzionych z banku Cayman National Bank and Trust, który rzekomo brał udział w praniu pieniędzy rosyjskich oligarchów.

RELEASE: Sherwood – Copies of the servers of Cayman National Bank and Trust (CNBT), which has allegedly been used for money laundering by Russian oligarchs and others.



Includes a HackBack readme explaining Phineas Fisher's hack and exfiltration of funds. https://t.co/xoQLSjBFX3



— Distributed Denial of Secrets (@DDoSecrets) November 17, 2019

Pod linkiem znajdziemy ogromne zbiory danych, rzekomo wykradzione z ww. banku i zawierające nie tylko historię rachunków jego klientów, ale także kopię korespondencji elektronicznej pracowników banku. Dane te zostały wcześniej udostępnione konsorcjum dziennikarzy śledczych, a wkrótce zbiór ma zostać dołączony do publicznie dostępnej wyszukiwarki informacji.

Równocześnie w sieci pojawił się manifest Phineasa Fishera, który poinformował, że stał za tym włamaniem (tu krótsza wersja po angielsku – oryginał napisano po hiszpańsku). Phineas nie tylko opisuje okoliczności ataku (miał rzekomo użyć tego samego exploita, którym pokonał zabezpieczenia Hacking Teamu, o czym w kolejnym akapicie), ale także informuje, że ukradł kilkaset tysięcy dolarów, z których zamierza finansować nagrody dla innych włamywaczy, atakujących podobne cele. Pisze, że maksymalna nagroda może wynosić nawet 100 000 dolarów. Czas pokaże, czy przekona to innych napastników.

Przebieg włamania

W ustaleniu, jak doszło do włamania, pomogą nam dwa źródła – wpis Phineasa oraz ujawniony przy okazji raport z włamania, opracowany przez PwC. Pomoże też Google Translate, ponieważ Phineas pisze po hiszpańsku.

Raport PwC podkreśla dwa istotne elementy, ograniczające jego poziom szczegółowości. Pierwszy to niewielka dostępność logów – wiele informacji nie było przez bank w żaden sposób rejestrowanych, a pozostałe były dość szybko nadpisywane, przez co nie zachowała się pełna historia wydarzeń. Drugim ograniczeniem był budżet i zakres projektu – w wielu miejscach analitycy PwC wskazują, że danego wątku nie analizowali ze względu na ograniczenia projektowe.

Podczas gdy Phineas informuje, że dostał się do sieci za pomocą exploita na urządzenie sieciowe, PwC wskazuje, że nie znalazło oczywistych śladów pierwotnej infekcji z uwagi na brak logów. Informuje za to, że w przeskanowanej poczcie banku znalazło kilka przykładów ogólnych ataków oraz co najmniej jeden atak dedykowany – złośliwy kod dołączony do wiadomości poczty elektronicznej, korzystający z domeny sterującej założonej tuż przed atakiem. Sam Phineas komentuje, że być może nie był jedynym włamywaczem w sieci banku.

Co do kolejnych kroków obie strony w pełni się zgadzają – Phineas przeszedł do klasycznego działania włamywacza, czyli rozpoznania sieci i penetracji jej dodatkowych obszarów.

7 stycznia 2016 bank zorientował się, że kilka przelewów SWIFT zawiera błędy. To pozwoliło zidentyfikować fakt, że ktoś buszuje w jego sieci. 19 stycznia 2016 do analizy incydentu wynajęto PwC. Z 10 kluczowych systemów banku aż 7 znajdowało się pod kontrolą włamywacza. Atakującemu chodziło zarówno o kradzież informacji, jak i pieniędzy. Zgadza się to z wersją przedstawioną przez włamywacza. Sam Phineas przyznaje, że nie miał żadnego doświadczenia z systemem SWIFT i aby nauczyć się jego obsługi, zaczął od wyszukania plików z ciągiem „SWIFT” w nazwie i ich pobrania. Nie znalazł tam jednak wystarczająco szczegółowych instrukcji, dlatego na stacjach roboczych pracowników zajmujących się przelewami zainstalował złośliwe oprogramowanie, które zapisywało naciskane klawisze i robiło zrzuty ekranów. Jak twierdzi, zgromadzona w ten sposób wiedza bardzo mu pomogła. Pracownicy używali Citrixa, by łączyć się do usługi firmy Bottomline, gdzie obsługiwali interfejs systemu SWIFT. Do autoryzacji przelewu potrzebne były potwierdzenia trzech osób, ale Phineas przejął kontrolę nad wszystkimi trzema kontami.

Jak sam podkreśla, Phineas nie miał bladego pojęcia, jak używać systemu SWIFT i uczył się w trakcie próby kradzieży. Pierwsze przelewy udało mu się zlecić prawidłowo, jednak w kolejnych popełnił błędy, które go zdradziły. Najpierw podał zły kod waluty dla przelewów międzynarodowych, a w kolejnej próbie przekroczył limit transferów dla przelewów przyspieszonych. Oba błędy zostały zauważone przez pracowników banku, którzy zgłosili anomalie i zablokowali możliwość dalszej kradzieży.

Phineas pisze, jak wygodnie pracowało mu się z PowerShellem i raport PwC to potwierdza. Najstarsze wykryte ślady aktywności włamywacza w systemach firmy sięgają 8 grudnia 2015, jednak brak wcześniejszych logów nie wyklucza, że do włamania mogło dojść przed tą datą. Znaleziono między innymi ślady skanowania serwerów przez włamywacza z lipca 2015.

Między godziną pierwszej aktywności na pierwszym z zainfekowanych serwerów a uruchomieniem złośliwego kodu na kontrolerze domeny minęło 39 minut.

Raport PwC potwierdza, że włamywacz pilnie studiował ciekawe dokumenty firmy. Zwróćcie uwagę na nazwy plików.

Raport potwierdza także intensywne korzystanie z keyloggerów i próby dostania się do poczty pracowników. W dokumencie znajdziecie również analizę fragmentów skryptów i narzędzi użytych przez włamywacza.

PwC potwierdza ponadto, że do przelewów SWIFT doszło już 5 stycznia 2016, podczas gdy pierwszy przelew odrzucony został 6 stycznia wieczorem. Nie znajdziemy tam jednak informacji o wysokości strat poniesionych przez bank na skutek nieautoryzowanych transakcji. Raport zawiera oczywiście także sporą sekcję rekomendacji – zalecamy jej lekturę bankowym obrońcom.

Podsumowanie

Nie wiemy, dlaczego do publikacji danych doszło dopiero 3 lata po włamaniu. Nie wiemy też jeszcze, czy wśród klientów banku znajdują się Polacy (wstępny rzut oka na dostępne informacje nie wskazuje na bezpośrednie powiązania klientów z naszym krajem). Wiemy jednak, że to kolejny ciekawy przykład pokazujący, jak prosto jest włamać się do poważnej instytucji i – mamy nadzieję – kolejny wyraźny sygnał, że czas naprawdę zadbać w firmach o podstawy bezpieczeństwa. Lista rekomendacji z raportu PwC niech będzie drogowskazem, w którym kierunku podążać, by nie zostać bohaterami kolejnego wycieku.

Zrozumieć rosyjski wywiad. Rosnąca rola GRU w mediach społecznościowych

Data: 17.11.2019 11:56

Autor: ziemianin

cyberdefence24.pl

#codziennaprasowka #informacje #wiadomosci #rosja #polska #usa #gru #cyberbezpieczenstwo #cyberataki #socialmedia #mediaspolecznocciowe #facebook #dezinformacja #fakenewsy

Rosyjskie operacje prowadzone na platformach mediów społecznościowych mają swe korzenie w ugruntowanej od dziesięcioleci radzieckiej strategii propagandowej – wynika z raportu opublikowanego przez Stanford. Ich charakter zmieniał się wraz z rozwojem ery cyfrowej oraz ewolucją social mediów.

Zrozumieć rosyjski wywiad. Rosnąca rola GRU w mediach społecznościowych

Na zlecenie Komisji ds. Wywiadu Senatu Stanów Zjednoczonych eksperci Stanford w raporcie „Potemkin Pages & Personas: Assessing GRU Online Operations” przeanalizowali dane, odnoszące się do postów zamieszczanych na platformach mediów społecznościowych, które zostały udostępnione przez władze Facebooka. Wszystko odbyło się w ramach badania operacji wpływu, prowadzonych przez służby rosyjskiego wywiadu GRU.

Raport stworzony przez ekspertów Stanforda i w sposób szczegółowy analizuje zbiór danych przekazanych przez Facebooka. Na podstawie zdobytych informacji specjaliści przeprowadzili ogólny przegląd taktyk i metod działania GRU, a także przedstawili zestaw danych statystycznych pokazujących działalność rosyjskiego wywiadu. Dodatkowo sporządzony został wykaz rodzajów operacji realizowanych przez rosyjskie służby. Wśród nich można wymienić na przykład tworzenie fikcyjnych profili publikujących fake newsy lub inne prorosyjskie treści, działania dezinformacyjne wymierzone w Stany Zjednoczone bądź Ukrainę, a także operacje „hack and leak”, polegające na kradzieży informacji a potem ich publikacji.

Autorzy raportu wskazują, że ich celem jest uświadamianie społeczeństwa na temat złośliwych operacji prowadzonych w ramach social mediów oraz wgląd w działania GRU w kontekście „szerszego środowiska informacyjnego”.

Tło i kontekst

Główny Zarząd Wywiadowczy, zwany potocznie GRU, podlega rosyjskiemu ministrowi obrony i odpowiada za prowadzenie szeroko zakrojonych operacji wywiadowczych. Jest upoważniony do realizacji specjalistycznych zadań przy wykorzystaniu kapitału ludzkiego (np. operacje psychologiczne) oraz technologicznego (m.in. cyberataki).

„Rozprzestrzenianie się dezinformacji jest jedną z podstawowych praktyk działania w ramach walki informacyjnej i częścią szeregu mechanizmów operacji wpływu prowadzonych przez Rosję” – mówi treść raportu. Według autorów dokumentu tego typu działania GRU są w dużej mierze zgodne z ustalonym wzorem taktycznym znanym jako narrative laundering czy information laundering. Polega on na tworzeniu fikcyjnych historii, a następnie ich publikację oraz rozpowszechnianie poprzez tworzenie specyficznego „łańcucha cytatów” (citation chain), co w ostateczności ma sprawić, że dana wiadomość zostanie uznana przez użytkowników za wiarygodną.

Kolejnym sposobem działania rosyjskich służb jest tak zwany „boosterizm”, który charakteryzuje się tworzeniem treści, a następnie ich rozpowszechnieniem, jednak głównym celem tego typu operacji jest stworzenie przekonania, że stanowisko przedstawione w spreparowanej wiadomości reprezentuje „popularny punkt widzenia”.

Przykłady przedstawione w raporcie dobitnie pokazują, w jaki sposób strategie działania służb zmieniały się wraz z rozwojem ery cyfrowej, dostosowując swoje operacje do kolejnych osiągnięć technologicznych. Dzięki pojawieniu się mediów społecznościowych GRU mogło realizować kampanie wpływu na szeroką skalę, tworząc fikcyjne profile rozpowszechniające fake newsy.

„Kolejną praktyką działania GRU są włamania oraz złośliwe kampanie wycieków danych realizowane za pomocą cyberataków” – stwierdzono w raporcie. Według specjalistów Stanford kompetencje GRU w tym zakresie pokrywają się z obowiązkami innych rosyjskich służb specjalnych, co należy mieć na uwadze podczas badania problematyki rosyjskiej działalności w cyberprzestrzeni. „Rozróżnienie między kompetencjami tych służb wydaje się być dostrzegalne tylko dla podmiotów funkcjonujących wewnątrz nich” – czytamy w dokumencie.

Główne podejścia

Współczesne operacje wpływów realizowane przez Moskwę mają swoje korzenie w ugruntowanej od dziesięcioleci radzieckiej strategii propagandowej, polegającej na rozpowszechnianiu ujednoliconych publikacji. Tego typu operacje koncentrowały się przede wszystkim na tworzeniu długiej formy tekstu lub innego materiału zorientowanego na państwo, a następnie skutecznej kampanii rozpowszechniającej, wykorzystującej między innymi lokalne media.

W tym miejscu należy również podkreślić, że strategia działania GRU obejmuje także tworzenie think tanków i stron z „alternatywnymi wiadomościami”. Jak wskazano w raporcie – „te ośrodki analityczne i witryny medialne opierały się na tzw. personach, czyli fałszywych tożsamościach internetowych, które były utrzymywane przez określony czas lub działały na wielu innych platformach, próbując stworzyć wrażenie, że dany profil osoby jest w pełni prawdziwy”.

Następnie autorzy dokumentu podkreślają znaczenie operacji dezinformacyjnych prowadzonych przez Moskwę. „Zbiór kampanii dezinformacyjnych opisanych w tym dokumencie wydaje się być w dużej mierze porażką służb (…) GRU nie zrobiła nawet absolutnego minimum, aby osiągnąć wysoki poziom wiarygodności, z wyjątkiem niektórych treści zamieszczanych za pomocą Twittera” – wynika z raportu. To wszystko sugeruje, że w wielu przypadkach albo funkcjonariusze GRU nie koncertowali się na „dystrybucji społecznej” spreparowanych materiałów albo nie posiadali wystarczającego doświadczenia do prowadzenia tego typu operacji.

Jednak z drugiej strony eksperci zauważyli, że część kampanii zakończyła się sukcesem Moskwy. Mowa tutaj na przykład o operacjach propagandowych, mających na celu wykorzystanie środowiska medialnego do dystrybuowania propaństwowych treści za pomocą tradycyjnych źródeł informacji. Współcześnie zdecydowanie większą rolę odgrywają media społecznościowe, dzięki którym potencjalna wiadomość może dotrzeć do milionów odbiorców w niedługim czasie od jej publikacji.

W odniesieniu do złośliwych operacji GRU, w których wykorzystane zostały cyberataki specjaliści przywołali przykład amerykańskich wyborów prezydenckich z 2016 roku. Wówczas funkcjonariusze rosyjskiego wywiadu włamali się do systemów DNC z zamiarem zakłócenia przebiegu całej kampanii wyborczej. Podczas operacji próbowali wpłynąć również na nastroje społeczne oraz amerykańską scenę polityczną za pomocą manipulacji i wywierania wpływu na lokalne media. To wszystko obrazuje skalę zaangażowania GRU w ramach realizacji zadań na rzecz Kremla.

Złośliwy kod na stronach internetowych potrafi zawieszać Firefoxa

Data: 06.11.2019 22:29

Autor: ziemianin

purepc.pl

#codziennaprasowka #informacje #wiadomosci #cyberataki #cyberbezpieczenstwo #firefox #malware #mozilla

Złośliwy kod oparty na JavaScripcie służy do zamrażania przeglądarki Firefox. Mozilla nie wystosowała jeszcze łatki eliminującej lukę bezpieczeństwa. Prawdopodobnie otrzymamy ją w wersji 71 lub 72.

Złośliwy kod na stronach internetowych potrafi zawieszać Firefoxa

Jednym z najskuteczniejszych metod ataku użytkowników komputerów są socjotechniki. Osoby dokonujące cyber-ataków skrupulatnie kalkulują swoje działania, licząc na błąd lub naiwność użytkownika. Jak podkreślił niegdyś Kevin Mitnick: "czynnik ludzki jest najsłabszym ogniwem". Powyższy opis tyczy się sytuacji, gdy wymagana jest interakcja drugiej osoby. Jeszcze gorzej jest jednak w przypadku, gdy wszystko odbywa się bez żadnej interakcji użytkownika. Jak podaje portal Ars Technica, przeglądarka Mozilla Firefox narażona jest obecnie na złośliwy kod, który może być zamieszczony na dowolnej stronie. Powoduje on zablokowanie Firefoxa bez możliwości zamknięcia okna z rzeczoną stroną, ani wyjścia z przeglądarki.

Złośliwy kod zaraportował Mozilli badacz zabezpieczeń z Malwarebytes, Jérôme Segura. Został on stworzony w JavaScript i wykorzystuje lukę zabezpieczeń w najnowszej wersji Firefoxa (70). Dzięki niemu cyber-atakujący mogą "zamrozić" przeglądarkę bez interakcji użytkownika. Ten natomiast widzi komunikat o posiadaniu nielegalnej wersji Windowsa i zablokowaniu komputera dla własnego bezpieczeństwa. W fałszywym okienku podany jest również numer telefonu do rzekomego wsparcia technicznego Windowsa. Taka sytuacja może się przydarzyć zarówno posiadaczom komputerów z systemem Windows, jak i macOS. W przypadku otrzymania takiego komunikatu, jedynym sposobem na wyjście z przeglądarki jest wymuszone zamknięcie procesu Firefox (albo stary dobry Alt-F4, bądź menedżer zadań). Jeśli użytkownik ustawił opcję przywracania kart, będzie musiał albo odłączyć dostęp do internetu, albo szybko usunąć kartę, zanim złośliwy kod wczyta się ponownie.

Ten exploit wykorzystuje mechanizm blokowania przeglądarki poprzez wyświetlanie monitu z uwierzytelnieniem. Jest on o tyle groźny, że może się pojawić na wielu stronach, jeśli tylko zostanie zainfekowany serwer. Ponadto, aktywuje się on automatycznie, a odbiorca straszony jest komunikatem o zablokowaniu komputera w przeciągu 5 minut jeśli nie zadzwoni na wskazany numer (który prawdopodobnie jest także częścią scamu). Co ciekawe Mozilla w marcu 2019 wydała obszerną łatkę zapobiegającą tego typu atakom, datującym się od 2006 roku. Najwidoczniej mamy do czynienia z niespotykaną dotąd wariacją. Mozilla zadeklarowała, że pracuje nad rozwiązaniem problemu. Nie wiemy jednak, jak długo zajmie wyeliminowanie tej luki bezpieczeństwa. Firma przewiduje, że upora się ze złośliwym kodem w wersji 71 lub 72.

Największy bank w Polsce ostrzega przed oszustwami na PSD2

Data: 30.09.2019 02:28

Autor: ziemianin

businessinsider.com.pl

#codziennaprasowka #informacje #wiadomosci #polska #banki #cyberbezpieczenstwo #pkobp

Oszuści dzwonią do klientów i udając pracowników PKO BP, proszą o zainstalowanie specjalnego oprogramowania w związku z wejściem w życie dyrektywy PSD2. Bank apeluje, by tego nie robić.

Największy bank w Polsce ostrzega przed oszustwami na PSD2

PKO BP ostrzega przed możliwymi oszustwami na PSD2. Przestępcy dzwonią do klientów banku, udając pracowników i proszą o zainstalowanie specjalnego oprogramowania w związku z wejściem w życie dyrektywy PSD

14 września weszła w życie dyrektywa PSD2

PKO BP, czyli największy bank w Polsce ostrzega klientów przed możliwymi oszustwami

Oszuści dzwonią do klientów i proszą o zainstalowanie specjalnego oprogramowania. Bank podkreśla, by tego nie robić

PKO BP na swojej stronie internetowej opublikował specjalny komunikat w tej sprawie.

"Oszuści udają pracowników PKO Banku Polskiego, powołują się na dyrektywę PSD2 i proszą o zainstalowanie dodatkowego oprogramowania, które prześlą mailem. Oprogramowanie to ma pozornie służyć autoryzacji transakcji, a tak naprawdę może wyłudzać dane logowania i kody autoryzacyjne" – czytamy w nim.

Bank apeluje, by nie podawać rozmówcy żadnych danych, nie zgadzać się na przesłanie oprogramowania. Prosi też o natychmiastowe poinformowanie o tej sytuacji.

Złośliwe oprogramowanie ukradnie dane

PKO BP tłumaczy, że otworzenia załącznika od oszusta prawdopodobnie spowoduje zainstalowanie złośliwego oprogramowania. Pozwoli ono przestępcom zdobyć poufne dane logowania do bankowości elektronicznej oraz autoryzacji transakcji. W ten sposób oszuści mogą przejąć kontrolę nad rachunkiem.

PKO BP przypomina klientom:

Bank nie prosi o instalację żadnego dodatkowego oprogramowania w związku z wejściem w życie dyrektywy PSD2.

Nie otwieraj załączników z niepewnych źródeł i nie klikaj w podejrzane linki.

Bank nigdy nie wymaga podania kodu jednorazowego w trakcie rozmowy telefonicznej nawiązanej przez pracownika banku, chyba że kontakt telefoniczny następuje z Twojej inicjatywy.

Podanie kodu z narzędzia autoryzacyjnego jest niezbędne wyłącznie do zatwierdzenia zleconej przez Ciebie dyspozycji, np. zlecenia przelewu, założenia lokaty, zmiany danych korespondencyjnych, zdefiniowania płatności, zlecenia stałego i przeglądania historii.

Czym jest PSD2?

PSD2 (ang. Payment Services Directive) to unijna dyrektywa dotycząca usług płatniczych, do której musiały dostosować się wszystkie kraje Wspólnoty. Zrobiła to także Polska poprzez nowelizację ustawy o usługach płatniczych, która weszła w życie 20 czerwca 2018 roku. Zapisano w niej, że banki i inne instytucje finansowe mają czas na wdrożenie przepisów właśnie do 14 września 2019 roku.

Głównymi założeniami dyrektywy PSD2 jest zwiększenie bezpieczeństwa konsumentów i lepsze chronienie ich przed nadużyciami finansowymi w obrocie bezgotówkowym. Ma także zwiększyć szybkość realizacji płatności bezgotówkowych.

Tak wygląda sieć izraelskich firm, tworzących narzędzia do cyfrowych ataków. To stamtąd . . .

Data: 10.09.2019 06:51

Autor: ziemianin

businessinsider.com

#codziennaprasowka #informacje #wiadomosci #inwigilacja #haker #cyberbezpieczenstwo #cyberataki #technologia

Za system Pegasus odpowiada firma NSO Group. Jej założyciele twierdzą, że technologia, która koncentruje się na zbieraniu informacji ze smartfonów, została zaprojektowana w szlachetnym celu, jakim jest pomoc rządom w walce z terroryzmem i przestępczością

Źródło: BiPrime (wymagany angielski)

Tak wygląda sieć izraelskich firm, tworzących narzędzia do cyfrowych ataków. To stamtąd pochodzi Pegasus

Jeśli spędzisz trochę czasu w sekretnym świecie firm, sprzedających "ofensywne cybermożliwości" – tajne narzędzia, które pozwalają włamywać się do telefonów, komputerów i innych urządzeń cyfrowych, aby szpiegować ich użytkowników – to zauważysz, że jedna organizacja wydaje się szczególnie duża i ważna.

Izraelska firma NSO Group zajmująca się cyberbezpieczeństwem została oskarżona o sprzedaż zaawansowanej technologii nadzoru cyfrowego Arabii Saudyjskiej i innym krajom, które są podejrzane o wykorzystywanie jej do ataków na dysydentów i dziennikarzy

Pomimo kontrowersji, firma jest niezwykle dochodowa. Zarobiła około 125 milionów dolarów zysku w 2018 roku, według jednego ze źródeł

Założyciele i byli pracownicy NSO Group stworzyli sieć kilkunastu podobnych startupów, z których wiele działa w tajemnicy. Sprzedają narzędzia do ataków na routery, komputery, inteligentne głośniki i inne urządzenia cyfrowe

Na razie większość tradycyjnych firm typu venture capital trzyma się z dala od firm sprzedających "cyberofensywne możliwości", powołując się na ryzyko dot. prawa i utraty reputacji

Znajduje się w centrum tętniącego życiem, ale i dyskretnego, ekosystemu izraelskich startupów, które specjalizują się w omijaniu i przeciwdziałaniu funkcjom bezpieczeństwa naszego środowiska cyfrowego. W ten sposób klienci, w niektórych przypadkach, otrzymują niemal nieograniczony dostęp do wiadomości i połączeń niemal każdej osoby, którą obrano za cel.


reszta artykułu na stronie [źródł]()https://www.businessinsider.com/inside-the-israel-offensive-cybersecurity-world-funded-by-nso-group-2019-8?IR=T

Przerobiony kabel Lightning do iPhone'a pozwala zdalnie przejąć komputer Apple Mac

Data: 14.08.2019 16:05

Autor: ziemianin

ithardware.pl

#wiadomosci #codziennaprasowka #Apple #iPhone #cyberbezpieczenstwo #bezpieczenstwoit #haker

Specjalnie spreparowany przez hakerów kabel Lightning do iPhone'a pozwala przejąć komputer, do którego zostanie podłączony. W ramach demonstracji (szukać samemu, jest video w sieci) edukacyjnej zaprezentował go specjalista ds. cyberbezpieczeństwa, który w internecie posługuje się pseudonimem MG.

Przerobiony kabel Lightning do iPhone'a pozwala zdalnie przejąć komputer Apple Mac

Taki kabel można podrzucić albo podarować niczego nie podejrzewającej ofierze.

Komputery i smartfony Apple posiadają reputację sprzętu bezpieczniejszego nić ich odpowiedniki na Androidzie, Windowsie czy innych systemach, nie są jednak odporne na wszystko. Zwykły kabel Lightning może zostać podmieniony na spreparowaną wersję i za jej pomocą haker może uzyskać dostęp do sprzętu ofiary. Już wcześniej w tym roku pojawiały się pierwsze informacje na temat kabli O.MG, ale teraz podczas corocznej konferencji Def Con, badacz bezpieczeństwa i twórca zmodyfikowanych kabli, który znany jest jako MG, postanowił nieco przybliżyć swój wynalazek.

"To wygląda jak prawdziwy kabel i działa tak samo. Nawet komputer nie zauważy różnicy. Dopóki ja, jako atakujący, zdalnie nie przejmę kontroli nad kablem" – powiedział MG. Ponieważ odróżnienie kabla od oryginalnego produktu Apple jest prawie niemożliwe, łatwo można zamienić zmodyfikowaną wersję z wersją oryginalną, nie wzbudzając niczyich podejrzeń. Kabel może być również podarowany nieświadomej ofierze. Kabel zawiera implant, który umożliwia hakowanie. Kabel oczywiście spełnia podstawowe funkcje, ale po podłączeniu do komputera Mac hakerzy mogą uzyskać dostęp do sprzętu za pośrednictwem utworzonego hotspotu Wi-Fi. Mają także zdalny kill switch, aby ukryć swoją obecność.

Atakujący mogą znajdować się w odległości do 100 metrów od kabla i nadal móc włamać się do komputera Mac. Odległość można zwiększyć za pomocą anteny. MG powiedział również, że "kabel można skonfigurować tak, aby działał jako klient pobliskiej sieci bezprzewodowej. A jeśli ta sieć bezprzewodowa ma połączenie z internetem, odległość w zasadzie staje się nieograniczona". MG chce stworzyć kable O.MG jako legalne produkty bezpieczeństwa i mówi, że firma Hak5 jest gotowa je sprzedawać – chociaż będą tworzone od zera, a nie przerabiane na bazie kabli Apple. Klienci Def Con otrzymają wczesny dostęp do narzędzi, których cena wynosi 200 USD.

Wyciek danych osobowych ponad 2 tysięcy uczestników E3!

Data: 04.08.2019 12:19

Autor: JuliaMay

gry-online.pl

ESA zaliczyło wpadkę na niewyobrażalną skalę. Niezabezpieczony plik z wszystkimi danymi kontaktowymi dziennikarzy czy YouTuberów krąży sobie po sieci, co na pewno będzie służyło nadużyciom. Taka wpadka odbije się bardzo źle na E3 i wiele firm oraz reprezentantów mediów może za rok nie chcieć się dzielić swoimi danymi, a w rezultacie nie pojawi się na imprezie- mówi Michał Mańka uczestnik E3 i redaktor GryOnLine.

#gry #technologia #cyberbezpieczenstwo #e3