Zaufana Trzecia Strona - Co wygrzebaliśmy z kupionych kart pamięci – opowieści ku przestrodze

Data: 13.03.2020 11:37

Autor: ziemianin

zaufanatrzeciastrona.pl

#aktualnosci #codziennaprasowka #informacje #wiadomosci #zaufanatrzeciastrona #cyberbezpieczenstwo #informatyka #dane

Wczoraj dość obszernie opisaliśmy nasz eksperyment, polegający na zakupieniu 40 używanych kart pamięci i analizie ich zawartości. Czas zatem najwyższy, by pokazać, co konkretnie na poszczególnych kartach udało się nam znaleźć.

Zaufana Trzecia Strona – Co wygrzebaliśmy z kupionych kart pamięci – opowieści ku przestrodze

W poprzedniej części omówiliśmy badanie od strony technicznej oraz ogólny obraz wyłaniający się z przeprowadzonej analizy. Wspomnieliśmy też o konsekwencjach tej sytuacji dla rynku konsumenckiego i biznesu prowadzonego w mniejszej skali. Jak również o problemach bazowania na „ustawieniach domyślnych” przez użytkowników pozbawionych dobrodziejstw płynących z posiadania wcale nie najtańszych zespołów zajmujących się bezpieczeństwem.

W tym miejscu musimy dodać, że karty SD to najprawdopodobniej jedynie czubek góry lodowej i można zaryzykować ekstrapolowanie uzyskanego wyniku także na pozostałe nośniki. Sytuacja robi się naprawdę ciekawa, gdy pojawia się silniejszy impuls finansowy, by jednak odzyskać jakąś cześć środków włożonych w zakup. W przypadku samych dysków SSD na najpopularniejszym polskim portalu aukcyjnym znaleźliśmy ponad 1000 ofert w kategoriach „używane” bądź „po zwrocie”. Należy głęboko powątpiewać, że wszystkie z nich zostały poddane właściwej procedurze przed wystawieniem na sprzedaż. Ten sam problem najprawdopodobniej dotyczy także sprzętu poleasingowego. Pozostawia to ogromne pole do działania, jeśli chodzi o zakres upowszechniania wiedzy o zagrożeniach, jak też konstrukcji odpowiednich polityk i doradztwa w przypadku mniejszych podmiotów gospodarczych. To jednak tylko i aż rozważania oparte na statystyce.

. . . pozostała treść na stronie źródła

Haker przejął kamery monitoringu indyjskich scammerów. Do śledztwa włączyło się BBC

Data: 05.03.2020 04:35

Autor: ziemianin

youtube.com

#aktualnosci #codziennaprasowka #informacje #wiadomosci #scammer #oszust #cyberbezpieczenstwo

Prawdziwą plagą stali się oszuści, którzy z hinduskim akcentem podają się za pracowników technicznych Microsoftu lub serwisantów Windows i pod pretekstem sprawdzenia problemów instalują na komputerach ofiar oprogramowanie szyfrujące, które wymaga wpłacenia okupu. Mimo że Microsoft aktywnie zwalcza takie firmy, niczym głowy hydry wyrastają nowe. Scammerzy bywają rozzuchwaleni i bezwzględni, wyciągają pieniądze nawet od dzieci i niepełnosprawnych. To wkurzyło paru hakerów, którzy postanowili atakować ich na własną rękę i podzielić się materiałami z dużą stacją telewizyjną.

Haker przejął kamery monitoringu indyjskich scammerów. Do śledztwa włączyło się BBC

Materiał BBC

Ataki wymierzone w oszustów mogą przybierać różne formy, od marnowania ich czasu poprzez wkręcanie (np. przydzielenie im dostępu do maszyny wirtualnej, w której nie mogą nam zaszkodzić), poprzez zagłuszanie połączeń, kontaktowanie się z ofiarami w celu pomocy, kończąc na włamaniu się do ich systemu, wyłączeniu go i publicznej demaskacji, co czasem prowadzi do konieczności zwinięcia interesu. Takiego włamu do systemu call center dokonał jeden z tropicieli scammerów, przedstawiający się jako Jim Browning. Brytyjczyk pisze:

Kiedy scammer połączył się z moim PC, mogłem odwrócić połączenie i odkryć, że mają CCTV. Zobaczycie najbardziej szczegółowe exposé scamu z pomocą techniczną w historii YouTube'a. Firma nazywała się Faremart.com — to biuro podróży w Delhi, które używa budynków i telefonii VOIP do przeprowadzania różnych oszustw. Są jednym z setek scammerskich call centre'ów w Indiach i jako ta grupa wyciągają z oszustw 3 miliony dolarów rocznie. 

Browning pokazał, jak uzyskał dostęp do obrazu z kamer monitoringu rozmieszczonych w całym budynku, a także do nagrań rozmów i systemu z numerami telefonów. Ustawiając swoje tło pulpitu na jaskrawy kolor, haker mógł zobaczyć na jednej z kamer, kto dokładnie przegląda teraz jego komputer. Pracownik posługiwał się oczywiście fałszywymi danymi, a sama pomoc techniczna działała pod przynajmniej kilkoma różnymi nazwami. Szczegóły znajdują się w opisie filmu. Udało się też ustalić personalia pracowników oraz namierzyć jaskinię scamerów, salę ukrytą na tyłach "legitnego" biurowca. To dopiero pierwsza część tego najdalej chyba posuniętego raw footage odkrywającego kulisy oszustwa. Kolejne części haker zamierza opublikować odpowiednio 9, 16 i 23 marca. Materiałem podzielił się również z Panoramą (programem BBC), która nagrała na ten temat dokument. Dzięki temu wiedza o oszustach weszła dosłownie do mainstreamu.

Śledztwo dotyczące Faremart i włamanie się do jego systemu nie było legalne, ale słuszne, ponieważ pomogło nagłośnić ważną sprawę. Jak podaje BBC, w samej tylko Wielkiej Brytanii miesięcznie odbiera się 21 milionów telefonów od scammerów, a właściciele call centers wyciągają z procederu setki tysięcy dolarów miesięcznie. Z szefem tego konkretnego rozmawiała przez telefon korespondentka BBC. Warto posłuchać. Firmy te są w jakimś stopniu zwalczane przez indyjskie służby, jednak nie można powiedzieć, by były w tych wysiłkach specjalnie gorliwe i skuteczne.

Włamanie na witrynę www Narodowego Banku Polskiego

Data: 27.02.2020 01:08

Autor: ziemianin

zaufanatrzeciastrona.pl

#aktualnosci #codziennaprasowka #informacje #wiadomosci #haker #wlamanie #cyberbezpieczenstwo #nbp

Czy można włamać się na stronę jednego z najważniejszych polskich urzędów i zamieścić tam pozdrowienia dla kolegów? Okazuje się, że dla azjatyckich nastolatków to nic trudnego. Na szczęście nie mieli innych pomysłów…

Włamanie na witrynę www Narodowego Banku Polskiego

Pewien Anonimowy Anonim podesłał nam link do ciekawej informacji. W repozytorium dowodów włamań, znanym ze swojej rzetelności, znaleźć można [ślad po ciekawym włamaniu]()https://www.zone-h.org/mirror/id/33228784?hz=2, do którego doszło przed 21 lutego 2020. Ofiarą ataku była strona Narodowego Banku Polskiego, a włamywacz postanowił zamieścić tam krótki tekst na dowód swoich umiejętności.

W całej tej katastrofie głównym elementem optymizmu jest tożsamość włamywacza czy też ich grupy. Pobieżne przejrzenie osiągnięć autorów kryjących się pod pseudonimem lulzkid wskazuje, że mogą oni pochodzić z Azji i należą do wymierającego gatunku hakerów. Na przejętych witrynach zamieszczają swoje apele do świata lub pozdrowienia dla znajomych, podczas gdy w rzeczywistości mogli narobić sporo bałaganu na polskim rynku finansowym.

. . . reszta tekstu na stronie źródła

Długość ma znaczenie!

Data: 19.02.2020 14:50

Autor: ziemianin

news.softpedia.com

#aktualnosci #codziennaprasowka #informacje #wiadomosci #cyberbezpieczenstwo #komputery #haslo #password #bezpieczenstwo #technologia #fbi #news #softpedia #hasla #menedzerhasel #bezpieczenstwoit

Długość ma znaczenie! Taki wniosek można wysnuć po lekturze artykułu ze wskazówkami FBI dotyczącymi tego, jak stworzyć dobre hasło – takie, z którym cyberprzestępcy nie uporają się tak łatwo.

Długość ma znaczenie!

Choć w społeczeństwie rośnie świadomość zagrożeń, wciąż zdecydowanie za często wybieramy beznadziejne hasła, takie jak „123456”, „qwerty” czy „abc123”. Nie stanowią one większej przeszkody dla cyberprzestępców i jest tak z co najmniej kilku powodów. Ostatnio zwróciło na to uwagę FBI, publikując wskazówki na temat tego, jak stworzyć dobre hasło.

(FBI radzi) jak stworzyć dobre hasło

Czy „h@5Ełk0” to dobre hasło? Jeszcze niedawno eksperci odpowiedzieliby, że tak – w końcu ma co najmniej 7 znaków, małe i duże litery, cyfry oraz znaki specjalne. Dziś jednak wiemy już, że jest ono niewiele lepsze niż proste „hasełko” (a może nawet gorsze, bo trudniejsze do zapamiętania). Podstawowa informacja, którą każdy powinien znać, jest taka, że to długość jest tym, co ma największe znaczenie. Im więcej znaków do odgadnięcia, tym trudniejsze zadanie dla cyberprzestępcy i jego narzędzi.

FBI radzi konkretnie, by stosować hasła o długości co najmniej 15 znaków. Powinny zawierać kilka połączonych ze sobą słów – najlepiej w nieoczywisty sposób, ale łatwy do zapamiętania dla danego użytkownika. Jeśli ma na przykład na ścianie kalendarz z galopującym koniem, to hasło „kalendarzZgalopującymKONIEM” może sprawdzić się bardzo dobrze. A jak jeszcze dodamy jakieś cyfry i znaki specjalne, to już w ogóle będzie idealnie. Nie należy jednak podawać osobistych informacji.

Co jeszcze radzi FBI? Wyłączenie podpowiedzi (mogących ułatwiać zadanie cyberprzestępcom) i prowadzenie częstych audytów w środowisku firmowym. A co z menedżerami haseł? W tej kwestii „federalni” nie wypowiadają się jednoznacznie. Z jednej strony ostrzegają, że gdy cyberprzestępca zdobędzie hasło do sejfu, to pozna wszystkie nasze hasła, z drugiej jednak słusznie zauważają, że takie programy pozwalają skuteczniej chronić konta w różnych serwisach (zachęcając do stosowania różnych haseł).

Warto też wiedzieć, że absolutnie nie ma potrzeby częstego zmieniania haseł (nieważne, czy za „częste” uznamy co 30 dni, co 3 miesiące czy co rok). Eksperci są aktualnie zgodni co do tego, że zmiana jest zalecana dopiero w momencie, gdy istnieje podejrzenie, że ktoś poznał nasze hasło (w przypadku zauważenia czegoś niepokojącego czy też pojawienia się informacji o wycieku).

Podsumowując – dobre hasło to takie, które:

nie zostało przez nas wykorzystane nigdy wcześniej (ani później), 







jest długie (najlepiej nie mniej niż 15 znaków),







zawiera duże i małe litery (cyfry i znaki specjalne też są mile widziane), 







nie zawiera żadnych informacji osobistych (np. imienia, ważnych dat itp.), 







nie jest jednym wyrazem słownikowym (nawet długim), 







nie jest proste do zgadnięcia (nawet dla bliskiej osoby), 







ale jest łatwe do zapamiętania.

Czy wasze hasła spełniają te warunki? Jeśli nie, to zalecam zmianę.

#niebezpiecznik mBank poprosił klientów o . . . wrzucenie zdjęć kart płatniczych na Instagrama

Data: 17.02.2020 12:04

Autor: ziemianin

niebezpiecznik.pl

#niebezpiecznik #aktualnosci #codziennaprasowka #informacje #wiadomosci #cyberbezpieczenstwo #instagram #wtf

Ta dość kuriozalna sytuacja miała miejsce na oficjalnym profilu mBanku na Instagramie. Jak poinformowali nas Czytelnicy, mBank poprosił klientów aby wrzucili “zdjęcie swojej ulubionej karty” na Instagrama:

#niebezpiecznik mBank poprosił klientów o . . . wrzucenie zdjęć kart płatniczych na Instagrama

3 mity cybersecurity | Piotr Konieczny z niebezpiecznik.pl | TEDxKatowice

Data: 15.02.2020 12:13

Autor: ziemianin

youtube.com

#aktualnosci #codziennaprasowka #informacje #wiadomosci #TEDxTalks #cyberbezpieczenstwo #nauka #internet #komputery #smartfony #niebezpiecznik

Umiejętność bezpiecznego poruszania się po internecie na komputerze i smartfonie oraz dbania o swoją prywatność staje się coraz ważniejsza. Niestety, temat jest dość skomplikowany i choć stosunkowo świeży, to już zdążył obrosnąć w mity. Ludzie "zabezpieczają" się ale niestety nie przed tymi zagrożeniami, przed którymi powinni. Zaklejają kamerki w laptopach, choć są narażeni na zupełnie inne ryzyka niż podglądanie. Dlatego wciąż dane, pieniądze i tożsamość internautów są regularnie wykradane. W trakcie prelekcji podpowiem jakie działania nie mają sensu, a na co faktycznie warto zwrócić uwagę tak, aby robiąc jak najmniej, zabezpieczyć jak najwięcej naszego cyfrowego świata. Piotr Konieczny, ekspert ds. bezpieczeństwa, od 14 lat pomaga największym polskim i zagranicznym firmom w zabezpieczaniu ich sieci oraz serwisów internetowych. Absolwent Glasgow Caledonian University. Laureat prestiżowej nagrody Digital Shapers 2018 magazynów Forbes i Business Insider oraz wielokrotny zdobywca nagród za najlepsze prelekcje na największych polskich konferencjach poświęconych bezpieczeństwu IT. Założyciel Niebezpiecznik.pl, firmy doradczej konsultującej projekty informatyczne pod kątem bezpieczeństwa. W ramach Niebezpiecznik.pl Piotr zarządza zespołem wykonującym audyty i testy penetracyjne systemów teleinformatycznych oraz prowadzi szkolenia zarówno dla administratorów i programistów jak i zwykłych pracowników polskich firm, którzy w ramach swoich służbowych obowiązków korzystają z komputerów i internetu. This talk was given at a TEDx event using the TED conference format but independently organized by a local community. Learn more at

3 mity cybersecurity | Piotr Konieczny z niebezpiecznik.pl | TEDxKatowice

Nie czekaj na hakera - sam przetestuj, jak bezpieczna jest twoja sieć

Data: 11.02.2020 13:54

Autor: ziemianin

tiny.pl

#aktualnosci #codziennaprasowka #informacje #wiadomosci #komputery #siecikomputerowe #wifi #cyberbezpieczenstwo #poradnik #komputerswiat

Każdy z nas ma w domu sieć bezprzewodową. Jednak czy jesteśmy pewni, że jest ona bezpieczna? Czy urządzenia, które są do niej podłączone, są odpowiednio zabezpieczone? Na te pytania pomogą nam odpowiedzieć testy penetracyjne.

Nie czekaj na hakera – sam przetestuj, jak bezpieczna jest twoja sieć

poniżej całość, jakby komuś nie pasował portal KomputerŚwiat


Artykuł powstał w ramach akcji Onetu z okazji "Dnia Bezpiecznego Internetu", który jest inicjatywą Komisji Europejskiej i ma na celu zwrócenie uwagi na problemy bezpiecznego dostępu do zasobów internetowych. Korzystając z sieci jesteśmy narażeni na kradzież pieniędzy, danych, na naruszenie wizerunku czy dobrego imienia. W ramach kampanii podpowiadamy, jak uchronić się przed atakami hakerów, zabezpieczyć swoją pocztę elektroniczną, ale przede wszystkim siebie i dzieci przed zagrożeniami, które czyhają w Internecie.

Testy penetracyjne to inaczej sprawdzenie podatności na atak – sieci, urządzeń, aplikacji, właściwie wszystkich elementów infrastruktury sieciowej i sprzętów, które są do niej podłączone, a nawet osób, które z niej korzystają. Głównym celem wykonywania takich testów wcale nie jest włamanie się zdalnie na inną maszynę, ale wyszukanie luk bezpieczeństwa, które mogłyby to umożliwić potencjalnemu atakującemu. Wykryte luki można załatać, tych nieznanych – nie. Jest to bardzo obszerny dział, który obejmuje nawet interakcje międzyludzkie.Testy penetracyjne mogą imitować ataki, jakie mogą wystąpić w naszej sieci domowej.

Możemy podzielić je na dwie główne kategorie – pasywne i aktywne. Te pierwsze polegają na zebraniu informacji, śledzeniu, podsłuchiwaniu, analizie ruchu sieciowego. Prowadzą one do właściwego ataku aktywnego, którego celem jest modyfikacja danych użytkownika, przejęcie kontroli nad jego urządzeniem lub zakłócenie jego pracy.

Uwaga! Przeprowadzając analizę bezpieczeństwa lub wykonując testy penetracyjne w jakiejkolwiek sieci, musimy mieć na to pozwolenie administratora tej sieci. Możemy więc swobodnie testować własną sieć, której jesteśmy właścicielami.

Testy w naszej sieci: krok po kroku

W większości przypadków przeprowadzając testy, musimy myśleć jak osoba, która chciałaby uzyskać dostęp do naszych danych, czyli jak potencjalny atakujący. Warto przeanalizować poszczególne kroki, które są do tego niezbędne, i sprawdzać naszą ochronę na każdym z etapów.

  1. Włamanie się do sieci Wi-Fi z wykorzystaniem narzędzia aircrack-ng.

  2. Skanowanie sieci w poszukiwaniu celów ataku i sprawdzanie, jakie porty są otwarte – narzędzie Nmap.

  3. Jeśli system jest niezabezpieczony lub ma luki w zabezpieczeniach, możliwe, że bez większego trudu uda się uzyskać dostęp, stosując narzędzie Metasploit; jeżeli nie jest to możliwe, atakujący szuka innego punktu zaczepienia.

  4. Podsłuchiwanie sieci, analizowanie całego ruchu w celu wychwycenia haseł dostępu, adresów e-mail i innych wrażliwych danych – narzędzie Wireshark.

  5. Atak drogą mailową za pomocą Metasploit lub innych podobnych narzędzi.

  6. Instalacja backdoora na urządzeniu ofiary w celu utrzymania kontroli nad jego urządzeniem.

Jest to tylko przykładowy przebieg ataku – lub testu penetracyjnego. Jak widać, zaczyna się on od włamania do sieci Wi-Fi.

A zatem jej dobre zabezpieczenie to podstawa. Bez włamania do naszej sieci możliwości skutecznego ataku są dość małe – musielibyśmy sami otworzyć zainfekowany załącznik w e-mailu lub kliknąć na niebezpieczny link w internecie. Zobaczmy więc, jak włamać się do własnej sieci, by poznać jej słabe punkty.

Ataki pasywne

W tej kategorii możemy wyróżnić kilka przykładów ataków:

Social Engineering – jest to sposób na pozyskanie wrażliwych danych przy wykorzystaniu ludzkiej lekkomyślności i braku wiedzy. W tym celu wysyła się fałszywe e-maile, przegląda wyrzuconą dokumentację, podgląda użytkownika przy logowaniu itp.

Skanowanie sieci – ta metoda pozwala na poznanie topologii atakowanej sieci, dzięki temu możemy dowiedzieć się, jakie urządzenia korzystają z danej sieci, jakie porty są otwarte itp.

Sniffing – ten atak pasywny polega na monitorowaniu i rejestrowaniu całego ruchu sieciowego lub jego części w atakowanej sieci. Odpowiednio wykonany może umożliwić odkrycie haseł, loginów, a nawet prywatnych rozmów użytkowników.

Łamanie hasła – dzięki tej metodzie atakujący może, korzystając z metody siłowej (brute-force), złamać zabezpieczenie, wystarczy odpowiednio dużo czasu i mocy obliczeniowej. Łamanie hasła w sposób niezauważalny dla użytkownika jest uważane za atak pasywny. 

Ataki aktywne

Tego typu ataków jest znacznie więcej niż pasywnych. Oto najważniejsze:

Spoofing – ten typ ataku polega na podszywaniu się pod inny autoryzowany w danej sieci komputer. Celem jest oszukanie systemów zabezpieczających. Umożliwia to bezproblemowe uzyskanie dostępu na przykład do sieci, w której aktywne jest filtrowanie MAC.

Hijacking – czyli przechwytywanie sesji, polega na przechwyceniu sesji w protokole TCP. Dzieje się to po tym, jak atakujący zrywa połączenie między serwerem i klientem, aby móc zastąpić klienta i bez konieczności logowania kontynuować komunikację.

Koń trojański – popularnie nazywany trojanem. Jest to program, który może podszywać się lub wchodzić w skład dowolnej aplikacji i po zainstalowaniu przez użytkownika wykonuje w tle różne operacje, które zaprogramował atakujący, na przykład zapisuje hasła lub inne dane.

Ataki typu DoS – jest to typ ataków, które mają na celu uniemożliwienie dostępu do różnych usług zwykłym użytkownikom. Polegają one głównie na spamowaniu połączeń, które mają za zadanie wyczerpać zasoby serwera lub dowolnego urządzenia sieciowego, czego skutkiem będzie przerwa w pracy. 

Kali Linux

W przeprowadzeniu testów w naszej sieci pomoże nam system do zadań specjalnych – Kali Linux. Jest to dystrybucja Linuxa, która ma już wbudowane praktycznie wszystkie aplikacje i pakiety potrzebne do sprawdzenia stanu ochrony sieci bezprzewodowej i nie tylko. Do naszej dyspozycji będziemy mieli blisko 350 różnego rodzaju narzędzi, które zostały podzielone na 14 kategorii. Obraz ISO systemu w wersji Live znajduje się na płycie DVD dołączonej do Komputer Świata Special.

Tworzymy bootowalny pendrive

W celu przetestowania systemu Kali Linux musimy go uruchomić w wirtualnej maszynie lub utworzyć specjalny nośnik, z którego uruchomimy wersję Live. Pomoże nam w tym program Rufus, który znajduje się na płycie DVD.

Uruchamiamy go na naszym komputerze. Podpinamy nośnik USB. Upewniamy się, że u góry okna Rufusa został wybrany odpowiedni nośnik USB. Następnie wskazujemy obraz ISO , który ma być umieszczony na noś­niku. Obraz znajduje się na płycie w folderze Kali Linux, wybieramy go, a następnie klikamy na Start. Uwaga! Pamiętajmy, że ten proces całkowicie usunie dane z pendrive’a. Należy też pamiętać, że jest to wgrywanie wersji Live na nośnik, a nie instalacja systemu. Instalację możemy uruchomić z bootowalnego nośnika z Kali Linux.

Uruchamiamy bootowalny pendrive

Na nośniku powinniśmy mieć już system Kali Linux w wersji Live, dzięki temu możemy uruchomić system, zapoznać się z jego wyglądem i funkcjami, zanim go zainstalujemy na stałe. Po włożeniu nośnika do portu USB musimy zrestartować komputer i przy jego starcie wcisnąć F8 lub F12 – uruchomi się Boot Menu, dzięki czemu będziemy mogli wybrać nośnik USB do startu komputera. Następnie za pomocą strzałek wskazujemy opcję Live i zatwierdzamy wybór klawiszem Enter w celu uruchomienia systemu do testów. Gdybyśmy chcieli zainstalować Kali Linuxa, wybieramy opcję Graphical install.

Jeśli nasza płyta główna nie wspiera Boot Menu, będziemy musieli uruchomić ustawienia BIOS-u – najczęściej przy starcie komputera za pomocą klawisza F1, F2, F10, Delete lub Esc, a następnie ustawić priorytet startu z płyty CD/DVD.

Uwaga! Dokładny poradnik, jak zainstalować Linuxa, znajdziemy w KŚ+. Nie instalujmy systemu Linux na tym samym dysku co system Windows – w trakcie instalacji wszystkie dane z wybranego nośnika zostaną usunięte.

Z jakiej wersji korzystać

Jeśli zamierzamy tylko przetestować system Kali Linux i sprawdzić działanie różnych narzędzi systemu, korzystajmy z wersji Live. Należy jednak pamiętać, że żadne działania wykonywane w takiej wersji systemu nie są zapisywane na stałe i po ponownym uruchomieniu wszystkie ustawienia, aktualizacje, zapisane dane zostaną usunięte. Jeżeli zamierzamy dłużej korzystać z systemu, wskazana jest instalacja, ponieważ na przykład część narzędzi może wymagać aktualizacji do poprawnego działania.

Pierwsze kroki w Kali Linux

  1. Jeśli zdecydowaliśmy się na instalację systemu, w jej trakcie możemy od razu ustalić język systemu oraz login i hasło użytkownika. W przypadku korzystania z wersji Live domyślny login to root,

a hasło to toor.

Podajemy je na ekranie logowania i zatwierdzamy, wciskając klawisz Enter lub klikając na Next i Unlock.

  1. Następnie, aby zmienić język na polski, klikamy w górnym prawym rogu ekranu na strzałkę na pasku zadań, a następnie na symbol Narzędzi.

  2. Teraz po lewej stronie klikamy na Region & Language, a po prawej na Language,

z listy wybieramy język polski i klikamy na Restart w celu zresetowania sesji użytkownika.

Po ponownym zalogowaniu będziemy mogli testować system Kali Linux w języku polskim.

  1. Domyślnie nie możemy umieszczać skrótów do programów na pulpicie, a jedynie foldery – warto o tym pamiętać. Po lewej stronie znajduje się pasek szybkiego dostępu, na którym znajdują się programy z kategorii Ulubione.

Po kliknięciu prawym przyciskiem myszy na ikonę wybranej aplikacji możemy ją usunąć z tej kategorii. Dodawanie ulubionych wygląda bardzo podobnie. Wystarczy prawym przyciskiem myszy kliknąć na ikonę aplikacji i wybrać opcję Dodaj do ulubionych.

  1. Na samym dole paska szybkiego dostępu znajduje się przycisk, który pozwala na wyświetlenie programów zainstalowanych w systemie.

Nie znajdziemy tu jednak wszystkich narzędzi, ponieważ niektóre z nich dostępne są tylko po wpisaniu odpowiedniej komendy w terminalu.

  1. Górny pasek podzielony został na kilka elementów. Możemy traktować go jak pasek zadań w systemie Windows. Po kliknięciu na Programy otworzy się menu z wszystkimi aplikacjami podzielonymi na odpowiednie kategorie.

Po kliknięciu na Miejsca będziemy mogli szybko dostać się do najważniejszych folderów w systemie i dysku.

  1. Po prawej stronie paska znajduje się ikona kamery.

Jest to skrót do programu EasyScreenCast, który pozwala na nagrywanie ekranu pulpitu z możliwością nagrywania wielu ekranów oraz dodatkowo jest możliwość jednoczesnego nagrywania materiału z kamery internetowej.

  1. Klikając w górnym prawym rogu ekranu na strzałkę, otworzymy specjalne menu, dzięki któremu będziemy mogli szybko zapoznać się z informacjami o sieci czy poziomie głośności, a dodatkowo zablokować lub wyłączyć system. Klikając na ikonę narzędzi, otworzymy Ustawienia systemowe.

Pierwsze kroki po instalacji

Po zainstalowaniu systemu pierwsze, co powinniśmy zrobić, to pełna aktualizacja systemu i wszystkich jego pakietów.

  1. Uruchamiamy Terminal.

  2. Wpisujemy komendę sudo apt-get update i zatwierdzamy klawiszem Enter.

  3. Następnie ponownie podajemy komendę sudo apt-get upgrade i zatwierdzamy.

  4. Pojawi się informacja o tym, jakie pakiety zostaną zaktualizowane i ile danych musimy pobrać z internetu. Wystarczy nacisnąć klawisz T, zatwierdzić całą operację klawiszem i poczekać na jej zakończenie.

  5. W trakcie instalacji aktualizacji proces może się zatrzymywać, a my będziemy musieli na przykład potwierdzić licencję lub zgodzić się na instalację, wystarczy wybrać TAK i wcisnąć Enter lub nacisnąć Q. Proces aktualizacji najlepiej powtarzać przynajmniej raz na tydzień.

Armitage: szukamy urządzeń podatnych na ataki

  1. Uruchamiamy terminal, wpisujemy polecenie service postgresql start i zatwierdzamy klawiszem Enter.

  2. Klikamy w górnym lewym rogu na Programy, Exploitations Tools, Armitage.

  3. Następnie łączymy się z lokalną bazą danych, która zostanie automatycznie utworzona – dane powinny wczytać się automatycznie. Klikamy na Connect.

  4. W kolejnym oknie klikamy na Yes, aby uruchomić specjalny serwer RPC usługi metasploit.

Musimy poczekać na zainicjalizowanie bazy i nawiązanie połączenia – może to potrwać nawet około 5 minut.

  1. Po pomyślnym nawiązaniu połączenie pojawi się główne okno programu Armitage, który ułatwia odnajdywanie słabych punktów na urządzeniach w sieci.

  2. Zaczynamy od sprawdzenia topologii sieci, czyli wyszukania urządzeń podłączonych do sieci. Na górnym pasku klikamy na Hosts, Nmap Scan, Quick Scan (OS detect).

Podajemy adres naszej sieci z końcówką /24, aby przeskanować całą sieć. (Aby znaleźć adres, uruchamiamy terminal, wpisujemy i zatwierdzamy komendę ifconfig; szukamy interfejsu sieciowego, którym się łączymy (wlan0 dla połączeń bezprzewodowych) i przy polu inet znajdziemy nasz adres IP;

adres sieci to nasz adres IP z maską /24). Klikamy na OK.

  1. Po zakończeniu skanowania w panelu w prawym górnym rogu pojawią się maszyny, które zostały wykryte, a zamiast pulpitów będą wyświetlone ich logotypy systemów. Dzięki temu łatwo rozpoznamy urządzenia pracujące z Linuxami i Windows.

  2. Na górnym pasku klikamy na Attacks, Find Attacks.

Dzięki temu przy każdej maszynie pojawi się możliwość wybrania ataku.

  1. Znajomość słabości i umiejętność ich wykorzystania wymaga specjalistycznej wiedzy. W wypadku większości osób wystarczy wykonanie testu Hail Mary.

Polega on na uruchomieniu ataku na wszystkie wyszukane urządzenia przy wykorzystaniu wszystkich dostępnych możliwych form ataku. Jeśli w wyniku tego ataku uzyskamy dostęp do jednej z maszyn, jej ikona zmieni kolor na czerwony. W naszym przypadku maszyny testowe były zaktualizowane i nie można było się w ten prosty sposób do nich włamać (co nie znaczy, że jest to niemożliwe).

Łamanie zabezpieczeń Wi-Fi

Do tego celu służy specjalny pakiet aircrack-ng, który składa się z kilku narzędzi mających jasny i określony cel, analiza sieci bezprzewodowych i łamanie ich zabezpieczeń. W internecie znajduje się lista adapterów i kart sieciowych, które są zatwierdzone przez twórców tego programu. Nie będziemy mogli z niego korzystać na typowej karcie w laptopie, ponieważ takie karty nie zapewniają obsługi tak zwanego trybu monitora, który jest niezbędny do wykonania ataku.

A oto w skrócie cała procedura łamania zabezpieczeń w przypadku enkrypcji WPA2:

  1. Uruchamiamy terminal i wpisujemy komendę airmon-ng start wlan0.

Uruchomi to tryb monitora wlan0mon na karcie Wi-Fi i pozwoli na skanowanie w poszukiwaniu sieci.

  1. Następnie wpisujemy airodump-ng wlan0mon – rozpocznie się skanowanie sieci w naszym otoczeniu.

  2. Dzięki temu będziemy mogli dowiedzieć się między innymi, jak zabezpieczone są poszczególne sieci. My oczywiście włamujemy się do naszej sieci, do której znamy hasło.

  3. Wpisujemy komendę airodump-ng --bssid XX:XX:XX:XX:XX -c Y --write Plik1 wlan0mon.

Zamiast X podajemy adres MAC z kolumny BSSID, a zamiast Y numer kanału z kolumny CH, które będą widoczne na ekranie przy punkcie 2.

  1. Teraz musimy przechwycić zakodowane hasło dostępu do sieci. Uda się to wtedy, gdy jakiś użytkownik połączy się z tą siecią lub my wymusimy rozłączenie użytkownika, który za chwilę automatycznie się połączy – będziemy mogli wtedy przechwycić zakodowane hasło.

  2. W nowym oknie terminalu wpisujemy komendę aireplay-ng --deauth 100 -a XX:XX:XX:XX:XX:XX wlan0mon, ponownie w miejsce X podajemy adres MAC routera.

  3. W głównym oknie z punktu 4 w prawym górnym rogu powinien pojawić się napis WPA handshake oraz adres MAC punktu dostępowego.

Możemy zamknąć wszystkie terminale, ponieważ hasło jest już zapisane w pliku Plik1 na naszym komputerze.

  1. Teraz powinniśmy użyć słownika. Słownikiem może być każdy plik TXT (zawierający możliwe hasła: jeden wiersz, jedno hasło). Słowniki możemy tworzyć sami lub wyszu­kać je w internecie. W nowym terminalu wpisujemy komendę aircrack-ng Plik1-01.cap -w [lokalizacja słownika] i zatwierdzamy.

Łamanie hasła taką metodą może być bardzo czasochłonne i nieefektywne, gdyż do ataku wykorzystywany jest słownik. Jeśli hasła nie ma w słowniku, nie zostanie znalezione.

  1. W przypadku specjalnie ustalonego hasła 0123456789 czas łamania był bardzo krótki, ponieważ jest to proste hasło. Zwykły komputer sprawdza około 500 haseł na sekundę.

Cały proces jest znacznie trudniejszy i bardziej skomplikowany, możemy jednak wyciąg­nąć z tego naukę – im dłuższe i bardziej złożone hasło, tym trudniejsze do złamania. Zaleca się stosowanie hasła przynajmniej 16-znakowego, składającego się z małych i dużych liter, cyfr oraz znaków specjalnych. Nasze hasło będzie wtedy praktycznie nie do złamania, dzięki czemu będziemy bezpieczni.

Skanowanie wewnątrz sieci

Korzystając ze skanera Nmap oraz nakładki graficznej Zenmap, możemy szybko przeanalizować naszą sieć i sprawdzić, co jest widoczne dla atakujących oraz czy musimy martwić się otwartymi portami.

  1. Klikamy na Programy, 01-Information Gathering, zenmap.

  2. Uruchomi się program z interfejsem graficznym, który ułatwi nam korzystanie ze skanera Nmap.

  3. W polu Cel wpisujemy adres początkowy naszej sieci, na przykład 192.168.1.1/24. Opcja /24 pozwala na przeskanowanie wszystkich adresów tej podsieci.

  4. W polu Profil wybieramy opcję Ping scan, aby sprawdzić, jakie urządzenia są aktywne w sieci, lub Intense Scan – skan, który trwa bardzo długo, ale pozwala na poznanie wielu szczegółów.

  5. Skanowanie rozpocznie się po kliknięciu na Start i może zająć dłuższy czas (w zależności od opcji).

  6. Po jego zakończeniu możemy dowiedzieć się na przykład, jaki system jest używany na danym komputerze lub urządzeniu i jakie porty są otwarte. Najważniejsza informacja to otwarte porty na danym urządzeniu – warto sprawdzić, czy każdy z podanych portów jest bezpieczny i czy nie jest potencjalnym miejscem ataku, ewentualnie warto wyszukać w internecie informacje o tym, jak zamknąć konkretny port, jeśli stanowi zagrożenie.

Wireshark: sniffing – przechwytujemy hasło

Jest to sniffer, czyli program, który przechwytuje i analizuje pakiety sieciowe przepływające w sieci. Oznacza to, że dzięki niemu będziemy mogli podsłuchiwać innych użytkowników w naszej sieci, a nawet pozyskiwać ich prywatne informacje.

  1. Klikamy w górnym lewym rogu na Programy, Sniffing & Spoofing, Wireshark.

  2. W głównym oknie programu wybieramy interfejs sieciowy, który wykorzystamy do przechwytywania pakietów, w naszym przypadku będzie to bezprzewodowy interfejs wlan0. Klikamy na górnym pasku na symbol płetwy w celu rozpoczęcia nasłuchu.

  3. W tle będziemy mogli zaobserwować mnóstwo pakietów sieciowych, nas jednak interesują pakiety, które mogą zawierać hasło i login użytkownika.

  4. Na innym urządzeniu w sieci wchodzimy na stronę z logowaniem i podajemy dane logowania (musi to być strona korzystająca z protokołu HTTP), na przykład http://www.techpanda.org, i wpisujemy dane: login – testowe@konto.pl, hasło – testowehaslo. Klikamy na Submit.

  5. Wracamy do programu Wireshark i klikamy na górnym pasku na ikonę czerwonego kwadratu w celu zatrzymania nasłuchu. Potem w polu Filtrów wpisujemy http i klikamy na strzałkę.

  6. Szukamy pakietu, który w kolumnie Info będzie miał zapis POST, i na niego klikamy.

  7. Teraz w dolnym oknie rozwijamy listę HTML Form URL. Na samym dole będziemy mieć przechwycone wszystkie pola formularza, który wypełnialiśmy, w tym wypadku adres e-mail oraz hasło, które podawaliśmy.

Metoda ta działa tylko na witrynach, które nie korzystają z szyfrowania. Dlatego tak ważne jest, aby korzystać z VPN lub logować się tylko i wyłącznie na witrynach, które korzystają z szyfrowanego protokołu HTTPS.

Ransomware RobbinHood wykorzystuje do ataku lukę w sterowniku Gigabyte

Data: 10.02.2020 16:05

Autor: ziemianin

borncity.com

#aktualnosci #codziennaprasowka #informacje #wiadomosci #Gigabyte #RobbinHood #malware #ransomware #exploit #sterownik #hakerzy #cyberbezpieczenstwo

Ransomware o nazwie RobbinHood wykorzystywał lukę w oficjalnych sterownikach Gigabyte do infekowania komputerów i przejmowania nad nimi kontroli.

Ransomware RobbinHood wykorzystuje do ataku lukę w sterowniku Gigabyte

Zdaniem firmy Sophon, która zajmuje się cyberbezpieczeństwem, ransomware o nazwie RobbinHood wykorzystuje lukę w oficjalnych sterownikach Gigabyte do infekowania komputerów i przejmowania nad nimi kontroli. Proceder działać ma na systemach Windows 7 lub nowszych i pomimo faktu, że tajwański producent w przeszłości zaprzeczał twierdzeniom o podatności swojego sterownika na ataki, to jednak zdaniem Sophos grupa hakerów wykorzystuje tego exploita. Gigabyte niewątpliwie ponosi przynajmniej częściową odpowiedzialność za pierwotne zbywanie doniesień o luce w 2018 roku, kiedy to specjaliści ds. bezpieczeństwa informowali o zagrożeniu. Koniec końców, presja opinii publicznej sprawiła, że producent potwierdził istnienie luki, ale zamiast ją załatać w starszych płytach głównych, firma zdecydowała się zakończyć wsparcie dla tego sterownika. Teraz użytkownicy zaś płacą tego cenę, gdyż Gigabyte umożliwił hakerom wykorzystanie tego drivera do przeprowadzenia ataków.

Zdaniem Sophos, odpowiedzialna jest także firma Verisign, która zajmuje się przyznawaniem certyfikatów bezpieczeństwa. Dwa lata po tym jak Gigabyte zaprzestał wsparcia dla felernego sterownika, wciąż oznaczony jest on w systemach Windows i wielu programach antywirusowych jako „zaufany”, a to właśnie za sprawą certyfikatu Verisign. Atakujący mogą więc skorzystać z drivera do modyfikacji kernela Windows i wyłączenia programów antywirusowych oraz innych zabezpieczeń przed złośliwym oprogramowaniem, przejmując tym samym kontrolę nad naszą maszyną. Sophos podkreśla także unikalny charakter programu ransomware wykorzystywanego w tym przypadku. Firma twierdzi, że dotychczas nie spotkała się z tego typu oprogramowaniem wykorzystującym zaufany sterownik do przeprowadzenia ataku, mającego na celu uśmiercenie antywirusów.

Większość aplikacji bezpieczeństwa posiada swoistą listę "zaufanych programów” dopuszczanych domyślnie przy wszystkich instalacjach. Jest to kompromis, dzięki któremu unikają one zbyt dużej liczby programów blokowanych przypadkiem przez użytkowników. Niemniej jednak, twórcy złośliwego użytkowania coraz częściej wykorzystują te listy do swoich celów. Jeśli zaś uda im się przekonać antywirusa, że ich malware jest jednym z programów z listy, mogą później praktycznie dowolnie wykorzystać nasz sprzęt. Jak zaś pokazuje przypadek RobbinHood, nawet jeśli nasz OS jest w pełni zaktualizowany i załatany, hakerzy wciąż mogą znaleźć luki na naszym komputerze, które następnie wykorzystują do swoich celów. Tym samym, Sophos podkreśla jak istotne jest poleganie nie tylko na jednym programie antywirusowym czy przestrzeganie pewnych praktyk, takich jak korzystanie domyślnie z konta z ograniczonym dostępem, robienie regularnych kopii bezpieczeństwa czy ustawianie dwustopniowej weryfikacji.

Wpadka Google: Twoje prywatne filmy mogły trafić na konta innych użytkowników

Data: 05.02.2020 19:56

Autor: ziemianin

niebezpiecznik.pl

#aktualnosci #codziennaprasowka #informacje #wiadomosci #ArchiwumX #daneosobowe #Google #wyciek #cyberbezpieczenstwo

Google właśnie poinformowało niektórych swoich użytkowników, że mogło niechcący ujawnić innym ich prywatne nagrania przechowywane w usłudze Google Photos. I choć każdy powinien zdawać sobie sprawę z tego, że to co trzyma w chmurze może w każdej chwili zostać upublicznione (nie tylko przez atak hakerów, ale też przez błąd oprogramowania), to takie sytuacje mimo wszystko zawsze mało komfortowe…

Wpadka Google: Twoje prywatne filmy mogły trafić na konta innych użytkowników

To nie mój filmik!

Na przestrzeni ostatnich miesięcy dwóch naszych Czytelników zgłaszało nam, że w ramach danych zgromadzonych na ich kontach Google Photos pojawiły się im filmy, których nie rozpoznają. Filmy nienależące do nich. Choć mieliśmy kilka hipotez, z wielu powodów nie byliśmy tego w stanie tego incydentu wyjaśnić, ani zweryfikować w pełni. Zgłoszenia te, jak wiele innych, odłożyliśmy do naszej szuflady “Archiwum X“. A dziś je wyciągamy, bo najświeższy komunikat Google może być wyjaśnieniem tych przypadków. I niestety potwierdzeniem obaw naszych Czytelników, którzy widząc nie swoje filmy na swoim koncie, zastanawiali się, czy przypadkiem ich filmy nie pojawiły się na kontach kogoś innego… Wyglada na to, że mogły. Oto oświadczenie, jakie Google wystosowało do osób, których “dotknął ten błąd”

Pal licho filmy, Google pomieszało całe skrzynki pocztowe!

Ten incydent, to dobry moment, aby przypomnieć sprawę, jaką ok. 4 lata temu zgłosił nam jeden z Czytelników, którego firma korzysta z Google Suite (usługi chmurowej dla firm). Na skutek nieszczęśliwego splotu wypadków, firma straciła dane z konta jednego z pracowników i skorzystała z opcji przywrócenia ich z kopii bezpieczeństwa. Dane zostały przywrócone, ale nie dotyczyły tego pracownika, a kogoś zupełnie innego, z innej firmy…

Niestety, z tamtym Czytelnikiem straciliśmy kontakt na skutek (nomen omen) naszej automatycznej polityki kasowania e-maili od Czytelników :-) Ale jeśli nas teraz czyta, niech się odezwie na google@niebezpiecznik.pl — z chęcią się dowiemy jak dalej potoczyła się ta sprawa. A jeśli czyta nas inna firma, której kilka lat temu Google wysłało (jeśli wysłało) informację, że ich dane przez przypadek przekazali innej firmie, to też niech do nas napisze :)

O ransomware w polskich gminach, czyli historie z happy endem i bez

Data: 27.01.2020 17:48

Autor: ziemianin

zaufanatrzeciastrona.pl

#aktualnosci #codziennaprasowka #informacje #wiadomosci #malware #ransomware #zlosliweoprogramowanie #cyberbezpieczenstwo #komputery

Co szyfruje komputery w polskich gminach i firmach? Dlaczego z reguły danych nie można odzyskać, czasem jednak można i dlaczego jest to takie trudne? Na te pytania odpowie dzisiaj przedstawiciel zespołu CERT Polska.

O ransomware w polskich gminach, czyli historie z happy endem i bez

Ransomware nie trzeba większości Czytelników przedstawiać. Oprogramowanie to szyfruje dane i wymusza okup – opłatę za odszyfrowanie. Z roku na rok coraz więcej osób zdaje sobie sprawę z zagrożenia i z konieczności obrony. Mimo tego sytuacja się nie poprawia. Coraz więcej osób pada ofiarą ataku. Sytuacja jest szczególnie dramatyczna w małych firmach lub organizacjach, które nie mają środków na zapewnienie bezpieczeństwa IT na odpowiednim poziomie.

Jako CERT Polska często się z tym spotykamy – np. w przypadku gmin, szpitali, szkół itp. W miarę możliwości staramy się takim organizacjom pomagać, ale zazwyczaj jedyne, co można zrobić, to przywrócenie backupu. Gorzej, jeśli go nie ma… albo został zaszyfrowany razem z danymi. W tym artykule skupimy się na tym, dlaczego danych nie można odzyskać, czemu czasami się da oraz w jaki sposób przygotować się na atak ransomware.

Założenia działania ransomware

Przede wszystkim należy podkreślić jedną rzecz: poprawne użycie kryptografii gwarantuje, że zaszyfrowane dane nie będą mogły zostać odszyfrowane bez klucza deszyfrującego, znajdującego się w posiadaniu przestępców. Stosowane algorytmy są w tym momencie w 100% bezpieczne i bez względu na przypadek użycia (czy to bezpieczne połączenia z serwerem, czy szyfrowanie dysków ofiar) są odporne na wszelkie próby złamania.

Zazwyczaj nawet posiadając wszelkie materiały w postaci oryginalnej próbki złośliwego oprogramowania, wykonanej analizy powłamaniowej oraz z błogosławieństwem Shamira nie będziemy w stanie odzyskać zaszyfrowanych plików.

Detale techniczne

Ransomware regularnie chwali się, że używa różnych “wojskowych” (military grade) algorytmów szyfrowania – najczęściej są to AES i RSA. Można się zastanawiać, czemu jeden nie wystarczy?

Odpowiedzią jest natura ich działania. AES (Advanced Encryption Standard) jest przykładem algorytmu szyfrującego symetrycznie. W skrócie, oznacza to, że szyfrowanie i deszyfrowanie danych odbywa się za pomocą tego samego klucza. Jeśli więc przestępca chce szyfrować pliki tylko za pomocą AES, to musi wysłać wygenerowane klucze na swój serwer, aby móc potem żądać za nie okupu. To problematyczne dla przestępcy, bo musi utrzymywać infrastrukturę, za którą trzeba płacić i która może być w każdym momencie zdjęta albo przejęta. Dodatkowo infekcja nie uda się w przypadku problemów sieciowych.

Z pomocą przychodzi RSA. W przeciwieństwie do AES jest to szyfr asymetryczny. Do szyfrowania i deszyfrowania wykorzystywane są dwa matematycznie powiązane klucze – publiczny i prywatny. Jak sama nazwa wskazuje, jeden z nich jest publicznie znany, a drugi zna tylko właściciel. Dzięki matematycznym czarom właściwościom za pomocą klucza publicznego możemy dowolnie szyfrować dane, ale deszyfrować możemy je tylko za pomocą klucza prywatnego

Tak naprawdę w przypadku RSA to, który klucz nazywamy publicznym, a który prywatnym, to trochę kwestia umowna. Można też np. szyfrować dane kluczem prywatnym, a deszyfrować kluczem publicznym. Ma to nawet zastosowania praktyczne, np. w przypadku podpisów kryptograficznych.

Dlaczego w takim razie używać dwóch algorytmów zamiast samego RSA? Odpowiedź jest prosta – kryptografia asymetryczna jest bardzo kosztowna obliczeniowo. Zaszyfrowanie całego dysku tym algorytmem zajęłoby dziesiątki godzin. Popularnym sposobem jest zatem szyfrowanie właściwych danych za pomocą AES z wygenerowanym losowo kluczem, a następnie zaszyfrowanie tego klucza za pomocą publicznego klucza RSA. Działa tak większość programów szyfrujących większe ilości danych, w tym na przykład GPG.

Case study 1: Szczęście sprzyja lepszym szczęśliwym

Z drugiej strony, poprawne użycie algorytmów kryptograficznych przez programistę nie jest takie proste, jak się wydaje. AES i RSA to tylko niskopoziomowe bloki, które trzeba umieć odpowiednio połączyć, aby stworzyć kompletny program. Na szczęście (dla nas) twórcy ransomware to też ludzie i zdarza im się pomylić. Dzięki temu czasami udaje się stworzyć narzędzie deszyfrujące pliki bez płacenia (tzw. dekryptor). Pokaźną kolekcją takich dekryptorów zarządza organizacja NoMoreRansom.

Kilka tygodni temu trafił nam się właśnie taki przypadek. Otrzymaliśmy z gminy Kościerzyna próbkę złośliwego oprogramowania i komplet zaszyfrowanych plików. W toku analizy okazało się, że ta próbka należy do mało znanej odmiany ransomware (rodzina Mapo). Był to pierwszy dobry znak – im starsza i bardziej popularna rodzina, tym większa szansa, że patrzyła na nią wcześniej już rzesza analityków i nasza kolejna analiza nic nie da. I odwrotnie – nowe i mało znane rodziny są wdzięcznym tematem do analizy i dają nadzieję na odzyskanie plików.

Tak też było w tym przypadku – udało się napisać dekryptor i odszyfrować gminę (a także parę innych prywatnych podmiotów, które się do nas zgłosiły – to niekoniecznie standard na świecie, ponieważ CERT-y poziomu krajowego często nie przyjmują zgłoszeń od prywatnych podmiotów). Trzeba jednak zaznaczyć, że to wyjątek, a nie reguła i zazwyczaj nie można liczyć na to, że komuś uda się napisać dekryptor.

Case study 2: Kiedy wyszło jak zwykle

Trochę inna sytuacja miała miejsce parę tygodni później (tym razem nie możemy niestety podać nazwy gminy). Był to ciekawy przypadek. Rodzina złośliwego oprogramowania, która zaszyfrowała zasoby, była już badaczom dobrze znana. Konkretna próbka użyta w ataku miała jednak dosyć dziwny sposób generowania klucza. Zamiast skorzystać z losowych danych dostarczanych przez system, autor postanowił opracować własny sposób generowania losowych kluczy do szyfrowania plików. Generowanie klucza zależało od stanu kilku różnych zegarów systemowych. Z pomocą dobrze przeprowadzonej analizy powłamaniowej istniałaby możliwość odzyskania kluczy do szyfrowania plików… Niestety podczas obsługi incydentu po stronie gminy wykonano kilka pochopnych działań. Najgorszym z nich było zrestartowanie komputera, przez co:

stracony został dokładny stan zegarów systemowych (które mogłyby pomóc w odzyskaniu klucza),

klucze szyfrujące, które ciągle mogły być w pamięci procesu, zostały wymazane,

ransomware zadbało o ponowne uruchomienie się przy restarcie systemu i zaczęło szyfrować kolejne pliki za pomocą nowo wygenerowanych kluczy.

Co zrobić lepiej

Oczywiście, jak w przypadku większości zagrożeń, najlepszą metodą jest atak profilaktyka. O wiele lepiej jest w ogóle nie doprowadzić do zaszyfrowania naszych dysków, niż liczyć na szczęście i szukać dziur w algorytmie szyfrowania.

Jak ustrzec się przed ransomware:

Stale edukuj swoich użytkowników. Nawet najlepsze techniczne zabezpieczenia nie pomogą, jeśli Twoi użytkownicy nie będą przestrzegać podstawowych zasad bezpieczeństwa.

Wykonuj regularnie kopię zapasową istotnych danych. Zadbaj o to, by co najmniej jedna kopia zapasowa była przechowywana na odizolowanym systemie, niedostępnym z maszyn, których kopie przechowuje.

Zadbaj o odpowiednią architekturę sieci. Wyodrębnij odpowiednie segmenty, zwróć szczególną uwagę na to, jakie usługi dostępne są pomiędzy poszczególnymi maszynami oraz z internetu.

Na bieżąco aktualizuj system operacyjny oraz oprogramowanie.

Używaj aktualnego oprogramowania antywirusowego na serwerze poczty oraz stacjach roboczych.

Ratunku, zaszyfrowałem się

Zdarza się nawet najlepszym. Co zrobić, żeby zwiększyć szanse na odzyskanie danych?

W przypadku ataku ransomware:

Jak najszybciej odizoluj zarażone maszyny od reszty sieci – odłącz je od wszelkich połączeń sieciowych (przewodowych i bezprzewodowych) oraz urządzeń do przechowywania plików (dyski przenośne i podobne).

W celu zmaksymalizowania szans odzyskania danych nie wyłączaj komputera. Hibernacja systemu to też dobra (i ekologiczna) opcja.

Zrób zdjęcie ekranu z komunikatem wyświetlanym przez ransomware. Upewnij się, że wszystkie informacje są na zdjęciu czytelne. Przegraj plik z notatką okupu (ransom note) i przykładowe zaszyfrowane pliki na czysty przenośny nośnik danych (np. pendrive) – będą jeszcze potrzebne. Jeśli jesteś biegły w obsłudze komputera, spróbuj też znaleźć próbkę złośliwego oprogramowania na dysku (wskazówka: ransomware bardzo często dopisuje się do autostartu).

Odwiedź stronę nomoreransom.org, gdzie znajdziesz narzędzie pozwalające określić, do jakiej rodziny należy dany ransomware, a także dowiesz się, czy są znane metody odszyfrowania danych bez płacenia okupu. Prawdopodobnie przyda się tutaj ransom note albo zaszyfrowany plik.

Jeżeli NoMoreRansom ma odpowiedni dekryptor, postępuj ściśle według instrukcji dla danego narzędzia. Jeśli się uda, gratulacje: trafiłeś na ten ułamek ransomware, który dało się zdeszyfrować. Jeśli nie, czytaj dalej.

Rozważ zgłoszenie incydentu do CERT Polska – najlepiej zaraz po wykryciu zdarzenia. W tym celu skorzystaj z https://incydent.cert.pl. W zgłoszeniu przekaż informacje o podjętych do tej pory krokach oraz inne informacje, o które zostaniesz poproszony w formularzu, według najlepszej wiedzy na moment zgłoszenia.

Jeśli dysponujesz kopią zapasową, sformatuj dysk, zainstaluj system od nowa i przywróć dane z backupu.

Jeśli nie dysponujesz kopią zapasową i zgłosiłeś incydent do CERT Polska albo innego zespołu bezpieczeństwa, poczekaj na wynik analizy. Nie ma co robić sobie za dużych nadziei, w >95% przypadków ofierze nie da się pomóc. UWAGA: Większość „firm od odzyskiwania danych” to oszustwo. Danych zazwyczaj nie da się odzyskać bez płacenia, więc takie firmy działają tylko jako pośrednicy między przestępcami a ofiarami (negocjują zniżkę, a później biorą swoją prowizję). Nie warto się na to nabierać – jak już dawać się okraść, to tylko raz na infekcję ;)

Po usunięciu skutków ataku spróbuj ustalić, w jaki sposób do niego doszło oraz podejmij działania zapobiegawcze, by uniemożliwić powtórzenie się sytuacji (edukacja użytkowników, zabezpieczenia fizyczne, aktualizacja oprogramowania).

Armia USA każe żołnierzom zostawić smartfony w domu. I ma rację

Data: 21.01.2020 19:29

Autor: ziemianin

niebezpiecznik.pl

#aktualnosci #codziennaprasowka #informacje #wiadomosci #cyberbezpieczenstwo #armia #wojsko #telefony #smartfony

W związku z napięciami pomiędzy USA a Iranem, Stany Zjednoczone w trybie nagłym wysyłają dodatkowych żołnierzy do baz w Iraku. I każą tym żołnierzom zostawić w domu całą swoją elektronikę — od smartfonów przez laptopy do tabletów aż po inteligentne zegarki.

Armia USA każe żołnierzom zostawić smartfony w domu. I ma rację

Żadnej prywatnej elektroniki

Decyzja podyktowana jest troską o dobro żołnierzy i ich sojuszników. Przełożeni boją się, że prywatne urządzenia narażą armię na straty — nie tylko bezpośrednie (np. poprzez zdradzenie lokalizacji na skutek zapostowania przez żołnierza zdjęcia z metadanymi w internecie), ale także pośrednie — w wyniku operacji PsyOp.

Żołnierze, jak większość młodych osób, aktywnie korzystają z mediów społecznościowych. Niestety, często dzielą się w nich zbyt wieloma informacjami, które choć są z pozoru nieistotne, to po analizie przez “wroga” mogą zdradzić nie tylko nastroje panujące w obozie przeciwnika, ale i szczegóły jego uzbrojenia czy przyszłe plany.

Podczas ataku Rosji na Ukrainę, na Instagramie mogliśmy obserwować ruchy “zielonych ludzików” i rodzaj ich uzbrojenia bezpośrednio na Instagramie.

Amerykanie z kolei zdradzili lokalizację swoich baz, ponieważ ich żołnierze biegali dookoła nich z zegarkami markującymi lokalizację w celu wyliczenia osiągnięć sportowych.

Co żołnierze robią wieczorami w internecie?

Kolejnym ryzykiem jest możliwość werbowania żołnierzy na agentów i informatorów (mniej lub bardziej świadomych). Swobodna rozmowa z żołnierzami może też mieć zgoła inne konsekwencje — od lat znany jest problem uwodzenia żołnierzy.

Proceder może skończyć się wysłaniem przez wojaka swoich odważnych zdjęć do — jak mu się wydaje — zainteresowanej nim kobiety. Problem w tym, że po pewnym czasie na koncie kobiety ujawnić może się mężczyzna, grający rolę ojca, który poinformuje żołnierza, że przez tygodnie gorszył nieletnią co jest przestępstwem. Za zachowanie “kompromitujących treści” w tajemnicy ojciec zażąda opłaty — lub informacji. W przeszłości tego typu szantaże zakończyły się nawet samobójstwami oszukanych żołnierzy.

Ale poza samobójstwami zdarzają się też standardowe zabójstwa. W ciągu ostatnich lat wielu izraelskich żołnierzy straciło życie, bo umówili się na randkę (przez internet) z “lokalną” kobietą, którą okazał się być agent Hamasu. Ci, którzy mieli więcej szczęścia złapali tylko wirusa na swoim urządzeniu, nakłonieni do zainstalowania “specjalnej aplikacji do randkowania“.

Na marginesie — dane ze swojego urządzenia (w tym zapisaną przez jego smartfona historię lokalizacji) żołnierz może też stracić bez infekcji złośliwym oprogramowaniem. Wystarczy, że po prostu zgubi swój telefon lub ktoś mu go ukradnie, a następnie telefon zostanie poddany analizie. To ryzyko istnieje także podczas przekraczania granicy, na której straż graniczna może zażądać dostępu do urządzenia i przeprowadzi jego “obrazowanie”.

Można prościej

Dużą skuteczność mają też klasycznie ataki internetowe na żołnierzy. Po odkryciu, że John stacjonuje w bazie, która interesuje jego przeciwników, namierzane są konta Johna w internecie, a następnie przeprowadza się na nie ataki zgadywania hasła (jeśli rekordy na temat Johna występują w wyciekach danych) lub w kierunku Johna leci klasyczny phishing. Wszystko po to, aby poczytać, co John na temat służby mógł napisać swoim bliskim w e-mailach albo na Messengerze.

Co na to żołnierze?

Możemy założyć, że większość z nich — co dziś naturalne — jest uzależniona od mediów społecznościowych i ciężko będzie im rozstać się z urządzeniem z którym jako cywile spędzają większość swojego wolnego czasu. Po zostawieniu lub konfiskacie swojego smartfona, żołnierze nierzadko wydają pieniądze w lokalnym sklepie na “tymczasowy” telefon. To niezbyt dobry pomysł, bo okazuje się, że niektóre z telefonów sprzedawanych w okolicach baz wojskowych mają preinstalowane złośliwe oprogramowanie.

Spora odpowiedzialność ciąży więc na kontrwywiadowczym zabezpieczeniu danej misji i bazy. Na szczęście “nieautoryzowane urządzenia elektroniczne” będące w posiadaniu żołnierzy można wykrywać (nie tylko IMSI Catcherami), więc oficerowie służb stacjonujący w bazie mają szansę namierzyć tych wojaków, którzy do bana na elektronikę nie podchodzą zbyt poważnie.

Wygląda na to, że na wojnę bezpieczniej będzie ruszyć bez smartfona a z wysłużoną gazetą i na kilka miesięcy zastąpić grę w angry birds klasycznymi szachami…

Jak zabezpieczyć router – bezpieczeństwo sieci domowej? (podcast audio)

Data: 19.01.2020 19:42

Autor: ziemianin

youtube.com

#aktualnosci #codziennaprasowka #informacje #wiadomosci #cyberbezpieczenstwo #komputery #router #siecikomputerowe

Domowy router stanowi swoistą pierwszą linię obrony przed atakującymi.

Jak się przed nimi obronić? Na jakie zagrożenia jesteśmy narażeni? Co warto sprawdzić?

Jak zabezpieczyć router – bezpieczeństwo sieci domowej? (podcast audio)

Materiał w formie tekstowej: Jak zabezpieczyć router – bezpieczeństwo sieci domowej?

Spis treści

Wprowadzenie

Serwer DHCP

Dane DNS

DNS hijacking

Atak DDOS

Dyski i drukarki

Udostępnianie plików

WPA2

Sieć lokalna

Lokalizacja WIFI

WPS

UPNP

Port forwarding

Aktualizacje

Błędy bezpieczeństwa

Lista komputerów

Wprowadzenie

Jeżeli słuchasz tego podcastu to znaczy, że posiadasz dostęp do Internetu. Jest więc spora szansa, że w zaciszu Twojego mieszkania znajduje się router, który dostarcza Internet do komputera, telefonu i tabletu. Urządzenia te zazwyczaj są schowane za meblami i przypominamy sobie o nich raz na jakiś czas, gdy potrzeba chwili nakazuje nam ich restart. Ale ich zadanie jest o wiele większe niż tylko rozdzielanie pakietów do odpowiednich miejsc. Możesz sobie z tego nie zdawać sprawy, ale router stanowi swoistą pierwszą linię obrony przed atakującymi, którzy czyhają na nasze wirtualne zasoby.

Cześć. Ja jestem Kacper Szurek i w dzisiejszym odcinku podcastu Szurkogadanie opowiem o bezpieczeństwie domowych routerów. Co może nam grozić, jeżeli przestępca przejmie nad nimi kontrolę? Jakie opcje może wykorzystać przeciwko nam, a także jak możemy się przed tym obronić? Jeżeli materiały tego rodzaju Ci się podobają zapraszam do dołączenia do grupy od 0 do pentestera na Facebooku.

Podcast ten można również znaleźć na Spotify oraz Google i Apple Podcasts oraz Anchor.

Serwer DHCP

Zacznę od wyjaśnienia, jak atakujący może wykorzystać nasz domowy router przeciwko nam. Domowy router nie służy tylko do rozdzielenia Internetu przychodzącego z jednego kabla naszego dostarczyciela usług na wiele komputerów. Posiada wiele innych, wbudowanych funkcji. Jedną z nich jest serwer DHCP. Ten to serwer automatycznie przydziela nam adres IP, którym będzie się posługiwał nasz komputer. Wykorzystując analogię – każdy komputer podłączony do sieci, aby mógł z niej korzystać, musi mieć swój adres IP. Tak jak każde mieszkanie musi mieć swój numer – aby listonosz wiedział, gdzie dostarczyć listy. Po włączeniu komputera, router zazwyczaj przesyła nam pakiet z adresem IP, którego powinniśmy używać.

Dane DNS

Oprócz tego, przekazuje tam również adres serwera DNS. Ludzie są bowiem słabi w zapamiętywaniu liczb – a adres IP to właśnie taki ciąg. Zamiast tego wolimy wykorzystywać nazwy, które coś dla nas znaczą. Jeżeli bowiem chciałbyś odwiedzić moją stronę, prościej jest mi powiedzieć abyś wpisał w przeglądarkę ciąg „szurek.pl”. Wtedy to Twoja przeglądarka i system operacyjny komunikują się z serwerem DNS, pytając jaki adres IP ma serwer „szurek.pl”. Serwer DNS zwraca odpowiedni wynik i dopiero wtedy można połączyć się z odpowiednim komputerem w sieci. Tak działa to normalnie. Ale jeżeli atakujący posiada dostęp do routera – może przeprowadzić atak DNS hijacking.

DNS hijacking

Wtedy nasz komputer otrzyma błędny adres serwera DNS, który jest kontrolowany przez przestępcę. Niesie to za sobą różnorakie konsekwencje. Po pierwsze – osoba po drugiej stronie będzie wiedziała, jakie adresy stron odwiedzamy. Zapytanie o każdy taki adres bowiem trafia do serwera DNS. Po drugie – jeżeli tylko będzie miała na to ochotę – będzie mogła zwrócić nam błędny adres IP serwera, o którego adres prosimy. Czyli zamiast łączyć się z serwerem naszego banku, możemy połączyć się z komputerem atakującego.

Ale atak może się odbywać na innej płaszczyźnie. Przez router przepływa bowiem cały ruch internetowy. Złośliwy aktor może dla przykładu modyfikować treść dowolnej strony, którą przeglądamy – doklejając do niej nowy kawałek kodu. Ten to może wykonywać najróżniejsze czynności. Logować wciśnięte klawisze, kopać kryptowaluty, czy też modyfikować podawane w formularzach dane. Wszystko zależy od inwencji twórcy. Jeżeli ściągamy jakiś plik z serwisu, automatycznie w locie może podmienić jego zawartość na inną, wygenerowaną przez niego. To może prowadzić do dalszej infekcji nie tylko naszego routera, ale także systemu operacyjnego na komputerze. Wszak ściągnęliśmy plik ze strony, której ufamy i nie spodziewaliśmy się, że mogła ona zawierać jakieś złośliwe elementy.

Te ataki są niwelowane przez protokół HTTPS i szyfrowanie połączenia. O ile bowiem atakujący może podmienić adres IP, to nie może stworzyć odpowiedniego certyfikatu. Więcej o tym temacie opowiadam w innym podcaście na temat protokołu HTTPS. Tylko, to zabezpieczenie działa jedynie w przypadku protokołu HTTPS. Musimy więc być tego świadomi.

Atak DDOS

Ale atak może zaszkodzić nie tylko nam. Na świecie istnieją bowiem miliony routerów. Znajdując błąd w jednym z nich – atakujący może zaatakować wszystkie z danej serii, a następnie wykorzystać do niecnych celów. Jednym z takich celów jest atak DDoS – kiedy to wiele różnych routerów wykonuje zmasowany atak na jedną stronę internetową. Cel jest jeden – doprowadzić do tymczasowej awarii strony, tak aby nie mogli z niej korzystać inni użytkownicy. Nie brzmi to jakoś złowrogo, ale zastanówmy się nad potencjalnymi konsekwencjami. Przed nami czarny piątek – jeden z lepszych okresów dla wszystkich sklepów internetowych, gdzie sprzedaż produktów trwa w najlepsze. Kilkuminutowy atak podczas takiego dnia to już realne straty dla sklepów, liczone w setkach złotych. Ale to nie wszystko.

Dyski i drukarki

Do niektórych routerów można podpiąć zewnętrzne dyski twarde oraz drukarki. Dzięki temu wszyscy domownicy mają dostęp do ważnych dla nich plików w obrębie całego mieszkania. To samo tyczy się atakującego, który może wykorzystać tak zebrane informacje do podszycia się pod nas lub do szantażu. Może również dla żartu uruchomić drukowanie 1000 stron w nocy na naszej domowej drukarce. Dalej, routery posiadają wbudowaną zaporę sieciową. Ona to działa trochę jak zawór jednostronny. My – możemy łączyć się z zewnętrznymi stronami i oglądać ich zawartość. Równocześnie zewnętrzne podmioty nie mogą bezpośrednio łączyć się z naszymi komputerami – ponieważ nie pozwoli na to firewall. Atakujący odpowiednio modyfikując konfigurację, może umożliwić dostęp do naszych komputerów.

Udostępnianie plików

Często zdarza się, że w obrębie sieci lokalnej udostępniamy niektóre pliki z naszego komputera, tak aby inni użytkownicy mieli do nich dostęp. Teraz – dostęp do nich jest również możliwy z zewnątrz. Jak widać zagrożeń jest wiele – wszystko zależy od kreatywności przestępców. Wiemy już, że router należy chronić. Ale jak to robić?

WPA2

Jeżeli korzystasz z Wi-Fi – włącz szyfrowanie WPA2 z AES. Co więcej, hasło tam używane powinno być długie i skomplikowane. Dlaczego? Ktoś, kto to będzie chciał skorzystać z Twojego Wi-Fi do niecnych celów nie musi cały tydzień siedzieć w samochodzie pod Twoim blokiem. Wystarczy, że raz pójdzie wyprowadzić psa z odpowiednim sprzętem. Ten sprzęt pobierze odpowiedni pakiet. Można go potem wykorzystać do przeprowadzania ataków siłowych w domu – bez dostępu do routera. Jeżeli więc nasze hasło ma tylko kilka znaków – szybko zostanie złamane. Atakujący będzie próbował wszystkich możliwych kombinacji. Nowoczesny sprzęt jest w stanie sprawdzić kilkaset tysięcy takich haseł na sekundę. Równie dobrze, jeżeli nie wykazaliśmy się kreatywnością – hasło może znajdować się w jednym z wcześniejszych wycieków danych. Wtedy złamanie go to tylko czysta formalność.

Sieć lokalna

Dzięki temu ktoś otrzyma dostęp do naszej sieci lokalnej. A to oznacza, że ma bezpośredni dostęp do naszych komputerów. Jeżeli ich nie aktualizujemy, bądź znajdują się tam stare wersje podatnych programów – możemy być narażeni. Co więcej, ktoś może wykorzystać nasz Internet i przeprowadzić jakąś nielegalną czynność. A wtedy to do naszych drzwi zapuka policja z prośbą o wyjaśnienia. Nazwa sieci nie powinna bezpośrednio wskazywać na naszą osobę. Sieć Kowalskiego to niekoniecznie dobry pomysł.

Lokalizacja WIFI

Zwłaszcza, że istnieją projekty, które zbierają informacje na temat dostępnych w danej lokalizacji sieci Wi-Fi. Informacje te służą niektórym usługom do geolokalizacji użytkownika, w sytuacji w której sygnał GPS nie jest dostępny. Okazuje się bowiem, że skanując listę dostępnych sieci i porównując ją z wirtualną bazą, możemy z dużą dozą prawdopodobieństwa określić, gdzie znajduje się dany użytkownik. Nazwy sieci w skali świata rzeczywiście się powtarzają. Ale już ich kombinacje – czyli fakt, że w danym miejscu użytkownik widzi sygnał sieci kowalski, test i kwiatek niekoniecznie. Pozostając w temacie haseł. Warto zmienić login i hasło do interfejsu graficznego urządzenia, tak aby przestała działać standardowa kombinacja admin/admin. Równocześnie dostęp do interfejsu graficznego powinien być dostępny tylko od strony portów LAN. Tłumacząc to nieco prościej – tylko z poziomu naszego mieszkania powinniśmy móc zalogować się do panelu admina. Można to łatwo sprawdzić, korzystając na moment z Internetu mobilnego w naszym telefonie. Jeżeli w przeglądarce podamy adres IP domowego Internetu, nie będąc równocześnie do niego podłączonymi – i otrzymamy możliwość wpisania hasła – koniecznie warto wyłączyć odpowiednią opcję.

WPS

Jeżeli nasz router posiada opcję WPS – wyłączmy ją. W teorii miała przyspieszyć parowanie komputera z nową siecią Wi-Fi. Zamiast przepisywać długie i skomplikowane hasła – wystarczył krótki pin lub wciśnięcie przycisku na obudowie urządzenia. Obecnie, standard ten uznawany jest za niebezpieczny i powinno się go wyłączyć. Możemy również zmienić adres serwera DNS na taki, który zapewni nam odpowiednią dawkę prywatności. Jednym z wyborów może być 1.1.1.1 należący do Cloudflare.

UPNP

Kolejny protokół, który należy wyłączyć to UPnP. Został on stworzony dla wszystkich urządzeń IOT, które znajdują się w naszym mieszkaniu. Mowa tu więc o wszystkich inteligentnych czajnikach, oczyszczaczach powietrza czy też odkurzaczach. One to wysyłając odpowiednie dane do routera, mogą odblokować odpowiednie porty na firewallu– tak aby mogły działać prawidłowo. Tylko, że urządzenia IOT nie słyną z dobrego bezpieczeństwa. Umożliwianie dostępu do nich z zewnątrz niekoniecznie jest najlepszym pomysłem. Zwłaszcza, jeżeli nie jesteśmy w pełni świadomi tego faktu a czynność ta dzieje się bez naszego udziału. Porty te można również odblokować samemu.

Port forwarding

Zazwyczaj opcja ta kryje się pod nazwą “port forwarding”. Jeżeli nigdy z niej nie korzystałeś – sprawdź czy nie znajdują się tam dziwne wpisy. Droższe routery pozwalają na stworzenie dodatkowej sieci Wi-Fi – tak zwanej sieci gościa. Zazwyczaj, jest ona odseparowana od normalnej sieci WIFI – to znaczy, że urządzenia z jednej sieci nie widzą tych z tej drugiej. Teoretycznie sieć taka powstała, abyśmy mogli udostępnić domowy Internet naszym gościom, którzy przyszli na kilkugodzinną imprezę na nasze mieszkanie. Ale równie dobrze, można wykorzystać tą funkcję do udzielenia dostępu do Internetu urządzeniom, którym nie za bardzo ufamy. Chociażby urządzeniom IOT.

Aktualizacje

Pamiętajmy o aktualizacjach. Niektóre routery (chociażby firmy Mikrotik) mogą same zaktualizować swój system – tak jak robi to Windows. Warto umieścić router w niedostępnym dla postronnych osób miejscu.

Dlaczego? Niektóre urządzenia posiadają na swoich obudowach porty USB, do których można wpiąć routery LTE lub też inne kompatybilne nośniki. Wtedy cały nasz ruch może trafiać do serwera kontrolowanego przez atakującego. Co więcej, routery posiadają przycisk resetu, który usuwa wszystkie hasła i przywraca urządzenie do stanu fabrycznego. Stąd też, bezpieczeństwo zależy także od braku fizycznego dostępu do urządzenia.

Wyłącz również opcję odpowiadania na pakiety ping. W przypadku niektórych routerów warto “przeklikać”” się przez dostępne w panelu opcje. Dla przykładu NetGear zbiera anonimowe statystyki, które to można wyłączyć z poziomu odpowiedniej opcji. Jeżeli widzisz nazwę, której nie rozumiesz – najprawdopodobniej jej nie potrzebujesz.

Błędy bezpieczeństwa

A takich dodatkowych usług może być wiele: SSH, telnet, SNMP. Jeżeli dopiero stoisz przed wyborem odpowiedniego dla siebie urządzenia, warto przed zakupem przeprowadzić na jego temat krótkie poszukiwania. Wystarczy w wyszukiwarce użyć nazwy modelu i dodać słowo kluczowe „exploits”, „bug”, „vulnerability”. Dowiesz się wtedy czy na urządzenie nie ma obecnie jakiejś znanej, a nienaprawionej przez producenta luki.

Urządzenia tego typu często mają dość krótki czas życia. Zdarza się zatem, że błąd istnieje – został zgłoszony, ale producent nie zamierza go naprawić. Dlatego też warto sprawdzić, czy producent wydaje regularne aktualizacje oprogramowania. Samo istnienie błędu to nie koniec świata. Błędy bezpieczeństwa zdarzają się każdemu.

Ważne jest natomiast jak szybko producent na nie reaguje i czy udostępnia odpowiednie łatki bezpieczeństwa. Większość urządzeń pozwala na zapisywanie logów ze swojego działania: w tym zdarzeń dotyczących bezpieczeństwa. Ale nie oszukujmy się, panel sterowania routerem to nie jest pierwsze miejsce, do którego trafiamy każdego poranka. Można więc rozważyć opcję wysyłania emaila – w przypadku specjalnych zdarzeń.

Lista komputerów

Sporo urządzeń pozwala na podgląd aktualnie podpiętych poprzez Wi-Fi komputerów – w tym nazw, którymi się one posługują. Jeżeli widzisz tam zbyt dużą liczbę laptopów, bądź też nie rozpoznajesz któregoś z nich – może pora na zmianę hasła? Nigdy nie wiadomo czy sąsiad nie wykorzystuje naszego połączenia.

Na koniec całej tej konfiguracji warto potwierdzić, czy rzeczywiście nic nam nie umknęło. Serwisy takie jak Shodan czy też Censys nieustannie skanują wszystkie adresy w Internecie, sprawdzając, co się na nich znajduje. Jeżeli w daną wyszukiwarkę wpiszemy nasz publiczny adres IP – powinniśmy otrzymać puste wyniki. Oznacza to bowiem, że żadna usługa nie jest dostępna z zewnątrz.

W innym wypadku – albo dane firmy są nieaktualne albo też musimy przyjrzeć się, dlaczego niektóre porty są dostępne.

Więcej informacji na ten temat można odnaleźć na stronie routersecurity.org1. Znajduje się tam kompletna lista punktów, które powinniśmy sprawdzić na naszym routerze.

I to już wszystko w tym odcinku. Podobało się? Pokaż odcinek znajomym. A ja już dzisiaj zapraszam do kolejnego odcinka. Cześć!

#ZaufanaTrzeciaStrona - Analiza złośliwego kodu dla amatorów na świeżym przykładzie

Data: 16.01.2020 06:19

Autor: ziemianin

zaufanatrzeciastrona.pl

#aktualnosci #codziennaprasowka #informacje #wiadomosci #komputery #cyberbezpieczenstwo #zlosliwykod #malware #trojan #ZaufanaTrzeciaStrona #informatyka

Chcecie zobaczyć, jak radzimy sobie z analizą ataków, dysponując jedynie przeglądarką i kwadransem wolnego czasu? Pokażemy to na ciekawym przykładzie ataku z dzisiejszego poranka. Doświadczenie w analizie nie jest wymagane ;)

#ZaufanaTrzeciaStrona – Analiza złośliwego kodu dla amatorów na świeżym przykładzie

Czasem widzimy różne ataki i zastanawiamy się, czy są ciekawe (czyli warte opisania), czy też niekoniecznie. Wstępna analiza przebiegu ataku pozwala podjąć szybką decyzję, czy zawracać głowę prawdziwym analitykom malware’u. Oczywiście przedstawiona poniżej metoda obarczona jest sporymi błędami, ale to prawdopodobnie najlepsze, na co stać amatora z przeglądarką jako głównym narzędziem pracy.

Niepozorny e-mail

W nasze ręce trafił wczoraj rano e-mail, który na pierwszy rzut oka wyglądał dość niepozornie. Mieliśmy 3 identyczne kopie i przekonanie, że coś chyba jest nie tak.

Nagłówki wiadomości przekonały nas, że coś jest na rzeczy.

Do: undisclosed-recipients:;

Authentication-Results: server.linux80.papaki.gr; spf=pass (sender IP is ::1) smtp.mailfrom=sekretariat@ppuport.pl smtp.helo=webmail.apricotandsea.com

X-Sender: sekretariat@ppuport.pl

X-Ppp-Message-Id: 20200113082135.31371.26021@server.linux80.papaki.gr

Return-Path: sekretariat@ppuport.pl

X-Ppp-Vhost: apricotandsea.com

Received: from server.linux80.papaki.gr (server.linux80.papaki.gr [138.201.37.101]) by XXX (Postfix) with ESMTPS id 47x64d3QS0z1w7K for XXX@XXX.pl; Mon, 13 Jan 2020 09:21:37 +0100 (CET)

Received: from webmail.apricotandsea.com (localhost.localdomain [IPv6:::1]) by server.linux80.papaki.gr (Postfix) with ESMTPSA id 13E2A1A49E10; Mon, 13 Jan 2020 10:21:34 +0200 (EET)

f6283fe0d66176eac98a83372ac6d088@ppuport.pl

Received-Spf: pass (server.linux80.papaki.gr: connection is authenticated)

Wynika z nich, że choć adres rzekomego nadawcy jest w domenie PL, to serwery pośredniczące w wysyłce były w domenach COM i GR. Po co polska firma miałaby wysyłać wiadomości z greckiego serwera? Badamy dalej.

Cóż to za potwór w załączniku

Plik załącznika to prawdopodobnie kluczowy element pułapki. Nie będziemy go otwierać lokalnie, tylko od razu przekażemy ekspertom online. Wchodzimy zatem na stronę

https://app.any.run/

Wgrywamy plik na serwer i czekamy, co się stanie. A dzieje się całkiem sporo. Pod adresem

https://app.any.run/tasks/2ed4abe1-4021-4fe6-bea6-11f227e792b8/

możecie znaleźć wynik analizy. Ten serwis pozwala nawet obserwować, co dzieje się na ekranie komputera w trakcie uruchamiania załącznika. Widzimy zatem, że uruchomiony zostaje Word (w końcu to plik .DOC). W bocznym pasku po chwili widzimy przebieg wydarzeń.


pozostała treść na stronie źródła

Ransomware ewoluuje – nowa grupa dodaje okup za nieujawnienie danych

Data: 13.01.2020 19:54

Autor: ziemianin

zaufanatrzeciastrona.pl

#codziennaprasowka #informacje #wiadomosci #aktualnosci #cyberbezpieczenstwo #atak #PulseSecure #ransomware #Sodinokibi #Travelex

Cyberprzestrzeń nie lubi pustki. Po zakończeniu świadczenia usługi Ransomware-as-a-Service GrandCrab, pojawia się nowa usługa, nowy malware, jeszcze groźniejszy, jeszcze skuteczniejszy. Każdy ma coś do stracenia – tę zasadę wykorzystują przestępcy.

Ransomware ewoluuje – nowa grupa dodaje okup za nieujawnienie danych

Nauczeni doświadczeniem specjaliści bezpieczeństwa coraz skuteczniej wdrażają mechanizmy ochrony (a w zasadzie odzyskiwania danych) na wypadek ataku ransomware. Przestępcy zauważyli, że ofiary nie chcą płacić. Skuteczne uruchomienie procedur odzyskiwania („Disaster Recovery”) sprawia, że przestępcy musieli znaleźć inny sposób czerpania zysków ze swojej działalności. Jest to kolejny przypadek, w którym stawką jest nie tylko odzyskanie danych, by zapewnić utrzymanie ciągłości działania firmy, ale także ochrona ich poufności.

Zaufana Trzecia Strona - „Płać za zwrot danych” już nieaktualne – teraz jest „Płać albo publikujemy”

Data: 09.01.2020 00:56

Autor: ziemianin

zaufanatrzeciastrona.pl

#codziennaprasowka #informacje #wiadomosci #aktualnosci #cyberbezpieczenstwo #Wlamania #Zlosniki #Maze #ransomware #ryuk #Suthwire #WorldHostingFarmLimited

Autorzy ransomware najwyraźniej zauważyli możliwość zwiększenia konwersji swoich przymusowych klientów – oprócz szyfrowania danych zaczęli je wykradać i grozić upublicznieniem. Jedna grupa nawet założyła w tym celu własny serwis WWW.

Zaufana Trzecia Strona – „Płać za zwrot danych” już nieaktualne – teraz jest „Płać albo publikujemy”

Rok 2019 przyniósł istotne zmiany w krajobrazie ataków ransomware. Coraz częściej widzimy na polskim rynku i poza nim ataki wycelowane w przedsiębiorstwa. Nazwy takie, jak Ryuk, LockerGoga, MegaCortex, Maze czy RobbinHood, budzą niemiłe wspomnienia niejednego prezesa. W ostatnim roku część przestępców porzuciła szyfrowanie dysków osób prywatnych i skoncentrowała się na działalności b2b. Rozpoznają biznes ofiary, szacują potencjalne straty, zdobywają uprawnienia administratora domeny i uruchamiają procedury szyfrowania jednocześnie na setkach lub tysiącach stacji roboczych i serwerów. Odpowiednio do większego wysiłku, który wkładają w swoją działalność, zwiększyli także kwoty oczekiwanych okupów. Stawki zaczynają się od 100 000 – 200 000 PLN, ale widzieliśmy też takie po kilka milionów. Cześć organizacji płaci, część odzyskuje z backupów – i ta druga grupa jest głównym problemem przestępców. Przestępcy postanowili ten problem zaadresować w ciekawy, choć niepokojący sposób.

ciąg dalszy na stronie źródła

Gdy przestępcy brakuje talentu, a też chce kraść pieniądze

Data: 29.12.2019 21:57

Autor: ziemianin

zaufanatrzeciastrona.pl

#codziennaprasowka #informacje #wiadomosci #aktualnosci #zaufanatrzeciastrona #cyberbezpieczenstwo #bank #login #phishing #SmartCare #sms

Czasem trafiamy na naprawdę świetnie przygotowane ataki. Przemyślane scenariusze oszustw, historie wiarygodne i dopracowane, wdrożenia bezbłędne i skuteczne. Nie o takim ataku chcemy wam jednak dzisiaj opowiedzieć.

Gdy przestępcy brakuje talentu, a też chce kraść pieniądze

Nie każdy przestępca jest na tyle inteligenty, by wymyślać nowe, kreatywne ataki (jak np. fałszywe panele Dotpay/PayU) lub skutecznie kopiować metody już sprawdzone (jak np. fałszywe panele Dotpay/PayU). Co zatem robi przestępca, gdy nie potrafi wykazać się finezją, znajomością psychologii i ludzkiego umysłu? Takiemu złodziejowi pozostaje determinacja, a jej efekty możecie podziwiać poniżej.

Usługa, której nie było

Jeden z naszych Czytelników, Paweł, zwrócił naszą uwagę na ciekawą próbę oszustwa. Paweł łączył ją z atakiem na Virgin Mobile, ale na razie nie widzimy związku. Sam atak opisany został tydzień temu na Wykopie (czemu nie tagujesz @BlindHeron?). Do Wykopowicza, jak i do Pawła przyszedł SMS o takiej oto treści:

Przypominamy o korzystaniu z aktywnej uslugi SmartCare dla numeru: [tu numer] Oplata zostanie naliczona automatycznie na numer telefonu dnia: 13.01.2020. Formularz zgloszenia telefonu do naprawy oraz opcja rezygnacji z uslugi dostepne na: smartcare.xn.pl.

Wiadomość wysłana była z bramki internetowej. Co czeka na ofiarę? Obrazki mówią same za siebie.

Krok pierwszy – rzekoma witryna serwisu naprawiającego telefony, gdzie wykupiliśmy podobno pakiet za 59,99 miesięcznie, ale możemy z niego zrezygnować.

Proces rezygnacji zaczyna się od podania numeru telefonu – można wpisać dowolny.

Okazuje się, że za rezygnację musimy zapłacić 10 PLN „w systemie SmartPay”.

Mamy kilka banków do wyboru.

Następnie mamy wprowadzić swój PESEL i nazwisko panieńskie matki.

W zależności od wybranego banku musimy przepisać kod z SMS-a

…lub przepisać kod z wiadomości głosowej.

Na koniec dowiadujemy się, że płatność została przyjęta.

Czy to ma szansę zadziałać

Scenariusz ataku i rodzaj gromadzonych danych wydaje się wskazywać na próbę nieautoryzowanej aktywacji aplikacji mobilnej wybranego banku na cudzym urządzeniu. Po dokonaniu takiej aktywacji złodziej może – w zależności od limitów transakcyjnych dla kanału mobilnego – ukraść ok. 1000 – 2000 PLN.

Samo oszustwo wygląda tak trywialnie, że aż trudno uwierzyć, by było prawdziwe. Gdyby nie dwie relacje osób, które wiadomość otrzymały, to obstawialibyśmy eksperyment naukowy mający na celu weryfikację, jak daleko zajdzie ofiara mimo tak oczywistego oszustwa.

Znamy jednak życie i w związku z tym nie możemy wykluczyć, że ktoś się dał na to złapać. Jeśli macie informacje o skuteczności tego ataku (widzieliście w swoim banku ofiary lub jesteście jego sprawcami), to chętnie dowiemy się, jak wyglądały statystyki. Chyba że to jednak badanie naukowe – wtedy czekamy na publikację.

Co robić?

Skoro czytacie ten artykuł w naszym serwisie, to zapewne nie musimy wam tłumaczyć, jak się przed tym atakiem bronić. Prosimy jednak, byście przy każdej okazji tłumaczyli swoim bliskim i znajomym, że login i hasło do banku można podawać tylko na stronie banku i nigdy nie będzie żadnego powodu, by podać je na jakiejkolwiek innej witrynie. A strona banku musi mieć w adresie domenę banku i nic innego. Może kogoś kiedyś w ten sposób uratujecie.

Technikalia

W chwili pisania tego artykułu witryna wczytywana jest z adresu:

pomoc.kylos.pl

A ciąg URL-i wygląda np. tak:

http://pomoc.kylos.pl/rezygnacja.php

http://pomoc.kylos.pl/sprawdz.php

http://pomoc.kylos.pl/wybor.php

http://pomoc.kylos.pl/santander.php

http://pomoc.kylos.pl/santandersms.php

http://pomoc.kylos.pl/santanderok.php

Ważne dane tysięcy klientów wyciekły z Virgin Mobile Polska

Data: 26.12.2019 14:25

Autor: ziemianin

telepolis.pl

#codziennaprasowka #informacje #wiadomosci #aktualnosci #polska #telefoniakomorkowa #Virginmobile #hakerzy #operatorzykomorkowi #cyberbezpieczenstwo #cyberatak

Hakerzy zyskali dostęp do danych tysięcy klientów Virgin Mobile Polska. Chodzi m.in. o imiona i nazwiska oraz numery PESEL

Ważne dane tysięcy klientów wyciekły z Virgin Mobile Polska

W Virgin Mobile doszło do wycieku danych tysięcy klientów, w tym ich imion i nazwisk oraz numerów PESEL. Jak poinformował operator, wyciek nastąpił na skutek ataku hakerskiego na jedną z aplikacji informatycznych firmy.

Virgin Mobile Polska w oświadczeniu wyjaśniło, że do ataku hakerskiego na firmę doszło w dniach 18-22 grudnia 2019 roku. Zaatakowana aplikacja "umożliwiała dostęp do danych rejestrowych" klientów spółki – chodzi m.in. o imiona i nazwiska oraz numer PESEL lub numer dokumentu potwierdzającego tożsamość.

Atak na Virgin Mobile Polska. Wyciekły dane, klienci informowani są SMS-owo

Operator podkreśla jednak, że chodzi o dane 12,5 proc. klientów prepaid, czyli telefonów "na kartę". Dane abonentów, według Virgin, nie wyciekły – przynajmniej dopóki nie korzystali oni również z kart prepaid. "Osoby, których dane wyciekły, zostały o tym poinformowane SMS-owo" – podkreśla Virgin.

Jeśli jednak ktoś posiada nieaktywny numer w Virgin, powinien skontaktować się z infolinią w celu ustalenia, czy jego dane mogły wyciec. Operator doradza kontakt telefoniczny również klientom, którzy dokonywali cesji numeru na inną osobę.

Spółka zapewniła w oświadczeniu, że od razu po ataku podjęła "działania mające na celu zabezpieczenie danych abonentów przed dalszymi atakami" oraz "złożyła stosowne zawiadomienie do organu nadzoru zgodnie z RODO" i "złoży również zawiadomienie o podejrzeniu popełnienia przestępstwa do organów ścigania".

Spółka wzmocniła również procedury uniemożliwiające wykorzystanie danych abonentów, które zostały nielegalnie pozyskane (wprowadzenie dodatkowych/ponadstandardowych środków weryfikacji tożsamości), do składania dyspozycji dotyczących umów o świadczenie usług telekomunikacyjnych z tymi abonentami.

Virgin Mobile podkreśliło też, że w ramach ataku hakerzy nie uzyskali dostępu ani do baz ani infrastruktury operatora, a jedynie części danych udostępnionych w jednej aplikacji.

Zaufana Trzecia Strona - Nie dajcie się złapać na tę sprytną sztuczkę w czasie zakupów

Data: 02.12.2019 23:15

Autor: ziemianin

zaufanatrzeciastrona.pl

#codziennaprasowka #informacje #wiadomosci #aktualnosci #cyberbezpieczenstwo # #Allegro #falszywysklep #OLX #oszustwo #PayU #platnosc

Black Friday, Cyber Monday, święta tuż za pasem… Nic dziwnego, że przestępcy wszelkiej maści powrócili do oszustw z wykorzystaniem prawdziwych płatności PayU w fałszywych serwisach internetowych. Sprawdźmy, co nowego wymyślili.

Zaufana Trzecia Strona – Nie dajcie się złapać na tę sprytną sztuczkę w czasie zakupów

Oszustwa tego typu spopularyzowały się kilka miesięcy temu. Na z3s opisywaliśmy już okradanie nieświadomych użytkowników zarówno na fałszywym, jak i na prawdziwym Allegro. Sztuczkę tę z powodzeniem stosowali także twórcy stron podszywających się pod różne sklepy internetowe. Na trop kolejnych oszustów wpadli specjaliści działu bezpieczeństwa Ceneo.pl, którzy podzielili się z nami swoimi ustaleniami – za co dziękujemy.

Oszustwo krok po kroku

Zaczyna się od oferty sprzedaży sprzętu elektronicznego, np. iPhone’a, w bardzo atrakcyjnej cenie. Oszust (lub oszustka) publikuje ją w którymś z serwisów ogłoszeniowych – poniżej macie przykład z OLX. Pracownicy Ceneo, którzy badali sprawę, donoszą, że podobne ogłoszenia pojawiały się też w mediach społecznościowych.

Kolejnym krokiem jest rozmowa z potencjalnym klientem – albo telefonicznie, albo z użyciem SMS-ów. Przestępca umawia się na sprzedaż za pośrednictwem stron udających Allegro (takich jak allegro.media.pl i allegro.targi.pl) albo zarejestrowanych na nowo domen po nieistniejących już sklepach (np. rcplus.net.pl), które oszust rekomenduje ofierze.

Obie znane nam domeny prowadzące do fałszywego Allegro zostały zarejestrowane za pośrednictwem 101domain GRS Ltd. z siedzibą w Irlandii. Domenę allegro.targi.pl utworzono 23 listopada, a allegro.media.pl – 20 dni wcześniej i w jej sprawie toczy się już postępowanie wyjaśniające. Dane abonenta, jak to zwykle w takich przypadkach bywa, zostały utajnione. Pod adresem rcplus.net.pl jeszcze w ubiegłym roku funkcjonował sklep dla miłośników modelarstwa i zdalnie sterowanych pojazdów, cieszący się dobrą opinią na Ceneo i Opineo. Według ogólnie dostępnych rejestrów firma zawiesiła działalność pod koniec sierpnia 2018 r. Do ponownej rejestracji domeny – tym razem za pośrednictwem serwisu Domena.pl – doszło 10 października, niestety tutaj również dane abonenta nie są dostępne.

Wróćmy jednak do naszego oszusta. Jeśli ofiara złapie przynętę, zamawia on w legalnie działającym sklepie jakiś produkt, tak by kwota płatności zgadzała się z tą, którą ustalił z klientem. Oczywiście nie płaci za zamówienie, tylko – podobnie jak w opisywanych przez nas wcześniej przypadkach – link do płatności wysyła ofierze lub zamieszcza na podrobionej stronie.

Po zaksięgowaniu płatności legalnie działający sklep wyśle towar na adres, który został podany przez oszusta – chodzi zwykle o paczkomaty. Zdarzało się też, że pod adresem pocztowym paczkomatu osoba działająca na zlecenie przestępcy odbierała przesyłkę od kuriera. Sprawą zainteresowali się już funkcjonariusze z Komendy Wojewódzkiej Policji w Krakowie z Wydziału do Walki z Cyberprzestępczością. W chwili pisania tego artykułu żadna z wymienionych w nim stron nie działała, co nie znaczy, że nie pojawiły się nowe.

Jak się bronić przed takimi oszustwami

Przede wszystkim nie zapominajcie – i uświadomcie swoich znajomych – że jeśli jakaś oferta wygląda na zbyt piękną, by była prawdziwą, to prawdopodobnie prawdziwa nie jest. Inną ważną zasadą jest opłacanie tylko tych zamówień, które zostały przez was samodzielnie wygenerowane na stronach odpowiednich serwisów (uważajcie zwłaszcza na linki wysyłane SMS-em). Przed dokonaniem zakupów w konkretnym sklepie sprawdzajcie, czy aby na pewno korzystacie z właściwej strony – często adresy fałszywych sklepów zawierają drobne literówki lub dodatkowe słowa.

Włamał się do banku, ukradł pieniądze, opublikował raport z włamania

Data: 17.11.2019 22:07

Autor: ziemianin

zaufanatrzeciastrona.pl

#codziennaprasowka #informacje #wiadomosci #zaufanatrzeciastrona #cyberbezpieczenstwo #bank #Kajmany #PhineasFisher #PwC #wlamanie #wyciek

Rzadko mamy okazję czytać profesjonalne raporty z udanego włamania do banku. Jeszcze rzadziej raporty te publikuje sam włamywacz, nie mówiąc o bug bounty dla innych hakerów za kolejne włamania.

Włamał się do banku, ukradł pieniądze, opublikował raport z włamania

To jest jedna z ciekawszych historii, jakie przydarzyły się w ostatnich latach w naszej branży. Pamiętacie Phineasa Fishera, który włamał się do sieci producentów oprogramowania szpiegowskiego takich jak Gamma Group czy Hacking Team? Włamywacz nie poprzestał na tych atakach – jak twierdzi, w roku 2016 włamał się także do pewnego banku na Wyspie Man. Nie tylko ukradł stamtąd ponad 2 TB danych, ale wśród opublikowanych dokumentów zamieścił raport firmy PwC ze swojego włamania. Do tego ogłosił nagrodę dla innych włamywaczy, prawdopodobnie finansowaną ze środków wykradzionych z zaatakowanego banku. Co za historia! Ale po kolei.

2 TB danych z banku obsługującego bogaczy

Na Twitterze pojawił się wpis organizacji „Distributed Denial of Secrets” zawierający link do informacji wykradzionych z banku Cayman National Bank and Trust, który rzekomo brał udział w praniu pieniędzy rosyjskich oligarchów.

RELEASE: Sherwood – Copies of the servers of Cayman National Bank and Trust (CNBT), which has allegedly been used for money laundering by Russian oligarchs and others.



Includes a HackBack readme explaining Phineas Fisher's hack and exfiltration of funds. https://t.co/xoQLSjBFX3



— Distributed Denial of Secrets (@DDoSecrets) November 17, 2019

Pod linkiem znajdziemy ogromne zbiory danych, rzekomo wykradzione z ww. banku i zawierające nie tylko historię rachunków jego klientów, ale także kopię korespondencji elektronicznej pracowników banku. Dane te zostały wcześniej udostępnione konsorcjum dziennikarzy śledczych, a wkrótce zbiór ma zostać dołączony do publicznie dostępnej wyszukiwarki informacji.

Równocześnie w sieci pojawił się manifest Phineasa Fishera, który poinformował, że stał za tym włamaniem (tu krótsza wersja po angielsku – oryginał napisano po hiszpańsku). Phineas nie tylko opisuje okoliczności ataku (miał rzekomo użyć tego samego exploita, którym pokonał zabezpieczenia Hacking Teamu, o czym w kolejnym akapicie), ale także informuje, że ukradł kilkaset tysięcy dolarów, z których zamierza finansować nagrody dla innych włamywaczy, atakujących podobne cele. Pisze, że maksymalna nagroda może wynosić nawet 100 000 dolarów. Czas pokaże, czy przekona to innych napastników.

Przebieg włamania

W ustaleniu, jak doszło do włamania, pomogą nam dwa źródła – wpis Phineasa oraz ujawniony przy okazji raport z włamania, opracowany przez PwC. Pomoże też Google Translate, ponieważ Phineas pisze po hiszpańsku.

Raport PwC podkreśla dwa istotne elementy, ograniczające jego poziom szczegółowości. Pierwszy to niewielka dostępność logów – wiele informacji nie było przez bank w żaden sposób rejestrowanych, a pozostałe były dość szybko nadpisywane, przez co nie zachowała się pełna historia wydarzeń. Drugim ograniczeniem był budżet i zakres projektu – w wielu miejscach analitycy PwC wskazują, że danego wątku nie analizowali ze względu na ograniczenia projektowe.

Podczas gdy Phineas informuje, że dostał się do sieci za pomocą exploita na urządzenie sieciowe, PwC wskazuje, że nie znalazło oczywistych śladów pierwotnej infekcji z uwagi na brak logów. Informuje za to, że w przeskanowanej poczcie banku znalazło kilka przykładów ogólnych ataków oraz co najmniej jeden atak dedykowany – złośliwy kod dołączony do wiadomości poczty elektronicznej, korzystający z domeny sterującej założonej tuż przed atakiem. Sam Phineas komentuje, że być może nie był jedynym włamywaczem w sieci banku.

Co do kolejnych kroków obie strony w pełni się zgadzają – Phineas przeszedł do klasycznego działania włamywacza, czyli rozpoznania sieci i penetracji jej dodatkowych obszarów.

7 stycznia 2016 bank zorientował się, że kilka przelewów SWIFT zawiera błędy. To pozwoliło zidentyfikować fakt, że ktoś buszuje w jego sieci. 19 stycznia 2016 do analizy incydentu wynajęto PwC. Z 10 kluczowych systemów banku aż 7 znajdowało się pod kontrolą włamywacza. Atakującemu chodziło zarówno o kradzież informacji, jak i pieniędzy. Zgadza się to z wersją przedstawioną przez włamywacza. Sam Phineas przyznaje, że nie miał żadnego doświadczenia z systemem SWIFT i aby nauczyć się jego obsługi, zaczął od wyszukania plików z ciągiem „SWIFT” w nazwie i ich pobrania. Nie znalazł tam jednak wystarczająco szczegółowych instrukcji, dlatego na stacjach roboczych pracowników zajmujących się przelewami zainstalował złośliwe oprogramowanie, które zapisywało naciskane klawisze i robiło zrzuty ekranów. Jak twierdzi, zgromadzona w ten sposób wiedza bardzo mu pomogła. Pracownicy używali Citrixa, by łączyć się do usługi firmy Bottomline, gdzie obsługiwali interfejs systemu SWIFT. Do autoryzacji przelewu potrzebne były potwierdzenia trzech osób, ale Phineas przejął kontrolę nad wszystkimi trzema kontami.

Jak sam podkreśla, Phineas nie miał bladego pojęcia, jak używać systemu SWIFT i uczył się w trakcie próby kradzieży. Pierwsze przelewy udało mu się zlecić prawidłowo, jednak w kolejnych popełnił błędy, które go zdradziły. Najpierw podał zły kod waluty dla przelewów międzynarodowych, a w kolejnej próbie przekroczył limit transferów dla przelewów przyspieszonych. Oba błędy zostały zauważone przez pracowników banku, którzy zgłosili anomalie i zablokowali możliwość dalszej kradzieży.

Phineas pisze, jak wygodnie pracowało mu się z PowerShellem i raport PwC to potwierdza. Najstarsze wykryte ślady aktywności włamywacza w systemach firmy sięgają 8 grudnia 2015, jednak brak wcześniejszych logów nie wyklucza, że do włamania mogło dojść przed tą datą. Znaleziono między innymi ślady skanowania serwerów przez włamywacza z lipca 2015.

Między godziną pierwszej aktywności na pierwszym z zainfekowanych serwerów a uruchomieniem złośliwego kodu na kontrolerze domeny minęło 39 minut.

Raport PwC potwierdza, że włamywacz pilnie studiował ciekawe dokumenty firmy. Zwróćcie uwagę na nazwy plików.

Raport potwierdza także intensywne korzystanie z keyloggerów i próby dostania się do poczty pracowników. W dokumencie znajdziecie również analizę fragmentów skryptów i narzędzi użytych przez włamywacza.

PwC potwierdza ponadto, że do przelewów SWIFT doszło już 5 stycznia 2016, podczas gdy pierwszy przelew odrzucony został 6 stycznia wieczorem. Nie znajdziemy tam jednak informacji o wysokości strat poniesionych przez bank na skutek nieautoryzowanych transakcji. Raport zawiera oczywiście także sporą sekcję rekomendacji – zalecamy jej lekturę bankowym obrońcom.

Podsumowanie

Nie wiemy, dlaczego do publikacji danych doszło dopiero 3 lata po włamaniu. Nie wiemy też jeszcze, czy wśród klientów banku znajdują się Polacy (wstępny rzut oka na dostępne informacje nie wskazuje na bezpośrednie powiązania klientów z naszym krajem). Wiemy jednak, że to kolejny ciekawy przykład pokazujący, jak prosto jest włamać się do poważnej instytucji i – mamy nadzieję – kolejny wyraźny sygnał, że czas naprawdę zadbać w firmach o podstawy bezpieczeństwa. Lista rekomendacji z raportu PwC niech będzie drogowskazem, w którym kierunku podążać, by nie zostać bohaterami kolejnego wycieku.

Zrozumieć rosyjski wywiad. Rosnąca rola GRU w mediach społecznościowych

Data: 17.11.2019 11:56

Autor: ziemianin

cyberdefence24.pl

#codziennaprasowka #informacje #wiadomosci #rosja #polska #usa #gru #cyberbezpieczenstwo #cyberataki #socialmedia #mediaspolecznocciowe #facebook #dezinformacja #fakenewsy

Rosyjskie operacje prowadzone na platformach mediów społecznościowych mają swe korzenie w ugruntowanej od dziesięcioleci radzieckiej strategii propagandowej – wynika z raportu opublikowanego przez Stanford. Ich charakter zmieniał się wraz z rozwojem ery cyfrowej oraz ewolucją social mediów.

Zrozumieć rosyjski wywiad. Rosnąca rola GRU w mediach społecznościowych

Na zlecenie Komisji ds. Wywiadu Senatu Stanów Zjednoczonych eksperci Stanford w raporcie „Potemkin Pages & Personas: Assessing GRU Online Operations” przeanalizowali dane, odnoszące się do postów zamieszczanych na platformach mediów społecznościowych, które zostały udostępnione przez władze Facebooka. Wszystko odbyło się w ramach badania operacji wpływu, prowadzonych przez służby rosyjskiego wywiadu GRU.

Raport stworzony przez ekspertów Stanforda i w sposób szczegółowy analizuje zbiór danych przekazanych przez Facebooka. Na podstawie zdobytych informacji specjaliści przeprowadzili ogólny przegląd taktyk i metod działania GRU, a także przedstawili zestaw danych statystycznych pokazujących działalność rosyjskiego wywiadu. Dodatkowo sporządzony został wykaz rodzajów operacji realizowanych przez rosyjskie służby. Wśród nich można wymienić na przykład tworzenie fikcyjnych profili publikujących fake newsy lub inne prorosyjskie treści, działania dezinformacyjne wymierzone w Stany Zjednoczone bądź Ukrainę, a także operacje „hack and leak”, polegające na kradzieży informacji a potem ich publikacji.

Autorzy raportu wskazują, że ich celem jest uświadamianie społeczeństwa na temat złośliwych operacji prowadzonych w ramach social mediów oraz wgląd w działania GRU w kontekście „szerszego środowiska informacyjnego”.

Tło i kontekst

Główny Zarząd Wywiadowczy, zwany potocznie GRU, podlega rosyjskiemu ministrowi obrony i odpowiada za prowadzenie szeroko zakrojonych operacji wywiadowczych. Jest upoważniony do realizacji specjalistycznych zadań przy wykorzystaniu kapitału ludzkiego (np. operacje psychologiczne) oraz technologicznego (m.in. cyberataki).

„Rozprzestrzenianie się dezinformacji jest jedną z podstawowych praktyk działania w ramach walki informacyjnej i częścią szeregu mechanizmów operacji wpływu prowadzonych przez Rosję” – mówi treść raportu. Według autorów dokumentu tego typu działania GRU są w dużej mierze zgodne z ustalonym wzorem taktycznym znanym jako narrative laundering czy information laundering. Polega on na tworzeniu fikcyjnych historii, a następnie ich publikację oraz rozpowszechnianie poprzez tworzenie specyficznego „łańcucha cytatów” (citation chain), co w ostateczności ma sprawić, że dana wiadomość zostanie uznana przez użytkowników za wiarygodną.

Kolejnym sposobem działania rosyjskich służb jest tak zwany „boosterizm”, który charakteryzuje się tworzeniem treści, a następnie ich rozpowszechnieniem, jednak głównym celem tego typu operacji jest stworzenie przekonania, że stanowisko przedstawione w spreparowanej wiadomości reprezentuje „popularny punkt widzenia”.

Przykłady przedstawione w raporcie dobitnie pokazują, w jaki sposób strategie działania służb zmieniały się wraz z rozwojem ery cyfrowej, dostosowując swoje operacje do kolejnych osiągnięć technologicznych. Dzięki pojawieniu się mediów społecznościowych GRU mogło realizować kampanie wpływu na szeroką skalę, tworząc fikcyjne profile rozpowszechniające fake newsy.

„Kolejną praktyką działania GRU są włamania oraz złośliwe kampanie wycieków danych realizowane za pomocą cyberataków” – stwierdzono w raporcie. Według specjalistów Stanford kompetencje GRU w tym zakresie pokrywają się z obowiązkami innych rosyjskich służb specjalnych, co należy mieć na uwadze podczas badania problematyki rosyjskiej działalności w cyberprzestrzeni. „Rozróżnienie między kompetencjami tych służb wydaje się być dostrzegalne tylko dla podmiotów funkcjonujących wewnątrz nich” – czytamy w dokumencie.

Główne podejścia

Współczesne operacje wpływów realizowane przez Moskwę mają swoje korzenie w ugruntowanej od dziesięcioleci radzieckiej strategii propagandowej, polegającej na rozpowszechnianiu ujednoliconych publikacji. Tego typu operacje koncentrowały się przede wszystkim na tworzeniu długiej formy tekstu lub innego materiału zorientowanego na państwo, a następnie skutecznej kampanii rozpowszechniającej, wykorzystującej między innymi lokalne media.

W tym miejscu należy również podkreślić, że strategia działania GRU obejmuje także tworzenie think tanków i stron z „alternatywnymi wiadomościami”. Jak wskazano w raporcie – „te ośrodki analityczne i witryny medialne opierały się na tzw. personach, czyli fałszywych tożsamościach internetowych, które były utrzymywane przez określony czas lub działały na wielu innych platformach, próbując stworzyć wrażenie, że dany profil osoby jest w pełni prawdziwy”.

Następnie autorzy dokumentu podkreślają znaczenie operacji dezinformacyjnych prowadzonych przez Moskwę. „Zbiór kampanii dezinformacyjnych opisanych w tym dokumencie wydaje się być w dużej mierze porażką służb (…) GRU nie zrobiła nawet absolutnego minimum, aby osiągnąć wysoki poziom wiarygodności, z wyjątkiem niektórych treści zamieszczanych za pomocą Twittera” – wynika z raportu. To wszystko sugeruje, że w wielu przypadkach albo funkcjonariusze GRU nie koncertowali się na „dystrybucji społecznej” spreparowanych materiałów albo nie posiadali wystarczającego doświadczenia do prowadzenia tego typu operacji.

Jednak z drugiej strony eksperci zauważyli, że część kampanii zakończyła się sukcesem Moskwy. Mowa tutaj na przykład o operacjach propagandowych, mających na celu wykorzystanie środowiska medialnego do dystrybuowania propaństwowych treści za pomocą tradycyjnych źródeł informacji. Współcześnie zdecydowanie większą rolę odgrywają media społecznościowe, dzięki którym potencjalna wiadomość może dotrzeć do milionów odbiorców w niedługim czasie od jej publikacji.

W odniesieniu do złośliwych operacji GRU, w których wykorzystane zostały cyberataki specjaliści przywołali przykład amerykańskich wyborów prezydenckich z 2016 roku. Wówczas funkcjonariusze rosyjskiego wywiadu włamali się do systemów DNC z zamiarem zakłócenia przebiegu całej kampanii wyborczej. Podczas operacji próbowali wpłynąć również na nastroje społeczne oraz amerykańską scenę polityczną za pomocą manipulacji i wywierania wpływu na lokalne media. To wszystko obrazuje skalę zaangażowania GRU w ramach realizacji zadań na rzecz Kremla.

Złośliwy kod na stronach internetowych potrafi zawieszać Firefoxa

Data: 06.11.2019 22:29

Autor: ziemianin

purepc.pl

#codziennaprasowka #informacje #wiadomosci #cyberataki #cyberbezpieczenstwo #firefox #malware #mozilla

Złośliwy kod oparty na JavaScripcie służy do zamrażania przeglądarki Firefox. Mozilla nie wystosowała jeszcze łatki eliminującej lukę bezpieczeństwa. Prawdopodobnie otrzymamy ją w wersji 71 lub 72.

Złośliwy kod na stronach internetowych potrafi zawieszać Firefoxa

Jednym z najskuteczniejszych metod ataku użytkowników komputerów są socjotechniki. Osoby dokonujące cyber-ataków skrupulatnie kalkulują swoje działania, licząc na błąd lub naiwność użytkownika. Jak podkreślił niegdyś Kevin Mitnick: "czynnik ludzki jest najsłabszym ogniwem". Powyższy opis tyczy się sytuacji, gdy wymagana jest interakcja drugiej osoby. Jeszcze gorzej jest jednak w przypadku, gdy wszystko odbywa się bez żadnej interakcji użytkownika. Jak podaje portal Ars Technica, przeglądarka Mozilla Firefox narażona jest obecnie na złośliwy kod, który może być zamieszczony na dowolnej stronie. Powoduje on zablokowanie Firefoxa bez możliwości zamknięcia okna z rzeczoną stroną, ani wyjścia z przeglądarki.

Złośliwy kod zaraportował Mozilli badacz zabezpieczeń z Malwarebytes, Jérôme Segura. Został on stworzony w JavaScript i wykorzystuje lukę zabezpieczeń w najnowszej wersji Firefoxa (70). Dzięki niemu cyber-atakujący mogą "zamrozić" przeglądarkę bez interakcji użytkownika. Ten natomiast widzi komunikat o posiadaniu nielegalnej wersji Windowsa i zablokowaniu komputera dla własnego bezpieczeństwa. W fałszywym okienku podany jest również numer telefonu do rzekomego wsparcia technicznego Windowsa. Taka sytuacja może się przydarzyć zarówno posiadaczom komputerów z systemem Windows, jak i macOS. W przypadku otrzymania takiego komunikatu, jedynym sposobem na wyjście z przeglądarki jest wymuszone zamknięcie procesu Firefox (albo stary dobry Alt-F4, bądź menedżer zadań). Jeśli użytkownik ustawił opcję przywracania kart, będzie musiał albo odłączyć dostęp do internetu, albo szybko usunąć kartę, zanim złośliwy kod wczyta się ponownie.

Ten exploit wykorzystuje mechanizm blokowania przeglądarki poprzez wyświetlanie monitu z uwierzytelnieniem. Jest on o tyle groźny, że może się pojawić na wielu stronach, jeśli tylko zostanie zainfekowany serwer. Ponadto, aktywuje się on automatycznie, a odbiorca straszony jest komunikatem o zablokowaniu komputera w przeciągu 5 minut jeśli nie zadzwoni na wskazany numer (który prawdopodobnie jest także częścią scamu). Co ciekawe Mozilla w marcu 2019 wydała obszerną łatkę zapobiegającą tego typu atakom, datującym się od 2006 roku. Najwidoczniej mamy do czynienia z niespotykaną dotąd wariacją. Mozilla zadeklarowała, że pracuje nad rozwiązaniem problemu. Nie wiemy jednak, jak długo zajmie wyeliminowanie tej luki bezpieczeństwa. Firma przewiduje, że upora się ze złośliwym kodem w wersji 71 lub 72.

Największy bank w Polsce ostrzega przed oszustwami na PSD2

Data: 30.09.2019 02:28

Autor: ziemianin

businessinsider.com.pl

#codziennaprasowka #informacje #wiadomosci #polska #banki #cyberbezpieczenstwo #pkobp

Oszuści dzwonią do klientów i udając pracowników PKO BP, proszą o zainstalowanie specjalnego oprogramowania w związku z wejściem w życie dyrektywy PSD2. Bank apeluje, by tego nie robić.

Największy bank w Polsce ostrzega przed oszustwami na PSD2

PKO BP ostrzega przed możliwymi oszustwami na PSD2. Przestępcy dzwonią do klientów banku, udając pracowników i proszą o zainstalowanie specjalnego oprogramowania w związku z wejściem w życie dyrektywy PSD

14 września weszła w życie dyrektywa PSD2

PKO BP, czyli największy bank w Polsce ostrzega klientów przed możliwymi oszustwami

Oszuści dzwonią do klientów i proszą o zainstalowanie specjalnego oprogramowania. Bank podkreśla, by tego nie robić

PKO BP na swojej stronie internetowej opublikował specjalny komunikat w tej sprawie.

"Oszuści udają pracowników PKO Banku Polskiego, powołują się na dyrektywę PSD2 i proszą o zainstalowanie dodatkowego oprogramowania, które prześlą mailem. Oprogramowanie to ma pozornie służyć autoryzacji transakcji, a tak naprawdę może wyłudzać dane logowania i kody autoryzacyjne" – czytamy w nim.

Bank apeluje, by nie podawać rozmówcy żadnych danych, nie zgadzać się na przesłanie oprogramowania. Prosi też o natychmiastowe poinformowanie o tej sytuacji.

Złośliwe oprogramowanie ukradnie dane

PKO BP tłumaczy, że otworzenia załącznika od oszusta prawdopodobnie spowoduje zainstalowanie złośliwego oprogramowania. Pozwoli ono przestępcom zdobyć poufne dane logowania do bankowości elektronicznej oraz autoryzacji transakcji. W ten sposób oszuści mogą przejąć kontrolę nad rachunkiem.

PKO BP przypomina klientom:

Bank nie prosi o instalację żadnego dodatkowego oprogramowania w związku z wejściem w życie dyrektywy PSD2.

Nie otwieraj załączników z niepewnych źródeł i nie klikaj w podejrzane linki.

Bank nigdy nie wymaga podania kodu jednorazowego w trakcie rozmowy telefonicznej nawiązanej przez pracownika banku, chyba że kontakt telefoniczny następuje z Twojej inicjatywy.

Podanie kodu z narzędzia autoryzacyjnego jest niezbędne wyłącznie do zatwierdzenia zleconej przez Ciebie dyspozycji, np. zlecenia przelewu, założenia lokaty, zmiany danych korespondencyjnych, zdefiniowania płatności, zlecenia stałego i przeglądania historii.

Czym jest PSD2?

PSD2 (ang. Payment Services Directive) to unijna dyrektywa dotycząca usług płatniczych, do której musiały dostosować się wszystkie kraje Wspólnoty. Zrobiła to także Polska poprzez nowelizację ustawy o usługach płatniczych, która weszła w życie 20 czerwca 2018 roku. Zapisano w niej, że banki i inne instytucje finansowe mają czas na wdrożenie przepisów właśnie do 14 września 2019 roku.

Głównymi założeniami dyrektywy PSD2 jest zwiększenie bezpieczeństwa konsumentów i lepsze chronienie ich przed nadużyciami finansowymi w obrocie bezgotówkowym. Ma także zwiększyć szybkość realizacji płatności bezgotówkowych.

Tak wygląda sieć izraelskich firm, tworzących narzędzia do cyfrowych ataków. To stamtąd . . .

Data: 10.09.2019 06:51

Autor: ziemianin

businessinsider.com

#codziennaprasowka #informacje #wiadomosci #inwigilacja #haker #cyberbezpieczenstwo #cyberataki #technologia

Za system Pegasus odpowiada firma NSO Group. Jej założyciele twierdzą, że technologia, która koncentruje się na zbieraniu informacji ze smartfonów, została zaprojektowana w szlachetnym celu, jakim jest pomoc rządom w walce z terroryzmem i przestępczością

Źródło: BiPrime (wymagany angielski)

Tak wygląda sieć izraelskich firm, tworzących narzędzia do cyfrowych ataków. To stamtąd pochodzi Pegasus

Jeśli spędzisz trochę czasu w sekretnym świecie firm, sprzedających "ofensywne cybermożliwości" – tajne narzędzia, które pozwalają włamywać się do telefonów, komputerów i innych urządzeń cyfrowych, aby szpiegować ich użytkowników – to zauważysz, że jedna organizacja wydaje się szczególnie duża i ważna.

Izraelska firma NSO Group zajmująca się cyberbezpieczeństwem została oskarżona o sprzedaż zaawansowanej technologii nadzoru cyfrowego Arabii Saudyjskiej i innym krajom, które są podejrzane o wykorzystywanie jej do ataków na dysydentów i dziennikarzy

Pomimo kontrowersji, firma jest niezwykle dochodowa. Zarobiła około 125 milionów dolarów zysku w 2018 roku, według jednego ze źródeł

Założyciele i byli pracownicy NSO Group stworzyli sieć kilkunastu podobnych startupów, z których wiele działa w tajemnicy. Sprzedają narzędzia do ataków na routery, komputery, inteligentne głośniki i inne urządzenia cyfrowe

Na razie większość tradycyjnych firm typu venture capital trzyma się z dala od firm sprzedających "cyberofensywne możliwości", powołując się na ryzyko dot. prawa i utraty reputacji

Znajduje się w centrum tętniącego życiem, ale i dyskretnego, ekosystemu izraelskich startupów, które specjalizują się w omijaniu i przeciwdziałaniu funkcjom bezpieczeństwa naszego środowiska cyfrowego. W ten sposób klienci, w niektórych przypadkach, otrzymują niemal nieograniczony dostęp do wiadomości i połączeń niemal każdej osoby, którą obrano za cel.


reszta artykułu na stronie [źródł]()https://www.businessinsider.com/inside-the-israel-offensive-cybersecurity-world-funded-by-nso-group-2019-8?IR=T

Przerobiony kabel Lightning do iPhone'a pozwala zdalnie przejąć komputer Apple Mac

Data: 14.08.2019 16:05

Autor: ziemianin

ithardware.pl

#wiadomosci #codziennaprasowka #Apple #iPhone #cyberbezpieczenstwo #bezpieczenstwoit #haker

Specjalnie spreparowany przez hakerów kabel Lightning do iPhone'a pozwala przejąć komputer, do którego zostanie podłączony. W ramach demonstracji (szukać samemu, jest video w sieci) edukacyjnej zaprezentował go specjalista ds. cyberbezpieczeństwa, który w internecie posługuje się pseudonimem MG.

Przerobiony kabel Lightning do iPhone'a pozwala zdalnie przejąć komputer Apple Mac

Taki kabel można podrzucić albo podarować niczego nie podejrzewającej ofierze.

Komputery i smartfony Apple posiadają reputację sprzętu bezpieczniejszego nić ich odpowiedniki na Androidzie, Windowsie czy innych systemach, nie są jednak odporne na wszystko. Zwykły kabel Lightning może zostać podmieniony na spreparowaną wersję i za jej pomocą haker może uzyskać dostęp do sprzętu ofiary. Już wcześniej w tym roku pojawiały się pierwsze informacje na temat kabli O.MG, ale teraz podczas corocznej konferencji Def Con, badacz bezpieczeństwa i twórca zmodyfikowanych kabli, który znany jest jako MG, postanowił nieco przybliżyć swój wynalazek.

"To wygląda jak prawdziwy kabel i działa tak samo. Nawet komputer nie zauważy różnicy. Dopóki ja, jako atakujący, zdalnie nie przejmę kontroli nad kablem" – powiedział MG. Ponieważ odróżnienie kabla od oryginalnego produktu Apple jest prawie niemożliwe, łatwo można zamienić zmodyfikowaną wersję z wersją oryginalną, nie wzbudzając niczyich podejrzeń. Kabel może być również podarowany nieświadomej ofierze. Kabel zawiera implant, który umożliwia hakowanie. Kabel oczywiście spełnia podstawowe funkcje, ale po podłączeniu do komputera Mac hakerzy mogą uzyskać dostęp do sprzętu za pośrednictwem utworzonego hotspotu Wi-Fi. Mają także zdalny kill switch, aby ukryć swoją obecność.

Atakujący mogą znajdować się w odległości do 100 metrów od kabla i nadal móc włamać się do komputera Mac. Odległość można zwiększyć za pomocą anteny. MG powiedział również, że "kabel można skonfigurować tak, aby działał jako klient pobliskiej sieci bezprzewodowej. A jeśli ta sieć bezprzewodowa ma połączenie z internetem, odległość w zasadzie staje się nieograniczona". MG chce stworzyć kable O.MG jako legalne produkty bezpieczeństwa i mówi, że firma Hak5 jest gotowa je sprzedawać – chociaż będą tworzone od zera, a nie przerabiane na bazie kabli Apple. Klienci Def Con otrzymają wczesny dostęp do narzędzi, których cena wynosi 200 USD.

Wyciek danych osobowych ponad 2 tysięcy uczestników E3!

Data: 04.08.2019 12:19

Autor: JuliaMay

gry-online.pl

ESA zaliczyło wpadkę na niewyobrażalną skalę. Niezabezpieczony plik z wszystkimi danymi kontaktowymi dziennikarzy czy YouTuberów krąży sobie po sieci, co na pewno będzie służyło nadużyciom. Taka wpadka odbije się bardzo źle na E3 i wiele firm oraz reprezentantów mediów może za rok nie chcieć się dzielić swoimi danymi, a w rezultacie nie pojawi się na imprezie- mówi Michał Mańka uczestnik E3 i redaktor GryOnLine.

#gry #technologia #cyberbezpieczenstwo #e3