Brandsit

Tag: Cyberbezpieczeństwo

  • Cyberprzestępcy szukają nowych dróg ataku

    Cyberprzestępcy szukają nowych dróg ataku

    Coraz więcej państw zaczyna zdawać sobie sprawę z tego, że główne zagrożenie dla ich bezpieczeństwa wiąże się z internetem i informatyką – podkreśla Moni Stern, dyrektor Checkmarx. Cyberprzestępcy szukają nowych dróg ataku. Eksperci podkreślają, że często wykorzystują przy tym techniki socjotechniczne. Celem bardzo często stają się urządzenia mobilne, słabiej zabezpieczane niż komputery. Hakerzy chętnie sięgają po złośliwe oprogramowania.

    Janusz Nawrat, dyrektor Departamentu Bezpieczeństwa Informacji i Systemów Informatycznych Raiffeisen Bank
    Janusz Nawrat, dyrektor Departamentu Bezpieczeństwa Informacji i Systemów Informatycznych Raiffeisen Bank

    Urządzeń mobilnych używamy w 75 proc. jako urządzeń dostępowych do sieci. Korzystamy z nich, by mieć dostęp do serwisów informacyjnych w internecie, mediów społecznościowych i bankowości internetowej. Skala zastosowań urządzeń mobilnych jest ogromna, zatem skala zagrożeń jest do tego proporcjonalna – podkreśla w rozmowie Janusz Nawrat, dyrektor Departamentu Bezpieczeństwa Informacji i Systemów Informatycznych Raiffeisen Bank.

    Z danych Orange Polska wynika, że w ostatnim roku trzykrotnie wzrosła liczba zainfekowanych smartfonów. Eksperci przewidują wzrost ataków z wykorzystaniem urządzeń mobilnych. Wciąż dużo do życzenia pozostawiają systemy ich zabezpieczeń.

    Cyberataki na urządzenia mobilne idą w trzech kierunkach. Pierwszy to socjotechnika, czyli wykorzystywanie niskiej świadomości użytkowników tych urządzeń. Następnym jest wykorzystywanie podatności w oprogramowaniu, zarówno systemowym urządzeń, jak i w aplikacjach, które mniej lub bardziej świadomie instalujemy na naszych urządzeniach. Trzeci kierunek to malware, czyli złośliwe oprogramowanie – wymienia Nawrat.

    Podstawową zasadą bezpieczeństwa jest zainstalowany aktualny program antywirusowy oraz aktualna wersja systemu operacyjnego. Konieczna jest też świadomość zagrożeń i ostrożność w przypadku nie tylko podejrzanie wyglądających załączników, lecz także wiadomości wysyłanych przez nieznanych nadawców lub też podejrzanych wiadomości od naszych znajomych. Wciąż jeszcze wielu internautów daje się oszukać i otwiera linki w e-mailach podszywających się pod znane marki czy popularnych usługodawców.

    Urządzenie mobilne jest pełnoprawnym komputerem. Nie kwestionujemy konieczności zastosowania na laptopach czy na komputerach typu desktop systemów zabezpieczających, ale wciąż mamy problem mentalny z zabezpieczaniem urządzeń mobilnych. To są normalne komputery i w związku z tym podlegają dokładnie takim samym zasadom ochrony jak zwykłe komputery podkreślił przedstawiciel Raiffeisen Bank podczas warsztatów zorganizowanych przez fundację Digital University.

    Cyberprzestępcy nieustannie doskonaloną swoje umiejętności. Wraz z rozwojem technologicznym przybywa obszarów, które można wykorzystać do ataku nie tylko na osoby prywatne, lecz także organizacje. W dużym przedsiębiorstwie potencjalnych miejsc jest 150–200 – wynika z wyliczeń Deloitte. Żeby ograniczać zagrożenie, kluczowe jest poznanie tych punktów i rozwój systemów zabezpieczających.

    Musimy zrozumieć nowe technologie, które pozwolą nam na tworzenie lepszych i szybszych sieci. Dzięki nim będziemy mogli transferować dane w bezpieczniejszy sposób i stworzyć procesy uniemożliwiające cyberataki. Technologie przyszłości rozwijają się bardzo obiecująco, zapowiadając powstanie lepszych i szybszych sieci mówi Regina Llopis, prezes AIA/EleQuant

    Przedsiębiorstwa powinny przeanalizować, gdzie znajdują się największe zagrożenia tak, by móc im się skutecznie przeciwstawiać. Punktami dostępu mogą być strony internetowe i media społecznościowe, na których aktywni są pracownicy i sama firma, używane aplikacje mobilne oraz infrastruktura techniczna. Bacznej uwagi wymagają też ludzie czy procesy w firmach.

    Musimy być świadomi wszystkich drobiazgów, na które na co dzień niespecjalnie zwracamy uwagę. Jeżeli przebywamy w mobilnym ekosystemie, musimy być pewni, że łączymy się z bezpiecznym wi-fi, a w pracy łączymy się z punktami, które mają firewalle. Trzeba o tym mówić, szkolić i edukować pracowników, osoby, które prowadzą rozmowy telefoniczne i nie wiedzą, kto znajduje się po drugiej stronie, wzięte z zaskoczenia udzielają bardzo wrażliwych informacji przekonuje Regina Llopis.

    Ofiarami cyberprzestępców padają banki, instytucje ubezpieczeniowe, firmy telekomunikacyjne, serwisy aukcyjne. Celem coraz częściej stają się agendy rządowe, instytucje istotne z punktu widzenia bezpieczeństwa państwa.

    W przeszłości krajom i ich infrastrukturze groziły armaty i bomby. Teraz wiele państw zaczyna zdawać sobie sprawę z tego, że główne zagrożenie pochodzi z branży IT. Ofiarą ataku może paść system finansowy czy transportowy – podkreśla Moni Stern, dyrektor sprzedaży na Europę Środkowo-Wschodnią w Checkmarx.

    Jak przekonuje, nowe technologie decydują o rozwoju gospodarczym. Systemy informatyczne dostarczają kluczowych informacji, zarządzają łańcuchem dostaw, więc funkcjonowanie większości przemysłu byłoby bez nich praktycznie niemożliwe. Jak podkreśla Stern, w Polsce świadomość cyberzagrożeń rośnie, także na poziomie państwowym. Przykładem może być powołanie Narodowego Centrum Cyberbezpieczeństwa działającego w Naukowej i Akademickiej Sieci Komputerowej. NASK chroni też spółki strategiczne dla państwa.

  • Szpieg z urządzeniem za 100 zł kradnie hasła

    Szpieg z urządzeniem za 100 zł kradnie hasła

    Badacze z Kaspersky Lab przyjrzeli się publicznie dostępnym narzędziom sprzętowym i programowym służącym do przechwytywania haseł, dochodząc do wniosku, że osoba z podstawową wiedzą programistyczną może w ciągu kilku godzin stworzyć potężne narzędzie hakerskie, mając do dyspozycji jedynie około 100 zł. W eksperymencie wykorzystano urządzenie USB oparte na minikomputerze Raspberry Pi, które zostało skonfigurowane w określony sposób i nie zawierało żadnego szkodliwego oprogramowania. Tak wyposażeni badacze byli w stanie potajemnie gromadzić dane uwierzytelniające użytkowników z sieci korporacyjnej z prędkością 50 haseł na godzinę.

    Badanie zostało zainspirowane prawdziwą historią: w innym dochodzeniu, w którym uczestniczyli eksperci z Kaspersky Lab, wewnętrzny szpieg (pracownik firmy sprzątającej) użył nośnika USB do zainfekowania szkodliwym oprogramowaniem stacji roboczej znajdującej się w atakowanej organizacji. Po usłyszeniu tej historii entuzjaści bezpieczeństwa z Kaspersky Lab zaczęli się zastanawiać, czego jeszcze mogliby użyć szpiedzy, aby włamać się do sieci. Czy można tego dokonać, nie wykorzystując żadnego szkodliwego oprogramowania?

    urzadzenie przygotowane przez badaczy z kaspersky labBadacze wykorzystali minikomputer Raspberry Pi, który skonfigurowali jako kartę sieci Ethernet, dokonali dodatkowych zmian konfiguracyjnych w systemie operacyjnym komputera i zainstalowali kilka publicznie dostępnych narzędzi służących do wykrywania pakietów oraz gromadzenia i przetwarzania danych. Na koniec badacze skonfigurowali serwer służący do gromadzenia przechwyconych danych. Następnie urządzenie to zostało podłączone do atakowanej maszyny i zaczęło automatycznie przekazywać do serwera skradzione dane uwierzytelniające.

    Było to możliwe dzięki temu, że system operacyjny na zaatakowanym komputerze zidentyfikował podłączone urządzenie Raspberry Pi jako przewodową kartę sieciową (LAN) i automatycznie przydzielił mu wyższy priorytet niż innym dostępnym połączeniom sieciowym, a także – co ważniejsze – zapewnił mu dostęp do wymiany danych w sieci. Eksperymentalna sieć stanowiła symulację segmentu rzeczywistej sieci korporacyjnej. Badacze zdołali zebrać dane uwierzytelniające wysyłane przez atakowany komputer PC i jego aplikacje podczas prób uwierzytelnienia serwera domeny i serwera zdalnego. Udało im się także zebrać tego rodzaju dane z innych komputerów w segmencie sieci.

    Co więcej, ponieważ scenariusz ataku pozwalał na przesłanie przechwyconych danych za pośrednictwem sieci w czasie rzeczywistym, im dłużej urządzenie było połączone z komputerem PC, tym więcej danych zdołało zebrać i przesłać do zdalnego serwera. W ciągu zaledwie pół godziny trwania eksperymentu badaczom udało się zebrać prawie 30 skrótów haseł przesłanych za pośrednictwem zaatakowanej sieci. Nietrudno zatem wyobrazić sobie, ile danych można zebrać w ciągu zaledwie jednego dnia. W najgorszym wypadku przechwycone mogłyby zostać również dane uwierzytelniające administratora domeny. Aby tak się stało, musiałby on zalogować się na swoje konto, w czasie gdy urządzenie byłoby wpięte do jednego z komputerów PC wewnątrz domeny.

    Potencjalna powierzchnia ataków w przypadku tej metody przechwytywania danych jest duża: eksperyment udało się odtworzyć zarówno na zablokowanych, jak i niezablokowanych komputerach działających pod kontrolą systemów Windows i macOS. Badacze nie zdołali odtworzyć ataku na urządzeniach opartych na systemie Linux.

    Po przeprowadzeniu tego eksperymentu zaniepokoiły nas głównie dwie kwestie: po pierwsze – w ogóle nie musieliśmy tworzyć oprogramowania – skorzystaliśmy z narzędzi publicznie dostępnych w internecie. Po drugie – uderzyła nas łatwość, z jaką mogliśmy przygotować weryfikację koncepcji dla naszego narzędzia. To oznacza, że eksperyment ten mógłby zostać odtworzony potencjalnie przez każdą osobę, która potrafi poruszać się po internecie i posiada podstawową wiedzę techniczną. Nietrudno przewidzieć, jak mogłoby się to skończyć, gdyby atak ten przeprowadzili cyberprzestępcy. Właśnie z tego powodu zdecydowaliśmy się zwrócić uwagę na ten problem. Zarówno użytkownicy, jak i administratorzy sieci firmowych powinni być przygotowani na tego rodzaju atak — powiedział Siergiej Lurje z Kaspersky Lab, entuzjasta bezpieczeństwa oraz współautor badania.

    Mimo że atak nie pozwala na przechwytywanie samych haseł, a jedynie skrótów (ang. hash), stanowiących ich interpretację w czystym tekście po tym, jak zostały przetworzone przez określony algorytm, skróty te mogą zostać odszyfrowane do postaci pierwotnych haseł.

    Aby zabezpieczyć swój komputer lub sieć przed atakami przy pomocy podobnych urządzeń, eksperci ds. bezpieczeństwa z Kaspersky Lab zalecają następujące działania:

    W przypadku użytkowników:

    1. Po powrocie do komputera sprawdź, czy z portów nie wystają żadne dodatkowe urządzenia USB.
    2. Nie przyjmuj wymiennych nośników danych pochodzących z niezaufanych źródeł. W rzeczywistości może to być narzędzie do przechwytywania haseł.
    3. Wyrób w sobie nawyk kończenia sesji na stronach, które wymagają uwierzytelnienia. Zwykle oznacza to kliknięcie przycisku wylogowania.
    4. Regularnie zmieniaj hasła – zarówno na swoim komputerze, jak i często odwiedzanych stronach internetowych. Pamiętaj, że nie wszystkie Twoje ulubione strony internetowe będą posiadały mechanizmy zabezpieczające przed podmianą danych dotyczących ciasteczek. Możesz stosować wyspecjalizowane oprogramowanie do zarządzania hasłami, które zapewnia łatwe zarządzanie silnymi i bezpiecznymi hasłami.
    5. Włącz uwierzytelnianie dwuskładnikowe, na przykład w formie żądania potwierdzenia loginu przez SMS.
    6. Zainstaluj i regularnie aktualizuj rozwiązanie bezpieczeństwa oferowane przez sprawdzonego i zaufanego dostawcę.

    W przypadku administratorów:

    1. Jeśli pozwala na to topologia sieci, zalecamy wykorzystywanie wyłącznie protokołu Kerberos w celu uwierzytelnienia użytkowników domeny.
    2. Ogranicz uprzywilejowanym użytkownikom domen możliwość logowania się do przestarzałych systemów, zwłaszcza administratorom domen.
    3. Hasła użytkowników domen powinny być regularnie zmieniane. Jeśli z jakiegoś powodu polityka organizacji nie przewiduje regularnej zmiany haseł, należy ją w tym kontekście zmodyfikować.
    4. Wszystkie komputery w sieci firmowej powinny być chronione przy pomocy rozwiązań bezpieczeństwa i regularnie aktualizowane.
    5. W celu uniemożliwienia podłączania nieautoryzowanych urządzeń USB można zastosować funkcję kontroli urządzeń.
    6. W przypadku posiadania danego zasobu sieciowego zalecamy aktywowanie HSTS (HTTP Strict Transport Security) w celu uniemożliwienia przełączania się z protokołu HTTPS na HTTP i fałszowania danych uwierzytelniających ze skradzionych ciasteczek.
    7. W miarę możliwości należy wyłączyć tryb nasłuchiwania i aktywować ustawienie izolacji klienta (AP) w ruterach i switchach Wi-Fi, uniemożliwiając nasłuchiwanie ruchu przepływającego przez inną stację roboczą.
    8. Należy włączyć ustawienie DHCP Snooping, aby chronić użytkowników sieci firmowej przed przechwyceniem ich żądań DHCP przez fałszywe serwery DHCP.

    Oprócz przechwytywania danych uwierzytelniających z sieci firmowej eksperymentalne urządzenie może być wykorzystywane do gromadzenia ciasteczek z przeglądarek na zaatakowanych maszynach.

  • Cyberbezpieczeństwo w branży motoryzacyjnej

    Cyberbezpieczeństwo w branży motoryzacyjnej

    Coraz więcej funkcji wbudowanych w nowoczesne samochody — takich jak zdalna diagnostyka, telemetria czy rozbudowane systemy informacyjno-rozrywkowe — wykorzystuje kanały komunikacji między pojazdami a chmurą lub inną infrastrukturą. Wymiana danych z pojazdem oferuje wiele technologicznych możliwości, jednak kanały te mogą być również wykorzystane do przeprowadzenia cyberataków. Przy rosnącym ryzyku włamań do pojazdów, które mogą zagrozić bezpieczeństwu oraz prywatności ich właścicieli, wymagane jest przygotowanie środków technologicznych zapewniających należytą ochronę samochodów.

    Aby sprostać wyzwaniom stawianym cyberbezpieczeństwu przez nowoczesne systemy stosowane w motoryzacji, firmy Kaspersky Lab oraz AVL Software and Functions GmbH podjęły współpracę mającą na celu opracowanie zaawansowanych, osadzonych technologii bezpieczeństwa.

    Doktor Georg Schwab, dyrektor zarządzający AVL Software and Functions GmbH oraz Aleks Mojsiejew, dyrektor ds. sprzedaży, Kaspersky Lab podpisali umowę o współpracy w Regensburgu 1 czerwca 2017 r. Umowa obejmuje następujące zagadnienia:

    • Wspólny rozwój oprogramowania gwarantującego bezpieczną, niezakłóconą komunikację między komponentami samochodu, pojazdem oraz zewnętrzną infrastrukturą.
    • Rozwój osadzonych rozwiązań motoryzacyjnych z wykorzystaniem najlepszych praktyk i technologii z obszaru cyberbezpieczeństwa.
    • Łączenie produktów bezpieczeństwa z komponentami samochodów oraz promocja zaawansowanych rozwiązań ochrony w branży motoryzacyjnej.
    • Przygotowanie programu szkoleń dla branży motoryzacyjnej.
    • Rozszerzanie portfolio rozwiązań bezpieczeństwa dla samochodów połączonych z internetem oraz pojazdów autonomicznych.

    Jednym z kluczowych celów współpracy jest przygotowanie skutecznej i elastycznej platformy bezpieczeństwa, która pozwoli producentom samochodów na rozwijanie oraz stosowanie modułu Secure Communication Unit (SCU lub Car Gateway) w swoich pojazdach, z użyciem dodatkowych komponentów dopasowanych do planów produkcyjnych. Po opracowaniu prototyp rozwiązania SCU zostanie wnikliwie przetestowany pod kątem bezpieczeństwa i zgodności z wymogami. Takie podejście pozwoli nie tylko na skuteczne dostarczanie środków technologicznych wymaganych przez branżę, ale także umożliwi rozwijanie nowych koncepcji, które przyczynią się do tego, że oprogramowanie wykorzystywane w pojazdach będzie uwzględniało bezpieczeństwo już na etapie projektowania.

    Kaspersky Lab wraz ze swoim partnerem technologicznym AVL Software and Functions GmbH przedstawią opracowaną wspólnie przykładową platformę SCU na targach New Mobility World / IAA 2017, które odbędą się w dniach 12-17 września 2017 r. we Frankfurcie.

  • Bezpieczniejsza jazda samochodem

    Bezpieczniejsza jazda samochodem

    Nowoczesne samochody to w zasadzie komputery na kółkach. Liczba elektronicznych komponentów w pojazdach sukcesywnie wzrasta, a wiele modeli zbudowanych w ciągu ostatnich trzech do pięciu lat ma na pokładzie wiele kamer, czujników i radarów, które współpracują ze sprzętem w zakresie przetwarzania i analizowania sygnałów pochodzących z całego wyposażenia. Lecz to dopiero czubek góry lodowej: niemal każdy główny komponent nowoczesnego auta, taki jak silnik, układ kierowniczy, stabilizacji czy hamulcowy, jest kontrolowany przez elektronikę oraz jest powiązany z siecią pokładową. Co więcej, wiele z tych aut jest połączone z internetem, a kilka najnowszych modeli całkowicie może w pewnych okolicznościach prowadzić samochód automatycznie.

    Zatem auta i komputery mają wiele wspólnego. Jednak wciąż jest jeszcze jedna zasadnicza różnica między nimi: bezpieczeństwo. Branża zabezpieczeń komputerowych istnieje już od ponad 20 lat, tymczasem branża motoryzacyjnych zabezpieczeń IT nie istnieje prawie wcale. Ponieważ auta w dużej mierze zależą od komputerów, naturalnie na myśl przychodzi pytanie, czy istnieją dla nich jakieś szkodliwe programy, które mogą pomóc w zhakowaniu lub wykorzystaniu elektroniki na pokładzie. I rzeczywiście jest to realne.

    Czy hakowanie aut to realne zagrożenie?

    Hakowanie aut było gorącym tematem kilka lat temu, gdy badacze zajmujący się bezpieczeństwem — Charlie Miller i Chris Valasek — zaprezentowali, w jaki sposób można zdalnie zhakować Jeepa Cherokee, uzyskując nad nim pełną kontrolę. Mogli zdalnie sterować kierownicą, przyspieszeniem, hamulcami, a także jednostką główną. Należy wspomnieć, że po przejęciu kontroli nad autem przez badaczy kierowca nie mógł zrobić nic.

    Później przy użyciu innych metod zhakowano Model S Tesli oraz ponownie zhakowano Jeepa. Fakt, że auta można zhakować, jest jeszcze bardziej niepokojący w przypadku autonomicznych aut i wywołał obsesję w branży motoryzacyjnej, która najprawdopodobniej potrwa jeszcze kilka lat.

    Elektronika samochodowa jest stosunkowo skomplikowana, podlega wielu standardom, ma wiele własnych elementów, a także całe mnóstwo tajemniczych kawałków, które rozumie jedynie producent. Ważne jest również to, że nawet jeśli jakieś części zostały przetestowane pod kątem bezpieczeństwa, to auto jest efektem połączenia tych części, a całość zazwyczaj nie podlega dokładnym badaniom w takim zakresie. Idealnym przykładem jest tu Dieselgate.

    Najwyższy czas, aby ktoś zaczął zastanawiać się nad bezpieczeństwem informatycznym w branży motoryzacyjnej — ktoś, kto może coś z tym zrobić.

    Krok w głąb świata bezpiecznych aut połączonych z internetem

    Kaspersky Lab nie jest nowicjuszem w świecie motoryzacyjnych: jest partnerem Ferrari od 2013 r., a w 2016 roku utworzył grupę Kaspersky Motorsport. Można więc stwierdzić, że towarzyszy już branży motoryzacyjnej od pewnego czasu, a teraz wykonał kolejny krok, aby uczynić ze świata motoryzacji bezpieczniejsze miejsce.

    Firma AVL, będąca największym niezależnym dostawcą układów napędowych, oraz Kaspersky Lab ogłosili zawiązanie partnerstwa, którego celem jest zwiększenie bezpieczeństwa aut łączących się z siecią oraz zmniejszenie ich podatności na ataki hakerskie.

    AVL produkuje wiele różnych elementów samochodowych, jednak Kaspersky Lab ma brakujący kawałek — bezpieczny system operacyjny, Kaspersky OS. Głównym celem partnerstwa jest utworzenie jednostki zabezpieczającej komunikacji (ang. Secure Communication Unit, SCU) — łączącej w sobie oprogramowanie i sprzęt, która zabezpieczy komunikację pomiędzy częściami auta oraz pomiędzy autami połączonymi z internetem i infrastrukturą, a także umożliwi wdrożenie bezpiecznego z założenia (ang. secure-by-design) oprogramowania samochodowego. Wspomniana jednostka SCU (znana także jako Car Gateway) będzie elastycznym rozwiązaniem, łatwym w implementacji, lecz zapewniającym niezawodną ochronę, które uniemożliwi hakerom dokonywanie zmian w elektronice auta.

    Platforma bezpiecznej komunikacji zostanie zaprezentowana tej jesieni we Frankfurcie, podczas wydarzenia New Mobility World.

  • WannaCry – niskie zyski przestępców, wielka skala skażenia

    WannaCry – niskie zyski przestępców, wielka skala skażenia

    Zyski cyberprzestępców z „popularnego” ransomware WannaCry dopiero kilka dni temu przekroczyły 100 tys. dolarów. Przy takiej skali infekcji to raczej słaby wynik, a zapędy szantażystów hamowane są między innymi ostrożnością i dobrymi praktykami potencjalnych ofiar.

    Również lokalnie, co pokazują wyniki ankiety przeprowadzonej przez firmę Anzena. 47% małopolskich firm i instytucji doświadczyło jakiegoś ataku ransomware, ale ponieważ 98% z nich w różny sposób tworzy kopie swoich danych to w wielu przypadkach płacenia haraczu udało się uniknąć.

    Czym jest WannaCry?

    WannaCry to zagrożenie szyfrujące, które dwa tygodnie temu szturmem wzięło setki firmowych sieci i medialnych nagłówków. Spotkali się z nim również administratorzy, menedżerowie i specjaliści bezpieczeństwa IT goszczący na krakowskiej konferencji Advanced Security Systems. Wydarzenie zorganizowane przez polskiego dystrybutora rozwiązań do backupu StorageCraft – firmę Anzena – miało miejsce dwa tygodnie po wybuchu epidemii zagrożenia. Odpowiedzi jego uczestników na przeprowadzoną ankietę pokazują, że ransomware to jak najbardziej realne zagrożenie, a część polskich firm i instytucji może nie być gotowych na ataki szyfrujące i ich niszczycielskie skutki.

    Skala epidemii

    Mimo medialnego szumu wokół szyfrujących cyberszantaży, wiele osób jeszcze do niedawna postrzegało je raczej jako egzotyczną ciekawostkę. Tymczasem blisko połowa respondentów już doświadczyła jakiejś infekcji szyfrującej w sieci własnej firmy lub instytucji, a 83% osobiście zna inne podmioty zaatakowane przez ransomware. Nic więc dziwnego, że tylko 10% specjalistów uważa środki bezpieczeństwa wdrożone w swoim miejscu pracy za wystarczające do powstrzymania takiego ataku.

    Brak wiary w skuteczność ochrony przekłada się na częstsze tworzenie kopii bezpieczeństwa, jako szybkiego sposobu usunięcia skutków infekcji. Aż 98% ankietowanych zadeklarowało, że chroni w ten sposób swoje najważniejsze pliki. Backupowy optymizm podtrzymują dane dotyczące aktualności backupu. U 65,5% specjalistów ostatni backup miałby jeden dzień, „kilka dni” to wybór 27,5% badanych, a 5% uczestników przyznało, że ostatni plik w ich firmie mógłby mieć ponad miesiąc. W przypadku bazy danych dużej firmy utrata miesiąca pracy może być bardzo kosztowna, ale i mniejsze podmioty powinny zatroszczyć się o większą częstotliwość tworzenia backupu, bo zagrożenia szyfrujące nie są wybredne – z równą zajadłością atakują jednoosobowe firmy, urzędy miast, szkoły, zakłady produkcyjne etc.

    Jak unikać zagrożenia?

    Na wypadek podobnej katastrofy każda firma powinna mieć tzw. plan disaster recovery. Jego elementem jest ustalenie częstotliwości i procedury wykonywania testowego backupu, które wbrew obawom części administratorów wcale nie musi być czasochłonne. Jeśli wykorzystamy do tego możliwości uruchamiania systemu w środowisku wirtualnym to cały proces zajmuje kilka minut. – Krystian Smętek, Anzena

    Prawdopodobnie to właśnie „brak czasu” na testowe przywracanie kopii bezpieczeństwa sprawia, że jego statystyki wypadają na tle całości średnio. Tylko niecałe 7% ankietowanych sprawdziło swój backup w przeciągu ostatniego tygodnia, a 15% w ciągu miesiąca poprzedzającego konferencję. Okres „w przeciągu 6 miesięcy” wskazało blisko 22% ankietowanych i tyle samo przyznało, że nie testuje swojego backupu w ogóle. Ostatnich 12% odpowiedzi brzmiało „nie pamiętam”, ale trzeba odnotować, że mogły jej udzielać również osoby nie zajmujące się bezpośrednio testami backupu.

    Warto przypomnieć, że mimo ewolucji technologii sandboxingu zwalczających ransomware, na ten moment przywrócenie aktualnej kopii bezpieczeństwa pozostaje jedynym, praktycznie niezawodnym sposobem uniknięcia cyfrowego szantażu. Dla wielu podmiotów atakowanych przez ransomware w rodzaju WannaCry to ostatnia deską ratunku. W naszym interesie jest jak najczęściej sprawdzać, czy od ostatniego backupu ta deska nie spróchniała.

  • Niebezpieczny nieznajomy: udostępnianie w internecie a utrata cennych danych

    Niebezpieczny nieznajomy: udostępnianie w internecie a utrata cennych danych

    Dzisiaj ludzie używają swoich urządzeń, aby przechowywać na nich dane ze wszystkich aspektów swojego cyfrowego życia — od zdjęć po informacje kontaktowe, dzięki którym mogą utrzymać kontakt z ukochanymi. Dane te są cenne, a ich utrata może być naprawdę bolesna.

    Udostępnianie informacji i zdjęć na portalach społecznościowych, takich jak Facebook czy Instagram, stało się dla wielu osób naturalną czynnością. Badanie firmy Kaspersky Lab pozwala rzucić nieco światła na to, jak dużo osobistych danych ludzie ujawniają publicznie. Wyniki pokazują, że swoje dane udostępnia cyfrowo większość osób (93%) — 70% pokazuje zdjęcia i filmy swoich dzieci, natomiast 40% — prywatne i poufne filmy oraz zdjęcia innych osób. Pod tym względem sytuacja wygląda gorzej w przypadku młodszego pokolenia, które udostępnia nieznajomym ogromne ilości danych osobistych.

    Niepokojące jest to, że niemal połowa (44%) internautów upublicznia swoje informacje. Trzeba bowiem pamiętać, że gdy dane znajdą się w sferze publicznej, mogą rozprzestrzenić się znacznie dalej niż zakładał ich właściciel. Jedna osoba na pięć przyznaje, że udostępnia poufne dane osobom, których dobrze nie zna, oraz nieznajomym. Takie osoby pozbawiają się pełnego wpływu na to, w jaki sposób zostaną wykorzystane ich poufne informacje. Ludzie narażają się na ryzyko kradzieży tożsamości lub ataku finansowego poprzez udostępnienie informacji finansowych i płatniczych (37%), skanów swoich paszportów, prawa jazdy oraz innych prywatnych dokumentów (41%) lub haseł (30%).

    Ludzie w Stanach Zjednoczonych i regionie Azji i Pacyfiku najchętniej udostępniają dane nieznajomym (odpowiednio 30% i 28%), a także udostępniają dane publicznie częściej niż inne kraje (poza prywatnymi zdjęciami i filmami w Rosji). Japonia przeciwstawia się temu trendowi i nie udostępnia danych obcym (8%).

    Do najczęstszych problemów ze smartfonami, zgłaszanych przez osoby udostępniające swoje dane, należą nachalne reklamy (51%) oraz problemy z żywotnością baterii (41%). Zgłaszano także znacznie gorsze problemy: np. 14% użytkowników smartfonów udostępniających dane padło ofiarą szkodliwego programu, a 19% odkryło działanie aplikacji na urządzeniu bez ich świadomości.

    Najczęściej udostępniamy zdjęcia, przy czym większość osób (91%) udostępnia je przez internet. Tymczasem 55% badanych przyznało, że udostępnia niektóre swoje dokumenty, a 55% udostępnia innym wybrane wiadomości.

    Ankietowani z Rosji udostępniają prywatne i wrażliwe zdjęcia i filmy częściej niż użytkownicy w innych krajach, a Japończycy są skłonni do takiego działania najmniej. Na przykład trzy czwarte Rosjan (74%) udostępnia prywatne i wrażliwe zdjęcia i filmy ze swoim udziałem, w porównaniu do jednej czwartej (24%) Japończyków.

    Przytaczane wyniki pochodzą z raportu firmy Kaspersky Lab pt. „Niebezpieczny nieznajomy: udostępnianie w internecie a utrata cennych danych” poświęconego nawykom dotyczącym udostępniania danych. Badanie pokazało, że ludzie nie tylko dzielą się swoimi danymi, ale również urządzeniami, na których przechowywane są ich cenne informacje. Jedna osoba na dziesięć (10%) udostępniła nieznajomej osobie swój PIN umożliwiający dostęp do urządzenia, natomiast jedna osoba na pięć (22%) zostawiła swoje urządzenie, niezablokowane i bez nadzoru, wśród grupy ludzi. Co więcej, niemal jedna czwarta (23%) przekazała swoje urządzenie innej osobie do tymczasowego użytku.

    Udostępnianie zbyt wielu osobistych danych innym osobom i firmom stanowi naprawdę niebezpieczny nawyk. W dzisiejszym świecie online dzielenie się informacjami z innymi jest bardzo łatwe i pod wieloma względami właśnie po to stworzono internet. Jednak ujawniając innym ludziom istotne i poufne informacje, jednym kliknięciem zrzekasz się kontroli nad tymi danymi, ponieważ nie masz pewności, do kogo trafią i do czego zostaną użyte. Użytkownicy dosłownie przekazują swoje cenne dane, a nawet urządzenia, na których są przechowywane, w obce ręce. – Andriej Mochola, dyrektor odpowiedzialny za rozwiązania dla klientów indywidualnych, Kaspersky Lab

    Badanie ponadto dowodzi, że skłonność do udostępniania innym osobom swoich prywatnych i poufnych zdjęć jest najbardziej powszechna wśród młodych ludzi — przyznaje się do tego 61% osób w wieku 16-24, podczas gdy dla osób powyżej 55 lat odsetek ten wynosi jedynie 38%. Podobną tendencję można również zauważyć w odniesieniu do informacji finansowych: aż dwie piąte młodych ludzi udostępnia innym swoje dane finansowe i płatnicze (42% osób z przedziału wiekowego 16-24 lat), natomiast w przypadku osób powyżej 55 roku życia takie zachowanie wskazuje jedynie 27%.

    klp infpgrafika udostepnianie danych

    Wprawdzie oczekiwanie od użytkowników internetu, że przestaną udostępniać innym swoje zdjęcia, dane osobiste i inne informacje, byłoby całkowicie nierealistyczne, jednak warto zastanowić się na spokojnie, zanim opublikuje się istotne informacje online. Zachęcamy również użytkowników, aby stosowali środki bezpieczeństwa w celu ochrony swoich danych oraz prywatności, na wypadek gdyby ich urządzenia lub dane wpadły w niepowołane ręce — dodał Andriej Mochola.

  • Jak chronić się przed trojanem Dridex?

    Jak chronić się przed trojanem Dridex?

    Kaspersky Lab przeanalizował historię i ewolucję trojana bankowego Dridex — sześcioletniego zagrożenia, które spowodowało milionowe straty, wciąż dostosowuje się do nowych warunków i skutecznie atakuje mimo licznych prób powstrzymania go.

    Nadal uzbrojony i niebezpieczny

    Według analizy przeprowadzonej przez Kaspersky Lab Dridex — który atakuje głównie klientów instytucji finansowych/bankowych w Europie — przez cały czas od swojego powstania był rozwijany przez te same osoby. Jest to niezwykle rzadkie w przypadku szkodliwego oprogramowania. Na tle innych cyberzagrożeń Dridex wyróżnia się również ciągłą ewolucją i coraz większym wyrafinowaniem, jak również zdolnością wymykania się organom ścigania poprzez ukrywanie swoich serwerów kontroli za warstwami pośredniczącymi.

    Starsze wersje przestają działać, jak tylko pojawią się nowe, a każde ulepszenie stanowi kolejny krok naprzód w rozwoju. Na przykład twórcy trojana Dridex nadal stosują nowe techniki unikania kontroli konta użytkownika (UAC) w systemie Windows — umożliwiając tym samym skuteczniejsze infekowanie komputerów.

    W pierwszych miesiącach 2017 r. aktywność trojana Dridex została zidentyfikowana w kilku państwach europejskich. 60% wszystkich przypadków wykryć tego szkodnika miało miejsce w Wielkiej Brytanii, w dalszej kolejności uplasowały się Niemcy i Francja.

    W raporcie zbadano teorię, według której autorzy Dridexa stanowią te same osoby, które stały za szkodnikiem Zeus Gameover — nieaktywnym już odgałęzieniem głównej rodziny Zeus, która została stworzona w celu kradzieży finansowych danych uwierzytelniających ofiar oraz wykorzystania ich do oszukańczych przelewów bankowych. Zarówno w jednym, jak i drugim przypadku wykorzystano to samo szkodliwe oprogramowanie w narzędziach infekcji poprzez sieć. Z drugiej strony, mogło to być następstwem wycieku lub kradzieży kodu.

    Dlaczego warto wiedzieć o tym trojanie?

    Trojan bankowy Dridex pojawił się po raz pierwszy w 2011 r., stając się głównym cyberzagrożeniem finansowym. W 2015 r. szkody wyrządzone przez tego trojana zostały oszacowane na ponad 40 milionów dolarów. Obecnie mówi się o kosztach rzędu setek milionów dolarów. Liczne próby zablokowania trojana okazały się nieskuteczne i szkodnik nadal pozostaje aktywny. Dlatego niezwykle istotne jest, aby organizacje z sektora usług finansowych oraz bankowego poznały charakter tego zagrożenia i jego ewolucję, aby móc lepiej chronić siebie i swoich klientów.

    Porady bezpieczeństwa: dla firm z sektora finansowego

    • Stosuj skuteczne rozwiązanie do zapobiegania oszustwom, które umożliwi szybkie i precyzyjne zidentyfikowanie nieautoryzowanego wykorzystania kont klientów oraz nielegalnej aktywności finansowej.
    • Poinformuj i poinstruuj klientów odnośnie istotnych praktyk w zakresie cyberbezpieczeństwa, wskazując, jakiego rodzaju wiadomości e-mail, załączniki czy prośby nigdy nie są wysyłane przez Twoją organizację.
    • Rozważ zainwestowanie w zaawansowaną analizę zagrożeń. Dzięki niej będziesz mógł zrozumieć szybko ewoluujący krajobraz zagrożeń oraz przygotować na nie zarówno swoją organizację, jak i klientów.

    Porady bezpieczeństwa: dla klientów korzystających z serwisów bankowości online

    • Nie otwieraj (zamiast tego usuń) wiadomości e-maili zawierających podejrzanie wyglądające załączniki, które pochodzą od nieznajomych osób lub których się nie spodziewałeś.
    • Nie klikaj żadnych wzbudzających podejrzenia odsyłaczy w wiadomościach e-mail.
    • Jeśli wiadomość wygląda, jakby pochodziła z Twojego banku lub innej zaufanej organizacji, zanim cokolwiek klikniesz lub uruchomisz, skontaktuj się z rzekomym nadawcą celem potwierdzenia autentyczności korespondencji.
    • Odwiedzaj tylko zaufane strony internetowe.
    • Zainstaluj niezawodne rozwiązanie bezpieczeństwa — i stosuj wszystkie aktualizacje.
    • Stosuj uwierzytelnianie wieloskładnikowe jeżeli tylko jest to możliwe.
    • Nie włączaj obsługi makr w pakietach biurowych.
  • Cyberatak na bankowość internetową, co zrobić? – porada prawna

    Cyberatak na bankowość internetową, co zrobić? – porada prawna

    Ilość cyberataków na bankowość internetową nieustannie rośnie. Instytucje finansowe wkładają coraz więcej wysiłku w ochronę powierzanych im pieniędzy. Nadal jednak nie są w stanie całkowicie wyeliminować wyłudzeń danych oraz cyberkradzieży. Środki, które nielegalnie wypłynęły z kont klientów banków, często powinny zostać zwrócone przez usługodawcę, nie wszyscy jednak zdają sobie z tego sprawę.

    Cyberprzestępcy korzystają z coraz bardziej wysublimowanych metod dokonywania nieautoryzowanych transakcji z nieswoich kont. Jedną z nich jest rozsyłanie wirusów i szkodliwego oprogramowania. Aby zainfekować sprzęt wystarczy zaakceptować licencję niepozornego, darmowego programu lub kliknąć w niezaufany link. Jego nieumyślne zainstalowanie umożliwia przechwytywanie danych przez niepowołane osoby.

    Popularny jest również phishing, czyli kradzieże dokonywane przez fałszywe strony www. Do klientów bankowości internetowej drogą mailową rozsyłane są linki, pod którymi kryją się fałszywe witryny, nie różniące się właściwie niczym od oryginalnej. Dzięki temu haker przechwytuje pełen zestaw informacji, które pozwalają mu na dokonanie nieautoryzowanego przelewu. Bardziej niebezpieczną dla użytkownika oraz trudniejszą do wykrycia formą phishingu jest pharming. W tym przypadku, klient jest przekierowany na fałszywą stronę banku nawet po wpisaniu prawidłowego adresu www.

    Kto jest winien zaniedbań?

    Tego rodzaju pułapek zastawianych przez cyberprzestępców jest coraz więcej. Ich liczba najprawdopodobniej będzie stale rosła wraz z rozwojem nowych technologii. Warto jednak wiedzieć, że odpowiedzialność za tego rodzaju przestępstwa nie zawsze spoczywa jedynie na barkach ofiary. Jest także wynikiem niedostatecznych zabezpieczeń lub zbyt późno pojawiających się ostrzeżeń. Banki zaś, zgodnie z artykułem 50. prawa bankowego, są zobowiązane do „dołożenia szczególnej staranności w zakresie zapewnienia bezpieczeństwa przechowywanych środków pieniężnych”.

    Instytucje finansowe bardzo często próbują uniknąć finansowej odpowiedzialności i niesłusznie odrzucają prośby o zwrot utraconych w wyniku cyberprzestępstw pieniędzy swoich klientów. Ci mogą jednak dochodzić swoich praw drogą sądową.

    Aby sąd orzekł w tego rodzaju sprawach na korzyść banku, ten będzie musiał udowodnić, że klient dopuścił się rażącego niedbalstwa. Zatem, jeżeli ofiara cyberataku przekazała osobom trzecim swoje dane logowania, rozsyłała je nieszyfrowanymi wiadomościami lub pozostawiła je w miejscu publicznym na zewnętrznym nośniku, nie będzie mogła liczyć na zwrot utraconej kwoty. Rażącym zaniedbaniem nie zawsze będzie jednak sytuacja, w której klient padnie ofiarą wyłudzenia danych za pomocą phishingu oraz pharmingu. Dodatkowo, jeżeli klient zorientuje się, że coś jest nie tak, zaniecha dalszych prób logowania, poinformuje bank lub złoży reklamację, to można uznać, że nie miał on zamiaru autoryzacji transakcji płatniczej, która została przeprowadzona – mówi Katarzyna Kosicka-Polak, radca prawny z kancelarii prawnej MKZ Partnerzy

    Należy również pamiętać, że to banki muszą udowodnić fakt autoryzowania transakcji przez klienta, niedopełnienia obowiązków, czy też dopuszczenia się rażącego niedbalstwa.

    Bank, widząc, że z konta klienta, który zazwyczaj wykonuje operacje na niewielkie kwoty, nagle wypływa dużo większa suma, powinien dodatkowo potwierdzić transakcję drogą telefoniczną przed jej ostateczną realizacją. Ten proces jest jednak nadal bardzo rzadki. Dodatkowo banki nadal nie chcą zwracać klientom skradzionych im środków. Nasza kancelaria prowadzi obecnie wiele tego rodzaju spraw. Kwoty, które odzyskujemy sytuują się w przedziale od 1 000 zł do 100 000 zł. Niedawno, po kilku miesiącach negocjacji, udało nam się odzyskać ponad 80 000 zł na drodze przedsądowej – mówi Katarzyna Kosicka-Polak, radca prawny z kancelarii prawnej MKZ Partnerzy

    W tym kontekście warto również pamiętać, że zgodnie z art. 46 ustawy o usługach płatniczych w przypadku wystąpienia nieautoryzowanej transakcji płatniczej bank jest zobowiązany niezwłocznie zwrócić kwotę na konto, z którego została dokonana.

    MG 4957a min
    Katarzyna Kosicka-Polak, MKZ Partnerzy
  • Cyberbezpieczeństwo w erze ataków ransomware

    Cyberbezpieczeństwo w erze ataków ransomware

    Ransomware jest epidemią naszych czasów. Wystarczy spojrzeć na skutki WannaCry. Potrzebna jest odpowiednia szczepionka na tego typu zagrożenia. O cyberbezpieczeńtwie mówi Hatem Naguib, Wiceprezes i Główny Menedżer działu Rozwiązań Bezpieczeństwa z Barracuda Networks.

    Co kilka lat pojawia się nowe zagrożenie, które staje się preferowaną przez przestępców metodą cyberataku. Jeszcze niedawno na pierwszych stronach gazet pisano o zaawansowanych uporczywych zagrożeniach (advanced persistent threat, APT), a organizacje starały się powstrzymać ataki, w których napastnicy ukrywali się i poruszali „na boki” w sieci po uzyskaniu dostępu. Obecnie jednak to ransomware – oprogramowanie do wymuszania okupów – staje się coraz powszechniej stosowanym „narzędziem”, będącym wyjątkowo skuteczną i rentowną – oczywiście tylko dla przestępców – metodą ataku. Szacuje się, że tylko w zeszłym roku ataki ransomware kosztowały ich ofiary niemal miliard dolarów. W tym roku szkody z pewnością będą większe, bo wystarczy choćby wspomnieć o stratach, jakie w ostatnich dniach spowodował ransomware WannaCry.

    Nic dziwnego, że wymuszanie okupów w cyberprzestrzeni święci takie sukcesy – wywodzi się ze starego modelu, który mafia i gangi stosowały przez wiele lat, teraz tylko ma formę cyfrową. Warto pamiętać, że cyfrowa transformacja to nie tylko korzyści dla firm, użytkowników indywidualnych czy organów państwowych – to także nowe perspektywy dla przestępców.

    Wszystko wskazuje na to, że takich zagrożeń będzie więcej, a ich skutki będą jeszcze bardziej dotkliwe. Zaobserwowaliśmy ostatnio nowe zagrożenie: zamiast odebrać okup i zostawić organizację w spokoju, niektóre nowe warianty ataków niszczą dane bez możliwości ich odzyskania. Zastanawiamy się więc, co przyniesie przyszłość. Czy kolejną taktyką będzie „protectionware” – oprogramowanie, które zmusza ofiary do dokonywania regularnych płatności „za ochronę” w celu zachowania dostępu do swoich kluczowych danych?

    Konsekwencje ataków wymuszających okupy są bardzo poważne. Nie chodzi tylko o pieniądze, ale również o reputację, wiarygodność i miejsca pracy w organizacji. Skutki ransomware bywają katastrofalne, zwłaszcza dla mniejszych firm, które nie dysponują środkami, żeby szybko wznowić zwykłą działalność biznesową. Oprócz strat finansowych i wizerunkowych firmy i instytucje ponoszą inne szkody – często stanowiące zagrożenie dla bezpieczeństwa publicznego. Oto kilka przykładów:

    • Departament policji w Teksasie padł ofiarą ransomware’u i stracił materiały dowodowe z ośmiu lat, co potencjalnie może doprowadzić do uwolnienia przestępców.
    • Miejski Urząd Transportowy w San Francisco musiał zamknąć swój system sprzedaży biletów na dwa dni, co kosztowało 50 tysięcy dolarów w utraconych przychodach.
    • Policja w Waszyngtonie utraciła dostęp do 70 proc. kamer monitoringu przed inauguracją prezydencką, co zmniejszyło stopień bezpieczeństwa.

    Ze względu na skalę ostatnich zagrożeń postanowiliśmy zdobyć nieco więcej informacji na temat tego, co myślą ich potencjalne ofiary. W kwietniu tego roku przeprowadziliśmy krótki sondaż na temat ransomware’u. Uzyskaliśmy ponad 1000 odpowiedzi od respondentów z organizacji z Ameryki i regionu EMEA (Europy, Bliskiego Wschodu oraz Afryki) zatrudniających od 1 do 10 tysięcy pracowników, przy czym najliczniej (18,1 proc.) reprezentowane były organizacje zatrudniające od 101 do 250 pracowników.

    Wyniki ankiety okazały się interesujące. Jak można było się spodziewać, zdecydowana większość (92 proc.) respondentów martwiła się, że ich organizacja padnie ofiarą ransomware’u. Wydaje się, że obawy te są uzasadnione – niemal połowa (47 proc.) respondentów miała już do czynienia z tym zagrożeniem. Spośród tych ofiar 59 proc. nie było w stanie zidentyfikować źródła ataku. Niestety, nie jest to zaskakujące – wiele organizacji w ogóle nie wie, że ktoś włamał się do ich sieci, nie mówiąc już o tym, jak do tego doszło. Jednak spośród 41 proc. tych, którzy potrafili zidentyfikować źródło, 76 proc. stwierdziło, że atak rozpoczął się od poczty e-mail. E-mail pozostaje jednym z najszerzej używanych narzędzi komunikacyjnych w biznesie, a także jednym z najczęstszych wektorów ukierunkowanych zagrożeń. Wyniki badania podkreślają znaczenie wielowarstwowej ochrony poczty – w bramie internetowej, w komunikacji wewnętrznej, a także w jednym z najczęściej lekceważonych obszarów, czyli szkoleniu pracowników, którzy bywają najsłabszym ogniwem, jeśli chodzi o obronę przed takimi zagrożeniami, jak ransomware.

    Szczególnie interesujące były odpowiedzi użytkowników aplikacji SaaS (Software as a Service, oprogramowanie jako usługa), ponieważ mają związek z wbudowanymi zabezpieczeniami tych aplikacji. Na przykład 70 proc. respondentów nie uważało, że Microsoft Office 365 spełnia ich potrzeby w zakresie ochrony przed ransomware’em, co podkreśla wartość rozwiązań firm trzecich. W rzeczywistości niemal 60 proc. respondentów używało rozwiązań zabezpieczających firm trzecich, takich jak Barracuda Essentials for Office 365, celem uzupełnienia wbudowanych zabezpieczeń. Sugeruje to, że organizacje czują się bezpieczne tylko wtedy, gdy używają aplikacji w połączeniu z rozwiązaniami zabezpieczającymi.

    IMG 4953 e1464179482944

    Hatem Naguib

    Wiceprezes i Główny Menedżer działu Rozwiązań Bezpieczeństwa

    Barracuda Networks

     

  • Niebezpieczne napisy filmowe

    Niebezpieczne napisy filmowe

    Badacze z firmy Check Point odkryli nowy sposób ataku, który może pozwalać hakerom na przejęcie pełnej kontroli nad komputerami, telefonami komórkowymi i inteligentnymi telewizorami użytkowników popularnych platform multimedialnych z wykorzystaniem szkodliwych napisów do filmów.

    Analitycy ds. bezpieczeństwa w firmie Check Point odkryli nowy sposób ataku stanowiący zagrożenie dla setek milionów użytkowników popularnych odtwarzaczy multimedialnych, w tym VLC, Kodi (XBMC), Popcorn Time i Stremio. Preparując szkodliwe napisy filmowe do pobrania przez widzów, napastnicy mogą potencjalnie przejąć pełną kontrolę nad każdym urządzeniem, na którym działają podatne na atak platformy.

    Omri HerscoviciŁańcuch dostaw w przypadku napisów jest złożony – wykorzystywanych jest ponad 25 formatów, z których każdy posiada inne cechy i udostępnia inne możliwości. Jako że ekosystem jest rozproszony i obejmuje niewiele zabezpieczeń, występują w nim liczne podatności, co czyni go ogromnie atrakcyjnym celem dla atakujących. Odkryliśmy, że można stworzyć szkodliwe napisy i automatycznie dostarczyć je do milionów urządzeń, pomijając oprogramowanie zabezpieczające oraz zyskując pełną kontrolę nad zainfekowanym urządzeniem i przechowywanymi w nim danymi – stwierdził kierujący zespołem ds. luk bezpieczeństwa w firmie Check Point Omri Herscovici. 

    Zespół badawczy firmy Check Point przetestował cztery najpopularniejsze odtwarzacze multimedialne (VLC, Kodi, Popcorn Time oraz Stremio) i znalazł w nich luki bezpieczeństwa, o których poinformował zgodnie z zasadami dotyczącymi odpowiedzialnego ujawnienia. Wykorzystując podatności występujące w tych platformach, hakerzy mogli posłużyć się szkodliwymi plikami, aby przejąć urządzenia odtwarzające materiały multimedialne.

    Napisy do filmów i programów telewizyjnych są tworzone przez licznych tłumaczy, po czym trafiają do wspólnych repozytoriów internetowych, jak na przykład OpenSubtitles.org, gdzie są indeksowane i klasyfikowane. Badacze Check Point wykazali również, że poprzez manipulowanie algorytmem klasyfikacji stosowanym przez repozytoria hakerzy mogą doprowadzić do automatycznego pobrania szkodliwych napisów przez odtwarzacz multimedialny, zyskując w ten sposób pełną kontrolę nad całym łańcuchem dostaw napisów bez żadnego udziału użytkownika.

    Po przekazaniu informacji twórcom, wszystkie cztery firmy rozwiązały zgłoszone problemy. Stremio i VLC zdążyły już wydać nowe wersje oprogramowania, które zawierają właściwe łatki.

    infographic hack in translation v6 1024x946 1

    Aby się zabezpieczyć i zminimalizować ryzyko ataków, użytkownicy powinni zaktualizować swoje odtwarzacze strumieniowe do najnowszej wersji  – podsumował Herscovici.

    W przypadku odtwarzacza VLC odnotowano ponad 170 milionów pobrań ostatniej wersji wydanej 5 czerwca 2016 r. Kodi (XBMC) osiągnął ponad 10 milionów unikatowych użytkowników dziennie i niemal 40 milionów użytkowników miesięcznie. Brak aktualnych szacunków dotyczących liczby użytkowników Popcorn Time, ale szacuje się, że jest ich kilkadziesiąt milionów. Zdaniem Check Point podobne luki mogą być obecne również w innych odtwarzaczach strumieniowych.

  • Jak NIE przesyłać tajnych danych, czyli brytyjska policja znów gubi kluczowe dowody

    Jak NIE przesyłać tajnych danych, czyli brytyjska policja znów gubi kluczowe dowody

    Jest co najmniej kilka sposobów bezpiecznego transferu wrażliwych danych. Rozsądek podpowiada, że jeśli odległość nie jest zbyt duża, tego rodzaju informacje powinno się dostarczać osobiście. Z kolei przesyłając je siecią warto skorzystać z dedykowanego protokołu VPN. W każdym jednak przypadku dane wysokiego ryzyka powinny być zaszyfrowane, co uchroni je przed niepowołanym dostępem nieuprawnionych osób.

    Manchesterska policja zlekceważyła te standardy przesyłając nośniki z niezaszyfrowanymi plikami nagrań z przesłuchań ofiar przemocy seksulanej… pocztą. W efekcie niezaszyfrowane płyty DVD z zeznaniami zaginęły na poczcie, a funkcjonariusze już drugi raz zainkasowali 150 tys. funtów grzywny od brytyjskiego odpowiednika GIODO.Oddając sprawiedliwość Poczcie Królewskiej warto wspomnieć, że policjanci mogli skorzystać z przesyłki specjalnej, przy której każde przekazanie paczki z rąk do rąk wymaga podpisu osoby pobierającej przesyłkę. Nie zrobili nawet tego, wybierając po prostu jedną z najtańszych opcji.

    Szokujące zaniedbanie wyszło na jaw, gdy nagrania nie dotarły do miejsca przeznaczenia: Sekcji Analizy Poważnych Przestępstw działającej w ramach Narodowej Agencji ds. Przestępczości. Wydział ten zajmuje się identyfikacją seryjnych morderców i gwałcicieli już na wczesnych etapach dochodzenia. Oczywiście wtedy, gdy ma dowody, na których może pracować. Kiedy ich zabrakło zaalarmowana instytucja ICO (brytyjski odpowiednik Generalnego Inspektora Ochrony Danych Osobowych) rozpoczęła śledztwo, którego ustalenia zjeżyły włos na głowie wielu brytyjskim obywatelom. Okazało się, że pechowy wydział przesyłał w ten sposób wrażliwe zeznania od 2009 roku, a po wycieku danych zgłoszonym w 2015 rzekomo „przestał” w tym celu korzystać z usług poczty. Pytanie brzmi: dlaczego właściwie poczta?

    Przyczyną może być kilka czynników, a najprawdopodobniej ich wybuchowa mieszanka. Przyzwyczajenie do starych metod, brak kompetencji do obsługi nowszych, zwykłe niedbalstwo lub też źle pojęta oszczędność. Tę ostatnią szczególnie trudno zrozumieć zważywszy na fakt, że za równowartość otrzymanych kar wspomniany wydział policji już dawno mógł mieć najnowocześniejsze systemy kontroli i ochrony danych – Krystian Smętek, Anzena

    Kolejny błąd?

    Według raportu Big Brother Watch z 2016 w ciągu ostatnich 4 lat na koncie manchesterskiej policji odnotowano 100 wyłomów bezpieczeństwa. Niestety funkcjonariusze nie wyciągnęli żadnych wniosków ze swoich wcześniejszych potknięć, wskutek czego ponownie łamiąc regulacje obowiązującego na Wyspach rozporządzenia Data Protection Act policja po raz drugi zainkasowała grzywnę 150 tys. funtów. Po raz drugi, bo w 2012 analogiczną karę dostała za utratę pamięci USB z wrażliwymi danymi.

    Każdy klient i użytkownik sieci ma prawo oczekiwać, że jego informacje będą przechowywane i transportowane we właściwy sposób. Wydatnie pomogą w tym narzędzia szyfrujące, rozwiązania DLP chroniące przed wyciekiem wrażliwych danych i nowoczesne produkty do backupu. Bez tych ostatnich w przypadku dużej awarii może już nie być czego zabezpieczać. W przypadku mniejszej czyjeś dowody mogą nie dotrzeć przed oblicze sędziego. Obu przypadków warto się wystrzegać.

  • Skradziono już ponad milion danych z rejestrów medycznych, a ta liczba wciąż rośnie

    Skradziono już ponad milion danych z rejestrów medycznych, a ta liczba wciąż rośnie

    Cyberprzestępcy są coraz bardziej zainteresowani wykradaniem danych z rejestrów medycznych. Na czarnym rynku tego rodzaju informacje są warte więcej niż np. dane dostępu do konta czy karty kredytowej. Specjaliści Fortinet wyjaśniają, skąd bierze się taka popularność danych medycznych w cyberprzestępczym podziemiu.

    Rejestry medyczne to bogate źródło wiedzy na temat danej osoby. Zawierają imię i nazwisko pacjenta, datę urodzenia, informacje o rodzicielstwie, numery ubezpieczeń społecznych, adresy, numery telefonów, informacje o krewnych i wiele innych informacji osobistych. Są to dane przydatne w szerokim zakresie cyberprzestępczych działań, włącznie z kradzieżą tożsamości.

    Trwałość danych

    O ile numery kart kredytowych i konta bankowe mają krótki okres przydatności dla przestępców, tak dane z rejestrów medycznych mogą być przetwarzane przez o wiele dłuższy czas. Do wykrycia kradzieży tego typu danych może dojść nawet po kilku miesiącach. Pozwala to przestępcom na spokojną i dokładną analizę wykradzionych informacji, które mogą być następnie wykorzystane do oszustw finansowych popełnianych poza sektorem opieki zdrowotnej. Informacje o ubezpieczeniach zdrowotnych mogą być też wykorzystywane np. do uzyskiwania fałszywych recept czy zakupu sprzętu medycznego.

    Niestety, istnieje ograniczona możliwość odzyskania danych

    Kiedy oszust wykorzystuje do popełnienia przestępstwa informacje z konta bankowego lub karty kredytowej, ich odzyskanie może być stosunkowo proste. Instytucja finansowa blokuje wówczas kartę czy możliwość wykonywania operacji na koncie i wydaje nowe dokumenty oraz dane. W przypadku kradzieży danych medycznych doprowadzenie do stanu sprzed kradzieży jest wręcz niemożliwe: nie zmieni się przecież imienia, nazwiska, historii choroby czy grupy krwi. Jedyną możliwością ochrony jest regularne sprawdzanie, czy np. nie odnotowano prób zaciągnięcia pożyczki czy otwarcia nowego konta na Twoje dane. Oczywiście o kradzieży danych należy bezzwłocznie po jej wykryciu poinformować organy ścigania.

    Uwaga na IoT

    Cyberprzestępcy coraz częściej atakują za pośrednictwem przedmiotów Internetu rzeczy (IoT). Dlatego przed podłączeniem do domowej sieci różnego rodzaju urządzeń opieki medycznej, które monitorują stan zdrowia pacjentów lub dawkują leki, należy je dokładnie sprawdzić: dowiedzieć się, czy istnieją znane luki w ich zabezpieczeniach i czy można je aktualizować.

    Zdaniem ekspertów Fortinet można domniemywać, że na całym świecie przestępcy skradli już miliony danych z rejestrów medycznych. Dzięki statycznej naturze zawartych w nich informacji przestępcy mają sporo czasu, aby je przeanalizować, przetwarzać, a następnie z nich korzystać. Cyberprzestępcy nadal korzystają z takich metod ataków jak ransomware wymierzone w jednostki ochrony zdrowia czy bardziej „tradycyjnych” ataków metodą DDoS (odmowa dostępu).W tej sytuacji bardzo ważne jest, aby instytucje medyczne administrujące naszymi danymi odpowiednio szkoliły pracowników w zakresie cyberbezpieczeństwa, tworzyły kopie zapasowe danych czy przeprowadzały codzienną integrację sygnatur złośliwego oprogramowania.

  • Cyberataki coraz bardziej kreatywne – uważaj, gdzie wpisujesz dane

    Cyberataki coraz bardziej kreatywne – uważaj, gdzie wpisujesz dane

    Cyberprzestępcy, w dążeniu do większej efektywności, stają się coraz bardziej kreatywni. Dowodzi temu ostatnie odkrycie firmy Barracdua Networks. Personel firmy po przeskanowaniu setek tysięcy skrzynek pocztowych wielu różnych klientów zauważył kilka bardzo kreatywnych i, niestety, skutecznych ataków. Jeden z nich, który opisany jest poniżej, wykorzystuje dobrze znany mechanizm phishingu.

    Jak wygląda atak?

    Atak zaobserwowano w kilku firmach, zwłaszcza w przedsiębiorstwach z sektorów logistyki, transportu i produkcji, czyli takich, w których pracownicy często wysyłają towary lub podróżują służbowo. Opisywany „lotniczy” atak phishingowy wykorzystuje różne techniki, które służą przestępcom do przechwycenia poufnych danych i zainstalowania u ofiar zaawansowanego uporczywego zagrożenia. Atak z podszywaniem się pod linię lotniczą łączy dwie lub więcej technik ofensywnych. Pierwsza technika to impersonacja. Napastnik podaje się za biuro podróży lub za pracownika z działu kadr lub finansów, który wysyła e-bilet do ofiary lotniczy. Wiadomość jest skonstruowana tak, że nie budzi wątpliwości u nieprzeszkolonego odbiorcy. Oto przykładowy wiersz tematu wiadomości email: Fwd: United Airlines: Confirmation – Flight to Tokyo – $3,543.30.

    W dobrze przygotowanym ataku napastnik specjalnie dostosowuje wiadomość do ofiary. Linie lotnicze, cel podróży i cena są dobrane tak, żeby wyglądały na autentyczne w kontekście danej firmy i odbiorcy.

    Po nakłonieniu pracownika do otwarcia wiadomości napastnik wykorzystuje drugie narzędzie, którym jest osadzone w załączniku zagrożenie APT. Załącznik, zazwyczaj potwierdzenie lotu lub płatności, jest sformatowany jako dokument formatu PDF lub DOCX. W ataku tego typu złośliwe oprogramowanie jest uruchamiane w momencie otwarcia dokumentu. Analizy wskazują, że w lotniczych atakach phishingowych napastnikom w ponad 90 proc. przypadków udaje się nakłonić pracowników do otwarcia fałszywej wiadomości i uruchomienia złośliwego oprogramowania malware. Jest to jeden z najwyższych wskaźników skuteczności wśród ataków phishingowych.

    Zostały również zaobserwowane inne cyberataki, w których używano łączy do witryny phishingowej, mającej  wyłudzać wrażliwe dane od ofiary. Witryna ta przypomina stronę linii lotniczej albo system rozliczeniowy lub podróżny używany przez firmę. Ten etap procesu ma skłonić ofiarę do podania nazwy użytkownika i hasła do sieci korporacyjnej. Napastnik przechwytuje dane logowania i wykorzystuje je do infiltracji sieci oraz wewnętrznych systemów firmy, takich jak bazy danych, serwery pocztowe i serwery plików.

    Jak widać w opisywanym powyżej ataku, cyberprzestępcy wykorzystują trzy techniki:

    Impersonacja (podszywanie się pod firmy, instytucje lub osoby). Badanie wewnętrznej struktury organizacyjnej firmy oraz wzorów komunikacji pomaga napastnikom stworzyć wiadomość e-mail, która wygląda na autentyczną. Dzięki impersonacji wiadomości są często otwierane przez ofiary (ponad 90% przypadków).

    Złośliwe oprogramowanie – APT. Zagrożenie APT trafia do sieci w momencie otwarcia załącznika. Ofiara ufa załącznikowi ze względu na ukierunkowaną treść wiadomości.

    Phishing. Napastnik wykorzystuje pozorną autentyczność wiadomości, aby wyłudzić dane ofiary za pomocą fałszywej strony logowania. Po uzyskaniu danych logowania może łatwo uzyskać dostęp do wewnętrznych danych i komunikacji w firmie.

    Opisane techniki są wykorzystywane w różnych etapach ataku i uzupełniają się nawzajem, ostatecznie umożliwiając przestępcy przeprowadzenie dodatkowych ataków, takich jak wyłudzanie okupu lub pozostanie w ukryciu i następnie dokonanie zwiadu w docelowej sieci. W tym momencie napastnik przejmuje kontrolę.

    Jak uniknąć ataku?

    Najlepszą formą ochrony firmy jest używanie wielowarstwowych zabezpieczeń. Pierwszą warstwą jest „piaskownica”, która w połączeniu z zapobieganiem zagrożeniom APT powinna zablokować złośliwe oprogramowanie, zanim jeszcze dotrze ono do korporacyjnego serwera pocztowego. Druga warstwa to ochrona przed phishingiem. Zaawansowane mechanizmy antyphishingowe z funkcją ochrony łączy wyszukują łącza do witryn, które zawierają złośliwy kod. Łącza do tych zainfekowanych witryn są blokowane, nawet jeśli ukryto je głęboko w treści dokumentu. Trzecią warstwą są szkolenia i działania na rzecz uświadamiania pracowników. Regularne szkolenia i testy zwiększają świadomość pracowników i pomagają im zidentyfikować ukierunkowane ataki, a przez to zapobiec zainfekowaniu wewnętrznej sieci firmy.

  • Cyberbezpieczeństwo – Polska wypada słabo na tle innych krajów

    Cyberbezpieczeństwo – Polska wypada słabo na tle innych krajów

    Nastąpiły niekorzystne zmiany w światowym rankingu bezpieczeństwa sieciowego i zagrożenia atakami hakerskimi. Pozycja Polski spadła i jest najgorsza od kilku miesięcy.

    Na pierwszym miejscu w raporcie firmy Check Point Software Technologies w lutym plasuje się Lichtenstein. Na kolejnych miejscach znalazła się Czarnogóra i Mołdawia. Poza podium znalazły się m.in. Estonia, Albania i Belgia. W krajach tych cyberbezpieczeństwo utrzymuje się na stale wysokim poziomie.

    Nasz kraj uplasował się tym razem na 23 lokacie, co oznacza spadek aż o 17 miejsc w stosunku do danych sprzed miesiąca. Przed Polską znalazły się m.in. Irlandia, Holandia i Niemcy, natomiast za naszymi plecami ulokowała się Bośnia, Węgry czy Norwegia. Spadek nie oznacza znaczącego obniżenia bezpieczeństwa w polskiej sieci. Aktywność hakerów wręcz spadła – wskaźnik zagrożenia dla naszego kraju, na poziomie 36 pkt. jest niższy niż w ostatnim zestawieniu (37,5).

    Krajobraz zagrożeń jest bardzo dynamiczny, w związku z czym pozycja Polski może w pewnym stopniu ulegać fluktuacjom. Oczywiście niezbędna jest szersza ochrona sieci, w szczególności firmowych. Wydany przez Check Pointa Raport Bezpieczeństwa 2016 wykazał, że aż 971 nieznanych wariantów malware co godzinę było pobieranych do sieci korporacyjnych – powiedział Wojciech Głażewski, Country Manager w firmie Check Point

    Najpopularniejsze zagrożenia

    Według Check Point najpopularniejszym na świecie typem malware, który był wykorzystywany  w lutym 2017 roku był Kelihos, spotykany w 12% przebadanych organizacji. Kelihos jest obecnie jednym z najważniejszych dystrybutorów spamu na świecie, zarażając ponad 300 tys. maszyn, z których każda jest w stanie wysłać nawet 200 tys. e-maili dziennie.
    Na drugim miejscu uplasował się HackerDefender z wpływający na 5% firm na rynku oraz Cryptowall, z niewiele niższym wynikiem. W przypadku polskiej sieci sprawa wygląda trochę inaczej – najpowszechniejszym lutowym malware był Cryptowall (znany ransomware), natomiast kolejne miejsca przypadły robakowi Pykspa oraz botnetowi Kelihos.

    W świecie mobilnym czołowym typem malware jest Hiddad, który miesiąc wcześniej zajmował trzecią pozycję. Kolejne miejsca przypadły HummingBad i Triadzie. Każdy z czołowych „szkodników” działa pod systemem Android.

    Gwałtowny wzrost użycia pewnych wariantów malware w lutym podkreśla wyzwania jakie stoją przed działami IT na całym świecie. Jednym z nadrzędnych celów firm i organizacji powinno być dostateczne przygotowanie się do radzenia sobie z rosnącą liczbą cyberzagrożeń, poprzez wdrożenie zaawansowanych systemów bezpieczeństwa sieci – powiedział Nathan Shuchami, wiceprezydent w Check Point Software Technologies