Bezpieczeństwo

Malware nie ginie, Lazarus czuwa

16 listopada 2017

Malware nie ginie, Lazarus czuwa

2009 rok. Wtedy, według „czynników rządowych” w USA miała się rozpocząć aktywność północnokoreańskich hakerów. Ich celem było uzyskanie dostępu do szeregu systemów w mniejszy lub większy sposób związanych z waszyngtońską administracją. Niekoniecznie po to, by siać zamęt – choć w opinii niektórych to właśnie kojarzona z Pyongyangiem grupa Lazarus ma stać m.in. za niedawną epidemią ransomware WannaCry, przypisywany jest jej także atak na naszą Komisję Nadzoru Finansowego. Spektakularne ataki to tylko ułamek ich „osiągnięć”. Najistotniejsze z punktu widzenia tego, co po angielsku nazywa się ładnie „nation sponsored cybercrime” jest znalezienie sobie wejścia do systemu i siedzenia tam tak cicho, żeby przypadkiem nikt nas nie zauważył…

Uśpiony malware

I wygląda na to, że Koreańczykom (przy założeniu, że grupa Lazarus to faktycznie podwładni Kim Jong-Una) całkiem nieźle się to udawało, przynajmniej w ostatnim czasie. Według najświeższego alertu wydanego wspólnie przez US-CERT i FBI wykryli oni aktywności kojarzonej z Lazarusem grupy znanej jako Hidden Cobra w wielu potencjalnie krytycznych lokalizacjach w sieci, związanych m.in. z przemysłem kosmicznym, telekomunikacyjnym i finansowym. Używane przez nich złośliwe oprogramowanie Fallchill to rozbudowany RAT (Remote Access Trojan, koń trojański pozwalający na zdalny dostęp do zainfekowanego urządzenia). W opinii autorów alertu fakt, iż Fallchill trafił na urządzenia w niemal 100 firmach/agendach rządowych dowodzi wcześniejszej infekcji innym, nieodkrytym uprzednio malwarem, wykorzystanym po okresie uśpienia w roli „droppera” kolejnego złośliwego kodu.

My też się bójmy. Na wszelki wypadek.

Dlaczego ma to być nasz problem? Choćby dlatego, że sieć nie zna granic. Udowodnił to przypadek Petya/NotPetya, gdzie „odłamkami” oberwała spora część Europy i nie tylko. To także określany pierwszą cyber-bronią Stuxnet, który – choć zaatakował jedynie wzbogacające uran wirówki w irańskim Natanz – został wykryty na komputerach w wielu częściach świata. Poza tym Lazarus/Hidden Cobra to tylko jednak z wielu grup korzystających na naiwności internautów. Wiara w to, że nas/naszej firmy nie warto przecież atakować, ociera się o dużą naiwność. Dlatego niezależnie od tego, czy boimy się Koreańczyków, nieprzerwanie warto pamiętać o:

  • nieklikaniu w linki w mailach od obcych, nieotwieraniu niezamówionych załączników
  • nie uruchamianiu makr w plikach Office jeśli nie mamy absolutnej pewności, że są ich niezbędnym elementem
  • uaktualnianiu systemu operacyjnego i używanych aplikacji
  • korzystaniu z oprogramowania skanującego ściągnięte z internetu pliki przed ich uruchomieniem
  • nieprzydzielaniu użytkownikom naszej sieci automatycznie dostępu do wszystkiego

Udostępnij: Malware nie ginie, Lazarus czuwa

Bezpieczeństwo

Hasło wszyte w mankiecie

9 listopada 2017

Hasło wszyte w mankiecie

Hasło. Z jednej strony tak ważne, a z drugiej strony – tak piekielnie problematyczne. Bo o ile wpisanie go na stronie nie stanowi wielkiego problemu, nawet wymyślenie to nie żadne rocket science, ale już zapamiętać mocne hasło – to potrafi być sporym wyzwaniem…

Kurtka inteligentna, ale… brudna?

No bo tak – skoro mocne hasło ma mieć 12+ znaków, wielkie i małe litery, cyfry i znaki specjalne, no i nie zawierać wyrażeń słownikowych, to kto normalny coś takiego zapamięta (ja się nie liczę 😉 )? OK, można tę robotę scedować na menedżera haseł, ale – cóż – jego też trzeba zabezpieczyć mocnym hasłem. I tu na pomoc przychodzi nam technologia.

Wszystko wokół nas zaczyna być smart, ubrania też. Póki co, wiążą się z tym głównie minusy. Po pierwsze, takiej super kurtki nie możemy normalnie prać, a po drugie i kolejne – zerknijcie do mojego tekstu o konferencji Secure. Ale – jak widać powyżej, jeśli już obejrzeliście – wynalazcy z Uniwersytetu Waszyngtońskiego nie znają pojęcia „niedasię” i pracują nad możliwością… programowania części naszego ubrania! I to też nie jest rocket science, bo korzystają z elementów dostępnych w każdym sklepie. No może nie każdym ;), ale na pewno nie trzeba ich szukać w jakichś dziwnych miejscach.

Mankiecie, na pomoc?

Istota tkwi w przewodzących prąd niciach, wszytych w ubranie, czy to jako dodatek, czy – jak zakładam docelowo – na etapie produkcji. Korzystając z ferromagnetycznych właściwości materiału z którego są zrobione, można za pomocą odpowiedniego urządzenia (w zasadzie… magnesu) – nomen omen – „zaszyć” w nich, za pomocą dodatniej i ujemnej polaryzacji, ciąg zer i jedynek. Encyklopedii Brittanica w ten sposób nie zapiszemy, ale drugi składnik hasła, albo… uprawnienia dostępu do budynku już tak! A taki ferromagnetyczny element możemy wmontować w krawat, pasek, opaskę, naszyjnik, czy wszyć w mankiet koszuli. Drzwi otwierane krawatem? Brzmi dziwnie, ale sami przyznacie, że ma sens.

„Wyprałem hasło”

Badania naukowców z Waszyngtonu udowodniły, że do gromadzenia w ten sposób krótkich ciągów znaków nie potrzeba elektroniki, żadnych sensorów, nic z tych rzeczy. Do odczytania wystarczy zwykły magnetometr, a pod tym tajemniczym hasłem kryje się choćby najzwyklejszy czip NFC w telefonie. Jedno nad czym trzeba popracować, to problem zanikania jakości sygnału. W przypadku badań po tygodniu siła sygnału osłabiała się nawet o 30 procent, ale z drugiej strony, „mankiet” można było po prostu „naładować”. Aha, wysokie temperatury też wytrzymało, nawet 160 st. C, więc prać można bez ryzyka.
Przyznam szczerze, że mnie się taka koncepcja podoba. A Wam?

Udostępnij: Hasło wszyte w mankiecie

Bezpieczeństwo

KRACK? Nie na nasze urządzenia!

2 listopada 2017

KRACK? Nie na nasze urządzenia!

Dziś tekst krótki ale ważny. Krótki – bo wielu z nas wciąż raczej w nastroju refleksyjnym, wczoraj Święto Zmarłych, dziś Dzień Zaduszny. Ważny jednak dlatego, że gdy niecałe trzy tygodnie temu nie tylko bezpieczniackim światem wstrząsnęło info o podatności KRACK, bardziej świadomi z internautów zaczęli się zastanawiać: „A czy moje urządzenia są podatne?”. Jeśli jesteście klientami Orange Polska – mamy dobrą wiadomość.

Odporni na KRACK

Ostatnie dni to wytężona praca nie tylko ekspertów CERT Orange Polska, by sprawdzić, jak wygląda bezpieczeństwo urządzeń, które trafiają od nas w Wasze ręce. Jeśli chodzi o odporność na podatność KRACK, testy wykazały, iż użytkownicy Funboxów, a także Liveboxów 1.1 oraz 2 są bezpieczni. W przypadku Liveboxa 3 trwają jeszcze testy, podobnie jak w przypadku części urządzeń, które trafiają do klientów biznesowych. Aktualną listę przetestowanego sprzętu z naszej sieci sprzedaży znajdziecie zawsze pod tym adresem.

Zapytacie: a co z Androidem? W tym przypadku odpowiednia poprawka zostanie zawarta w grudniowej łatce z zabezpieczeniami. Jej wysyłka jest niezależna od operatorów, według informacji z Google ma być obligatoryjna. Producenci – jeśli zdążą – mogą wysłać odpowiednie poprawki już w paczce na początku listopada.2

Udostępnij: KRACK? Nie na nasze urządzenia!

Bezpieczeństwo

Wyłącz WiFi, wyciągnij z szafy kable?

19 października 2017

Wyłącz WiFi, wyciągnij z szafy kable?

Świat znowu zwariował, nie tylko bezpieczniacki. Przedwczoraj internet zalała fala informacji o podatności KRACK. Podatności wyjątkowej, bowiem nie dotyczącej konkretnych urządzeń, ale całego protokołu. Co to znaczy? Że – przynajmniej do momentu załatania – zagrożone są wszystkie urządzenia. Czy to znaczy, że WiFi to zło, trzeba wszystko wyłączyć i wyciągnąć z szafy dawno zapomniane kable?

Uważać na obcych w okolicy?

Jeden z moich kolegów z CERT Orange Polska twierdzi, że tak, ale potem dodaje, że on od zawsze uważał bezprzewodowy internet za wymysł szatana 😉 Ostrożności nigdy za wiele, ale warto pamiętać, że KRACK może zostać wykorzystany przeciwko ofierze jedynie w specyficznych okolicznościach. Głównym warunkiem jest obecność atakującego w zasięgu sieci Wi-Fi ofiary, a podsłuchany może zostać wyłącznie ruch nieszyfrowany protokołami wyższej warstwy. Dodatkowo – czy może bardziej przede wszystkim? – ewentualne wykorzystanie podatności nie pozwala na podejrzenie treści transmisji szyfrowanej (połączenie HTTPS, użycie tunelu VPN).

Co robić?

Producenci systemów operacyjnych załatają swoje systemy szybciej (Windows) lub hmmm, sami wiecie 😉 (Android), z urządzeniami też bywa różnie. Tymczasem tak naprawdę przestrzeganie tego, co nieprzerwanie zalecamy, czyli korzystanie z połączeń szyfrowanych (prefix https:// w adresie strony internetowej, logo kłódki lub zielone tło na pasku adresu) przynajmniej w przypadku przesyłania danych wrażliwych, znacząco ogranicza ryzyko. Jeśli mimo tego odczuwacie niepokój, przy transakcjach bankowych zawsze można podłączyć komputer kablem, bowiem podatność dotyczy wyłącznie WiFi.

A przede wszystkim – nie wpadajmy w manię prześladowczą.

Udostępnij: Wyłącz WiFi, wyciągnij z szafy kable?

Bezpieczeństwo

To nie jest mail od DHL!

5 października 2017

To nie jest mail od DHL!

O phishingu nigdy za mało tekstów. Tym bardziej, że – jak mawiał poeta – „Dziś prawdziwych wirusów już nieee maaa!”, czy jakoś tak. Dzisiaj, co warto powtarzać do znudzenia, malware instalujemy sobie sami, a skuteczny cyberprzestępca ma być przede wszystkim socjotechnikiem. Dlatego dziś na tapetę trafia phishing, udający mail od DHL.

W ostatnich dniach CERT Orange Polska zaobserwował znaczący wzrost informacji o kolejnej kampanii phishingowej. Tym razem ofiary dostają „mail od DHL”, sugerujący – to ostatnio częsta sytuacja – oczekującą na nas domniemaną paczkę. W rubryce „nadawca” widnieje nazwa DHL Parcel (oczywiście adresat zespoofowany), zaś tytuł wiadomości brzmi „You Have a Package Coming! (Newegg Inc.)”. Nie nastawiajcie się jednak na tę konkretną nazwę, bowiem w innych kampaniach może być używana inna. Treść to informacja o paczce, terminie, w którym jest oczekiwana i oczywiście link do „obecnego statusu przesyłki”. Klikając w link instalujemy tzw. trojan droppera, otwierającego przestępcom dostęp do naszego komputera i możliwość instalacji kolejnych złośliwych modułów. O ile zawarty w mailu link jako zainfekowany oznaczają na chwilę publikacji 4 z 64 silników antywirusowych, to już plik, który w następnym etapie ściągamy, flaguje aż 36/60!

Edukujcie mniej świadomych!

Zapamiętajcie sami, pokażcie bliskim, wyedukujcie swoich mniej świadomych bliskich i/lub znajomych. Nie klikamy w linki w niezapowiedzianych mailach, jeśli spodziewamy się przesyłki, wchodzimy na stronę kuriera samemu wpisując adres i w odpowiednim miejscu podajemy numer listu przewozowego. O, ale przecież w tym mailu nie ma numeru listu! No właśnie…

Uważajcie. Jak zawsze. Choć akurat w tym przypadku, jeśli korzystacie z sieci Orange Polska, Wasz komputer dzięki CyberTarczy nie połączy się z serwerem przestępców.

Udostępnij: To nie jest mail od DHL!

Dodano do koszyka.

zamknij
informacje o cookies - Na naszej stronie stosujemy pliki cookies. Korzystanie z orange.pl bez zmiany ustawień przeglądarki oznacza,
że pliki cookies będą zamieszczane w Twoim urządzeniu. dowiedz się więcej