Slo-Tech - Elon Musk je minuli torek napovedal najvišjo možno transparentnost svojega novega ministrstva za vladno učinkovitost (DOGE), ko to sploh še ni imelo spletne strani. Hitro se lotili odpravljanja te napake in izdelali strani, ki se ji resnično lahko čudimo, ker je popolnoma drugačna od vseh ostalih uradnih strani ameriških organov. Za povrhu pa je bila tudi nezavarovana.

Na spletni strani doge.gov je bilo namreč vsebino možno popravljati brez kakršnihkoli pravic. Stran je že sama po sebi sila nenavadna, saj je videti kot velikanski oglas za omrežje X. Na naslovni strani se namreč vrstijo zgolj objave DOGE s platforme X, vsebuje pa še nekaj zavihkov, kjer prikazuje število zaposlenih v zveznih službah in nekatere podatke o njih.

Ko je internet ugotovil, da stran ni zaščitena, so se hitro pojavili napisi, kot sta "THESE "EXPERTS" LEFT THEIR DATABASE OPEN - roro" in "This is a joke of a .gov site." Zanimivo je tudi, da stran ne domuje na uradnih strežnikih ameriške administracije,...

Slo-Tech - Raziskovalci iz Google Security Teama so odkrili resno ranljivost v AMD-jevih procesorjih Zen 1 do 4. Za njeno izrabo potrebujemo lokalni dostop in administratorske privilegije (torej ring 0), nato pa lahko na procesor naložimo zlonamerno mikrokodo. Ranljivosti ni možno izkoristiti iz navideznega stroja. Z njo je možno procesor ukaniti, da počne neželene ali nevarne reči. Razlog je uporaba neustrezne zgoščevalne funkcije za preverjanje avtentičnosti oziroma podpisa mikrokode.

Drugače povedano lahko procesor prepričamo, da je kodo podpisal AMD, četudi to ne drži. Na ta način lahko ogrozimo različne varnostne sisteme v procesorju, denimo AMD Secure Encrypted Virtualization, SEV-SNP ali Dynamic Root of Trust Measurement. Za procesorje z delovnim imenom Milan in Genoa so izdelali tudi prototip, ki ob uporabi funkcije RDRAND vsakokrat vrne vrednost 4.

AMD je bil o ranljivosti obveščen septembra, popravek pa so izdali decembra. V dogovoru z AMD-jem je Google izjemoma počakal dlje od...

Slo-Tech - Sodeč po poročilu podjetja Chainalysis, je bilo lani plačil odkupnin zaradi napadov z izsiljevalskimi virusi manj kot v letu pred tem. Izgubljenih je bilo 812 milijonov dolarjev, kar je za tretjino manj kot leto pred tem.

V prvi polovici leta 2024 se je sicer zdelo, da se nam obeta še eno slabo leto, odkupnine pa so dosegale rekordne vrednosti. A nato so se razmere v drugi polovici leta spremenile in občutno izboljšale, kar se je odrazilo tudi v letnem seštevku. Upadli so tako posamični zneski kakor tudi število primerov. K temu sta prispevala zaustavitev botneta LockBit in umik skupine AlphV/BlackCat. Prav tako so bili organi uspešni v pregonu ponudnikov orodij za pranje kriptovalut.

Znižanje števila incidentov v drugi polovici leta so opazile tudi ekipe za hitro odzivanje (CERT) po svetu. Jackie Burns Koven iz Chainalysis je pojasnila, da so storilci največjih napadov minulega leta že onesposobljeni. Napadalci zato ugotavljajo, da veliki napadi in večmilijonske odškodnine...

Slo-Tech - Pravila o letenju amaterskih brezpilotnih letalnikov (dronov) se med državami močno razlikujejo, a nad letališči, vojaškimi bazami, elektrarnami in podobno je praktično povsod zaprt zračni prostor. DJI-jevi letalniki so imeli vgrajeno močno geozaščito, ki preprosto ni dovolila poleta v blokirani prostor. Sedaj je proizvajalec sporočil, da jo bodo odstranili, saj ni obvezna za prodajo. Obvezno je le prikazovanje opozorila.

To pomeni, da bo možno leteti povsod. Nad zaprtimi območji se bo le še prikazalo opozorilo uporabniku, da vstopa v zaščiteni prostor, a končna odločitev bo njegova. DJI pravi, da želijo s tem lastnikom letalnikov vrniti nadzor. Dodajajo, da tehnologije za sprotno javljanje lokacije letalnikov, denimo RemoteID, zadostujejo za nadzor in ukrepanje. A RemoteID ni obvezen na vseh letalnikih, temveč le na težjih. Problematični pa so že superlahki, ki so na primer motili gašenje požara v Los Angelesu.

V DJI so za zdaj izrecno potrdili le, da bo sprememba veljala za...

Amnesty International - Organizacija Amnesty International je v obširni preiskavi odkrila kopico primerov, kjer so srbski organi pregona in obveščevalci na telefone novinarjev ter aktivistov za človekove pravice prikrito namestili vohunsko programsko opremo in z njih pobirali podatke; pri tem so uporabljali programje razvpitih družb, kot sta Cellebrite in NSO Group.

Februarja letos so Slavišo Milanova, srbskega preiskovalnega novinarja medija FAR, med navidez rutinsko kontrolo prometa odpeljali v pridržanje s sumom vožnje pod vplivom nedovoljenih substanc. Med testom na prepovedane snovi so mu odvzeli telefon in ko ga je Milanov po nekaj urah dobil nazaj, je opazil nenavadno obnašanje naprave, kot so bile spremenjene sistemske nastavitve, medtem ko je pregled z aplikacijo Stay Free pokazal, da je med časom, ko naj bi bil telefon ugasnjen, v resnici delovalo več aplikacij. Telefon je zato poslal na Amnesty International, kjer so v njihovem digitalnem laboratoriju Security Lab odkrili sledove programja...

Slo-Tech - Tri tedne po hekerskem napadu na informacijski sistem mariborske univerze se razmere počasi normalizirajo. Ta teden so ponovno usposobili elektronsko pošto, potem ko so dva tedna poslovali papirno in prek drugih poštnih predalov. Prav tako spet delujejo spletne strani univerze in vseh fakultet, zaposleni in študentje pa imajo dostop do Microsoftovih storitev v oblaku in elektronskih učilnic. Obnova sistema še ni dokončana, dela potekajo še v zalednih sistemih, pojavljajo se tudi še posamezne težave, kot je denimo ogrevanje v veliki predavalnici na rektoratu.

Spomnimo, da je bil napad temeljit in je popolnoma onesposobil celoten informacijski sistem. V dneh po napadu niso bile dostopne spletne strani, elektronska pošta, nobene Microsoftove storitve (365, vključno s Teams in OneDrive), internetna povezljivost in prijava v centralne informacijske sisteme (finančni, kadrovski in študentski informacijski (AIPS)). Pojavile so se tudi informacije, da so prizadete tudi varnostne kopije in...

Slo-Tech - Hekerska skupina Hellcat trdi, da je vdrla v sisteme podjetja Schneider Electric in odtujila več kot 40 GB podatkov, ki jih bodo razkrili, če ne bo izplačana odkupnina. Od podjetja zahtevajo 125.000 dolarjev odškodnine, ki mora biti plačana v - francoskih štrucah. Čeprav zahteva zveni kot neslana šala, je Schneider Electric potrdil neki varnostni incident, a podrobnosti niso želeli razkriti.

Podatke naj bi dobili s kompromitiranega strežnika Atlassian JIRA. Schneider Electric je potrdil, da preučujejo primer neavtoriziranega dostopa do podatkov enega izmed projektov, ki so bili na izoliranem strežniku. Niso pa pojasnili, ali je v incidentu odteklo toliko podatkov, niti ali je zahteve po plačilu odškodnine legitimen. Primer preiskuje Global Incident Response, medtem pa izdelki in storitve, ki jih ponuja Schneider Electric, niso prizadeti.

Skupina Hellicat ni dobro znana, zato še ne vemo, ali si po navadi želijo povzročati predvsem škodo ali pa izposlovati plačilo odškodnine. To je...

Slo-Tech - Enajst dni po vdoru v računalniški sistem mariborske univerze in popolnem razpadu informacijskih storitev se stanje počasi normalizira. Spletne strani fakultet in univerze ostajajo nedosegljive, so pa na naslovni strani podali prve vsebinske informacije o obnovi.

V tem času so ponovno vzpostavili delovanje fiksne telefonije in internetno povezavo s spletom. Za zaposlene so obnovili storitve Microsoft365, denimo Teams in OneDrive, medtem ko za študente s pretečenimi sejami ponoven vpis še ni možen. To naj bi uredili v kratkem. Trudijo se, da bi obnovili tudi sistem za elektronsko pošto in institucionalne elektronske naslove.

Centralni informacijski sistemi - finančni, kadrovski in študentski informacijski (AIPS) - še niso postavljeni, a potekajo aktivnosti za njihov ponovni zagon. Za ostale sisteme, ki so nedostopni, pa pojasnjujejo, da se možnost obnovitve šele preverja.

Vse to kaže, da je bil napad hud in da je prizadel vse sisteme, vključno z varnostnimi kopijami. Uradnih...

Slo-Tech - Po zgledu skovanke phishing (ribarjenje) se je razvila njena mlajša sestra quishing, ki označuje napade z zlonamernimi kodami QR. Te smo danes že posvojili in se navadili na njihovo skeniranje, kar so začeli izkoriščati tudi zlikovci. V zahodnoevropskih državah so se pojavile lažne kode QR, ki so bile nalepljene na parkomate. Druga zelo priročna tarča so vozniki električnih vozil, ki jih polnijo na javni infrastrukturi, kjer so kode QR takisto mamljive.

A problem je širši. Regulatorji ugotavljajo, da so zlikovci kode QR prepoznali kot vektor, ki ga je možno enostavneje podtakniti v elektronsko pošto. Sumljive povezave v elektronskih sporočilih večina filtrov danes preveri ali preusmeri na filtre, medtem ko slike - ki lahko vsebujejo kode QR - neovirano potujejo skoznje. Te najraje podtaknejo v dokumente PDF, s čimer se izognejo vsakršnemu preverjanju, nato pa upajo, da jih bo kakšen uporabnik poskeniral in obiskal.

IBM je letos ocenil, da je povprečna škoda oziroma cena vdora...

Slo-Tech - Mariborska univerza je 48 ur po začetku kibernetskega napada še vedno zavita v temo. Vzpostavili so le statično začetno stran na domeni, kjer obiskovalce v dveh stavkih obvestijo, da so žrtve napada. Spletne strani fakultet in drugih služb ostajajo nedostopne, prav tako so še vedno onemogočene vse ostale storitve.

Na Facebooku je Univerza potrdila, da so napadalci zašifrirali centralne podatkovne in strežniške zmogljivosti. Dodajajo, da so izvedli druge destruktivne aktivnosti. Za zdaj napadalci niso stopili v stik z Univerzo in niso posredovali nobenih zahtevkov za plačilo odkupnine, kar je običajno razlog za napade z izsiljevalsko programsko opremo. Dekripcijskega ključa jim tako niso ponudili, prav tako Univerze ni napadel izsiljevalski virus, ki bi bil zlomljen in bi bilo ključ možno dobiti kod drugod.

Univerza zatrjuje, da so podatki zgolj šifrirani, niso pa bili nikamor prekopirani. Razkritje poslovnih informacij je namreč še ena izmed groženj, s katerim napadalci...

Slo-Tech - Včeraj zvečer so neznani storilci napadli Univerzo v Mariboru, kjer je trenutno dostop do vseh informacijskih storitev onemogočen. Z Univerze v Mariboru so potrdili, da se je napad začel včeraj po 20. uri in da trenutno potekajo ukrepi za ponovno vzpostavitev sistema in zagotovitev kontinuitete delovnega in pedagoškega procesa. Po neuradnih podatkih je bil od jutra onemogočen dostop do informacijskih storitev za študente in zaposlene.

To vključuje internetno povezljivost in Eduroam, storitve za zaposlene, študentske storitve e-študija, prijave v domeno in digitalne identitete UM, vse Microsoftove storitve (365, vključno s Teams in OneDrive), vso elektronsko pošto in druge prijave. Zunanje storitve so dostopne, dokler je aktivna veljavna seja (Teams, Microsoft365).

Vse zaposlene in študente so pozvali, naj zamenjajo gesla tudi za druge storitve, če so uporabljali enako geslo kot za univerzitetne storitve. To kaže, da obstoji možnost, da so bila odtujena tudi gesla, verjetno sicer...

Slo-Tech - Na Nizozemskem bodo morali zamenjati več tisoč semaforjev, saj imajo resno varnostno ranljivost, ki omogoča zlorabo in vplivanje na njihovo delovanje. Semaforji na Nizozemskem so namreč že dolga leta večidel pametni. Zaznavajo promet v vseh smereh in oblikah, nato pa delujejo tako, da bi kar najbolj povečali pretočnost in prijaznost do udeležencev - pešcev, kolesarjev in voznikov. Trend pametnih semaforjev se širi tudi v druge države, skrajni primer so Googlovi pametni semaforji, ki se usklajujejo na nivoju celih mest.

A pamet in povezljivost prinaša tudi tveganja. Že pred štirimi leti so etični hekerji pokazali, da je možno vplivati na delovanje semaforjev. Najnovejša ranljivost pa je še resnejša. Varnostni strokovnjak Alwin Peppels iz podjetja Cyber Seals je letos ugotovil, da lahko z radijskimi valovi pošilja ukaze, ki jih nadzorni sistemi semaforjev prepoznajo in upoštevajo. Gre za signal v sili, ki ga sicer uporabljajo vozila na nujni vožnji, da si zagotovijo zelene luči in...

Slo-Tech - Pred dobrim desetletjem je črv Stuxnet v praksi dokazal, da niti odklop računalniških sistemov od vseh omrežij (airgapping) ne more popolnoma preprečiti okužb. Stuxnet se je v iranske centrifuge pritihotapil na ključkih USB, ki so še danes eden najpomembnejših vektorjev za prenos nesnage. ESET je ta teden sporočil, da je hekerska skupina GoldenJackal na enak način v minulih letih napadla vsaj dva evropska sistema. Spetembra 2019 in julija 2021 so napadli veleposlaništvo ene izmed južnoazijskih držav v Belorusiji, med majem 2022 in marcem 2024 pa eno evropsko organizacijo.

Za GoldenJackal smo prvikrat slišali že lanskega maja, ko je na njegove aktivnosti opozarjal Kaspersky. Takrat so posvarili, da se GoldenJackal loteva zlasti državnih in diplomatskih tarč. Sprva so napadali sisteme, ki so povezani v internet, za kar so uporabili zlonamerno programsko opremo GoldenDealer. Ta med drugim spremlja, kdaj v sistem vstavimo ključek USB, in se potem takoj prekopira nanj. Ko potem isti...

Slo-Tech - Novi malware, ki se imenuje Perfctl, se je od leta 2021 skrival v več tisoč sistemih z nameščenim Linuxom. Perfctl izkorišča bodisi napačno konfigurirane sisteme, ki so zaradi tega ranljivost (našteli so kar 20.000 različnih napak v konfiguraciji) bodisi hudo ranljivost v platformi Apache RocketMQ (CVE-2023-33246). Slednjo so lani zakrpali, a neposodobljeni sistemi so seveda še vedno ranljivi.

Ena izmed funkcionalnosti Perfctl je nepooblaščeno rudarjenje kriptovalut, hkrati pa služi kot proxy, ki ga avtorji programa tržijo za plačljive uporabnike. Ime perfctl je namenoma zbrano tako, da je podobno legitimnim servisom v Linuxu, denimo nadzornemu orodju perf in oznaki ctl za orodja v terminalu. Perfctl se nato namesti kot sveženj rootkitov, s čimer se skuša skriti. Uporablja tudi nekaj drugih načinov prikrivanja svojega obstoja.

Nekateri protivirusni programi Perfectl prepoznajo, ne pa vsi. Za nameček je uporaba protivirusnih programov na Linuxu precej nestandardna, zato so se...

Slo-Tech - Cloudflare, ki nudi tudi storitve zaščite spletnih mest pred napadi DDoS, je sporočil, da so nedavno zaustavili napad z obsegom 3,8 Tb/s. To je največji napad DDoS, ki je bil kdajkoli javno razkrit. V Cloudflaru so poudarili, da je šlo za del en mesec trajajočega napada na nivoju L3/4, ki je redno presegal dve milijardi paketkov na sekundo (2 Bpps) s kapaciteto 3 Tb/s.

Napad L3 (layer 3) skuša preobremeniti omrežno infrastrukturo z velikim številom paketkov, medtem ko napadi L4 ciljajo na vire na transportnem sloju, tako da ustvarijo veliko zahtevkov za vzpostavitev povezave. Cloudflare stranke varuje pred temi napadi s svojo obsežno infrastrukturo, ki pa ima tudi svoje omejitve, a 3,8 Tb/s so zmogli.

Cloudflare je pokazal, da so napad, ki se je začel ob 15.01 že minut pozneje nevtralizirali in zagotoviti normalno dostopnost strani strank. V zadnjem času se število napadov povečuje, vsi pa uporabljajo UDP in fiksna vrata, izvirajo pa iz več držav. Običajno izkoristijo kakšno...

Slo-Tech - Na Irskem so Meti izrekli 91 milijonov evrov kazni, ker je podjetje v preteklosti gesla uporabnikov shranjevalo na način, ki ne ustreza dobrim varnostnim praksam. Da so gesla več kot 600 milijonov uporabnikov shranjevali v besedilni obliki (plaintext), so razkrili leta 2019. Dostop do podatkovne baze je imelo več kot 2000 zaposlenih v podjetju, ki so ustvarili več kot devet milijonov vpogledov v bazo.

V Meti so tedaj zagotovili, da niso odkrili nobenih nepooblaščenih dostopov do baze in da so za njen obstoj ugotovili pri rednem varnostnem pregledu. Četudi to podjetju verjamemo, je težko razumeti, kako so lahko storili tako veliko napako v implementaciji. Da se gesla ne smejo shranjevati v besedilni obliki, temveč v zgoščeni obliki (hashed) z dodano entropijo v obliki dodatnih znakov pred zgoščevanjem (salt), je v industriji znano že vsaj tri desetletja. Prav tako so znane tudi dovolj varne zgoščevalne funkcije - predvsem morajo biti dovolj počasne, denimo Bcrypt, PBKDF2,...

Slo-Tech - Pravil in priporočil o izbiri varnih gesel smo slišali že nešteto, s številnimi pa živimo vsak dan, ko si izmišljujemo nova gesla za različne storitve ali nas te obveščajo, da so gesla prestara in potrebujejo zamenjavo. Trendi pa se spreminjajo, zato je Nacionalni inštitut za standarde in tehnologije (NIST) v ZDA izdal osnutek novih smernic o digitalni identiteti (SP 800-63-4), ki med gostobesedno latovščino tudi ukinja precej smernic, ki so številnim uporabnikom že zdaj zdele nepotrebne.

Nove smernice so še v fazi osnutka, ki bo v javni razpravi do 7. oktobra. Ko bodo nato sprejete, verjetno v dopolnjeni obliki, bodo obvezne za ameriške zvezne proračunske porabnike in podjetja, ki sodelujejo z zvezno vlado. Pri geslih so številna prejšnja priporočila postala obveznosti, nekaj pa je tudi novih. Med drugim morajo biti gesla dolga vsaj osem znakov, priporočeni minimum pa je 15 znakov. Priporočeni minimum za zgornjo mejo je 64 znakov, lahko pa jih seveda dovolijo še več. V nobenem...

Slo-Tech - Microsoft je sporočil, da bo 10. septembra na svojem sedežu v Redmondu organiziral Windows Endpoint Security Ecosystem Summit, na katerega so vabljeni predstavljeni državnih organov in podjetij za informacijsko varnost. Iskali bodo rešitve, ki bodo v prihodnosti preprečile fiaske, kot ga je povzročil hrošč v programu Crowdstrike Falcon, zaradi katerega se je ustavilo 8,5 milijona računalnikov.

Možnosti je več, kakršnakoli fundamentalna sprememba v delovanju Windows ali dostopu do jedra pa bi bila tudi priznanje, da trenutna ureditev ni dobra in da bi jo lahko bili spremenili že prej. Ključna težava je dostop do jedra (ring 0), ki ga ima programska oprema proizvajalcev, kakršen je Crowdstrike. Napake in hrošči na tem nivoju povzročijo modri zaslon smrti, kar predstavlja tveganje za celoten sistem. Falcon je tekel v jedru, hkrati pa je bral podatke iz običajne datoteke na disku, ki jo je pridobival s posodobitvami.

Ena izmed rešitev, ki jo Apple že uporablja, je zaklep jedra....

Slo-Tech - Zadnje tedne se veliko govori o hudih težavah Intelovih procesorjev 13. in 14. generacije, zaradi katerih bo Intel še pošteno bolela glava. Skoraj bi nas zato obšla novica, da so v AMD-jevih procesorjih odkrili 16 let staro ranljivost, ki ogroža vse procesorje, izdelane v zadnjem desetletju in pol. Za zdaj ne kaže, da bi jo kdo izrabljal tudi v praksi, saj terja fizični dostop do računalnika.

Ranljivost se imenuje Sinkclose in tiči v SMM (System Management Mode). Odkrila sta jo Enrique Nissim in Krzysztof Okupski iz podjetja IOActive in o njej pred 10 meseci že obvestila AMD, ki je vmes večino novejših procesorjev zakrpal. Zaradi ranljivosti lahko napadalec, ki ima dostop do jedra operacijskega sistema (Protection Ring 0), pridobi še večje privilegije (Protection Ring -2), kjer teče procesorska mikrokoda. To mu omogoča namestitev zlonamerne programske opreme, ki je ne more odstraniti niti ponovna namestitev operacijskega sistema. Že samo odkritje takšne nesnage je zapleteno, saj...

Slo-Tech - Moderni sistemi že dobro desetletje uporabljajo Secure Boot, ki počne točno to. Ob zagonu zagotavlja, da se izvaja le varna koda, ki jo označuje digitalni podpis. Gre za zaščito pred napadi, ko so bili še pred dvema desetletjema teoretični, nato pa so se pojavili v praksi. Škodljiva programska oprema, ki bi se ugnezdila v UEFI oziroma firmware, ima lahko popoln nadzor nad sistemom in ker se zažene še pred sistemom, v praksi ni vidna ali enostavno izbrisljiva. Secure Boot vsaj v teoriji pred tem ščiti.

V četrtek zvečer pa so raziskovalci iz podjetja Binarly ugotovili, da je na več kot 200 različnih modelih računalnikov proizvajalcev Acer, Dell, Gigabyte, Intel in Supermicro sistem zatajil. Kriptografski ključ, ki ga uporabljajo za preverjanje istovetnosti kode, je namreč kompromitiran. In to že dve leti.

Leta 2022 se je na Githubu (na naslovu, ki ni več aktiven https://github.com/raywu-aaeon/Ryzen200... ) znašel tudi zasebni ključ, zgolj navidezno zaščiten s štirimestnim geslom,...

Slo-Tech - Slab teden po okvarjeni posodobitvi za CrowdStrikov Falcon, ki je onesposobil 8,5 milijona računalnikov z Windows, ki so imeli nameščeno to orodje, imamo prve proizvajalčeve informacije o incidentu. CrowdStrike jo opisal postopek posodabljanja.

Pojasnili so, kakšne vrste posodobitev za CrowdStrike Falcon se je v petek nameščala. Šlo je za manjšo posodobitev, tako imenovani Rapid Response Content, ki vsebuje nove definicije za grožnje, pred katerimi varuje Falcon. Vse posodobitve pred izdajo testirajo, a jim jo je to pot zagodlo okolje za testiranje Content Validator, ki ni ujelo napake. To je bil tudi razlog, da se je izmuznila in se dobro uro nameščala na računalnike po svetu.

Da se to ne bo več ponovilo, bodo uvedli nekaj sprememb. Poleg sprememb v Content Validatorju bodo uvedli tudi postopno nameščanje posodobitev. To je standardna taktika, ki jo je Microsoft že absolviral. Namesto vseh računalnikov hkrati bo vsak popravek najprej srečal manjšo podmožnico sistemov, nato pa ga...

Slo-Tech - Na deset tisoče računalnikov po vsem svetu se je danes pritožilo in prikazalo zloglasni modri zaslon smrti, namesto da bi normalno naložilo Windows. Težave so prizadele trgovine, letalske prevoznike in letališča, banke, drugo ključno infrastrukturo. Hitro se je izkazalo, da je skupni imenovalec programska oprema CrowdStrike Falcon, ki jo uporabljajo za zaščito pred hekerskimi napadi. Slaba posodobitev tega programa je na kolena spravila sistem Windows, kjer jre nameščen.

Težave so se začele širiti v Avstraliji in daljnem vzhodu, kjer so se prvi zbudili v nov dan. Sedaj se širijo proti zahodu, ko se delovni dan začenja v preostalih delih sveta. CrowdStrike je že priznal težavo in dejal, da njegovi inženirji že odpravljajo težavo. Medtem so težave prizadela ogromne kose internetne infrastrukture. Težave so tudi v velikih oblačnih storitvah, kot je Microsoft 365, v fizični svet pa pronicajo kot motnje pri oddajanju televizijskih kanalov, odpovedani leti na letališčih, nedelovanje...

FBI - Iz FBIja so sporočili, da so v dveh dneh po sobotnem poskusu atentata na nekdanjega ameriškega predsednika Donalda Trumpa že uspeli vdreti v mobilni telefon strelca Thomasa Matthewa Crooksa.

V prvi polovici leta 2016 smo bili priče razburljivemu dvoboju med uradom FBI in Applom. Po terorističnem napadu v San Bernardinu so namreč zvezni preiskovalci od Appla želeli pomoč pri odklepanju napadalčevega iPhona, kar pa so v Cupertinu zavrnili z očitkom, da preiskovalci od njih de facto zahtevajo namestitev stranskih vrat v naprave, kar bi lahko usodno vplivalo na področje šifriranja in varnost ter zasebnost uporabnikov telefonov. FBI je nato vendarle uspel vdreti v telefon s pomočjo zunanjih pogodbenikov, kjer smo šele leta 2019 dognali, da je šlo za avstralsko firmo Azimuth Security. Apple si je s tisto epizodo utrdil sloves podjetja, ki skrbi za zasebnost uporabnikov, vajo pa so pozneje tudi še ponavljali, denimo leta 2020 po terorističnem napadu v Pensacoli.

Kako drugačni časi so...

Slo-Tech - Iz ameriškega telekomunikacijskega giganta AT&T so sporočili, da so zlikovci ukradli metapodatke o klicih in sporočilih praktično vseh njihovih strank. Gre za enega od doslej najodmevnejših primerov iz skupine vdorov v oblak podjetja Snowflake.

Očitno bo letošnje leto na področju kibernetske varnosti minevalo v znamenju orjaškega vdora v internetno odložišče ameriške družbe Snowflake. Da morda prihaja do neprimernih dostopov do odložišč strank, so administratorji prvič posumili sredi aprila in za preiskavo incidentov najeli Googlovo varnostno podružnico Mandiant. Preiskovalci so do sredine maja zbrali dovolj informacij za sklep, da gre za organiziran, množičen napad na Snowflakove stranke s strani enega akterja, ki so ga poimenovali UNC5537. V dogovoru z ameriškimi zveznimi preiskovalci je iskanje nepridipravov na začetku potekalo na skrivaj, zato je javnost o aferi izvedela šele 10. junija. Prizadetih naj bi bilo kar 165 podjetij, med katerimi jih večina še ostaja neznanih; med...

Slo-Tech - Na internetu se je pojavila datoteka rockyou2024.txt, ki vsebuje skoraj deset milijard edinstvenih gesel, ki jih ljudje dejansko uporabljajo. Datoteko je 4. julija na nekem hekerskem forumu objavil uporabnik z vzdevkom ObamaCare, v njej pa je v besedilni obliki (plain-text) zapisanih natančno 9.948.575.739 gesel.

Avtentičnost datoteke so preverili na Cybernews in ugotovili, da gre za zbirko gesel iz različnih varnostnih incidentov. Nekaj je novih, nekaj je starih, vsa pa so bila vsaj nekoč aktivna. To je v spremljajočem besedilu k objavi priznal tudi uporabnik, ki je gesla priobčil.

Spomnimo, da je pred tremi leti na internet pricurljala datoteka rockyou2021.txt, ki je vsebovala 8,4 milijarde gesel v enaki obliki. V naslednjih treh letih so torej hekerji dodali še poldrugo milijardo gesel. Skupno gre za gesla, ki so na internet pritavala v zadnjih dveh letih v več kot 4000 varnostnih incidentih.

Ključna funkcija tovrstnih seznamov je pomoč pri razbijanju gesel s surovo silo...

Slo-Tech - Tožilstvo v ameriški zvezni državi Arkansas je ta teden začelo postopek proti avtorjem aplikacije Temu, ker naj bi aplikacija vohunila za uporabniki, ki jo namestijo. Generalni tožilec Tim Griffin pojasnjuje, da sodeč po analizah in medijskem poročanju Temu pridobi neomejen dostop do podatkov v mobilnih telefonih, vključno z lokacijo, stiki, kratkimi sporočili, dokumenti in drugimi aplikacijami. To se dogaja v ozadju, ker je aplikacija oblikovana tako, da uporabnikom to ni predočeno.

K vložitvi tožbe je brez dvoma pripomoglo tudi dejstvo, da je avtor aplikacije kitajsko podjetje PDD Holdings, ki - po očitkih iz tožbe - zbrane podatke delijo s kitajskimi oblastmi. PDD Holdings naj bi bila zgolj krinka za zbiranje podatkov. Temu je sicer dejanska spletna trgovina, konkurenca AliExpressu, ki skuša stranke prepričati z nizkimi cenami in visokimi popusti. A Griffith trdi, da Temu sploh ne želi postati največja spletna trgovina na svetu, temveč je to poslovanje pretveza za krajo...

Slo-Tech - Pred slabim mesecem dni smo izvedeli za enega največjih spodrsljajev, ki se je primeril Googlu. Iz tedaj nepojasnjenih razlogov so pobrisali celoten profil avstralskega pokojninskega sklada UniSuper, ki je imel v Google Cloudu shranjene svoje podatke. Njihova obnovitev je trajala dva tedna, saj so se izbrisali tudi na drugih lokacijah, ki so bile sinhronizirane z Google Cloudom. Situacijo je pomagala rešiti varnostna kopija, ko jo je imel sklad pri drugem ponudniku in ni bila neposredno povezana v Google Cloud. Sedaj vemo, kaj je šlo narobe.

Google se je s pepelom posul že tedaj, sedaj pa so razložili malce več. Za težavo, ki ni k sreči prizadela nobene druge stranke in se sedaj ne more več ponoviti, je odgovoren Google. Njegovi zaposleni so storili hudo napako, ko si pri nastavljanju GCVE (Google Cloud VMware Engine) eno izmed ključnih polj pustili prazno. Sistem je to interpretiral, kot da je račun časovno omejen, po preteku zakupa pa je podatke preprosto pobrisal. Ob tem so...

Slo-Tech - Končno smo izvedeli, kdo je vodil eno najbolj razvpitih hekerskih združb, ki se je ukvarjala z vdori in izsiljevanjem. Danes so britanske oblasti sporočile, da je skupino Lockbit vodil 31-letni ruski državljan Dmitry Yuryevich Khoroshev. Na internetu je nastopal z vzdevkom LockBitSupp, v skupini pa je bil administrator in glavni razvijalec izsiljevalskega orodja Lockbit.

Khoroshev je sedaj v ZDA obtožen več kaznivih dejanj s področja računalniške kriminalitete, prevar in izsiljevanja. Lockbit je opeharil več kot 2000 žrtev, ki so izgubile skupno več kot 500 milijonov dolarjev, skupna škoda pa je presegla milijardo dolarjev. Ameriško tožilstvo je Lockbit označilo kot najbolj razširjeno in donosno izsiljevalsko orodje v zgodovini. Delovati je začel leta 2020, največ okužb pa je dosegel leta 2022. Med tarčami je bilo več kot sto bolnišnic, zdravstvenih domov in drugih zdravstvenih ustanov.

Skupino so razbili z racijami februarja letos, med katerimi so zasegli več strežnikov,...

Slo-Tech - Policijske enote iz Nemčije, Albanije, Bosne in Hercegovine, Kosova in Libanona so sredi aprila izvedle racije, s katerimi so sklenile več mesecev trajajočo operacije, v kateri so zaprli 12 centrov za spletne prevare po telefonu. Pridržali so 21 oseb in zasegli več kot milijon evrov gotovine.

Preiskava se je začela decembra lani, ko je 76-letna oškodovanka v Nemčiji želela dvigniti 120.000 evrov in jih izročiti kriminalcem, ki so se predstavljali za policiste. Stekla je akcija, ki se je kmalu razvila v čezmejno operacijo z imenom Pandora. Policisti so v štirih mesecih spremljali delovanje organizirane kriminalne združbe, ki je v Evropi upravljala 12 lažnih klicnih centrov. Prestregli so več kot 1,3 milijona telefonskih pogovorov in v tem času tarčam prihranili več kot 10 milijonov evrov, ko so jih opozorili na nevarnost.

Racije so izvedli 18. aprila. Izmed 21 pridržanih jih je pet v Nemčiji, preostali pa so v priporu na Balkanu in v Libanonu. Zanimivo je, da so se centri v...

Slo-Tech - V preteklosti smo videli nemalo primerov, ko so zlikovci ali virusi dostop do računalniških sistemov pridobili z izkoriščanjem privzetih gesel, ki so bila prelahka. Neredko proizvajalci kot privzeto geslo nastavijo 1234, 12456, admin, password ali kaj podobnega. Takšne naprave praktično niso zaščitene, ker je gesla možno enostavno uganiti. Velika Britanija je z novim zakonom PSTI (Product Security and Telecommunications Infrastructure) prva država, ki je tovrstna gesla kratko malo prepovedala.

Proizvajalci pametnih telefonov, televizorjev, pametnih hladilnikov, digitalnih varušk in podobnih naprav bodo morali vsaj za spoznanje bolje zaščiti naprave. Novi zakon je začel veljati ta teden, prinaša pa še nekaj drugih novosti. Proizvajalci bodo morali javno objaviti kontaktne podatke, kamor bo možno prijavljati odkrite ranljivosti. Prav tako bodo morali jasno predstaviti politiko in časovnico izdajanja varnostnih popravkov za naprave. Izdelki, ki ne bodo spoštovali novega zakona, bodo...

Slo-Tech - Tesla je vpoklicala vse primerke poltovornjaka Cybertruck, ki so bili proizvedeni od 13. novembra 2023 do 4. aprila 2024. Zamenjati morajo pedalo za plin, ki se lahko zaradi napake pri izdelavi zatakne ob močnem pritisku. Prizadetih je 3878 vozil.

V sporočilu o vpoklicu je zapisano, da je napaka posledica neodobrene spremembe pri proizvodnji, ko je bilo v nasprotju z načrtom dodano mazivo. Če se pedal za plin zatakne v odprtem položaju, zavore še vedno normalno delujejo in je vozilo možno ustaviti, zato se hude nesreče ne bi smele zgoditi. Vseeno bodo v vseh cybertruckih modelnega leta 2024 pedalo zamenjali. V praksi to pomeni, da gre za čisto vsa vozila, ki so bila prodana po lanski predstavitvi novinca. V praksi se je težava že pojavila, saj so nekateri lastniki o njej poročali tudi na TikToku.

Tesla je bila o težavah obveščena 31. marca, nato pa še 3. aprila. Interna preiskava je 12. aprila odkrila razlog za težave, nato pa so odredili vpoklic. Za zdaj ni informacij, da bi...

Slo-Tech - Inženirji iz Red Hata so v petek opozorili na podtaknjeno ranljivost v knjižnicah xz 5.6.0 in 5.6.1 (izšli 24. februrja in 9. marca), ki vnaša stranska vrata v OpenSSH in systemd. Ranljivost CVE-2024-3094 je ocenjena z najvišjo stopnjo resnosti po CVSS. Ranljiva knjižnica je del Fedore 40 in 41, ki pa še nista uradno izšli - Fedora 40 izide sredi aprila. Prizadeti sta tudi distribuciji Debian Unstable in Kali Linux, večina bolj priljubljenih distribucij pa ne, ker še niso vključili omenjenih verzij xz. Uporaba razvojne verzije Fedora Rawhide je zato trenutno močno odsvetovana. Starejša verzija knjižnice xz 5.4.0 ni problematična.

V Linuxu je xz splošen format za stiskanje datotek. Zlonamerna koda je namenoma prikrita (obfuscated) in vključena le v poln paket - sproži jo makro M4. Preko stranski vrat, ki jih knjižnica uvaja, bi lahko zlonamerni akter zlomil preverjanje pristnosti v sshd in pridobil nepooblaščen oddaljeni dostop do sistema. K sreči so ranljivost odkrili, še preden...

Slo-Tech - Danes je bila nekaj ur slabše dosegljiva spletna stran predsednice države, ker je bila tarča napada DDoS. Kot so potrdili na SI-CERT, ni šlo za vdor ali izkoriščenje kakšne ranljivosti, temveč za običajen napad s preobremenitvijo (DDoS). Spletna stran je trenutno spet dostopna.

Ob nedosegljivosti se je oglasila tudi ruska hekerska skupina Cyber Army Russia Reborn in prevzela odgovornost za napad. Trdijo, da so začeli napade proti državnim službam, ker se je Slovenija pridružila češki pobudi za nakup topniškega streliva za Ukrajino. Ni še znano, ali je omenjena skupina res odgovorna za napad na strani slovenske predsednice.

Pred napadi DDoS se je težko ubraniti, ker ne izkoriščajo ranljivosti v programski opremi pri tarči, temveč jo preobremenijo z zahtevki z drugih ranljivih sistemov, nad katerimi pridobijo nadzor. Pred napadi ščitijo veliki ponudniki, kot je Cloudflare, ki med tarčo in internet postavijo svoje velike sisteme, ki lahko odfiltrirajo napad in prepuščajo le...

Slo-Tech - O računalniških zmedi zaradi datuma smo nazadnje resneje pisali pred četrt stoletja, ko je strah pred hroščem tisočletja domala ohromil svet, na koncu pa se na silvestrovo konec leta 1999 ni zgodilo nič. Precej manj radikalen datum je 29. februar, ki napoči vsako četrto leto, a tudi ta se računalnikom lahko zatakne. Na Novi Zelandiji danes skoraj pol dneva niso mogli točiti goriva na samopostrežnih bencinskih črpalkah, ker so odpovedali plačilni terminali. Razlog je bil - datum.

Ni še povsem jasno, kaj se je zgodilo, poznamo pa anamnezo. Vsi bencinski servisi, ki so uporabljali plačilne terminale podjetja Invenco, so obstali. Plačevati je bilo možno zgolj na servisih, kjer so imeli tudi človeškega trgovca ali kjer so uporabljali opremo drugega proizvajalca. Izvršni direktor Invenca John Scott je potrdil, da so imeli težave z delovanjem in da so morali urgentno izdati popravek programske opreme, o podrobnostih pa ni povedal nič.

Težave so trajale približno 10 ur, začele pa so se...

Slo-Tech - Teden dni po obglavljenju izsiljevalske skupine LockBit in njihovega programja se je ta začela ponovno postavljati na noge. Trdijo, da so že obnovili del infrastrukture, ki jo bo odslej še teže razbiti, a poznavalci so skeptični.

Spomnimo, da so minuli teden oblasti v več državah v Severni Ameriki, Evropi in Aziji zasegle 34 strežnikov, prevzele več strani, zamrznile račune s kriptovalutami in pridobile več kot tisoč šifrirnih ključev za pomoč žrtvam. Hkrati so ZDA razpisale 10-milijonsko nagrado za informacije, ki bi vodile do prijetja kolovodij, in pet milijonov dolarjev nagrade za informacije o ostalih članih. Dva ruska državljana, katerih identiteta je znana, pa so obtožili.

A medtem ko oblasti trdijo, da so pridobile dostop do strežnikov LockBita, kar jim je omogočilo tudi javno roganje in posmehovanje, domnevni vodja skupine LockBitSupp trdi, da so že nazaj. Med vikendom je vzpostavil novo spletno stran, kjer je tudi pojasnil, da naj bi napad organov pregona omogočila...

Slo-Tech - Apple je nadgradil svojo storitev za hipno komuniciranje iMessage, ki je že doslej podpirala šifriranje od pošiljatelja do prejemnika (E2E encryption). Dodali so nov sloj šifriranja, ki je odporen na kvantne računalnike, ki bodo v prihodnosti morda sposobni razbiti današnje šifriranje. Gre za šifriranje PQ3 oziroma implementacijo algoritma Kyber, ki bo naloženo na obstoječi X3DH.

Rezultat se imenuje PQXDH. Za prebiranje tako šifriranih sporočil je treba zlomiti oba, kar ni enostavno. Medtem ko je X3DH v teoriji ranljiv na kvanten računalnike, ti danes še niso niti blizu sposobnostim, ki so potrebne za njegovo razbitje. Kdaj se bo to zgodilo - z 20 milijoni kubitov bi lahko 2048-bitni ključ RSA zlomili v nekaj urah - je nemogoče reči. Trenutni kvantni računalniki imajo nekaj sto kubitov, a so še daleč od rutinskih. A prihodnost nas bo nekoč dohitela.

Signal je bila prva širše poznana aplikacija, ki se je pripravila na kvantne računalnike, sedaj pa sledi še iMessage. Nekvantni...

Europol - Mednarodno združenje organov pregona je v širokopotezni akciji uspelo zaseči večino infrastrukture ter programja razvpite izsiljevalske skupine LockBit in aretirati nekaj pomembnih članov.

LockBit je bila v zadnjem času bržkone najbolj zloglasna tolpa razvijalcev izsiljevalske programske opreme (ransomware). Z dejavnostjo so pričeli leta 2019, takrat še pod imenom ABCD, in popularizirali moderni način delovanja po principu ransomware-as-a-service, pri čemer so svoja orodja ter infrastrukturo oddajali v najem množici drugih kriminalcev, sami pa pobirali provizijo, običajno v vrednosti okoli 20 odstotkov. Po podatkih ameriškega pravosodnega ministrstva so z njihovo pomočjo doslej napadli najmanj 2000 organizacij po vsem svetu in na ta način izterjali najmanj 120 milijonov dolarjev. Odmevnejši napadi vključujejo lanske na Boeing, Royal Mail ter Industrial and Commercial Bank of China. Sloveli so kot brezkompromisni zlikovci, ki niso prizanašali nikomur, niti bolnišnicam.



V...

Slo-Tech - Več kot tisoč brezžičnih usmerjevalnikov Ubiquiti v ZDA je bilo okuženih rusko zlonamerno programsko opremo, da so delovali kot usklajeni botnet za hekersko skupino Fancy Bear. Usmerjevalniki z operacijskim sistemom EdgeOS, ki so uporabljali tovarniško geslo za administrativni dostop, so bili lahka tarča za Fancy Bear, da je nanj naložila malware Moobot. To pa je bila tudi pot do njihovega očiščenja.

Tajna sodna odredba je FBI-ju omogočila čiščenje usmerjevalnikov, zato so izvedil operacijo Dying Ember. V tej operaciji je FBI uporabil Moobot, da je pridobil dostop do usmerjevalnikov in pobrisal zlonamerno programsko opremo. Da bi preprečili ponovno okužbo, dokler lastniki niso sprejeli ustrezni ukrepov, je FBI spremenil pravila za blokade v usmerjevalniku (firewall rules) in blokiral oddaljeno upravljanje. Med posegom so zbirali tudi prometne informacije, s čimer se preverjali, da Fancy Bear ni motil postopka.

FBI je torej vdrl v usmerjevalnike domačih in malih poslovnih...

Slo-Tech - Na internet je iz koncerna Mercedes-Benz ušlo več zaupnih podatkov vključno z izvorno kodo, je odkril tehnični direktor podjetja RedHunt Labs Shubham Mittal. Eden izmed zaposlenih v koncernu je na javno dostopen repozitorij Github naložil identifikacijski žeton (authentication token). Ta je omogočal dostop do Mercedesovega GitHub Enterprise Server, kjer je bila objavljena tudi izvorna koda v računalniških sistemih njihovih avtomobilov, ključi za dostop do Azura in AWS-ja ter podatkovne baze Postgres. V repozitoriju so bili ključi, načrti, dizajni, gesla, ključi API in druge občutljive informacije.

Varnostni spodrsljaj so odkrili minuli ponedeljek in jo prijavili Mercedesu, ki je dva dni pozneje onemogočil omenjeni žeton. Tiskovna predstavnica koncerna je potrdila, da je podjetje kodo na Githubu javno objavilo zaradi človeške napake. Incident bodo analizirali in sprejeli ustrezne varovalne ukrepe, o katerih niso podrobneje spregovorili. Žeton je bil na voljo od septembra lani, ni...

Slo-Tech - Microsoft je včeraj razkril, da je bil tarča hekerskega napada, ki je izkoristil šibko geslo enega izmed zaposlenih. Napad so zaznali 12. januarja letos, potekal pa je od konca novembra lani. Napad so razkrili kmalu po odkritju, ker lani sprejeta zakonodaja v ZDA od podjetij zahteva, da regulatorjem, investitorjem in javnosti razkrivajo vdore v svoje sisteme.

Napadalci izvirajo iz skupine Midnight Blizzard, trdi Microsoft. To je z ruskimi oblastmi povezana skupina hekerjev, ki jo poznamo tudi pod imenom Nobelium. Microsoft pojasnjuje, da je šlo za napad s preverjanjem istega gesla v več istih profilih (password spraying attack) na starejšem sistemu, ki ni del produkcije. V praksi to pomeni, da so hekerji uporabili več znanih gesel iz drugih vdorov in da je eno delovalo. Račun tudi ni bil zaščiten z 2FA. S tega sistema so nato pridobili dostop do nekaj predalov elektronske pošte, vključno z visokimi uslužbenci, člani skupine za varnost in pravnega oddelka, kar je nerazumljiva...

Slo-Tech - Pred poldrugim desetletjem smo se prvikrat zavedli, da se moderne vojne bijejo v digitalnem svetu. Sredi leta 2010 je svet izvedel, da je računalniški virus sabotiral iranske centrifuge za bogatenje urana in s tem za več let upočasnil njegov razvoj. Tedaj nihče ni zares vedel, kako je virus Stuxnet vstopil v iranski obrat v Natancu, ki je zgrajen pod zemljo in brez aktivne povezave z internetom. Šele mnogo let pozneje so na plano pricurljale informacije o dogajanju, v katerega so bili vpleteni Američani, Izraelci in - Nizozemci.

Nizozemski časnik Volkskrant je leta 2019 razkril, da je šlo za specialno operacijo, v kateri je sodelovala tudi nizozemska obveščevalna agencije AIVD. Sedaj vemo, da je inženir Erik van Sabben lastnoročno poskrbel za vnos virusa v iranski sistem. Konec leta 2008 je okužil centrifuge, že naslednji dan hitro zapustil državo in nato dva tedna pozneje umrl v nesreči z motociklom v Dubaju. Tudi zato lahko Volkskrant razkrije več podrobnosti vključno z njegovim...

Slo-Tech - V sredo so hekerji pridobili dostop do računa, ki ga ima operater Orange España pri organizaciji RIPE, ki skrbi za naslove IP na širšem področju Evrope, Bližnjega vzhoda in osrednje Azije, kar obsega 75 držav. Heker z vzdevkom Snow (Ms_Snow_OwO) se je z ukradenimi prijavnimi podatki prebil do računa pri RIPE, kjer je spremenil tabele za BGP (Border Gateway Protocol). Heker je v tabele dodal več blokov IP-naslovov, med katerimi vsi niso pripadali Orangeu. S tem je pokvaril ROA (Route Origin Authorizations). Ko je na primer dodal 149.74.0.0/16, je s tem preklical vse nižje (krajše) ROA, ki sodijo v isti blok (npr. 149.74.100.0/23). Nenadoma je torej Orange oglaševal IP-je, do katerih ne prenaša prometa, kar je povzročilo kaos oziroma nedostopnost teh strani.

Napad, ki je trajal približno štiri ure, je natančno opisal Doug Madory. Dodaja, da ni čisto jasno, kaj je napadalec želel storiti. Njegove poteze niso imele veliko smisla, četudi bi žel povzročiti največji možni obseg škode....

Slo-Tech - V preteklem letu je hekerska skupina Lapsus$ napadla Rockstar Games in ukradla cel kup podatkov, med katerimi so bile najbolj zaželene vsebine, ki so povezane s franšizo iger Grand Theft Auto. Napadalci so tedaj dobili dostop do internega strežnika za Slack in strežnika wiki Confluence. Po navedbah hekerjev so pridobili izvorno kodo iger GTA V in GTA VI, ki je sicer niso javno objavili, so pa pokazali nekaj izsekov.

Lapsus$ je sicer ena najbolj aktivnih skupin, ki je z različnimi taktikami, denimo socialnim inženiringom, zamenjavo kartic SIM in podobno, vdrla že v številna podjetja. Uber, Microsoft, Nvidia, Ubisoft in Samsung so le najodmevnejše žrtve njihovih napadov, ki so jih potem izsiljevali z grožnjo, da bodo sicer javno priobčili ukradene interne podatke, torej izvorno kodo in podobno.

Leto dni pozneje je napočil čas, ko so izvorno kodo GTA V očitno poslali na plano. BleepingComputer poroča, da je na različnih delih interneta - na Discordu, na Telegramu in drugod - začela...

Slo-Tech - Svoj čas je veljalo, da so vsaj bolnišnice nedostojne tarče za izsiljevalske viruse, a ti časi so minili. Več bolnišnic v vzhodni Vestfaliji - Franzikus Hospital Bielefeld, Sankt Vinzenz Hospital Rheda-Wiedenbrück, Mathilden Hospital Herford - je bilo na predbožični dan tarče napada, ki je popolnoma ohromil njihove informacijske sisteme. Prve analize so pokazale, da je šlo za virus Lockbit 3.0, ki je zaklenil vse podatke.

Vzpostavili so krizni štab, ki analizira situacijo in išče rešitev. Čeprav je informacijski sistem za zdaj onesposobljen, bolniki niso v nevarnosti, so dejali. Virus Lockbit je sicer že stari znanec, ki je v preteklosti napadel tudi že kakšno bolnišnico, dasiravno to niso najpogostejše tarče. Ko so v začetku tega leta napadli bolnišnico v Kanadi, so se upravljavci virusa kasneje opravičili in brezplačno ponudili orodje za odklep datotek.

Manj razumevanja imajo storilci do drugih komercialnih tarč, do katerih zahtevajo odkupnino. Lockbit 3.0 deluje kot virus za...

Slo-Tech - Od konca novembra naprej hekerji, ki so povezani z iransko vojsko, napadajo ameriško ključno infrastrukturo, ki teče na napravah Unitronics. Pri tem pustijo na zaslonih politična sporočila v zvezi z aktualno vojno med Izraelom in Palestino, medtem ko na ključne funkcije infrastrukture niso uspeli vplivati. Napadi potekajo v več zveznih državah, osredotočajo pa se programljive logične krmilnike (PLC) Unitronics Vision Series, ki jih uporabljajo podjetja v preskrbi z vodo, zbiranjem in obdelavo odpadnih voda, proizvodnji hrane in pijač ter zdravstvu.

Glavni problem so naprave, ki so izpostavljene neposredno na internetu, za dostop pa uporabljajo tovarniška gesla. Hekerska skupina, ki jo imenujejo CyberAv3ngers, ni edina, saj so zaznali več deset skupin, pretežno iz Irana in Kitajske. Napadi v več kot 11 zveznih državah so precej enostavni, ker PLC-ji uporabljajo tovarniško geslo 1111, ki ga odgovorni pogostokrat niti ne spremenijo. To je osnovna varnostna pomanjkljivost, katere...

Slo-Tech - Waymo je izdal novo poročilo o varnosti svojih avtonomnih vozil, ki so doslej prevozila že 11,5 milijona kilometrov v prometu. Waymova vozila so na cestah v Phoenixu, San Franciscu in občasno tudi v Los Angelesu.

V vseh teh kilometrih so bila vozila udeležena v treh prometnih nesrečah s telesnimi poškodbami. Enkrat je v kraju Tempe v Arizoni (predmestje Phoenixa) Waymov avtomobil sunkovito zavrl pred vejo na cesti, kar je povzročilo nalet dveh vozil, v katerem se je poškodoval nepripet sopotnik v Waymovem vozilu. V drugem primeru je Waymo na križišču najprej pospešil, nato pa ustavil, kar je povzročilo nalet vozila, ob čemer se je sopotnik v Waymovem avtomobilov lažje poškodoval. Tudi v tretjem primeru je šlo za nalet vozila, a je to pot med vožnjo po večpasovnici vozilo z neprilagojeno hitrostjo trčilo v Waymo, ki je vozil po predpisih. To pomeni, da so zabeležili 0,24-0,36 poškodb na prevožen milijon kilometrov. V Waymu so izračunali, da se človeški vozniki v enakih pogojih -...

Slo-Tech - Po poročanju RTV Slovenija so hekerji, ki so 25. novembra vdrli v računalniške sisteme Holdinga Slovenske elektrarne (HSE), na spletu objavili ukradene podatke. Od približno 127 GB ukradenih podatkov, kar je v praksi 120.000 dokumentov, so jih sedaj objavili 60 odstotkov, če gre verjeti njihovim navedbam. Dejstva ni možno neodvisno preveriti.

Hekerji so objavili poslovne in osebne podatke, med njimi potne liste, pogodbe, revizije in druge dokumente z oznako poslovna skrivnost. Iz HSE so se odzvali s skopim pojasnilom, da ne pričakujejo vpliva na poslovanje, ki trenutno poteka normalno. S tem se strinjajo tudi poznavalci, ki pa opozarjajo, da so lahko sedaj odškodovani tudi drugi poslovni subjekti. Ukradene podatke je moč izkoristiti za lažno predstavljanje v komunikaciji s poslovnimi partnerji ali strankami.

Še vedno sicer ni znano, zakaj je bil HSE tarča napada. Bodisi je šlo za sofisticiran in cilja napad bodisi pa so imeli hekerji preprosto srečo, da je izmed več tarč prav v...

Slo-Tech - Skorajda vsi osebni računalniki, ki imajo Intelove ali AMD-jeve procesorje, imajo resno luknjo, ki omogoča okužbo sistema med zagonom in nadaljnji prevzem nadzora nad napravo. Ranljivost tiči v UEFI-ju, in sicer v delu kode, ki omogoča prikaz poljubne slike med začetno fazo zagona, zato so raziskovalci ranljivost poimenovali LogoFAIL. Prizadeti so sistemi, za katere je UEFI izdelal AMI, Insyde ali Phoenix, kar so praktično vsi sistemi, ne glede na sestavljavca (Lenovo, Dell, HP). Ti so večidel že izdali obvestila (advisory) in priporočajo nadgradnjo firmwara na ploščah oziroma UEFI-ja.

O napadu so raziskovalci podrobneje spregovorili na Black Hat Security Conference, ki je ta teden potekala v Londonu. Napad LogoFAIL je posledica več ranljivosti v sistemih, ki omogočajo izvedbo s podtaknjeno okuženo sliko. UEFI ima namreč možnost, da med zagonom prikaže logotip proizvajalca, denimo Lenovo. Del, ki skrbi za to možnost (image parser), pa ni posebej varen. Napadi med zagonom, in sicer med stadijem DXE (Driver Execution Environment), so posebej problematični, ker jih je zelo težko preprečiti, zaznati in odpraviti. Če v tej fazi zlonamerna koda pridobi nadzor nad sistemom, ima praktično neomejene privilegije. Za napad ni potreben...

Slo-Tech - Osemnajst držav je podpisalo neobvezujoč dogovor dogovor o varni umetni inteligenci, med katerimi so tudi ZDA, Velika Britanija, Nemčija in Avstralija. Dogovor, ki so ga javnosti predstavili v nedeljo zvečer, je po besedah ZDA prvi mednarodni dogovor o ukrepih, ki bodo obvarovali uporabo umetne inteligence in varnost pred zlonamernimi akterji. Dogovor predvideva ukrepe, ki bodo zagotavljali, da bo umetna inteligenca varna že zaradi samega ustroja (secure by design).

Dvajset strani dolg dogovor predvideva, da bodo podjetja pri izdelavi in uporabi orodij umetne inteligence to počela na način, ki bo varoval uporabnike in javnost pred zlorabami. Gre sicer za neobvezujoče predloge, ki so splošna priporočila o nadzoru sistemov, zaščiti podatkov in preverjanju dobaviteljev. Kljub temu gre za pomemben dokument, ker predstavlja prvi korak pri zagotavljanju varnosti in ker so se podenj podpisale številne države, je dejala Jen Easterly iz ameriške agencije za kibernetsko varnost in...

Slo-Tech - Uporabniki Googlove oblačne shrambe Drive presenečeno ugotavljajo, da je izginilo več datotek in vse spremembe zadnjih mesecev. Razlog za težave še ni znan, jih je pa Google potrdil. Preiskava še poteka, uporabnikom pa svetujejo, da ta čas v korenski mapi ne spreminjajo ničesar.

Težave so se začele že minuli teden, ko je uporabnik iz Južne Koreje ugotovil, da so mu izginile vse novejše datoteke in da je stanje v Google Drivu enako kot maja letos. Novejših datotek ni bilo niti v košu, prav tako Google Drive ni kazal nobene aktivnosti. V naslednjih dneh se je z enakimi težavami javilo še več uporabnikov, kar je potrdil tudi Google. Inženirji so se lotili preiskave incidenta, ki sicer ni prizadel vseh uporabnikov, temveč le peščico.

Dokler Google težave ne razreši, uporabniki do svojih datotek ne morejo. Za zdaj so še vsi optimistični, da se bo to zgodilo kmalu. A ob tem velja opozoriti, da oblak ni čudežni varni pristan za datoteke, temveč računalnik nekje drugje in ne pri nas...

Microsoft - Raziskovalci iz podjetja Blackwing Intelligence so ugotovili, kako je možno pretentati zaklep računalnik s prstnim odtisom v Windows Hello. Na prošnjo MORSE (Microsoft Offensive Research and Security Engineering) so analizirali varnost treh različnih tipov čitalnikov prstnih odtisov v prenosnih računalnikih in odkrili resne ranljivosti.

Ranljivi so čitalniki podjetij Goodix, Synaptics in ELAN, ki so jih preizkusili na napravah Dell Inspiron 15, Lenovo ThinkPad T14 in Microsoft Surface Pro X. Izdelali so posebno napravo, ki se na računalnik priključi prek USB-ja in omogoča izvedbo napada s prestrezanjem (MITM). Tako je možno odkleniti ukradene prenosnike, če je le kdo kdaj v preteklosti uporabil prstni odtis za prijavo.

Že pred časom je Microsoft ugotovil, da 85 odstotkov ljudi, ki to možnost imajo, za prijavo uporablja prstni odtis. Prvo resno ranljivost v Windows Hallo je Microsoft odpravil leta 2021, ko so ljudje ugotovili, da je možno pretentati prepoznavanje obrazov za...

Ars Technica - Applova funkcija ščitenja zasebnosti s skrivanjem pravega naslova MAC, ko se iPhone ali iPad povežeta v brezžično omrežje, naj bi že leta varovala uporabnike. Izkazalo se je, da to ne drži in da iOS še vedno deli prave fizične naslove, ugotavlja Dan Goodin.

Skrivanje naslovov MAC ni ključnega pomena, a predstavlja enega izmed sestavnih delov varovanja zasebnosti. Njihova zloraba je malo verjetna, a v preteklosti smo že videli teoretične demonstracije, da je možno s slednjem tem naslovom po več lokacijah izdelati profil uporabnika, zlasti kje se giblje. Zato je Apple leta 2020 v verziji iOS 14 uvedel skrivanje (randomizacijo) naslovov MAC. Podobno omogoča tudi Android.

Apple je ta teden - torej polna tri leta pozneje - izdal popravek za iOS, ki je to funkcijo popravil. Doslej namreč ni delovala. Naprave so vedno, četudi so na primer uporabljale VPN, z omrežjem Wi-Fi delile pravi naslov MAC. V sporočilu multicast, ki ga je naprava ob vključitvi v omrežje, poslala vsem ostalim napravam, je bil naslov MAC res naključen. To je preprečilo pasivno spremljanje. A v drugih paketkih je iOS še vedno delil pravi naslov, zato aktivne naprave niso imele nobenih težav ugotoviti naslova MAC ostalih naprav v omrežju. Luknja je sedaj...

Slo-Tech - Že vrsto let je znano, da aplikacija za komunikacijo Telegram razkriva naslove IP uporabnikov, kadar ti opravljajo glasovne klice s svojimi stiki. To predstavlja varnostno tveganje, ki se ga uporabniki pogosto ne zavedajo. Če zlonamernega akterja dodamo med svoje stike, lahko ta z enim klicem pridobi podatke o našem naslovu IP. Ranljivost je možno preprosto zlorabiti.

Razlog za njen obstoj tiči v načinu delovanja. S privzetimi nastavitvami Telegram uporablja povezavo P2P (peer-to-peer) za glasovne klice med stiki, ker tako zagotavlja boljšo kakovost zvoka in manjše zakasnitve. To drži, a to pomeni tudi, da si morata stika izmenjati aktualna naslova IP. Ta način delovanja je možno v nastavitvah spremeniti, a marsikdo tega ne ve. Klici od ljudi, ki jih nimamo v seznamu stikov, pa se že privzeto preusmerijo skozi Telegramove strežnike in ne omogočajo razkrivanja naslovov IP.

Ob tem dodajmo, da Telegram seveda ni edina aplikacija, ki ima težave z razkrivanjem IP. To se lahko zgodi

Slo-Tech - Po poleti odkritih novih ranljivostih v sistemu TETRA, ki so bile tam najverjetneje namenoma, se sedaj krepijo pozivi k odprtju algoritma. Tehnični odbor ETSI (European Telecommunications Standards Institute) razmišlja, da bi javno razkrili algoritme, ki jih TETRA uporablja za šifriranje komunikacije. Odločitev bodo sprejeli 26. oktobra, je pojasnila tiskovna predstavnica Claire Boyer. Če ne bo konsenza, bo sledilo glasovanje.

Tehnologijo TETRA (Terrestrial Trunked Radio) uporabljajo javne službe, denimo policija in reševalci, a tudi vojska, za komunikacijo v večjem delu Evrope. Z njo preprečujejo prisluškovanje, a protokol ima številne ranljivosti. Te pod vprašaj postavljajo tako varnost uporabo kakor tudi odpornost na prihodnost, saj ne vemo, kaj se še skriva v kodi. Poleti odkrite ranljivosti so teoretično omogočale vrivanje sporočil, deanonimiziranje uporabnikov in podobno. Ranljivosti naj bi bili zakrpali šele ta mesec.

Uporaba nejavnih algoritmov za šifriranje, kjer se za...

Slo-Tech - Google nadaljuje prizadevanja za svet brez gesel, v katerem jih bodo nadomestili prijaznejši in varnejši načini preverjanja pristnosti. Sporočili so, da so od danes ključi (passkeys) privzeti način prijave za vse uporabnike, seveda pa je še vedno možno uporabiti gesla.

V praksi bomo torej ob naslednji prijavi v Google storitve videli pozive, da ustvarimo ključe, s katerimi se lahko prijavimo ob prihodnjih obiskih. Za uporabo ključev lahko uporabimo prstni odtis, posnetek obraza ali PIN. Google ocenjuje, da je njihova uporaba 40 odstotkov od vnašanja gesel, hkrati pa so varnejši. Komur so bolj pri srcu gesla, jih bo lahko uporabljal še naprej in tudi izklopil ponavljajoče pozive po pripravi ključa.

Ključe že lahko uporabljamo v različnih Googlovih storitvah, denimo v Gmailu, YouTubu, Maps, iskanju in drugod, kamor se moramo prijaviti. Prav tako jih počasi uvajajo tudi drugi ponudniki, denimo eBay.

Slo-Tech - V vseh verzijah poštnega strežnika Exim (mail transfer agent) so odkrili varnostne luknje, ki napadalcem omogočajo oddaljeni zagon poljubne kode (remote code execution). Ranljivost je odkril anonimni varnostni raziskovalec in jo prijavil prek Trend Microvega mehanizma Zero Day Initiative. Povzroča tako nestabilno delovanje in kvarjenje podatkov kakor tudi izrabo za poganjanje nepooblaščene kode. Napaka tiči v storitvi SMTP (odhodna pošta), kjer lahko pride do prekoračitve naslovnega prostora (out-of-bounds write).

ZDI je proizvajalca o napaki obvestil že junija lani (!) in ponovno maja letos, a popravka niso izdali. ZDI je zato ta teden javno objavil podrobnosti v opozorilu CVE-2023-42115, kjer so razkrili tudi vso komunikacijo z Eximom. Tovrstni strežniki so zelo obetavne tarče, ker so običajno dostopni z interneta, zato omogočajo vdor v interne sisteme. Hkrati je Exim najpopularnejša programska oprema za MTA. V preteklosti so se ranljivosti v Eximu že izkoriščale tudi v praksi....

Slo-Tech - V nemških tovarnah koncerna Volkswagen je včeraj zaradi napake v informacijskem sistemu obstala proizvodnja vozil znamk Volkswagen. Težave so imeli tudi pri proizvodnji audijev in porschejev, so potrdili v podjetju. Vzrok za izpad še raziskujejo. Za zdaj so dejali, da je šlo za "nepravilno delovanje nekaterih omrežnih komponent" na lokaciji v Wolfsburgu, kjer imajo sedež. Prizadete so bile tovarne v Emdnu, Osnabrücku, Hanovru, Dresdnu, Zwickauu in obrati v Braunschweigu, Kasslu, Chemintzu in Salzgitterju.

Iz podjetja so sporočili, da so napako opazili okrog 12.30 po lokalnem času. Po prvih podatkih ni šlo za napad, temveč za napako. Večino posledic so odpravili danes ponoči, nekateri sistemi pa jih bodo čutili še danes. Trenutno ima sicer Volkswagen še drugačne težave v tovarni v Zwickauu, kjer izdelujejo električna vozila. Tam so zaradi nižjega povpraševanja ukinili eno izmeno in prešli na dvoizmenski delavnik. S tem so tudi odpustili 269 zaposlenih.

Slo-Tech - Raziskovalci z univerz v Austinu, Teksasu, Washingtonu, Illinoisu in Pittsburghu (CMU) so ugotovili, da so grafični čipi vseh šestih velikih proizvajalcev ( Apple, Intel, AMD, Qualcomm, ARM, Nvidia) ranljivi. Z doslej nepoznanim napadom lahko zlonamerna spletna stran prebere vsebino zaslona, kot ga izpisuje druga spletna stran na drugi domeni, s čimer se krši ena osnovnih zapovedi varnosti na internetu. Napad so poimenovali GPU.zip in ga temeljito opisali v članku. Podrobno jo bodo predstavili tudi na konferenci 45th IEEE Symposium on Security and Privacy, ki bo prihodnje leto maja v San Franciscu.

V delujočem konceptu so prikazali, kako ranljivost deluje. Zlonamerna spletna stran vsebuje element, ki skuša brati iz elementa iframe. V normalnih okoliščinah je to mogoče le, če imata oba elementa isti vir (isto domeno). Raziskovalci pa so pokazali, da je zaradi stiskanja podatkov, ki ga GPU-ji uporabljajo za izboljšanje zmogljivosti, možno posamezne piksle na zaslonu krasti enega po...

Slo-Tech - Microsoftu je na splet pobegnilo 38 TB podatkov, ker so napačno nastavili profil na GitHubu. Podjetje Wiz, ki se ukvarja z računalniško varnostjo, je ugotovilo, je odkrilo shrambo v Azuru, na katero je vodila povezava v repozitoriju na GitHubu, ki so ga uporabljali raziskovalci v Microsoft AI. Pravice za dostop so bile nastavljene tako, da je lahko podatke prebiral, kdorkoli je imel povezavo do shrambe z žetonom SAS. Podatki so bili javno dostopni od leta 2020, Microsoft pa je dostop onemogočil dva dni po Wizovem opozorilu.

Šlo je za 38 TB podatkov, med njimi tudi polni varnostni kopiji dveh zaposlenih, vključno z gesli, ključi in več kot 30.000 internimi sporočili v Microsoft Teams. Ob pa niso bili izpostavljeni nobeni podatki strank, so zatrdili v Microsoftu. Teoretično pa bi lahko zlonamerni akterji zaradi ranljivosti spreminjali in vrivali datoteke na Microsoftove strežnike in v interne sisteme, saj so bile dovoljene tudi pisalne pravice. Tehnični direktor Ami Luttwak je ob...

Slo-Tech - Hekerska skupina Scattered Spider (znana tudi kot UNC3944) je ta teden napadla MGM Resorts International, ki ima v Las Vegasu v lasti več igralnic. Zaradi napada so bile nedosegljive spletne strani hotelov, a to je še najblažja posledica. Nekaj časa niso delovali igralni avtomati, stranke v hotelih so morali v sobe prijavljati in razmeščati ročno ipd. MGM incidenta ni komentiral, zato tudi še ni jasno, kako so napadalci pridobili dostop do njihovih sistemov.

Je pa Financial Times uspel govoriti s človekom, ki se je predstavljal kot zastopnik omenjene hekerske skupine. Izvorni načrt naj bi vključeval programsko manipulacijo igralnih avtomatov, ki bi jih nato z mulami oskubili denarja, a se je izjalovil. Nato je preostal dobri stari izsiljevalski napad, ki je vključeval vdor, krajo podatkov, šifriranje in zahtevo po odkupnini. Nedavno je bila ista skupina na enak način od Caesers izsilila več deset milijonov dolarjev.

Kot je pojasnil Charles Carmakal iz Mandianta, ki je preiskoval...

Slo-Tech - Ogromne težave v britanskem letalskem prometu, ki jih je ta teden zakrivila odpoved računalniška sistema za upravljanje načrtov poletov, so bile najhujša motnja v zadnjem desetletju. Prizadetih je bilo več kot 300.000 potnikov, odzvati pa se je morala celo britanska vlada. Po poročanju The Independenta so se težave začele, ko je francosko letalo oddalo okvarjen načrt poleta. Sistem bi ga bil moral preprosto zavrniti, a zgodilo se je nekaj primerljivo slabšega. Celotni sistem NATS (National Air Traffic Services) se je izključil, zato so morali polete preverjati in potrjevati ročno.

Da se je sistem izključil, je z varnostnega vidika sicer bolje, kot bi deloval napak in potrjeval neustrezne načrte, a to je bolj slaba tolažba. Pravilni odziv bi bil zavrniti francoski načrt poleta. Direktor NATS Martin Rolfe je dejal, da je preliminarna preiskava okrivila francoski let, podrobnosti pa še niso znane. Ločeno preiskavo so napovedali tudi na Downing Streetu. Minister za promet je incident...

Slo-Tech - Dostop do elektronskega predala in njegove nastavitve so ključi za dostop do velike večine vseh digitalnih storitev, ki jih uporabljamo. Google v Gmailu za zaščito skrbi z dvostopenjsko avtentikacijo, ki jo potrebujemo pri novi prijavi, nato pa lahko v napravi ostanemo prijavljeni več tednov. Google je sedaj napovedal, da bo dodatno preverjanje (2FA) pogostejše, četudi smo v napravi že prijavljeni.

Prvi nasvet je seveda vključiti 2FA, saj tega še vedno niso storili vsi uporabniki. Uporaba Gmaila brez 2FA je zelo nevarna in se odsvetuje, saj kljub Googlovim poizkusom čim bolje zaščititi uporabnike ostaja ranljiva za hekerske prevzeme. Google pa nas obvešča še, da bo po novem 2FA potreben pri spreminjanju občutljivih nastavitev Gmaila, četudi smo prijavljeni. To so na primer novi filtri, nastavitve avtomatičnega posredovanja pošte, dostop prek protokola IMAP ipd. Google bo v takih primerih preveril, ali je treba dodatno potrditi istovetnost uporabnika, četudi je ta prijavljen.

...

Slo-Tech - Razvoj kvantnih računalnikov sicer ne pomeni, da bo takoj razbito vso današnje šifriranje, bodo pa ciljani napadi na danes varne algoritem mogoči. Panaceja so algoritmi, ki so na sposobnosti kvantnih računalnikov odporni (PQC), ki se pospešeno razvijajo. Google je ta teden predstavil implementacijo standarda FIDO2, ki je imun na napade s kvantnimi računalniki.

Standard FIDO2 je bil sprejet pred petimi leti in omogoča varno prijavo v spletne strani brez uporabe gesel. Trenutno je FIDO2 varna implementacija, za katero ni znanih ranljivosti, podpirajo pa jo že številne strani in storitve. Kriptografski ključi za prijavo so shranjeni v pametnih ključkih, telefoni in drugih napravah, s čimer odpade potreba po pomnjenju in vpisovanju gesel.

Današnji šifrirni algoritmi, denimo RSA, so preizkušeni in so prestali test časa. Novi algoritmi PQC tega testa še niso opravili in primeri, ko bomo v njih odkrili neverjetne luknje, se bodo verjetno še kdaj zgodili. Lani se je to zgodilo algoritmu...

Slo-Tech - Britanska državna volilna komisija je ta teden razkrila, da so bili žrtve vdora v računalniški sistem, ki je potekal med avgustom 2021 in oktobrom 2022. Zakaj so na razkritje 14-mesečnega vdora od odkritja čakali devet mesecev, ni znano. Vemo pa, kaj je vdoru botrovalo. Analize neodvisnih strokovnjakov in preiskovalnih novinarjev prst uperjajo v ranljivosti v Microsoft Exchange Serverju (CVE-2022-41080 in CVE-2022-41082), ki sta bili tisti čas javnosti neznani.

Za ranljivosti smo izvedeli šele konec septembra lani, pravi popravki pa so prispeli novembra. Ko sta se ranljivosti izrabljali, sta bili pravi zero-day luknji. Ranljivosti se imenujeta ProxyNotShell. Microsoft je dejal, da so bili oktobra lani seznanjeni le z enim akterjem, ki ju je aktivno zlorabljal - šlo je za hekersko skupino s tekočim znanjem kitajščine. Kasneje se je pojavilo še več žrtev, denimo Rackspace.

Volilni komisiji bi lahko bili ukradli podatke o 40 milijonih volivcev. Ali so jih dejansko odtujili, ni...

Slo-Tech - Strokovnjaki za varnost ta teden poročajo o dveh ranljivostih, ki sta prizadeli Intelove oziroma AMD-jeve procesorje. V podrobnostih se razlikujeta, širša slika pa je pri obeh enaka. Spet gre za špekulativno izvajanje ukazov, kar sta prvikrat problematizirala hrošča Spectre in Meltdown, zaradi česar lahko programi v procesorju vidijo več, kot imajo pravic. Intel in AMD sta že objavila popravke za hrošča.

Intelov hrošč se imenuje Downfall (CVE-2022-40982) in ga najdemo v procesorjih od 6. do 11. generacije, medtem ko so novejši procesorji 12. in 13. generacije (Alder Lake, Raptor Lake) zaščiteni. Prav tako ni nevarnosti za res stare procesorje, denimo cenejše Atome, Pentiume in Celerone (Apollo Lake, Jasper Lake, Gemini Lake, Haswell, Broadwell). Procesorji, ki pa so prizadeti, imajo kar resne posledice. Popravek sicer obstaja, a hitrost izvajanja ukazov Gather AVX2/AVX-512 zniža za kar 50 odstotkov. Mikrokodo s popravkom lahko naložimo s firmwarom ali neposredno v operacijskem sistemu. Daniel Moghimi iz Googla, ki je ranljivost odkril, pojasnjuje, da njena izraba ni težavna in da mu je uspelo v dveh tednih napisati delujoč prototip. Z njim je na primer možno ukrasti 256-bitni ključ AES ali brati podatke iz Linuxovega jedra,...

Slo-Tech - V sistemu Tetra, ki uporabljajo organi pregona in druge državne agencije v številnih državah - tudi Slovenija - so raziskovalci odkrili še eno ranljivost. Da je Tetra polna lukenj, je že staro dejstvo. Morda je novo dejstvo, da so luknje tam očitno namenoma, čeprav smo bili tudi to lahko slutili. Nova ranljivost se imenuje Tetraburst.

Tetra uporablja šifrirni sistem, ki je zaprtokoden, zato mu moramo preprosto verjeti. Seveda odprtokodnost ni jamstvo, da so sistemi dobri, a pri zaprtkodnih tega načeloma ne moremo niti dokazati. Lahko pa pokažemo obratno, kar je uspelo raziskovalcem iz podjetja Midnight Blue. O podrobnostih bodo govorili na konferenci Black Hat, kjer imajo 9. avgusta predavanje o novi ranljivosti. Popolno razkritje pa obljubljajo do 14. novembra.

Za zdaj vemo, da so v algoritmu TEA1 - Tetraji jih podpira več - odkrili namensko oslabitev šifriranja. Zaradi njih lahko napadalec s poceni opremo SDR pasivno prestreza komunikacijo prek Tetre in dešifrira vsebino. Ker...

Slo-Tech - Googlov raziskovalec Tavis Ormandy je v AMD-jevih procesorjih Zen 2, kamor sodijo družine Ryzen 3000, Ryzen 4000, Ryzen 5000, Ryzen 7020, Ryzen Pro 3000, Ryzen Pro 4000 in Epyc Rome, odkril ranljivost, ki omogoča tudi krajo šifrirnih ključev (CVE-2023-20593). Ranljivost je poimenoval Zenbleed, AMD-ju pa jo je prijavil 15. maja. Ta je za nekatere procesorje že pripravil popravke (mikrokoda), za druge pa bodo nared do konca leta.

Ranljivost izkorišča metodo, ki jo moderni procesorji uporabljajo za hitrejše delovanje. Špekulativno izvajanje ukazov pomeni, da se nekateri ukazi izvedejo, četudi procesor še ne ve, ali bo to dejansko potrebno. Če se izkažejo kot nepotrebni, se rezultat preprosto zavrže, sicer pa smo prihranili nekaj časa. A vsako izvajanje ukazov vpliva na vrednosti v registrih in na komunikacijo procesorja s sistemom, čemur je možno prisluškovati. V tem pogledu je napad Zenbleed podoben napadom Meltdown na Intelove procesorje.

Ranljivost je možno izkoristiti na...

TechCrunch - Tri leta po enem najodmevnejših napadov na družbena omrežja v zgodovini so v ZDA na petletno zaporno kazen obsodili še enega od zlikovcev, Britanca Josepha Jamesa O'Connorja.

Sredi julija 2020 je svetovna javnost lahko od blizu spremljala enega najvidnejših hekerskih napadov na družbena omrežja, ko so časovnice uporabnikov na Twitterju zasule objave mnogih najbolj znanih oseb pod soncem, ki so oglaševale kriptoprevare. Skupina napadalcev je s premišljenim napadom z ribarjenjem na Twitterjeve uslužbence pridobila dostop do administratorskih orodij platforme, nakar so prevzeli nadzor na pomembnimi uporabniškimi računi, med drugimi Baracka Obame in Billa Gatesa, ter jih zlorabili za zaslužek s kriptoprevarami. Zaradi odmevnosti so se ameriški organi pregona zelo hitro zganili in v zgolj nekaj tednih polovili večino tolovajev; med trojico takrat aretiranih oseb je bil tudi vodja skupine, Američan Graham Ivan Clark, ki je bil leto zatem po dogovoru s tožilstvom obsojen na tri leta...

Slo-Tech - Avstralski premier Anthony Albanese je postregel z nenavadnim priporočilom državljanom za več varnosti. Priporočil jim je, da vsak dan za pet minut ugasnejo pametne telefone. Napotek ni iz trte izvit, je pa obseg njegove koristnosti vprašljiv. Gre seveda le za enega izmed nasvetov v daljšem govoru o spopadanju s kibernetskimi grožnjami, ki jim bo Avstralija v prihodnosti posvečala še več pozornosti.

Dejal je: "Vsi imamo odgovornost. Male stvari, izklop telefona za pet minut vsako noč. To lahko storite vsakih 24 urah, denimo med umivanjem zob ali pri drugih opravilih." Nekaj podobnega je ameriška agencija NSA svetovala že pred tremi leti, ko so dejali, da bi ponovni zagon telefonov enkrat na teden lahko preprečeval vdore. V tem grmu tiči zajec.

Ponovni zagon telefona je zelo osnoven ukrep, ki vseh napadov ne more preprečiti, lahko pa jih v nekaterih primerih oteži. Priyadarsi Nanda z univerze v Sydneyju pojasnjuje, da to zmanjšuje tveganja, ker prisilno ugasne vse aplikacije in...

Wired News - O prepletenosti mednarodnih dobavnih verig, ki jih je domala nemogoče kirurško ločiti, pričajo kitajski mikrokrmilniki za šifriranje, ki jih najdemo v diskih, ki jih kupujejo tudi NASA, NATO in zahodne vojske. Wired je šel po sledeh Hualana, ki je že od leta 2021 na seznamu podjetij, ki jim ameriška podjetja ne smejo izvažati (Entity List).

Formalno je seznam sicer izvozna prepoved, torej seznam podjetij, ki jim ni dovoljeno prodajati ameriških izdelkov, ker aktivno podpirajo razvoj kitajske vojske. V praksi pa seznam velja tudi v obratni smeri, in sicer predstavlja podjetja, katerih izdelkom ne moremo zaupati. Hualan ima hčerinsko podjetje Initio, ki je na tem seznamu ni. Initio proizvaja mikrokrmilnike, ki jih uporabljali proizvajalci diskov in drugih pomnilniških naprav, ki podpirajo strojno šifriranje podatkov. Njihove čipe so na primer uporabljali tudi Lenovo, Western Digital, Verbatim, Zalman, iStorage, SecureDrive in Poway. Podjetje iStorage ima med svojimi strankami tudi...

Microsoft - Pri Microsoftu so lansirali popravek, ki onemogoča, da bi zlobna koda BlackLotus obšla sistem Secure Boot in se prikrito namestila na računalnik še pred zagonom Windowsov. Toda postopno nameščanje na vse računalnike naj bi trajalo slabo leto, po tem pa na teh napravah starejši mediji za nameščanje Oken ne bodo več uporabni, če ne bodo tudi posodobljeni.

BlackLotus je zbirka orodij, ki skozi zlorabo ranljivosti v strojni kodi UEFI omogoča nameščanje rootkitov, se pravi programja za prevzem nadzora nad računalnikom (UEFI bootkit). Varnostni strokovnjaki so ga prvič zaznali lansko jesen, od tedaj pa poteka napeta tekma z zlikovci v iskanju protistrupov. Razvijalci BlackLotusa so namreč zelo aktivni in ga stalno nadgrajujejo; v tem pogledu pa je predvsem pomembno, da je marca postal prvi javni UEFI malware, ki je zmožen zaobiti tudi Secure Boot, torej sistem, ki s pomočjo vezja Trusted Platform Module (TPM) načeloma preprečuje, da bi naprava ob zagonu pognala nepodpisano kodo. Sedaj...

Slo-Tech - Marca letos so člani hekerske skupine Money Message napadli proizvajalca strojne opreme MSI. Po lastnih navedbah so odtujili 1,5 TB podatkov, med katerimi so tudi izvorna koda in podpisni ključi. Od podjetja so zahtevali štiri milijone dolarjev odkupnine, a ker je niso prejeli, so začeli javno objavljati ukradene podatke. MSI javno ni komentiral dogajanja, a to ni omililo posledic.

Med pobeglimi datotekami je tudi izvorna koda firmwara, ki teče na MSI-jevih matičnih ploščah, ter podpisni ključi za 57 njihovih izdelkov ter podpisni ključi za Intel Boot Guard na 116 izdelkih MSI. Intel Boo Guard je varnostna funkcija, ki v modernih sistemih z Intelovimi procesorji preprečuje zaganjanje zlonamerne programske opreme (npr. UEFI bootkit), ki ni podpisana. Njena uporaba je na primer potrebna za Windows UEFI Secure Boot. S pobeglimi ključi, katerih izdajanje je v pristojnosti proizvajalca strojne opreme in ne Intela, se efektivnost tega sistema izniči. Napadalci lahko zlonamerno kodo...

Slo-Tech - Če ste se danes napotili na spletne strani AJPES-a (Agencije Republike Slovenije za javnopravne evidence in storitve), ste obtičali pred opozorilom, da vas skuša nekdo pretentati. Chrome vas opozori, da morda napadalci skušajo ukrasti vaše podatke, Firefox pa, da gre za nevarno stran, ki se ji raje izognimo. V resnici je AJPES-u včeraj zvečer potekel certifikat SSL, ki je bil izdan 25. aprila lani. In AJPES ga ni pravočasno podaljšal.

Tovrstni spodrsljaji so se v preteklosti že dogajali, tudi večjim. Microsoft je na primer leta 2020 pozabil podaljšati certifikat za Teams, ki je bil potem nekaj ur nedosegljiv. V daljni prazgodovini, leta 2008, je to uspelo tudi Googlu. Leta 2015 je za nekaj ur padel Instagram. Tej druščini uglednih strani, ki so pozabile podaljšati certifikat, se je sedaj pridružil še AJPES.

Slo-Tech - Raziskovalci s Tehniške univerze v Berlinu so pokazali, da je v AMD-jevi implementaciji fTPM (firmware Trusted Platform Module) ranljivost, ki omogoča uspešen napad v vsega nekaj urah. Če imamo lokalni dostop do računalnika, torej ga imamo fizično pod nadzorom, lahko v treh urah zlomimo fTPM in s tem dostopamo do podatkov, ki so šifrirani izključno z uporabo funkcij v fTPM - tak primer je na primer BitLocker, če ne vključimo dodatnega PIN-a.

Za napad je zadostovala oprema, ki stane približno 200 evrov. Ranljivosti so AMD-jevih procesorjih Zen 2 in Zen 3, in sicer v Platform Security Processor (PSP). Za zdaj ni jasno, ali je novi Zen 4 tudi ranljiv, saj tega v članku niso omenjali. Starejši procesorji uporabljajo drugačno implementacijo fTPM. Kako je napad možno izvesti, si lahko pogledamo z analizo delujoče kode, ki so jo raziskovalci objavili na Githubu.

AMD je v odzivu dejal, da so z ranljivostjo seznanjeni. Prvikrat je bila predstavljena že predlani na konferenci ACM CCS, ko...

Slo-Tech - Zadnji teden so se vse ameriške obveščevalne službe in preiskovalci ukvarjali z vprašanjem, kdo je na splet postavil tajne vojaške dokumente, v katerih so bili tudi številni podatki o vojni v Ukrajini, pa o Kitajski, Rusiji, Bližnjem vzhodu itd. Sedaj je FBI kot glavnega osumljenca izpostavil 21-letnega Jacka Teixeiro, ki je del obveščevalne službe v Massachusetts Air National Guard. Teixeira je že pridržan.

Na priljubljeni platformi Discord, ki se je začela uporabljati med igralci igri, a je danes bistveno več, ima Teixeira svoj strežnik Thug Shaker Central. Ta je imel 20-30 rednih uporabnikov, ki so jih zanimali orožje in videoigre. Večinoma je šlo za najstnike ali mlade odrasle. Na tem strežniku naj bi bili dokumenti dostopni že več mesecev (vsaj od oktobra), tam pa jih je objavil prav Teixeira. Šlo je za več sto strani poročil obveščevalne službe, ki jih je Teixeira fotografiral in objavil, ker je bilo to lažje od prepisovanja, kar je počel spočetka. A šele ko je pred dnevi...

Slo-Tech - Uporabnik Githuba z vzdevkom FreeSpeechEnthusiast se je strani pridružil 3. januarja letos in že isti dan nanj priobčil kodo, ki je na spletu neopazno ždela do minulega tedna. V petek pa je Twitter na Github postal zahtevek za umik vsebine po DMCA (Digital Millennium Copyright Act), češ da krši avtorske pravice. Hkrati je zahteval vse identifikacijske podatke o uporabniku, vključno z naslovom IP, zgodovino rabe in kakršnimikoli kontaktnimi podatki. Objavljena je bila namreč izvorna koda, ki poganja del Twitterja.

Vsak tako trdi Twitter, čemur ustrezajo tudi ostali indici. Ime FreeSpeechEnthusiast je neprikrito norčevanje iz Muskovih zaobljub, da je absolutist svobode govore. Kaže, da je uporabnik eden izmed več kot 5000 nekdanjih zaposlenih, ki jih je Musk odpustil kmalu po prevzemu podjetja. Večina izmed njih sicer ni imela dostopa do izvorne kode, kar lahko precej zoži lov na krivca. Ob tem omenimo, da je sicer Musk pred dvema tednoma govoril, da bo odprl kodo, ki izbira...

Slo-Tech - Marsikaj smo že videli z USB-ključki, ki še zdaleč niso le neškodljivi nosilci podatkov. Z njimi so v preteklosti okužili iranske jedrske centrifuge, z njimi so vdirali v računalniške sisteme in jih z električnim udarom tudi dobesedno uničevali. Novi koncept pa so eksplozivni ključki, s katerimi so v Ekvadorju napadli novinarje. Petim novinarjem so po pošti poslali USB-ključke, ki so skrivali eksploziv RDX. Ob vstavitvi v računalnik je bilo 5 V napetosti dovolj za sprožitev.

Med prejemniki je bil tudi Lenin Artieda s televizijske postaje Ecuavisa v Guayaquilu, ki je v kuverti prejel neznani USB-ključek. Ko ga je vstavil v svoj računalnik, je ključek razneslo, pri čemer je bil novinar laže poškodovan po obrazu in rokah. RDX je dobavljiv v 1 cm velikih kapsulah, a se je v konkretnem primeru sprožila le polovica eksploziva. Kasneje se je izkazalo, da so še štirje novinarji prejeli podobne eksplozivne USB-ključke, a vsi niso eksplodirali. Álvaro Rosero na radijski postaji EXA ga je...

Google Project Zero - V pametnih telefonih, ki uporabljajo Samsungove čipe Exynos, so Googlovi raziskovalci v okviru Project Zero odkrili hude varnostne ranljivosti. Napadalcem za izrabo zadostuje poznavanje telefonske številke uporabnika, ki mu ni treba obiskati nobene spletne strani ali odpreti kakšnega sporočila. Delni popravki so že na voljo, a še niso dosegli vseh naprav. V vmesnem času zato svetujejo izkop VoLTE in VoWiFi.

Ranljivi so čipi Exynos Modem 5123, Exynos Modem 5300, Exynos 980, Exynos 1080, Exynos Auto T512, ki najdemo v Samsungovih pametnih telefonih in urah, pa tudi marsikod drugod. Exynos Auto T512 imajo številna vozila s podporo za posodobitve OTA, Exynosi pa poganjajo tudi telefona Pixel 6 in 7. V vseh teh je vrsta povezanih ranljivosti, med katerimi so štiri resne. Ena je že dobila oznako CVE-2023-24033, druge tri pa še ne. Ker jih je možno izkoristiti sorazmerno enostavno, tehničnih podrobnosti niso razkrili.

Skupno so torej prizadete Samsungove naprave S22, M33, M13, M12, A71,...

Slo-Tech - Tudi Slovenija se je pridružila državam, v katerim so državnim uradnikom bodisi prepovedali bodisi zgolj odsvetovali uporabo TikToka. Urad vlade za informacijsko varnost (URSIV) je vsem organom v državni upravi poslal dopis, v katerem so uporabo aplikacije na službenih napravah odsvetovali. To je prvi korak in še ne predstavlja prepovedi, temveč zgolj varnostno priporočilo. Podoben ukrep so že sprejele Evropska komisija, pa tudi ZDA in Kanada.

Za to potezo so se odločili na podlagi analiz več organizacij, ki se ukvarjajo z računalniško varnostjo. Opozarjajo, da aplikacija za uporabo zahteva veliko pravic za dostop do virov na mobilni napravi. Lastnik programa je podjetje ByteDance, v katerem so zaposleni v preteklosti že dostopali tudi do uporabniških podatkov. Hkrati lahko prek TikToka poteka manipulacija in krojenje javnega mnenja, prav tako pa lahko uporabnikom reklamirajo škodljiva spletna mesta in programe ter jih preusmerjajo nanje.

V ZDA so TikToku skorajda prepovedali...

Slo-Tech - Sklicujoč se na neuradne vire, nemški Die Zeit poroča, da namerava zvezna vlada prepovedati uporabo določene Huaweijeve in ZTE-jeve telekomunikacijske opreme pri gradnji mobilnih omrežij pete generacije (5G). Po neuradnih informacijah bo zvezna vlada operaterjev prepovedala vgrajevati in uporabljati krmilne elemente iz Huaweija in ZTE-ja v omrežjih 5G. Prepoved bo vključevala tudi opremo, ki je že postavljena, zato bo treba v njej nekatere komponente zamenjati. Deutsche Telekom ima v svojem omrežju že Huaweijeve komponente. Po drugi strani sta ZDA in Velika Britanija že pred časom popolnoma prepovedali Huaweijevo opremo v kritični infrastrukturi za 5G.

Že več mesecev BSI (Bundesamt für Sicherheit in der Informationstechnik) in notranje ministrstvo preiskujeta, ali je v opremi za 5G moč najti tudi dele, ki bi lahko ogrozili nemško varnost. Pojavlja se bojazen, da so kitajski dobavitelji povezani s tamkajšnjimi oblastmi, ki bi lahko vplivale nanje. Uradnih izsledkov preiskave še ni....

Slo-Tech - LastPass je objavil dodatne informacije o vdoru v svoje sisteme, ki so ga prvikrat potrdili decembra lani in se je z vsakim dodatnim razkritjem izkazal za še bolj problematičnega. Vektor za napad je bila ranljivost v programski opremi, ki jo je na domači računalnik namestil eden izmed razvijalcev (DevOps), s čimer so napadalci prišli do prijavnih podatkov za njegov službeni račun.

Prizadeti razvijalec je imel na svojem računalniku v profilu LastPass prijavne podatke za šifrirane podatke na strežnikih Amazon S3, ki so zaščiteni z AWS S3-SSE, AWS S3-KMS ali AWS S3-SSE-C. Za dostop je bilo treba spričo delujoče MFA pridobiti dostopne ključe AES in LastPassove šifrirane ključe. Žal pa je razvijalec na svoj računalnik namestil programsko opremo Plex z varnostno ranljivostjo, prek katere so napadalci na njegov računalnik podtaknili program za beleženje vnosov (keylogger). S tem so napadalci dobili njegovo geslo za dostop in tudi kodo za odprtje njegovega LastPassovega profila, v katerem...

Politico - Evropska komisija in Svet Evrope sta prejšnji teden vsem svojim uslužbencem naložila, da morajo s službenih telefonov v roku dveh tednov odstraniti aplikacijo družbenega omrežja TikTok. Odločitev sledi podobnim ukrepom v ZDA.

Prejšnji četrtek zjutraj so uslužbenci urada Evropske komisije prejeli elektronsko pošto z navodili, naj najkasneje do 15. marca s svojih službenih telefonov odstranijo TikTok. Prav tako ga morajo odstraniti z osebnih naprav, na katerih imajo nameščene službene aplikacije, ali pa odstraniti te aplikacije, če želijo TikTok obdržati. Po roku bodo namreč vse naprave s TikTokom označene kot neprimerne za službeno rabo, oziroma v nasprotju s pravilnikom urada Komisije. Gre sicer za širše osebje Komisije, ki šteje okoli 32.000 ljudi. Pozneje isti dan je enak ukaz svoji, približno 3100-glavi ekipi, dal tudi Svet Evrope. Tiskovni predstavniki EK so povedali, da želijo z ukrepom zaščititi svoje uslužbence, preprečiti pobege podatkov in zmanjšati možnost kibernetskih...

Slo-Tech - GoDaddy, ki je z 21 milijoni strank in letnim prometom štiri milijarde dolarjev eden največjih registrarjev domen in ponudnikov gostovanja, je včeraj razkril, da so imeli hekerji več let dostop do njegovih sistemov. V tem času so odtujili izvorno kodo, podatke o uporabnikih, prijavne podatke zaposlenih in na spletne strani strank podtikali zlonamerno programsko opremo (malware). V poročilu SEC so pojasnili, da prvi vdori segajo v leto 2020 in da so trajali vse do danes. Preiskava še poteka, so dodali.

Zadnji vdor se je zgodil decembra 2022, ko so hekerji vdrli v cPanel. V GoDaddyju so zapisali, da za vdori stoji organizirana skupina, ki je izvajala phishing, širjenje malwara in podobno. Celotno poročilo se bere kot seznam nepooblaščenih dostopov, med katerimi so dostop do računov zaposlenih marca 2020, dostop do izvorne kode novembra 2021, dostop do prijavnih podatkov strank, dostop do FTP-strežnikov, kraja 1,2 milijona elektronskih naslovov strank itd. Malomarnost pri GoDaddy pa...

theguardian.com - Mednarodni konzorcij raziskovalnih novinarjev je razkril najemniško izraelsko tajno združbo, poznano kot Team Jorge, ki je uporabljala številne prijeme iz kiberkriminala, med drugim vdore v uporabniške račune in omrežja botov, da se je lotevala akterjev na različnih koncih sveta, zvečine v povezavi z volitvami.

Izrael se zadnja leta otepa obtožb, da premalo napravi za nadzor lokalnih zasebnikov, ki ponujajo razne vohunske storitve in pri tem hodijo pošteno prek roba zakona; seveda v prvi vrsti spričo firme NSO Group in njihovega razvpitega programja Pegasus. Najnovejše odkritje tamkajšnje varnostne sile postavlja v novo nerodno situacijo, kajti obširna ekipa preiskovalnih novinarjev je razkrila novo združbo, ki je za denar izvajala dejavnosti vohunjenja, dezinformiranja in tudi izsiljevanja. Na njenem čelu je Izraelec Tal Hanan, z vzdevkom Jorge, ki so ga novinarji pod pretvezo poslovnega sodelovanja pripravili, da je na več ur trajajočih video posnetkih razkril marsikatero...

Slo-Tech - Vodja odbora za zunanje zadeve v britanskem parlamentu Alicia Kearns je prebivalcem Velike Britanije odsvetovala uporabo aplikacije TikTok zaradi pomislekov o varnosti aplikacije. Kitajski TikTok je pod lupo regulatorjev po vsem svetu, marsikod pa so njegovo uporabo vsaj javnim uslužbencem že prepovedali. Na Nizozemskem na primer javni sektor ne sme več uporabljati TikToka, ker ni primerno poskrbljeno za varovanje podatkov in zasebnosti. Še bistveno širšo omejitev ima javni sektor v ZDA, kjer niso prepovedali le komunikacije, temveč kar namestitev aplikacije.

Razlogi so povsod enaki. Aplikacija je kljub izjemni priljubljenosti - ali pa prav zato - nepreverjena. Kitajski lastnik ByteDance ima po mnenju zahodnih držav pretesne odnose s kitajsko državo, s katero naj bi delil podatke. V ZDA so pod prejšnjo administracijo skušali TikTok kar prepovedati, a so se potem odločili za zapleteni kompromis. Kitajski TikTok marsikod štejejo kot orodje za vohunjenje, kar je v zadnjem času spet...

Slo-Tech - Volkswagen je sporočil, da morajo vpoklicati na več kot 20.000 električnih vozil ID.4 (MY2021 ID.4) zaradi programskih napak. Odkrili so težavo v modulu za upravljanje baterij (battery management) in na modulu za nadzor pulznega inverterja. Ugotovili so, da je programska oprema za baterijski modul preveč občutljiva in se lahko v nekaterih primerih samodejno resetira, medtem ko se inverter lahko nepričakovano izključi. Gre za vozila, ki so bila proizvedena med majem 2020 in januarjem 2022, medtem ko imajo novejša hrošča že odpravljena.

Že julija 2021 je Volkswagen iz Evrope dobil prva poročila o težavah s programsko opremo na baterijah in že septembra so ugotovili, da ne predstavljajo nevarnosti za kupce. Januarja 2022 so izvedeli še, da ima težave tudi inverter. Kasneje so ugotovili, da se napaka pojavlja tudi med uporabo v realnih razmerah. Pri resetu baterijskega sistema vozilo sicer ne izgubi možnosti krmiljenja ali zaviranja, prehodno pa izgubi moč. Podobno tudi izklop...

Slo-Tech - Applove naprave imajo varnostne mehanizme, ki odvračajo tatove in preprečujejo nepooblaščen dostop do podatkov, a močno ovirajo trg z rabljeno strojno opremo. Že dve leti stari macbooki s čipom M1 se prodajajo le še za staro železo, ker jih zaradi zaklepa ni nikakor možno zagnati, če nekdanji lastniki ne sodelujejo, piše Vice.

Zamisel ni povsem nova, predvsem pa se sliši uporabno. Začelo se je s čipom T2 leta 2018, ki je preprečeval prijavo v napravo vsakomur, ki ni bil zakoniti lastnik. Minili so namreč časi, ko je bilo možno napravo ponastaviti in formatirati, pa jo je lahko uporabljal kdorkoli. Že nekaj let se ne splača krasti iphonov in ipadov, ker jih lahko lastniki onesposobijo na daljavo in takšna naprava bo uporabna le še kot podstavek. Novi čipi M1 in M2, ki jih najdemo v macbookih, so za zdaj še nezlomljivi. Medtem ko za T2 obstaja neuradni trg načinov za odklep, z M1 to ne gre. Četudi bi to uspeli, je taka naprava shekana, ki bi se ob vsaki ponastavitvi ponovno...

Slo-Tech - Na seznamu ljudi, ki jim je prepovedano vkrcavanje na letala (no fly list), je vsaj 1,5 milijona oseb, med njimi tudi otroci. Na nezavarovanem strežniku ameriškega regionalnega prevoznika CommuteAir je bila namreč dostopna kopija tega seznama, kar je odkrila švicarska hekerka maia arson crimew. V letalski družbi so pristnost seznama potrdili, a dodali, da gre za staro kopijo.

Seznam ljudi, ki ne smejo leteti, so v ZDA ustanovili že pred napadi 11. septembra, je vseboval vsega 16 ljudi, ki so predstavljali točno določena tveganja. Po napadih 11. septembra so seznam bistveno razširili in formalizirali. Na originalnem seznamu ostajajo ljudje, ki ne morejo leteti, vzpostavili pa so še pomožni seznam ljudi, ki jih morajo na letališčih bistveno podrobneje pregledati. Sprva sta FBI in Agencija za varnost prometa (TSA) zanikala, da taka seznama obstajata, po letu 2004 pa je to postalo javno znano. A nihče ni zares vedel, koliko ljudi je na seznamu. Leta 2006 je na primer TSA po izgubljeni...

Slo-Tech - Na hekerskem forumu Breached je za prgišče dolarjev na voljo 60 GB velika datoteka s približno 220 milijoni elektronskih naslovov in pridruženih uporabniških računov s Twitterja. Vse kaže, da gre zgolj za pregledano različico starejše baze takšnih podatkov, ki so s platforme pobegnili že predlani.

Twitter je imel odmevnejše šibkosti v svoji kibernetski obrambi že mnogo pred aktualnimi kolobocijami okoli Elona Muska. Ena od vidnejših ranljivosti je tista iz leta 2021, ko je bilo mogoče skozi Twitterjev API s preprostim preizkušanjem dognati, ali sta določen elektronski naslov in telefonska številka povezana s katerim od uporabniških računov. Inženirji so ranljivost zakrpali lanskega januarja, toda nepridipravi so z navskrižnim primerjanjem tako pridobljenih podatkov in pa javno dostopnih, ki jih je bilo mogoče postrgati z družbenega omrežja, do takrat že sestavili več baz podatkov. Te so nato za različne vsote prodajali na temnem spletu, dokler se niso po pravilu sčasoma na forumih...

Slo-Tech - Varnostna skupnost je do zadnjih navedb in izjav za javnost, ki jih je LastPass z večmesečno zamudo posredoval po avgustovskem vdoru v njihovo storitev, izjemno kritična. Medtem ko podjetje trdi, da se uporabniki nimajo česa bati, če so le uporabljali primerne varnostne nastavitve, je resnica manj prijetna.

Wladimir Palant pojasnjuje, da so LastPassove navedbe zavajajoče in da dajejo uporabnikov neupravičeni občutek varnosti. Vdor je bil izjemno resen in je segal v avgust, ko ni bil primerno razrešen, zato je napadalcem omogočil dostop do dodatnih podatkov. Prav tako to ni bil prvi vdor v zadnjih letih. Čeprav LastPass trdi, da so uporabniški podatki varni, ker so šifrirani - pa še to drži le za gesla - to velja le do trenutka, ko napadalci uganejo glavno geslo (master password). LastPass je sicer v zadnjih letih zahteval, da ima geslo vsaj 12 znakov, a kdor starejša gesla odtlej ni spremenil, je lahko obdržal staro geslo, četudi ni ustrezalo tem pogojem. Tudi število iteracij...

Slo-Tech - Ameriški organi pregona so aretirali dvojico, ki je s pomočjo ruskih hekerjev vdrla v elektronski sistem za organizacijo taksi prevozov na newyorškem letališču JFK in v zameno za podkupnine taksistom omogočala prednostne vožnje.

Med klasično bero izsiljevalskih in DDoS napadov, pa kraj kriptovalut in podatkov, še vedno najdemo tudi bolj samosvoje, starošolske zlorabe vdorov v IT sisteme. Eno takšnih so pred dnevi opisali ameriški preiskovalci, ki so ujeli dvojico možakarjev iz newyorškega Queensa, ki je zlorabila dispečerski sistem taksi službe na bližnjem letališču JFK. Ker gre za enega največjih letališč na svetu, z nepregledno množico potnikov, taksi prevoze tamkaj ureja elektronski sistem, ki taksiste s čakalnega seznama avtomatsko dodeljuje strankam, s čimer skuša zagotoviti pošteno razporeditev voženj. Daniel Abayev in Peter Leyman sta se ga nakanila zlorabiti na način, da sta v zameno za plačilo 10 dolarjev po vožnji taksistom omogočila skok na začetek čakalne vrste. V dveh...

Slo-Tech - Po podatkih južnokorejske obveščevalne agencije (NIS) so hekerji iz Severne Koreje od let 2017 ukradli za 1,5 bilijona vonov (1,1 milijarde evrov) kriptovalut in podobnih digitalnih dobrin, poroča Associated Press. Več kot polovico so nabrali v zadnjem letu, ko so bili še posebej grabežljivi.

S temi sredstvi severnokorejski hekerji, ki delujejo po naročilu oblasti, zagotavljajo potrebne devize za financiranje jedrskega programa, trdi NIS. Zaradi visoke specializacije so severnokorejski hekerji v tem početju najboljši na svetu, sankcije proti državi iz leta 2017 in pandemija covida pa sta še okrepila njihov pomen. Kriptovalute in druge digitalne dobrine kradejo po vsem svetu, le približno osmino od južne sosede. Pri tem ne gre toliko za informacije, čeprav se pričakuje povečanje kraje tehnologije in zaupnih informacij v prihodnjem letu, kot večinoma za pridobivanje denarnih sredstev.

Severnokorejski hekerji predstavljajo čedalje večji problem. ZDA, Južna Koreja in Japonska so se v...

Financial Times - Prvikrat po letu 2014 se je zgodilo, da je skupni tržni delež Googla in Facebook pri prodaji digitalnega oglasnega prostora v ZDA padel pod polovico. Letos se bo zadnjih izračunih znižal za 2,5 odstotne točke na 48,4 odstotka, s čimer se vsaj simbolično končuje njuna absolutna prevlada. Duopol, ki je na vrhuncu leta 2017 obvladoval 55 odstotkov oglasnega prostora, uspešno razbijajo Amazon, Apple, Microsoft in TikTok. Pričakujejo, da se bo trend nadaljeval, saj naj bi v prihodnjem letu vodilna izgubila še eno odstotno točko.

Tudi na globalni ravni so treni podobni, saj je letos delež Facebooka in Googla padel na 49,5 odstotka. Medtem ko njun skupni delež pada zadnjih pet let, Google že celo desetletje stopiclja na mestu in v zadnjih letih izgublja. Za prvi večji pretres je poskrbel Amazon leta 2016, ko se je podal na ta trg. Manj kot milijarda prihodkov iz oglaševanja pred letom 2015 se je napihnila na trenutnih 38 milijard dolarjev. Amazon Ads je pomemben igralec. Prav tedaj so se...

Slo-Tech - Ko so hekerji avgusta letos vdrli v LastPass, je podjetje v uradnem sporočilu zatrjevalo, da so odnesli le nekaj izvorne kode in tehničnih informacij. Podatki uporabnikov, tako osebni podatki kakor njihova gesla, naj bi bili varni. A izkazalo se je, da to ne drži. LastPass, ki sodi med najpopularnejše upravljavce gesel, priznava, da so hekerji odnesli tudi osebne podatke z metapodatki, kamor sodijo imena, naslovi, elektronski naslovi, telefonske številke in IP-naslovi zadnjih prijav. Najbolj zaskrbljujoče pa je, da so skopirali tudi podatkovni trezor z gesli, v katerem so bili nešifrirani podatki (na primer domene spletnih strani) in šifrirani podatki (uporabniška imena, gesla, varni zapiski, predizpolnjena polja).

Ti podatki so bili zaščiteni, zagotavljajo pri LastPassu. Šifrirani so bili z 256-bitnim ključem z algoritmom AES, dešifrirati pa jih je možno le ob poznavanju glavnega gesla vsakega uporabnika. Tega podatka LastPass ne pozna in ne more shranjevati, zato naj bi bili...

Slo-Tech - Lastniki Corsairjevih tipkovnic K100, ki sodijo v višji cenovni razred, poročajo o bizarnem hrošču, ki je marsikoga nemalo prestrašil. Tipkovnice občasno začno same vnašati besedilo, ki je enako kot pred dnevi ali tedni vneseno besedilo. Hrošča, ki zbuja nelagodne očitke o beleženju vnosov (keylogging), je Corsair potrdil.

Razumeli bi, da se lahko kakšen kos elektronike zmede in začne pošiljati nenavadne signale, denimo tipkovnica naključne vnose. Običajno takšen zaplet reši izklop in ponoven vklop. Precej manj pa je razumljivo, ko začne tipkovnica vnašati besedila, ki jih je uporabnik vtipkal pred dnevi ali tedni. Kako neki si jih je zapomnila, je v resnici glavno vprašanje. So uporabniki staknili kakšno prisluškovalno programsko opremo ali pa ima kar Corsairjeva oprema takšne funkcionalnosti? To se je namreč dogajalo na različnih operacijskih sistemih in celo v varnem načinu, ko operacijski sistem teče z minimalnimi gonilniki (in gotovo brez posebnih gonilnikov ali programske...

Slo-Tech - V ZDA se čedalje glasneje govori o prepovedi družbenega omrežja TikTok, ker so oblasti sumničave do kitajskih avtorjev in upravljavcev. Za zdaj ga bodo najverjetneje prepovedali na vseh mobilnih telefonih v lasti zveznih oblasti, saj je tak zakon v zgornjem domu že dobil zadostno podporo.

Zamisel ni nova, saj je TikTok želel prepovedati že prejšnji predsednik. Kasneje je ameriški del TikToka prešel pod ameriško podjetje, Oracle pa je podjetje skoraj kupil, a je posel blokiralo sodišče. Zato ni presenetljivo, da se nadaljujejo poizkusi obrzdati TikTok. Obe največji ameriški stranki namreč podpirata zakon, ki bi prepovedal uporabo TikToka na službenih telefonih, ki jih imajo v uporabi uslužbenci zvezne vlade. Senat je zakon že potrdil, prihodnji teden pa ga mora potrditi še predstavniški dom. To se mora zgoditi, preden se konča trenutno obdobje, sicer bo romal v koš. Podoben zakon so predlagali že leta 2020, lani pa so ga oživili.

Že sedaj je TikTok prepovedan v posameznih delih...

LastPass - Priljubljeni urejevalnik gesel LastPass je ob avgustovskem vdoru trdil, da so hekerji odnesli le nekaj izvorne kode in tehničnih podatkov o delovanju storitve, uporabniški podatki pa naj bi bili ostali nedotaknjeni. Izkazalo se je, da to ne drži popolnoma, saj so s tedaj ukradenimi podatki sedaj pridobili tudi nekaj podatkov o uporabnikih. Zabeležili so nekaj nenavadnih aktivnosti v zunanji storitvi za shranjevanje podatkov v oblaku, s katero sodelujejo. Za preiskavo so najeli podjetje Mandiant.

Še vedno zagotavljajo, da gesla niso bila prizadeta in da so varno šifrirana. Zapisali pa so, da incident preiskujejo in da bodo v nadaljevanju ugotovili, kateri uporabniški podatki so bili izpostavljeni. To je torej že drugi vdor v LastPass v letu dni. Prvi se je zgodil avgusta, hekerji pa so imeli tedaj dostop do strežnikov štiri dni, preden so posledice odpravili. Že v minulih letih je bilo podjetje tarča več vdorov. To so vsekakor neprijetne novice za podjetje, ki ima več kot 33...

Reuters - Ameriška administracija nadaljuje boj proti Huaweiju in ostalim kitajskim proizvajalcem telekomunikacijske opreme, ki se je začel že v času prejšnje administracije. V petek je Zvezna komisija za telekomunikacija (FCC) prepovedala odobritve nove telekomunikacijske opreme proizvajalcev Huawei in ZTE ter uvoz opreme podjetij Dahua, Hangzhou Hikvision in Hytera, ki proizvajajo programsko opremo za videonadzor ali telekomunikacije. Omenjena oprema predstavlja nesprejemljivo tveganje za nacionalno varnost, je sporočil FCC.

Predsednica FCC Jessica Rosenworcel je dejala, da novi ukrepi, ki dejansko onemogočajo prodajo izdelkov teh proizvajalcev v ZDA, ščitijo Američane pred grožnjami za varnost. Odbor FCC, v katerem sta po dva republikanska in dva demokratska predstavnika, je odločitev sprejela enoglasno. S tem se nadaljuje stopnjevanje sankcij, ki traja že od leta 2019, ko so pet kitajskih proizvajalcev telekomunikacijske opreme uvrstili na seznam groženj za nacionalno varnost.

Podjetja...

Slo-Tech - Pushwoosh je podjetje, ki razvija kodo za uporabo v aplikacijah za pametne telefone. Deluje podobno, kot drobci Facebookove, Googlove ali Amazonove kode, in sicer zbira osebne podatke. Kodo najdemo v več kot 8000 aplikacijah na Googlovi in Applovi platformi, vključno z aplikacijami Centra za nadzor nalezljivih bolezni (CDC), ameriške vojske, UEFE in britanskih laburistov.

Uporabljanje kosov kode zunanjih proizvajalcev pri razvoju aplikacij ni nič nenavadnega, saj se tako pospeši in poceni razvoj. Med tovrstne ponudnike sodi tudi Pushwoosh, ki pa je registriran v Rusiji. Čeprav imajo strežnike v ZDA in Nemčiji, kjer shranjujejo zbrane podatke, so vendarle rusko podjetje s sedežem v Novosibirsku. Tega niso nikoli zares skrivali, a ker tega tudi niso obešali na veliki zvon, je večina uporabnikov kode to spregledala. Ruskih vezi niso ravno tajili, a jih tudi navajali niso.

Pushwoosh ni veliko podjetje, saj ima 40 zaposlenih in letni promet okoli 2,5 milijona evrov. A ker ima sedež v...

Apple - Pri Applu so posodobili uradno razlago nadgrajevanja svojih operacijskih sistemov, v kateri so prvič pojasnili, da vse poznane varnostne popravke prejmejo zgolj zadnje inačice programja, starejše pa ne nujno.

Varnostni strokovnjaki že nekaj časa opozarjajo, da starejše različice Applovih operacijskih sistemov macOS in iOS v nekaterih primerih utrpijo napade skozi varnostne luknje, ki so bile na aktualnih verzijah sistemov že zdavnaj pokrpane. Iz tega je bilo mogoče sklepati, da popravki na starejše programje prispejo z zamikom ali pa sploh ne. Pred dnevi so v Cupertinu izdali nov dokument z razlago svoje terminologije nadgrajevanja, v katerem lahko denimo preberemo, da "upgrade" pomeni preskok na novo veliko različico, na primer z macOS 12 na 13, "update" pa pomeni vzdrževalni popravek. Pedantnežem in varnostnim strokovnjakom pa je obrvi privzdignila omemba, da "zgolj za zadnje različice operacijskih sistemov zagotavljajo vse varnostne popravke" - s čimer gre za prvo uradno...

Slo-Tech - Včeraj zjutraj je ena največjih svetovnih kriptomenjalnic Binance sporočila, da je bila tarča hekerskega vdora, v katerem so nepridipravi odtujili večjo količino kriptovalut. Sprva se je govorilo o 100-110 milijonih dolarjev, do danes pa je bila ocena popravljena na 570 milijonov dolarjev.

Ukradli so žetone BNB. Napadalci so merili na most BSC Token Hub, ki je omogočal prenos BNB z ene verige blokov na drugo (BNB Beacon Chain (BEP2) in BNB Smart Chain (BEP20 ali BSC)), in tam preusmerili BNB z omrežja. Šlo je za dva milijona žetonov. Binance je zato potrjevalce transakcij (network validators) pozval k moratoriju na ustvarjanje novih blokov na BSC, medtem ko poteka intenzivna preiskava incidenta. Kasneje je izvršni direktor Changpeng Zhao komitente pomiril, da so njihova sredstva varna in da Binance nadaljuje normalno poslovanje.

Z vzpostavitvijo stika s 44 potrjevalci transkacij, ki so razpršeni po vsem svetu, so uspeli omejiti škodo. Večina sredstev je zamrznjenih v denarnici...

Group-IB - Za phishing napadi, ki so v zadnjih mesecih prizadeli vrsto predvsem ameriških podjetij, verjetno stoji en akter, ki je tako od marca letos napadel blizu 170 tarč.

V začetku avgusta so pri razvijalcu komunikacijskega programja Twilio razkrili, da so bili tarča premišljenega napada z ribarjenjem. V dnevih zatem se je javilo še več žrtev, med njimi Cloudflare, LastPass, DoorDash in ponudnik 2FA storitev Okta, medtem ko so pri Signalu opozorili, da so napadalci nakradene informacije hitro uporabili za poskus zlorabe okoli 1900 številk njihovih uporabnikov. Kmalu se je pokazalo, da je napad zasnovan na izkoriščanju slabosti v spletnih in telefonskih storitvah dvostopenjske avtentikacije (2FA), kakršne ponujata Okta in pa Twiliov oddelek Authy. Posledično so pri varnostni firmi Group-IB, kjer so sedaj napravili podroben povzetek metod zlikovcev, napadalno kampanjo poimenovali 0ktapus.

Postopek je šel približno takole: napadalci so najprej pridobili službene ali domače telefonske...

Slo-Tech - Upravljavci najpopularnejše aplikacije za urejanje gesel (password manager) so sporočili, da so bili tarča uspešnega hekerskega napada. Sicer napadalci niso odnesli gesel uporabnikov, so pa uspeli odtujiti del izvorne kode in nekaj tehničnih informacij o delovanju storitve.

Napad se je zgodil prek nepooblaščenega dostopa do uporabniškega računa enega izmed inženirjev. Omejen je bil na razvojno okolje, zato osebni podatki uporabnikov, vključno z glavnim geslom in shranjenimi gesli, niso bili prizadeti. Zaradi tega uporabnikom ni treba menjati gesel ali kako drugače ukrepati, so dodali.

LastPass ima trenutno 33 milijonov uporabnikov, od tega 100.000 poslovnih. Napad se je zgodil že pred dvema tednoma, informacije o njem pa so v javnost pricurljale minuli konec tedna. Zakaj so napad priznali šele sedaj, niso pojasnili. Prav tako še ni jasno, kako natančno so napadalci pridobili dostop.

To ni prvi vdor v LastPass. Zadnji napad se je zgodil lani.

Washington Post - Znan nekdanji heker Peiter Zatko je družbo Twitter, kjer je bil dobro leto dni šef digitalne varnosti, obtožil vsesplošne malomarnosti pri vzdrževanju varnostnih standardov.

Silicijeva dolina letos ne pozna kislih kumaric, kajti izbruhnila je nova afera. The Washington Post in CNN sta se dokopala do prijave, ki jo je pred mesecem dni na ameriško Zvezno agencijo za trg vrednostnih papirjev (SEC) podal nekdanji vodja Twitterjevega oddelka za varnost, sicer pa legendarni varnostni strokovnjak Peiter 'Mudge' Zatko. V več kot 200 strani dolgem dokumentu, ki sta ga medija včeraj poobjavila v prirejeni, 84-stranski različici (povzetek), Zatko družbo Twitter obtožuje obupne varnostne kulture, oziroma vsesplošnega nespoštovanja varnostnih standardov. Med konkretnejšimi očitki so; da ima kar polovica od 7000 polno zaposlenih oseb dostop do zasebnih podatkov uporabnikov družbenega omrežja; da podjetje odkrito krši dogovor o varnostni kulturi, ki ga je leta 2010 sklenilo z Zvezno agencijo za...

Slo-Tech - Novi Hyundaijevi avtomobili imajo razvedrilno-informacijski sistem (infotainment vehicle system, IVI), ki se lahko tudi posodablja. Čeprav je zaščiten s šifrirnimi ključi, ki naj bi načeloma preprečevali nepooblaščene posege in posodobitve, je Hyundai uporabil kar javno dostopne zasebne ključe, ki so v internetni literaturi o šifriranju navedeni med primeri.

Eden izmed lastnikov modela Hyundai Ioniq SEL (2021) je želel zamenjati IVI. Ugotovil je, kako se povezati z računalnikom. Sistem je nastavljen tako, da sprejema nadgradnje v obliki z geslom zaščitene datoteke ZIP. Opis in geslo je našel na spletni strani Mobis, kar mu je omogočilo izdelavo primerno zaščitene datotek ZIP, ki jo sistem prepozna in samodejno namesti. Toda odtis operacijskega sistema (firmware image) mora biti šifriran s simetričnim ključem AES CBC (Cipher-Block-Chaining). Ta sicer že dlje časa velja za nezadosten način zaščite, a to ni glavni problem. Še vedno namreč potrebujemo ključ, s katerim zašifriramo...

Slo-Tech - Pred letošnjim vrhom World Summit of Free Iran, ki bi moral potekati 23. in 24. julija v Albaniji, je bila država tarča hekerskega napada. V nedeljo in ponedeljek, 17. in 18. julija, so bile več ur nedostopne spletne strani državnih inštitucij in kopica javnih storitev. Analiza podjetja Mandiant kaže, da je bil napad politično motiviran in da je uporabljal izsiljevalsko programsko opremo Roadsweep, stranska vrata Chimneysweep in program za brisanje podatkov Zeroclear. Napad je najverjetneje zagrešil Iran, so še ugotovili.

To sklepajo iz preteklih incidentov, kjer so bili uporabljeni isti programi in ki so prav tako izvirali iz Irana. Hekerski napadi so že stalnica, med naročniki ali izvajalci pa Iran ni nobena izjema. Večina napadov je omejena na pridobivanje informacij in so vohunske narave, medtem ko je bil julijski napad drugačen. Njegov namen je bil povzročiti škodo. Napad na Albanijo predstavlja napad na članico zveze NATO, kar je v tej obliki redko. Ali je napad res naročil...

Reuters - Evropski komisar za pravosodje Didier Reynders je v pismu evropski poslanki Sophie in 't Veld potrdil, da ga je Apple leta 2021 obvestil o vdoru v njegov iPhone. Prizadeta naj bi bila tako zasebni kakor službeni aparat, pa tudi naprave nekaterih drugih uslužbencev Komisije. Vdrli naj bi mu bili z izraelsko programsko opremo Pegasus, ki jo proizvaja podjetje NSO Group in jo trži številnim vladnim agencijam in drugim organom po vsem svetu.

Kdo je stal za napadom, Reynders ne ve. Dejal je, da preiskava še poteka, a trenutno ni mogoče z gotovostjo pokazati na določenega krivca. Iz NSO so sporočili, da bodo sodelovali v preiskavi. Ob tem dodajajo, da ni dokazov, da se je vdor res zgodil. Apple navedb še vedno ne komentira, čeprav naj bi prav Apple posvaril prizadete uporabnike. Prav tako Apple toži NSO Group zaradi razvoja Pegasusa.

Prva poročila o vdorih v telefonske aparate komisarjev in drugih visokih uslužbencev segajo v letošnji april, ko je Reuters o tem prvikrat poročal. Tedaj...

bleepingcomputer.com - Ameriški varnostni strokovnjaki so identificirali trojanca, imenovanega ZuoRAT, ki napada domače usmerjevalnike in poleg prisluškovanja prometu omogoča tudi okužbo povezanih naprav. Po vsem sodeč gre za delo napredne hekerske združbe.

Z nastopom pandemije se je močno povečala pojavnost dela od doma in kibernetski malopridneži so svoje delovanje hitro prilagodili - čeprav nekatere podvige odkrivamo šele sedaj. Black Lotus Labs, varnostni oddelek ameriškega telekomunikacijskega podjetja Lumen Technologies, je objavil odkritje sofisticiranega orodja za okužbo domačih (SOHO) routerjev, ki so ga poimenovali ZuoRAT (RAT za remote-access trojan). Ta okuži usmerjevalnike preko izkoriščanja nezakrpanih ranljivosti, nakar napadalcu ponuja široko bero možnih ukrepov. Za začetek prikrito spremljanje prometa, kar v primeru dela od doma pomeni potencialno dostopanje do poslovnih skrivnosti. Obenem prepozna na router priključene naprave, ki jih lahko napade z ugrabljanjem HTTP ali DNS naslovov....

Slo-Tech - V Vancouvru se je končalo znamenito hekersko tekmovanje Pwn2Own, ki tam poteka že od leta 2007. Na letošnjem tekmovanju so se od 18. do 20. maja merili računalniški strokovnjaki in hekerji, ki so iskali ranljivosti v popularni programski opremi. Tudi letos je večina programske opreme padla, za kar so bili tekmovalci nagrajeni. Skupno je 17 ekip ali posameznikov skušali izkoristiti ranljivosti v 21 kosih najpopularnejše programske opreme.

Prvi dan so bili na sporedu Microsoft Teams, Oracle VirtualBox, Mozilla Firefox, Microsoft Windows 11, Apple Safari in Ubuntu Desktop, ki so prav vsi padli. Nekaterimi med njimi - Microsoft Teams in Ubuntu Desktop - celo večkrat, saj je ranljivosti uspešno izkoristilo več skupin. Drugi dan so bili na vrsti Tesla Model 3 Infotainment System, Ubuntu Desktop in Windows 11, a je padel le Ubunto, in to dvakrat. Zadnji dan tekmovanja sta padla še Windows 11 in Ubuntu Desktop, prvi celo trikrat.

Tovrstni rezultati niso nič neobičajnega, saj običajno...

Slo-Tech - Ker se iPhone tudi ob izklopu ne ugasne popolnoma, saj minimalno napajanje še vedno omogoča lociranje telefona (Find My iPhone) ali plačevanje, to odpira možnost za delovanje zlonamerne programske opreme tudi na takšnem skoraj izključenem telefonu. Raziskovalci s Tehniške univerze v Darmstadtu so demonstrirali, kako lahko to skupaj z ranljivostjo v implementaciji Bluetootha izkoristimo za izdelavo zelo trdoživega malwara. Ta lahko telefonu sledi tudi, ko je telefon programsko izključen.

Avtorji raziskave ugotavljajo, da način nizke porabe LPM (low-power mode) še 24 ur po izklopu telefona omogoča uporabo NFC, Ultra Widebanda in Bluetootha. LPM je del strojne opreme in ga ni možno odstraniti. Nedokumentirane funkcionalnosti LPM v iOS 15 pa omogočajo zlorabo. Kljub temu raziskovalci mirijo, da je raziskava - dasiravno odkriva zanimiv vektor napada - precej teoretična. Za zlorabo bi potrebovali odklenjen (jailbreak) telefon, kar je dandanes precejšnja redkost. Bi pa lahko to znanje...

Slo-Tech - Med 30. aprilom in 7. majem 2022 bodo potekale slovenske kvalifikacije za Evropsko tekmovanje iz kibernetske varnosti. Najbolje uvrščeni posamezniki bodo imeli možnost sodelovanja in zastopanja Slovenije na največjem evropskem tekmovanju iz kibernetske varnosti za mlade.

Agencija Evropske unije za kibernetsko varnost z namenom spodbujanja mladih, da pričnejo ali nadaljujejo kariero na področju kibernetske varnosti, izboljšajo svoje veščine in znanje, ter pridobijo nove izkušnje, vsakoletno organizira Evropsko tekmovanje iz kibernetske varnosti. Tekmovanje ponuja priložnost za srečanje z najboljšimi evropskimi talenti in sodelovanje ter mreženje s strokovnjaki, hkrati pa spodbuja k reševanju kompleksnih izzivov kot so spletna in mobilna varnost, kripto uganke, povratni inženiring in foreznika.

Letos se bo evropskega tekmovanja že drugič udeležila tudi slovenska ekipa, sestavljena iz 10 članov, starih med 16 in 25 let. Slovensko ekipo bodo zastopali posamezniki, ki se bodo...

Microsoft - Pri Microsoftu so v prvem večjem poročilu resneje razkrili obseg delovanja ruskih državnih hekerjev med aktualnim ukrajinsko-ruskim spopadom. Ti naj bi sprožili več sto napadov, ki so bili dostikrat dejansko usklajeni z delovanjem ruske vojske.

Eno pomembnih vprašanj v prvih dveh mesecih ruske agresije na Ukrajino se je dotikalo delovanja zloglasnih ruskih državnih hekerjev, ki so v zadnjem desetletju postali strah in trepet organizacij po vsem svetu. Med samo vojno jih namreč na videz ni bilo kaj dosti na spregled, saj ni bilo opaziti uničevalnih napadov na ukrajinsko infrastrukturo, kakršne smo pričakovali. A po tem, ko smo sredi aprila dobili prva pojasnila, da se takšne sorte napadi v resnici vršijo - ko je ruska ekipa Sandworm skušala še tretjič vreči na tla dele ukrajinskega elektroomrežja - so sedaj pri Microsoftu lansirali prvo večje poročilo svojega centra za obravnavo kibernetskih nevarnosti MSTIC, ki ponuja zelo zanimive podatke, saj med drugim skuša ruske hekerske...

Dragos - Več ameriških varnostnih agencij je prejšnji teden objavilo, da so v divjini našli novo orodje za kibernetske napade na industrijske krmilne sisteme, ki so ga poimenovali Pipedream. Zaenkrat ni videti, da bi bilo že sproženo.

Zlobno programje za napade na industrijske krmilne sisteme (ICS) popularno še vedno predstavlja tisto najnaprednejšo in potencialno najbolj uničevalno stopnjo v kibernetskem vojskovanju. Malo zato, ker terja res odlično poznavanje specializiranih industrijskih sistemov in hkrati zahtevne postopke dostave na želeno mesto, kar pomeni, da se s tem praviloma ukvarjajo dobro plačani državni hekerji. Malo zato, ker v primeru uspešnega napada lahko pride do katastrofalne škode na industriji. In malo zato, ker so še vedno precejšnja eksotika, saj smo doslej poznali zgolj štiri, med njimi črva Stuxnet, s katerim so Izraelci in Američani uničevali iranske centrifuge za bogatenje urana; črva Triton, s katerim so Rusi napadli rafinerijo v Savdski Arabiji; pa orodje...

BBC - V Ukrajini vendarle videvamo tudi resnejše kibernetske napade na infrastrukturo. Ruska hekerska združba Sandworm naj bi v preteklih tednih skušala še tretjič - po letih 2015 in 2016 - vreči na tla dele ukrajinskega elektroomrežja, a so bili tokrat varnostni strokovnjaki bolje pripravljeni in so zelo omejili učinek napada.

Še pred začetkom ukrajinske vojne smo slišali napovedi, da nas čaka hibridni spopad s spremljavo množičnih hekerskih napadov zloglasnih ruskih ekip za kibernetsko vojskovanje in kriminalnih tolp. Toda to se v pretežni meri ni zgodilo. Edini resen ruski uspeh v tem oziru je bil napad na satelitsko omrežje KA-SAT prvi dan vojne, ki je z interneta vrgel nekaj čez 10.000 uporabnikov, tudi drugje po Evropi. Razen tega pa večjih udarcev za ukrajinsko infrastrukturo s strani ruskih hekerjev doslej ni bilo opaziti. To ne pomeni, da spopad ne poteka tudi širom omrežij, saj si sprti strani in množice aktivistov nenehno izmenjujejo napade DDoS in kradejo podatke kot za...

Slo-Tech - Ameriški organi pregona so začeli preiskavo platforme TikTok zaradi suma, da jo izkoriščajo spolni plenilci, kar je dodatno problematično zaradi v povprečju zelo mladih uporabnikov. Služba za domovinsko varnost (DHS) preverja, kako stran obravnava primere otroške pornografije, če se te pojavijo na strani. Pravosodno ministrstvo pa preverja tudi, kako plenilci izkoriščajo nastavitve zasebnosti na platformi. Zaradi interesov preiskav uradnih potrditev ni. V DHS pojasnjujejo, da je TikTok idealno mesto, kjer lahko plenilci srečujejo, nagovarjajo in zlorabljajo otroke.

TikTok, ki je v lasti kitajskega podjetja ByteDance, ima že več kot milijard uporabnikov. Za zakonitost deljenih vsebin skrbi več kot 10.000 moderatorjev, njihovo število pa še narašča. Podjetje eksponentno raste in je imelo lani 3,9 milijarde dolarjev prihodkov, letos pa naj bi jih bilo že skoraj 12 milijard. TikTok je tako uspešen, da ga je celo Facebookov ustanovitelj Mark Zuckerberg označil kot glavni razlog, da so...

Slo-Tech - Ameriški in evropski organi pregona so v usklajeni akciji, ki je trajala več kot leto dni, zasegli domeno ter infrastrukturo hekerskega foruma RaidForums in aretirali ključne administratorje.

Po večini odmevnejših kraj podatkov v zadnjih letih smo bili lahko sigurni, da se bodo v tej ali oni obliki znašli na enem mestu: spletnem forumu RaidForums, ki je postal ena poglavitnih oglasnih desk za malopridneže, ki so se želeli zbarantati za pridobljeno robo. Forum je nastal leta 2015 in kakor pove ime, je bil sprva namenjen organiziranju spletnega ter elektronskega nadlegovanja (raids), nato pa se je preobrazil v bazar za trgovanje z nelegalno pridobljenimi podatki. Struktura in delovanje sta do danes postala zelo dovršena; uporabniki so lahko v zameno za različne ravni naročnin dostopali do zaprtih delov foruma, ki so ponujali privilegiran dostop do oseb visoko v sferah kiberkriminala, administratorji pa so osebno posredovali pri največjih poslih.

Toda v letošnjem februarju je v...

Slo-Tech - Po poročanju Reutersa je bilo več visokih uradnikov v Evropski komisiji konec minulega leta tarča hekerskih napadov z izraelsko programsko opremo. Med njimi so bili tudi belgijski komisar Didier Reynders za sodstvo ter še vsaj štirje drugi visoki uradniki. Komisija napadov ni odkrila sama, temveč je to ugotovil Apple.

Lanskega novembra je namreč Apple več uporabnikom svojih iphonov poslal opozorilo, da so tarče napadov, ki jih izvajajo s tretjimi državami povezani napadalci (state-sponsored attacks). Tedaj se je zganila tudi IT služba v Evropski komisiji in uporabnike obvestila o izraelskih orodjih za vdore in jih pozvala, naj budno spremljalo morebitna nova obvestila iz Appla. Uporaba izraelskih orodij ne pomeni, da so jih uporabljali Izraelci, saj na primer NSO Group svoja orodja prodaja več državam po celem svetu.

Ni še znano, ali so bili napadi uspešni. Po oceni ForcedEntry so se dogajali med februarjem in septembrom 2021 s programsko opremo NSO Group. Slednji vsakokrat...

Slo-Tech - Nemški organi pregona so zasegli strežnike v teh časih največjega bazarja s kriminalno dejavnostjo na temnem spletu, Hydra. Po drugi plati aretacij administratorjev ni bilo, saj se domnevno nahajajo v Rusiji in okoliških državah.

Ko je dolga roka zakona pred petimi leti razbila takrat največjo tržnico s temnega spleta, AlphaBay, je bila njena naslednica že pripravljena v nizkem štartu, da prevzame štafeto. Tržnica Hydra, sicer ustanovljena leta 2015, je hitro postala največji kraj preprodajanja drog, ponarejenih dokumentov in hekerskih orodij na svetu. Predvsem pa so njeni upravljalci izpopolnili moderne načine pranja denarja iz naslova malverzacij s kriptovalutami. Tržnica je ponujala široko bero storitev mešanja kriptonovcev (coin mixing in coin tumbling), to je metod, ki skušajo s pomočjo hitrega prenašanja kriptokovancev med različnimi denarnicami zabrisati sled do njihovega izvora. Na koncu verige je med drugim stala tudi storitev fizične dostave denarja s kurirji, ponavadi v...

Slo-Tech - Hekerji so z omrežja Ronin, priljubljenega blockchaina za kripto igro Axie Infinity, ukradli za več kot 600 milijonov dolarjev kriptokovancev. Ker je zmanjkalo 173.600 ethra (600 milijonov dolarjev) in 25,5 milijona USDC (stabilni kovanec v protivrednosti dolarja), uporabniki trenutno ne morejo dvigovati svojega premoženja. Napad je meril na most (bridge) za Sky Mavisov Ronin, ki je vmesnik med igro Axie Infinity in drugimi verigami blokov, denimo Ethereum.

Uporabniki so na Ronin naložili ether ali USDC, s tem pa so potem kupili NFT-je ali digitalno valuto v igri. Ronin je omogočal tudi transakcije v obratni smeri, torej prodajanje dosežkov iz igre za prave kriptovalute. Medtem ko imajo transakcije na Ethereumu provizijo, je Ronin nudil do 100 brezplačnih transakcij na dan, kar je olajšalo uporabo v igri.

Napad se je zgodili minulo sredo, odkrili pa so ga šele danes. Po odkritju so takoj ustavili most Ronin in Katana Dex. Za zdaj je premoženje AXS, RON in SLP (različne digitalne...

Slo-Tech - Severnokorejski hekerji so izrabili svoj čas nezakrpano ranljivost CVE-2022-0609 v Chromu (zero-day vulnerability), s čimer so napadli več zahodnih podjetij, vključno z bankami, mediji in IT. Šlo je za delo dveh skupin. Operation Dream Job je napadla 250 računalnikov v 10 različnih podjetij, skupina AppleJeus pa 85 računalnikov. Googlov Adam Weidemann meni, da sta ekipi uporabljali isto kodo, a sta ciljali druge tarče in z drugimi vektorji.

Raziskovalci spremljajo Operation Dream Job od leta 2020, ko so jo v podjetju ClearSky opazili v napadih na obrambne pogodbenike in druga podjetja, ki sodelujejo z ameriško državo, denimo Boeing in McDonnell Douglas. Zbirali so poslovne skrivnosti in druge tajne podatke, napade pa so prožili s socialnim inženiringom prek LinkedIna, elektronske pošte, sporočil na WhatsAppu in podobno. AppleJeus je nekoliko starejši, saj so ga prvikrat opazili leta 2018, ko je napadal menjalnico kriptovalut. Znan je tudi kot ena prvih skupin, ki je z APT...

Slo-Tech - Razvijalec priljubljenega npm paketa node-ipc, ki tedensko beleži več kot milijon prenosov in ga uporabljajo številne knjižnice, denimo Vue.js CLI, je namenoma izdal pokvarjeno in zlonamerno verzijo paketa. Verziji 10.1.1 in 10.1.2 sta imeli vgrajeno funkcionalnost, ki je uporabnikom z naslovom IP z območja Rusije ali Belorusije pobrisala podatke z diska. Po besedah razvijalca je šlo za način mirnega protesta proti vojni, odprtokodna skupnost pa potezo obsoja.

Incident se je zgodil pred dvema tednoma, ko je izšla nova verzija node-ipc. Ta je preverila, ali je računalnik v Belorusiji ali Rusiji in v tem primeru zagnala zlonamerno kodo. Da bi funkcionalnost prikril, je razvijalec Brandon Nozaki Miller del kode zapisal v formatu base-64. Uporabniki Vue.js so brisanje datotek opazili ta teden.

Takšno ravnanje je nedopustno, hkrati pa kaže na globlji problem. Odvisne knjižnice, kot je paketek node-ipc, se pojavljajo v številnih programskih kodah. Na ta način je programiranje res lažje...

Slo-Tech - Izsiljevalska skupina Lapsus$ je včeraj objavila velikanski kup podatkov, ki domnevno izvirajo iz Samsunga, kamor naj bi bili uspešno vdrli. Spomnimo, da so minuli teden potrjeno vdrli tudi v Nvidio, od koder naj bi odnesli 1 TB podatkov, razkrili pa so jih 20 GB. Skupina sedaj trdi, da imajo Samsungovo izvorno kodo, kar so podkrepili tudi z zajeto zaslonsko sliko. Trdijo, da imajo med drugim tudi izvorno kodo za vse Samsungove TA (truted applet) v okolju TrustZone, algoritme za biometrično zaščito, bootloader na novih telefonih, kodo Qualcommovih naprav in vso izvorno kodo za avtorizacijo in preverjanje pristnosti v Samsungovih računih (storitve, API). Resničnosti navedb neodvisno še niso potrjene. Prav tako ni jasno, kaj Lapsus$ od Samsunga zahteva, saj javno ni znano, ali terjajo kakšno odkupnino.

Prav tako še vedno poteka boj med skupino Lapsus$ in prizadeto Nvidio. Zahteve, ki jih napadalci postavljajo, pa so gotovo med najnenavadnejšimi. Zahtevajo, da Nvidia omogoči hitrejše...

Slo-Tech - Po neuradnih podatkih je v zadnjih dneh Nvidio prizadel močan hekerski napad z izsiljevalskimi virusi, ki pa sicer ni povezan s trenutnim vojskovanjem v Ukrajini. Nvidia je v petek zvečer uradno potrdila vdor in dejala, da preiskujejo napad na računalniške sisteme. Dodali so, da napad ni vplival na njihovo poslovanje, podrobnosti pa ne razkrivajo.

Napadalci naj bi odnesli približno 1 TB podatkov. Odgovornost za napad je prevzela hekerska skupina LAPSU$ iz Južne Amerike, ki se ukvarja z izsiljevanjem. Trdijo, da jih je po incidentu Nvidia napadla nazaj in vdrla v njihove strežnike, česar ni bilo možno neodvisno preveriti in kar se v resnici sliši precej nenavadno.

Kakorkoli, na Nvidiini strani so imeli izpad sistema za elektronsko pošto in razvijalskih orodij. Telegraph ob tem opominja napade SolarWinds. Nvidiina ključna naloga bo sedaj preveriti sistem in zagotoviti integriteto, da ne bi napad vanje zanesel zlonamerno kodo, ki bi jo potem napadalci podtaknili Nvidiinim strankam.

...

Google Project Zero - Raziskovalci iz Googlovega Project Zero ugotavljajo, da je Linux programsko okolje, kjer se najhitreje zakrpajo odkrite ranljivosti. Če to privzamemo kot merilo za varnost operacijskega sistema, Linux odločno prehiti Windows in macOS. Najslabše se je odrezal Oracle, ki je v povprečju potreboval 109 dni, da je zakrpal odkrite in prijavljene hrošče. Linuxu, ki resnično odstopa, sledita Mozilla in Google.

V okviru Projecta Zero, ki sodi pod Googlovo okrilje, strokovnjaki iščejo ranljivosti v pogosti programski opremi in nanje proizvajalca odgovorno opozorijo. To pomeni, da mu dajo na voljo 90 dni, da luknje zakrpa. Če se ne zgodi nič, začne teči dodatni 14-dnevni rok, nato pa odkrito ranljivost javno priobčijo na spletu. V takem primeru lahko ranljivost začno izkoriščati tudi zlonamerni igralci, kar predstavlja velik in skrajni pritisk na proizvajalca, da luknjo vendarle odstrani.

Gogole Project Zero je v letih 2019-2021 odkril 376 ranljivosti. Od teh jih je bilo 93,4 odstotka...

Slo-Tech - Z naraščajočo povezljivostjo do interneta in kapaciteto povezav rastejo tudi napadi DDoS, s katerimi se skušajo začasno onesposobiti posamezni strežniki. Microsoft je sporočil, da je njihova storitev Azure DDoS Protection lani novembra branila pred največjim napadom dotlej, ki je potekal s 3,47 Tb/s. Izvajalo ga je več kot 10.000 računalnikov iz več kot 10 držav. Identitete tarče napada, ki je iz Azije, seveda ne razkrivajo.

Napad je trajal vsega dve minuti in še zdaleč ni bil edini v tolikšnem obsegu. Decembra sta sledila še dva velika napada, ki sta merila 3,25 Tb/s in 2,54 Tb/s. Prvi je v več sunkih trajal petnajst minut, drugi pa dobrih pet minut. Kaže, da se obseg napadov povečuje, saj je bil največji v prvem polletju lani 2,37 Tb/s. Še pred tremi leti ni bilo napadov prek 2 Tb/s.

Zanimivo je, da napadi niso več zgoščeni okrog božično-novoletnih praznikov, kot je to veljalo v minulih letih, temveč so enakomerno razporejeni skozi celotno leto. Lani jih je bilo celo največ...

Slo-Tech - Med stopnjevanjem napetosti v Ukrajini so hekerji sporočili, da so okužili računalniško omrežje beloruskih železnic, s čimer želijo preprečiti ruski napad na Ukrajino. S hekerskim napadom želijo otežiti in upočasniti beloruskih železnic za prevoz ruskih sil in oborožitve. Za domnevni napad je odgovornost prevzela skupina Beloruski kiberpartizani (Belarusian Cyber-Partisans). Za izročitev dešifrirnih ključev zahtevajo izpustitev 50 političnih zapornikov in odhod ruskih sil iz Belorusije.

Ob tem so hekerji dodali, da so skušali minimalno prizadeti potniški promet in nujne službe. Osredotočili so se na tovorni promet. Po lastnih navedbah skupina šteje 20-30 ljudi, ki so se združili po krvavem zatrtju protestov v Belorusiji proti predsedniku Aleksandru Lukašenku poleti 2020. Označujejo se kot haktivisti, ki se borijo proti režimu. Že lani so za MIT Technology Review povedali, da se s hekerskimi napadi borijo proti nasilju in zatiranju beloruskega režima, da bi se v državo vrnili...

Slo-Tech - Programi za nagrajevanje odkritih ranljivosti v programski opremi niso nič novega, saj proizvajalci na ta način vzpodbujajo etično razkrivanje lukenj v svojih izdelkih. Nekoliko teže je to z odprtokodno programsko opremo, ki običajno nima finančno močnega zaledja. Evropska komisija je zato na platformi Intigriti zagnala program za nagrajevanje prijavljenih ranljivosti v odprtokodnih programih. Na voljo je 200.000 evrov, najvišja nagrada pa lahko znaša 5000 evrov za najresnejše ranljivosti. Še 20 odstotkov bodo primaknili, če bo prijavitelj ponudil tudi kodo za zakrpanje ranljivosti.

Nagrajevali bodo luknje v LibreOfficeu, Mastodonu, Odooju, Cryptpadu in LEOS-u. Iščejo se zlati ranljivosti, ki so povezane z odtekanjem osebnih podatkov, vertikalno ali horizontalno eskalacijo privilegijev ter SQLi. Izbrali so programsko opremo, ki jo uporabljajo javne službe Evropske unije. Evropska komisija je že leta 2020 ustanovila Pisarno za odprtokodne programe (EC Open Source Programme Office),...

Slo-Tech - Za Linux resda obstaja virusov in druge nesnage, a to samo po sebi sploh ne zagotavlja stoodstotne varnosti. V minulem letu se je število virusov, ki so napadali sisteme na Linuxu povečalo za dobro tretjino, v svojem poročilu ugotavlja Crowdstrike. Večinoma so bile tarče napadov naprave IoT, ki jih zlonamerna programska oprema skuša vpreči v botnet za izvajanje napadov DDoS. Druge vrste zlorab so še rudarjenje kriptovalut, pošiljanje spama, uporaba kot nadzorno-krmilni strežniki za botnete in kot vstopne točke v omrežja.

V primerjavi z letom 2020 smo lani beležili 35-odstotno povečanje malwara, ki napada naprave z Linuxom. Najpogostejše variante zlonamerne kode so XorDDoS, Mirai in Mozi, med katerimi je največja rast uspela prav slednjemu. Z občasnimi odkloni se število različnih virusov, ki napadajo Linux, vseskozi povečuje. Leta 2010 je bilo novih družin devet, predlani pa že 56. Prvi indici za leto 2022 kažejo, da se bo trend nadaljeval.

Slo-Tech - V ZDA se je ponovno razmahnila pred dvema letoma popularna taktika podtikanja zlonamerne programske opreme na računalnike. Napadalci pošiljajo ključke USB, ki jih prejemniki vstavijo v svoje računalnike, kar sproži namestitev virusov. FBI opozarja, da je vtikanje nepreverjenih pomnilniških medijev v računalnike tvegano. A zlikovci so zelo prepričljivi.

Gre za skupino FIN7, ki se ukvarja s krajo osebnih podatkov za finančne malverzacije. Natančno izbranim tarčam dostavljajo ključke USB (tako imenovane BadUSB ali Bad Beetle USB), ki imajo logotip LilyGO. Od lanskega avgusta jih pošiljajo podjetjem, ki se ukvarjajo s prevozi in zavarovalništvom, od novembra pa tudi pogodbenikom v obrambni industriji. Pakete jim pošiljajo kar z ameriško pošto ali UPS. Oblikovani so tako, kot da jih pošilja Amazon ali HHS (Department of Health & Human Services). V nekaterih primerih jim priložijo celo kakšen dopis, denimo proticovidne smernice, zahvalo ali ponarejen darilni bon, s čimer skušajo...

bleepingcomputer.com - Pri Amazonu se soočajo s sila kočljivim dogodkom - digitalna pomočnica Alexa je namreč 10-letni deklici naložila izziv, v katerem bi morala kovanec položiti na izpostavljen električni vod.

Sodobni digitalni pomočniki vztrajno širijo spisek svojih sposobnosti in ko jih ne sprašujemo za vreme ali naročamo spletnih nakupov, jih lahko pobaramo za razne kratkočasne izzive. Alexa in druščina takšne nasvete ter naloge dostikrat samodejno poberejo s spleta - za katerega pa dobro vemo, da je vse kaj drugega kot hram brezmejne učenosti. Nevarnost takšnih metod je okoli božiča izkusila ameriška družina Livdahl: Alexa je namreč njihovi 10-letnici naložila izziv, v katerem naj bi telefonski napajalnik do polovice potisnila v električno vtičnico in nato skušala na izpostavljeni vod položiti kovanec tako, da bi se obdržal na njem. K sreči je bila mati poleg in je tovrsten poskus preprečila, pa tudi sicer naj bi bila hčerka dovolj prisebna, da takšne nevarne neumnosti ne bi izvedla.

Nespametna...

Google Project Zero - Googlova skupina raziskovalcev kibernetske varnosti, Project Zero, je ponudila zanimiv vpogled v programje ForcedEntry, s katerim je zloglasno izraelsko podjetje NSO Group vdiralo v iphone in nanje nameščalo vohunsko zlobno kodo Pegasus.

Zanka okoli vratu izraelske firme za razvoj vohunskega programja, NSO Group, se v zadnjem času vztrajno zateguje, saj so jo na piko dobila tako velika podjetja kakor vlade zahodnih držav. Toda še vedno gre za izjemno nevarnega akterja na tržišču vohunske zlobne kode in kako domiselna so njihova orodja za vdiranje v naprave, strokovnjaki odkrivajo šele sedaj. Googlov laboratorij za raziskovanje programskih ranljivosti Project Zero se je lotil podrobnega vpogleda v orodje ForcedEntry, ki omogoča samodejno vdiranje v naprave brez uporabnikove interakcije (zero-click). Primerek kode so jim poslali iz kanadskega laboratorija Citizen Lab, kjer so ga sicer pridobili s telefona savdskega aktivista.

ForcedEntry je sicer serija aplikacij NSO Group za...

Slo-Tech - Poskusi zlorabe ranljivosti v knjižnici Log4j, ki so jo razkrili prejšnji teden, so se v zadnjih dneh močno okrepili, saj varnostna podjetja beležijo prek sto napadov na minuto.

Pretekli petek je bila objavljena huda ranljivost v Apachejevi javanski knjižnici za dnevniško beleženje Log4j, ki napadalcu omogoča izvajanje poljubne kode na daljavo. Problem je dvojen; kot prvo to odprtokodno knjižnico uporablja desetine milijonov računalnikov po svetu, saj je bila zgolj v zadnjih štirih mesecih z javnih repozitorijev pretočena 84-milijonkrat. Med uporabniki so tudi velika informacijska podjetja, kot so Amazon, Cisco, Oracle, Microsoft in IBM. In drugič: zloraba ranljivosti je nadvse enostavna, saj je dovolj, da se sistemu v beleženje vsili določeno zaporedje znakov. To pa pomeni, da jo je preprosto avtomatizirati in v dneh po objavi je število tovrstnih napadov res skokovito naraslo.

V varnostnem podjetju Check Point pravijo, da zaznavajo čez sto napadov na minuto in tudi v Sophosu...

Slo-Tech - V knjižnici Java logging library Log4j so odkrili hudo ranljivost, ki napadalcem omogoči izvesti poljubno kodo v sistemu, do katerega imajo le oddaljen dostop (remote code execution). Prizadeta knjižnica se široko uporablja, objavljena pa je tudi koda, ki omogoča izrabo ranljivosti. Zato ni presenetljivo, da že beležijo primere aktivne zlorabe in napadov na produkcijske sisteme. Popravljena verzija je že na voljo, a smo v veliki meri odvisni od proizvajalcev aplikacij in sistemov, ki uporabljajo Apache Log4j.

Prizadete so verzije od 2.0 do 2.14.1, zato vsem svetujemo nadgradnjo na verzijo 2.15.0. V nekaterih poznejših verzijah (2.10.0 in novejše) se je moč ubraniti tudi z zagonom aplikacije s posebnim stikalom (-Dlog4j2.formatMsgNoLookups=true), kar pa lahko vpliva na funkcionalnost Lookups. Ali je bil neki sistem že tarča napada, lahko preverimo v dnevniških datotekah, ki bodo v tem primeru vsebovale nize ${jndi:ldap://…}. Hekerji že množično iščejo ranljive sisteme. Celo v igri...

Reuters - Izraelsko podjetje NSO Group, ki razvija programsko opremo za vdiranje v pametne telefone, si je minuli mesec prislužilo Applovo tožbo. WhatsApp je enako storil že pred dvema letoma, v ZDA pa je NSO Group tudi na črnem seznamu podjetij. Da se njegova programska oprema uporablja za prisluškovanje ameriškim državnim funkcionarjem, ni paranoja. Reuters poroča, da so neznani napadalci z opremo NSO Group vdrli v iphone vsaj devetih uslužbencev na ameriškem zunanjem ministrstvu. Vdori so se zgodili v minulih mesecih in so merili na uslužbence, ki so v Ugandi ali pa se ukvarjajo z njo.

To je prvi znani primer, da so z opremo NSO Group vdrli v telefone ameriške vlade. Že v preteklosti smo poročali poizkusih prisluškovanja telefonom ameriških funkcionarjev z opremo NSO Group, a ni bilo jasno, ali jim je uspelo in kako razširjena je praksa. Iz NSO Group so sporočili, da nimajo nobenih informacij o zadnjem vdoru in da bodo na podlagi objav v medijih preiskali dogajanje. Če bodo potrdili...

Slo-Tech - Delovanje omrežja Tor je odvisno od prostovoljcev, ki na svojih internetnih priključkih nudijo vstopna in izstopna vozlišča. Med njimi pa so tudi posamezniki z nečednimi nameni, ugotavljajo v The Recordu. Vsaj od leta 2017 je skrivnostni posameznik v omrežju Tor nudil tudi do 900 vozlišč, s čimer je želel deanonimizirati uporabnike.

Tor predstavlja približno 10.000 vozlišč (relays, bridges), ki se delijo na vstopne točke, vmesne posrednike in izstopna vozlišča. Od njihovega delovanja je odvisna anonimnost, ki jo zagotavlja Tor. Načeloma morajo imeti vsi strežniki javno objavljene e-naslove upravljavca, da lahko administratorji Tora ali policija z njimi stopijo v stik - a to se ne izvaja in preverja striktno.

Neznani akter, ki so ga označili kot KAX17, je od leta 2017 nudil strežnike brez teh informacij. Večinoma je šlo za vstopne in vmesne točke, nekaj pa je bilo tudi izstopnih. To je nenavadno, saj običajno napadalci postavljajo izstopne strežnike, kar omogoča spreminjanje...

Slo-Tech - Strokovnjaki za dezinformacije v Meti so v poročilu ob koncu leta popisali analiziranje antipropagandnih združb na svojih omrežjih in ukrepanje proti njim. Med drugim so odstranili kitajski poskus očrnitve zahodnih držav pri raziskovanju izvora novega koronavirusa, pa anticepilska omrežja, ki so nadlegovala zdravnike in novinarje.

Izjemen doseg in vpliv družbenih omrežij je izpostavil potrebo po novi vrsti varnostnih analitikov, ki se ne ukvarjajo s klasičnimi hekerskimi vdori in krajami podatkov, temveč z usmerjenimi propagandnimi pritiski in nadlegovanjem uporabnikov. Najnovejše poročilo Adversarial Threat Report, v katerem svoje izkušnje premlevajo tovrstni strokovnjaki pri Meti, ponuja zanimiv vpogled v spreminjanje karakterističnih nevarnosti na socialnih omrežjih. Pri Meti tem pojavom skupno pravijo coordinated inauthentic behaviour, tokrat pa so metode podrobneje razdelili. S Facebooka so vrgli uporabniške račune združbe iz Francije in Italije, ki je vršila pritisk na...

Slo-Tech - Britanski parlament je sprejel nov zakon, ki je namenjen zaščiti boljši zaščiti potrošnikov pred hekerskimi napadi na njihove pametne elektronske naprave, kot so na primer telefoni in televizorji. Odslej bo na Otoku prepovedana prodaja naprav, ki ne bodo izpolnjevale osnovnih varnostnih pogojev. Poleg tega zakon uvaja visoke globe, ki lahko dosežejo 10 milijonov funtov ali štiri odstotke globalnega letnega prometa podjetja, če podjetja ne bodo izpolnjevala pogojev. Za vsak dan kršitve se lahko izreče še 20.000 funtov tekoče glboe.

Novi zakon se imenuje PSTI (Product Security and Telecommunications Infrastructure) in med drugim prepoveduje uporabo generičnih tovarniških gesel, ki so bila svoj čas popularna in eden večjih razlogov za preproste vdore. Preprosta gesla, denimo admin ali password, so odslej prepovedana. Naprave bodo morale imeti unikatna gesla, ki jih ne bo možno enostavno uganiti. Zakon ureja tudi nadgradnje pametnih naprav, saj se v njih sčasoma odkrijejo ranljivosti,...

Google - Pri Googlu so v prvem poročilu glede varovanja uporabniških inštanc v svojem oblaku navedli, da je bilo več kot štiri petine vdorov izkoriščenih za rudarjenje kriptovalut.

Googlovi varnostni strokovnjaki, ki bedijo nad inštancami Google Clouda, katere oddajajo v uporabo, so pričeli z izdajanjem varnostnih poročil, ki so jih poimenovali Threat Horizons. V prvi številki (skrajšan povzetek) so pokrili 50 letošnjih vdorov v uporabniške račune in še nekatere druge neprilike. Kar 43 od omenjenih vdorov je pridobljene kapacitete izkoristilo za prikrito rudarjenje kriptovalut. V večini primerov je šlo verjetno za ozek krog napadalcev ali pa vsaj podobno avtomatizirano programsko opremo, ker je v več kot polovici primerov v manj kot 22 sekundah po vdoru na kompromitirane strežnike namestila programje za rudarjenje. Prav tako je bila večinoma krivda na strani uporabnikov, ki so imeli v kar 24 primerih mnogo preenostavna gesla.

Preostalih 7 primerov vdora je odpadlo na phishing kampanje in...

Slo-Tech - Izraelska vlada je precej skrčila seznam držav, katerim smejo izraelska podjetja prodajati orodja za nadzor, prisluškovanje in vdiranje. Medtem ko sta bili na prvotnem seznamu 102 državi, jih je sedaj ostalo 37. Gre večinoma za razvite zahodne države, na seznamu pa je tudi Slovenija. Izrael je s seznama odstranil vse avtokratske režime. Med članicami Evropske unije na seznamu manjkata le Madžarska in Poljska.

V Izraelu ima sedež precej podjetij, ki razvijajo tovrstne programe in opremo, ki sodijo v sam svetovni vrh. Med najbolj znanimi sta Candiru in NSO Group, skupno pa jih je v Izraelu 27. Orodja, ki jih ponujajo, so bila v preteklosti tarča obtožb, da z njimi avtokratski režimi nadzorujejo oporečnike, novinarje, kritične intelektualce, politične nasprotnike in ostale, ki se z režimom ne strinjajo. Uradne izjave, zakaj se je sprememba dogodila prav zdaj, iz Izraela ni. Špekulira se, da so Izrael v to prisilili zahodni zavezniki. Finančne posledice bodo gotovo občutno, saj je...

U.S. Securities and Exchange Commission - Ponudnik gostovanja in registracije domen GoDaddy je v poročilu regulatorju trga vrednostnih papirjev (SEC) razkril, da je bil 6. septembra žrtev hekerskega vdora, ki so ga odkrili minuli teden. Vodja varnosti Demetrius Comes je dejal, da je podjetje opazilo nepooblaščen dostop do sistemov, kjer imajo strežnike WordPress svojih uporabnikov. Omogočajo namreč namestitev WordPressova na svoje strežnike.

Vdor je prizadel podatke 1,2 milijona uporabniških računov, pobegnili pa so elektronski naslovi, uporabniške številke in prva gesla za posamezne račune (preden so jih uporabniki, če so jih, spremenili). GoDaddy ima sicer okoli 20 milijonov strank. Največja nevarnost je potemtakem zloraba teh podatkov za phishing napade. Pobegnili so tudi prijavni podatki za sFTP (uporabniška imena in gesla), v nekaterih primerih pa še ključi SSL. GoDaddy je že ponastavil gesla in ključe, certifikate SSL pa še bodo.

To ni prvi vdor v GoDaddy. Leta 2018 je napaka v konfiguraciji AWS povzročila razlitje...

Slo-Tech - V Intelovih procesorjih (Pentium, Celeron, Atom, Apollo Lake, Gemini Lake in Gemini Lake Refresh) so odkrili ranljivosti, ki napadalcu s fizičnim dostopom do računalnika omogočajo izmakniti šifrirne ključe iz procesorja. Vsak novi procesor ima edinstven ključ (fuse encryption key), iz katerega so potem izračunani drugi ključi, denimo za TPM ali šifriranje podatkov z Bitlockerjem. Dostop do univerzalnega ključa omogoča tudi prelisičiti Intel Management Engine, torej poganjanje neavtorizirane kode na najnižjem nivoju, kar omogoča vgradnjo stranskih vrat v procesor.

Za izrabo najnovejših ranljivosti je potreben fizični dostop do računalnika. Toda potem je moč zlomiti zaščito, ki je namenjena prav zaščiti računalnika, ki nam uide iz rok, denimo ukradenega prenosnika s šifriranimi podatki na disku. Z izrabo ranljivosti je moč napasti tudi vgradne procesorje, kot so v pametnih avtomobilih. Ranljivost izkorišča orodje za razhroščevanje, ki ima previsoke privilegije (debugging...

Slo-Tech - V petek je na več kot 100.000 elektronskih naslovov prispelo sporočilo, v katerih jih je domnevno FBI obvestil o vdoru v informacijski sistem in pozval k ukrepanju. Sporočila so povzročila precej zmede, ker so dejansko prihajala s FBI-jevega strežnika, dasiravno je bila vsebina lažna. Ni šlo za vdor v FBI-jeve strežnike v klasičnem smislu, temveč za zlorabo malomarno sprogramirane spletne strani.

Gre za spletno stran Law Enforcement Enterprise Portal (LEEP), ki omogoča prijavo v FBI-jev sistem različnim upravičencem, denimo drugim organom pregona. Pri registraciji morajo navesti svoj službeni elektronski naslov, na katerega dobijo potrditveno sporočilo, v katerem s klikom na povezavo dokažejo lastništvo elektronskega naslova. Do petka je portal registracijo omogočal komurkoli, nato pa je z naslova eims@ic.fbi.gov prejel kodo za validacijo naslova. Izkazalo se je, da je bilo to sprogramirano površno.

Vsebino elektronskega sporočila je namreč generiral kar brskalnik obiskovalca, ki...

Slo-Tech - Največja pakistanska banka NBP (National Bank of Pakistan), ki je v državni lasti in predstavlja podružnico centralne banke, je bila v noči s petka na soboto žrtev resnega hekerskega napada, poroča The Record. Napad je prizadel zaledne sisteme (backend) in strežnike, ki skrbijo za delovanje poslovalnic, bankomatov in mobilnih aplikacij. V napadu kljub škodi niso odtujili finančnih sredstev. Iz banke so sporočili, da so že v soboto izolirali prizadete sisteme. Napadla jih ni izsiljevalska programska oprema (ransomware), temveč je šlo za bolj klasičen napad z eskalacijo privilegijev.

Večino poslovalnic in bankomatov so uspeli usposobiti že v ponedeljek, preostanek pa v nadaljevanju tedna. Kljub temu so vesti nekatere komitente dovolj prestrašile, da so na bankomatih dvigovali svoje prihranke. K temu so pripomogle nekatera pompozna poročila v medijih, da naj bi bilo prizadetih kar devet bank, kar ne drži. V ponedeljek je morala zato naval na banke (bank run) ustaviti vlada z jasnim...

Slo-Tech - Po poročanju italijanske tiskovne agencije ANSA so neznani hekerji odtujili zasebne ključe, ki se uporabljajo za podpisovanje evropskih covidnih potrdil. Ni znano, od kod so ključe ukradli, ANSA pa poroča, da ne iz Italije. Ponarejena potrdila naj bi trenutno krožila po Franciji in Poljski.

Ker je internet pač internet, se je seveda takoj na njem znašlo veljavno covidno potrdilo na ime Adolf Hitler, rojen leta 1900. Na darknetu so se začela prodajati tudi druga digitalna potrdila. Po neuradnih podatkih na nivoju EU že potekajo sestanki, kjer ugotavljajo obseg škode in podrobnosti. Trenutnoni znano, kdaj so ključe dejansko ukradli. Za zdaj so se odločili, da prekličejo ukradene ključe, kar bo razveljavilo vsa z njimi izdana potrdila. To pomeni, da bodo morali legitimnim imetnikom potrdil izdati nova.

Slo-Tech - Hekerska skupina REvil, ki so jo letos poleti demontirali organi pregona ZDA in partnerskih držav, je zatem poniknila in se minuli mesec ponovno pojavila. A nova epizoda njihovega veka je bila kratka, saj so jo že ta teden s hekerskim napadom organi pregona ponovno onesposobili. Kot kaže, so proti njim uporabili kar lastno orožje, saj so zlikovci storili precej osnovnošolskih napak.

Ko je pred štirimi dnevi spletna stran REvila izginila, sta zaokrožili dve teoriji. Bodisi je stran po hitrem postopku pospravil kakšen nezadovoljen nekdanji vodja bodisi so vanjo vdrli organi pregona. Čeprav je to običajno manj verjetno, je to pot resničen drugi scenarij. Uradne potrditve iz FBI sicer ni, a strokovnjaki iz več podjetij ugotavljajo, da so FBI, Tajna služba, Cyber Command in partnerji ponovno onesposobili REvil. Po novem je to lažje z organizacijskega vidika, saj so ZDA napade z izsiljevalskimi virusi uvrstile na seznam nacionalnih groženj podobno kot terorizem, kar omogoča aktivacijo...

Ars Technica - V sredo so še neidentificirani napadalci na spletu objavili celotno izvorno kodo Twitcha in praktično vseh z njim povezanih notranjih programskih orodij, pa tudi zaslužke največjih akterjev na platformi. Gre za enega največjih pobegov podatkov v zgodovini.

Preteklo sredo, 6. oktobra, so uporabniki spletnega foruma 4chan lahko naleteli na izjemno zanimivo objavo (na sliki): anonimni uporabnik je skozi torrent ponudil 125 GB velik paket podatkov, v katerem naj bi bili, po vrsti: kompletna izvorna koda platforme za pretočni video Twitch, vključno z vso zgodovino programskih posodobitev in kodo vseh aplikacij; izvorna koda vseh notranjih razvojnih orodij, ki jih v podjetju uporabljajo, vključno s tisto iz oddelka za varnost (red team tools); koda še nedokončane trgovinske igričarske platforme s kodnim imenom Vapor, ki naj bi bila Amazonov tekmec Steama; za nameček pa tudi zaslužki 10.000 največjih Twitchevih streamerjev iz leta 2019. Podjetje je najprej na hitro omenilo, da je res...

Slo-Tech - CyberNight tekmovanje bo potekalo v petek, 8. oktobra 2021, v prostorih Digitalnega inovacijskega stičišča Slovenije (Ulica Gledališča BTC 6, Sever, Dvorana 1a, Ljubljana), s pričetkom ob 17.00 uri.

V okviru tekmovanja, se bodo udeleženci pomerili v reševanju varnostnih izzivov. Za tekmovalce pa ni pomembno samo njihovo programsko znanje, temveč tudi spodobnost kreativnega in kritičnega razmišljanja, zato je tekmovanje primerno prav za vse.

Za udeležbo na tekmovanju je potrebna prijava . Več informacij in novic pa lahko najdete tudi na Twiter profilu @cybernightevents.

Slo-Tech - Microsoftovi odjemalci za elektronsko pošto imajo resnega hrošča, proti katerem se običajni uporabniki ne morejo zaščititi in ki napadalcem omogoča nabiranje prijavnih podatkov (uporabniških imen in gesel). Ranljivost tiči v protokolu autodiscover, ki ga uporabljata Exchange in Outlook za preprosto konfiguracijo odjemalcev. Odkrili so jo v Guardicoru, Microsoft pa popravka še ni izdal.

Autodiscover ima koristen namen, saj od uporabnikov ni realistično pričakovati, da si bodo zapomnili vse podrobnosti za nastavitev elektronskega predala. Uporabniško ime in geslo je nujno poznati, medtem ko imena strežnikov, protokole, vrata in podobno lahko skladiščimo na javno dostopnih strežnikih. V praksi autodiscover deluje tako, da pri nastavitvi odjemalca vpišemo naslov in geslo, denimo ime@oddelek.podjetje.com. Outlook bo potem pogledal, ali obstaja strežnik autodiscover.oddelek.podjetje.com. Če ga ne bo našel, bo povprašal še na oddelek.podjetje.com in podjetje.com. In če niti od teh...

Slo-Tech - Pametni telefoni so primerna gojišča zlonamerne programske opreme, saj so v resnici računalniki, ki znajo tudi telefonirati. Precej manj znano pa je, da so lahko okuženi tudi običajni telefoni s tipkami (feature phones), ki nimajo obsežnih programskih funkcionalnosti in "pameti". Ruski raziskovalec ValdikSS je analiziral pet tovrstnih telefonov, ki so na prodaj v Rusiji, in kar na štirih odkril nezaželene zlonamerno ravnanje.

Šlo je za pri nas manj znane telefone DEXP SD2810, Itel it2160, Irbis SF63, F+ Flip 3 in Inoi 101 (samo zadnji ni imel virusov). Telefoni so prihajali iz Kitajske, kjer so bili proizvedeni in prodani v Rusiji, koder so jih potem spletne trgovine prodajale kot poceni alternative pametnim telefonom. Virusi so tičali v firmwaru telefonov in so počeli različne stvari. Nekateri so se naročili na plačljive SMS, ne da bi uporabnik to vedel, povratna sporočila pa so prikrili, da početja ne bi takoj opazili. Drugi so se povezovali na kitajske strežnike, čeprav sploh...

Slo-Tech - Julija je hekerska skupina REvil izginila z obličja interneta, potem ko so pred tem zagrešili najobsežnejši izsiljevalski napad v zgodovini. Tedaj se je špekuliralo, da jim je postalo prevroče, saj so ZDA ponudile 10 milijonov dolarjev nagrade za namige, ki bi privedli do aretacij odgovornih. REvil je sedaj nazaj.

REvil je (bila) ena najaktivnejših skupin, ki je z izsiljevalskimi virusi služila milijone. Izvira iz Rusije, trdijo ameriški obveščevalci in strokovnjaki, in deluje z vednostjo tamkajšnjih oblasti. Njihova spletna stran se imenuje Happy Blog, tam pa tik pred začetkom napada objavijo vzorec ukradenih podatkov, s čimer pokažejo resničnost in resnost napada. Tarčo nato zaklenjeno iz lastnih sistemov, za obnovitev podatkov pa zahtevajo odkupnino. Da tarči ne bi padlo na misel enostavno poradirati vsega in obnoviti iz varnostnih kopij, zagrozijo še z javno objavo ukradenih podatkov.

Portal Happy Blog, prek katerega potekajo tudi pogajanja s tarčami, je ponovno oživel v...

Reuters - Varnostno podjetje je našlo resno ranljivost v Microsoftovem oblaku Azure, ki je napadalcem omogočala popoln prevzem nadzora nad drugimi računi. V Redmondu so luknjo zakrpali, medtem ko morajo dostopne ključe stranke zamenjati same.

Prenos informacijskih sistemov v oblak podjetjem ponuja poenostavitev vzdrževanja, a po drugi plati so odvisna od varnostne ravni, ki jo uspe ponudnik storitev v oblaku zagotavljati. Takšna podjetja imajo ponavadi cele vojske varnostnih strokovnjakov, a če se kakšna ranljivost pretolče skozi sito, je lahko skrajno uničujoča, ker je na udaru množica strank. To bi kaj lahko na lastni koži izkusili pri Microsoftu, kjer imajo v zadnjem času res polne roke dela s kibernetskimi napadi in krpanjem odprtin. Varnostno podjetje Wiz je namreč našlo resno ranljivost v osrednji storitvi upravljanja baz podatkov Cosmos DB, oblaka Azure. Poimenovali so jo Chaos DB in je napadalcu omogočala razmeroma enostavno pridobiti primarni vstopni ključ za množico drugih računov...

Slo-Tech - Na internetu se je nezaščitena znašla baza dveh milijonov oseb, ki po oceni raziskovalca, ki jo je opazil, predstavlja seznam ljudi, ki jim je prepovedano letenje (no-fly list) ali so kako drugače zanimivi za varnostne službe po svetu. Bazo je julija letos odkril Bob Diachenko na strežnikih Elasticsearch, kjer ni bila zaščitena. Z interneta je izginila tri tedne po prijavi na Službo za domovinsko varnost (DHS) v ZDA.

V bazi je bilo 1,9 milijona vnosov, ki so vsebovali polje, kot so TSC_id (TSC je Terrorist Screening Center), watchlist_id, no_fly_indicator, country_of_issuance, nomination_type ipd. Vse to kaže, da gre verjetno za seznam oseb, ki so ga izdelale varnostne agencije. Terrorist Screening Database, ki obstaja od 11. septembra 2001 (napadi na WTC), je leta 2016 vsebovala okrog 1,8 milijona oseb, torej je velikostni razred ustrezen.

Baza je bila odkrita 19. julija letos na strežniku, ki je imel bahrajnski IP-naslov. Po prijavi na DHS, ki jo je Diachenko izvedel še isti...

Slo-Tech - Na portalu N1 pišejo, da je bil Zavod za gradbeništvo (ZAG) žrtev spletne prevare, zaradi katere so za sedaj izgubili 234.000 evrov (morda pa bodo del tega dobili nazaj). Podrobnosti o incidentu, ki se je zgodil novembra lani, so dostopne v poslovnem poročilu za minulo leto.

V projektu CINDERELA sodeluje tudi makedonski Inštitut za civilni inženiring (CEIM), ki bi mu moral ZAG plačati omenjeni znesek iz projektnih sredstev. V evropskih projektih namreč koordinator prejme avansna sredstva za partnerje, ki jih potem posreduje partnerjem glede na časovnico izvajanja projekta. Ko je ZAG CEIM obvestil, da jim lahko nakažejo denar, je CEIM odgovoril s sporočilom, da imajo nov bančni račun. Po poizvedbi ZAG-a so priložili tudi potrdilo o lastništvu računa, ki je vsebovalo podpise in pečate banke in inštitucije. Zato je ZAG plačilo izvedel na ta novi račun, ki je bil odprt pri švedski banki Nordea na Švedskem.

Ko je CEIM čez dva tedna sporočil, da denarja še niso prejeli, so začeli...

Slo-Tech - Čeprav je mikavno imeti NAS povezan v internet, novi izsiljevalski virusi kažejo, da to prinaša znatna tveganja. Virus eCh0raix, poznan tudi kot QNAPCrypt, se širi in okužuje NAS-e proizvajalcev QNAP in Synology, ki so dostopni z interneta. Prvikrat so novo verzijo eCh0raix opazili lanskega septembra, medtem ko je sama koda še starejša. Že leta 2016 je napadala QNAP-ove NAS-e, zato se imenuje QNAPCrypt. Kasneje so ji dodali funkcije napada še drugih sistemov, od tarč pa zahteva plačilo nekaj sto dolarjev (v bitcoinih) odkupnine.

Vmes je čas tekel, stare ranljivosti se zakrpali, odkrite pa so nove. Nova inačica virusa izkorišča ranljivost ID CVE-2021-28799, ki tiči v starejših verzijah naprav QNAP-a in Synologyja. Na napravah QNAP na primer napade programsko opremo Hybrid Backup Sync (HBS 3), ki je namenjena sinhronizaciji med lokalni, oddaljenimi in oblačnimi slikami podatkov. Analitiki ocenjujejo, da je v internet priključenih vsaj 240.000 ranljivih naprav QNAP in 3500...

Slo-Tech - Od nekdaj je veljalo, da je računalnik, do katerega napadalec pridobi fizični dostop, slej ko prej kompromitiran. Z razvojem novih metod zaščite, od šifriranja do posebnih varnih enklav v čipih (Trusted Platform Module oz. TPM) se postavi vprašanje, ali ta problem še vedno ostaja. Raziskovalci iz Dolos Group so nedavno pokazali, da je prestrežen računalnik kljub vsem varnostnim ukrepom še vedno ranljiv.

Proučevali so scenarij, ko podjetje zaposlenim pripravi prenosne računalnike za delo od doma. Ti upoštevajo vsa znana priporočila NSA in NIST, kar vključuje šifriranje vsebine diska, uporabo varne (TPM) strojne opreme itd. Dobili so torej računalnik, ki je bil zaščiten, hkrati pa o njem niso vedeli ničesar. Ali ga je mogoče zlomiti?

Izkaže se, da v pol ure! Čeprav klasični prijemi niso delovali (napad prek DMA, obvoz avtentikacije, pridobivanje podatkov iz vmesnika ethernet/USB itd.), je šibek člen kar TPM. Računalnik je imel šifriran disk z BitLockerjem in se je avtomatično...

Slo-Tech - Kitajski raziskovalci (z University of the Chinese Academy of Sciences) so pokazali, da je možno zlonamerno kodo učinkovito skriti v nevronske mreže in jo s tem pretihotapiti mimo protivirusnih zaščit. V objavljenem članku so 36,9 MB virusne kode skrili v 178 MB veliko nevronsko mrežo, ki je sicer namenjena prepoznavanju fotografij. S tem njenega delovanja niso opazno poslabšali (manj kot odstotek), so pa se izmuznili protivirusnim programom. Storitev VirusTotal, ki uporablja več kot 70 različnih protivirusnih programov in sezname sumljivih strani, domen in podobna orodja za iskanje sumljivega obnašanja, ni opazila ničesar.

Raziskovalci so v izdelani model nevronske mreže, ki je dobro deloval, v primeren sloj podtaknili virus. Možno je tudi drugače, in sicer lahko vzamejo nenatreniran model, mu dodajo virus in ga potem urijo. Rezultat bo nevronska mreža, ki bo nekoliko večja, bo pa primerljivo kakovostna. To je v bistvu steganografija, umetnost skrivanja, ki ni novost. Skrivna...

Slo-Tech - V začetku meseca se je odvil največji usklajeni hekerski napad doslej, ki ga je ruska skupina REvil izvedla nad več kot 1500 podjetji v več deset državah. Zahtevali so 50 milijonov dolarjev odkupnine za univerzalni ključ, ki bi odšifriral vse datoteke, zaklenjene z izsiljevalskim virusom, sicer pa so od posameznih podjetij zahtevali manj, odvisno od velikosti. Dobra dva tedna pozneje je skupina izginila z interneta. Sedaj je napada uradno konec, saj je javno dostopen univerzalni ključ za dešifriranje.

Napad je potekal prek vektorja, ki ga je predstavljajo orodje za oddaljeni nadzor strežnikov, ki ga nudi podjetje Kaseya. To je hitro zakrpalo luknje in pripravilo popravke, a na okuženih sistemih je bila škoda že storjena. Sedaj pa jo bo možno odpraviti, saj je Kasea pridobila univerzalni ključ za dekripcijo. Podpredsednica podjetja Dana Liedholm je dejala, da so ga dobili od zaupanja vrednega partnerja in da so ga že preizkusili. Vse stranke, ki še imajo težave, se lahko obrnejo na...

Slo-Tech - Največje podjetje na svetu, savdski državni naftni gigant Saudi Aramco, je potrdil, da ni bil tarča hekerskega napada, čeprav na internetu najdemo njihove zaupne dokumente (kar so tudi potrdili). Nekatere interne datoteke podjetja so pricurljale na internet, in sicer prek pogodbenega izvajalca, ki so mu hekerji podtaknili izsiljevalski virus. Zahtevali so 50 milijonov dolarjev odkupnine, na temnem spletu pa so se hvalili, da imajo 1 terabajt informacij.

Saudi Aramco je potrdil, da podatki niso odtekli iz njihovih sistemov in da hekerji niso vdrli v informacijski sistem podjetja. Toda že 23. junija so se na spletu neznani hekerji pohvalili, da imajo omenjeni terabajt podatkov. V zameno za izbris so zahtevali odkupnino v kriptovaluti monero, ki ji je težko slediti, sicer bi podatke razkrili javnosti. Po drugi strani pa so podatke tretjem kupcem ponujali za pet milijonov dolarjev, s čimer so dodatno pritiskali na Saudi Aramco, naj plača odkupnino in si zagotovi izbris podatkov....

Reuters - Hekerska skupina REvil, ki je bila med drugim odgovorna tudi za največji koordiniran izsiljevalski napad, ki se je zgodil nedavno, je izginila z obličja interneta. Spletne strani, ki jih je upravljala skupina, so izginile v torek. Tudi druga infrastruktura, denimo strani za pogajanje z žrtvami o višini odkupnine, je prenehala delovati. Raziskovalci in novinarji, ki so pred tem lahko vzpostavili stik s skupino, so praznih rok.

To še ne pomeni nujno, da se jim je zgodilo kaj hudega, saj so v preteklosti podobne skupine že izginile, ko so pritegnile preveč pozornosti javnosti in zlasti organov pregona, ter se potem vrnile v drugačni embalaži. REvil je zagotovo požel ogromno pozornosti, saj so v svojem zadnjem napadu prizadeli od 800 do 1500 podjetij in organizacij po celem svetu. O njihovem početju so govorili tudi na najvišjih ravneh, ameriški predsednik pa je v petek dejal, da bi se lahko ZDA agresivneje odzivale na tovrstne grožnje, ter enako zahteval tudi od Rusije. Ameriške...

Vice - Pred mesecem dni smo poročali o uspešnem zaključku mednarodne preiskave, v kateri so aretirali 800 osumljencev za huda kazniva dejanja. Ključni način za zbiranje dokazov so bili pametni telefoni, ki jih je v letih 2019-2021 pod krinko prodajal FBI kot varne telefone z zaščito proti prisluškovanju, v resnici pa so bili okuženi. Na njih je bila platforma ANOM, ki naj bi bila omogoča varno šifrirano komunikacijo. Sedaj vemo več, saj so se ti telefoni znašli na trgu rabljenih naprav.

Vice je dobil en tak telefon in ga podrobno analiziral. Dobili so ga od uporabnika, ki ga je kupil rabljenega kot poceni telefon, pri čemer sploh ni vedel, da bo dobil zloglasni telefon ANOM (ki je bil predhodno v lasti nekega kriminalca). Takih primerov je še več. Gre za telefon Google Pixel 4a (pojavljajo se tudi Google Pixel 3a, ki so predelani na enak način), ki na prvi (in drugi) pogled deluje povsem običajno. Tako se zdi, če vpišemo PIN, ki odpre značilno namizje, na katerem so ikone do popularnih...

bleepingcomputer.com - Po tem, ko so iz Microsofta v torek poslali prve popravke za ranljivost PrintNightmare (CVE-2021-34527), so varnostni strokovnjaki ugotovili, da jo je mogoče v določenih primerih še vedno zlorabiti in prevzeti nadzor nad sistemom.

V začetku junija so pri Microsoftu z rednimi obliži pokrpali ranljivost CVE-2021-1675. Luknja je zevala v okenskem organizatorju tiskanja (print spooler) in je napadalcem omogočala pridobitev administratorskih privilegijev. Toda nato je prišlo do komedije zmešnjav: teden dni kasneje sta raziskovalca Zhiniang Peng in Xuefeng Li ugotovila, da je mogoče ranljivost izkoristiti tudi za izvajanje kode na daljavo. Ker sta menila, da je težava že odpravljena, sta koncept zlorabe javno objavila, nakar se je izkazalo, da sta v resnici naletela na povsem novo, ločeno ranljivost - CVE-2021-34527, ki sta jo poimenovala PrintNightmare. Ta zlikovcem na daljavo omogoča vdor v krmilnik domen (domain controller), če je ciljni računalnik povezan v internet in daje na...

ZDNet - Na dan prihajajo nove podrobnosti izsiljevalskega napada ruske grupe REvil, ki se je pričel v petek in je zlorabil ranljivost v programski opremi firme Kaseya. Potencialno je na udaru do 1500 podjetij, ki prihajajo tudi iz Evrope in Azije, zlikovci pa za univerzalni ključ zahtevajo petdeset milijonov dolarjev.

Letošnji ameriški praznik dneva neodvisnosti so varnostni strokovnjaki preždeli pred zasloni in s kavo v rokah, kajti na predvečer prazničnega vikenda, 2. julija, je zloglasna ruska hekerska združba REvil sprožila obsežen ransomware napad na mnoga podjetja, najprej prvenstveno v Združenih državah. Vektor napada je bila programska oprema VSA ameriškega podjetja Kaseya, ki jo njene stranke, to so upravljalci omrežij, uporabljajo za upravljanje računalniških sistemov podjetij in njihov nadzor na daljavo. Čez vikend so nepridipravi javno objavili zahtevo po odkupnini v višini 70 milijonov ameriških dolarjev v zameno za univerzalno orodje za odklep ugrabljenih podatkov, ki pa naj...

Reuters - Najmanj 200 ameriških podjetij je bilo včeraj, na začetek prazničnega konca tedna v ZDA, žrtev obsežnega izsiljevalskega napada. Ta je potekal prek orodja VSA floridskega ponudnika Kaseya, ki ga ponudniki upravljanja sistemov uporabljajo za množično upravljanje in nadzor strežnikov, delovnih postaj, prenosnikov, tiskalnikov in omrežnih naprav pri svojih strankah.

Napadalci so tako simultano napadli približno dvesto strank osmih ponudnikov, ki so uporabljali Kaseyin VSA in jim zašifrirali podatke. V zameno pa seveda zahtevali odkupnine, ki glede na pomembnost in velikost posamezne družbe segajo od nekaj dolarskih tisočakov pa tja do petih milijonov ameriških dolarjev.

Predstavniki Kaseye, ki ima sicer okoli 40.000 strank, so sporočili, da morebitni napad preiskujejo in da so za vsak slučaj ugasnili del svoje infrastrukture, svoje stranke pa obveščajo, naj nemudoma ugasnejo svoje strežnike. Preiskavo so zagnali tudi v ameriški zvezni Agenciji za informacijsko varnost in...

Slo-Tech - Ameriški regulator finančnih inštitucij (Financial Industry Regulatory Authority) je kaznoval podjetje Robinhood Financial LLC, ki trži aplikacijo Robinhood za hitro in poceni trgovanje na borzah. FINRA je Robinhoodu izrekla 57 milijonov dolarjev globe in plačilo 12,6 milijona dolarjev odškodnine strankam, ki so bile zaradi protipravnega delovanja oškodovane. To je najvišja globa, ki jo je FINRA doslej izrekla.

Glavni očitek se nanaša na tehnične težave z mobilno platformo za trgovanje, zaradi katerih med povečano volatilnostjo stranke niso mogle opravljati vseh poslov, kar jim je povzročile visoke izgube. Poleg tega je Robinhood tudi nepoučenim vlagatelj dovoljeval investicije v kompleksne izvedene instrumente, ki so zelo tvegani, ne da bi jih primerno opozoril na možnost izgube premoženja. K temu sodi tudi trgovanje z visokimi vzvodi. FINRA je posebej izpostavila lanski primer, ko je uporabnik Robinhooda storil samomor, ker mu je aplikacija napak prikazovala negativno stanje v...

Ars Technica - Raziskovalci varnostnega podjetja Eclypsium so že v začetku marca odkrili paket varnostnih lukenj na Dellovih računalnikih, prek katerih je mogoče z njihovo povezavo prevzeti nadzor nad napravo, njenim zagonom, s tem pa tudi nad varnostnimi funkcijami operacijskega sistema. Ranljivosti imajo na lestvici Common Vulnerability Scoring System (CVSS) skupno varnostno oceno 8,3, prek njih pa je ogroženih 128 različnih Dellovih tablic ter namiznih in prenosnih računalnikov, skupaj naj bi šlo kar za okoli 30 milijonov naprav.

Središče nevarnosti predstavlja orodje Dell SupportAssist, ki je večinoma že prednaloženo na naprave in njegova funkcionalnost BIOSConnect, ki naj bi uporabnikom olajšala nadgradnje in popravke firmwara ter pomagala pri ponovni vzpostavitvi operacijskega sistema po morebitni zrušitvi. Orodje se v ta namen samo poveže v Dellov oblak in od tam prenese potrebne podatke. Raziskovalci pa so v tem procesu odkrili četverico ranljivosti, ki bi napadalcu lahko omogočile...

Microsoft - Iz Microsofta so v razmeroma skopem sporočilu opozorili na nov napad s strani hekerske skupine Nobelium, kar je njihovo poimenovanje združbe APT29, oziroma Cozy Bear. Tokratni podvig je bil manjšega obsega, toda z važno podrobnostjo: začel se je z vdorom v računalnik enega od Microsoftovih uslužbencev.

Hekerska grupa Nobelium je ta hip brez dvoma eden najbolj poznanih globalnih kiber-napadalcev, saj je v lanskem letu zagrešila enega največjih hekerskih vdorov v zgodovini, ko se je skozi okuženo programsko opremo podjetja SolarWinds pretihotapila v vrsto pomembnih ameriških podjetij in agencij. Kdo natančno skupino sestavlja, še vedno ni čisto jasno; zelo verjetno se večinsko prekriva z že dlje časa razvpito rusko združbo Cozy Bear. Američani so še vedno trdno prepričani, da gre za Ruse, tesno povezane s tamkajšnjo obveščevalno službo. Gotovo pa gre za organizirano skupino, katere delovanje je zastavljeno na dolgi rok, kar Američani imenujejo persistent threat actor. Tako so v...

Slo-Tech - V sredo 30. junija ob 20. uri bo na virtualnem srečanju OWASP Maribor Matjaž Demšar predstavil nekaj izzivov povezanih s kibernetsko obrambo na področju nadzorovanja in krmiljenja industrijskih sistemov.

S prodiranjem digitalizacije v proizvodna okolja in kritično infrastrukturo se pojavljajo tudi tveganja za upravljavce. Pristopi k varovanju se precej razlikujejo od običajnega IT okolja in postavljajo organizacije pred izzive, njihovo infrastrukturo pa v nevarnost. Pogledali si bomo primer napada na elektro distributerja v Ukrajini leta 2015 ter priporočila za zagotavljanje varnosti v takih primerih.

Vabljeni k obisku, s prijavo na dogodek boste pridobili povezavo na online srečanje.

Ars Technica - Zunanji trdi diski so med uporabniki precej popularni kot rešitev za varnostno kopiranje pomembnih podatkov. Nekateri zunanji diski imajo tudi lasten omrežni vmesnik, tako da ga povežemo kar na mrežo in je lahko stalno prižgan ter povezan na internet, soležne aplikacije na telefonu pa omogočajo, da so vsebine dostopne od kjerkoli.

Ena izmed takih naprav je tudi My Book Live proizvajalca Western Digital. My Book Live, kot izhaja že iz imena, je "v živo" povezan z internetom oz. strežniki Western Digitala. Ta povezava pa očitno omogoča tudi tovarniško ponastavitev naprave, kar ima za posledico izbris vseh vsebin, ki jih naprava hrani. To se je včeraj začelo dogajati posameznim uporabnikom, simptom tega pa je npr. neveljavno geslo, ko se poskusite prijaviti na spletni nadzorni vmesnik naprave.

Če se naprava še ni ponastavila, jo nemudoma odklopite iz mreže, če ima ta mreža dostop do interneta, da preprečite izgubo podatkov.

Slo-Tech - Pred petimi leti je sprva v Bangladešu in kasneje po celotnem sistemu SWIFT potekala prava drama, v kateri je bila na kocki milijarda dolarjev. Na koncu se je razpletlo sorazmerno srečno, saj so hekerji uspeli ukrasti le 81 milijonov dolarjev. Dolgo se je ugibalo, kdo je stal za napadom, kasneje pa smo spoznali, da je bil napad delo Severno Koreje. Obširno reportažo o tem je pripravil BBC, ki je na voljo tudi v podcastu iz desetih delov.

Začelo se je ob 8.45 zjutraj 5. februarja 2016 z nedelujočih tiskalnikom v bangladeški centralni banki. Kar je delovalo kot neškodljiva nevšečnost, je bil prvi vidni znak metodičnega dela skupine Lazarus, ki je delovala iz celotne Azije pod pokroviteljstvom Severne Koreje. Eden izmed glavnih osumljencev je Park Jin-hyok, ki sodi v skupino elitnih hekerjev, ki jih načrtno, do mladih nog vzgaja Severna Koreja. Že izbira datuma je kazala na metodičnost, saj se je napad začel v četrtek ob 20. uri po bangladeškem času, ko je ameriška centralna banka...