Slo-Tech - Kitajski raziskovalci (z University of the Chinese Academy of Sciences) so pokazali, da je možno zlonamerno kodo učinkovito skriti v nevronske mreže in jo s tem pretihotapiti mimo protivirusnih zaščit. V objavljenem članku so 36,9 MB virusne kode skrili v 178 MB veliko nevronsko mrežo, ki je sicer namenjena prepoznavanju fotografij. S tem njenega delovanja niso opazno poslabšali (manj kot odstotek), so pa se izmuznili protivirusnim programom. Storitev VirusTotal, ki uporablja več kot 70 različnih protivirusnih programov in sezname sumljivih strani, domen in podobna orodja za iskanje sumljivega obnašanja, ni opazila ničesar.

Raziskovalci so v izdelani model nevronske mreže, ki je dobro deloval, v primeren sloj podtaknili virus. Možno je tudi drugače, in sicer lahko vzamejo nenatreniran model, mu dodajo virus in ga potem urijo. Rezultat bo nevronska mreža, ki bo nekoliko večja, bo pa primerljivo kakovostna. To je v bistvu steganografija, umetnost skrivanja, ki ni novost. Skrivna...

Slo-Tech - V začetku meseca se je odvil največji usklajeni hekerski napad doslej, ki ga je ruska skupina REvil izvedla nad več kot 1500 podjetji v več deset državah. Zahtevali so 50 milijonov dolarjev odkupnine za univerzalni ključ, ki bi odšifriral vse datoteke, zaklenjene z izsiljevalskim virusom, sicer pa so od posameznih podjetij zahtevali manj, odvisno od velikosti. Dobra dva tedna pozneje je skupina izginila z interneta. Sedaj je napada uradno konec, saj je javno dostopen univerzalni ključ za dešifriranje.

Napad je potekal prek vektorja, ki ga je predstavljajo orodje za oddaljeni nadzor strežnikov, ki ga nudi podjetje Kaseya. To je hitro zakrpalo luknje in pripravilo popravke, a na okuženih sistemih je bila škoda že storjena. Sedaj pa jo bo možno odpraviti, saj je Kasea pridobila univerzalni ključ za dekripcijo. Podpredsednica podjetja Dana Liedholm je dejala, da so ga dobili od zaupanja vrednega partnerja in da so ga že preizkusili. Vse stranke, ki še imajo težave, se lahko obrnejo na...

Slo-Tech - Največje podjetje na svetu, savdski državni naftni gigant Saudi Aramco, je potrdil, da ni bil tarča hekerskega napada, čeprav na internetu najdemo njihove zaupne dokumente (kar so tudi potrdili). Nekatere interne datoteke podjetja so pricurljale na internet, in sicer prek pogodbenega izvajalca, ki so mu hekerji podtaknili izsiljevalski virus. Zahtevali so 50 milijonov dolarjev odkupnine, na temnem spletu pa so se hvalili, da imajo 1 terabajt informacij.

Saudi Aramco je potrdil, da podatki niso odtekli iz njihovih sistemov in da hekerji niso vdrli v informacijski sistem podjetja. Toda že 23. junija so se na spletu neznani hekerji pohvalili, da imajo omenjeni terabajt podatkov. V zameno za izbris so zahtevali odkupnino v kriptovaluti monero, ki ji je težko slediti, sicer bi podatke razkrili javnosti. Po drugi strani pa so podatke tretjem kupcem ponujali za pet milijonov dolarjev, s čimer so dodatno pritiskali na Saudi Aramco, naj plača odkupnino in si zagotovi izbris podatkov....

Reuters - Hekerska skupina REvil, ki je bila med drugim odgovorna tudi za največji koordiniran izsiljevalski napad, ki se je zgodil nedavno, je izginila z obličja interneta. Spletne strani, ki jih je upravljala skupina, so izginile v torek. Tudi druga infrastruktura, denimo strani za pogajanje z žrtvami o višini odkupnine, je prenehala delovati. Raziskovalci in novinarji, ki so pred tem lahko vzpostavili stik s skupino, so praznih rok.

To še ne pomeni nujno, da se jim je zgodilo kaj hudega, saj so v preteklosti podobne skupine že izginile, ko so pritegnile preveč pozornosti javnosti in zlasti organov pregona, ter se potem vrnile v drugačni embalaži. REvil je zagotovo požel ogromno pozornosti, saj so v svojem zadnjem napadu prizadeli od 800 do 1500 podjetij in organizacij po celem svetu. O njihovem početju so govorili tudi na najvišjih ravneh, ameriški predsednik pa je v petek dejal, da bi se lahko ZDA agresivneje odzivale na tovrstne grožnje, ter enako zahteval tudi od Rusije. Ameriške...

Vice - Pred mesecem dni smo poročali o uspešnem zaključku mednarodne preiskave, v kateri so aretirali 800 osumljencev za huda kazniva dejanja. Ključni način za zbiranje dokazov so bili pametni telefoni, ki jih je v letih 2019-2021 pod krinko prodajal FBI kot varne telefone z zaščito proti prisluškovanju, v resnici pa so bili okuženi. Na njih je bila platforma ANOM, ki naj bi bila omogoča varno šifrirano komunikacijo. Sedaj vemo več, saj so se ti telefoni znašli na trgu rabljenih naprav.

Vice je dobil en tak telefon in ga podrobno analiziral. Dobili so ga od uporabnika, ki ga je kupil rabljenega kot poceni telefon, pri čemer sploh ni vedel, da bo dobil zloglasni telefon ANOM (ki je bil predhodno v lasti nekega kriminalca). Takih primerov je še več. Gre za telefon Google Pixel 4a (pojavljajo se tudi Google Pixel 3a, ki so predelani na enak način), ki na prvi (in drugi) pogled deluje povsem običajno. Tako se zdi, če vpišemo PIN, ki odpre značilno namizje, na katerem so ikone do popularnih...

bleepingcomputer.com - Po tem, ko so iz Microsofta v torek poslali prve popravke za ranljivost PrintNightmare (CVE-2021-34527), so varnostni strokovnjaki ugotovili, da jo je mogoče v določenih primerih še vedno zlorabiti in prevzeti nadzor nad sistemom.

V začetku junija so pri Microsoftu z rednimi obliži pokrpali ranljivost CVE-2021-1675. Luknja je zevala v okenskem organizatorju tiskanja (print spooler) in je napadalcem omogočala pridobitev administratorskih privilegijev. Toda nato je prišlo do komedije zmešnjav: teden dni kasneje sta raziskovalca Zhiniang Peng in Xuefeng Li ugotovila, da je mogoče ranljivost izkoristiti tudi za izvajanje kode na daljavo. Ker sta menila, da je težava že odpravljena, sta koncept zlorabe javno objavila, nakar se je izkazalo, da sta v resnici naletela na povsem novo, ločeno ranljivost - CVE-2021-34527, ki sta jo poimenovala PrintNightmare. Ta zlikovcem na daljavo omogoča vdor v krmilnik domen (domain controller), če je ciljni računalnik povezan v internet in daje na...

ZDNet - Na dan prihajajo nove podrobnosti izsiljevalskega napada ruske grupe REvil, ki se je pričel v petek in je zlorabil ranljivost v programski opremi firme Kaseya. Potencialno je na udaru do 1500 podjetij, ki prihajajo tudi iz Evrope in Azije, zlikovci pa za univerzalni ključ zahtevajo petdeset milijonov dolarjev.

Letošnji ameriški praznik dneva neodvisnosti so varnostni strokovnjaki preždeli pred zasloni in s kavo v rokah, kajti na predvečer prazničnega vikenda, 2. julija, je zloglasna ruska hekerska združba REvil sprožila obsežen ransomware napad na mnoga podjetja, najprej prvenstveno v Združenih državah. Vektor napada je bila programska oprema VSA ameriškega podjetja Kaseya, ki jo njene stranke, to so upravljalci omrežij, uporabljajo za upravljanje računalniških sistemov podjetij in njihov nadzor na daljavo. Čez vikend so nepridipravi javno objavili zahtevo po odkupnini v višini 70 milijonov ameriških dolarjev v zameno za univerzalno orodje za odklep ugrabljenih podatkov, ki pa naj...

Reuters - Najmanj 200 ameriških podjetij je bilo včeraj, na začetek prazničnega konca tedna v ZDA, žrtev obsežnega izsiljevalskega napada. Ta je potekal prek orodja VSA floridskega ponudnika Kaseya, ki ga ponudniki upravljanja sistemov uporabljajo za množično upravljanje in nadzor strežnikov, delovnih postaj, prenosnikov, tiskalnikov in omrežnih naprav pri svojih strankah.

Napadalci so tako simultano napadli približno dvesto strank osmih ponudnikov, ki so uporabljali Kaseyin VSA in jim zašifrirali podatke. V zameno pa seveda zahtevali odkupnine, ki glede na pomembnost in velikost posamezne družbe segajo od nekaj dolarskih tisočakov pa tja do petih milijonov ameriških dolarjev.

Predstavniki Kaseye, ki ima sicer okoli 40.000 strank, so sporočili, da morebitni napad preiskujejo in da so za vsak slučaj ugasnili del svoje infrastrukture, svoje stranke pa obveščajo, naj nemudoma ugasnejo svoje strežnike. Preiskavo so zagnali tudi v ameriški zvezni Agenciji za informacijsko varnost in...

Slo-Tech - Ameriški regulator finančnih inštitucij (Financial Industry Regulatory Authority) je kaznoval podjetje Robinhood Financial LLC, ki trži aplikacijo Robinhood za hitro in poceni trgovanje na borzah. FINRA je Robinhoodu izrekla 57 milijonov dolarjev globe in plačilo 12,6 milijona dolarjev odškodnine strankam, ki so bile zaradi protipravnega delovanja oškodovane. To je najvišja globa, ki jo je FINRA doslej izrekla.

Glavni očitek se nanaša na tehnične težave z mobilno platformo za trgovanje, zaradi katerih med povečano volatilnostjo stranke niso mogle opravljati vseh poslov, kar jim je povzročile visoke izgube. Poleg tega je Robinhood tudi nepoučenim vlagatelj dovoljeval investicije v kompleksne izvedene instrumente, ki so zelo tvegani, ne da bi jih primerno opozoril na možnost izgube premoženja. K temu sodi tudi trgovanje z visokimi vzvodi. FINRA je posebej izpostavila lanski primer, ko je uporabnik Robinhooda storil samomor, ker mu je aplikacija napak prikazovala negativno stanje v...

Ars Technica - Raziskovalci varnostnega podjetja Eclypsium so že v začetku marca odkrili paket varnostnih lukenj na Dellovih računalnikih, prek katerih je mogoče z njihovo povezavo prevzeti nadzor nad napravo, njenim zagonom, s tem pa tudi nad varnostnimi funkcijami operacijskega sistema. Ranljivosti imajo na lestvici Common Vulnerability Scoring System (CVSS) skupno varnostno oceno 8,3, prek njih pa je ogroženih 128 različnih Dellovih tablic ter namiznih in prenosnih računalnikov, skupaj naj bi šlo kar za okoli 30 milijonov naprav.

Središče nevarnosti predstavlja orodje Dell SupportAssist, ki je večinoma že prednaloženo na naprave in njegova funkcionalnost BIOSConnect, ki naj bi uporabnikom olajšala nadgradnje in popravke firmwara ter pomagala pri ponovni vzpostavitvi operacijskega sistema po morebitni zrušitvi. Orodje se v ta namen samo poveže v Dellov oblak in od tam prenese potrebne podatke. Raziskovalci pa so v tem procesu odkrili četverico ranljivosti, ki bi napadalcu lahko omogočile...

Microsoft - Iz Microsofta so v razmeroma skopem sporočilu opozorili na nov napad s strani hekerske skupine Nobelium, kar je njihovo poimenovanje združbe APT29, oziroma Cozy Bear. Tokratni podvig je bil manjšega obsega, toda z važno podrobnostjo: začel se je z vdorom v računalnik enega od Microsoftovih uslužbencev.

Hekerska grupa Nobelium je ta hip brez dvoma eden najbolj poznanih globalnih kiber-napadalcev, saj je v lanskem letu zagrešila enega največjih hekerskih vdorov v zgodovini, ko se je skozi okuženo programsko opremo podjetja SolarWinds pretihotapila v vrsto pomembnih ameriških podjetij in agencij. Kdo natančno skupino sestavlja, še vedno ni čisto jasno; zelo verjetno se večinsko prekriva z že dlje časa razvpito rusko združbo Cozy Bear. Američani so še vedno trdno prepričani, da gre za Ruse, tesno povezane s tamkajšnjo obveščevalno službo. Gotovo pa gre za organizirano skupino, katere delovanje je zastavljeno na dolgi rok, kar Američani imenujejo persistent threat actor. Tako so v...

Slo-Tech - V sredo 30. junija ob 20. uri bo na virtualnem srečanju OWASP Maribor Matjaž Demšar predstavil nekaj izzivov povezanih s kibernetsko obrambo na področju nadzorovanja in krmiljenja industrijskih sistemov.

S prodiranjem digitalizacije v proizvodna okolja in kritično infrastrukturo se pojavljajo tudi tveganja za upravljavce. Pristopi k varovanju se precej razlikujejo od običajnega IT okolja in postavljajo organizacije pred izzive, njihovo infrastrukturo pa v nevarnost. Pogledali si bomo primer napada na elektro distributerja v Ukrajini leta 2015 ter priporočila za zagotavljanje varnosti v takih primerih.

Vabljeni k obisku, s prijavo na dogodek boste pridobili povezavo na online srečanje.

Ars Technica - Zunanji trdi diski so med uporabniki precej popularni kot rešitev za varnostno kopiranje pomembnih podatkov. Nekateri zunanji diski imajo tudi lasten omrežni vmesnik, tako da ga povežemo kar na mrežo in je lahko stalno prižgan ter povezan na internet, soležne aplikacije na telefonu pa omogočajo, da so vsebine dostopne od kjerkoli.

Ena izmed takih naprav je tudi My Book Live proizvajalca Western Digital. My Book Live, kot izhaja že iz imena, je "v živo" povezan z internetom oz. strežniki Western Digitala. Ta povezava pa očitno omogoča tudi tovarniško ponastavitev naprave, kar ima za posledico izbris vseh vsebin, ki jih naprava hrani. To se je včeraj začelo dogajati posameznim uporabnikom, simptom tega pa je npr. neveljavno geslo, ko se poskusite prijaviti na spletni nadzorni vmesnik naprave.

Če se naprava še ni ponastavila, jo nemudoma odklopite iz mreže, če ima ta mreža dostop do interneta, da preprečite izgubo podatkov.

Slo-Tech - Pred petimi leti je sprva v Bangladešu in kasneje po celotnem sistemu SWIFT potekala prava drama, v kateri je bila na kocki milijarda dolarjev. Na koncu se je razpletlo sorazmerno srečno, saj so hekerji uspeli ukrasti le 81 milijonov dolarjev. Dolgo se je ugibalo, kdo je stal za napadom, kasneje pa smo spoznali, da je bil napad delo Severno Koreje. Obširno reportažo o tem je pripravil BBC, ki je na voljo tudi v podcastu iz desetih delov.

Začelo se je ob 8.45 zjutraj 5. februarja 2016 z nedelujočih tiskalnikom v bangladeški centralni banki. Kar je delovalo kot neškodljiva nevšečnost, je bil prvi vidni znak metodičnega dela skupine Lazarus, ki je delovala iz celotne Azije pod pokroviteljstvom Severne Koreje. Eden izmed glavnih osumljencev je Park Jin-hyok, ki sodi v skupino elitnih hekerjev, ki jih načrtno, do mladih nog vzgaja Severna Koreja. Že izbira datuma je kazala na metodičnost, saj se je napad začel v četrtek ob 20. uri po bangladeškem času, ko je ameriška centralna banka...

Slo-Tech - V Ukrajini so po obsežni preiskavi, ki jo je tamkajšnja policija izvedla v sodelovanju z Interpolom, ameriškimi in južnokorejskimi oblastmi, aretirali šest članov kriminalne združbe Cl0P, ki se je ukvarjala z izsiljevalskimi virusi. Omenjena skupina je s svojim delovanjem povzročila za pol milijard dolarjev škode. Ukrajinska policija je potrdila, da je kibernetski oddelek razbil skupino, ki je delovala vsaj od leta 2019. Osredotočali so se na ameriške in južnokorejske tarče. V prestolnici in okolici so izvedli 21 hišnih preiskav. Zasegli so več računalnikov, vozil in za okrog 150.000 evrov ukrajinske gotovine. Pridržane posameznike so obtožili nezakonitega vstopa v računalniške sisteme in pranja denarja, zaradi česar jim grozi do osem let zapora.

Cl0P je zgolj ena izmed hekerskih skupin, ki uporabljajo izsiljevalsko programsko opremo za pridobivanje denarja od žrtev. Uporabljali so klasično dvojno taktiko: žrtvam so podatke zašifrirali, tako da so jih lahko dobile nazaj le ob...

Slo-Tech - Google je v aplikacijo Google Messages, ki je privzeta aplikacija za pošiljanje in prejemanje kratkih sporočil (SMS) na androidnih telefonih, dodal možnost šifriranja sporočil od pošiljatelja do prejemnika (end-to-end). Funkcionalnost so preizkušali že nekaj mesecev, sedaj pa je na voljo vsem. Vseeno pa nekaj omejitev ostaja.

Šifriranje bo seveda delovala le, če oba sodelujoča v pogovoru uporabljata Google Messages, če imata vključen protokol RCS in če se pogovarjata sama (skupinski pogovori odpadejo). RCS je nadgradnja protokola za SMS iz leta 2008, ki prinaša deljenje lokacije, potrdilo o odprtju, vidnost tipkanja itd. Odkar prenos podatkov ni več omejitev, kratka sporočila pa so marsikod neomejena dobrina, sta tudi razvoj in implementacija RCS malo zastala. Google je praktično edini večji igralec, ki se še ukvarja z RCS in od leta 2019 uvajajo lasten sistem, ki ni odvisen od operaterja.

V Google Messages je šifriranje izvedeno po protokolu Signal, ki ga uporabljajo tudi...

Slo-Tech - Ameriški letalski prevoznik Southwest Airlines je včeraj odpovedal približno 500 letov, še več sto pa jih je zamujalo, ker so morali zaradi težav z računalniškim sistemom začasno ustaviti delovanje. Letala so bila prizemljena od 19.45 do 20.30 po slovenskem času, zaradi česar je 37 odstotkov poletov (okrog 1300) pridelalo zamudo. Razlog je težava z mrežno povezljivostjo, zaradi česar je Southwest zaprosil FAA, naj uradno prizemlji njihova letala, da ne bi kje kakšno po nevede vzletelo. To je že druga težava v zadnjih 24 urah pri istem letalskem prevozniku.

Že v torek zjutraj po slovenskem času je Southwest zaradi druge, po besedah prevoznika nepovezane težave, začasno prizemljil svoja letala, a tedaj letov ni bilo treba odpovedati. Zjutraj je bila težava s sistemom za zagotavljanje vremenskih podatkov, so sporočili. Težavo, ki je izvirala pri zunanjem ponudniku storitev, so odpravili okrog 6. ure zjutraj po slovenskem času. Tedaj je zamudilo 1541 letal. Zaradi včerajšnjih težav so...

Slo-Tech - Zaradi lepega vedenja bodo iz zapora predčasno izpustili Reality Winner, ki je leta 2017 časniku The Intercept posredovala dokumente, ki so bili v ZDA označeni kot tajni. V letih 2010-2016 je delala v ameriškem vojaškem letalstvu kot strokovnjakinja za lingvistiko in kriptologijo, potem pa je nadaljevala kariero v zasebnem podjetju, ki je bilo podizvajalec za NSA, zato je obdržala licenco za dostop do nekaterih tajnih podatkov. Tako je pridobila dokumente o ruskem vpletanju v ameriške volitve, ki jih je posredovala časniku. Ta je po avtentičnosti vprašal NSA, ki je ugotovila, da gre za skenirane verzije natisnjenih dokumentov, zato jih je posredovala FBI. Ta je v preiskavi hitro ugotovil, da jih je odtujila Reality Winner, saj so bile na kopijah vidne mikrotočke, ki omogočajo identifikacijo tiskalnika, od tod pa je bil do identifikacije storilca le še korak.

Leta 2018 je bila Reality Winner obsojena na petletno zaporno kazen zaradi izdaje zaupnih dokumentov. Doslej je v zaporu...

Slo-Tech - Četudi zadnje čase več poročamo o izsiljevalskih virusih, ribarjenje (phishing) še vedno ostaja zelo priljubljena vrsta internetnega kriminala. V poročilu APWG (Anti-Phishing Working Group) ugotavljajo, da je letos število tovrstnih spletnih strani doseglo absolutni rekord, in sicer so jih našteli 245.771. To je več kot dvakrat več kot v enakem obdobju lani.

V delovni skupini APWG je več kot 2200 organizacij, med katerimi so tudi tehnološki velikani (Microsoft, Facebook, PayPal), strokovnjaki za varnost (RSA, ESET), organizacije (ICANN) in drugi. Ugotavljajo, da število ribarskih spletnih strani sicer niha, in je bilo najvišje januarja letos, februarja pa nekoliko nižje, a je trend rastoč. Teh 200-250 tisoč strani skuša posnemati okrog 500 uveljavljenih znamk, med katerimi je četrtina finančnih inštitucij, slaba četrtina družbenih omrežij ter petina ponudnikov spletne pošte. To je tudi razumljivo, saj kraja prijavnih podatkov za omenjene vrste storitev kriminalcem nudi najboljši...

Vice - Za zdaj še neznani vdiralci so sporočili, da so uspešno vdrli v omrežje velikana digitalne zabave Electronic Arts (EA) in pri tem odnesli za 780 GB podatkov. Med njimi naj bi bila izvorna koda za FIFO 21 - in z njo povezana orodja, napadalci pa naj bi imeli v rokah tudi izvorno kodo za grafični pogon Frostbite, ki je temelj za številne EAjeve naslove. Zadnje, napadalci naj bi si pridobili tudi točke, ki v FIFI veljajo kot igralna valuta in so med kriminalci priljubljeno sredstvo za pranje denarja.

Pri Bleeping computer so stopili v stik s neznancem, ki je omenjene podatke za 28 milijonov ameriških dolarjev ponujal na enem od forumov in ta jim je zatrdil, da bo kupec obenem dobil poln dostop do vseh EAjevih storitev. Del svojih trditev so vdiralci podkrepili s posnetki zaslonov, na katerih so mape z datotekami izvorne kode.

V EA so incident potrdili, prav tako, da je bila odnešena omejena količina izvorne kode in nekaj orodij. So pa zatrdili, da so na varnem vsi podatki, ki se...

Slo-Tech - Ameriški FBI, ameriška Agencija za droge (DEA), nizozemska policija in švedska policija so v sodelovanju z Europolom in še trinajstimi drugimi državami včeraj izvedle obsežne racije, v katerih so pridržali 800 osumljencev hudih kaznivih dejanj, zasegli osem ton kokaina, dve toni amfetaminov, 250 kosov orožja, 55 luksuznih avtomobilov in več kot 48 milijonov dolarjev gotovine in kriptovalut. V dve leti dolgi preiskavi so prisluškovali več kot 12.000 posameznikom iz 300 hudodelskih združb iz več kot 100 držav - ker so uporabljali aplikacijo za komuniciranje, ki jo je pripravil FBI.

Modernih aplikacij za šifrirano komuniciranje, kar podpira tudi WhatsApp, ob dobri implementaciji ni možno zlomiti. Če želimo prisluškovati pogovorom, je edini način zajeti vsebino na viru ali cilju, torej okužiti sprejemnike. Zaradi tega so v ZDA in Evropi že dlje časa žgoče razprave, ali bi države lahko imele pravico od proizvajalcev zahtevati, da v svoje izdelke vgrajujejo stranska vrata. Brez tega...

Ars Technica - Med projektom prenosa Linuxa na nove mace s sistemskim čipom M1 je bil odkrit še neznan hrošč v čipu, ki dvema aplikacijama omogoča nepooblaščeno komuniciranje med seboj. A ker prijem ne omogoča kraje informacij ali okuževanja naprav z zlobno kodo, zaenkrat ne gre za resnejšo težavo.

Hector Martin je vodja projekta Asahi Linux, katerega namen je prenesti Pingvina na Applove naprave z novim sistemskim čipom M1. Pri igračkanju z drobovjem procesorja pa je naletel na samosvoj register velikosti dveh bitov, ki je dosegljiv v načinu delovanja EL0, to je tisti z najnižjimi sistemskimi privilegiji, ki ga uporabljajo aplikacije. Problem je, da je raba tega registra operacijskemu sistemu praktično nevidna. To pomeni, da ga lahko dve aplikaciji, če to znata, namensko uporabita za medsebojno komunikacijo, ki je ni mogoče zaznati brez posebnih orodij. Po drugi plati te zmogljivosti ni mogoče uporabiti za kukanje v druge registre, oziroma pomnilnik, ali procese. Tako je funkcija uporabna zgolj...

Slo-Tech - Kot so sporočili iz Microsofta, je minuli teden vnovič potekala obsežna phishing kampanja, izvajala pa naj bi jo ruska hekerska skuina Nobellium, znana tudi pod imeni APT29, Cozy Bear in the Dukes, sloveča tudi po lanskih napadih SolarWinds. Tokratni napad je obsegal pošiljanje phishing sporočil na okoli 3000 naslovov v približno 150 podjetjih in drugih organizacijah. Pošta je prihajala z uradnega marketinškega poštnega računa ameriške Agencije za mednarodni razvoj (USAID), nad katerim so si napadalci že prej uspeli zagotoviti nadzor.

Nekatera sporočila so vsebovala povezavo s klikabilnim naslovom, denimo Trump objavil nove dokumente o volilni prevari, po kliku se je uporabnik sprva našel na dejanskem strežniku z imenom Constant Contact service USAID, od koder so ga nato preusmerili na strežnik Nobelliuma, kjer je skupek kode v JavaScriptu prenesel in pognal zlobno kodo in v sistem prenesel ISO datoteko. Ta je vsebovala PDF datoteko, LNK datoteko z imenom Reports in skrito...

Slo-Tech - Pravno informacijski sistem Republike Slovenije - PISRS - je nedosegljiv že od ponedeljka. Namesto vsebin se pokaže zgolj opravičilo, da je stran trenutno nedosegljiva. Nekoliko več informacij nudi novica na spletni strani gov.si, ki pove, da je prišlo do varnostnega incidenta v zalednem sistemu spletišča PISRS. Napadalec naj bi vdrl prek zelo stare in varnostnih lukenj polne, nevzdrževane namestitve Apache Solr.

PISRS je v upravljanju Službe vlade za zakonodajo, skozi leta pa je postal nepogrešljiv pripomoček za vpogled v aktualni nabor predpisov, saj je SVZ vsako spremembo dodal v sistem ter s tem javnosti nudil predpise v čitljivi obliki. Predvsem PISRS prihrani ogromno časa posameznikom, saj bralcu ni potrebno zamudno brskanje po Uradnem listu, iskanje zadnjega uradnega prečiščenega besedila, prebiranje za spremembami predpisa, ter ročno dodajanje vseh sprememb, da dobi ažurno različico.

Vse pristojne službe si prizadevajo, da bi PISRS obudili nazaj v delovanje v najkrajšem...

Slo-Tech - Komajda se je rešil en velik hekerski napad, že poteka drugi. Na Irskem so morali ugasniti večji del informacijskega sistema, ki ga uporablja tudi zdravstvo. Iz HSE (Health Service Executive) so sporočili, da so se za ukrep odločili iz previdnosti, potem ko je hekerski napad prizadel vse jedrne dele nacionalnega informacijskega sistema. Sistema niso v celoti ugasnili, saj še vedno delujejo klinični sistemi in program cepljenja proti covidu-19, ki tečeta na ločeni infrastrukturi. Nedelujoč pa je sistem za naročanje, izdajanje in obdelavo napotnic. Urgence delujejo, bolnišnice pa imajo različne težave, odvisno do prizadetosti.

Odgovornosti za napad še ni prevzela nobena skupina. Prav tako ni jasno, ali za njim stoji izsiljevalska programska oprema in zahteva po odkupnini. Posamezni pregledi že odpadajo, denimo nosečnic, ki še niso v 36. tednu. Ponekod normalno delujejo onkološki oddelki in operacije, medtem ko radioterapija in slikanja ne. Glavna težava je nedostopnost sistema za...

Bloomberg - Colonial Pipeline je hekerjem, ki so z izsiljevalskim virusom izsilili ustavitev delovanja največjega ameriškega naftovoda, izplačal skoraj pet milijonov dolarjev odkupnine, sklicujoč se na vire iz podjetja piše Bloomberg. Izplačilo naj bi izvedli v kriptovaluti, ki ji je težko slediti. Po neuradnih podatkih naj bi bile ameriške oblasti seznanjene z dejstvom, da je bila odkupnina plačana. Hekerji naj bi po prejemu odkupnine podjetju predali orodje za dešifriranje podatkov, ki pa je tako počasno, da raje nadaljujejo obnavljanje iz varnostnih kopij. Uradnih vesti iz podjetja ni, je pa začelo gorivo teči danes okrog polnoči po slovenskem času.

Hekerji so včasih zgolj zašifrirali datoteke in zahtevali plačilo odkupnine za obnovo, a so sčasoma izsiljevanje podvojili. Ker so podjetja tedaj podatke pač obnovila iz varnostnih kopij, jim sedaj zagrozijo še z javnim razkritjem vseh ukradenih podatkov. Kljub temu FBI še priporoča, da se odkupnina ne plača. A v veliko primerih podjetja...

Slo-Tech - FBI je včeraj uradno potrdil, da je hekerska skupina DarkSide odgovorna za napad na Colonial Pipeline, zaradi česar so morali začasno ustaviti transport goriv po največjem ameriškem naftovodu, ki z nafto, kerozinom in bencinom oskrbuje polovico vzhodne obale. Podrobnosti zaradi interesa preiskave FBI ne razkriva.

Upravljavec naftovoda je po zaustaviti naftovoda začel odpravljati težave zaradi vdora in nekaj krajših linij že zagnal, preostanek pa naj bi bil delujoč do konca tedna. V vmesnem času se lahko poraba goriv pokriva iz lokalnih rezerv in povečanega klasičnega transporta, potem pa bi grozilo večje povišanje cen. Maloprodajne cene goriva so na prizadetih območjih že porasle za okrog 2-4 odstotke, v celotni državi pa za slab odstotek. Glavni problem niso osebni avtomobili, temveč letališča, ki imajo lastnih rezerv za 3-5 dni, ter cestni tovorni promet. V primerjavi s situacijo pred desetletji je ZDA to pot praktično samozadostna glede proizvodnje goriv, a so rafinerije...

Washington Post - Podjetje Colonial Pipeline, ki v ZDA upravlja največji naftovod, je včeraj zaradi hekerskega napada zaprlo svoje celotno naftovodno omrežje. Po njem se pretakajo nafta, bencin, kerozin in druga goriva, skupno pa na vzhodno obalo ZDA dobavijo skoraj polovico vsega potrebnega goriva iz rafinerij v Teksasu. Po prvih podatkih je napad izvedla skupina DarkSide, ki naj bi izvirala iz vzhodne Evrope. V podjetju so napad potrdili.

Incident preiskujejo organi pregona in podjetje za računalniško varnost FireEye, zato veliko podrobnosti ta hip še ni znanih. Napad se je zgodil v petek pozno popoldne po našem času in je vključeval izsiljevalsko programsko opremo. Tako hekerji niso zaprli naftovoda, temveč je to storil upravljavec, ko je ugasnil računalniške sisteme, da bi omejil širjenje virusa. Za zdaj zaprtje še ni vplivalo na cene nafte, ni pa še znano, kako dolgo bo trajalo. Tovrstni napadi kažejo, kako zelo je kritična infrastruktura občutljiva na delovanje računalniških sistemov, ki so...

Slo-Tech - Ministrstvo za pravosodje je v petek v javno razpravo ter v strokovno in medresorsko usklajevanje posredovalo predlog novega Zakona o varstvu osebnih podatkov (ZVOP-2), ki na sistemski ravni izvaja določbe Splošne uredbe o varstvu podatkov iz leta 2016 (znana tudi po angleški kratici "GDPR"). Pred tem so novembra v Državnem zboru sprejeli tudi Zakon o varstvu osebnih podatkov na področju obravnavanja kaznivih dejanj (ZVOPPOKD), ki ločeno ureja varstvo osebnih podatkov posameznika, ki je obravnavan zaradi kaznivih dejanj pred represivnimi organi.

Na spletni strani ministrstva so zapisali, da predlog ZVOP-2 ohranja visoke standarde varstva osebnih podatkov v Republiki Sloveniji in dopolnjuje Splošno uredbo v delu, kjer ta urejanje prepušča državam članicam Evropske unije. Predlog ureja tudi prvostopenjski postopek pred zavezanci za varstvo osebnih podatkov, pritožbene ter nadzorne postopke pred Informacijskim pooblaščencem, določa prekrške za kršitve, ki niso zajeti že v Splošni...

Slo-Tech - Strani, katerih strežniki gostujejo na Belnetovem omrežju, so bile danes večji del dneva nedosegljive. Belnet, ki je belgijski državni ponudnik dostopa do interneta, ki ga uporablja večinoma javni sektor, je bil tarča obsežnega napada DDoS. Zaradi tega so bile nedosegljive strani več kot 200 belgijskih uradov, agencij in vladnih služb, ministrstev, parlamenta itd. Težave so imeli tudi platforma za oddajo davčnih obračunov in drugih obrazcev, več šol in univerz, ki so uporabljale orodja za poučevanje na daljavo. Nedostopen je bil tudi portal za prijavo na cepljenje proti covidu. Motnje so prekinile tudi delovanje parlamentarnih odborov, saj se ti niso mogli sestati na daljavo.

Belgijsko pravosodno ministrstvo je potrdilo težave. Številni uporabniki interneta so opazili, da je začetek motenj sovpadal z začetkom seje parlamentarnega odbora za zunanje zadeve, kjer bi morali obravnavati kitajsko ravnanje z Ujguri in poslušati pričevanje preživelega interniranca iz delovnega taborišča....

Ars Technica - Pred dobrimi tremi leti smo izvedeli za napada Spectre in Meltdown, ki sta proizvajalcem procesorjem povzročila obilico sivih las. Odkritje je pokazalo, da so moderni procesorji zaradi optimizacij (speculative execution) za večjo zmogljivost ranljivi na napad, ki nepooblaščenemu programu omogoča prebiranjem pomnilniških delov, do katerih nima dostopa. To je problematično, ker se tam lahko (in dostikrat tudi se) skrivajo gesla, ključi in drugi občutljivi podatki. Proizvajalci procesorjev so razvili različne tehnike za blažitev teh ranljivosti, izmed katerih so nekatere zaščitile tudi stare procesorje, predvsem pa so se posvetili novim, kjer so lovili občutljivo razmerje med hitrostjo in varnostjo. Raziskovalci z univerz v Virginiji in San Diegu pa sedaj proizvajalcem sporočajo, da so spet na začetku.

Raziskovalci namreč AMD-ju in Intelu sporočajo, da so odkrili način napada, ki premaga Intelovo zaščito LFENCE in drugi AMD-jeve zaščite. Nova metoda napada predpomnilnik na...

Slo-Tech - Napad naj bi izvedla ruska hekerska skupina REvil, znana tudi pod imenom Sodinokibi, ki je tajvanskemu podjetju Quanta med napadom ukradla podatke o zasnovi in proizvodnji MacBookov in nekaj drugih Applovih izdelkih, ki jih v Quanti sicer proizvajajo za Apple. Da se je incident res primeril so v podjetju že potrdili. Niso pa znane podrobnosti samega napada, v zadnjem podobnem incidentu so REvil sicer zlorabili ranljivost Microsoftovega Exchange ProxyLogona.

REvil je podrobnosti ukradenih materialov začel objavljati 20. aprila, nekaj ur pred Applovim dogodkom Spring Loaded, potem ko so pri Quanti zavrnili plačilo 50 milijonov ameriških dolarjev odkupnine. Nepridipravi zdaj k plačilu pozivajo kar sam Apple, za kar so tudi postavili rok 1. maj, dotlej pa bodo, kot so napovedali, vsakodnevno objavili nekaj podatkov.

Objavljene podrobnosti zares obsegajo načrte za nov Apple Watch, pa pravkar najavljen redizajn iMacov, nekaj proizvodnih diagramov za lanski MacBook Air in podrobnosti o...

Forbes - Čeprav sodi med najpopularnejše aplikacije za hipno sporočanje, WhatsApp tehnološko ni nič kaj pred konkurenco. Dvostopenjsko preverjanje pristnosti (2FA) sploh ni obvezno in ga veliko uporabnikov ne uporablja, a pred najnovejšim napadom sploh ne ščiti. V Forbesu poročajo o načinu, kako nas lahko zlikovci zaklenejo iz lastnega profila. Pri tem ne gre za klasičen vdor, temveč za zlorabo slabo izpeljanih mehanizmov.

Vsakdo lahko namreč namesti aplikacijo WhatsApp na svoj telefon in vnese poljubno telefonsko številko, s katero ga želi povezati - četudi nima dostopa do te številke. WhatsApp potem pošlje na to številko SMS s kodo, ki je potrebna za aktivacijo na novi napravi. To kodo seveda prejme legitimni lastnik, ki z njo nima kaj početi, lahko jo le ignorira. Toda če zlikovec kodo zahteva in vpiše dovoljkrat, bo povzročil 12-urni zaklep sistema za vnos kode, ki je namenjen zaščiti pred ugibanjem. To še ni problem.

Problematičen pa je drugi del napada. Če zlikovec potem pošlje...

bleepingcomputer.com - Nedavno razkrite ranljivosti v poštnih strežnikih Exchange zdaj nepridipravi izkoriščajo še za nameščanje izsiljevalske zlobne kode, so sporočili iz Microsofta. Gre za novo obliko ransomwara, znano pod imenom DoejoCrypt oz. DearCry, ki izkorišča iste ranljivosti, kot jih je uporabila hekerska skupina Hafnium, domnevno povezana s kitajskimi oblastmi.

Microsoft je pred tednom dni sicer objavil popravek, ki pa ne pomaga, če so bili strežniki napadeni že pred tem in ranljivost izkoriščena za namestitev zlobne kode. Kot pojasnjujejo, so pripadniki Hafniuma ranljivosti najverjetneje izkoristili za zbiranje obveščevalnih podatkov, pozneje, nekje po 9. marcu, pa so se jih z drugimi, beri izsiljevalskimi nameni, poslužile še številne druge vdiralske skupine, ki trenutno aktivno napadajo strežnike v ZDA, Kanadi in Avstraliji. Ameriški FBI in CISA (Cybersecurity and Infrastructure Security Agency) sta že objavila opozorilo, da ranljivost predstavlja veliko nevarnost za podjetja in kot

Slo-Tech - Teden dni po zadnjem vdoru je družbeno omrežje Gab ponovno podleglo hekerjem. Včeraj se je med objavami znašlo sporočilo Andrewa Torbe, ustanovitelja in izvršnega direktorja Gaba, v katerem je sam sebe karal, da ni plačal osmih bitcoinov odkupnine za vrnitev minuli teden odtujenih osebnih podatkov uporabnikov. Jasno je, da so sporočilo napisali hekerji, ki imajo očitno spet dostop do Gaba. Malo zatem je stran za nekaj ur izginila, sporočilo pa so izbrisali.

Kasneje se je javil pravi Torba, ki je pojasnil, da so hekerji v prvem napadu pridobili tudi žetone OAuth2. Čeprav so pri sanaciji napada onemogočili krajo novih žetonov, niso deaktivirali starih, zato so se lahko z njimi hekerji prijavili v Gab. V osmih minutah, kolikor je trajalo od začetka do konca napada, so objavili 177 sporočil. Da pri sanaciji vdora niso onemogočili starih žetonov, je malomarnost. Možnih razlag je več, bodisi upravljavci strani niso dobro razumeli kode, ki poganja Gab (mastodon), bodisi niso želeli...

Slo-Tech - Microsoft je ob nedavno odkriti in zakrpani ranljivosti v več verzijah Exchange Severja opozoril, da več hekerskih skupin luknjo že izkorišča. Brian Krebs je potrdil, da je žrtev samo v ZDA vsaj 30.000. Napadi so se še okrepili.

Potem ko je Microsoft 2. marca izdal izredne varnostne popravke, kar se zgodi redko, je kitajska hekerska skupina Hafnium še povečala pogostost napadov na to ranljivost, ugotavlja Krebs. Na ta način si želijo zagotoviti prisotnost v sistemih, saj tudi po zakrpanju luknje sistemi ostanejo ranljivi, če so jih hekerji predhodno kompromitrali in vanje naložili zlonamerno programsko opremo. Zato Microsoft in tudi naš SI-CERT svetujejo, da po namestitvi popravkov temeljito preverimo (obstaja več orodij), ali je bil sistem že pred tem napaden (simptomi) - in ga v takih primerih ustrezno očistimo.

Napadi pa trajajo že vsaj dva meseca. V podjetju Volexity, ki so prvi opazili ranljivosti in nanjo opozorili tudi Microsoft, so dejali, da so prve napade zaznali že 6....

Reuters - Google Cloud je z münchenskima zavarovalnicama Allianz Global Corporate and Specialty (AGCS) in Munich Re sklenil partnerstvo za pokrivanje informacijskih vdorov in drugih neljubih dogodkov, namenjeno strankam, ki uporabljajo njihove oblačne storitve. Gre za prvi primer, da je kateri od večjih ponudnikov za svoje uporabnike oblikoval tako storitev, seveda pa bi v primeru uspeha to lahko pomenilo razmah takih informacijskih zavarovanj tudi drugod, denimo pri ponudnikih programske opreme za velika podjetja, podjetjih, ki se ukvarjajo z varnostjo, spletnim gostovanjem in drugih.

Risk Protection Program meri na pojav, da se bolj občutljivi procesi danes pogosto izvajajo v javnem oblaku, kar pomeni, da je treba riziko porazdeliti med uporabnikom in ponudnikom in ga močneje integrirati v samo storitev. Program bo v praksi potekal prek Googlovega diagnostičnega orodja Risk Manager, ki ga stranka požene v svojem sistemu, rezultate pa posreduje obema zavarovalnicama, ki bosta na podlagi...

Slo-Tech - Družbeno omrežje Gab, kamor so se po blokadi na Twitterju in prenehanju delovanja Parlerja zatekli podporniki nekdanjega ameriškega predsednika in - to še ni potrjeno - morda tudi on, je bilo žrtev hekerskega napada, so sporočili iz podjetja. Hekerji so po navedbah skupine DDoSecrets izkoristili ranljivost vrivanja SQL in pridobili zaledno bazo podatkov. Baza podatkov za zdaj še ni pricurljala na internet, lahko pa dostop dobijo novinarji in strokovnjaki za varnost, so sporočili iz aktivistične skupine DDoSecrets. Dejali so, da baza predstavlja dragocen vpogled v dogajanje na družbenih omrežjih, ki je v letu 2021 zanimivo tudi zaradi širšega ozadja, ki vključuje objave, povezovanje in delovanje ekstremističnih skupin, pravi vodja DDoSecrets Emma Best. Na Gabu so intenzivno objavljali tudi pripadniki milic, neonacistov, QAnona in podobnih grupacij. Po napadu na kapitol je število objav na Gabu in uporabnikov poskočilo. Google je aplikacijo Gab odstranil že leta 2017 zaradi širjenja...

Slo-Tech - Na Jamajki so onemogočili dostop do spletne strani in pripadajoče aplikacije JamCOVID, ki je namenjena omejevanju epidemije covida. V varnostnem incidentu, ki je že tretji zapovrstjo, so ušli podatki več kot pol milijona obiskovalcev tega otoka, ki jim je bila odrejena karantena. Stran se je kasneje vrnila.

Aplikacija JamCOVID se uporablja za lažjo obravnavo potnikov, ki pridejo na Jamajko in jim ministrstvo za zdravje odredi karanteno. V bazi so imena vseh potnikov in naslov, na katerem morajo preživeti 14-dnevno karanteno. Varnostni raziskovalci pa so ugotovili, da so bili ti podatki dostopni kar iz brskalnika, saj baza ni bila zaščitena z geslom, temveč je bila odprta na internet. Jamajška vlada odgovarja, da se je nepooblaščen dostop sicer zgodil, a ni šlo za množično odtekanje podatkov.

To ni prvi varnostni incident s to aplikacijo. Minuli teden je bilo tudi na Jamajki na internetu dostopnih več podatkov o 70.000 negativnih rezultatih testov na covid in več kot 425.000...

Slo-Tech - Ena izmed ključnih lastnost verige blokov (blockchain), ki jo uporabljajo kriptovalute, je nespremenljivost preteklih blokov - kar zapišemo vanje, tam ostane za zmeraj, obstaja pa v več decentraliziranih kopijah pri uporabnikih po celem svetu, zato jih ni možno poloviti. Zamisel, da bi tja kaj zapisali, ni nova. So pa to prvikrat izkoristili hekerji, ki obvladujejo botnet. Raziskovalci iz podjetja Akamai poročajo o botnetu, ki IP-naslove rezervnih nadzornih strežnikov pridobi iz transakcij z bitcoinom.

Botneti, kamor imenujemo velika omrežja okuženih računalnikov, ki jih obvladujejo hekerji, so uporabni le, dokler so v stiku z nadzornimi strežniki. Pri razbijanju botnetov je zato eden izmed ključnih korakov onesposobitev oziroma blokada nadzornih strežnikov (sinkholing), s čimer okuženih računalniki izgubijo lutkarja. Napadalci sicer lahko postavijo nove strežnike, a če okuženi računalniki ne poznajo njihovih naslovov (dokler jih seveda na dezinficiramo), so neuporabni zombiji.

...

ZDNet - Prejšnji teden je francoska državna agencija za kibernetsko varnost razkrila, da je dobro organizirana napadalna ekipa v približno tri leta dolgi kampanji vdrla v več francoskih podjetij. Čeprav stoodstotnega potrdila še ni, pa veliko podrobnosti kaže na delovanje ruske skupine Sandworm, kar je zanimivo, ker slednjo povezujemo z uničevalnimi napadi na omrežja, ne z vohunskimi podvigi, kot je bila kampanja v Franciji.

V začetku prejšnjega tedna so iz francoske državne agencije za informacijsko varnost ANSSI (Agence Nationale de la Sécurité des Systèmes d'Information) sporočili, da so prišli na sled nepridipravom, ki so med letoma 2017 in 2020 vdrli v več francoskih informacijskih podjetij; zvečine je šlo za ponudnike spletnega prostora, cilj pa naj bi bilo vohunjenje. Vdore je povezovala vstopna točka skozi luknje v nadzornem programju za omrežja Centreon, istoimenskega francoskega podjetja. V Centreonu so sredi tedna v izjavi za javnost poudarili, da niso bile napadene njihove...

Slo-Tech - Po trditvah južnokorejske obveščevalne agencije naj bi Severna Koreja skušala vdreti v strežnike ameriškega podjetja Pfizer, ki izdeluje eno izmed cepiv proti covidu-19. Severnokorejski hekerji so se še posebej zanimali za informacije in tehnologijo za izdelavo cepiva proti covidu-19 in tudi za protokole zdravljenja.

Ni znano, v kolikšni meri je bil napad uspešen, saj v Pfizerju navedb ne komentirajo. Obtožbe južnokorejskih oblasti zoper Severno Korejo zaradi domnevnih hekerskih napadov pa postajajo stalnica. V zadnjem letu se je število napadov povečalo za tretjino, so dejali v Seulu. Severnokorejce obtožujejo tudi drugi, denimo Microsoft novembra lani, ko naj bi sodelovali še ruski hekerji. Obtožbe se vrstijo tudi zoper kitajske hekerje, medtem pa Kitajci obtožujejo tudi Američane. Skratka, računalniški vdori so postali moderni način vojskovanja. V Severni Koreji sicer trdijo, da nimajo nobenega primera covida-19, bodo pa v prihajajočih tednih vseeno dobili dva milijona odmerkov...

Slo-Tech - V torek so iz poljskega igričarskega studia CD Projekt Red sporočili, da so bili žrtve ransomware napada, v katerem so jo zlikovci obenem pobrisali z zajetno malho podatkov, med drugim izvorno kodo Cyberpunka 2077, Witcherja 3 in Gwenta. Informacije kažejo, da so jo skušali tudi prodati na črnem trgu, a še ni jasno, ali jim je to v resnici uspelo.

Napredni izsiljevalski napadi dandanes ne vključujejo več zgolj igračkanja z virusi, temveč gre za polnopravne hekerske vdore, kjer malopridneži podatke najprej ukradejo, nato pa jih pri žrtvi še zašifrirajo. Tako si omogočijo dvojni način izsiljevanja: z ohromitvijo dela žrtve in za nameček še z grožnjo, da bodo ukradene podatke razkrili ali preprodali. Kako to poteka v praksi, so pretekli teden izkusili pri znani poljski hiši za razvijanje iger, CD Projekt Red. V torek so sporočili, da so bili žrtve takšnega napada, v katerem so kriminalci ukradli kup poslovnih podatkov, toda najbolj je zabolela pobegla izvorna koda iger Cyberpunk...

Slo-Tech - V Microsoftovem protivirusnem programu, ki ga vsebuje Windows, so zakrpali 12 let staro ranljivost, za katero do nedavna niso vedeli ne proizvajalec ne napadalci. V Microsoft Defenderju (včasih se je imenoval Windows Defender) je vsaj od leta 2009 tičala ranljivost (CVE-2021-24092), ki je omogočala napad z eskalacijo privilegijev. Prizadete so verzije Windows 7 in novejše ter programska oprema, ki uporablja iste klice: Microsoft Endpoint Protection, Microsoft Security Essentials, in Microsoft System Center Endpoint Protection.

O ranljivosti so prvi poročali na SentinelOne novembra lani, v februarskem paketu popravkov pa je Microsoft pripravil rešitev. Težava je tičala v gonilniku BTR.sys (Boot Time Removal Tool), ki se uporablja pri brisanju okuženih datotek. Predvidevajo, da je ostala tako dolgo neodkrita, ker ta gonilnik ni ves čas aktiven, temveč se namesti in aktivira le, ko je potreben, potem pa se odstrani. Težava je, da gonilnik ne preveri datotek, ki jih kot obnovljene...

Slo-Tech - Nadzorni delavec vodnega zajetja v mestu Oldsmar, v ameriški zvezni državi Florida, je med svojim delom opazil, da so v njihov sistem uspeli vdreti neznanci, pri čemer so na daljavo upravljali z uporabniškim vmesnikom in na ta način želeli povečati koncentracijo natrijevega hidroksida z običajnih 100 delov na milijon delov vode, na 11.100 delov na milijon. Gre za približno stokratno in potencialno nevarno povišanje, saj gre za močno bazo, ki jo v zajetjih uporabljajo za uravnavanje PH vrednosti vode, v gospodinjstvih pa je pogosta sestavina tekočih sredstev za čiščenje odtokov.

Dežurni operater je poskus k sreči zaznal in koncentracijo povrnil na običajno vrednost. Sistem za upravljanje vodovoda na daljavo pa so za zdaj onemogočili. Za storilci, ki so ogrozili življenja okoli 15.000 uporabnikov vodovoda, pa so se zapodile tajne službe in FBI. Za zdaj še ni jasno ali je bil napad izveden iz ZDA ali pa morda iz tujine.

Podobni incidenti so se v preteklosti že dogajali. Leta 2016...

Slo-Tech - V priljubljenem modulu za Wi-Fi podjetja Realtek (RTL8195A), ki ga uporabljajo številne nezahtevne naprave, so raziskovalci iz izraelskega podjetja Vdoo odkrili šest resnih ranljivosti. Sumijo, da so iste ranljivosti prisotne tudi v čipih RTL8711AM, RTL8711AF in RTL8710AF, česar pa niso izrecno preverili. V vseh primerih gre za napake prekoračitve sklada (stack overflow) in branje izven okvirja (out-of-bounds reads), ki se skrivajo v izvedbi rokovalnega protoka pri vzpostavljanju povezave WPA2 (four-way handshake).

Ena izmed ranljivosti napadalcu, ki je v dovolj blizu čipa, omogoča prevzem popolnega nadzora nad čipom, ne da bi poznal ključ, če je RTL8195A dostopna točka ali odjemalec. To napadalcu dovoljuje, da izvede poljubno kodo. Dve drugi ranljivosti omogoča izvedbo napada DoS, preostale tri pa izrabo odjemalcev in izvajanje poljubne kode.

Napake v programski kodi Ameba Arduino 2.0.8, ki teče na čipu, je Realtek že zakrpal. Vse verzije po 21. 4. 2020 so odporne na...

Slo-Tech - Ena večjih nevarnosti preteklih let je bil trojanec Emotet, ki je obstal vse od leta 2014. Kos škodljive programske opreme, ki je sprva služil zgolj za krajo bančnih podatkov, se je razvil v dovršen botnet, ki so ga lahko drugi zlikovci najemali za različne namene. Europol in Eurojust sta ta teden koordinirala policijske racije na Nizozemskem, v Nemčiji, ZDA, Veliki Britaniji, Franciji, Litvi, Kanadi in Ukrajini, v katerih so zasegli več strežnikov, gotovine in zlatih palic ter pridržali več ljudi.

Emotet se je širil z elektronsko pošto, običajno kot okužena priponka doc. Ob odprtju in aktivaciji se je zagnal makro, ki je okužil sistem. Lotem Finkelstein iz Check Point Software je povedal, je bil Emotet z naskokom najuspešnejši malware leta 2020. Nenehno se je tudi prilagajal, tako da je poslal elektronska sporočila z več kot 150.000 različnimi zadevami in 100.000 različnimi imeni priponke. Sproti se je namreč prilagajal tarčam, da je povečal verjetnost, da bodo odprle dokument....

Slo-Tech - Dobra dva tedna po ambicioznem napadu na ameriške državne institucije in podjetja, ki je potekal prek sistema za posodabljanje omrežnega programja SolarWinds, se počasi slikajo bolj konkretne posledice incidenta. Kot so na silvestrskem blogu sporočili iz Microsofta, so domnevno ruski državni hekerji med napadom uspešno dostopali tudi do njihove izvorne kode. V podjetju so namreč opazili nenavadne dejavnosti na nekaterih internih računih zaposlenih, eden med njimi pa je uspešno dostopal do izvorne kode v različnih repozitorijih. Kot poudarjajo Microsoftovci, račun ni imel dovoljenja za spreminjanje kode in spremljajočih sistemov, poznejša analiza pa naj bi pokazala, da sprememb ni bilo.

Iz poročil ni mogoče razbrati, za katere dele izvorne kode gre, Microsoft trži veliko programskih izdelkov, je pa to precej zaskrbljujoče, saj lahko kaže na precej bolj daljnosežne ambicije vdiralcev. Kakršnekoli spremembe v izvorni kodi tako široko uporabljanih izdelkov kot sta Windows ali Office,...

Slo-Tech - Medtem, ko v ZDA počasi odkrivajo vse razsežnosti največjega informacijskega napada zadnjih let na zvezne agencije, infrastrukturo in velika podjetja, so v varnostnem podjetju CrowdStrike razkrili še eno od poti, ki so jo vdiralci vsaj poskušali uporabiti za dostop do notranjih omrežij. Ta vodi prek podjetij, ki v imenu Microsofta prodajajo njihovo programsko opremo. Tudi ta imajo namreč, podobno kot že razkriti SolarWinds, pooblastila za nameščanje in vzdrževanje programske opreme Microsoftovih strank in so zato idealno kritje za nepridiprave.

V primeru napada na CrowdStrike so neznanci poskušali pridobiti dostop do njihove elektronske pošte prek neimenovanega Microsoftovega preprodajalca. Ker pa pri CrowdStrike uporabljajo druge aplikacije Office 365, ne pa tudi elektronske pošte, so dejstvo, da je nekdo poskušal vklopiti pravico do branja pošte, opazili pri Microsoftu. Kjer so menda že pred meseci zaznali nenavadne poizvedbe prek API na njihovem oblačnem računu, ki upravlja...

ZDNet - Kanadska raziskovalna skupina Citizen Lab naj bi odkrila še eno obširno vohunsko kampanjo, ki naj bi jo nekatere arabske države vodile proti medijski hiši Al Jazeera s pomočjo programja razvpitega izraelskega razvijalca NSO Group. Hkrati se odločno širi koalicija tehnoloških podjetij, ki želi Izraelce in njihov gospodarski model pripeljati pred sodišče.

Letošnjo jesen je preiskovalni novinar katarske medijske hiše Al Jazeera Tamer Almisshal posumil, da nekdo prisluškuje njegovemu iPhonu. Ker so mu bili že poznani podobni primeri iz zadnjih let, je telefon predal preiskovalni skupini Citizen Lab z Univerze v Torontu, ki se ukvarja z digitalno forenziko naprav medijskih in političnih aktivistov. Preiskovalci so zdaj objavili, da so na napravi našli sledove delovanja programja njihovega starega znanca, izraelskega podjetja NSO Group, verjetno najbolj svetovno znanega razvijalca spywara, ki ga prodajajo oblastem, državnim agencijam in organom pregona. Našli naj bi skupno 35...

Slo-Tech - Po odkritju, da so prek napada na programsko opremo SolarWinds najverjetneje ruski hekerji imeli odprta vrata do ameriških podjetij in inštitucij, Microsoft nadaljnje ugotavlja, da je v istem programskem paketu prisluškovala še druga, z Rusi nepovezana skupina hekerjev. Ta je zagotovo napadla vsaj Microsoft, morda pa tudi kakšno drugo tarčo.

Microsoft je pri preiskavi odkril dodatno zlonamerno programsko opremo (malware), ki je napadala isti program SolarWinds Orion, a jo je uporabljala druga ekipa. Drugo zlonamerno programsko opremo so poimenovali SUPERNOVA in gre za kodo, ki imitira Orion, a ni digitalno podpisana. Ostali del napada je tak podpis imel. Sprva so menili, da gre za del prvega napada, a se je izkazalo, da ima drugega avtorja. Ni namreč verjetno, da bi napadalci pozabili podpisati en modul, vse ostale pa bi bili. Nastala je konec marca, ni pa še jasno, ali so z njo dejansko še koga napadli. Skrita je bila v DLL knjžnici App_Web_logoimagehandler.ashx.b6031896.dll.

To...

The New York Times - Vse kaže, da so ruski državni hekerji v izredno ambicioznem in dalj časa trajajočem napadu pridobili dostop do pomembnih podatkov v več ameriških vladnih ustanovah ter večjih podjetjih, po tem ko je preiskava prejšnjetedenskega vdora v podjetje FireEye razkrila, da so zlikovci kompromitirali sistem za posodabljanje razširjenega omrežnega programja firme SolarWinds.

Vdor v varnostno družbo FireEye, o katerem smo poročali prejšnji teden, bi kaj lahko bil samo še eden od primerov ravsanja malopridnih hekerjev z varnostnimi strokovnjaki. Toda ko so FireEyejevi uslužbenci dodobra analizirali nerodni incident, so odkrili, da se zadaj v resnici skriva ena najbolj impozantnih in obsežnih hekerskih kampanj v zgodovini! Napadalci so se v sistem namreč pritihotapili skozi okuženo posodobitev za programje za nadzor omrežij Orion, podjetja Solarwinds. Problem? Orion širom sveta uporablja dobrih 33.000 podjetij in državnih organizacij, med katerimi je večina ameriških zveznih agencij, podjetij...

Slo-Tech - Številni izdelki ameriškega giganta GE Healthcare, med katerimi so naprave za magnetno resonanco, računalniško tomografijo, rentgeni, mamogrami, ultrazvoki in pozitronska emisijska tomografija, imajo nastavljeno tovarniško geslo, ki se ob postavitvi in začetku redne uporabe naprave ne spremeni. Seznami gesel posameznih modelov so javno dostopni na internetu, naprave pa so povezane v internet. Namen je, da bi jih proizvajalec na daljavo posodabljal, a to pomeni, da lahko vanje vlomijo tudi hekerji.

Težave uporabniki ne morejo odpraviti sami, temveč jim mora GE Healthcare poslati tehnika, ki bo spremenil prijavne podatke. Kdor tega ne naredi, pušča svojo napravo izpostavljeno spletu za morebitne vdore. Na njih namreč teče unixovski operacijski sistem, obnašajo pa se kot pravi računalniki. Luknjo, ki ima na lestvici od 1 do 10 oceno resnosti 9,8, so odkrili v podjetju Cyber MDX, na njo pa je opozorila tudi ameriška agencija za internetno varnost in zaščito infrastrukture.

GE...

bleepingcomputer.com - Iz znanega ameriškega varnostnega podjetja FireEye so sporočili, da so neznanci uspešno vdrli v njihov sistem in med drugim dostopali tudi do njihovih orodij, ki jih uporabljajo za t. i. Red team teste pri svojih strankah. Napadalci so med napadom skušali zbrati tudi podatke o strankah FireEya, zlasti tistih na ravni svetovnih vlad, za zdaj še ni znano ali jim je to tudi uspelo.

Kot so sporočili iz podjetja, vse kaže, da za napadom stoji ena od hekerskih skupin, povezana s tajnimi službami ene od držav. CEO Kevin Mandia je pri tem ocenil, da gre za eno od držav z najbolj razvitimi kapacitetami za izvajanje informacijskih napadov. Časnik Washington Post pa iz svojih virov poroča, da je napad najverjetneje izvedla ruska skupina APT-29, bolj znana pod imenom Cozy Bear.

Da je temu tako kaže način vdora, ki je bil posebej ukrojen za ciljanje FireEya, pri čemer je bila uporabljena taktika, ki ovira forenzično preiskavo dogodka, prav tako so bila neučinkovita orodja, ki naj bi zaznala...

Slo-Tech - Spomladi (še pred vgraditvijo sistema za slednje stikom prek stalno vključenega Bluetootha) je Apple zakrpal ranljivost v operacijskem sistemu za svoje mobilne telefone iOS, ki je omogočala dostop do vsebine telefonov zgolj ob vključenem Wi-Fi, ne da bi uporabnik kakorkoli posredoval. Ranljivost je odkril Ian Beer, ki je zaposlen v Googlovem oddelku za iskanje ranljivosti Project Zero. Sedaj ko je ranljivost že lep čas zakrpana, je podrobnosti razkril na blogu podjetja.

Za napad je dovolj, da se sprehodimo mimo oddajnika Wi-Fi (torej praktično katerakoli mobilna naprava), ki nam posreduje ustrezno pokvarjen paketek (packet of death). Ranljivost se skriva v gonilniku AWDL, ki skrbi za omrežno povezljivost v Applovih napravah. Ker gonilniki bivajo v jedru, kjer imajo najvišje privilegije, so hrošči v njih tako nevarni. AWDL skrbi tudi za Wi-Fi, zato je to ranljivost možnost uporabiti na daljavo in - temu pravimo wormable - širiti od naprave do naprave. Beer je pokazal, kako lahko ranljivost uporabo v različne namene. Oblikoval je delujoče primerke kode, ki so kradli elektronsko pošto, fotografije, sporočila, gesla in celo ključe. Zadostoval je Raspberry Pi in Wi-Fi adapter, nato pa je trajalo le nekaj sekund in naprave v...

Slo-Tech - Po februarskem razkritju, da je bilo ugledno švicarsko podjetje Crypto AG dolgo vrsto let skrivni partner ameriške in nekaj časa tudi nemške obveščevalnih agencij CIA in BND, ki so jima tuji akterji torej drago plačevali za luknjičavo opremo, dobiva drugo dejanje. V njem nastopa manj znano podjetje Omnisec, ki je nastalo z izločitvijo iz podjetja Gretag leta 1987 ter je prodajalo opremo za šifriranje pogovorov, faksov in podatkov. Poslovati je prenehalo pred dvema letoma, glavne stranke pa so bili državni organi iz več držav. Švicarska radiotelevizija SRF je dognala, da je Omnisec podobno kot Crypto AG prodajal z vgrajenimi stranskimi vrati in ranljivostmi.

Opremo serije OC-500 so na primer prodajali tudi domačim strankam: zveznim agencijam v Švici, lastni obveščevalni službi, bankam in zasebnim podjetjem. Razkritja so sprožila burne debate tudi v švicarskem parlamentu, kjer se sedaj sprašujejo, kje vse se še vohuni ali se je vohunilo. Še posebej Švicarje to pot jezi, da so bile...

Reuters - Hekerji naj bi si tako pred dnevi poskušali s pomočjo socialnega inženiringa pridobiti dostop do računalnikov nekaterih zaposlenih britanski družbi AstraZeneca, znani po tem, da je tik pred koncem razvoja svojega cepiva proti Covid-19.

Storilci so nastopili pod krinko ponudnikov zaposlitev na družbenih omrežjih Linkedin in WhatsApp, zainteresiranim posameznikom pa so nato poslali dokumente, povezane s podrobnostmi o zaposlitvi. Dokumenti so vsebovali tudi zlobno kodo, zasnovano za omogočanje dostopa do žrtvine naprave. Med tarčami so bili tudi zaposleni, ki delajo neposredno na razvoju cepiva.

Reutersovi anonimni viri incident povezujejo s Severno Korejo na podlagi v napadu uporabljenih orodij in tehnik, te naj bi bile del obširnejše hekerske kampanje, ki jo varnostni strokovnjaki in predstavniki ZDA prepisujejo prav tej državi. Ta kampanja je bila sicer doslej bolj osredotočena na obrambne ustanove in medijske organizacije, v zadnjih tednih pa se je preusmerila na tarče povezane...

ZDNet - Belgijski varnostni raziskovalci z univerze KU Leuven so še tretje leto zapored uspeli z nekaj domiselnega hekanja odpeljati z dovoza Teslo, ki ni bila njihova. Podjetje naj bi softverski luknji prejšnji teden že pokrpalo.

Belgijska raziskovalna skupina COSIC (Computer Security and Industrial Cryptography) s Katoliške univerze v Leuvnu, zbrana okoli Lennerta Woutersa, je Teslinim informacijskim inženirjem že presneto dobro znana, kajti predlani in lani je z domiselnimi triki že dvakrat strla varnostno lupino sistema za odklepanje njihovih avtomobilov na daljavo. Leto je zopet naokoli - in čas je za nove vragolije Woutersa & Co. Tokrat je bila na udaru Tesla X, postopek pa bržkone najbolj navdušujoč doslej. Belgijci so namreč izrabili dve programski ranljivosti, s katerima so prišli z eno skozi avtomobilska vrata, z drugo pa še do zagona motorja. Podvig so opravili z opremo, ki stane nekaj sto evrov, vzel pa jim je celokupno okoli pet minut.



Prva luknja je tičala v sistemu...

Microsoft - Da bi se zoperstavili naprednim napadom na strojno opremo, kot sta Meltdown in Spectre, so pri Microsoftu v sodelovanju z Intelom, AMDjem in Qualcommom razvili vezje s kodnim nazivom Pluton, ki bo vgrajeno v same sistemske čipe.

Kdor hodi naokrog s prenosnikom, polnim supertajnih načrtov jedrskih bomb ali podobne eksotike, običajno uporablja naprave z raznimi dodanimi varnostnimi zmogljivostmi, kot je Trusted Platform Module (TPM), kriptografski mikrokontroler, ki ojača funkcije, kot je BitLocker. Toda hekerji so že pred časom našli pot mimo TPM na način, da vohljajo za prometom med procesorjem in varnostnim čipom. Pri Microsoftu so se zato odločili uvesti še trdnejšo obliko zaščite v obliki koprocesorja, ki bo vgrajen v same sistemske čipe in mu bo tako praktično nemogoče prisluškovati. Vezje z imenom Pluton je sad njihovih izkušenj z uspešnim ščitenjem Xboxa One pred poganjanjem nepooblaščene kode (beri: piratiziranjem iger), tehnologijo pa že nekaj let uporabljajo tudi v...

Slo-Tech - Hekerji iz Rusije in Severne Koreje so v zadnjem času izvedli več hekerskih napadov na podjetja in ustanove, ki se ukvarjajo z raziskavami covida-19, razvojem cepiva in testov, kliničnimi raziskavami ipd. Tarče so v ZDA, Kanadi, Franciji, Indiji in Južni Koreji, izvajajo pa jih skupine, ki so jih v Microsoftu poimenovali Strontium, Zinc in Cerium. Gre za z vladami Rusije in Severne Koreje povezane hekerje, ki delajo po državnih ukazih, trdi Microsoft.

To niso osamljeni primeri, zgolj najnovejši. V bližnji preteklosti so hekerji napadli tudi več sto bolnišnic v ZDA, univerzitetno bolnišnico v češkem Brnu, pariški sistem bolnišnic, španske bolnišnice, tajske bolnišnice, klinike v Teksasu in celo Svetovno zdravstveno organizacijo. V Nemčiji je zaradi hekerskega napada, ki je terjal preusmeritev rešilnega vozila v drugo bolnišnico, po nekaterih podatkih pacientka celo umrla.

V najnovejši seriji napadov so ciljali sedem podjetij, ki neposredno sodelujejo v raziskavah covida-19....

Slo-Tech - Pravzaprav priporočilo za nobenega poznavalca mobilnih omrežij ne bi smelo biti presenečenje, a vseeno malokdo tako neposredno pove, kot je to storil Alex Weinert, ki je v Microsoftu vodja programa Identity Security. V svojem blogu je zapisal, da je sicer vsaka dvostopenjska avtentikacija (MFA) boljša kot nobena, a da je uporaba mobilnih omrežij, torej prejemanje kod prek smsov ali s telefonskimi klici, varnostno zelo šibka metoda.

MFA je učinkovita zaščita. Microsoft ocenjuje, da se z uporabo MFA prepreči 99,9 odstotka avtomatiziranih napadov, kar je Weinart ocenjeval v blogu že julija lani. Po drugi strani so izključno gesla v večini primerov slab način zaščite identitet. Kaj je torej narobe z MFA prek mobilnih telefonov?

Mobilna omrežja so bila zgrajena v nekem drugem času, zaradi zagotavljanja združljivosti in enostavnosti uporabe pa še danes v njih mrgoli ranljivosti. Napad na protokol SS7, FEMTOcelice in drugi načini prestrezanja pomenijo, da telefonska števila ni varen in...

Slo-Tech - V Linuxovi distribuciji Ubuntu je Kevin Backhouse odkril hrošča, ki navadnemu uporabniku omogočata eskalacijo privilegijev in ustvaritev računa z administratorskimi pravicami. Izraba ne zahteva nobenega posebnega računalniškega znanja, kaj šele programiranja. Ranljivost deluje le, če imamo dostop do lokalnega računa in grafičnega vmesnika, torej je ne moremo zlorabiti na strežnikih.

Prva ranljivost tiči v servisu accountsservice, ki upravlja z uporabniškimi računu v sistemu in ki komunicira z accounts-daemon. Ker accountsservice poišče datoteko .pam_environment, ga je možno zrušiti z vzpostavitvijo bližnjice, ki v to ime poveže neskončno dolgo datoteko ničel (/dev/zero). Če potem pošljemo accounts-daemonu pošljemo SIGSEGV, ga lahko tudi kot navadni uporabnik zrušimo (to ne bi smelo biti možno). Drugi hrošč tiči v GNOME Display Managerju (gdm3), ki med drugim ob sveži namestitvi ustvari prve račune - in prvi uporabniški računa mora biti administratorski. Ključ je v tem, da gdm3 to...

Slo-Tech - Na Linuxu smo pred nesnago resda varnejši kakor na Windows, a ta varnost ni absolutna. Tako kot smo v preteklosti že videli posamezne primerke zlonamerne kode za Linux, velja tudi za najnovejšo nadlogo. Kaspersky je odkril Linuxovo verzijo izsiljevalskega virusa RansomEXX, ki se je doslej širil po Windows. Gre za sorazmerno nov kos programske opreme, ki so ga prvikrat opazili junija letos.

A zaradi tega ni bil nič manj aktiven, saj je doslej poskrbel za napade na brazilska sodišča, javni promet v Montrealu, teksaško upravo za promet, Konico Minolto in še nekaj drugih odmevnih primerov. Upravljavci so se specializirani za napade na velike sisteme, kjer lahko iztržijo večjo odkupnino, namesto ukvarjanja s stotaki od fizičnih oseb. Ugotovili so tudi, da nima smisla napadati delovnih postaj v podjetji, saj bodo preprosto pobrisali sisteme in jih na novo postavili iz varnostnih kopij. Zaradi tega izsiljevalski virusi sedaj ciljajo na centralne strežnike.

RansomEXX tudi ni edini, ki je...

Slo-Tech - Na njihovi spletni strani se je pred dnevi pojavilo obvestilo za medije, v katerem sporočajo, da so uradno prenehali z delovanjem. Ter, da vse bodoče povezovanje z njihovimi projekti, blagovno znamko ali pa metodami dela, najverjetneje pomenijo prevaro. Kot še pravijo, nikoli niso imeli partnerjev in nimajo naslednikov. Hkrati pa obveščajo vse, ki želijo, da se njihovi osebni podatki izbrišejo z njihove spletne strani, da se obrnejo na njihovo chat podporo, ki bo na voljo še mesec dni.

Skupina Maze je bila znana po tem, da po uspešnem vdoru ni le zašifrirala podatkov, pač pa so jih pogosto tudi ukradli in v zameno za njihovo neobjavo na temnem spletu zahtevali odkupnino v bitcoinih. Višina je pogosto dosegala milijonske dolarske zneske.

Med njihove zvezdniške žrtve so se zapisala podjetja, kot so Canon, LG in Xerox.

Da se Maze zares umikajo s scene, je pred časom nakazalo že poročilo Malwarebytes, v katerem so poleti zaznali precej manj okužb. Seveda pa to ne pomeni, da so se...

Slo-Tech - Ameriško sodišče je v petek na osemletno zaporno kazen obsodilo 36-letnega Aleksandra Brovka, na Češkem rojenega ruskega državljana, ki je več let (2007-2019) sodeloval pri upravljanju botnetov, iskanju osebnih informacij in njihovi zlorabi, s čimer je s sostorilci povzročil za okrog 100 milijonov dolarjev škode. Brovko je bil aktiven na forumih za rusko govoreče hekerje, kjer si so izmenjevali kontakte, orodja in posle. Brovko je deloval kot programer orodij za zbiranje podatkov, ki so jih nabrali botneti, in njihovo obdelavo.

V ogromnih količinah zbranih podatkov je iskal osebne podatke, ki bi jih bilo možno zlorabiti, zlasti prijavne podatke v različne storitve. Potem jih je preveril in ustrezno prečiščene sezname poslal naprej drugim sodelavcem. Brovko je imel dostop do okrog 200.000 naprav, torej toliko je bilo okuženih računalnikov v botnetih, ki jih je upravljal. Pri tem je natančno vedel, kaj počnejo z njegovimi orodji in podatki, saj ga je znani kriminalec Alexander...

Slo-Tech - Google je pred tednom dni sporočil, da je v Windows odkril ranljivost (CVE-2020-17087), ki jo hekerji že aktivno izkoriščajo, zato je Microsoftu dal na razpolago le sedem dni za zakrpanje. Microsoft tako kratkega roka ni izpolnil, zato je Google v v petek zvečer razkril podrobnosti ranljivosti. Ta je nezakrpana (0-day), aktivno napadana in sedaj povsem razkrita. Microsoft bo popravek izdal ob naslednji priložnosti, to je drugi torek v mesecu (10. novembra) na tako imenovani Patch Tuesday.

Googlov Project Zero je namenjen iskanju ranljivosti v najrazličnejši programski opremi več proizvajalcev. O odkritih ranljivostih obvestijo proizvajalca, ki ima potem 90 dni časa, da izda popravek. Google po izdaji popravka ali najpozneje v 90 dneh javnosti razkrije podrobnosti ranljivosti, s čimer se poskrbi, da imajo proizvajalci motivacijo v doglednem času izdelati popravek. Roki pa se spremenijo, ko je ranljivost že aktivno zlorabljena. V tem primeru Google počaka le sedem dni, kar v...

Slo-Tech - Konferenčna storitev Zoom je končno dočakala celostno oz. end-to-end šifriranje, ki omogoča zaupnost vsebine sporočil med pošiljateljem in prejemnikom. E2EE šifriranje je tako zdaj omogočeno v aplikacijah za Mac, PC, iOS in Android ter v Zoom Rooms, ni pa na voljo v spletnem odjemalcu, kot tudi drugih odjemalcih, ki temeljijo na njihovem SDK oz. programskem razvijalskem paketu.

Celostno šifriranje bo na voljo za vse, tako za plačljive kot za brezplačne uporabnike, čeprav so pri Zoomu še nedavno - v strahu, da bi storitev pograbili raznorazni nepridipravi - načrtovali drugače, a so se nato premislili. Bo pa potrebno identiteto brezplačnega računa potrditi z SMS sporočilom. Samo šifriranje poteka tako, da se ključi generirajo pri gostitelju posamezne konference, nato pa so posredovani sodelujočim. Zoomovi strežniki so na ta način postali samo posredniki podatkov, ki pa brez ključa same vsebine pogovora ne morejo dešifrirati.

Zoomov E2EE uporablja 256 bitno AES-GCM šifriranje,...

Slo-Tech - V Applu so skupinici white-hat hekerjev, ki je v preteklih mesecih v velikanovem širšem računalniškem omrežju odkrila več deset resnih ranljivosti, izplačali skoraj tristo tisoč dolarjev, vsota pa bo v prihodnjih dneh še narasla.

Resna informacijska podjetja se zavedajo, da je navkljub sposobnim notranjim ekipam varnostnih strokovnjakov še vedno mogoče spregledati grde odprtine v digitalnem oklepu, zato nagrajujejo zunanje raziskovalce-poševnica-hekerje, ki drezajo v njihovo obrambo iz plemenitih razlogov iskanja ranljivosti. V Cupertinu imajo v ta namen postavljen program Apple Security Bounty, ki ga je sedaj za komunikacijo z njimi uporabila skupinica petih hekerjev okoli Sama Curryja. Gruča se je zadnje tri mesece potikala po notranjosti Applovega omrežja in na plano privlekla 55 ranljivosti, "11 od teh kritičnih". Apple jim je do tega trenutka že izplačal 288.500 ameriških dolarjev nagrade, ko pa bodo strokovnjaki predelali vse prijavljene šibkosti, bo vsota verjetno presegla...

Slo-Tech - Ranljivost Checkm8, ki so jo raziskovalci že pred letom dni izkoristili za odklep (jailbreak) starejših modelov iPhona (A5-A11, torej v letih 20011-2017), je moč izrabiti tudi za napad na varni čip T2. Čip, ki ga je Apple pripravil leta 2017 in ga od leta 2018 vgrajujejo v svoje naprave, skrbi za kopico varnostnih tehnologij: TouchID, Activation Lock, Secure Boot, System Integrity Protection, šifriranje podatkov itd. Sedaj pa so strokovnjaki iz hekerske skupine Checkra1n odkrili, da je možno s Checkm8 obiti zaščito T2. To pa ima pomembne varnostne posledice.

Na Macih je sedaj možno na T2 poganjati poljubno programsko opremo. Seveda so posamezniki nanj takoj naložili Linux. Z izrabo še ene ranljivosti pa je potencialno možno iz T2 dobiti celo šifrirne ključe in odkleniti podatke na telefonu - česar bodo organi pregona nedvomno veseli, saj jim ne bo treba iskati pomoči specializiranih podjetij.

Ker je napaka v najnižjem, strojnem delu čipa T2, je ni možno programsko zakrpati. Vse...

Slo-Tech - Skupina ruskih hekerjev je leta 2012 uspešno vdrla v LinkedIn, Dropbox in družbeno omrežje Formspring ter se pri tem polastila 117 milijonov uporabniških imen in gesel, ki so jih nato ponudili v prodajo na enem od ruskih forumov. Gesla so bila sicer šifrirana s SHA-1 algoritmom, vendar brez uporabe salta, naključnega parametra, tako da jih je bilo mogoče vseeno napasti s preizkušanjem najbolj pogostih kombinacij. Skratka, šlo je za enega najbolj odmevnih informacijskih napadov v zgodovini ZDA.

Enega od napadalcev, Jevgenija Nikulina so leta 2016 med potovanjem po Češki prijele tamkajšnje oblasti in ga nato izročile ZDA, kjer je pred dnevi, po štirih letih v priporu, vendarle dočakal razsodbo: 88 mesecev zapora. Tožilstvo mu je očitalo kaznivo dejanje vdora v informacijski sistem ter posebej hudo obliko kraje identitete milijonov ameriških državljanov. Nikulinova obramba je zatrjevala, da so podatki tožilstva o povzročeni škodi pretirani, da temeljijo zgolj na izjavah predstavnikov...

Slo-Tech - Singaporska borza kriptokovancev KuCoin je potrdila, da so v soboto zgodaj zjutraj po lokalnem času neznani napadalci izvedli nepooblaščene transakcije večjega obsega. Z njimi so ukradli večjo količino kriptovalut, ki jih je menjalnica držala v vroči denarnici (hot wallet) kot likvidne rezerve. Po neuradnih podatkih je zmanjkalo za 150 milijonov dolarjev kriptovalut, predvsem ethra, bitcoina, litecoina, rippla, tethra, stellarja in trona. Večje zaloge, ki niso bile povezane v internet (cold wallet), ostajajo nedotaknjene. Kako so napadalci pridobili dostop do vroče denarnice, še ni jasno.

Takoj po odkritju nepooblaščenih transakcij so začeli reševati, kar se je rešiti dalo. Izdajatelje posameznih kriptovalut oziroma žetonov so obvestili o incidentu. Odvisno od ustroja je nekatere žetone možno preklicati ali pa račune, kamor so bili nakazani, zakleniti. Tako so zaklenili za 22 milijonov dolarjev tethra. Neuporabni so tudi nekateri drugi žetoni. Večino kriptovalut pa na tak način ni...

Europol - V veliki akciji povezanih racij v ZDA in Evropi so organi pregona aretirali 179 posameznikov in zasegli za šest milijonov evrov gotovine in kriptovalut, pol tone drog in 64 kosov orožja, ki so jih storilci prodajali prek internetnih tržnic na temnem delu interneta (darknet). Operacijo DisrupTor sta koordinirala Europol in ameriško pravosodno ministrstvo. Večina pridržanih je iz ZDA, nekaj pa še iz Nemčije (42), Nizozemske (8), Velike Britanije (4), Avstrije (3), in Švedske (1). Med zasedenimi drogami so v glavnem fentanil, oksikodon, metamfetamini, a tudi heroin, kokain, ekstazi in MDMA.

Vodja centra za računalniško kriminaliteto pri Europolu Edvardas Šileris je povedal, da se zlata doba skritega interneta končuje. Tudi dogajanje na temnem delu interneta ni več skrito, anonimnosti pa da ni več. Policija se ne osredotoča več zgolj na zapiranje nezakonitih internetnih tržnic, ki potem tako ali tako ponovno vzniknejo pod drugim imenom, temveč aktivno preganja tudi osebe, ki jih...

Slo-Tech - Vsaj od leta 2014 iranski hekerji izvajajo obsežno operacijo prisluškovanja oporečnikom, izseljencem in kritikom režima, je ugotovil CheckPoint. V akciji, ki je tekla pod radarji kar šest let, so spremljali šifrirano komunikacijo prek Telegrama in WhatsAppa, prestrezali gesla za upravljalnika gesel KeePass ter sporočila sms, prisluškovali telefonom ipd. Programi so imeli tudi možnost zajemanja zaslonske slike in pošiljanja datotek upravljavcem virusov.

Napadali so tako računalnike z Windows, kjer lahko tečejo namizne verzije aplikacij, kot tudi mobilne telefone. Za to jim ni bilo treba zlomiti šifrirnih protokolov, temveč je zadostovalo prestreči komunikacijo na izviru. Proti temu se pisci aplikacij teže borijo, saj gre za okužene naprave uporabnikov, ne pa za ranljivost v aplikaciji. V nekaterih primerih pa je šlo za phishing, ko so lažne spletne strani terjale vpis prijavnih podatkov za Telegram. Da se v tem primeru ne da kaj dosti storiti, so potrdili tudi v Telegramu, medtem...

Slo-Tech - V univerzitetnem kliničnem centru v Düsseldorfu so imeli od minulega četrtka težave zaradi hekerskega napada z izsiljevalskim virusom, ki so se končale tragično. Bolnica v kritičnem stanju, ki je zaradi nedelujočih sistemov niso mogli sprejeti, temveč so jo preusmerili v drugo bolnišnico, je kmalu zatem umrla. Hekerji so bolnišnico napadli po pomoti in so po opozorilu policije napad prekinili in posredovali ključe za odklep šifriranih datotek.

Napad je bolnišnico docela ohromil, saj so odpadale operacije in drugi načrtovani posegi. Prizadetih je bilo 30 strežnikov informacijskega sistema v bolnišnici, ponovno vzpostavljanje sistema pa bo trajalo več tednov. To ne pomeni, da bo bolnišnica toliko časa onesposobljena; toliko časa bo trajalo, da bo čisto vse, kot je bilo pred napadom. Tiskovni predstavnik bolnišnice je zagotovil, da so med napadom še vedno skrbeli za vseh 570 hospitaliziranih bolnikov, niso pa mogli sprejemati novih ali opravljati naročenih posegov pri zunanjih...

LinkedIn - Varnostni raziskovalec Volodimir Diačenko je razkril, da je Razer, znani ponudnik računalniške periferije, 8. avgusta nehote javno objavil podatke svojih strank, shranjene na njihovi spletne strani. Šlo je za podatkovno gručo v Elasticsearchu, ki je bila ne le dostopna javnosti, pač pa so jo ves čas indeksirali tudi javni iskalni pogoni.

Krivec? Napačna konfiguracija strežnika. Objavljeni so bili podatki, povezani z njihovo spletno trgovino, denimo email in fizični naslov uporabnika, vsebina naročila in telefonska številka. Med njimi pa ni bilo gesel ali pa podatkov o plačilnih karticah. Kljub temu gre za nedopustno malomarnost, saj gre za podatke, s katerimi je mogoče precej učinkoviteje zastaviti kako bodočo kampanjo phishinga in si na ta način pridobiti še kake druge, bolj usodne osebne podatke, denimo o plačilni kartici.

Še slabše so se pri Razerju odrezali, ko gre za hiter in dejaven odziv na opozorilo o napaki. Diačenko jih je o svojem odkritju poskušal obvestiti...

Slo-Tech - Zaradi napadov virusov in izsiljevalske programske opreme so se že zapirale banke, ustavljale tovarne in javni promet, težave so imeli tudi na univerzah in v šolah, nismo pa še brali o tem, da bi zaradi tega odpadal pouk. V Connecticutu so v mestu Hartford imeli prav te težave, saj je virus napadel informacijski sistem več šol (in nekaterih drugih javnih inštitucij), zaradi česar so prvi šolski dan prestavili.

Pouk bi se bil moral začeti v torek, a so ga zaradi vdora odpovedali. To je še toliko večja nevšečnost, ker so zaradi epidemija covida-19 že spomladi ustavili pouk in nadaljevali s šolanjem na daljavo. Ker so šolanje na daljavo za nekatere paralelke ustavili, pričakujoč začetek v živo, tako sedaj niso imeli druge možnosti, kot pouk preprosto odpovedati in počakati, da so posledice vdora odpravljene. Kdaj se bo to zgodilo, še ni jasno. Po prvotnem načrtu bi bila to sreda, a danes šol še niso mogli odpreti. Tudi učenci, ki bi se morali šolati na daljavo, so morali počakati,...

Slo-Tech - Druga največja banka v Čilu, BancoEstado, je včeraj zaradi hekerskega napada zaprla vse poslovalnice v državi, so sporočili iz te južnoameriške države. Napad se je zgodil konec tedna in je po neuradnih podatkih potekal z izsiljevalsko programsko opremo REvil (Sodinokibi). Kot kažejo prve informacije, se je začel kot večina tovrstnih vdorov. Zaposleni je prejel okužen Officeov dokument, ki ga je odprl in s tem omogočil hekerjem stranska vrata za vstop. V noči s petka na soboto so napadalci ta vrata izkoristili za dostop do omrežja in namestitev REvila. Zaposleni, ki so delali med vikendom, so v soboto zjutraj ugotovili, da do svojih datotek niso imeli dostopa, ker jih je virus zašifriral.

Cel vikend je potekala operacija reševanja, a do ponedeljka ni uspela, zato so morali napad priznati javnosti. To so storili že v nedeljo, še dan prej pa so obvestili organe pregona in finančnega regulatorja. Po neuradnih podatkih naj bi izsiljevalska koda uspešno zašifrirala večino podatkov na...

Slo-Tech - Kot kaže, nekatere slovenske banke uvajajo nove standarde na področju informacijske varnosti. Konkretno, na področju gesel.

Geslo je osnovni in najpogosteje uporabljan zaščitni mehanizem, zato morajo biti gesla praviloma dovolj kompleksna in dovolj dolga, da zagotavljajo želeni nivo varnosti. Težava pri geslih je, da si je kompleksna gesla težko zapomniti, zato pri oblikovanju gesel trčimo ob dilemo ali si želimo večjo varnost ali pa enostavnejšo uporabo. Vsekakor je pri geslih pomembno, da morajo biti čim daljša in čim bolj kompleksna (mešanica črk in številk, po možnosti tudi mešanica velikih in malih črk ter številk in "posebnih" znakov). Prekratka gesla je namreč mogoče razbiti z metodo grobe sile (angl. brute force attack – gre za ugibanje vseh možnih kombinacij črk in številk) ali pa napada s slovarjem (angl. dictionary attack – gre za ugibanje gesel na podlagi besed iz slovarja).

Seveda pa navedeno velja zgolj za pomembna gesla. Za geslo, ki ga uporabimo za prijavo na neko...

Slo-Tech - Iz Cisca so konec tedna sporočili, da bi lahko bila z DoS (Denial of Services) napadi ogrožena njihova omrežna oprema, v prvi vrsti usmerjevalniki najvišjega razreda in sploh vse, kar uporablja njihov operacijski sistem IOS XR Software. Ta je običajno nameščena na napravah, ki jih imajo telekomunikacijska podjetja in upravljavci podatkovnih centrov. Programski popravek za vrzel za zdaj še ni na voljo, njena nevarnost pa je na lestvici Common Vulnerability Scoring System (CVSS) ocenjena z 8,6 od 10 točk.

Ranljivost CVE-2020-3566 omogoča napadalcem, da s pošiljanjem umetno ustvarjenega IGMP (Internet Group Management Protocol) prometa, zasitijo pomnilnik usmerjevalnika, s čimer lahko destabilizirajo tudi nekatere druge procese, med katerimi bi utegnili biti tudi usmerjevalni protokoli. Za uspešen napad je sicer še potrebno, da ima naprava vklopljen VMRP oz. Distance Vector Multicast Routing Protocol. Končni rezultat napada bi tako lahko bil uspešen DoS napad, ki bi lahko povzročil...

Slo-Tech - Število odmevnih varnostnih incidentov v digitalnem svetu je vsak dan večje in Slovenija ni nobena izjema. Spomnimo le na incidente Nova24TV, Lekarne Ljubljana, Bolnišnica Izola, Revoz, AJPES. Ob dogajanju se vedno znova zastavljata dve ključni vprašanji: kdo je kriv in zakaj podatki niso bili ustrezno zavarovani?


Kdo je odgovoren?

Pri iskanju krivca pomaga kombinacija ljudske folklore (»nihče ni kriv«) in inšpekcijske prakse (»kriva je odgovorna oseba«). Ko varnostni incidenti niso medijsko izpostavljeni, krivca ni treba iskati, dovolj je, da se dogovorimo med sabo, okaramo nesposobne zaposlene, se posipamo s pepelom in zadevo pometemo pod preprogo. Ko se začne incident javno pogrevati, nastanejo težave, ki jih bolj ali manj učinkovito rešujejo represivne službe: Policija, Informacijski pooblaščenec, AKOS, Uprava za informacijsko varnost). Takrat naj bi se v okviru formalnih postopkov določilo odgovorno osebo, praviloma tako, da se začne z iskanjem krivca čim nižje v...

Slo-Tech - Slovenski del hekerske skupine Anonymous je danes zjutraj na svojem Twitter računu objavil povezavo do datoteke s 3.6GB zaupnih podatkov s strežnika spletnega časopisa Nova24TV (znani kot "prvi v službi resnice").



Kot kaže, so člani skupine uspeli vdreti v njihov strežnik ter si skopirati celotno podatkovno bazo oz. so se na kakšen drug način prikopali do kopije omenjene baze. S tem so odtujili podatke o vseh registriranih uporabnikih spletnega časopisa: njihove e-poštne naslove, IP naslove, imena, vzdevke, čase prijave, ipd. Z objavo teh podatkov so tako v bistvu razkrili identiteto številnih uporabnikov portala Nova24TV. Kot kaže hitri pregled vsebine baze, se v njej nahajajo tudi gesla, vendar v šifrirani obliki (oz. v obliki tim. kontrolnih vsot), zato njihova neposredna zloraba ni mogoča.



Anonymous ne skriva, da je bil njihov namen škodovati desnici, saj jo v tvitu opisujejo kot "faš******* kriminalce", ki jih je treba ustaviti pri njihovem cilju "uničenja svobode in...

Slo-Tech - Od tega tedna dalje je v Googlovi trgovini Play na voljo slovenska aplikacija za sledenje stikom, ki jo je pripravilo Ministrstvo za javno upravo v sodelovanju z Nacionalnim inštitutom za javno zdravje. Aplikacija za iOS bo na voljo kmalu. Aplikacija, ki jo najdemo pod imenom #OstaniZdrav je prevod nemške aplikacije Corona Warn App, ki na Androidu uporablja Googlove, na iOS pa Applove API vmesnike za sledenje stikom.

Za delovanje aplikacije moramo imeti vključeno tehnologijo Bluetooth, zaradi tehničnih razlogov pa aplikacija zahteva dovoljenje za pridobivanje lokacije, čeprav aplikacija lokacije same (GPS) ne beleži. Preko Bluetootha je namreč (teoretično) mogoče ugotoviti lokacijo, zato je za aktivacijo Bluetootha aplikaciji potrebno dodeliti pravico za dostop do lokacije, čeprav aplikacija sama lokacijskih podatkov ne pridobiva.

Aplikacija je odprtokodna, njena izvorna koda je objavljena na Githubu in tam lahko tudi preverimo, da aplikacija lokacijskih podatkov res ne...

Slo-Tech - Joseph Sullivan je kot nekdanji CSO (Chief Securtiy Officer) obtožen oviranja pregona in poskusa prikrivanja informacijskega vdora, ki se je Uberju primeril leta 2016 in v katerem so bili neznancem izpostavljeni podatki o 57 milijonih njihovih voznikov in uporabnikov. Podjetje je vdor obelodanilo leto pozneje, ko je vodstvo že prevzel Dara Khosrowshahi, tedaj je postalo znano tudi dejstvo, da so vdiralcem plačali 100.000 ameriških dolarjev za izbris pridobljenih podatkov. Sullivan je takrat izgubil službo, Uber pa je za odškodnine, ki so jih na sodišču zahtevale vse zvezne države, porabil 148 milijonov USD.

Zdaj tožilci Sullivanu očitajo, da je zvezni komisiji za trgovino oz. Federal Trade Commission (FTC) aktivno preprečeval, da bi vdor ustrezno raziskala, pa tudi to, da je osebno odobril izplačilo odkupnine. Slednja je bila sicer zamaskirana v t. i. bug bounty nagrado, torej znesek, ki ga podjetja običajno plačajo varnostnim raziskovalcem, ki odkrijejo kako bistveno ranljivost....

Slo-Tech - Varnostna firma Check Point je odkrila kopico ranljivosti v delu sistemskega čipa Snapdragon, ki je namenjen obdelavi signalov (DSP). Qualcomm je že objavil popravke, ki pa jih morajo Google in proizvajalci telefonov še dostaviti.

Digital Signal Processor ali DSP je čip, namenjen hitri in varčni obdelavi signalov, na primer kompresiranju videa in zvoka, pa tudi recimo kontroli nad hitrim napajanjem. V sodobnih sistemskih čipih ga pospravijo v vezje, ki ždi poleg centralnega procesorja, GPUja in ostalih podsistemov. DSPje običajno razvijajo ločeno od preostanka SoCja, zaradi česar so za sistemske integratorje "črna škatlica", to pa obenem pomeni oteženo odkrivanje in odpravljanje varnostnih lukenj. Ravno zaradi tega so se DSPja v najbolj razširjenem sistemskem čipu na svetu, Qualcommovem Snapdragonu, lotili v varnostnem podjetju Check Point in našli prek 400 hroščev v krmilnem ter razvojnem (SDK) programju. Ti niso nedolžni, saj naj bi zlikovcem omogočali razmeroma enostavno izrabo...

Ars Technica - Ameriški organi pregona so v petek zjutraj po lokalnem času izdali obtožnice zoper trojico oseb, osumljeno sodelovanja pri nedavnem odmevnem vdoru v Twitterjeve račune. Dva osumljenca, oba Američana s Floride, so tudi že priprli, tretjega pa so prijeli v Veliki Britaniji. 17-letnik iz Tampe naj bi bil obenem tisti, ki je napad načrtoval in v največji meri izpeljal.

Ker je bil vdor v Twitter sredi julija ne le eden najobsežnejših napadov na družbena omrežja doslej, temveč je imel za tarčo vrsto vplivnih oseb iz politike in gospodarstva, so ameriški preiskovalni organi zelo hitro in konkretno pljunili v roke. Le pol meseca so potrebovali, da so za rešetke spravili snovalca hacka, obenem pa še dva pomočnika, ki sta mu pomagala pri trženju ukradenih računov. V Tampi na Floridi so tako aretirali 17-letnega Grahama Clarka, ki naj bi bil omenjeni mastermind. V Orlandu je policija prijela 22-letnega Nimo Fazelija, medtem ko je britanska policija prišla po 19-letnega Masona Shepparda iz...

Ars Technica - Podjetje z GPS lokacijskimi storitvami Garmin je v preteklih dneh dodobra ohromil prefinjen in ambiciozen hekerski napad z napredno izsiljevalsko zlobno kodo WastedLocker.

Večina tistih, ki na potovanjih in pri športu uporabljajo naprave družbe Garmin, je bila konec tedna soočena z mrkom naprednejših funkcij, kot je denimo analiza treninga. V četrtek opoldne po našem času je klecnil Garmin Connect, takoj nato so sledili še flyGarmin, klicni centri in vse spletne strani. To je konkretno pomenilo na primer, da se pametne ure niso mogle priklopiti v oblak, piloti pa niso mogli z nalinijskimi orodji oblikovati načrtov letenja. Šele v ponedeljek so pričeli servise ponovno zaganjati in nekateri so tudi še v torek delovali "s pol moči". Hkrati so v skopem sporočilu uradno potrdili razlog: njihovo omrežje je bilo žrtev dobro organiziranega napada z izsiljevalsko zlobno kodo, tako da smo dobili novo udarno poglavje v spopadu med velikimi ustanovami in ransomwarom.

Strokovnjaki in...

Slo-Tech - Po dobrem tednu od največjega vdora v Twitter na dan prihajajo nove podrobnosti, ki korakoma slikajo obsežnejši napad. Čeprav je Twitter sprva zatrjeval, da napadalci niso pretočili zasebnih sporočil pomembnih računov (high-profile), ki so bili sicer tarče napadov, to ne drži. Včeraj zvečer so namreč iz podjetja sporočili, da so 36 pomembnim računom ukradli zasebno korespondenco, iz vseh 130 pa elektronske naslove, telefonske številke in druge osebne podatke. Tega sploh niso razkrili v novi objavi za javnost, temveč so zgolj popravili skoraj teden dni staro.

Na internetu se je o vdoru nabralo že precej informacij, bistveno več od tega, kar uradno razkriva Twitter. Kot kaže, je bil glavni motiv za napad pridobiti dostop do računov s kratkim ID naslovom (npr. @6). Napadalci so povezani s skupino hekerjev (SIM swappers), ki naj bi dostop pridobili prek Twitterjevih lastnih administrativnih orodij za menjavo gesel in elektronskih naslovov, čeprav Twitter zanika vpletenost kogarkoli iz...

ZDNet - Pretekli konec tedna so hekerji napadli sisteme drugega največjega argentinskega operaterja Telecom Argentina, ki ima tretjinski tržni delež. Napadalci so uspeli prevzeti nadzor nad Domain Adminom in nato namestiti izsiljevalsko programsko opremo na 18.000 delovnih postaj. Ob tem sicer ni prišlo do prekinitev zagotavljanja storitev (fiksna in mobilna telefonija, kabelska TV), so pa bile nedosegljive spletne strani. Hekerji so zahtevali 7,5 milijona dolarjev odkupnine v kriptovaluti monero (109345,35), kar se bo podvojili vsake tri dni, so dodali.

Kot poročajo viri iz podjetja in kažejo zaslonski posnetki, ki so jih na družbenih omrežjih delili nekateri zaposleni, je Telecom Argentina zaznal vdor takoj, ko se je zgodil. Zaposlene so pozvali, naj se ne povezujejo s službenim omrežjem prek VPN, naj omejijo uporabo omrežnih virov in naj ne odpirajo elektronske pošte s priponkami. Telecom Argentina incidenta sprva ni komentiral, prav tako ni razkril, ali nameravajo plačati odkupnino,...

Slo-Tech - Mineva nekaj dni od odmevnega vdora v najvidnejše račune na Twitterju in tako podjetje kot mnogi preiskovalci ter vpleteni so postregli z nekaj več detajli. Zaenkrat še vedno kaže, da je šlo za kripto-potegavščino, saj ni videti, da bi jo zlikovci podurhali z zasebnimi sporočili Obame, Muska in drugih pomembnih oseb; toda na končne sklepe bo potrebno še čakati.

V noči s srede na četrtek po našem času se je Twitterju pripetil bržkone največji vdor v zgodovini socialnih omrežij. Mnogi računi vidnih svetovnih političnih, gospodarskih in medijskih osebnosti, kot so Barack Obama, Elon Musk, Bill Gates in Jeff Bezos, so začeli bljuvati prevarantske objave, ki so imele namen od lahkovernežev izvabiti kriptokovance. Na koncu so nepridipravi dejansko pobasali za prek sto tisoč dolarjev plena, pri Twitterju pa so po dveh urah mahinacije le zaustavili - tudi s pomočjo prijemov, ki jih vidimo jako redko, kot je vsesplošno blokiranje preverjenih (verified) uporabniških računov. Ker je...

IBM - Kako deluje hekerske skupine, ki jih sponzorirajo države, je v grobih obrisih znano, podrobnosti vsakega napada pa preiskovalci običajno zlagajo skupaj iz ostankov zlonamerne kode, dnevniških datotek in povezav. Redkeje pa se zgodi, da hekerji sami razkrijejo svoj način dela - z videoposnetki. Prav to se je zgodilo hekerski skupini ITG18 (znano tudi kot APT35, Charming Kitten ali Phosphorous), ki je povezana z iransko vlado. Na v internet odprt strežnik so naložili 40 GB ukradenih podatkov, med katerimi je tudi približno pet ur videoposnetkov, ki jih uporabljajo za urjenje novincev. Vsebino je našel IBM, ko je njegova skupina za informacijsko varnost X-Force IRIS naletela na omenjeni strežnik.

Objavili so pet ur posnetkov (AOL.avi, Aol Contact.avi, Gmail.avi, Yahoo.avi, Hotmail.avi), ki kažejo kako vdreti v uporabniške račune različnih storitev in kako hitro sneti podatke (en primer je ameriškega pripadnika mornarice, drugi pa je iz grške mornarice). Poizkusili so vdreti v kar 75...

Slo-Tech - Microsoft je varnostno luknjo označil kot kritično in črvivo (wormable), saj je izpostavljena napadom s pomočjo zlobne kode, popularno imenovani črvi. Ranljivost napadalcu omogoča oddaljeno zaganjanje izvršljive programske kode na strežniku in izvajanje lažnih DNS poizvedb, s čimer bi v praksi lahko prodrl v celotno infrastrukturo organizacije. Microsoft je stopnjo ogroženosti po lestvici Common Vulnerability Scoring System (CVSS) ocenil na 10, za primerjavo, razvpiti črv WannaCry je bil po tej isti sistemizaciji ocenjen z 8,5.

Varnostno luknjo so že maja odkrili raziskovalci podjetja Check Point in odkritje posredovali Microsoftu, kjer so pred dnevi objavili popravek, ob njem pa še eno, obvodno rešitev, ki ranljivost nevtralizira prek registra. Po besedah predstavnikov Microsofta za zdaj ni indicev, da bi ranljivost kdo že poskusil zlorabiti, predstavniki Check Pointa pa so pri tem nekoliko bolj previdni, češ, obstajala je 17 let, če smo jo našli mi, ni vrag, da je ni vmes še kdo...

engadget - Nova funkcija preizkusne različice iOSa 14 je pokazala, da več ducatov aplikacij še vedno brez jasnega razloga dostopa do odložišča (clipboard), medtem ko je na Androidu položaj še slabše poznan.

Letošnjega marca sta raziskovalca Talal Haj Bakry in Tommy Mysk odkrila prek petdeset priljubljenih aplikacij za iOS, ki so brez jasno navedenega razloga dostopale do odložišča, kjer se shranjujejo kopirani podatki. Programje ima dostikrat čisto legitimne težnje takšne narave, na primer grafična okolja, ki tam iščejo slike, ali appi dostavnih storitev, ki opazujejo, če smo slučajno zajeli številko dostavne storitve. Toda ker se v odložišču pogosto znajdejo tudi gesla ali podatki z bančnih računov, vsekakor kaže biti pazljiv, komu dovolimo tam okoli vohljati. Spisek množice appov, ki sta ga sestavila Bakry in Mysk, je vseboval priljubljena orodja, kot sta Viber in AccuWeather, pa prikazovala najvidnejših medijskih hiš, kot so Reuters, New York Times, NPR in Fox. Ter TikTok, ki je spričo...

BBC - Širom zahodne Evrope je v preteklih tednih za rešetkami pristalo na stotine članov kriminalnih združb, predvsem tihotapcev drog. Gre za posledico uspešnega vdora kriminalistov v šifrirani komunikacijski sistem EncroChat.

Zloraba sodobne informacijske tehnologije ni zgolj domena piscev zlobne kode in podobnih black hatov, temveč tudi običajnejših kriminalnih tolp. Te z njeno pomočjo lahko postanejo skrbno naoljena prekupčevalska in izterjevalska omrežja, saj sodobne komunikacije ter analiza podatkov močno pospešijo njihovo delovanje. Toda hkrati ima naslanjanje na takšne zmogljivosti lahko zanje tudi negativno plat, saj so tako izpostavljene hekerskim vdorom. Očitno smo primer takšnega dogodka ravnokar dobili v praksi, kajti kriminalistični uradi širom zahodne Evrope so v sodelovanju z Europolom in Eurojustom razkrili eno najuspešnejših tovrstnih akcij v zgodovini, ki je bila osrediščena okoli prisluškovanja šifrirani mobilni platformi EncroChat.

EncroChat je bil ponudnik storitev...

Slo-Tech - Izsiljevalski virus Netwalker, ki se je začel širiti v začetku tega leta, je prizadel tudi Univerzo v San Franciscu (UCSF). Na njihovi medicinski fakulteti je zašifriral datoteke na računalnikih, pred tem pa so hekerji kopije ukradli še zase. Nato so fakulteti zagrozili, da želijo tri milijone dolarjev, sicer ne bodo nikoli dobili nazaj svojih podatkov (oziroma ključa za dešifriranje), bodo pa javno objavili zbrane osebne podatke (denimo študentov). UCSF se je po pogajanjih uklonil in plačal dober milijon dolarjev.

Celotno zgodbo so od blizu spremljali novinarji BBC-ja, ki so prejeli informacijo o dogajanju. Pogajanja so potekala prek klepeta na spletni strani, podobno kot ima to urejeno veliko podjetij za pomoč uporabnikom, le da je bila ta stran na temnem delu interneta (darkweb). Glede na prihodke, ki jih ustvari UCSF, so hekerji sprva zahtevali tri milijone dolarjev, UCSF pa je ponudila štirikrat manj. Kasneje so se uskladili pri 1,14 milijona dolarjev, kar so plačali v...

Awake Security - Raziskovalci varnostnega podjetja Awake Security so razkrili, kako je skupina 111 razširitev, ki si jih je s Chromove spletne tržnice doslej preneslo že 33 milijonov uporabnikov, pridno zbirala občutljive osebne podatke in jih pošiljala na določene spletne strani. Šlo je za posnetke zaslonov, vsebino odložišč, piškotke za vpisovanje v spletne strani in celo zaporedja tipk pri vpisovanju gesel v določena poslovna orodja. Večina omenjenih razširitev je delovala tako, da je po namestitvi lahko sama nameščala svoje lastne popravke prek izvršljivih datotek. Google je razširitve po opozorilu Awake Security že odstranil.

Razširitve so se pri svojem delovanju povezovale s približno 15.000 spletnimi domenami, ki so bile vse registrirane pri izraelskem podjetju GalComm. Vodstvo slednjega zanika vsako vpletenost, a strokovnjaki Awake Security trdijo, da so v družbi zagotovo morali vedeti, kaj se dogaja. Predstavniki ICANN (Internet Corp for Assigned Names and Numbers), ki so GalComm...

Slo-Tech - Tehnologijo CET (Control-Flow Enforcement Technology) sta Intel in Microsoft prvikrat predstavila že leta 2016, sedaj pa naposled prihaja v nove procesorje. Intel je včeraj potrdil, da bo nova serija Tiger Lake imela vgrajen CET, ki je namenjen preprečitvi delovanja tehnike ROP (return-oriented programming). Z njo zlikovci skušajo pretentati metode, kot sta Executable Space Protection ali ASLP. Te pa so bile v prvi vrsti postavljene, da bi zlonamerni kodi preprečili ciljano pisanje po pomnilniku, ki ji ne pripada. Igra mačke z mišjo se torej nadaljuje, kjer je bil ROP zadnji dosežek zlikovcev, zato sta Intel in Microsoft razvila ROP.

Kot pojasnjuje Alex Ionescu iz CrowdStrika, CET uvaja nov kontrolni sklad (control stack), ki ga napadalci ne morejo spremeniti in ki ne vsebuje nobenih podatkov. Namesto tega vsebuje naslove (return address) posameznih kosov kode, ki je v pomnilniku in bi jo z ROP lahko uporabili za izvedbo napada. CET zazna morebitne spremembe, zato lahko procesor...

Slo-Tech - V južnoafriški Postbank so morali zamenjati 12 milijonov kartic, ker je eden izmed zaposlenih ukradel 36-bitni glavni ključ (master key), razkriva The Sunday Times, ki je pridobil poročilo iz julija 2019. Incident se je zgodil že decembra 2018, posledice pa so bile občutne. Ni šlo le za zamenjavo milijonov kartic, temveč tudi za več tisoč lažnih transakcij in milijonske škode.

Neimenovani uslužbenec je decembra 2018 v starem podatkovnem centru v Pretoriji na list papirja natisnil 36-bitni ključ. Omenjeni ključ omogoča dostop do informacijskega sistema v banki, izvajanje transakcij in njihovo spreminjanje ter celo izdajanje plačilnih kartic. Med marcem in decembrom lani so zlikovci s tem ključem izvedli 25.000 lažnih transakcij in ukradli za 56 milijonov randov sredstev (2,9 milijona evrov). Prizadetih je 8-10 milijonov imetnikov kartic, še milijonu pa so ukradli osebne informacije. To se sliši veliko, a zaradi tega bo banka morala zamenjati vse kartice (plačilne in tudi posebne,...

Slo-Tech - Raziskovalci z izraelske Univerze Ben-Gurion in Weizmannovega inštituta pod vodstvom Adija Shamirja, ki se ukvarjajo z iskanjem in dokazovanjem metod za prestrezanje podatkov in prisluškovanje, so pokazali nov način, kako lahko (dobesedno) prisluškujemo. Napad, ki so ga poimenovali Lamphone, izkorišča prosto visečo žarnico v prostoru, ki se zaradi zvoka rahlo ziblje.

Zvok je longitudinalno valovanje zraka, ki se odrazi kot oscilacije zračnega tlaka. Ti lahko povzročijo nihanje predmetov, ki pa je zaradi zanemarljive energije, ki jo nosi zvočno valovanje, v večini primeri nezaznavno. Prav na tem principu deluje sluh, saj je bobnič fino napeta membrana, ki zaradi sprememb zračnega tlaka niha, kar se prevede v signal za možgane. Nihajo pa tudi svetila, denimo prosto viseče žarnice. Nihljaji zaradi zvoka so prostemu očesu nevidni, saj je gre za milistopinje, ne pa tudi specializirani opremi.

Shamirjeva ekipa je pokazala, da je to dejstvo možno izkoristiti za pasiven napad. Koncept, kot rečeno ni nov. Laserji, ki merijo vibracije stekel v oknih, so znana metoda. Sedaj pa so pokazali, da lahko s 400 dolarjev vredno opremo (elektro-optični senzor) merimo spremembe v svetlobnem toku zaradi mikronihajev svetila v prostoru, ki je...

Slo-Tech - Japonski proizvajalec vozil Honda je bil v začetku tedna žrtev hekerskega napada, zaradi česar so za en dan celo ustavili proizvodnjo in nekaj zaposlenih poslali na izredni dopust. V podjetju so incident potrdili in dejali, da posledice že odpravljajo. Proizvodnja se je po torkovi zaustavitvi danes že nadaljevala.

Napad se je zgodil v ponedeljek zjutraj v Tokiu in se je kmalu razširil po informacijskem sistemu podjetja. Proizvodnjo so prekinili v Ohiu v ZDA, v Turčiji, Indiji in Južni Afriki, je dejal tiskovni predstavnik Hidenori Takeyasu. Na Japonskem naj bi proizvodnja tekla normalno. Kaj je povzročilo vdor, uradno ni znano. Vdor približno sovpada s širjenjem izsiljevalske programske opreme Ekans, ki je glavni osumljenec, ker se je v bazi VirusTotala pojavil prijavljeni vzorec Ekansa iz omrežja mds.honda.com. Pregled je pokazal, da je konkretna verzija napisana tako, da poizkusi dostopiti do mds.honda.com in če to ni možno (to je interni strežnik), ne zašifrira nobenih datotek,...

Heise - Heise razkriva, da je bil vsaj od lanskega novembra avstrijski mobilni operater A1 Telekom Austria žrtev hekerskega napada. Preiskovalci so bili napadu nekaj mesecev na sledi, a so sistemsko čiščenje zaradi epidemije koronavirusa prestavili z marca na maj. To namreč ni enostaven postopek, saj so morali sočasno zamenjati gesla vseh zaposlenih, odstraniti stranska vrata v webshellu, izdati nove golden tickets za Kerberos strežnike Active Directoryja itd. Le tako so lahko zagotovili, da se napadalci ne morejo vrniti.

V zadnjih mesecih so poskrbeli, da prek okuženih sistemov niso pretakali pomembnih podatkov, hkrati pa niso smeli vzbuditi pozornosti napadalcev, je dejal vodja računalniške varnosti pri A1 Wolfgang Schwabl. Napad se je zgodil že novembra lani, in sicer je - za zdaj prek neznanega vektorja, bržkone ukradenih prijavnih podatkov - najprej doletel eno običajno delovno postajo. Od tam so se potem počasi prebijali po omrežju, najprej do prvega neustrezno zaščitenega strežnika...

Slo-Tech - Zoom je sprva trdil, da ima urejeno šifriranje od pošiljatelja do prejemnika (end-to-end), a smo kasneje izvedeli, da ga v resnici šele pripravlja. V obstoječi verziji ima namreč tudi Zoom ključe, zato bi lahko teoretično prisluškovali pogovorom, kar bi razveselilo zlasti organe pregona. In to bo tudi glavni razlog, da bo za uporabnike brezplačne verzije tako tudi ostalo.

Izvršni direktor Eric Yuan je potrdil, da bo pravo šifriranje na voljo le naročnikom plačljive verzije. Brezplačnim uporabnikom ga ne bodo ponudili, da bo podjetje laže sodelovalo s policijo v primeru zlorab aplikacije. Z drugimi besedami: Zoom bo imel tehnično možnost predati vsebino komunikacije. To odpira stare debate o primernosti šifriranja end-to-end, kjer prestrezanje prometa niti teoretično ni mogoče. Tako organi pregona sodnih odredb o prisluškovanju ne morejo izvesti, ker to tehnično ni možno. Rešitev te zagate je seveda bodisi namerna ošibitev šifrirnih algoritmov bodisi ukinitev šifriranja end-to-end,...

Slo-Tech - Ameriška agencija NSA je izdala opozorilo, da razvpita ruska hekerska skupina Sandworm izvaja obširno kampanjo napadov na poštne strežnike, in sicer skozi še vedno zelo razširjeno ranljivost v programju za pošiljanje elektronske pošte Exim, ki je bila odkrita lansko poletje.

Lanskega junija je bila najdena kritična ranljivost v programu za pošiljanje elektronske pošte (mail transfer agent - MTA) Exim, ki je razširjen v sistemih z Unixom in Linuxom ter naj bi se nahajal v več kot polovici poštnih strežnikov po svetu. Napadalcu preko primerno sestavljenih sporočil omogoča polni (root) prevzem nad ciljnim poštnim strežnikom. Kljub temu, da je bil popravek na voljo takoj, hkrati pa so zlikovci še isti mesec pričeli dejansko zlorabljati odkrito slabost, raziskave kažejo, da je še letošnjega maja polovica lukenj ostala nezakrpanih.

To naj bi v zadnjem času pridoma izkoristili v zloglasni hekerski skupini Sandworm, povezani z rusko vojaško obveščevalno službo (GRU). Skupina je ena...

Slo-Tech - Od Snowdnovih razkritij pred sedmimi leti vemo za obseg sodelovanja, ki ga okviru zavezništva Petero oči na področju obveščevalnih službi izvajajo Avstralija, Kanada, Nova Zelandija, Velika Britanija in ZDA. Do letos pa je bilo precej manj znano dejstvo, da podobna združba obstaja tudi na Stari celini. Maximator je ime evropskega petčlanskega krožka, v katerem sodelujejo Danska, Francija, Nemčija, Nizozemska in Švedska. Prvi je o Maximatorju pisal Bart Jacobs z Univerze Radboud v nizozemskem Nijmegenu.

Zavezništvo je nastalo leta 1976, ko so se povezale Nemčija, Švedska in Danska (slednja je bila pobudnik), da bi laže dešifrirale sporočila na satelitskih zvezah. Dve leti pozneje se je pridružila še Nizozemska, Francija pa je vstopila leta 1985. In v takšni obliki je skupina ostala aktivna vse do danes. Ena izmed ključnih sestavin zavezništva je bilo švicarsko podjetje Crypto AG, katerega lastnika sta bila ameriška CIA in nemška BND. Ne da bi ostali člani Maximatorja vedeli, od kod...

Slo-Tech - Po navadi pišemo o pobeglih bazah, ki vsebujejo osebne podatke, to pot pa je na Tajskem na internet pobegnila še precej bolj zanimiva baza. Nekaj dni je bilo povsem brez zaščite možno preveriti, katere spletne strani so obiskovali uporabniki tajskega mobilnega operaterja AIS (Advanced Info Service). Baza je merila 4,7 TB in je vsebovala 8,3 milijarde zapisov.

Zapisi so bili vnosi v dnevniško datoteko, kjer so se beležile poizvedbe DNS (DNS queries). Zajemali so obdobje od 30. aprila zvečer do 7. maja zjutraj. Nihče ne ve, zakaj se je beležilo to obdobje in zakaj se je kasneje beleženje nehalo. Baza je bila na internetu dostopna še dva tedna, šele po posredovanju ThaiCERT-a pa je bila odstranjena. Raziskovalec Justin Paine, ki jo je našel med brskanjem po BinaryEdge in Shodanu, je en teden zaman skušal vzpostaviti stik z AIS, a mu ni uspelo. Šele ko je obvestil ThaiCERT, se je AIS zganil. Baza je bila tako dostopna od 1. maja do 22. maja.

Vsebovala je 3,4 milijarde poizvedb DNS...

Ars Technica - Iz FBIja so sporočili, da so po več mesecih truda naposled odklenili dva iPhona domnevnega islamskega terorista, ki je lanskega decembra na Floridi zagrešil strelski pokol. Toda dogodek ni pomiril napetih strasti med Applom in ameriškimi preiskovalnimi organi, temveč jih je še zaostril.

Letos smo bili priče ponovitvi sage, ki se je v podobni obliki odvijala že pred štirimi leti: ameriški Zvezni preiskovalni urad FBI je v roke dobil dva zaklenjena iPhona, tokrat Savdijca Mohammeda Saeeda Alshamranija, ki je 6. decembra lani v streljanju v vojaški bazi na Floridi ubil tri ljudi in jih še osem ranil. Pri zašifriranih iPhonih je mogoče geslo ugibati zgolj desetkrat, preden se podatki nepovratno izbrišejo, zato je vdiranje v takšno napravo zahtevno. Da bi si preiskovalci lahko čimprej pomagali s podatki na telefonih, so zato za pomoč vnovič prosili Apple, ki pa jim je zopet odgovoril, da v tem oziru ne more storiti ničesar, ker iPhoni, oziroma iOS, nimajo stranskih vrat, ki bi jih...

Independent - Britanski nizkocenovni prevoznik EasyJet je sporočil, da so bili v podjetju žrtev sofisticiranega informacijskega napada, v katerem so neznanci dostopali do podatkov o 9 milijonih uporabnikov, med njimi so bili tudi email naslovi in podrobnosti potovanj, kar je verjetno najhuje, med razgaljenimi podatki so bili tudi detajli o 2208 plačilnih karticah. Vodstvo podjetja je še sporočilo, da prizadete stranke že obveščajo o incidentu, izvršni direktor EasyJeta Johan Lundgren, pa se je strankam prek medijev že javno opravičil.

Druge podrobnosti o napadu, denimo kako je bil izpeljan, niti to, kdaj natanko se je primeril, za zdaj niso znane.

Za zdaj tudi ni poročil, da bi bili pridobljeni osebni podatki kakorkoli zlorabljeni, zadevo pa že preiskujejo britanski Nacionalni center za informacijsko varnost, varuh zasebnosti in tamkajšnji urad pooblaščenca za varstvo osebnih podatkov.

The New York Times - Ameriški FBI in Oddelek za domovinsko varnost (DHS) sta opozorila, da kitajski hekerji napadajo ameriške bolnišnice, farmacevtske družbe in raziskovalne ustanove, ki se ukvarjajo z raziskavami zdravil in cepiv proti novemu koronavirusu. Kdor bo prvi razvil cepivo ali učinkovito zdravilo, bo imel pomembno geostrateško prednost.

To predstavlja resno grožnjo nacionalni varnosti in odzivu na pandemijo, so v FBI in DHS povedali v skupni izjavi za javnost. Na ministrstvu za pravosodje ob tem dodajajo, da Kitajska že dlje časa vohuni za informacijami iz biomedicinskih raziskav, pri čemer je covid-19 novi sveti gral. Zato razmišljajo, da bi vložili obtožnice proti hekerjem. V praksi to ne pomeni veliko, ker ti verjetno ne bodo nikoli stopili v ZDA, jim pa s tem močno otežijo potovanje po svetu, saj ima precej držav podpisane sporazume o izročitvah tretjih državljanov ZDA. Prav tako imajo tovrstne razglasitve pomembno odvračalno funkcijo, saj imajo ameriški državni hekerji pravico napasti...

Slo-Tech - Nizozemski raziskovalec Björn Ruytenberg je razkril, kako z izvijačem in prirejeno Thunderbolt napravo v petih minutah vdreti v prenosnik in prevzeti nadzor nad podatki. Metoda Thunderspy se zanaša na varnostno luknjo strojne narave v vmesniku Thunderbolt. Ta deluje na vodilu PCI-e in ima zato neposreden dostop do podatkov v delovnem pomnilniku (DMA), kar nepridipravom omogoča popoln dostop do podatkov. Postopek si lahko ogledate tudi v videoposnetku.

Metoda je močno omejena s tem, da zahteva neposreden dostop do računalnika in to najmanj nekaj minut. V tem času je potrebno prenosnik odpreti, priključiti posebno zunanjo napravo in z njeno pomočjo naložiti nov firmware. A po drugi strani na ta način obidemo vse, še tako močne zaščite, kot je denimo Secure Boot, pa z geslom zaščitena BIOS in operacijski sistem ter celostno šifriranje diska. Thunderspy tudi ne zahteva nobenega sodelovanja uporabnika ter po končani operaciji ne pušča vidnih sledov, ki bi žrtvi dale vedeti, kaj se je...

BBC - Pred dvajsetimi leti se je po svetu množično razširil virus ILoveYou. Ni bil prvi virus na svetu, je bil pa prvi, ki je pustošil globalno. Vrhunec razmaha je dosegel 5. maja 2000, ko je okužil več kot 50 milijonov računalnikov, kar bi bilo še danes veliko, za tisti čas pa je bilo ogromno. Škoda je presegla 15 milijard dolarjev. Virus se je širil prek elektronske pošte v priponki LOVE-LETTER-FOR-YOU, ki je vsebovala virus. Datoteka vbs je bila skripta za Visual Basic, ki je ob zagonu (tehnično je šlo za črva) prepisala nekaj datotek na disku (glasbo, videoposnetke, dokumente, slike) in se potem poslala vsem v Outlookovem imeniku. Virus se je začel širiti v Manili in se je potem širil proti zahodu, ko so ljudje prihajali v službo in zaganjali svoje računalnike, na njih pa prebirali pošto. Ker je bil virus napisan v skriptnem jeziku, so ga lahko uporabniki spreminjali, zato je kmalu vzniknilo več deset variant, ki so bile često agresivnejše in so onesposobile zagon sistema.

Kdo je...

Slo-Tech - Raziskovalci z Univerze Ben Gurion v izraelskem Negevu v skupini Mordechaija Gurija so znani po odkrivanju inovativnih načinov, kako je možno komunicirati z (okuženimi) računalniki, ki niso priključeni na nobeno omrežje (air-gapped). Njihov najnovejši prototip je napad POWER-SUPPLaY, ki izkorišča zmožnost napajalnikov, da oddajajo zvoke. Te je potem možno prebrati z mikrofonom, ki je skrit v okolici.

Računalnik, ki ga napadamo, mora seveda biti nekako okužen. Ko to zagotovimo, pa zlonamerna koda spreminja interno frekvenco napajalnika, kar se odrazi tudi na grajenih transformatorjih in kondenzatorjih. Na ta način lahko spreminjamo zvok, ki ga oddaja napajalnik. Ta je v razponu med 0 in 24kHz. Napajalniki sicer nimajo delov, ki bi jih lahko direktno krmilili, a se prilagajajo porabi. V konkretnem primeru zlonamerna programska oprema (ki ne potrebuje administratorskih privilegijev) spreminja obremenitev procesorja, kar vpliva na delovanje napajalnika in zvok, ki pri tem nastaja. Kot sprejemnik lahko deluje že navaden telefon, ki ima nameščeno ustrezno aplikacijo. Podatke so uspeli prenašati s hitrostjo 50 b/s, domet pa je bil šest metrov. Je pa to seveda odvisno od hrupa v prostoru in siceršnje obremenitve procesorja. Napad je...

ZDNet - Neznanci so minuli konec tedna vdrli v jedrno infrastrukturo LineageOSa, gre za brezplačen in odprtokodni operacijski sistem za telefone, tablice in set-top boxe, ki temelji na platformi Android. Napad se je odvil v noči s sobote na nedeljo po našem času in je bil odkrit še preden bi lahko napadalci povzročili resno škodo.

Kot so sporočili iz LineageOS, so podpisni ključi za avtentikacijo uradnih distribucij ostali nedotaknjeni, prav tako izvorna koda in posamezne graditve operacijskega sistema. So pa začasno, zaradi preiskave dogodka, ugasnili vse svoje strežnike.

Napadalci so pri napadu izkoristili nezakrpano varnostno vrzel v Saltu, torej platformi Saltstacka za upravljanje in nadzor strežnikov na daljavo. Dve taki varnostni luknji, CVE-2020-11651 in CVE-2020-11652 so prav pred dnevi razkrili pri F-Secure, njuna kombinacija lahko napadalcu omogoči da obide vpisno proceduro in na Salt master namestitvi požene poljubno programsko kodo. Popravek je že na voljo, a trenutno je na...

theguardian.com - Facebookovo podjetje WhatsApp je že lani obtožilo izraelskega ponudnika spywara NSO Group sodelovanja pri vdoru v 1400 njihovih uporabniških računov, zdaj pa je iz sodnega spisa pricurljalo nekaj več podrobnosti, kako je bil pri tem uporabljen Pegasus, njihov najbolj znan spyware izdelek. Slednjega uporabljajo organi pregona in obveščevalne službe več držav, z njim je mogoče prestrezati sporočila, klice, imenik, zvok mikrofona, GPS-lokacijo, podatke aplikacij in podobno.

Po zatrjevanju WhatsAppa so bili med napadenimi uporabniki visoki vladni uradniki, aktivisti za človekove pravice, disidenti in novinarji. Njihova interna preiskava je tudi pokazala, da so v napadih sodelovali strežniki v lasti NSO Group in ne tisti v lasti njihovih vladnih klientov. Tako pričanje enega od inženirjev pravi, da so v 720 primerih napadov našli IP naslov oddaljenega strežnika, ki se sicer nahaja v Los Angelesu in ga najema in uporablja NSO Group. Slednje seveda pomeni, da je imelo podjetje zelo...

Slo-Tech - Navajeni smo že, da se tudi v uradnem Google Play Storu znajdejo aplikacije sumljive provenience in zlih namenom, ki jih tja podtaknejo kriminalci, ki uspejo začasno pretentati Googlov (resda luknjičav) nadzor. Redkeje pa se zgodi, da zlonamerne aplikacije tja skrijejo kar državni obveščevalci. Raziskovalci iz podjetja Kaspersky poročajo o primeru skupine OceanLotus z napadom PhantomLance, ki se je ukvarjala prav s tem. Na Play Store so podtaknili malware, s katerim so vohunili po telefonih uporabnikov iz Vietnama, Bangladeša, Indonezije in Indije.

V konkretnem primeru cilj ni bil okužiti čim več ljudi, temveč nekaj točno določenih posameznikov. Napadalci so zgolj želenim tarčam poslali elektronska sporočila s povezavami na aplikacije, ki so vsebovale vohunsko kodo. V tem primeru bodo žrtve bolj verjetno zaupale, da je aplikacija legitimna, ker povezava vodi do Play Stora. Na podoben način namreč povezavo do svojih aplikacij pošiljajo legitimna podjetja, denimo nove spletne banke....

Slo-Tech - Poročilo podjetja ZecOps razkriva dva hrošča v privzeti poštni aplikaciji, ki domnevno ogrožata na milijone uporabnikov iPhonov in iPadov. V podjetju še zatrjujejo, da so varnostno vrzel neznanci doslej že izkoristili za napade na šest znanih uporabnikov, konkretnih imen niso razkrili. O svoji najdbi so Apple obvestili že meseca marca.

Po navedbah raziskovalcev je prvi hrošč povezan z RCE (remote code execution) napako v MIME knjižnici aplikacije Mail, ki napadalcu omogoča oddaljeni zagon zlonamerne kode. Drugi hrošč je povezan s t. i. prekoračitvijo medpomnilnika na kopici (heap overflow). Exploita delujeta tako, da hekerji uporabniku pošljejo navidez neškodljivo, prazno sporočilo. Ko ga ta odpre, se aplikacija Mail sesuje, sistem pa od uporabnika zahteva ponovni zagon naprave. Med zagonom pa lahko nepridipravi dostopajo do podatkov na napravi. Ključna nevarnost obeh lukenj tiči v tem, da ne potrebujeta uporabnikove interakcije, v smislu prenašanja datotek ali obiska kakega...

Slo-Tech - Število vdorov v Nintendove uporabniške račune, ki so v porastu že kakšen mesec, je v preteklih dneh doseglo vrhunec. Očitno gre za organizirano dejavnost, katere namen je kraja vezanih denarnih sredstev. Iz Nintenda svetujejo rabo dvostopenjske avtentikacije, toda točni načini dostopa zlikovcev še niso povsem jasni.

Nemalo uporabnikov Nintendovih konzol Switch je zadnji vikend v epoštnem nabiralniku pričakalo neprijetno sporočilo, da so v njihov uporabniški račun (Nintendo Account) vstopali neznanci. Tisti, ki so imeli nanj vezana plačilna sredstva, so v njih naleteli na zevajočo luknjo, saj so jo nepridipravi običajno podurhali z več sto evri v nagrabljenih Fortnitovih novcih V-Bucks, kodah za igre, ali kateri drugi obliki premoženja, ki jo je mogoče prenesti z računa. Prve vdore te sorte so zabeležili že marca, toda sodeč po pritožbah na socialnih omrežjih je njihova množina v zadnjih dneh dosegla vrhunec.

Ta hip še ni povsem jasno, ali gre zgolj za odločno rabo drugod...

Slo-Tech - Google na svojem blogu poroča o pravi eksploziji malwara in phishinga na temo pandemije novega koronavirusa v zadnjem času. Dnevno tako blokirajo okoli 100 milijonov elektronskih sporočil, pri čemer je tistih, povezanih s pandemijo približno 18 milijonov. Virus Covid-19 je tako gladko postal najpopularnejša tema phishinga v zgodovini. Ob vsem tem pa dnevno blokirajo tudi približno 240 milijonov primerkov nekoliko manj nevarnega spama na isto temo.

Googlov sistem tedensko pregleda 300 milijard priponk, njegovi predstavniki pa ob tem zatrjujejo, da veliko večino oz. 99,9 odstotka napadov prestrežejo že njihova orodja za strojno učenje. Slednje vseeno pomeni, da 258.000 primerkov neželene pošte in poskusov ribarjenja vendarle uspešno pride do uporabnikov.

Nepridipravi se največkrat predstavljajo za katerega uradnih organov, najpogosteje je to Svetovna zdravstvena organizacija (WHO), s čimer želijo uporabnike prepričati v prenos in zagon datoteke ali pa v lažno donacijo. Google se...

bleepingcomputer.com - Komunikacijski storitvi Zoom je v zadnjih mesecih uspel neverjeten skok v popularnosti. Po drugi strani pa se zdi, da so njeni upravljavci zlate čase svojega izdelka pričakali povsem nepripravljeni. V zadnjih tednih smo večkrat poročali o varnostnih luknjah, zdaj pa se je izkazalo, da je na hekerskih forumih in na temnem spletu naprodaj prek 530.000 uporabniških računov. Pri čemer naprodaj ni čisto ustrezna beseda, saj jih lahko ponekod za dolarski cent dobimo kar pet, v nekaterih primerih pa se celo delijo brezplačno.

A tokrat krivda ni docela na strani Zooma, ukradeni podatki namreč skoraj zagotovo izvirajo iz t. i. credential stuffinga, torej postopka, v katerem nepridipravi ukradena uporabniška imena in gesla določene storitve, preizkusijo še pri vstopu v katero drugo storitev. In pri tem pogosto uspejo, saj ljudje kljub opozorilom še vedno radi recikliramo gesla. Ukradeni računi večinoma vsebujejo uporabniško ime, geslo, zgodovino in povezave pogovorov ter tudi Zoom HostKeys,...

The Inercept - Velika priljubljenost sistema za videokonference Zoom se nadaljuje seciranje tega programa, ki je doslej odkrilo že precej ranljivosti. Nadaljnji pregledi kažejo, da ima program še več varnostnih pomanjkljivosti, zaradi česar strokovnjaki odsvetujejo njeno uporabo pri komuniciranju skrivnosti. Ranljivosti se zavedajo tudi pisci, ki so sporočili, da bodo prekinili razvoj novih funkcij in se osredotočili na krpanje lukenj.

The Intercept razkriva, da ima Zoom tudi povezave s Kitajsko. V nekaterih primerih se lahko zgodi, četudi so vsi uporabniki iz Evrope ali Severne Amerike, da promet preusmeri prek kitajskih strežnikov. Čeprav v dokumentaciji piše, da Zoom uporablja šifrirni algoritem AES-256, gre v resnici za AES-128 v načinu ECB, ki ga varnostni strokovnjaki ne priporočajo (ker v šifrirani vsebini ostajajo razločljivi vzorci). Zoom ključe generira na posebnih strežnikih (key management systems), ki so lahko tudi na Kitajskem. Namesto standardnih protokolov za pošiljanje videa in...

Slo-Tech - Množičen prehod na delo in učenje od doma, kar terja uporabo programov za videokonference, vsak dan razkrije kakšno ranljivost v tej programski opremi. V tem množičnem testiranju prednjači Zoom, v katerem so po včerajšnjem razkritju, da šifriranje v resnici ni tako trdno, kot bi verjeli iz oglasov, sedaj našli še dve precej bolj praktični luknji.

Zaradi težave v nastavitvah Company Directory se lahko zgodi, da osebni podatki uporabnikov Zooma (elektronski naslov in fotografija) pridejo v roke nepooblaščenim osebam. Omenjena funkcija omogoča enostavno iskanje ljudi, ki se prijavo z elektronskim naslovom, ki pripada isti domeni, če je ta od nekega podjetja. Toda nekaterim uporabnikom se je to zgodilo, tudi ko so se prijavili z domačimi elektronskimi naslovi, kjer se običajno uporablja domena ponudnika dostopa do interneta ali ponudnika elektronskega predala. Nenadoma so se znašli v skupinah več tisoč uporabnikov, kjer so vsi videli osebne podatke drug drugega.

Napaka je na nek...

Slo-Tech - Zadnji dnevi so spričo intenzivne uporabe mobilnih poti za delo, zabavo in druženje razkrili tudi nekatere ranljivosti v programski opremi, ki bi sicer dlje ostale neznane. Microsoft je tako danes izdal izredni popravek za Windows 10, ki je odpravil težave s povezljivostjo z oblakom za Office 365, če so naprave uporabljale posredniški strežnik (proxy) ali povezavo v navidezno zasebno omrežje (VPN). Microsoft je o ranljivosti obvestil minuli teden in ni čakal na drugi torek v mesecu, ko je na sporedu redni mesečni paket popravkov, temveč ga je ponudil že sedaj. Posodobitev pa je treba trenutno namestiti ročno, saj jo Microsoft priporoča le tistim, ki imajo dejansko težave. Medtem pa uporabniki že poročajo o različnih težavah, ki jih prinese namestitev popravka.

Poleg hroščev pa so tu še ranljivosti. Priljubljena aplikacija za spletne videokonference Zoom, ki ima tudi pri nas sedaj veliko uporabnikov, ni tako varna, kot se predstavlja. Čeprav se oglašujejo kot platforma, ki ponuja...

Google Research Blog - Pri Threat Analysis Group (TAG) - ta deluje pod okriljem Googla - so v poročilu razkrili, da so lani odposlali 40.000 opozoril pred informacijskimi napadi, ki jih izvajajo z nekaterimi državami povezane hekerske skupine. Med lastniki ogroženih računov so bili predvsem politiki, disidenti, novinarji in geopolitični nasprotniki domnevnih napadalcev. Število opozoril je približno za četrtino nižje, kot je bilo v letu 2018, večinoma zaradi ostrejše varnostne politike, ki jo je medtem uvedel Google. So pa napadalci sočasno ob zmanjšanju števila napadov pri teh postali bolj odločni.

Povečalo se je zlasti število phishing napadov, pri katerih so se napadli izdajali za novinarje ali pa za kak znan medij. V teh primerih je šlo večinoma za to, da so storilci želeli med resnične novinarje razširiti kakšno lažno novico ali pa vzpostaviti prijateljsko vez s kakim novinarjem. V tem primeru je žrtev čez določeno obdobje praviloma prejela elektronsko sporočilo s pripeto zlobno kodo. Napadalci so...

Slo-Tech - V Windows 10 so odkrili novo ranljivost, ki ima po Microsoftovi lestvici najvišjo stopnjo resnosti ("kritično") in še ni zakrpana. Težava tiči v Adobe Type Manager Library (atmfd.dl) in jo lahko napadalec izkoristi, če uporabnik zlonamerno pripravljen dokument odpre ali si ga že predogleda v Windows Preview. Omenjena knjžnica se uporablja za izris pisav PostScript Type 1 v Windows.

Z zlorabo te ranljivost lahko napadalec na sistemu oddaljeno požene zlonamerno kodo. Gre za dve luknji, ki omogočata RCE (remote code execution). Omenjena ranljivost se v praksi že izrablja, dasiravno v omejenem obsegu, je dejal Microsoft. Podrobnosti o tem, kdo in kako jo izkorišča, niso razkrili. Ogrožen je tudi Windows 7, ki pa ni več podprt za domače uporabnike. Popravek, ki bo na voljo v naslednjem ciklu (drugi torek v mesecu), bodo tako dobili le naročniki razširjene podpore, za Windows 10 pa vsi.

Do tedaj lahko onesposobimo Preview Pane in Details Pane v Raziskovalcu, izključimo storitev...

Slo-Tech - Drugo največjo bolnišnico na Češkem, univerzitetni klinični center v Brnu, je prizadel hekerski napad, zaradi česar so morali odpovedati vse nenujne operacije in nekatere bolnike prestaviti v druge bolnišnice. Podrobnosti o napadu še niso znane, ga je pa danes potrdil češki urad za internetno in informacijsko varnost (NÚKIB), takoj ko so izvedeli zanj. Napad je potrdil tudi češki premier Andrej Babiš.

V bolnišnici policisti, računalniških strokovnjaki in NÚKIB ugotavljajo, kaj se je zgodilo in kako čim prej vzpostaviti normalno delovanje bolnišnice. Direktor bolnišnice Jaroslav Štěrba je za češke medije dejal, da nekateri sistemi delujejo, a da je odpovedal informacijski sistem, tako da ni možno prenašati podatkov med sistemi in dostopati do baz podatkov. Poleg glavnega kliničnega centra sta prizadeti tudi pediatrična klinika in porodnišnica. Napad se je zgodil okrog 2. ure ponoči.

Bolnišnica se ni ustavila, je pa delo zaradi ročnega pisanja izvidov in receptov upočasnjeno....

The Register - V ZDA poteka zanimiv sodni postopek zoper nekdanjega uslužbenca CIA Joshuo Shulteja, ki ga obtožujejo, da je ukradel dokumente, ki jih je kasneje kot Vault 7 razkril Wikileaks. Postopek je vredno spremljati iz več razlogov, med katerimi gotovo prednjači vpogled v varnostne prakse v CIA. Te so milo rečeno obupne.

Obramba ima neobičajno taktiko, saj so Shulteja že na začetku predstavili kot izjemno težavnega, maščevalnega, osornega in motečega zaposlenega. Sprl se je z vsemi sodelavci, pri čemer so razlogi segali od dodelitve mize v pisarni do kakšnih tehtnejših. Vsakokrat je poskrbel, da sovražnikom grenil življenje, kamor na primer sodi lažna prijava o grožnjah s smrtjo. A CIA ga je spričo njegove briljantnosti potrebovala, zato so blažili spore in skrbeli, da ni delal skupaj z ljudmi, ki jih ni maral. Obramba je z odkritim priznanjem težavnega značaja obdolženca želela preprečiti, da bi te karakterne značilnosti tožilstvo uporabilo kot posredne dokaze za očitano dejanja. Trdnih...

Slo-Tech - Kitajsko varnostno podjetje Qihoo 360 je objavilo rezultate raziskave, v kateri so po njihovih trditvah našli dokaze za vohunjenje ameriške Centralno obveščevalne agencije, ki naj bi trajalo najmanj enajst let. Preiskovalci so namreč med pregledovanjem najdene zlobne kode našli podobnosti z vohunskimi orodji, ki so bila razkrita na Wikileaksu pred tremi leti. Domnevnemu krivcu za njihovo objavo, menda užaljenemu programerju CIE Joshui Schulteju, v ZDA pravkar sodijo zaradi namernega razkritja podatkov, ki naj bi uničilo desetletja prizadevanj ameriških vohunov.

Po besedah Qihoojevih strokovnjakov naj bi CIO izdala tudi analiza datumov nastanka najdene programske kode; ti kažejo na to, da je storilec deloval med običajnim delovnim časom vzhodne obale ZDA. Pri svojem delu naj bi se osredotočil na vladne in znanstvene inštitucije, pa internetna, letalska in naftna podjetja. Američane naj bi zlasti zanimali podatki o letalskih potnikih v realnem času, med drugim tudi o kitajskih...

Slo-Tech - Očitno v želji, da nekoliko dvigne standarde pri varnosti komuniciranja, je Evropska komisija (EK) zaposlenim interno sporočila, da je bila kot priporočena oblika komunikacije izbrana aplikacija Signal. Ključna prednost pred konkurenčnimi aplikacijami, denimo iMessageom, WhatsAppom ali Telegramom, ki so prav tako celostno oz. end-to-end šifrirani, pa naj bi bila njena odprtokodna narava.

Nasvet EK seveda velja samo za komunikacijo zunaj službenih omrežij, za siceršnjo službeno komuniciranje zaposleni uporabljajo šifrirano elektronsko pošto, ko gre za vsebine zaupne narave, pa vse skupaj poteka pod varnostno še strožjimi pogoji.

Signal so sicer razvili že leta 2013, zadnja leta pa uživa podporo neprofitne fundacije Signal Technology Foundation, za katero stoji Brian Acton, eden od ustanoviteljev WhatsAppa, ki se je pozneje razšel z vodstvom Facebooka. Komunikacija prek Signala je celostno šifrirana, prav tako tudi metapodatki. Kako malo podatkov pravzaprav na njihovih strežnikih...

Slo-Tech - Iz Defense Information Systems Agency (DISA), gre za posebni oddelek ameriškega obrambnega ministrstva, so sporočili, da so doživeli obsežen vdor v svoj sistem. Ta naj bi se primeril že med lanskim majem in julijem, v njem pa so bili po prvih poročilih izpostavljeni osebni podatki 200.000 uporabnikov, večinoma gre za imena in priimke ter osebne identifikacijske številke possameznikov.

Kot so sporočili iz DISA - in kot je v takih primerih zdaj že skoraj običajna PR fraza - nimajo podatkov, da bi razgaljeni podatki do sedaj bili na kakršenkoli način zlorabljeni. Bodo pa vsem prizadetim določeno obdobje nudili brezplačen nadzor, kot jim sicer to narekuje zakon.

Agencija je pred dnevi začela obveščati posameznike, katerih podatki so bili ogroženi in eden med njimi, Andy Piazza, je pismo objavil na Twitterju.

Ironija je, da gre za agencijo, ki zaposluje 8.000 ljudi in je zadolžena za informacijsko podporo in varnost komunikacij v Beli hiši ter na diplomatskih predstavništvih...

Slo-Tech - V ZDA so bili zaradi napada z izsiljevalskim virusom (ransomware) primorani za dva dni ustaviti delovanje kompresorske postaje za zemeljski plin, sporoča US CERT. Identitete prizadetega podjetja sicer niso razkrili, so pa z javnostjo delili nekaj podrobnosti o napadu. Kompresorske postaje so pomembni del omrežja za prenos plina, saj s turbinami in motorji poskrbijo, da se zemeljski plin dovolj stisne (poviša tlak), da ga je možno učinkovito in varno prenašati po plinovodih.

Napad se je začel učbeniško. Zaposleni so dobili zlonamerno elektronsko pošto, kjer je bila povezava do strani, ki je sistem okužila. Napadli so informacijski sistem kompresorske postaje, kasneje pa so se prebili tudi v tehnološki del (operational technology hub). To so strežniki, ki nadzorujejo (SCADA) delovanje strojev na postaji. K sreči niso uspeli okužiti PLC-jev (programmable logic controllers), ki dejansko upravljajo opremo. Da napadalci niso mogli vplivati na delovanje strojev, so v podjetju jasno...

Slo-Tech - Več izraelskih vojakov je na svoje pametne telefone nevede spustilo zlonamerno programsko opremo (malware), ko so nasedli palestinskim hekerjem iz organizacije Hamas. Ti so se na internetu izdajali kot privlačna mlada dekleta, so sporočili iz izraelskih oboroženih sil (Israeli Defence Force). Hamasovi hekerji so ustvarili profile na Facebooku, Instagramu in Telegramu ter nato začeli komunicirati z izraelskimi vojaki. Predstavljali so se kot mlada dekleta, ki so se šele nedavno priselila v Izrael, zato še ne obvladajo jezika. Poimenovali so se Sarah Orlova, Maria Jacobova, Eden Ben Ezra, Noa Danon, Yael Azoulay in Rebecca Aboxis. Vojake so nagovorili v namestitev aplikacij za pomenkovanje Catch & See, Grixy in Zatu, kjer naj bi dobili še več fotografij.

Aplikacije pa niso bile namenjene pogovarjanju, temveč vdoru. Ob zagonu so izpisale napako, kakor da se ne morejo zagnati, in nato odstranile svojo okno. V resnici pa so ostale na telefonu in spremljale fotografije, sporočila,...

Malwarebytes - Kot v svojem zadnjem poročilu ugotavljajo pri varnostnem podjetju Malwarebytes, je bilo leto 2019 v zamenju napadov z zlobno kodo na naprave s sistemom macOS. Na njih so namreč zaznali 30 milijonov primerkov malwara, na napravah z Okni pa "le" 24 milijonov. Ugotavljajo, da se je glede na leto 2018 število groženj na macih povzpelo za 400 %.

Uporabniki Oken se bodo ob teh podatkih morda privoščljivo zahihitali, potem ko so bili tozadevno v vodstvu vso moderno zgodovino, a v resnici je v vsem skupaj precej statistike in posledic metodologije. Kot omenjajo sami avtorji poročila, je povečanje števila groženj tudi posledica povečanja števila Applovih računalnikov v zadnjem letu. Zato so morda nekoliko realnejši podatki o številu povprečnih groženj na napravo, ki pa vseeno niso zanemarljivi: pri macih so na napravo tako našteli povprečno 11 groženj, medtem ko je pri Windows ta številka znašala 5,8.

Kot drugo, malwara je veliko vrst in stopenj škodljivosti in medtem, ko se računalniki...

Slo-Tech - Hekerska skupina OurMine, po poreklu iz Dubaja, je včeraj popoldne za kratek čas prevzela Facebookova profila na družabnih omrežjih Twitter in Instagram in pustila sporočilo: "Even Facebook is hackable but at least their security is better then Twitter." Torej, tudi v Facebook je moč vdreti, a je njihova varnost vsaj boljša od Twitterjeve. Kar ni povedano čisto po resnici, saj OurMine dejansko ni vdrl v računa na obeh omrežjih, pač pa se tja dokopal prek platforme Khoros. Slednjo podjetja uporabljajo za centralno upravljanje svojih družabnih profilov in posledično ima taka platforma dostop do podatkov za prijavo v uporabniške račune. Predstavniki Khorosa za zdaj ne odgovarjajo na novinarska poizvedovanja.

Oba vdora sta trajala le kratek čas, so pa uporabniki Twitterja poročali o komičnem tekmovanju med vdiralci, ki so puščali sporočila in Facebookovimi uslužbenci, ki so jih hiteli brisati. Twitter je nato z začasnim zaklepom računov brž vzpostavil red.

OurMine trdi, da je bil...

Slo-Tech - Na Univerzi Ben Gurion v Beer Ševi je skupina raziskovalcev v laboratoriju Mordechaija Gurija pokazala nov način kraje podatkov z računalnikov, ki niso povezani v omrežje. Skupina, ki že vrsto let raziskuje napade na odklopljene (air-gapped) sisteme, je to pot uporabila modulacijo svetlosti zaslonov.

Pokazali so, kako lahko okuženi računalnik neznatno spreminja svetlost zaslona, tako da uporabnik tega ne opazi. Hkrati pa je to dovolj, da lahko oddaljena kamera spremembe zazna in algoritem izlušči modulirane podatke. Najučinkovitejše je spreminjajo svetlosti rdečih pikslov, kjer zadostuje triodstotna sprememba. Človeško oko tega zaradi hitrega osveževanja slike ne zazna, že preproste spletne kamere pa nimajo težav. Podatke je moč prenašati s hitrostjo do 10 b/s.

Napad so poimenovali Brightness in deluje, dokler lahko izolirani sistem nekako okužimo. To je dostikrat najtežji del vdora, a ni nemogoč. Kot je pokazal Stuxnet, gre največkrat z USB-ključi, pri čemer niti ne potrebujemo...

Slo-Tech - V informacijsko-varnostnem podjetju Dragos so javno objavili podrobnosti o januarski najdbi izsiljevalskega virusa Ekans, ki zna poleg običajnega zaklepanja datotek tudi izklapljati procese nekaterih industrijskih kontrolnih sistemov. Trenutno ima precej omejene zmogljivosti, a kaže na skrb vzbujajoč trend.

Ransomware je v zadnjih letih z naskokom postal najbolj zloglasen tip zlobne kode, saj zmore z množičnim zaklepanjem datotek omrtviti vse od bolnišnic do mestnih uprav, da odkupnin niti ne omenjamo. In če gre soditi po najnovejših najdbah, bo šlo le še na slabše, kajti naslednja stopnica v razvoju izsiljevalskih virusov je očitno zmožnost napadanja podatkovnih procesov, ki nadzorujejo delovanje strojev, tako v proizvodnji kot infrastrukturi (ICS - industrial control systems). Skratka, počasi dobivamo spoj ransomwara in pa virusov, kot sta Stuxnet in Triton.

Ugledna firma za informacijsko varnost Dragos je - po tem, ko je to že prej storila za svoje stranke - javno objavila...

Check Point Software Technologies - Vsepovezanost interneta stvari že dolgo sproža številne varnostne pomisleke, tu in tam se izkaže, da upravičeno. Že leta 2016 so raziskovalci pokazali, da je mogoče prevzeti oddaljeni nadzor nad pametnimi žarnicami, zdaj pa so razkrili, da se je prek žarnic moč dokopati tudi do bolj konkretnih tarč, torej računalnikov in druge opreme v omrežju. Spet so na zatožni klopi Philpsove Hue Smart Light Bulbs in nadzorna komponenta Bridge, saj so pri varnostnem podjetju Check Point razkrili varnostno vrzel, ki jo je mogoče izkoristiti po zraku, tudi s sto metrov oddaljenosti, si pridobiti vstop v brezžično omrežje, nato pa tudi nadzor nad napravami v njem.

Gre za hrošča poimenovanega CVE-2020-6007, ki izkorišča Philipsov način implementacije popularnega protokola Zigbee, ki je nekakšen posrednik pri medsebojni komunikaciji med napravami v omrežju. Raziskovalci (za zdaj) niso razkrili natančnega postopka vdora, so pa povedali, da sta zanj potrebna le prenosnik in antena.

Napadalec najprej...

Slo-Tech - Internetni kriminalci so ponovno potegnili na plan dobra štiri leta stare podatke iz vdora v spletno stran Ashley Madison. V zadnjih tednih so žrtve vdora ponovno začele prejemati izsiljevalska elektronska sporočila, v katerih so zahtevali plačilo odkupnine, sicer bodo objavili osebne podatke žrtev. Ti vključujejo tudi spletna naročila in kakšne druge manj prijetne podrobnosti iz Ashley Madison.

V zameno za molk izsiljevalci zahtevajo plačilo v bitcoinih, ki po trenutnih tečajih znaša okrog 800 evrov. V sporočilu so vsi osebni podatki, ki so jih napadalci dobili: rojstni podatki, prijavni podatki itd. Večina jih je zbranih v datoteki PDF, ki je zaklenjena in priložena sporočilu skupaj z geslom. Žrtve imajo na voljo šest dni.

Da bodo izsiljevalci kmalu po objavi podatkov iz Ashley Madison začeli izsiljevati, so strokovnjaki pričakovali. Ponovna popularnost te tehnike z istimi podatki skoraj pet let pozneje pa kaže, da kar je objavljeno na internetu, nikoli resnično ne ponikne ali...

Slo-Tech - Vsake toliko časa ameriški FBI naredi cirkus, da zaradi zaščit proizvajalcev telefonov ne morejo dobiti podatkov z zaklenjenih telefonov kriminalcev. Kasneje se običajno izkaže, da to vendarle ni problem. Ameriški organi pregona pač navijajo za spremembo zakonodaje, po kateri bi morali proizvajalci sami vgrajevati stranska vrata (backdoor). Dokler pa se to ne zgodi, jim bodo pomagali zunanji izvajalci.

Trenutno so največji strokovnjaki v izraelskem podjetju Cellebrite, ki lahko odklenejo večino telefonov. Poleg tega podjetja organi sodelujejo še z Grayshiftom in MSAB-om. Cellebrite je razvil program UFED 4PC (Universal Forensic Extraction Device), s katerim lahko odklenejo telefone, ki jih priključijo na računalnik prek kabla USB. Trdijo, da noben Applov telefon ni kos takemu napadu. Ameriški NIST (National Institute of Standards and Technology) je izvedel raziskavo, kjer so preverjali, koliko in katere podatke lahko s tem orodjem dejansko pridobijo. NIST izrecno zanika...

threatpost - Tehnološki velikani so v zadnjih letih vendarle ugotovili, da so programi nagrajevanja odkritih ranljivosti (bug bounty) koristni. Google je v letu 2019 iz tega naslova izplačal rekordnih 6,5 milijona dolarjev, kar je toliko v dveh predhodnih letih skupaj. Največja podeljena nagrada je znašala 201.000 dolarjev, skupno pa so nagradili 461 raziskovalcev. Povečanje mase izplačil je povezano s čedalje širšim naborom izdelkov, ki so vključeni v program, z višjo popularnostjo programa ter tudi z rastjo višine nagrad. Tako je najnižja nagrada odslej 15.000 dolarjev (in ne več 5.000 dolarjev). Najvišja nagrada še vedno ostaja milijon dolarjev za oddaljen, trajni napad na Titan M v novih napravah Pixel, kar ni uspelo še nikomur. Komur bi to uspelo na predogledni verziji, pa bi dobil kar 1,5 milijona dolarjev.

Lani je Google zagnal tudi Developer Data Protection Reward Program, ki je namenjen odkrivanju težav s puščanjem osebnih podatkov v aplikacijah za Android, v OAuth in v razširitvah za...

Comparitech - Pri Microsoftu so za javnost povzeli izsledke interne preiskave, ki je stekla potem, ko se je izkazalo, da so bili med 5. in 31. decembrom lani javno dostopni podatki, ki jih v podjetju uporabljajo za analizo podpore uporabnikom. Kljub temu so zamolčali za kolikšen obseg in vrsto objavljenih osebnih podatkov je šlo. Tu je z lastno objavo vskočilo podjetje Comparitech, ki je sicer razgaljene podatke odkrilo 29. decembra na strežnikih podjetja Elastics in o tem obvestilo Microsoft, kjer so podatke nemudoma zavarovali, kar je vseeno trajalo še dva dneva.

Objavljene so bile zabeležke pogovorov med njihovimi uslužbenci in strankami iz celega sveta za obdobje štirinajstih let, torej od leta 2005, osebni podatki pa so bili pri tem večinoma anonimizirani. A ne vsi. Tako je bilo objavljenih kar nekaj email naslovov strank in Microsoftovih uslužbencev, pa njihove IP številke, lokacije, opisi postopkov in interne zabeležke, označene kot zaupne. Skupaj je šlo 250 milijonov primerov, s...

Sophos - Raziskovalci varnostnega podjetja Sophos so predstavili rezultate drugega dela preiskave pojava t. i. fleecewara, torej aplikacij, ki z zvijačo izvabljajo precejšnje zneske od nepozornih in nič hudega slutečih uporabnikov.

Običajno gre za aplikacije v Google Play Storu, ki ponujajo časovno omejen brezplačen preizkus, nato pa začnejo zaračunavati tedensko, mesečno ali letno naročnino. Njihovi avtorji računajo na to, da bodo uporabniki pred iztekom brezplačne dobe aplikacijo le odstranili, ne pa pri tem tudi posebej prekinili naročniškega razmerja. Tako sicer deluje velika večina programov, namreč, da z deinstalacijo obenem prekinemo tudi naročniško razmerje. No, ne tudi fleeceware. Da je stvar še hujša, gre običajno za precej trivialne programe, denimo aplikacije za zajemanje posnetkov zaslona, bralnike QR-kod in podobno. Zadnji del problema je sama Googlova tržnica, katere politika poslovanja terja veliko truda in dokazovanja, preden uporabniku povrnejo vrednost takega nakupa.

...

Slo-Tech - V ZDA se organi pregona spet pregovarjajo z Applom, ali bi jim odklenil iPhone domnevnega terorista. Zagata ni nova. Že pred leti sta FBI in sodišče želela, da bi Apple odklenil telefon strelca iz San Bernardina, česar Apple ni želel storiti. In na koncu mu ni bilo treba, ker je to delo opravilo izraelsko podjetje. A ti kot kaže niso usposobljeni za najnovejše telefone.

Tudi to pot svoje zahteve predstavljata pod paravanom nacionalne varnosti, saj gre za dva iphona savdijskega vojaka Mohammeda Saeeda Alshamranija, ki je decembra lani v bazi na Floridi v strelskem pohodu ubil tri ljudi in jih rani osem. Telefona, ki ju je za seboj pustil strelec, sta zaklenjena. Ob poizkušanja odklepa imamo le deset poizkusov, potem pa se telefon nepovratno pobriše.

Zakaj Apple nasprotuje uvedbi stranskih vrat (backdoor), je povsem jasno. To bi namreč na eni strani sesulo njihov poslovni model, ki temelji na varnosti, po drugi strani pa je to res zelo slaba popotnica za kakršnokoli varnost. To bi...

Krebs On Security - Microsoft bo danes, v okviru redne januarske torkove nadgradnje, zakrpal še posebej veliko varnostno vrzel. Uporabnike obenem pozivajo, da popravke namestijo kar se da hitro, saj je pričakovati, da bo luknja zlorabljena takoj, ko bodo objavljene podrobnosti o njej. Gre za kritično napako v datoteki crypt32.dll, ta upravlja ključne šifrirne funkcije v modulu CryptoAPI, ki ga razvijalci uporabljajo za zavarovanje okenskih aplikacij s pomočjo šifriranja. Ena njegovih ključnih funkcij je prav šifriranje in dešifriranje podatkov s pomočjo digitalnih certifikatov. Ker modul izhaja še iz časov Windows NT 4.0, torej izpred dveh desetletij, so najverjetneje ogrožene prav vse različice Oken.

Varnostna napaka bi tako lahko ogrozila ustrezno avtentikacijo na Windows PC računalnikih in strežnikih, zlasti podatke, ki jih obdelujeta Microsoftova brskalnika. Prav tako bi napadalcem omogočila poneverbo digitalnih certifikatov za posamezne programe, zaradi česar bi lahko na sisteme povsem legitimno...

Die Welt - Avstrijsko zunanje ministrstvo je sporočilo, da so neznanci v soboto okoli 23.ure izpeljali obsežen napad na njihov informacijski sistem. Glede na način in obseg vdora sklepajo, da so napadalci povezani z eno od tretjih držav ter da je napad podoben tistim, kot so jih v preteklosti doživele nekatere druge institucije v EU. Povedali so še, da so nemudoma formirali posebno koordinacijsko skupino, ki se ukvarja s posledicami napada - ta bi lahko po ocenah trajal več dni - drugih podrobnosti pa niso izdali.

Incident bi lahko imel politično konotacijo, saj se je odvil na dan, ko so se avstrijski Zeleni na kongresu v Salzburgu odločili vstopiti v koalicijo s konservativno ljudsko stranko.

Večji informacijski napadi na evropske državne institucije so se v zadnjih letih primerili v Nemčiji, tam so leta 2018 hekerji vdrli v vladni računalniški sistem, leta 2015 pa je bil žrtev napada nemški parlament. Preiskovalci so za oba dogodka obtožili rusko skupino Fancy Bear oz. APT 28, ki je...

Slo-Tech - Največji sistem bolnišnic v New Jerseyju je zaradi napada z izsiljevalsko programsko opremo plačal odkupnino hekerjem, so potrdili v Hackensack Meridian Health (HMH). HMH je neprofitni zdravstveni sistem s šestimi milijardami dolarjev letnega prometa, ki vključuje 17 bolnišnic, negovalnih bolnišnic in zdravstvenih domov. Hekerski napad jih je prizadel 2. decembra letos in za pet dni popolnoma ohromil delovanje bolnišnic. Odpovedovali so posege in operacije, tudi že sprejeti bolniki so imeli težave.

Sedaj se delovanje vrača v ustaljene tirnice, k čemur je pomagalo tudi plačilo odkupnine. Po zagotovilih pristojnih ni nobenih indicev, da bi hekerji prišli do podatkov o bolnikih ali zaposlenih. So pa hekerji onesposobili sisteme za naročanje in zaračunavanje storitev, zaradi česar so odpovedali približno 100 nenujnih posegov. V bolnišnici so potrdili plačilo odkupnine, niso pa razkrili podrobnosti, torej zneska in koliko podatkov ter kako so jih obnovili. Pojasnili so, da zaradi...

Ars Technica - Raziskovalci z več evropskih univerz so razvili napad Plundervolt, ki s spreminjanjem voltaže skozi sistem za navijanje Intelovih procesorjev doseže, da ti izdajo skrivnosti, ki se obdelujejo v njihovem zavarovanem odseku SGX.

Intel's Software Guard eXtensions (SGX) je set inštrukcij, s katerim je mogoče oblikovati varno enklavo v okviru procesorjevega pomnilnika, kamor lahko odložimo obdelavo posebej občutljivih podatkov, na primer šifrirnih ključev. Od okolice je ločena tako fizično, kakor programsko - s šifriranjem - zato naj druge aplikacije tja ne bi imele dostopa. Vsaj v teoriji, saj smo v začetku tega leta že lahko videli prvo zlo kodo, ki je napadala SGX. Sedaj pa so raziskovalci z univerz v Birminghamu, Leuvenu in Gradcu razvili razmeroma kompakten napad, spretno poimenovan Plundervolt, ki je zmožen iz SGXa pridobiti šifrirne ključe in tudi drugače motiti njegovo delovanje.

Posebno zanimiva je njegova premisa. Medtem ko pretekli razvpiti napadi na strojni ravni, kot so

Slo-Tech - Raziskovalci z Univerze v Novi Mehiki so v večini distribucij Linuxa in nekaterih drugih izpeljankah iz Unixa (FreeBSD, OpenBSD, macOS, iOS, Android) odkrili ranljivost v načinu, kako se vzpostavljajo povezave prek navideznih zasebnih omrežij (VPN). Ranljivost napadalcem omogoča, da ugotovijo, ali je uporabnik povezan v VPN, kateri naslov IP mu je bil dodeljen in ali je aktivno povezan na neko spletno stran. S štetjem paketkov in analizo njihove velikost je moč izluščiti vrednosti seq in ack. V nekaterih primerih je mogoče vrivati podatke v povezavo. Ranljive so distribucije, ki uporabljajo systemd od lanskega 28. novembra (izklop reverse path filtering); prav tako je ranljivost tudi v IPv6.

Ranljivost je tako neodvisna od konkretne implementacije VPN, torej je vseeno, ali uporabljamo OpenVPN, WireGuard ali IKEv2/IPSec. Kaže pa, da se s Torom izognemo ranljivosti, ker uporablja SOCKS in se ugotavljanje pristnosti in šifriranje izvajata v uporabniškem delu in ne v jedru. Da napad...

Slo-Tech - Raziskovalci norveškega podjetja Promon so v Androidu odkrili varnostno ranljivost, ki obstoji v vseh verzijah Androida (tudi v desetici) in jo napadalci v resničnem življenju že izkoriščajo. Poimenovali so jo StrandHogg po nekdanji vikinški praksi zajema živine in ljudi za delovno silo in sužnje.

Ranljivost tiči v večopravilnosti, kot jo ponuja Android. Zlonamerna aplikacija se lahko pretvarja, da je legitimna aplikacija, saj se zažene ob kliku na ikono legitimne aplikacije in prestreže vnesene prijavne podatke. Uporabniki menijo, da uporabljajo legitimno aplikacijo, v resnici pa zlonamerna aplikacija prikazuje lažen prijavni zaslon. Aplikacija lahko na enak način pridobi tudi privilegije za dostop do različnih delov telefona, saj zanje sprašuje, kakor da bi bila legitimna aplikacija.

V praksi to pomeni, da lahko zlikovci kradejo gesla za dostop do spletne banke, kar so dejansko počeli. Raziskovalci so odkrili 36 zlonamernih aplikacij, ki izkoriščajo omenjeno ranljivost. Teh...

Slo-Tech - Predstavniki kitajskega proizvajalca mobilnih naprav so sporočili, da so neznanci z njihovih strežnikov pred tednom dni odnesli naročniške podatke uporabnikov. Gre za imena, telefonske številke, e-mail naslove in naslove za dostavo. So pa obenem zagotovili, da so podatki o plačilih ter podatki za vpis, torej uporabniška imena in gesla, na varnem. Na vprašanje, za koliko uporabnikov gre iz podjetja za zdaj ne odgovarjajo, prav tako ne, zakaj so z obveščanjem javnosti čakali teden dni. O incidentu so vsakega prizadetega uporabnika namreč o tem obvestili šele pretekli petek.

Podrobnosti vdora niso znane, razen, da se je najverjetneje odvil prek ene od njihovih spletnih trgovin. Kljub temu, da iz OnePlus mirijo, da je najhujša možna negativna posledica dogodka prejemanje spama in phishing sporočil, pa ukradeni podatki vendarle zadostujejo za kako resno krajo identitete. Če ste med nekdanjimi kupci njihovih izdelkov, zamenjava gesla na uporabniškem računu morda ni slaba ideja.

...

Slo-Tech - Proizvajalci programske in strojne opreme se počasi zavedajo, da miloščina, ki se običajno ponuja v programih prijavljanja hroščev in ranljivosti (bug bounty), ne more konkurirati bistveno bogatejšim ponudbam obveščevalnih agencij in specializiranih preprodajalcev ranljivosti. Ti ponujajo tudi milijon ali dva. Google se je zato odločil, da za čip Titan M nagrado pošteno dvigne. Kdor v Androidu najde hrošča, ki lahko vpliva tudi na varnost čipa Titan M, bo upravičen do največ 1,5 milijona dolarjev nagrade.

Čipe Titan M, ki jih je Google predstavil lani, najdemo v telefonih Pixel 3 in Pixel 4. Čip opravlja funkcije zagotavljanja varnosti, in sicer skrbi za obdelavo občutljivih podatkov, varni zagon (Verified Boot), šifriranje podatkov, varne transakcije, zaklep zaslona itd. Ranljivost v tem čipu bi imela katastrofalne posledice za varnost naprave (dokler je seveda ne bi zakrpali). Zato kdor odkrije način, kako v Titanu M izvesti nepooblaščeno kodo, lahko prejme milijon dolarjev, če...

Slo-Tech - Neznani napadalci so vdrli v uradno spletno stran za kriptovaluo monero, a tega niso izkoristili za izmaličenje ali onesposobitev spletne strani. Namesto tega so zgolj zamenjali prevedeno programsko kodo (binaries) na spletni strani z okuženo verzijo, ki je vsebovala zlonamerno kodo, ki je kradla kriptovalute. Vdor so odkrili uporabniki, ki so opazili, da se na strani zapisane zgoščene vrednosti datotek ne ujemajo z dejanskimi. Po preiskavi je tudi ekipa Monera potrdila, da so bili tarče vdora. Okužene programske datoteke so bile na strani v ponedeljek med 15.30 in 17.30 po slovenskem času.

Ni še znano, kako so napadalci pridobili dostop do spletne strani getmonero.com. Prav tako ni jasno, koliko ljudi je zaradi namestitve virusa tudi izgubilo kaj kriptovalut. Na redditu najdemo različne zgodbe, med njimi tudi uporabnika, ki je domnevno izgubil 7000 dolarjev. V program so namreč napadalci vgradili funkcijo, ki je prebrala in na nadzorne strežnike poslala seme za tvorbo digitalne...

ZDNet - Disney je kot kaže v svet pretočnih storitev vstopil nekoliko nepripravljen. Pustimo ob strani, da so zaradi navala uporabnikov imeli precejšnje težave na premierni večer, huje je, da so krekerji v njihovem primeru pokazali zares slikovito hitrost pri pridobivanju in unovčevanju tujih uporabniških računov. Ti so se samo nekaj ur po začetku oddajanja v velikih količinah znašli naprodaj na hekerskih forumih.

Številni uporabniki so tako poročali, da so nepridipravi vstopili v njihov račun, spremenili prijavni elektronski naslov in geslo, na ta način pa zakonite lastnike učinkovito zaklenili ven. V nekaj primerih gre pri tem za račune, kjer je bila naročnina poravnana za več let vnaprej. Cene za nakup variirajo med 3 in 11 ameriškimi dolarji, mesečna naročnina pa sicer regularno stane 6,99 USD na mesec. Pri tem za nameček kar dežujejo negativne pripombe uporabnikov na neodzivnost Disneyjeve podpore, saj so nekateri na prijavo kraje čakali tudi po več ur.

Prve ugotovitve so kazale, da...

Slo-Tech - Zlobna koda, ki se skozi množico appov občasno prikrade v Play Store, je že nekajkrat poskrbela za slab PR Googlove tržnice. Junija letos si jo je denimo na svoje naprave preneslo okoli 400 milijonov uporabnikov, kar predstavlja soliden delež, če pomislimo, da je na svetu trenutno kaka poltretja milijarda naprav z Androidom.

Zdaj se je Google obrnil na tri znana varnostna podjetja, Zimperium, Eset in Lookout, ki se bodo združila v App Defense Alliance in poskrbela za varnostne preglede kode pred objavo. Kot so povedali v Mountain Viewu, je število aplikacij preprosto preveliko, da bi jih lahko še naprej zanesljivo pregledovali sami. Da bodo prevetrili svoj sistem evaluacije in izkoreninili zlobne programerje so se pri Googlu sicer zavezali že pred nekaj meseci.

Omenjena podjetja bodo skupaj z Googlom vzpostavila nekakšen kombiniran sistem za skeniranje, v katerega bodo prispevala svoje izkušnje z malwarom, pa seveda tudi svoje ogromne baze primerkov zlobne kode. Vsa tri so se že...

Slo-Tech - Raziskovalci z univerz v Michiganu in Tokiu so uspešno demonstrirali napad na pametne pomočnike večih znanih proizvajalcev, in to s pomočjo laserskega žarka. Ranljive so pravzaprav vse naprave, ki zvočne ukaze uporabnikov sprejemajo prek mikrofonov z mikro-elektromehaničnim sistemom (MEMS), te se namreč na svetlobo odzovejo enako kot na zvok. V njih je drobna membrana, ki se zatrese, ko jo zvok doseže, nato pa vse to pretvori v električni signal in ga pošlje sistemu. Raziskovalci so preizkusili Siri, Alexo, Google Assistanta, Facebook Portal in še peščico telefonov in tablic, pri čemer so skoraj z gotovostjo prepričani, da se ranljivosti ne da odpraviti drugače, kot z vgradnjo drugače zasnovanega mikrofona.

Vse skupaj je zanimivo zato, ker se na ta način da na daljavo in tudi skozi okenska stekla prižigati luči, odpirati garažna vrata, opraviti spletni nakup na tuj račun, pa tudi odkleniti in celo zagnati motorno vozilo. Vse to z nizkoenergijskim laserjem (raziskovalci so...

Reuters - Po neuradnih informacijah Reutersa WhatsApp (oziroma njegov lastnik Facebook) izvaja notranjo preiskavo zaradi vdora v sistem, kar so neznani napadalci izkoristili za prisluškovanje visokim vladnim in vojaškim uslužbencem v vsaj 20 državah na petih celinah (med njimi ZDA, Združenim arabskim emiratom, Bahrajnu, Mehiki, Pakistanu in Indiji). Afera bi lahko imela širše politične in diplomatske posledice, saj je večina prizadetih držav ameriških zaveznic.

WhatsApp je ta teden tudi vložil tožbo zoper izraelsko podjetje NSO Group, ki se ukvarja z razvijanjem in prodajo programske opreme za vdiranje. Podjetju očitajo, da so razvili in prodali platformo za vdor v WhatsApp, ki je izkoriščala ranljivosti v njihovih strežnikih. S tem orodjem naj bi 29. aprilom in 10. majem letos vdrli v račune vsaj 1400 uporabnikov. NSO Group je že v preteklosti večkrat poudaril, da poslujejo zgolj z državnimi agencijami. To pot so poudarili, da ne morejo javno razkrivati svojih strank in specifičnih...

Forbes - V zadnjih dneh so bili v Gruziji priče velikemu kibernetskemu napadu, ki je onesposobil več kot 2000 domen. Prizadete so bile državne, zasebne in medijske spletne strani. Za krajši čas sta oddajanje morali prekiniti tudi zasebni televiziji Imedi TV in Maestro, medtem ko druga kritična infrastruktura (elektrarne, promet, letališča itd.) ni bila prizadeta. Televizijska postaja Pirveli, ki je bila tudi tarča napada, je uspela obdržati oddajanje. Na veliko prizadetih spletnih straneh se je pojavila fotografija nekdanjega predsednika Mihaila Sakašvilija s pripisom Vrnil se bom. Sakašvili je medtem v Ukrajini, kjer se skriva zaradi več obtožnic, ko so proti njemu vložene v Gruziji. Medtem ko so v približno enem dnevu večino strani ponovno usposobili, še vedno ni jasno, kdo je zakrivil torkov napad.

Se pa pojavljajo številne špekulacije. Zadnji veliki kibernetski napad v Gruziji se je zgodil leta 2008, ko so domnevno ruski napadalci onesposobili državne, bančne in medijske spletne...

Slo-Tech - Najnovejša žrtev hekerskega napada je registrar domen in ponudnik gostovanja Web.com ter njegovi hčerinski družbi NetworkSolutions.com in Register.com. Neznani napadalci so avgusta letos pridobili dostop do nekaj računalnikov v njihovem omrežju, od koder so imeli omogočen dostop do osebnih podatkov nekaterih strank. Preiskava je pokazala, da so odtujili osebne podatke: imena, naslove telefonske številke, elektronske naslove in podatke o naročenih storitvah. Številke kreditnih kartic so shranjene v šifrirani obliki, zato niso bile kompromitirane. Prav tako napadalci niso dobili gesel, ki bi jim omogočala celo prenos domen.

Web.com, ki so ga ustanovili leta 1999 na Floridi, je eden vodilnih ponudnikov gostovanja in registrar domen, ponuja pa še oblikovanje strani in spletni marketing. Da so bili avgusta tarča vdora, so ugotovili šele 16. oktobra letos, ko so začeli incident tudi preiskovati. Za zdaj podrobnosti ne razkrivajo, strankam pa svetujejo preventivno zamenjavo gesel. Prav...

Slo-Tech - NordVPN se je dlje časa oglaševal kot storitev, ki zagotavlja zasebnost na internetu in zaščito pred nepovabljenimi očmi. Toda v resnici je bil NordVPN tarča hekerskega vdora že marca 2018, za kar so izvedeli pred nekaj meseci, stranke pa o tem obvestili šele sedaj. Da je nekaj narobe, se je na temnem delu interneta govorilo že od maja 2018. Trenutno dostopni podatki kažejo, da so imeli napadalci polni (root) dostop do NordVPN-ja. Odnesli so tudi zasebne šifrirne ključe, med drugim ključ za certifikat za domeno nordvpn.com, ključ za podpisovanje digitalnih certifikatov drugih storitev NordVPN-ja in ključ za dostop do strežnikov. Omenjeni ključi so potekli kasneje leta 2018 in danes niso več relevantni.

NordVPN v izjavi za javnost pojasnjuje, da je bil marca 2018 prizadet en strežnik na Finskem, drugi pa naj ne bi bili kompromitirani. Poudarjajo, da je bil napad usmerjen na omenjeni strežnik in ne na celotno storitev. Napad naj bi bil posledica nepravilne konfiguracije na strani...

threatpost - T. i. Whitehat hekerja pri nemškem Security Research Labs (SRLabs) sta prikazala nov način, s katerim je Amazonovo Alexo in Googlovega Smart Home assistanta uporabiti za prisluškovanje ali pa celo za phishing napad, s katerim je moč pridobiti uporabnikove občutljive podatke. Napad v resnici uporablja že znan koncept aplikacije, razvite s strani zunanjih razvijalcev, v ta namen so raziskovalci izdelali po štiri Alexine "skille" in štiri Google Home "actions". Vsa osmerica je brez težav prešla varnostno preverjanje pri obeh podjetjih, saj tam običajno preverjajo le prvo različico vsakega izdelka, ne pa tudi nadaljnjih nadgradenj.

Šlo je za bazične aplikacije, ena od njih je bila denimo horoskop, spet druga pa generator naključnih števil, vse pa so glede zavajanja uporabnikov delovale po istem principu. Belim hekerjem je bilo v pomoč odkritje napake pri obeh asistentih, ki sta potem, ko sta v svojih text-to-speech navodilih zagledala zaporedje "�." (U+D801, pika in presledek) za...

BBC - Napako je po naključju odkrila britanska ženska, lastnica novega Samsungovega paradnega konja, potem, ko si je za skoraj tisočaka vredno napravo na eBayu omislila želatinast zaščitni ovitek za 2,70 funta. V telefonu je registrirala svoj desni palec, kmalu pa je ugotovila, da telefon odklene tudi levi palec. Poskusil je še njen mož in tudi njegova palca sta bila pri odklepanju uspešna. Nato sta ovitek preizkusila še pri sorodniku z enakim telefonom in rezultat je bil enak. Zdaj, ko se je za varnostno vrzel razvedelo, pa nekateri uporabniki že poročajo, da je enaki napaki podvržen tudi Note 10.

Pri Samsungu, kjer so spomladi ob splovitvi bralnik prstnega odtisa na S10 predstavili kot revolucionaren, so napako že priznali in obljubili programski popravek. Nekatere banke so svoje uporabnike že obvestile, da naj do odprave napake ne uporabljajo avtentikacije s pomočjo prstnega odtisa.

Bralnik na S10 sicer deluje s pomočjo ultrazvočnih valov, ki izmerijo profil posameznikove prstne...

Slo-Tech - Pred štirimi desetletji so Ken Thompson in ostali velikani računalništva ustvarjali operacijski sistem BSD, izpeljanko Unixa, ki so imeli tudi vsak svoje uporabniško ime in geslo. Pred petimi leti je Leah Neukirchen v izvorni kodi BSD verzije 3 odkrila datoteko /etc/passwd, v kateri so bile zgoščene vrednosti gesel več kot deset razvijalcev BSD-ja. Pet let pozneje je računske moči dovolj, da so uspeli zlomiti skoraj vse. Sedaj vemo, kakšna gesla so imeli ustvarjalci pred štirimi desetletji.

Odgovor je - ne preveč varna po modernih smernicah. V omenjeni datoteki so bile zapisane zgoščene vrednosti gesel po algoritmu crypt(3), ki nikoli ni veljal za preveč varnega. Dolžina gesel je bila omejena na osem, shranjena pa so bila zgolj z 12 dodatnimi biti entropije. To je dovolj majhen konfiguracijski prostor, da ga je moč preiskati z vsemi kombinacijami. Leah Neukirchen je uspela zlomiti večino gesel. Ostalo jih je šest, izmed katerih je bilo pet zlomljenih ta mesec. Neznanka je le...

Secure List - Nova zvrst malwara je v zadnjem času prizadela brskalnika Chrome in Firefox. Zlobna koda, poimenovana Reductor, je sposobna prestrezati šifriran promet, prvi so jo že aprila letos odkrili pri Kaspersky Labs, kjer so o njej pripravili tudi poročilo. Reductor sam po sebi ne poskuša dešifrirati samih omrežnih paketkov, namesto tega v brskalniku prilagodi notranji generator psevdonaključnih števil (PRNG), ki omogoča zasebnost povezave med strežnikom in odjemalcem. Ko je enkrat nameščen, spremlja spletni promet okužene naprave, obenem pa omogoča tudi oddaljeni dostop do naprave; napadalci lahko prek njega prenašajo, nalagajo in zaganjajo poljubne datoteke. Reductor je tako redek primer zlobne kode, ki omogoča vse našteto.

Kot se je pokazalo, so okužbe sistema večinoma potekale prek prenosov programov iz spletnih strani z "warez" programsko opremo, ki pa sama po sebi ni bila okužena. Napadalci so namestitveno datoteko namreč med prenašanjem prestregli in jo "on the fly" opremili z...

Slo-Tech - Britanski NCSC (National Cyber Security Centre), ki deluje v okviru obveščevalne agencije GCHQ (Government Communications Headquarters) je izdal posebno opozorilo za uporabnike SSL VPN omrežij ponudnikov Pulse Security Systems, Fortinet in Palo Alto, saj so pri njih odkrili kritične varnostne luknje. Razkrite ranljivosti lahko napadalcu omogočijo dostop do katerekoli datoteke v sistemu, pa tudi do uporabniškega imena in gesla za VPN, s čimer lahko ta spremeni konfiguracijo omrežja in si pridobi dostop do notranje infrastrukture. Z uporabo sekundarnih exploitov pa lahko nato pridobi tudi administratorske pravice.

Vse prizadete aplikacije so zaprtokodne, raziskovalci pa so v njih - ob menda številnih manjših hroščih - posebej izpostavili šest ranljivosti: dve v Pulse Secure, tri v Fortinetu in eno v Palo Altu. Vsi trije ponudniki so že izdali ustrezne popravke, uporabnikom pa svetujejo tudi pregled zabeležk prijav, morebitnih neavtoriziranih sprememb nastavitev, ki bi lahko kazale...

Slo-Tech - Tom Burt, podpredsednik Microsofta, zadolžen za varnost, je v blogu popisal v zadnjem času precej povečano aktivnost vdiralcev, ki se želijo prikopati do vsebin e-poštnih računov nekaterih njihovih strank. Med letošnjim avgustom in septembrom je tako Microsoft Threat Intelligence Center (MSTIC) zabeležil več kot 2.700 poskusov vdorov v 241 računov oseb, povezanih bodisi z ameriško predsedniško kampanjo 2020, pa novinarjev, ki se pri svojem delu ukvarjajo z globalnimi zadevami ter pomembnih Irancev, ki živijo zunaj meja svoje domovine. V štirih primerih je napadalcem tudi uspelo, a ti primeri menda niso povezani z ameriško predsedniško kampanjo.

Microsoft je dejanja pripisal skupini, znani pod imenom Phosphorus, domnevno povezani z vlado v Iranu. Njihovi poskusi niso bili ravno tehnološko dovršeni, storilci so namreč v račune poskušali vdreti predvsem s pomočjo podatkov, ki so jih zbrali o svojih žrtvah. Med njimi so bile recimo telefonske številke, s katerimi so nato poskusili...

The Hacker News - Natalie Silvanovich, raziskovalka pri Google Project Zero je konec septembra odkrila resno napako v aplikaciji za varno sporočanje Signal. Napaka je napadalcu omogočala oddaljen vklop mikrofona pri uporabniku Signala in posledično prisluškovanje pogovorom v prostoru, kjer se nahaja telefon.

Za izrabo je bila potrebna prilagojena različica Signala, s katero je napadalec poklical na ciljni telefon. Če se klicana oseba ni oglasila, je napadalec lahko sprožil samodejni odgovor oz. samodejno vzpostavitev zveze s klicočim.

Logična napaka pri obravnavi klicev je bila omejena na platformo Android (na iOS se klic zaradi nepričakovanega zaporedja stanj klica zveza ni samodejno vzpostavila) in sicer zaradi omejitev tehnologije WebRTC.

Natalie Silvanovich je ranljivost javila razvijalcem Signala prejšnji teden, razvijalci pa so se odzvali v zgolj nekaj urah in napako z različico v4.47.7 odpravili.

Svoje telefone redno posodabljate?

Slo-Tech - Maddie Stone iz Googlovega Project Zero je v Androidu odkrila resno ranljivost, ki hekerjem omogoča prevzem nadzora nad nekaterimi telefoni z Androidom. Ranljivost se tudi v praksi že izrablja, pri čemer Project Zero s prstom kaže na NSO Group. Gre za izraelsko podjetje, ki je specializirano za iskanje, zbiranje in preprodajo ranljivosti. NSO se brani, da omenjena ranljivost ni v nikakršni povezavi z njimi. Google je obstoj ranljivosti potrdil in obljubil, da oktobra izide popravek.

Trenutno kaže, da je prizadetih več telefonov številnih proizvajalcev. Med drugim je moč zlorabiti Pixel 1 in 2, Huawei P20, Redmi 5A in Redmi Note 5, Xiaomi A1, Oppo A3, Moto Z3 in Samsung S7, S8 in S9. Googlov popravek bo neposredno uporaben za Pixel, medtem ko bodo morali ostali proizvajalci poskrbeti za njegovo integracijo v sistemsko posodobitev. Ranljivost je del Linuxovega jedra, kjer so jo odpravili v verziji 4.14 (v začetku leta 2018). Popravljena je tudi v novejših jedrih Androida, ni pa...

Slo-Tech - Moderne bolnišnice so že tako digitalizirane, da je njihovo delovanje brez delujočega informacijskega sistema močno moteno. V zadnjih letih to ponovno spoznavamo, kadar jih napade kakšen zlonamerni virus. Ta teden imajo težave v treh ameriških in sedmih avstralskih bolnišnicah, kjer morajo zaradi napada malwara zavračati vse bolnike razen tistih v kritičnem stanju.

Tri bolnišnice v Alabami je napadel izsiljevalski virus, katerega imena še niso razkrili. Zaradi tega so v DCH Health System, kamor sodijo bolnišnice, močno omejili obseg delovanja bolnišnic. Brez delujočega informacijskega sistema so prenehali sprejemati nove bolnike (razen tistih, ki jih ne smejo odkloniti). Prav tako odpadajo pregledi in ambulante.

Podobne težave imajo tudi v Avstraliji, kjer je prizadetih sedem bolnišnic v zvezni državi Viktorija. Zaradi okužbe z izsiljevalsko programsko opremo so morali izključiti del računalniških sistemov, ki se nanašajo na kartone pacientov, naročanje in upravljanje. Kjer je to...

Policija -
Ta konec tedna (5. in 6. oktober 2019) poteka prvi policijski hackaton v Sloveniji. Prijave sprejemajo do petka do 12. ure, obljubljajo pa bogate nagrade za zmagovalce v vrednosti več tisoč evrov. Namen hackathona je sicer pridobivanje uporabnih idej in digitalnih rešitev s področja varnosti in mobilnosti.

Možje v modrem so skupaj z drugimi deležniki oblikovali štiri konkretne izzive, s katerimi se bodo spopadli udeleženci hackatona:

1. izziv: pomoč državljanom in njihova varnost (tudi digitalna);
2. izziv: preventivna dejavnost;
3. izziv: kreativne rešitve s področja mobilnosti v najširšem pomenu besede (osebna, trajnostna itd.);
4. izziv: krepitev ugleda policije in mestnega redarstva

Več informacij najdete na spletnih straneh policije.

Slo-Tech - Navajeni smo že, da nepoznanih USB-ključev in podobnih naprav ne gre vtikati v računalnike, ker mimogrede nanje prinesemo kakšno nesnago. V resnici pa to velja za vse aktivne naprave z USB, kamor lahko uvrščamo tudi - kable. In nevarnost ni omejena le na USB, temveč vsako dvosmerno podatkovno povezavo. Primer so lažni kabli za Applov priključek lightning.

Prvikrat smo zanje slišali avgusta, sedaj pa poteka že njihova množična proizvodnja. To pomeni, da se bodo z 200 dolarjev, kolikor so stali prototipi, močno pocenili. Kot pravi avtor MG, ki je kable poimenoval O.MG, gre za modifikacijo, ki ohrani vse normalne funkcionalnosti kablov (prenos podatkov in polnjenje), a hkrati vzpostavi še brezžično dostopno točko (hotspot). Ta omogoča hekerjem v bližini, da se povežejo v napravo in pridobijo polni dostop.

Proti takšnim napadom se v resnici kaj dosti ne moremo boriti. Edina pametna rešitev je, da v naprave ne vtikamo neznanih kablov. Temu pritrjujejo tudi proizvajalci. Apple je...