»

Preiskovalci obglavili LockBit

Europol - Mednarodno združenje organov pregona je v širokopotezni akciji uspelo zaseči večino infrastrukture ter programja razvpite izsiljevalske skupine LockBit in aretirati nekaj pomembnih članov.

LockBit je bila v zadnjem času bržkone najbolj zloglasna tolpa razvijalcev izsiljevalske programske opreme (ransomware). Z dejavnostjo so pričeli leta 2019, takrat še pod imenom ABCD, in popularizirali moderni način delovanja po principu ransomware-as-a-service, pri čemer so svoja orodja ter infrastrukturo oddajali v najem množici drugih kriminalcev, sami pa pobirali provizijo, običajno v vrednosti okoli 20 odstotkov. Po podatkih ameriškega pravosodnega ministrstva so z njihovo pomočjo doslej napadli najmanj 2000 organizacij po vsem svetu in na ta način izterjali najmanj 120 milijonov dolarjev. Odmevnejši napadi vključujejo lanske na Boeing, Royal Mail ter Industrial and Commercial Bank of China. Sloveli so kot brezkompromisni zlikovci, ki niso prizanašali nikomur, niti bolnišnicam.



V...

1 komentar

FBI na daljavo vdrl v usmerjevalnike in pobrisal ruski malware

Slo-Tech - Več kot tisoč brezžičnih usmerjevalnikov Ubiquiti v ZDA je bilo okuženih rusko zlonamerno programsko opremo, da so delovali kot usklajeni botnet za hekersko skupino Fancy Bear. Usmerjevalniki z operacijskim sistemom EdgeOS, ki so uporabljali tovarniško geslo za administrativni dostop, so bili lahka tarča za Fancy Bear, da je nanj naložila malware Moobot. To pa je bila tudi pot do njihovega očiščenja.

Tajna sodna odredba je FBI-ju omogočila čiščenje usmerjevalnikov, zato so izvedil operacijo Dying Ember. V tej operaciji je FBI uporabil Moobot, da je pridobil dostop do usmerjevalnikov in pobrisal zlonamerno programsko opremo. Da bi preprečili ponovno okužbo, dokler lastniki niso sprejeli ustrezni ukrepov, je FBI spremenil pravila za blokade v usmerjevalniku (firewall rules) in blokiral oddaljeno upravljanje. Med posegom so zbirali tudi prometne informacije, s čimer se preverjali, da Fancy Bear ni motil postopka.

FBI je torej vdrl v usmerjevalnike domačih in malih poslovnih...

57 komentarjev

Mercedes pomotoma razkril izvorno kodo

Slo-Tech - Na internet je iz koncerna Mercedes-Benz ušlo več zaupnih podatkov vključno z izvorno kodo, je odkril tehnični direktor podjetja RedHunt Labs Shubham Mittal. Eden izmed zaposlenih v koncernu je na javno dostopen repozitorij Github naložil identifikacijski žeton (authentication token). Ta je omogočal dostop do Mercedesovega GitHub Enterprise Server, kjer je bila objavljena tudi izvorna koda v računalniških sistemih njihovih avtomobilov, ključi za dostop do Azura in AWS-ja ter podatkovne baze Postgres. V repozitoriju so bili ključi, načrti, dizajni, gesla, ključi API in druge občutljive informacije.

Varnostni spodrsljaj so odkrili minuli ponedeljek in jo prijavili Mercedesu, ki je dva dni pozneje onemogočil omenjeni žeton. Tiskovna predstavnica koncerna je potrdila, da je podjetje kodo na Githubu javno objavilo zaradi človeške napake. Incident bodo analizirali in sprejeli ustrezne varovalne ukrepe, o katerih niso podrobneje spregovorili. Žeton je bil na voljo od septembra lani, ni...

28 komentarjev

Hekerji pridobili dostop do elektronskih predalov Microsoftovih vodilnih

Slo-Tech - Microsoft je včeraj razkril, da je bil tarča hekerskega napada, ki je izkoristil šibko geslo enega izmed zaposlenih. Napad so zaznali 12. januarja letos, potekal pa je od konca novembra lani. Napad so razkrili kmalu po odkritju, ker lani sprejeta zakonodaja v ZDA od podjetij zahteva, da regulatorjem, investitorjem in javnosti razkrivajo vdore v svoje sisteme.

Napadalci izvirajo iz skupine Midnight Blizzard, trdi Microsoft. To je z ruskimi oblastmi povezana skupina hekerjev, ki jo poznamo tudi pod imenom Nobelium. Microsoft pojasnjuje, da je šlo za napad s preverjanjem istega gesla v več istih profilih (password spraying attack) na starejšem sistemu, ki ni del produkcije. V praksi to pomeni, da so hekerji uporabili več znanih gesel iz drugih vdorov in da je eno delovalo. Račun tudi ni bil zaščiten z 2FA. S tega sistema so nato pridobili dostop do nekaj predalov elektronske pošte, vključno z visokimi uslužbenci, člani skupine za varnost in pravnega oddelka, kar je nerazumljiva...

0 komentarjev

Stuxnet je podtaknil Nizozemec Erik van Sabben

Slo-Tech - Pred poldrugim desetletjem smo se prvikrat zavedli, da se moderne vojne bijejo v digitalnem svetu. Sredi leta 2010 je svet izvedel, da je računalniški virus sabotiral iranske centrifuge za bogatenje urana in s tem za več let upočasnil njegov razvoj. Tedaj nihče ni zares vedel, kako je virus Stuxnet vstopil v iranski obrat v Natancu, ki je zgrajen pod zemljo in brez aktivne povezave z internetom. Šele mnogo let pozneje so na plano pricurljale informacije o dogajanju, v katerega so bili vpleteni Američani, Izraelci in - Nizozemci.

Nizozemski časnik Volkskrant je leta 2019 razkril, da je šlo za specialno operacijo, v kateri je sodelovala tudi nizozemska obveščevalna agencije AIVD. Sedaj vemo, da je inženir Erik van Sabben lastnoročno poskrbel za vnos virusa v iranski sistem. Konec leta 2008 je okužil centrifuge, že naslednji dan hitro zapustil državo in nato dva tedna pozneje umrl v nesreči z motociklom v Dubaju. Tudi zato lahko Volkskrant razkrije več podrobnosti vključno z njegovim...

32 komentarjev

Operater Orange Espana zaradi lahkega gesla tarča tarča vdora

Slo-Tech - V sredo so hekerji pridobili dostop do računa, ki ga ima operater Orange España pri organizaciji RIPE, ki skrbi za naslove IP na širšem področju Evrope, Bližnjega vzhoda in osrednje Azije, kar obsega 75 držav. Heker z vzdevkom Snow (Ms_Snow_OwO) se je z ukradenimi prijavnimi podatki prebil do računa pri RIPE, kjer je spremenil tabele za BGP (Border Gateway Protocol). Heker je v tabele dodal več blokov IP-naslovov, med katerimi vsi niso pripadali Orangeu. S tem je pokvaril ROA (Route Origin Authorizations). Ko je na primer dodal 149.74.0.0/16, je s tem preklical vse nižje (krajše) ROA, ki sodijo v isti blok (npr. 149.74.100.0/23). Nenadoma je torej Orange oglaševal IP-je, do katerih ne prenaša prometa, kar je povzročilo kaos oziroma nedostopnost teh strani.

Napad, ki je trajal približno štiri ure, je natančno opisal Doug Madory. Dodaja, da ni čisto jasno, kaj je napadalec želel storiti. Njegove poteze niso imele veliko smisla, četudi bi žel povzročiti največji možni obseg škode....

9 komentarjev

Tat izvorne kode GTA VI obsojen na zdravljenje

Slo-Tech - V preteklem letu je hekerska skupina Lapsus$ napadla Rockstar Games in ukradla cel kup podatkov, med katerimi so bile najbolj zaželene vsebine, ki so povezane s franšizo iger Grand Theft Auto. Napadalci so tedaj dobili dostop do internega strežnika za Slack in strežnika wiki Confluence. Po navedbah hekerjev so pridobili izvorno kodo iger GTA V in GTA VI, ki je sicer niso javno objavili, so pa pokazali nekaj izsekov.

Lapsus$ je sicer ena najbolj aktivnih skupin, ki je z različnimi taktikami, denimo socialnim inženiringom, zamenjavo kartic SIM in podobno, vdrla že v številna podjetja. Uber, Microsoft, Nvidia, Ubisoft in Samsung so le najodmevnejše žrtve njihovih napadov, ki so jih potem izsiljevali z grožnjo, da bodo sicer javno priobčili ukradene interne podatke, torej izvorno kodo in podobno.

Leto dni pozneje je napočil čas, ko so izvorno kodo GTA V očitno poslali na plano. BleepingComputer poroča, da je na različnih delih interneta - na Discordu, na Telegramu in drugod - začela...

12 komentarjev

Izsiljevalski virus Lockbit 3.0 napadel več nemških bolnišnic

Slo-Tech - Svoj čas je veljalo, da so vsaj bolnišnice nedostojne tarče za izsiljevalske viruse, a ti časi so minili. Več bolnišnic v vzhodni Vestfaliji - Franzikus Hospital Bielefeld, Sankt Vinzenz Hospital Rheda-Wiedenbrück, Mathilden Hospital Herford - je bilo na predbožični dan tarče napada, ki je popolnoma ohromil njihove informacijske sisteme. Prve analize so pokazale, da je šlo za virus Lockbit 3.0, ki je zaklenil vse podatke.

Vzpostavili so krizni štab, ki analizira situacijo in išče rešitev. Čeprav je informacijski sistem za zdaj onesposobljen, bolniki niso v nevarnosti, so dejali. Virus Lockbit je sicer že stari znanec, ki je v preteklosti napadel tudi že kakšno bolnišnico, dasiravno to niso najpogostejše tarče. Ko so v začetku tega leta napadli bolnišnico v Kanadi, so se upravljavci virusa kasneje opravičili in brezplačno ponudili orodje za odklep datotek.

Manj razumevanja imajo storilci do drugih komercialnih tarč, do katerih zahtevajo odkupnino. Lockbit 3.0 deluje kot virus za...

16 komentarjev

Napadalci na ključno infrastrukturo izkoriščali privzeta gesla 1111

Slo-Tech - Od konca novembra naprej hekerji, ki so povezani z iransko vojsko, napadajo ameriško ključno infrastrukturo, ki teče na napravah Unitronics. Pri tem pustijo na zaslonih politična sporočila v zvezi z aktualno vojno med Izraelom in Palestino, medtem ko na ključne funkcije infrastrukture niso uspeli vplivati. Napadi potekajo v več zveznih državah, osredotočajo pa se programljive logične krmilnike (PLC) Unitronics Vision Series, ki jih uporabljajo podjetja v preskrbi z vodo, zbiranjem in obdelavo odpadnih voda, proizvodnji hrane in pijač ter zdravstvu.

Glavni problem so naprave, ki so izpostavljene neposredno na internetu, za dostop pa uporabljajo tovarniška gesla. Hekerska skupina, ki jo imenujejo CyberAv3ngers, ni edina, saj so zaznali več deset skupin, pretežno iz Irana in Kitajske. Napadi v več kot 11 zveznih državah so precej enostavni, ker PLC-ji uporabljajo tovarniško geslo 1111, ki ga odgovorni pogostokrat niti ne spremenijo. To je osnovna varnostna pomanjkljivost, katere...

6 komentarjev

Waymovi avtomobili nekajkrat varnejši od človeških voznikov

Slo-Tech - Waymo je izdal novo poročilo o varnosti svojih avtonomnih vozil, ki so doslej prevozila že 11,5 milijona kilometrov v prometu. Waymova vozila so na cestah v Phoenixu, San Franciscu in občasno tudi v Los Angelesu.

V vseh teh kilometrih so bila vozila udeležena v treh prometnih nesrečah s telesnimi poškodbami. Enkrat je v kraju Tempe v Arizoni (predmestje Phoenixa) Waymov avtomobil sunkovito zavrl pred vejo na cesti, kar je povzročilo nalet dveh vozil, v katerem se je poškodoval nepripet sopotnik v Waymovem vozilu. V drugem primeru je Waymo na križišču najprej pospešil, nato pa ustavil, kar je povzročilo nalet vozila, ob čemer se je sopotnik v Waymovem avtomobilov lažje poškodoval. Tudi v tretjem primeru je šlo za nalet vozila, a je to pot med vožnjo po večpasovnici vozilo z neprilagojeno hitrostjo trčilo v Waymo, ki je vozil po predpisih. To pomeni, da so zabeležili 0,24-0,36 poškodb na prevožen milijon kilometrov. V Waymu so izračunali, da se človeški vozniki v enakih pogojih -...

35 komentarjev

Hekerji objavili poslovne skrivnosti iz HSE

Slo-Tech - Po poročanju RTV Slovenija so hekerji, ki so 25. novembra vdrli v računalniške sisteme Holdinga Slovenske elektrarne (HSE), na spletu objavili ukradene podatke. Od približno 127 GB ukradenih podatkov, kar je v praksi 120.000 dokumentov, so jih sedaj objavili 60 odstotkov, če gre verjeti njihovim navedbam. Dejstva ni možno neodvisno preveriti.

Hekerji so objavili poslovne in osebne podatke, med njimi potne liste, pogodbe, revizije in druge dokumente z oznako poslovna skrivnost. Iz HSE so se odzvali s skopim pojasnilom, da ne pričakujejo vpliva na poslovanje, ki trenutno poteka normalno. S tem se strinjajo tudi poznavalci, ki pa opozarjajo, da so lahko sedaj odškodovani tudi drugi poslovni subjekti. Ukradene podatke je moč izkoristiti za lažno predstavljanje v komunikaciji s poslovnimi partnerji ali strankami.

Še vedno sicer ni znano, zakaj je bil HSE tarča napada. Bodisi je šlo za sofisticiran in cilja napad bodisi pa so imeli hekerji preprosto srečo, da je izmed več tarč prav v...

13 komentarjev

Številni računalniki z ranljivostjo v UEFI-ju

Slo-Tech - Skorajda vsi osebni računalniki, ki imajo Intelove ali AMD-jeve procesorje, imajo resno luknjo, ki omogoča okužbo sistema med zagonom in nadaljnji prevzem nadzora nad napravo. Ranljivost tiči v UEFI-ju, in sicer v delu kode, ki omogoča prikaz poljubne slike med začetno fazo zagona, zato so raziskovalci ranljivost poimenovali LogoFAIL. Prizadeti so sistemi, za katere je UEFI izdelal AMI, Insyde ali Phoenix, kar so praktično vsi sistemi, ne glede na sestavljavca (Lenovo, Dell, HP). Ti so večidel že izdali obvestila (advisory) in priporočajo nadgradnjo firmwara na ploščah oziroma UEFI-ja.

O napadu so raziskovalci podrobneje spregovorili na Black Hat Security Conference, ki je ta teden potekala v Londonu. Napad LogoFAIL je posledica več ranljivosti v sistemih, ki omogočajo izvedbo s podtaknjeno okuženo sliko. UEFI ima namreč možnost, da med zagonom prikaže logotip proizvajalca, denimo Lenovo. Del, ki skrbi za to možnost (image parser), pa ni posebej varen. Napadi med zagonom, in sicer med stadijem DXE (Driver Execution Environment), so posebej problematični, ker jih je zelo težko preprečiti, zaznati in odpraviti. Če v tej fazi zlonamerna koda pridobi nadzor nad sistemom, ima praktično neomejene privilegije. Za napad ni potreben...

30 komentarjev

Podpisan dogovor o varnosti umetne inteligence

Slo-Tech - Osemnajst držav je podpisalo neobvezujoč dogovor dogovor o varni umetni inteligenci, med katerimi so tudi ZDA, Velika Britanija, Nemčija in Avstralija. Dogovor, ki so ga javnosti predstavili v nedeljo zvečer, je po besedah ZDA prvi mednarodni dogovor o ukrepih, ki bodo obvarovali uporabo umetne inteligence in varnost pred zlonamernimi akterji. Dogovor predvideva ukrepe, ki bodo zagotavljali, da bo umetna inteligenca varna že zaradi samega ustroja (secure by design).

Dvajset strani dolg dogovor predvideva, da bodo podjetja pri izdelavi in uporabi orodij umetne inteligence to počela na način, ki bo varoval uporabnike in javnost pred zlorabami. Gre sicer za neobvezujoče predloge, ki so splošna priporočila o nadzoru sistemov, zaščiti podatkov in preverjanju dobaviteljev. Kljub temu gre za pomemben dokument, ker predstavlja prvi korak pri zagotavljanju varnosti in ker so se podenj podpisale številne države, je dejala Jen Easterly iz ameriške agencije za kibernetsko varnost in...

23 komentarjev

Podatki z Google Drive izginjajo

Slo-Tech - Uporabniki Googlove oblačne shrambe Drive presenečeno ugotavljajo, da je izginilo več datotek in vse spremembe zadnjih mesecev. Razlog za težave še ni znan, jih je pa Google potrdil. Preiskava še poteka, uporabnikom pa svetujejo, da ta čas v korenski mapi ne spreminjajo ničesar.

Težave so se začele že minuli teden, ko je uporabnik iz Južne Koreje ugotovil, da so mu izginile vse novejše datoteke in da je stanje v Google Drivu enako kot maja letos. Novejših datotek ni bilo niti v košu, prav tako Google Drive ni kazal nobene aktivnosti. V naslednjih dneh se je z enakimi težavami javilo še več uporabnikov, kar je potrdil tudi Google. Inženirji so se lotili preiskave incidenta, ki sicer ni prizadel vseh uporabnikov, temveč le peščico.

Dokler Google težave ne razreši, uporabniki do svojih datotek ne morejo. Za zdaj so še vsi optimistični, da se bo to zgodilo kmalu. A ob tem velja opozoriti, da oblak ni čudežni varni pristan za datoteke, temveč računalnik nekje drugje in ne pri nas...

3 komentarji

Zlomili prstne odtise v Windows Hello

Microsoft - Raziskovalci iz podjetja Blackwing Intelligence so ugotovili, kako je možno pretentati zaklep računalnik s prstnim odtisom v Windows Hello. Na prošnjo MORSE (Microsoft Offensive Research and Security Engineering) so analizirali varnost treh različnih tipov čitalnikov prstnih odtisov v prenosnih računalnikih in odkrili resne ranljivosti.

Ranljivi so čitalniki podjetij Goodix, Synaptics in ELAN, ki so jih preizkusili na napravah Dell Inspiron 15, Lenovo ThinkPad T14 in Microsoft Surface Pro X. Izdelali so posebno napravo, ki se na računalnik priključi prek USB-ja in omogoča izvedbo napada s prestrezanjem (MITM). Tako je možno odkleniti ukradene prenosnike, če je le kdo kdaj v preteklosti uporabil prstni odtis za prijavo.

Že pred časom je Microsoft ugotovil, da 85 odstotkov ljudi, ki to možnost imajo, za prijavo uporablja prstni odtis. Prvo resno ranljivost v Windows Hallo je Microsoft odpravil leta 2021, ko so ljudje ugotovili, da je možno pretentati prepoznavanje obrazov za...

10 komentarjev

Apple po treh letih popravil funkcijo za skrivanje naslova MAC

Ars Technica - Applova funkcija ščitenja zasebnosti s skrivanjem pravega naslova MAC, ko se iPhone ali iPad povežeta v brezžično omrežje, naj bi že leta varovala uporabnike. Izkazalo se je, da to ne drži in da iOS še vedno deli prave fizične naslove, ugotavlja Dan Goodin.

Skrivanje naslovov MAC ni ključnega pomena, a predstavlja enega izmed sestavnih delov varovanja zasebnosti. Njihova zloraba je malo verjetna, a v preteklosti smo že videli teoretične demonstracije, da je možno s slednjem tem naslovom po več lokacijah izdelati profil uporabnika, zlasti kje se giblje. Zato je Apple leta 2020 v verziji iOS 14 uvedel skrivanje (randomizacijo) naslovov MAC. Podobno omogoča tudi Android.

Apple je ta teden - torej polna tri leta pozneje - izdal popravek za iOS, ki je to funkcijo popravil. Doslej namreč ni delovala. Naprave so vedno, četudi so na primer uporabljale VPN, z omrežjem Wi-Fi delile pravi naslov MAC. V sporočilu multicast, ki ga je naprava ob vključitvi v omrežje, poslala vsem ostalim napravam, je bil naslov MAC res naključen. To je preprečilo pasivno spremljanje. A v drugih paketkih je iOS še vedno delil pravi naslov, zato aktivne naprave niso imele nobenih težav ugotoviti naslova MAC ostalih naprav v omrežju. Luknja je sedaj...

2 komentarja

Telegram lahko razkriva uporabnikov naslov IP

Slo-Tech - Že vrsto let je znano, da aplikacija za komunikacijo Telegram razkriva naslove IP uporabnikov, kadar ti opravljajo glasovne klice s svojimi stiki. To predstavlja varnostno tveganje, ki se ga uporabniki pogosto ne zavedajo. Če zlonamernega akterja dodamo med svoje stike, lahko ta z enim klicem pridobi podatke o našem naslovu IP. Ranljivost je možno preprosto zlorabiti.

Razlog za njen obstoj tiči v načinu delovanja. S privzetimi nastavitvami Telegram uporablja povezavo P2P (peer-to-peer) za glasovne klice med stiki, ker tako zagotavlja boljšo kakovost zvoka in manjše zakasnitve. To drži, a to pomeni tudi, da si morata stika izmenjati aktualna naslova IP. Ta način delovanja je možno v nastavitvah spremeniti, a marsikdo tega ne ve. Klici od ljudi, ki jih nimamo v seznamu stikov, pa se že privzeto preusmerijo skozi Telegramove strežnike in ne omogočajo razkrivanja naslovov IP.

Ob tem dodajmo, da Telegram seveda ni edina aplikacija, ki ima težave z razkrivanjem IP. To se lahko zgodi

1 komentar

Morda bo algoritem TETRA naposled le odprt

TETRA radijska postaja.

vir: Motorola
Slo-Tech - Po poleti odkritih novih ranljivostih v sistemu TETRA, ki so bile tam najverjetneje namenoma, se sedaj krepijo pozivi k odprtju algoritma. Tehnični odbor ETSI (European Telecommunications Standards Institute) razmišlja, da bi javno razkrili algoritme, ki jih TETRA uporablja za šifriranje komunikacije. Odločitev bodo sprejeli 26. oktobra, je pojasnila tiskovna predstavnica Claire Boyer. Če ne bo konsenza, bo sledilo glasovanje.

Tehnologijo TETRA (Terrestrial Trunked Radio) uporabljajo javne službe, denimo policija in reševalci, a tudi vojska, za komunikacijo v večjem delu Evrope. Z njo preprečujejo prisluškovanje, a protokol ima številne ranljivosti. Te pod vprašaj postavljajo tako varnost uporabo kakor tudi odpornost na prihodnost, saj ne vemo, kaj se še skriva v kodi. Poleti odkrite ranljivosti so teoretično omogočale vrivanje sporočil, deanonimiziranje uporabnikov in podobno. Ranljivosti naj bi bili zakrpali šele ta mesec.

Uporaba nejavnih algoritmov za šifriranje, kjer se za...

6 komentarjev

Google odslej privzeto s ključi namesto gesel

Slo-Tech - Google nadaljuje prizadevanja za svet brez gesel, v katerem jih bodo nadomestili prijaznejši in varnejši načini preverjanja pristnosti. Sporočili so, da so od danes ključi (passkeys) privzeti način prijave za vse uporabnike, seveda pa je še vedno možno uporabiti gesla.

V praksi bomo torej ob naslednji prijavi v Google storitve videli pozive, da ustvarimo ključe, s katerimi se lahko prijavimo ob prihodnjih obiskih. Za uporabo ključev lahko uporabimo prstni odtis, posnetek obraza ali PIN. Google ocenjuje, da je njihova uporaba 40 odstotkov od vnašanja gesel, hkrati pa so varnejši. Komur so bolj pri srcu gesla, jih bo lahko uporabljal še naprej in tudi izklopil ponavljajoče pozive po pripravi ključa.

Ključe že lahko uporabljamo v različnih Googlovih storitvah, denimo v Gmailu, YouTubu, Maps, iskanju in drugod, kamor se moramo prijaviti. Prav tako jih počasi uvajajo tudi drugi ponudniki, denimo eBay.

69 komentarjev

Ranljivost v poštnem strežniku Exim

Slo-Tech - V vseh verzijah poštnega strežnika Exim (mail transfer agent) so odkrili varnostne luknje, ki napadalcem omogočajo oddaljeni zagon poljubne kode (remote code execution). Ranljivost je odkril anonimni varnostni raziskovalec in jo prijavil prek Trend Microvega mehanizma Zero Day Initiative. Povzroča tako nestabilno delovanje in kvarjenje podatkov kakor tudi izrabo za poganjanje nepooblaščene kode. Napaka tiči v storitvi SMTP (odhodna pošta), kjer lahko pride do prekoračitve naslovnega prostora (out-of-bounds write).

ZDI je proizvajalca o napaki obvestil že junija lani (!) in ponovno maja letos, a popravka niso izdali. ZDI je zato ta teden javno objavil podrobnosti v opozorilu CVE-2023-42115, kjer so razkrili tudi vso komunikacijo z Eximom. Tovrstni strežniki so zelo obetavne tarče, ker so običajno dostopni z interneta, zato omogočajo vdor v interne sisteme. Hkrati je Exim najpopularnejša programska oprema za MTA. V preteklosti so se ranljivosti v Eximu že izkoriščale tudi v praksi....

17 komentarjev

Volkswagen zaradi računalniškega izpada ustavil proizvodnjo

Slo-Tech - V nemških tovarnah koncerna Volkswagen je včeraj zaradi napake v informacijskem sistemu obstala proizvodnja vozil znamk Volkswagen. Težave so imeli tudi pri proizvodnji audijev in porschejev, so potrdili v podjetju. Vzrok za izpad še raziskujejo. Za zdaj so dejali, da je šlo za "nepravilno delovanje nekaterih omrežnih komponent" na lokaciji v Wolfsburgu, kjer imajo sedež. Prizadete so bile tovarne v Emdnu, Osnabrücku, Hanovru, Dresdnu, Zwickauu in obrati v Braunschweigu, Kasslu, Chemintzu in Salzgitterju.

Iz podjetja so sporočili, da so napako opazili okrog 12.30 po lokalnem času. Po prvih podatkih ni šlo za napad, temveč za napako. Večino posledic so odpravili danes ponoči, nekateri sistemi pa jih bodo čutili še danes. Trenutno ima sicer Volkswagen še drugačne težave v tovarni v Zwickauu, kjer izdelujejo električna vozila. Tam so zaradi nižjega povpraševanja ukinili eno izmeno in prešli na dvoizmenski delavnik. S tem so tudi odpustili 269 zaposlenih.

18 komentarjev

Ranljivost v grafičnih karticah spletnim stranem omogoča krasti zaslonsko sliko

Slo-Tech - Raziskovalci z univerz v Austinu, Teksasu, Washingtonu, Illinoisu in Pittsburghu (CMU) so ugotovili, da so grafični čipi vseh šestih velikih proizvajalcev ( Apple, Intel, AMD, Qualcomm, ARM, Nvidia) ranljivi. Z doslej nepoznanim napadom lahko zlonamerna spletna stran prebere vsebino zaslona, kot ga izpisuje druga spletna stran na drugi domeni, s čimer se krši ena osnovnih zapovedi varnosti na internetu. Napad so poimenovali GPU.zip in ga temeljito opisali v članku. Podrobno jo bodo predstavili tudi na konferenci 45th IEEE Symposium on Security and Privacy, ki bo prihodnje leto maja v San Franciscu.

V delujočem konceptu so prikazali, kako ranljivost deluje. Zlonamerna spletna stran vsebuje element, ki skuša brati iz elementa iframe. V normalnih okoliščinah je to mogoče le, če imata oba elementa isti vir (isto domeno). Raziskovalci pa so pokazali, da je zaradi stiskanja podatkov, ki ga GPU-ji uporabljajo za izboljšanje zmogljivosti, možno posamezne piksle na zaslonu krasti enega po...

15 komentarjev

Microsoftu pobegnilo 38 TB podatkov

Slo-Tech - Microsoftu je na splet pobegnilo 38 TB podatkov, ker so napačno nastavili profil na GitHubu. Podjetje Wiz, ki se ukvarja z računalniško varnostjo, je ugotovilo, je odkrilo shrambo v Azuru, na katero je vodila povezava v repozitoriju na GitHubu, ki so ga uporabljali raziskovalci v Microsoft AI. Pravice za dostop so bile nastavljene tako, da je lahko podatke prebiral, kdorkoli je imel povezavo do shrambe z žetonom SAS. Podatki so bili javno dostopni od leta 2020, Microsoft pa je dostop onemogočil dva dni po Wizovem opozorilu.

Šlo je za 38 TB podatkov, med njimi tudi polni varnostni kopiji dveh zaposlenih, vključno z gesli, ključi in več kot 30.000 internimi sporočili v Microsoft Teams. Ob pa niso bili izpostavljeni nobeni podatki strank, so zatrdili v Microsoftu. Teoretično pa bi lahko zlonamerni akterji zaradi ranljivosti spreminjali in vrivali datoteke na Microsoftove strežnike in v interne sisteme, saj so bile dovoljene tudi pisalne pravice. Tehnični direktor Ami Luttwak je ob...

9 komentarjev

Hekerski napad na lasvegaške kazinoje

Slo-Tech - Hekerska skupina Scattered Spider (znana tudi kot UNC3944) je ta teden napadla MGM Resorts International, ki ima v Las Vegasu v lasti več igralnic. Zaradi napada so bile nedosegljive spletne strani hotelov, a to je še najblažja posledica. Nekaj časa niso delovali igralni avtomati, stranke v hotelih so morali v sobe prijavljati in razmeščati ročno ipd. MGM incidenta ni komentiral, zato tudi še ni jasno, kako so napadalci pridobili dostop do njihovih sistemov.

Je pa Financial Times uspel govoriti s človekom, ki se je predstavljal kot zastopnik omenjene hekerske skupine. Izvorni načrt naj bi vključeval programsko manipulacijo igralnih avtomatov, ki bi jih nato z mulami oskubili denarja, a se je izjalovil. Nato je preostal dobri stari izsiljevalski napad, ki je vključeval vdor, krajo podatkov, šifriranje in zahtevo po odkupnini. Nedavno je bila ista skupina na enak način od Caesers izsilila več deset milijonov dolarjev.

Kot je pojasnil Charles Carmakal iz Mandianta, ki je preiskoval...

32 komentarjev

Razpad britanske kontrole letenja povzročilo francosko letalo

Slo-Tech - Ogromne težave v britanskem letalskem prometu, ki jih je ta teden zakrivila odpoved računalniška sistema za upravljanje načrtov poletov, so bile najhujša motnja v zadnjem desetletju. Prizadetih je bilo več kot 300.000 potnikov, odzvati pa se je morala celo britanska vlada. Po poročanju The Independenta so se težave začele, ko je francosko letalo oddalo okvarjen načrt poleta. Sistem bi ga bil moral preprosto zavrniti, a zgodilo se je nekaj primerljivo slabšega. Celotni sistem NATS (National Air Traffic Services) se je izključil, zato so morali polete preverjati in potrjevati ročno.

Da se je sistem izključil, je z varnostnega vidika sicer bolje, kot bi deloval napak in potrjeval neustrezne načrte, a to je bolj slaba tolažba. Pravilni odziv bi bil zavrniti francoski načrt poleta. Direktor NATS Martin Rolfe je dejal, da je preliminarna preiskava okrivila francoski let, podrobnosti pa še niso znane. Ločeno preiskavo so napovedali tudi na Downing Streetu. Minister za promet je incident...

18 komentarjev

Gmail širi potrebo po 2FA

Slo-Tech - Dostop do elektronskega predala in njegove nastavitve so ključi za dostop do velike večine vseh digitalnih storitev, ki jih uporabljamo. Google v Gmailu za zaščito skrbi z dvostopenjsko avtentikacijo, ki jo potrebujemo pri novi prijavi, nato pa lahko v napravi ostanemo prijavljeni več tednov. Google je sedaj napovedal, da bo dodatno preverjanje (2FA) pogostejše, četudi smo v napravi že prijavljeni.

Prvi nasvet je seveda vključiti 2FA, saj tega še vedno niso storili vsi uporabniki. Uporaba Gmaila brez 2FA je zelo nevarna in se odsvetuje, saj kljub Googlovim poizkusom čim bolje zaščititi uporabnike ostaja ranljiva za hekerske prevzeme. Google pa nas obvešča še, da bo po novem 2FA potreben pri spreminjanju občutljivih nastavitev Gmaila, četudi smo prijavljeni. To so na primer novi filtri, nastavitve avtomatičnega posredovanja pošte, dostop prek protokola IMAP ipd. Google bo v takih primerih preveril, ali je treba dodatno potrditi istovetnost uporabnika, četudi je ta prijavljen.

...

5 komentarjev

Google predstavil FIDO2, ki je odporen na kvantne računalnike

Slo-Tech - Razvoj kvantnih računalnikov sicer ne pomeni, da bo takoj razbito vso današnje šifriranje, bodo pa ciljani napadi na danes varne algoritem mogoči. Panaceja so algoritmi, ki so na sposobnosti kvantnih računalnikov odporni (PQC), ki se pospešeno razvijajo. Google je ta teden predstavil implementacijo standarda FIDO2, ki je imun na napade s kvantnimi računalniki.

Standard FIDO2 je bil sprejet pred petimi leti in omogoča varno prijavo v spletne strani brez uporabe gesel. Trenutno je FIDO2 varna implementacija, za katero ni znanih ranljivosti, podpirajo pa jo že številne strani in storitve. Kriptografski ključi za prijavo so shranjeni v pametnih ključkih, telefoni in drugih napravah, s čimer odpade potreba po pomnjenju in vpisovanju gesel.

Današnji šifrirni algoritmi, denimo RSA, so preizkušeni in so prestali test časa. Novi algoritmi PQC tega testa še niso opravili in primeri, ko bomo v njih odkrili neverjetne luknje, se bodo verjetno še kdaj zgodili. Lani se je to zgodilo algoritmu...

0 komentarjev

Na Otoku ogroženi osebni podatkih 40 milijonov ljudi zaradi luknje v Exchangeu

Slo-Tech - Britanska državna volilna komisija je ta teden razkrila, da so bili žrtve vdora v računalniški sistem, ki je potekal med avgustom 2021 in oktobrom 2022. Zakaj so na razkritje 14-mesečnega vdora od odkritja čakali devet mesecev, ni znano. Vemo pa, kaj je vdoru botrovalo. Analize neodvisnih strokovnjakov in preiskovalnih novinarjev prst uperjajo v ranljivosti v Microsoft Exchange Serverju (CVE-2022-41080 in CVE-2022-41082), ki sta bili tisti čas javnosti neznani.

Za ranljivosti smo izvedeli šele konec septembra lani, pravi popravki pa so prispeli novembra. Ko sta se ranljivosti izrabljali, sta bili pravi zero-day luknji. Ranljivosti se imenujeta ProxyNotShell. Microsoft je dejal, da so bili oktobra lani seznanjeni le z enim akterjem, ki ju je aktivno zlorabljal - šlo je za hekersko skupino s tekočim znanjem kitajščine. Kasneje se je pojavilo še več žrtev, denimo Rackspace.

Volilni komisiji bi lahko bili ukradli podatke o 40 milijonih volivcev. Ali so jih dejansko odtujili, ni...

9 komentarjev

Intel in AMD vsak s svojo ranljivostjo

Slo-Tech - Strokovnjaki za varnost ta teden poročajo o dveh ranljivostih, ki sta prizadeli Intelove oziroma AMD-jeve procesorje. V podrobnostih se razlikujeta, širša slika pa je pri obeh enaka. Spet gre za špekulativno izvajanje ukazov, kar sta prvikrat problematizirala hrošča Spectre in Meltdown, zaradi česar lahko programi v procesorju vidijo več, kot imajo pravic. Intel in AMD sta že objavila popravke za hrošča.

Intelov hrošč se imenuje Downfall (CVE-2022-40982) in ga najdemo v procesorjih od 6. do 11. generacije, medtem ko so novejši procesorji 12. in 13. generacije (Alder Lake, Raptor Lake) zaščiteni. Prav tako ni nevarnosti za res stare procesorje, denimo cenejše Atome, Pentiume in Celerone (Apollo Lake, Jasper Lake, Gemini Lake, Haswell, Broadwell). Procesorji, ki pa so prizadeti, imajo kar resne posledice. Popravek sicer obstaja, a hitrost izvajanja ukazov Gather AVX2/AVX-512 zniža za kar 50 odstotkov. Mikrokodo s popravkom lahko naložimo s firmwarom ali neposredno v operacijskem sistemu. Daniel Moghimi iz Googla, ki je ranljivost odkril, pojasnjuje, da njena izraba ni težavna in da mu je uspelo v dveh tednih napisati delujoč prototip. Z njim je na primer možno ukrasti 256-bitni ključ AES ali brati podatke iz Linuxovega jedra,...

9 komentarjev

V Tetri ranljivost, ki se zdi namerna

TETRA radijska postaja.

vir: Motorola
Slo-Tech - V sistemu Tetra, ki uporabljajo organi pregona in druge državne agencije v številnih državah - tudi Slovenija - so raziskovalci odkrili še eno ranljivost. Da je Tetra polna lukenj, je že staro dejstvo. Morda je novo dejstvo, da so luknje tam očitno namenoma, čeprav smo bili tudi to lahko slutili. Nova ranljivost se imenuje Tetraburst.

Tetra uporablja šifrirni sistem, ki je zaprtokoden, zato mu moramo preprosto verjeti. Seveda odprtokodnost ni jamstvo, da so sistemi dobri, a pri zaprtkodnih tega načeloma ne moremo niti dokazati. Lahko pa pokažemo obratno, kar je uspelo raziskovalcem iz podjetja Midnight Blue. O podrobnostih bodo govorili na konferenci Black Hat, kjer imajo 9. avgusta predavanje o novi ranljivosti. Popolno razkritje pa obljubljajo do 14. novembra.

Za zdaj vemo, da so v algoritmu TEA1 - Tetraji jih podpira več - odkrili namensko oslabitev šifriranja. Zaradi njih lahko napadalec s poceni opremo SDR pasivno prestreza komunikacijo prek Tetre in dešifrira vsebino. Ker...

10 komentarjev

Ranljivost Zenbleed v procesorjih AMD Zen 2

Slo-Tech - Googlov raziskovalec Tavis Ormandy je v AMD-jevih procesorjih Zen 2, kamor sodijo družine Ryzen 3000, Ryzen 4000, Ryzen 5000, Ryzen 7020, Ryzen Pro 3000, Ryzen Pro 4000 in Epyc Rome, odkril ranljivost, ki omogoča tudi krajo šifrirnih ključev (CVE-2023-20593). Ranljivost je poimenoval Zenbleed, AMD-ju pa jo je prijavil 15. maja. Ta je za nekatere procesorje že pripravil popravke (mikrokoda), za druge pa bodo nared do konca leta.

Ranljivost izkorišča metodo, ki jo moderni procesorji uporabljajo za hitrejše delovanje. Špekulativno izvajanje ukazov pomeni, da se nekateri ukazi izvedejo, četudi procesor še ne ve, ali bo to dejansko potrebno. Če se izkažejo kot nepotrebni, se rezultat preprosto zavrže, sicer pa smo prihranili nekaj časa. A vsako izvajanje ukazov vpliva na vrednosti v registrih in na komunikacijo procesorja s sistemom, čemur je možno prisluškovati. V tem pogledu je napad Zenbleed podoben napadom Meltdown na Intelove procesorje.

Ranljivost je možno izkoristiti na...

17 komentarjev

Obsojen še en član združbe, ki je pred tremi leti vdrla v Twitter

TechCrunch - Tri leta po enem najodmevnejših napadov na družbena omrežja v zgodovini so v ZDA na petletno zaporno kazen obsodili še enega od zlikovcev, Britanca Josepha Jamesa O'Connorja.

Sredi julija 2020 je svetovna javnost lahko od blizu spremljala enega najvidnejših hekerskih napadov na družbena omrežja, ko so časovnice uporabnikov na Twitterju zasule objave mnogih najbolj znanih oseb pod soncem, ki so oglaševale kriptoprevare. Skupina napadalcev je s premišljenim napadom z ribarjenjem na Twitterjeve uslužbence pridobila dostop do administratorskih orodij platforme, nakar so prevzeli nadzor na pomembnimi uporabniškimi računi, med drugimi Baracka Obame in Billa Gatesa, ter jih zlorabili za zaslužek s kriptoprevarami. Zaradi odmevnosti so se ameriški organi pregona zelo hitro zganili in v zgolj nekaj tednih polovili večino tolovajev; med trojico takrat aretiranih oseb je bil tudi vodja skupine, Američan Graham Ivan Clark, ki je bil leto zatem po dogovoru s tožilstvom obsojen na tri leta...

1 komentar

Avstralski premier: za varnost vsak dan ugasnite telefone

Slo-Tech - Avstralski premier Anthony Albanese je postregel z nenavadnim priporočilom državljanom za več varnosti. Priporočil jim je, da vsak dan za pet minut ugasnejo pametne telefone. Napotek ni iz trte izvit, je pa obseg njegove koristnosti vprašljiv. Gre seveda le za enega izmed nasvetov v daljšem govoru o spopadanju s kibernetskimi grožnjami, ki jim bo Avstralija v prihodnosti posvečala še več pozornosti.

Dejal je: "Vsi imamo odgovornost. Male stvari, izklop telefona za pet minut vsako noč. To lahko storite vsakih 24 urah, denimo med umivanjem zob ali pri drugih opravilih." Nekaj podobnega je ameriška agencija NSA svetovala že pred tremi leti, ko so dejali, da bi ponovni zagon telefonov enkrat na teden lahko preprečeval vdore. V tem grmu tiči zajec.

Ponovni zagon telefona je zelo osnoven ukrep, ki vseh napadov ne more preprečiti, lahko pa jih v nekaterih primerih oteži. Priyadarsi Nanda z univerze v Sydneyju pojasnjuje, da to zmanjšuje tveganja, ker prisilno ugasne vse aplikacije in...

23 komentarjev

V zahodnih sistemih so kitajski čipi za šifriranje

Wired News - O prepletenosti mednarodnih dobavnih verig, ki jih je domala nemogoče kirurško ločiti, pričajo kitajski mikrokrmilniki za šifriranje, ki jih najdemo v diskih, ki jih kupujejo tudi NASA, NATO in zahodne vojske. Wired je šel po sledeh Hualana, ki je že od leta 2021 na seznamu podjetij, ki jim ameriška podjetja ne smejo izvažati (Entity List).

Formalno je seznam sicer izvozna prepoved, torej seznam podjetij, ki jim ni dovoljeno prodajati ameriških izdelkov, ker aktivno podpirajo razvoj kitajske vojske. V praksi pa seznam velja tudi v obratni smeri, in sicer predstavlja podjetja, katerih izdelkom ne moremo zaupati. Hualan ima hčerinsko podjetje Initio, ki je na tem seznamu ni. Initio proizvaja mikrokrmilnike, ki jih uporabljali proizvajalci diskov in drugih pomnilniških naprav, ki podpirajo strojno šifriranje podatkov. Njihove čipe so na primer uporabljali tudi Lenovo, Western Digital, Verbatim, Zalman, iStorage, SecureDrive in Poway. Podjetje iStorage ima med svojimi strankami tudi...

16 komentarjev

BlackLotus Microsoftu povzroča veliko dela

Microsoft - Pri Microsoftu so lansirali popravek, ki onemogoča, da bi zlobna koda BlackLotus obšla sistem Secure Boot in se prikrito namestila na računalnik še pred zagonom Windowsov. Toda postopno nameščanje na vse računalnike naj bi trajalo slabo leto, po tem pa na teh napravah starejši mediji za nameščanje Oken ne bodo več uporabni, če ne bodo tudi posodobljeni.

BlackLotus je zbirka orodij, ki skozi zlorabo ranljivosti v strojni kodi UEFI omogoča nameščanje rootkitov, se pravi programja za prevzem nadzora nad računalnikom (UEFI bootkit). Varnostni strokovnjaki so ga prvič zaznali lansko jesen, od tedaj pa poteka napeta tekma z zlikovci v iskanju protistrupov. Razvijalci BlackLotusa so namreč zelo aktivni in ga stalno nadgrajujejo; v tem pogledu pa je predvsem pomembno, da je marca postal prvi javni UEFI malware, ki je zmožen zaobiti tudi Secure Boot, torej sistem, ki s pomočjo vezja Trusted Platform Module (TPM) načeloma preprečuje, da bi naprava ob zagonu pognala nepodpisano kodo. Sedaj...

4 komentarji

Napadalci ukradli podpisne ključe MSI, prizadet tudi Intel Boot Guard

Slo-Tech - Marca letos so člani hekerske skupine Money Message napadli proizvajalca strojne opreme MSI. Po lastnih navedbah so odtujili 1,5 TB podatkov, med katerimi so tudi izvorna koda in podpisni ključi. Od podjetja so zahtevali štiri milijone dolarjev odkupnine, a ker je niso prejeli, so začeli javno objavljati ukradene podatke. MSI javno ni komentiral dogajanja, a to ni omililo posledic.

Med pobeglimi datotekami je tudi izvorna koda firmwara, ki teče na MSI-jevih matičnih ploščah, ter podpisni ključi za 57 njihovih izdelkov ter podpisni ključi za Intel Boot Guard na 116 izdelkih MSI. Intel Boo Guard je varnostna funkcija, ki v modernih sistemih z Intelovimi procesorji preprečuje zaganjanje zlonamerne programske opreme (npr. UEFI bootkit), ki ni podpisana. Njena uporaba je na primer potrebna za Windows UEFI Secure Boot. S pobeglimi ključi, katerih izdajanje je v pristojnosti proizvajalca strojne opreme in ne Intela, se efektivnost tega sistema izniči. Napadalci lahko zlonamerno kodo...

29 komentarjev

AJPES pozabil podaljšati certifikat

Slo-Tech - Če ste se danes napotili na spletne strani AJPES-a (Agencije Republike Slovenije za javnopravne evidence in storitve), ste obtičali pred opozorilom, da vas skuša nekdo pretentati. Chrome vas opozori, da morda napadalci skušajo ukrasti vaše podatke, Firefox pa, da gre za nevarno stran, ki se ji raje izognimo. V resnici je AJPES-u včeraj zvečer potekel certifikat SSL, ki je bil izdan 25. aprila lani. In AJPES ga ni pravočasno podaljšal.

Tovrstni spodrsljaji so se v preteklosti že dogajali, tudi večjim. Microsoft je na primer leta 2020 pozabil podaljšati certifikat za Teams, ki je bil potem nekaj ur nedosegljiv. V daljni prazgodovini, leta 2008, je to uspelo tudi Googlu. Leta 2015 je za nekaj ur padel Instagram. Tej druščini uglednih strani, ki so pozabile podaljšati certifikat, se je sedaj pridružil še AJPES.

41 komentarjev

AMD-jev fTPM se zlomi v treh urah

Slo-Tech - Raziskovalci s Tehniške univerze v Berlinu so pokazali, da je v AMD-jevi implementaciji fTPM (firmware Trusted Platform Module) ranljivost, ki omogoča uspešen napad v vsega nekaj urah. Če imamo lokalni dostop do računalnika, torej ga imamo fizično pod nadzorom, lahko v treh urah zlomimo fTPM in s tem dostopamo do podatkov, ki so šifrirani izključno z uporabo funkcij v fTPM - tak primer je na primer BitLocker, če ne vključimo dodatnega PIN-a.

Za napad je zadostovala oprema, ki stane približno 200 evrov. Ranljivosti so AMD-jevih procesorjih Zen 2 in Zen 3, in sicer v Platform Security Processor (PSP). Za zdaj ni jasno, ali je novi Zen 4 tudi ranljiv, saj tega v članku niso omenjali. Starejši procesorji uporabljajo drugačno implementacijo fTPM. Kako je napad možno izvesti, si lahko pogledamo z analizo delujoče kode, ki so jo raziskovalci objavili na Githubu.

AMD je v odzivu dejal, da so z ranljivostjo seznanjeni. Prvikrat je bila predstavljena že predlani na konferenci ACM CCS, ko...

12 komentarjev

Izdal tajne dokumente, nato ga je izdal račun na Steamu

Slo-Tech - Zadnji teden so se vse ameriške obveščevalne službe in preiskovalci ukvarjali z vprašanjem, kdo je na splet postavil tajne vojaške dokumente, v katerih so bili tudi številni podatki o vojni v Ukrajini, pa o Kitajski, Rusiji, Bližnjem vzhodu itd. Sedaj je FBI kot glavnega osumljenca izpostavil 21-letnega Jacka Teixeiro, ki je del obveščevalne službe v Massachusetts Air National Guard. Teixeira je že pridržan.

Na priljubljeni platformi Discord, ki se je začela uporabljati med igralci igri, a je danes bistveno več, ima Teixeira svoj strežnik Thug Shaker Central. Ta je imel 20-30 rednih uporabnikov, ki so jih zanimali orožje in videoigre. Večinoma je šlo za najstnike ali mlade odrasle. Na tem strežniku naj bi bili dokumenti dostopni že več mesecev (vsaj od oktobra), tam pa jih je objavil prav Teixeira. Šlo je za več sto strani poročil obveščevalne službe, ki jih je Teixeira fotografiral in objavil, ker je bilo to lažje od prepisovanja, kar je počel spočetka. A šele ko je pred dnevi...

88 komentarjev

Twitter šele po treh mesecih opazil pobeglo izvorno kodo

Slo-Tech - Uporabnik Githuba z vzdevkom FreeSpeechEnthusiast se je strani pridružil 3. januarja letos in že isti dan nanj priobčil kodo, ki je na spletu neopazno ždela do minulega tedna. V petek pa je Twitter na Github postal zahtevek za umik vsebine po DMCA (Digital Millennium Copyright Act), češ da krši avtorske pravice. Hkrati je zahteval vse identifikacijske podatke o uporabniku, vključno z naslovom IP, zgodovino rabe in kakršnimikoli kontaktnimi podatki. Objavljena je bila namreč izvorna koda, ki poganja del Twitterja.

Vsak tako trdi Twitter, čemur ustrezajo tudi ostali indici. Ime FreeSpeechEnthusiast je neprikrito norčevanje iz Muskovih zaobljub, da je absolutist svobode govore. Kaže, da je uporabnik eden izmed več kot 5000 nekdanjih zaposlenih, ki jih je Musk odpustil kmalu po prevzemu podjetja. Večina izmed njih sicer ni imela dostopa do izvorne kode, kar lahko precej zoži lov na krivca. Ob tem omenimo, da je sicer Musk pred dvema tednoma govoril, da bo odprl kodo, ki izbira...

13 komentarjev

Ključki USB, ki eksplodirajo

Slo-Tech - Marsikaj smo že videli z USB-ključki, ki še zdaleč niso le neškodljivi nosilci podatkov. Z njimi so v preteklosti okužili iranske jedrske centrifuge, z njimi so vdirali v računalniške sisteme in jih z električnim udarom tudi dobesedno uničevali. Novi koncept pa so eksplozivni ključki, s katerimi so v Ekvadorju napadli novinarje. Petim novinarjem so po pošti poslali USB-ključke, ki so skrivali eksploziv RDX. Ob vstavitvi v računalnik je bilo 5 V napetosti dovolj za sprožitev.

Med prejemniki je bil tudi Lenin Artieda s televizijske postaje Ecuavisa v Guayaquilu, ki je v kuverti prejel neznani USB-ključek. Ko ga je vstavil v svoj računalnik, je ključek razneslo, pri čemer je bil novinar laže poškodovan po obrazu in rokah. RDX je dobavljiv v 1 cm velikih kapsulah, a se je v konkretnem primeru sprožila le polovica eksploziva. Kasneje se je izkazalo, da so še štirje novinarji prejeli podobne eksplozivne USB-ključke, a vsi niso eksplodirali. Álvaro Rosero na radijski postaji EXA ga je...

39 komentarjev

Ranljivost v čipih Exynos prizadela več pametnih telefonov

Google Project Zero - V pametnih telefonih, ki uporabljajo Samsungove čipe Exynos, so Googlovi raziskovalci v okviru Project Zero odkrili hude varnostne ranljivosti. Napadalcem za izrabo zadostuje poznavanje telefonske številke uporabnika, ki mu ni treba obiskati nobene spletne strani ali odpreti kakšnega sporočila. Delni popravki so že na voljo, a še niso dosegli vseh naprav. V vmesnem času zato svetujejo izkop VoLTE in VoWiFi.

Ranljivi so čipi Exynos Modem 5123, Exynos Modem 5300, Exynos 980, Exynos 1080, Exynos Auto T512, ki najdemo v Samsungovih pametnih telefonih in urah, pa tudi marsikod drugod. Exynos Auto T512 imajo številna vozila s podporo za posodobitve OTA, Exynosi pa poganjajo tudi telefona Pixel 6 in 7. V vseh teh je vrsta povezanih ranljivosti, med katerimi so štiri resne. Ena je že dobila oznako CVE-2023-24033, druge tri pa še ne. Ker jih je možno izkoristiti sorazmerno enostavno, tehničnih podrobnosti niso razkrili.

Skupno so torej prizadete Samsungove naprave S22, M33, M13, M12, A71,...

21 komentarjev

Slovenskim državnim uradnikom odsvetovali uporabo TikToka

Slo-Tech - Tudi Slovenija se je pridružila državam, v katerim so državnim uradnikom bodisi prepovedali bodisi zgolj odsvetovali uporabo TikToka. Urad vlade za informacijsko varnost (URSIV) je vsem organom v državni upravi poslal dopis, v katerem so uporabo aplikacije na službenih napravah odsvetovali. To je prvi korak in še ne predstavlja prepovedi, temveč zgolj varnostno priporočilo. Podoben ukrep so že sprejele Evropska komisija, pa tudi ZDA in Kanada.

Za to potezo so se odločili na podlagi analiz več organizacij, ki se ukvarjajo z računalniško varnostjo. Opozarjajo, da aplikacija za uporabo zahteva veliko pravic za dostop do virov na mobilni napravi. Lastnik programa je podjetje ByteDance, v katerem so zaposleni v preteklosti že dostopali tudi do uporabniških podatkov. Hkrati lahko prek TikToka poteka manipulacija in krojenje javnega mnenja, prav tako pa lahko uporabnikom reklamirajo škodljiva spletna mesta in programe ter jih preusmerjajo nanje.

V ZDA so TikToku skorajda prepovedali...

45 komentarjev

Nemčija kani prepovedati Huaweijevo opremo v infrastrukturi za 5G

Slo-Tech - Sklicujoč se na neuradne vire, nemški Die Zeit poroča, da namerava zvezna vlada prepovedati uporabo določene Huaweijeve in ZTE-jeve telekomunikacijske opreme pri gradnji mobilnih omrežij pete generacije (5G). Po neuradnih informacijah bo zvezna vlada operaterjev prepovedala vgrajevati in uporabljati krmilne elemente iz Huaweija in ZTE-ja v omrežjih 5G. Prepoved bo vključevala tudi opremo, ki je že postavljena, zato bo treba v njej nekatere komponente zamenjati. Deutsche Telekom ima v svojem omrežju že Huaweijeve komponente. Po drugi strani sta ZDA in Velika Britanija že pred časom popolnoma prepovedali Huaweijevo opremo v kritični infrastrukturi za 5G.

Že več mesecev BSI (Bundesamt für Sicherheit in der Informationstechnik) in notranje ministrstvo preiskujeta, ali je v opremi za 5G moč najti tudi dele, ki bi lahko ogrozili nemško varnost. Pojavlja se bojazen, da so kitajski dobavitelji povezani s tamkajšnjimi oblastmi, ki bi lahko vplivale nanje. Uradnih izsledkov preiskave še ni....

47 komentarjev

Kaj se je dogajalo v decembrskem vdoru v LastPass

Slo-Tech - LastPass je objavil dodatne informacije o vdoru v svoje sisteme, ki so ga prvikrat potrdili decembra lani in se je z vsakim dodatnim razkritjem izkazal za še bolj problematičnega. Vektor za napad je bila ranljivost v programski opremi, ki jo je na domači računalnik namestil eden izmed razvijalcev (DevOps), s čimer so napadalci prišli do prijavnih podatkov za njegov službeni račun.

Prizadeti razvijalec je imel na svojem računalniku v profilu LastPass prijavne podatke za šifrirane podatke na strežnikih Amazon S3, ki so zaščiteni z AWS S3-SSE, AWS S3-KMS ali AWS S3-SSE-C. Za dostop je bilo treba spričo delujoče MFA pridobiti dostopne ključe AES in LastPassove šifrirane ključe. Žal pa je razvijalec na svoj računalnik namestil programsko opremo Plex z varnostno ranljivostjo, prek katere so napadalci na njegov računalnik podtaknili program za beleženje vnosov (keylogger). S tem so napadalci dobili njegovo geslo za dostop in tudi kodo za odprtje njegovega LastPassovega profila, v katerem...

11 komentarjev

Uradnikom Evropske komisije zapovedana odstranitev TikToka

Politico - Evropska komisija in Svet Evrope sta prejšnji teden vsem svojim uslužbencem naložila, da morajo s službenih telefonov v roku dveh tednov odstraniti aplikacijo družbenega omrežja TikTok. Odločitev sledi podobnim ukrepom v ZDA.

Prejšnji četrtek zjutraj so uslužbenci urada Evropske komisije prejeli elektronsko pošto z navodili, naj najkasneje do 15. marca s svojih službenih telefonov odstranijo TikTok. Prav tako ga morajo odstraniti z osebnih naprav, na katerih imajo nameščene službene aplikacije, ali pa odstraniti te aplikacije, če želijo TikTok obdržati. Po roku bodo namreč vse naprave s TikTokom označene kot neprimerne za službeno rabo, oziroma v nasprotju s pravilnikom urada Komisije. Gre sicer za širše osebje Komisije, ki šteje okoli 32.000 ljudi. Pozneje isti dan je enak ukaz svoji, približno 3100-glavi ekipi, dal tudi Svet Evrope. Tiskovni predstavniki EK so povedali, da želijo z ukrepom zaščititi svoje uslužbence, preprečiti pobege podatkov in zmanjšati možnost kibernetskih...

76 komentarjev

GoDaddy več let tarča hekerjev

Slo-Tech - GoDaddy, ki je z 21 milijoni strank in letnim prometom štiri milijarde dolarjev eden največjih registrarjev domen in ponudnikov gostovanja, je včeraj razkril, da so imeli hekerji več let dostop do njegovih sistemov. V tem času so odtujili izvorno kodo, podatke o uporabnikih, prijavne podatke zaposlenih in na spletne strani strank podtikali zlonamerno programsko opremo (malware). V poročilu SEC so pojasnili, da prvi vdori segajo v leto 2020 in da so trajali vse do danes. Preiskava še poteka, so dodali.

Zadnji vdor se je zgodil decembra 2022, ko so hekerji vdrli v cPanel. V GoDaddyju so zapisali, da za vdori stoji organizirana skupina, ki je izvajala phishing, širjenje malwara in podobno. Celotno poročilo se bere kot seznam nepooblaščenih dostopov, med katerimi so dostop do računov zaposlenih marca 2020, dostop do izvorne kode novembra 2021, dostop do prijavnih podatkov strank, dostop do FTP-strežnikov, kraja 1,2 milijona elektronskih naslovov strank itd. Malomarnost pri GoDaddy pa...

0 komentarjev

Razkrita skupina, ki se je z različnimi digitalnimi tehnikami vmešavala v volitve po vsem svetu

theguardian.com - Mednarodni konzorcij raziskovalnih novinarjev je razkril najemniško izraelsko tajno združbo, poznano kot Team Jorge, ki je uporabljala številne prijeme iz kiberkriminala, med drugim vdore v uporabniške račune in omrežja botov, da se je lotevala akterjev na različnih koncih sveta, zvečine v povezavi z volitvami.

Izrael se zadnja leta otepa obtožb, da premalo napravi za nadzor lokalnih zasebnikov, ki ponujajo razne vohunske storitve in pri tem hodijo pošteno prek roba zakona; seveda v prvi vrsti spričo firme NSO Group in njihovega razvpitega programja Pegasus. Najnovejše odkritje tamkajšnje varnostne sile postavlja v novo nerodno situacijo, kajti obširna ekipa preiskovalnih novinarjev je razkrila novo združbo, ki je za denar izvajala dejavnosti vohunjenja, dezinformiranja in tudi izsiljevanja. Na njenem čelu je Izraelec Tal Hanan, z vzdevkom Jorge, ki so ga novinarji pod pretvezo poslovnega sodelovanja pripravili, da je na več ur trajajočih video posnetkih razkril marsikatero...

56 komentarjev

V Veliki Britaniji odsvetovali uporabo TikToka

Slo-Tech - Vodja odbora za zunanje zadeve v britanskem parlamentu Alicia Kearns je prebivalcem Velike Britanije odsvetovala uporabo aplikacije TikTok zaradi pomislekov o varnosti aplikacije. Kitajski TikTok je pod lupo regulatorjev po vsem svetu, marsikod pa so njegovo uporabo vsaj javnim uslužbencem že prepovedali. Na Nizozemskem na primer javni sektor ne sme več uporabljati TikToka, ker ni primerno poskrbljeno za varovanje podatkov in zasebnosti. Še bistveno širšo omejitev ima javni sektor v ZDA, kjer niso prepovedali le komunikacije, temveč kar namestitev aplikacije.

Razlogi so povsod enaki. Aplikacija je kljub izjemni priljubljenosti - ali pa prav zato - nepreverjena. Kitajski lastnik ByteDance ima po mnenju zahodnih držav pretesne odnose s kitajsko državo, s katero naj bi delil podatke. V ZDA so pod prejšnjo administracijo skušali TikTok kar prepovedati, a so se potem odločili za zapleteni kompromis. Kitajski TikTok marsikod štejejo kot orodje za vohunjenje, kar je v zadnjem času spet...

24 komentarjev

Volkswagen vpoklical 21.000 električnih ID.4 zaradi progamskega hrošča

Slo-Tech - Volkswagen je sporočil, da morajo vpoklicati na več kot 20.000 električnih vozil ID.4 (MY2021 ID.4) zaradi programskih napak. Odkrili so težavo v modulu za upravljanje baterij (battery management) in na modulu za nadzor pulznega inverterja. Ugotovili so, da je programska oprema za baterijski modul preveč občutljiva in se lahko v nekaterih primerih samodejno resetira, medtem ko se inverter lahko nepričakovano izključi. Gre za vozila, ki so bila proizvedena med majem 2020 in januarjem 2022, medtem ko imajo novejša hrošča že odpravljena.

Že julija 2021 je Volkswagen iz Evrope dobil prva poročila o težavah s programsko opremo na baterijah in že septembra so ugotovili, da ne predstavljajo nevarnosti za kupce. Januarja 2022 so izvedeli še, da ima težave tudi inverter. Kasneje so ugotovili, da se napaka pojavlja tudi med uporabo v realnih razmerah. Pri resetu baterijskega sistema vozilo sicer ne izgubi možnosti krmiljenja ali zaviranja, prehodno pa izgubi moč. Podobno tudi izklop...

70 komentarjev

Tri leta stari macbooki pro gredo za staro železo

Slo-Tech - Applove naprave imajo varnostne mehanizme, ki odvračajo tatove in preprečujejo nepooblaščen dostop do podatkov, a močno ovirajo trg z rabljeno strojno opremo. Že dve leti stari macbooki s čipom M1 se prodajajo le še za staro železo, ker jih zaradi zaklepa ni nikakor možno zagnati, če nekdanji lastniki ne sodelujejo, piše Vice.

Zamisel ni povsem nova, predvsem pa se sliši uporabno. Začelo se je s čipom T2 leta 2018, ki je preprečeval prijavo v napravo vsakomur, ki ni bil zakoniti lastnik. Minili so namreč časi, ko je bilo možno napravo ponastaviti in formatirati, pa jo je lahko uporabljal kdorkoli. Že nekaj let se ne splača krasti iphonov in ipadov, ker jih lahko lastniki onesposobijo na daljavo in takšna naprava bo uporabna le še kot podstavek. Novi čipi M1 in M2, ki jih najdemo v macbookih, so za zdaj še nezlomljivi. Medtem ko za T2 obstaja neuradni trg načinov za odklep, z M1 to ne gre. Četudi bi to uspeli, je taka naprava shekana, ki bi se ob vsaki ponastavitvi ponovno...

70 komentarjev

Na internetu dostopen seznam ljudi s prepovedjo letenja

Slo-Tech - Na seznamu ljudi, ki jim je prepovedano vkrcavanje na letala (no fly list), je vsaj 1,5 milijona oseb, med njimi tudi otroci. Na nezavarovanem strežniku ameriškega regionalnega prevoznika CommuteAir je bila namreč dostopna kopija tega seznama, kar je odkrila švicarska hekerka maia arson crimew. V letalski družbi so pristnost seznama potrdili, a dodali, da gre za staro kopijo.

Seznam ljudi, ki ne smejo leteti, so v ZDA ustanovili že pred napadi 11. septembra, je vseboval vsega 16 ljudi, ki so predstavljali točno določena tveganja. Po napadih 11. septembra so seznam bistveno razširili in formalizirali. Na originalnem seznamu ostajajo ljudje, ki ne morejo leteti, vzpostavili pa so še pomožni seznam ljudi, ki jih morajo na letališčih bistveno podrobneje pregledati. Sprva sta FBI in Agencija za varnost prometa (TSA) zanikala, da taka seznama obstajata, po letu 2004 pa je to postalo javno znano. A nihče ni zares vedel, koliko ljudi je na seznamu. Leta 2006 je na primer TSA po izgubljeni...

2 komentarja

Na spletu se je znašlo več kot dvesto milijonov elektronskih naslovov uporabnikov Twitterja

Slo-Tech - Na hekerskem forumu Breached je za prgišče dolarjev na voljo 60 GB velika datoteka s približno 220 milijoni elektronskih naslovov in pridruženih uporabniških računov s Twitterja. Vse kaže, da gre zgolj za pregledano različico starejše baze takšnih podatkov, ki so s platforme pobegnili že predlani.

Twitter je imel odmevnejše šibkosti v svoji kibernetski obrambi že mnogo pred aktualnimi kolobocijami okoli Elona Muska. Ena od vidnejših ranljivosti je tista iz leta 2021, ko je bilo mogoče skozi Twitterjev API s preprostim preizkušanjem dognati, ali sta določen elektronski naslov in telefonska številka povezana s katerim od uporabniških računov. Inženirji so ranljivost zakrpali lanskega januarja, toda nepridipravi so z navskrižnim primerjanjem tako pridobljenih podatkov in pa javno dostopnih, ki jih je bilo mogoče postrgati z družbenega omrežja, do takrat že sestavili več baz podatkov. Te so nato za različne vsote prodajali na temnem spletu, dokler se niso po pravilu sčasoma na forumih...

0 komentarjev

Med vdorom v LastPass in katastrofo le kakovost glavnih gesel uporabnikov

Slo-Tech - Varnostna skupnost je do zadnjih navedb in izjav za javnost, ki jih je LastPass z večmesečno zamudo posredoval po avgustovskem vdoru v njihovo storitev, izjemno kritična. Medtem ko podjetje trdi, da se uporabniki nimajo česa bati, če so le uporabljali primerne varnostne nastavitve, je resnica manj prijetna.

Wladimir Palant pojasnjuje, da so LastPassove navedbe zavajajoče in da dajejo uporabnikov neupravičeni občutek varnosti. Vdor je bil izjemno resen in je segal v avgust, ko ni bil primerno razrešen, zato je napadalcem omogočil dostop do dodatnih podatkov. Prav tako to ni bil prvi vdor v zadnjih letih. Čeprav LastPass trdi, da so uporabniški podatki varni, ker so šifrirani - pa še to drži le za gesla - to velja le do trenutka, ko napadalci uganejo glavno geslo (master password). LastPass je sicer v zadnjih letih zahteval, da ima geslo vsaj 12 znakov, a kdor starejša gesla odtlej ni spremenil, je lahko obdržal staro geslo, četudi ni ustrezalo tem pogojem. Tudi število iteracij...

26 komentarjev

Zloraba dispečerskega sistema za taksije Američanoma nanesla milijone dolarjev

Slo-Tech - Ameriški organi pregona so aretirali dvojico, ki je s pomočjo ruskih hekerjev vdrla v elektronski sistem za organizacijo taksi prevozov na newyorškem letališču JFK in v zameno za podkupnine taksistom omogočala prednostne vožnje.

Med klasično bero izsiljevalskih in DDoS napadov, pa kraj kriptovalut in podatkov, še vedno najdemo tudi bolj samosvoje, starošolske zlorabe vdorov v IT sisteme. Eno takšnih so pred dnevi opisali ameriški preiskovalci, ki so ujeli dvojico možakarjev iz newyorškega Queensa, ki je zlorabila dispečerski sistem taksi službe na bližnjem letališču JFK. Ker gre za enega največjih letališč na svetu, z nepregledno množico potnikov, taksi prevoze tamkaj ureja elektronski sistem, ki taksiste s čakalnega seznama avtomatsko dodeljuje strankam, s čimer skuša zagotoviti pošteno razporeditev voženj. Daniel Abayev in Peter Leyman sta se ga nakanila zlorabiti na način, da sta v zameno za plačilo 10 dolarjev po vožnji taksistom omogočila skok na začetek čakalne vrste. V dveh...

10 komentarjev

Severnokorejski hekerji v zadnjih petih letih ukradli milijardo evrov

Slo-Tech - Po podatkih južnokorejske obveščevalne agencije (NIS) so hekerji iz Severne Koreje od let 2017 ukradli za 1,5 bilijona vonov (1,1 milijarde evrov) kriptovalut in podobnih digitalnih dobrin, poroča Associated Press. Več kot polovico so nabrali v zadnjem letu, ko so bili še posebej grabežljivi.

S temi sredstvi severnokorejski hekerji, ki delujejo po naročilu oblasti, zagotavljajo potrebne devize za financiranje jedrskega programa, trdi NIS. Zaradi visoke specializacije so severnokorejski hekerji v tem početju najboljši na svetu, sankcije proti državi iz leta 2017 in pandemija covida pa sta še okrepila njihov pomen. Kriptovalute in druge digitalne dobrine kradejo po vsem svetu, le približno osmino od južne sosede. Pri tem ne gre toliko za informacije, čeprav se pričakuje povečanje kraje tehnologije in zaupnih informacij v prihodnjem letu, kot večinoma za pridobivanje denarnih sredstev.

Severnokorejski hekerji predstavljajo čedalje večji problem. ZDA, Južna Koreja in Japonska so se v...

9 komentarjev

Facebook in Google nista več vladarja oglasnega prostora

Financial Times - Prvikrat po letu 2014 se je zgodilo, da je skupni tržni delež Googla in Facebook pri prodaji digitalnega oglasnega prostora v ZDA padel pod polovico. Letos se bo zadnjih izračunih znižal za 2,5 odstotne točke na 48,4 odstotka, s čimer se vsaj simbolično končuje njuna absolutna prevlada. Duopol, ki je na vrhuncu leta 2017 obvladoval 55 odstotkov oglasnega prostora, uspešno razbijajo Amazon, Apple, Microsoft in TikTok. Pričakujejo, da se bo trend nadaljeval, saj naj bi v prihodnjem letu vodilna izgubila še eno odstotno točko.

Tudi na globalni ravni so treni podobni, saj je letos delež Facebooka in Googla padel na 49,5 odstotka. Medtem ko njun skupni delež pada zadnjih pet let, Google že celo desetletje stopiclja na mestu in v zadnjih letih izgublja. Za prvi večji pretres je poskrbel Amazon leta 2016, ko se je podal na ta trg. Manj kot milijarda prihodkov iz oglaševanja pred letom 2015 se je napihnila na trenutnih 38 milijard dolarjev. Amazon Ads je pomemben igralec. Prav tedaj so se...

19 komentarjev

LastPassu avgusta ukradli šifrirana gesla uporabnikov

Slo-Tech - Ko so hekerji avgusta letos vdrli v LastPass, je podjetje v uradnem sporočilu zatrjevalo, da so odnesli le nekaj izvorne kode in tehničnih informacij. Podatki uporabnikov, tako osebni podatki kakor njihova gesla, naj bi bili varni. A izkazalo se je, da to ne drži. LastPass, ki sodi med najpopularnejše upravljavce gesel, priznava, da so hekerji odnesli tudi osebne podatke z metapodatki, kamor sodijo imena, naslovi, elektronski naslovi, telefonske številke in IP-naslovi zadnjih prijav. Najbolj zaskrbljujoče pa je, da so skopirali tudi podatkovni trezor z gesli, v katerem so bili nešifrirani podatki (na primer domene spletnih strani) in šifrirani podatki (uporabniška imena, gesla, varni zapiski, predizpolnjena polja).

Ti podatki so bili zaščiteni, zagotavljajo pri LastPassu. Šifrirani so bili z 256-bitnim ključem z algoritmom AES, dešifrirati pa jih je možno le ob poznavanju glavnega gesla vsakega uporabnika. Tega podatka LastPass ne pozna in ne more shranjevati, zato naj bi bili...

35 komentarjev

Corsairjeve tipkovnice tedne pozneje reproducirajo uporabnikove vnose

Slo-Tech - Lastniki Corsairjevih tipkovnic K100, ki sodijo v višji cenovni razred, poročajo o bizarnem hrošču, ki je marsikoga nemalo prestrašil. Tipkovnice občasno začno same vnašati besedilo, ki je enako kot pred dnevi ali tedni vneseno besedilo. Hrošča, ki zbuja nelagodne očitke o beleženju vnosov (keylogging), je Corsair potrdil.

Razumeli bi, da se lahko kakšen kos elektronike zmede in začne pošiljati nenavadne signale, denimo tipkovnica naključne vnose. Običajno takšen zaplet reši izklop in ponoven vklop. Precej manj pa je razumljivo, ko začne tipkovnica vnašati besedila, ki jih je uporabnik vtipkal pred dnevi ali tedni. Kako neki si jih je zapomnila, je v resnici glavno vprašanje. So uporabniki staknili kakšno prisluškovalno programsko opremo ali pa ima kar Corsairjeva oprema takšne funkcionalnosti? To se je namreč dogajalo na različnih operacijskih sistemih in celo v varnem načinu, ko operacijski sistem teče z minimalnimi gonilniki (in gotovo brez posebnih gonilnikov ali programske...

10 komentarjev

V ZDA bodo zveznim uslužbencem prepovedali TikTok

Slo-Tech - V ZDA se čedalje glasneje govori o prepovedi družbenega omrežja TikTok, ker so oblasti sumničave do kitajskih avtorjev in upravljavcev. Za zdaj ga bodo najverjetneje prepovedali na vseh mobilnih telefonih v lasti zveznih oblasti, saj je tak zakon v zgornjem domu že dobil zadostno podporo.

Zamisel ni nova, saj je TikTok želel prepovedati že prejšnji predsednik. Kasneje je ameriški del TikToka prešel pod ameriško podjetje, Oracle pa je podjetje skoraj kupil, a je posel blokiralo sodišče. Zato ni presenetljivo, da se nadaljujejo poizkusi obrzdati TikTok. Obe največji ameriški stranki namreč podpirata zakon, ki bi prepovedal uporabo TikToka na službenih telefonih, ki jih imajo v uporabi uslužbenci zvezne vlade. Senat je zakon že potrdil, prihodnji teden pa ga mora potrditi še predstavniški dom. To se mora zgoditi, preden se konča trenutno obdobje, sicer bo romal v koš. Podoben zakon so predlagali že leta 2020, lani pa so ga oživili.

Že sedaj je TikTok prepovedan v posameznih delih...

17 komentarjev

LastPass ponovno napaden, odtujeni osebni podatki, a ne gesla

LastPass - Priljubljeni urejevalnik gesel LastPass je ob avgustovskem vdoru trdil, da so hekerji odnesli le nekaj izvorne kode in tehničnih podatkov o delovanju storitve, uporabniški podatki pa naj bi bili ostali nedotaknjeni. Izkazalo se je, da to ne drži popolnoma, saj so s tedaj ukradenimi podatki sedaj pridobili tudi nekaj podatkov o uporabnikih. Zabeležili so nekaj nenavadnih aktivnosti v zunanji storitvi za shranjevanje podatkov v oblaku, s katero sodelujejo. Za preiskavo so najeli podjetje Mandiant.

Še vedno zagotavljajo, da gesla niso bila prizadeta in da so varno šifrirana. Zapisali pa so, da incident preiskujejo in da bodo v nadaljevanju ugotovili, kateri uporabniški podatki so bili izpostavljeni. To je torej že drugi vdor v LastPass v letu dni. Prvi se je zgodil avgusta, hekerji pa so imeli tedaj dostop do strežnikov štiri dni, preden so posledice odpravili. Že v minulih letih je bilo podjetje tarča več vdorov. To so vsekakor neprijetne novice za podjetje, ki ima več kot 33...

38 komentarjev

V ZDA prepovedali prodajo Huaweijeve opreme

Reuters - Ameriška administracija nadaljuje boj proti Huaweiju in ostalim kitajskim proizvajalcem telekomunikacijske opreme, ki se je začel že v času prejšnje administracije. V petek je Zvezna komisija za telekomunikacija (FCC) prepovedala odobritve nove telekomunikacijske opreme proizvajalcev Huawei in ZTE ter uvoz opreme podjetij Dahua, Hangzhou Hikvision in Hytera, ki proizvajajo programsko opremo za videonadzor ali telekomunikacije. Omenjena oprema predstavlja nesprejemljivo tveganje za nacionalno varnost, je sporočil FCC.

Predsednica FCC Jessica Rosenworcel je dejala, da novi ukrepi, ki dejansko onemogočajo prodajo izdelkov teh proizvajalcev v ZDA, ščitijo Američane pred grožnjami za varnost. Odbor FCC, v katerem sta po dva republikanska in dva demokratska predstavnika, je odločitev sprejela enoglasno. S tem se nadaljuje stopnjevanje sankcij, ki traja že od leta 2019, ko so pet kitajskih proizvajalcev telekomunikacijske opreme uvrstili na seznam groženj za nacionalno varnost.

Podjetja...

37 komentarjev

Ruska koda leta v aplikacijah ameriških državnih organov

Slo-Tech - Pushwoosh je podjetje, ki razvija kodo za uporabo v aplikacijah za pametne telefone. Deluje podobno, kot drobci Facebookove, Googlove ali Amazonove kode, in sicer zbira osebne podatke. Kodo najdemo v več kot 8000 aplikacijah na Googlovi in Applovi platformi, vključno z aplikacijami Centra za nadzor nalezljivih bolezni (CDC), ameriške vojske, UEFE in britanskih laburistov.

Uporabljanje kosov kode zunanjih proizvajalcev pri razvoju aplikacij ni nič nenavadnega, saj se tako pospeši in poceni razvoj. Med tovrstne ponudnike sodi tudi Pushwoosh, ki pa je registriran v Rusiji. Čeprav imajo strežnike v ZDA in Nemčiji, kjer shranjujejo zbrane podatke, so vendarle rusko podjetje s sedežem v Novosibirsku. Tega niso nikoli zares skrivali, a ker tega tudi niso obešali na veliki zvon, je večina uporabnikov kode to spregledala. Ruskih vezi niso ravno tajili, a jih tudi navajali niso.

Pushwoosh ni veliko podjetje, saj ima 40 zaposlenih in letni promet okoli 2,5 milijona evrov. A ker ima sedež v...

25 komentarjev

Zgolj zadnje verzije Applovih operacijskih sistemov so polno varnostno posodabljane

Apple - Pri Applu so posodobili uradno razlago nadgrajevanja svojih operacijskih sistemov, v kateri so prvič pojasnili, da vse poznane varnostne popravke prejmejo zgolj zadnje inačice programja, starejše pa ne nujno.

Varnostni strokovnjaki že nekaj časa opozarjajo, da starejše različice Applovih operacijskih sistemov macOS in iOS v nekaterih primerih utrpijo napade skozi varnostne luknje, ki so bile na aktualnih verzijah sistemov že zdavnaj pokrpane. Iz tega je bilo mogoče sklepati, da popravki na starejše programje prispejo z zamikom ali pa sploh ne. Pred dnevi so v Cupertinu izdali nov dokument z razlago svoje terminologije nadgrajevanja, v katerem lahko denimo preberemo, da "upgrade" pomeni preskok na novo veliko različico, na primer z macOS 12 na 13, "update" pa pomeni vzdrževalni popravek. Pedantnežem in varnostnim strokovnjakom pa je obrvi privzdignila omemba, da "zgolj za zadnje različice operacijskih sistemov zagotavljajo vse varnostne popravke" - s čimer gre za prvo uradno...

10 komentarjev

Hekerski vdor v Binance odnesel pol milijarde

Slo-Tech - Včeraj zjutraj je ena največjih svetovnih kriptomenjalnic Binance sporočila, da je bila tarča hekerskega vdora, v katerem so nepridipravi odtujili večjo količino kriptovalut. Sprva se je govorilo o 100-110 milijonih dolarjev, do danes pa je bila ocena popravljena na 570 milijonov dolarjev.

Ukradli so žetone BNB. Napadalci so merili na most BSC Token Hub, ki je omogočal prenos BNB z ene verige blokov na drugo (BNB Beacon Chain (BEP2) in BNB Smart Chain (BEP20 ali BSC)), in tam preusmerili BNB z omrežja. Šlo je za dva milijona žetonov. Binance je zato potrjevalce transakcij (network validators) pozval k moratoriju na ustvarjanje novih blokov na BSC, medtem ko poteka intenzivna preiskava incidenta. Kasneje je izvršni direktor Changpeng Zhao komitente pomiril, da so njihova sredstva varna in da Binance nadaljuje normalno poslovanje.

Z vzpostavitvijo stika s 44 potrjevalci transkacij, ki so razpršeni po vsem svetu, so uspeli omejiti škodo. Večina sredstev je zamrznjenih v denarnici...

19 komentarjev

Napad na Twilio in LastPass je del širokopotezne kampanje ribarjenja

Group-IB - Za phishing napadi, ki so v zadnjih mesecih prizadeli vrsto predvsem ameriških podjetij, verjetno stoji en akter, ki je tako od marca letos napadel blizu 170 tarč.

V začetku avgusta so pri razvijalcu komunikacijskega programja Twilio razkrili, da so bili tarča premišljenega napada z ribarjenjem. V dnevih zatem se je javilo še več žrtev, med njimi Cloudflare, LastPass, DoorDash in ponudnik 2FA storitev Okta, medtem ko so pri Signalu opozorili, da so napadalci nakradene informacije hitro uporabili za poskus zlorabe okoli 1900 številk njihovih uporabnikov. Kmalu se je pokazalo, da je napad zasnovan na izkoriščanju slabosti v spletnih in telefonskih storitvah dvostopenjske avtentikacije (2FA), kakršne ponujata Okta in pa Twiliov oddelek Authy. Posledično so pri varnostni firmi Group-IB, kjer so sedaj napravili podroben povzetek metod zlikovcev, napadalno kampanjo poimenovali 0ktapus.

Postopek je šel približno takole: napadalci so najprej pridobili službene ali domače telefonske...

7 komentarjev

Hekerji ukradli del izvorne kode LastPassa

Slo-Tech - Upravljavci najpopularnejše aplikacije za urejanje gesel (password manager) so sporočili, da so bili tarča uspešnega hekerskega napada. Sicer napadalci niso odnesli gesel uporabnikov, so pa uspeli odtujiti del izvorne kode in nekaj tehničnih informacij o delovanju storitve.

Napad se je zgodil prek nepooblaščenega dostopa do uporabniškega računa enega izmed inženirjev. Omejen je bil na razvojno okolje, zato osebni podatki uporabnikov, vključno z glavnim geslom in shranjenimi gesli, niso bili prizadeti. Zaradi tega uporabnikom ni treba menjati gesel ali kako drugače ukrepati, so dodali.

LastPass ima trenutno 33 milijonov uporabnikov, od tega 100.000 poslovnih. Napad se je zgodil že pred dvema tednoma, informacije o njem pa so v javnost pricurljale minuli konec tedna. Zakaj so napad priznali šele sedaj, niso pojasnili. Prav tako še ni jasno, kako natančno so napadalci pridobili dostop.

To ni prvi vdor v LastPass. Zadnji napad se je zgodil lani.

86 komentarjev

Twitter zadela nova varnostna afera

Peiter 'Mudge' Zatko

vir: Washington Post
Washington Post - Znan nekdanji heker Peiter Zatko je družbo Twitter, kjer je bil dobro leto dni šef digitalne varnosti, obtožil vsesplošne malomarnosti pri vzdrževanju varnostnih standardov.

Silicijeva dolina letos ne pozna kislih kumaric, kajti izbruhnila je nova afera. The Washington Post in CNN sta se dokopala do prijave, ki jo je pred mesecem dni na ameriško Zvezno agencijo za trg vrednostnih papirjev (SEC) podal nekdanji vodja Twitterjevega oddelka za varnost, sicer pa legendarni varnostni strokovnjak Peiter 'Mudge' Zatko. V več kot 200 strani dolgem dokumentu, ki sta ga medija včeraj poobjavila v prirejeni, 84-stranski različici (povzetek), Zatko družbo Twitter obtožuje obupne varnostne kulture, oziroma vsesplošnega nespoštovanja varnostnih standardov. Med konkretnejšimi očitki so; da ima kar polovica od 7000 polno zaposlenih oseb dostop do zasebnih podatkov uporabnikov družbenega omrežja; da podjetje odkrito krši dogovor o varnostni kulturi, ki ga je leta 2010 sklenilo z Zvezno agencijo za...

10 komentarjev

Hyundai za šifriranje uporabil kar javno objavljen primer javnega in zasebnega ključa

Slo-Tech - Novi Hyundaijevi avtomobili imajo razvedrilno-informacijski sistem (infotainment vehicle system, IVI), ki se lahko tudi posodablja. Čeprav je zaščiten s šifrirnimi ključi, ki naj bi načeloma preprečevali nepooblaščene posege in posodobitve, je Hyundai uporabil kar javno dostopne zasebne ključe, ki so v internetni literaturi o šifriranju navedeni med primeri.

Eden izmed lastnikov modela Hyundai Ioniq SEL (2021) je želel zamenjati IVI. Ugotovil je, kako se povezati z računalnikom. Sistem je nastavljen tako, da sprejema nadgradnje v obliki z geslom zaščitene datoteke ZIP. Opis in geslo je našel na spletni strani Mobis, kar mu je omogočilo izdelavo primerno zaščitene datotek ZIP, ki jo sistem prepozna in samodejno namesti. Toda odtis operacijskega sistema (firmware image) mora biti šifriran s simetričnim ključem AES CBC (Cipher-Block-Chaining). Ta sicer že dlje časa velja za nezadosten način zaščite, a to ni glavni problem. Še vedno namreč potrebujemo ključ, s katerim zašifriramo...

54 komentarjev

Hekerski napad na Albanijo pripisujejo Iranu

Slo-Tech - Pred letošnjim vrhom World Summit of Free Iran, ki bi moral potekati 23. in 24. julija v Albaniji, je bila država tarča hekerskega napada. V nedeljo in ponedeljek, 17. in 18. julija, so bile več ur nedostopne spletne strani državnih inštitucij in kopica javnih storitev. Analiza podjetja Mandiant kaže, da je bil napad politično motiviran in da je uporabljal izsiljevalsko programsko opremo Roadsweep, stranska vrata Chimneysweep in program za brisanje podatkov Zeroclear. Napad je najverjetneje zagrešil Iran, so še ugotovili.

To sklepajo iz preteklih incidentov, kjer so bili uporabljeni isti programi in ki so prav tako izvirali iz Irana. Hekerski napadi so že stalnica, med naročniki ali izvajalci pa Iran ni nobena izjema. Večina napadov je omejena na pridobivanje informacij in so vohunske narave, medtem ko je bil julijski napad drugačen. Njegov namen je bil povzročiti škodo. Napad na Albanijo predstavlja napad na članico zveze NATO, kar je v tej obliki redko. Ali je napad res naročil...

14 komentarjev

Evropska komisija potrdila, da so jim s Pegasusom vdrli v telefone

Reuters - Evropski komisar za pravosodje Didier Reynders je v pismu evropski poslanki Sophie in 't Veld potrdil, da ga je Apple leta 2021 obvestil o vdoru v njegov iPhone. Prizadeta naj bi bila tako zasebni kakor službeni aparat, pa tudi naprave nekaterih drugih uslužbencev Komisije. Vdrli naj bi mu bili z izraelsko programsko opremo Pegasus, ki jo proizvaja podjetje NSO Group in jo trži številnim vladnim agencijam in drugim organom po vsem svetu.

Kdo je stal za napadom, Reynders ne ve. Dejal je, da preiskava še poteka, a trenutno ni mogoče z gotovostjo pokazati na določenega krivca. Iz NSO so sporočili, da bodo sodelovali v preiskavi. Ob tem dodajajo, da ni dokazov, da se je vdor res zgodil. Apple navedb še vedno ne komentira, čeprav naj bi prav Apple posvaril prizadete uporabnike. Prav tako Apple toži NSO Group zaradi razvoja Pegasusa.

Prva poročila o vdorih v telefonske aparate komisarjev in drugih visokih uslužbencev segajo v letošnji april, ko je Reuters o tem prvikrat poročal. Tedaj...

10 komentarjev

Usmerjevalnike napada zmogljiv tip zlobne kode

bleepingcomputer.com - Ameriški varnostni strokovnjaki so identificirali trojanca, imenovanega ZuoRAT, ki napada domače usmerjevalnike in poleg prisluškovanja prometu omogoča tudi okužbo povezanih naprav. Po vsem sodeč gre za delo napredne hekerske združbe.

Z nastopom pandemije se je močno povečala pojavnost dela od doma in kibernetski malopridneži so svoje delovanje hitro prilagodili - čeprav nekatere podvige odkrivamo šele sedaj. Black Lotus Labs, varnostni oddelek ameriškega telekomunikacijskega podjetja Lumen Technologies, je objavil odkritje sofisticiranega orodja za okužbo domačih (SOHO) routerjev, ki so ga poimenovali ZuoRAT (RAT za remote-access trojan). Ta okuži usmerjevalnike preko izkoriščanja nezakrpanih ranljivosti, nakar napadalcu ponuja široko bero možnih ukrepov. Za začetek prikrito spremljanje prometa, kar v primeru dela od doma pomeni potencialno dostopanje do poslovnih skrivnosti. Obenem prepozna na router priključene naprave, ki jih lahko napade z ugrabljanjem HTTP ali DNS naslovov....

7 komentarjev

Na Pwn2Own spet padla večina programske opreme

Slo-Tech - V Vancouvru se je končalo znamenito hekersko tekmovanje Pwn2Own, ki tam poteka že od leta 2007. Na letošnjem tekmovanju so se od 18. do 20. maja merili računalniški strokovnjaki in hekerji, ki so iskali ranljivosti v popularni programski opremi. Tudi letos je večina programske opreme padla, za kar so bili tekmovalci nagrajeni. Skupno je 17 ekip ali posameznikov skušali izkoristiti ranljivosti v 21 kosih najpopularnejše programske opreme.

Prvi dan so bili na sporedu Microsoft Teams, Oracle VirtualBox, Mozilla Firefox, Microsoft Windows 11, Apple Safari in Ubuntu Desktop, ki so prav vsi padli. Nekaterimi med njimi - Microsoft Teams in Ubuntu Desktop - celo večkrat, saj je ranljivosti uspešno izkoristilo več skupin. Drugi dan so bili na vrsti Tesla Model 3 Infotainment System, Ubuntu Desktop in Windows 11, a je padel le Ubunto, in to dvakrat. Zadnji dan tekmovanja sta padla še Windows 11 in Ubuntu Desktop, prvi celo trikrat.

Tovrstni rezultati niso nič neobičajnega, saj običajno...

13 komentarjev

Ugasnjen iPhone ni čisto nem

Slo-Tech - Ker se iPhone tudi ob izklopu ne ugasne popolnoma, saj minimalno napajanje še vedno omogoča lociranje telefona (Find My iPhone) ali plačevanje, to odpira možnost za delovanje zlonamerne programske opreme tudi na takšnem skoraj izključenem telefonu. Raziskovalci s Tehniške univerze v Darmstadtu so demonstrirali, kako lahko to skupaj z ranljivostjo v implementaciji Bluetootha izkoristimo za izdelavo zelo trdoživega malwara. Ta lahko telefonu sledi tudi, ko je telefon programsko izključen.

Avtorji raziskave ugotavljajo, da način nizke porabe LPM (low-power mode) še 24 ur po izklopu telefona omogoča uporabo NFC, Ultra Widebanda in Bluetootha. LPM je del strojne opreme in ga ni možno odstraniti. Nedokumentirane funkcionalnosti LPM v iOS 15 pa omogočajo zlorabo. Kljub temu raziskovalci mirijo, da je raziskava - dasiravno odkriva zanimiv vektor napada - precej teoretična. Za zlorabo bi potrebovali odklenjen (jailbreak) telefon, kar je dandanes precejšnja redkost. Bi pa lahko to znanje...

28 komentarjev

Državno tekmovanje v kibernetski varnosti (do 25 let)

kibertalent.si

Slo-Tech - Med 30. aprilom in 7. majem 2022 bodo potekale slovenske kvalifikacije za Evropsko tekmovanje iz kibernetske varnosti. Najbolje uvrščeni posamezniki bodo imeli možnost sodelovanja in zastopanja Slovenije na največjem evropskem tekmovanju iz kibernetske varnosti za mlade.

Agencija Evropske unije za kibernetsko varnost z namenom spodbujanja mladih, da pričnejo ali nadaljujejo kariero na področju kibernetske varnosti, izboljšajo svoje veščine in znanje, ter pridobijo nove izkušnje, vsakoletno organizira Evropsko tekmovanje iz kibernetske varnosti. Tekmovanje ponuja priložnost za srečanje z najboljšimi evropskimi talenti in sodelovanje ter mreženje s strokovnjaki, hkrati pa spodbuja k reševanju kompleksnih izzivov kot so spletna in mobilna varnost, kripto uganke, povratni inženiring in foreznika.

Letos se bo evropskega tekmovanja že drugič udeležila tudi slovenska ekipa, sestavljena iz 10 članov, starih med 16 in 25 let. Slovensko ekipo bodo zastopali posamezniki, ki se bodo...

0 komentarjev

Ruski hekerji v Ukrajini vendarle zelo aktivni

Microsoft - Pri Microsoftu so v prvem večjem poročilu resneje razkrili obseg delovanja ruskih državnih hekerjev med aktualnim ukrajinsko-ruskim spopadom. Ti naj bi sprožili več sto napadov, ki so bili dostikrat dejansko usklajeni z delovanjem ruske vojske.

Eno pomembnih vprašanj v prvih dveh mesecih ruske agresije na Ukrajino se je dotikalo delovanja zloglasnih ruskih državnih hekerjev, ki so v zadnjem desetletju postali strah in trepet organizacij po vsem svetu. Med samo vojno jih namreč na videz ni bilo kaj dosti na spregled, saj ni bilo opaziti uničevalnih napadov na ukrajinsko infrastrukturo, kakršne smo pričakovali. A po tem, ko smo sredi aprila dobili prva pojasnila, da se takšne sorte napadi v resnici vršijo - ko je ruska ekipa Sandworm skušala še tretjič vreči na tla dele ukrajinskega elektroomrežja - so sedaj pri Microsoftu lansirali prvo večje poročilo svojega centra za obravnavo kibernetskih nevarnosti MSTIC, ki ponuja zelo zanimive podatke, saj med drugim skuša ruske hekerske...

11 komentarjev

Odkrito novo orodje za hekerske napade na industrijo

vir: Dragos
Dragos - Več ameriških varnostnih agencij je prejšnji teden objavilo, da so v divjini našli novo orodje za kibernetske napade na industrijske krmilne sisteme, ki so ga poimenovali Pipedream. Zaenkrat ni videti, da bi bilo že sproženo.

Zlobno programje za napade na industrijske krmilne sisteme (ICS) popularno še vedno predstavlja tisto najnaprednejšo in potencialno najbolj uničevalno stopnjo v kibernetskem vojskovanju. Malo zato, ker terja res odlično poznavanje specializiranih industrijskih sistemov in hkrati zahtevne postopke dostave na želeno mesto, kar pomeni, da se s tem praviloma ukvarjajo dobro plačani državni hekerji. Malo zato, ker v primeru uspešnega napada lahko pride do katastrofalne škode na industriji. In malo zato, ker so še vedno precejšnja eksotika, saj smo doslej poznali zgolj štiri, med njimi črva Stuxnet, s katerim so Izraelci in Američani uničevali iranske centrifuge za bogatenje urana; črva Triton, s katerim so Rusi napadli rafinerijo v Savdski Arabiji; pa orodje...

9 komentarjev

Sandworm tretjič napadel ukrajinsko elektroomrežje

vir: BBC
BBC - V Ukrajini vendarle videvamo tudi resnejše kibernetske napade na infrastrukturo. Ruska hekerska združba Sandworm naj bi v preteklih tednih skušala še tretjič - po letih 2015 in 2016 - vreči na tla dele ukrajinskega elektroomrežja, a so bili tokrat varnostni strokovnjaki bolje pripravljeni in so zelo omejili učinek napada.

Še pred začetkom ukrajinske vojne smo slišali napovedi, da nas čaka hibridni spopad s spremljavo množičnih hekerskih napadov zloglasnih ruskih ekip za kibernetsko vojskovanje in kriminalnih tolp. Toda to se v pretežni meri ni zgodilo. Edini resen ruski uspeh v tem oziru je bil napad na satelitsko omrežje KA-SAT prvi dan vojne, ki je z interneta vrgel nekaj čez 10.000 uporabnikov, tudi drugje po Evropi. Razen tega pa večjih udarcev za ukrajinsko infrastrukturo s strani ruskih hekerjev doslej ni bilo opaziti. To ne pomeni, da spopad ne poteka tudi širom omrežij, saj si sprti strani in množice aktivistov nenehno izmenjujejo napade DDoS in kradejo podatke kot za...

11 komentarjev

Ameriški organi preiskujejo, ali TikTok ustrezno ukrepa proti otroški pornografiji

Slo-Tech - Ameriški organi pregona so začeli preiskavo platforme TikTok zaradi suma, da jo izkoriščajo spolni plenilci, kar je dodatno problematično zaradi v povprečju zelo mladih uporabnikov. Služba za domovinsko varnost (DHS) preverja, kako stran obravnava primere otroške pornografije, če se te pojavijo na strani. Pravosodno ministrstvo pa preverja tudi, kako plenilci izkoriščajo nastavitve zasebnosti na platformi. Zaradi interesov preiskav uradnih potrditev ni. V DHS pojasnjujejo, da je TikTok idealno mesto, kjer lahko plenilci srečujejo, nagovarjajo in zlorabljajo otroke.

TikTok, ki je v lasti kitajskega podjetja ByteDance, ima že več kot milijard uporabnikov. Za zakonitost deljenih vsebin skrbi več kot 10.000 moderatorjev, njihovo število pa še narašča. Podjetje eksponentno raste in je imelo lani 3,9 milijarde dolarjev prihodkov, letos pa naj bi jih bilo že skoraj 12 milijard. TikTok je tako uspešen, da ga je celo Facebookov ustanovitelj Mark Zuckerberg označil kot glavni razlog, da so...

2 komentarja

Organi pregona uničili RaidForums

Slo-Tech - Ameriški in evropski organi pregona so v usklajeni akciji, ki je trajala več kot leto dni, zasegli domeno ter infrastrukturo hekerskega foruma RaidForums in aretirali ključne administratorje.

Po večini odmevnejših kraj podatkov v zadnjih letih smo bili lahko sigurni, da se bodo v tej ali oni obliki znašli na enem mestu: spletnem forumu RaidForums, ki je postal ena poglavitnih oglasnih desk za malopridneže, ki so se želeli zbarantati za pridobljeno robo. Forum je nastal leta 2015 in kakor pove ime, je bil sprva namenjen organiziranju spletnega ter elektronskega nadlegovanja (raids), nato pa se je preobrazil v bazar za trgovanje z nelegalno pridobljenimi podatki. Struktura in delovanje sta do danes postala zelo dovršena; uporabniki so lahko v zameno za različne ravni naročnin dostopali do zaprtih delov foruma, ki so ponujali privilegiran dostop do oseb visoko v sferah kiberkriminala, administratorji pa so osebno posredovali pri največjih poslih.

Toda v letošnjem februarju je v...

10 komentarjev

Člani Evropske komisije tarča hekerskega napada na pametne telefone

Slo-Tech - Po poročanju Reutersa je bilo več visokih uradnikov v Evropski komisiji konec minulega leta tarča hekerskih napadov z izraelsko programsko opremo. Med njimi so bili tudi belgijski komisar Didier Reynders za sodstvo ter še vsaj štirje drugi visoki uradniki. Komisija napadov ni odkrila sama, temveč je to ugotovil Apple.

Lanskega novembra je namreč Apple več uporabnikom svojih iphonov poslal opozorilo, da so tarče napadov, ki jih izvajajo s tretjimi državami povezani napadalci (state-sponsored attacks). Tedaj se je zganila tudi IT služba v Evropski komisiji in uporabnike obvestila o izraelskih orodjih za vdore in jih pozvala, naj budno spremljalo morebitna nova obvestila iz Appla. Uporaba izraelskih orodij ne pomeni, da so jih uporabljali Izraelci, saj na primer NSO Group svoja orodja prodaja več državam po celem svetu.

Ni še znano, ali so bili napadi uspešni. Po oceni ForcedEntry so se dogajali med februarjem in septembrom 2021 s programsko opremo NSO Group. Slednji vsakokrat...

13 komentarjev

Preiskovalci zaprli tržnico Hydra

Slo-Tech - Nemški organi pregona so zasegli strežnike v teh časih največjega bazarja s kriminalno dejavnostjo na temnem spletu, Hydra. Po drugi plati aretacij administratorjev ni bilo, saj se domnevno nahajajo v Rusiji in okoliških državah.

Ko je dolga roka zakona pred petimi leti razbila takrat največjo tržnico s temnega spleta, AlphaBay, je bila njena naslednica že pripravljena v nizkem štartu, da prevzame štafeto. Tržnica Hydra, sicer ustanovljena leta 2015, je hitro postala največji kraj preprodajanja drog, ponarejenih dokumentov in hekerskih orodij na svetu. Predvsem pa so njeni upravljalci izpopolnili moderne načine pranja denarja iz naslova malverzacij s kriptovalutami. Tržnica je ponujala široko bero storitev mešanja kriptonovcev (coin mixing in coin tumbling), to je metod, ki skušajo s pomočjo hitrega prenašanja kriptokovancev med različnimi denarnicami zabrisati sled do njihovega izvora. Na koncu verige je med drugim stala tudi storitev fizične dostave denarja s kurirji, ponavadi v...

6 komentarjev

Hekerji odnesli več kot 600 milijonov dolarjev

Slo-Tech - Hekerji so z omrežja Ronin, priljubljenega blockchaina za kripto igro Axie Infinity, ukradli za več kot 600 milijonov dolarjev kriptokovancev. Ker je zmanjkalo 173.600 ethra (600 milijonov dolarjev) in 25,5 milijona USDC (stabilni kovanec v protivrednosti dolarja), uporabniki trenutno ne morejo dvigovati svojega premoženja. Napad je meril na most (bridge) za Sky Mavisov Ronin, ki je vmesnik med igro Axie Infinity in drugimi verigami blokov, denimo Ethereum.

Uporabniki so na Ronin naložili ether ali USDC, s tem pa so potem kupili NFT-je ali digitalno valuto v igri. Ronin je omogočal tudi transakcije v obratni smeri, torej prodajanje dosežkov iz igre za prave kriptovalute. Medtem ko imajo transakcije na Ethereumu provizijo, je Ronin nudil do 100 brezplačnih transakcij na dan, kar je olajšalo uporabo v igri.

Napad se je zgodili minulo sredo, odkrili pa so ga šele danes. Po odkritju so takoj ustavili most Ronin in Katana Dex. Za zdaj je premoženje AXS, RON in SLP (različne digitalne...

7 komentarjev

Severnokorejski hekerji čedalje uspešnejši

S takšnimi stranmi so prežali na uporabnike

Slo-Tech - Severnokorejski hekerji so izrabili svoj čas nezakrpano ranljivost CVE-2022-0609 v Chromu (zero-day vulnerability), s čimer so napadli več zahodnih podjetij, vključno z bankami, mediji in IT. Šlo je za delo dveh skupin. Operation Dream Job je napadla 250 računalnikov v 10 različnih podjetij, skupina AppleJeus pa 85 računalnikov. Googlov Adam Weidemann meni, da sta ekipi uporabljali isto kodo, a sta ciljali druge tarče in z drugimi vektorji.

Raziskovalci spremljajo Operation Dream Job od leta 2020, ko so jo v podjetju ClearSky opazili v napadih na obrambne pogodbenike in druga podjetja, ki sodelujejo z ameriško državo, denimo Boeing in McDonnell Douglas. Zbirali so poslovne skrivnosti in druge tajne podatke, napade pa so prožili s socialnim inženiringom prek LinkedIna, elektronske pošte, sporočil na WhatsAppu in podobno. AppleJeus je nekoliko starejši, saj so ga prvikrat opazili leta 2018, ko je napadal menjalnico kriptovalut. Znan je tudi kot ena prvih skupin, ki je z APT...

2 komentarja

V node-ipc podtaknjena koda za brisanje datotek v Rusiji in Belorusiji

Slo-Tech - Razvijalec priljubljenega npm paketa node-ipc, ki tedensko beleži več kot milijon prenosov in ga uporabljajo številne knjižnice, denimo Vue.js CLI, je namenoma izdal pokvarjeno in zlonamerno verzijo paketa. Verziji 10.1.1 in 10.1.2 sta imeli vgrajeno funkcionalnost, ki je uporabnikom z naslovom IP z območja Rusije ali Belorusije pobrisala podatke z diska. Po besedah razvijalca je šlo za način mirnega protesta proti vojni, odprtokodna skupnost pa potezo obsoja.

Incident se je zgodil pred dvema tednoma, ko je izšla nova verzija node-ipc. Ta je preverila, ali je računalnik v Belorusiji ali Rusiji in v tem primeru zagnala zlonamerno kodo. Da bi funkcionalnost prikril, je razvijalec Brandon Nozaki Miller del kode zapisal v formatu base-64. Uporabniki Vue.js so brisanje datotek opazili ta teden.

Takšno ravnanje je nedopustno, hkrati pa kaže na globlji problem. Odvisne knjižnice, kot je paketek node-ipc, se pojavljajo v številnih programskih kodah. Na ta način je programiranje res lažje...

79 komentarjev

Lapsus$ napadel Samsung, od Nvidie terja hitrejše rudarjenje

Slo-Tech - Izsiljevalska skupina Lapsus$ je včeraj objavila velikanski kup podatkov, ki domnevno izvirajo iz Samsunga, kamor naj bi bili uspešno vdrli. Spomnimo, da so minuli teden potrjeno vdrli tudi v Nvidio, od koder naj bi odnesli 1 TB podatkov, razkrili pa so jih 20 GB. Skupina sedaj trdi, da imajo Samsungovo izvorno kodo, kar so podkrepili tudi z zajeto zaslonsko sliko. Trdijo, da imajo med drugim tudi izvorno kodo za vse Samsungove TA (truted applet) v okolju TrustZone, algoritme za biometrično zaščito, bootloader na novih telefonih, kodo Qualcommovih naprav in vso izvorno kodo za avtorizacijo in preverjanje pristnosti v Samsungovih računih (storitve, API). Resničnosti navedb neodvisno še niso potrjene. Prav tako ni jasno, kaj Lapsus$ od Samsunga zahteva, saj javno ni znano, ali terjajo kakšno odkupnino.

Prav tako še vedno poteka boj med skupino Lapsus$ in prizadeto Nvidio. Zahteve, ki jih napadalci postavljajo, pa so gotovo med najnenavadnejšimi. Zahtevajo, da Nvidia omogoči hitrejše...

9 komentarjev

Poteka hekerski napad na Nvidio

Slo-Tech - Po neuradnih podatkih je v zadnjih dneh Nvidio prizadel močan hekerski napad z izsiljevalskimi virusi, ki pa sicer ni povezan s trenutnim vojskovanjem v Ukrajini. Nvidia je v petek zvečer uradno potrdila vdor in dejala, da preiskujejo napad na računalniške sisteme. Dodali so, da napad ni vplival na njihovo poslovanje, podrobnosti pa ne razkrivajo.

Napadalci naj bi odnesli približno 1 TB podatkov. Odgovornost za napad je prevzela hekerska skupina LAPSU$ iz Južne Amerike, ki se ukvarja z izsiljevanjem. Trdijo, da jih je po incidentu Nvidia napadla nazaj in vdrla v njihove strežnike, česar ni bilo možno neodvisno preveriti in kar se v resnici sliši precej nenavadno.

Kakorkoli, na Nvidiini strani so imeli izpad sistema za elektronsko pošto in razvijalskih orodij. Telegraph ob tem opominja napade SolarWinds. Nvidiina ključna naloga bo sedaj preveriti sistem in zagotoviti integriteto, da ne bi napad vanje zanesel zlonamerno kodo, ki bi jo potem napadalci podtaknili Nvidiinim strankam.

...

13 komentarjev

Pisci Linuxa najhitreje krpajo luknje

Google Project Zero - Raziskovalci iz Googlovega Project Zero ugotavljajo, da je Linux programsko okolje, kjer se najhitreje zakrpajo odkrite ranljivosti. Če to privzamemo kot merilo za varnost operacijskega sistema, Linux odločno prehiti Windows in macOS. Najslabše se je odrezal Oracle, ki je v povprečju potreboval 109 dni, da je zakrpal odkrite in prijavljene hrošče. Linuxu, ki resnično odstopa, sledita Mozilla in Google.

V okviru Projecta Zero, ki sodi pod Googlovo okrilje, strokovnjaki iščejo ranljivosti v pogosti programski opremi in nanje proizvajalca odgovorno opozorijo. To pomeni, da mu dajo na voljo 90 dni, da luknje zakrpa. Če se ne zgodi nič, začne teči dodatni 14-dnevni rok, nato pa odkrito ranljivost javno priobčijo na spletu. V takem primeru lahko ranljivost začno izkoriščati tudi zlonamerni igralci, kar predstavlja velik in skrajni pritisk na proizvajalca, da luknjo vendarle odstrani.

Gogole Project Zero je v letih 2019-2021 odkril 376 ranljivosti. Od teh jih je bilo 93,4 odstotka...

9 komentarjev

Microsoftov Azure odbil rekordno velik napad DDoS

Slo-Tech - Z naraščajočo povezljivostjo do interneta in kapaciteto povezav rastejo tudi napadi DDoS, s katerimi se skušajo začasno onesposobiti posamezni strežniki. Microsoft je sporočil, da je njihova storitev Azure DDoS Protection lani novembra branila pred največjim napadom dotlej, ki je potekal s 3,47 Tb/s. Izvajalo ga je več kot 10.000 računalnikov iz več kot 10 držav. Identitete tarče napada, ki je iz Azije, seveda ne razkrivajo.

Napad je trajal vsega dve minuti in še zdaleč ni bil edini v tolikšnem obsegu. Decembra sta sledila še dva velika napada, ki sta merila 3,25 Tb/s in 2,54 Tb/s. Prvi je v več sunkih trajal petnajst minut, drugi pa dobrih pet minut. Kaže, da se obseg napadov povečuje, saj je bil največji v prvem polletju lani 2,37 Tb/s. Še pred tremi leti ni bilo napadov prek 2 Tb/s.

Zanimivo je, da napadi niso več zgoščeni okrog božično-novoletnih praznikov, kot je to veljalo v minulih letih, temveč so enakomerno razporejeni skozi celotno leto. Lani jih je bilo celo največ...

5 komentarjev

Hekerski napad na beloruske železnice kot poteza v rusko-ukrajinski krizi

Slo-Tech - Med stopnjevanjem napetosti v Ukrajini so hekerji sporočili, da so okužili računalniško omrežje beloruskih železnic, s čimer želijo preprečiti ruski napad na Ukrajino. S hekerskim napadom želijo otežiti in upočasniti beloruskih železnic za prevoz ruskih sil in oborožitve. Za domnevni napad je odgovornost prevzela skupina Beloruski kiberpartizani (Belarusian Cyber-Partisans). Za izročitev dešifrirnih ključev zahtevajo izpustitev 50 političnih zapornikov in odhod ruskih sil iz Belorusije.

Ob tem so hekerji dodali, da so skušali minimalno prizadeti potniški promet in nujne službe. Osredotočili so se na tovorni promet. Po lastnih navedbah skupina šteje 20-30 ljudi, ki so se združili po krvavem zatrtju protestov v Belorusiji proti predsedniku Aleksandru Lukašenku poleti 2020. Označujejo se kot haktivisti, ki se borijo proti režimu. Že lani so za MIT Technology Review povedali, da se s hekerskimi napadi borijo proti nasilju in zatiranju beloruskega režima, da bi se v državo vrnili...

52 komentarjev

Evropska komisija s programom za nagrajevanje odkritih ranljivosti v odprti kodi

Slo-Tech - Programi za nagrajevanje odkritih ranljivosti v programski opremi niso nič novega, saj proizvajalci na ta način vzpodbujajo etično razkrivanje lukenj v svojih izdelkih. Nekoliko teže je to z odprtokodno programsko opremo, ki običajno nima finančno močnega zaledja. Evropska komisija je zato na platformi Intigriti zagnala program za nagrajevanje prijavljenih ranljivosti v odprtokodnih programih. Na voljo je 200.000 evrov, najvišja nagrada pa lahko znaša 5000 evrov za najresnejše ranljivosti. Še 20 odstotkov bodo primaknili, če bo prijavitelj ponudil tudi kodo za zakrpanje ranljivosti.

Nagrajevali bodo luknje v LibreOfficeu, Mastodonu, Odooju, Cryptpadu in LEOS-u. Iščejo se zlati ranljivosti, ki so povezane z odtekanjem osebnih podatkov, vertikalno ali horizontalno eskalacijo privilegijev ter SQLi. Izbrali so programsko opremo, ki jo uporabljajo javne službe Evropske unije. Evropska komisija je že leta 2020 ustanovila Pisarno za odprtokodne programe (EC Open Source Programme Office),...

7 komentarjev

Virusov za Linux čedalje več

Slo-Tech - Za Linux resda obstaja virusov in druge nesnage, a to samo po sebi sploh ne zagotavlja stoodstotne varnosti. V minulem letu se je število virusov, ki so napadali sisteme na Linuxu povečalo za dobro tretjino, v svojem poročilu ugotavlja Crowdstrike. Večinoma so bile tarče napadov naprave IoT, ki jih zlonamerna programska oprema skuša vpreči v botnet za izvajanje napadov DDoS. Druge vrste zlorab so še rudarjenje kriptovalut, pošiljanje spama, uporaba kot nadzorno-krmilni strežniki za botnete in kot vstopne točke v omrežja.

V primerjavi z letom 2020 smo lani beležili 35-odstotno povečanje malwara, ki napada naprave z Linuxom. Najpogostejše variante zlonamerne kode so XorDDoS, Mirai in Mozi, med katerimi je največja rast uspela prav slednjemu. Z občasnimi odkloni se število različnih virusov, ki napadajo Linux, vseskozi povečuje. Leta 2010 je bilo novih družin devet, predlani pa že 56. Prvi indici za leto 2022 kažejo, da se bo trend nadaljeval.

20 komentarjev

Napad s pošiljanjem USB-ključkov po pošti

Slo-Tech - V ZDA se je ponovno razmahnila pred dvema letoma popularna taktika podtikanja zlonamerne programske opreme na računalnike. Napadalci pošiljajo ključke USB, ki jih prejemniki vstavijo v svoje računalnike, kar sproži namestitev virusov. FBI opozarja, da je vtikanje nepreverjenih pomnilniških medijev v računalnike tvegano. A zlikovci so zelo prepričljivi.

Gre za skupino FIN7, ki se ukvarja s krajo osebnih podatkov za finančne malverzacije. Natančno izbranim tarčam dostavljajo ključke USB (tako imenovane BadUSB ali Bad Beetle USB), ki imajo logotip LilyGO. Od lanskega avgusta jih pošiljajo podjetjem, ki se ukvarjajo s prevozi in zavarovalništvom, od novembra pa tudi pogodbenikom v obrambni industriji. Pakete jim pošiljajo kar z ameriško pošto ali UPS. Oblikovani so tako, kot da jih pošilja Amazon ali HHS (Department of Health & Human Services). V nekaterih primerih jim priložijo celo kakšen dopis, denimo proticovidne smernice, zahvalo ali ponarejen darilni bon, s čimer skušajo...

18 komentarjev

Alexa je otroku predlagala smrtno nevaren izziv

posnetek Alexine zgodovine

vir: Twitter
bleepingcomputer.com - Pri Amazonu se soočajo s sila kočljivim dogodkom - digitalna pomočnica Alexa je namreč 10-letni deklici naložila izziv, v katerem bi morala kovanec položiti na izpostavljen električni vod.

Sodobni digitalni pomočniki vztrajno širijo spisek svojih sposobnosti in ko jih ne sprašujemo za vreme ali naročamo spletnih nakupov, jih lahko pobaramo za razne kratkočasne izzive. Alexa in druščina takšne nasvete ter naloge dostikrat samodejno poberejo s spleta - za katerega pa dobro vemo, da je vse kaj drugega kot hram brezmejne učenosti. Nevarnost takšnih metod je okoli božiča izkusila ameriška družina Livdahl: Alexa je namreč njihovi 10-letnici naložila izziv, v katerem naj bi telefonski napajalnik do polovice potisnila v električno vtičnico in nato skušala na izpostavljeni vod položiti kovanec tako, da bi se obdržal na njem. K sreči je bila mati poleg in je tovrsten poskus preprečila, pa tudi sicer naj bi bila hčerka dovolj prisebna, da takšne nevarne neumnosti ne bi izvedla.

Nespametna...

59 komentarjev

Kako deluje orodje ForcedEntry podjetja NSO Group

Google Project Zero - Googlova skupina raziskovalcev kibernetske varnosti, Project Zero, je ponudila zanimiv vpogled v programje ForcedEntry, s katerim je zloglasno izraelsko podjetje NSO Group vdiralo v iphone in nanje nameščalo vohunsko zlobno kodo Pegasus.

Zanka okoli vratu izraelske firme za razvoj vohunskega programja, NSO Group, se v zadnjem času vztrajno zateguje, saj so jo na piko dobila tako velika podjetja kakor vlade zahodnih držav. Toda še vedno gre za izjemno nevarnega akterja na tržišču vohunske zlobne kode in kako domiselna so njihova orodja za vdiranje v naprave, strokovnjaki odkrivajo šele sedaj. Googlov laboratorij za raziskovanje programskih ranljivosti Project Zero se je lotil podrobnega vpogleda v orodje ForcedEntry, ki omogoča samodejno vdiranje v naprave brez uporabnikove interakcije (zero-click). Primerek kode so jim poslali iz kanadskega laboratorija Citizen Lab, kjer so ga sicer pridobili s telefona savdskega aktivista.

ForcedEntry je sicer serija aplikacij NSO Group za...

7 komentarjev

Napadi Log4Shell so preplavili svet

Slo-Tech - Poskusi zlorabe ranljivosti v knjižnici Log4j, ki so jo razkrili prejšnji teden, so se v zadnjih dneh močno okrepili, saj varnostna podjetja beležijo prek sto napadov na minuto.

Pretekli petek je bila objavljena huda ranljivost v Apachejevi javanski knjižnici za dnevniško beleženje Log4j, ki napadalcu omogoča izvajanje poljubne kode na daljavo. Problem je dvojen; kot prvo to odprtokodno knjižnico uporablja desetine milijonov računalnikov po svetu, saj je bila zgolj v zadnjih štirih mesecih z javnih repozitorijev pretočena 84-milijonkrat. Med uporabniki so tudi velika informacijska podjetja, kot so Amazon, Cisco, Oracle, Microsoft in IBM. In drugič: zloraba ranljivosti je nadvse enostavna, saj je dovolj, da se sistemu v beleženje vsili določeno zaporedje znakov. To pa pomeni, da jo je preprosto avtomatizirati in v dneh po objavi je število tovrstnih napadov res skokovito naraslo.

V varnostnem podjetju Check Point pravijo, da zaznavajo čez sto napadov na minuto in tudi v Sophosu...

39 komentarjev

Huda ranljivost v knjižnici Apache Log4j se že izrablja

Slo-Tech - V knjižnici Java logging library Log4j so odkrili hudo ranljivost, ki napadalcem omogoči izvesti poljubno kodo v sistemu, do katerega imajo le oddaljen dostop (remote code execution). Prizadeta knjižnica se široko uporablja, objavljena pa je tudi koda, ki omogoča izrabo ranljivosti. Zato ni presenetljivo, da že beležijo primere aktivne zlorabe in napadov na produkcijske sisteme. Popravljena verzija je že na voljo, a smo v veliki meri odvisni od proizvajalcev aplikacij in sistemov, ki uporabljajo Apache Log4j.

Prizadete so verzije od 2.0 do 2.14.1, zato vsem svetujemo nadgradnjo na verzijo 2.15.0. V nekaterih poznejših verzijah (2.10.0 in novejše) se je moč ubraniti tudi z zagonom aplikacije s posebnim stikalom (-Dlog4j2.formatMsgNoLookups=true), kar pa lahko vpliva na funkcionalnost Lookups. Ali je bil neki sistem že tarča napada, lahko preverimo v dnevniških datotekah, ki bodo v tem primeru vsebovale nize ${jndi:ldap://…}. Hekerji že množično iščejo ranljive sisteme. Celo v igri...

22 komentarjev

S programsko opremo NSO Group vdrli v iphone na ameriškem zunanjem ministrstvu

Reuters - Izraelsko podjetje NSO Group, ki razvija programsko opremo za vdiranje v pametne telefone, si je minuli mesec prislužilo Applovo tožbo. WhatsApp je enako storil že pred dvema letoma, v ZDA pa je NSO Group tudi na črnem seznamu podjetij. Da se njegova programska oprema uporablja za prisluškovanje ameriškim državnim funkcionarjem, ni paranoja. Reuters poroča, da so neznani napadalci z opremo NSO Group vdrli v iphone vsaj devetih uslužbencev na ameriškem zunanjem ministrstvu. Vdori so se zgodili v minulih mesecih in so merili na uslužbence, ki so v Ugandi ali pa se ukvarjajo z njo.

To je prvi znani primer, da so z opremo NSO Group vdrli v telefone ameriške vlade. Že v preteklosti smo poročali poizkusih prisluškovanja telefonom ameriških funkcionarjev z opremo NSO Group, a ni bilo jasno, ali jim je uspelo in kako razširjena je praksa. Iz NSO Group so sporočili, da nimajo nobenih informacij o zadnjem vdoru in da bodo na podlagi objav v medijih preiskali dogajanje. Če bodo potrdili...

21 komentarjev

Sumljiva vozlišča na Toru

Slo-Tech - Delovanje omrežja Tor je odvisno od prostovoljcev, ki na svojih internetnih priključkih nudijo vstopna in izstopna vozlišča. Med njimi pa so tudi posamezniki z nečednimi nameni, ugotavljajo v The Recordu. Vsaj od leta 2017 je skrivnostni posameznik v omrežju Tor nudil tudi do 900 vozlišč, s čimer je želel deanonimizirati uporabnike.

Tor predstavlja približno 10.000 vozlišč (relays, bridges), ki se delijo na vstopne točke, vmesne posrednike in izstopna vozlišča. Od njihovega delovanja je odvisna anonimnost, ki jo zagotavlja Tor. Načeloma morajo imeti vsi strežniki javno objavljene e-naslove upravljavca, da lahko administratorji Tora ali policija z njimi stopijo v stik - a to se ne izvaja in preverja striktno.

Neznani akter, ki so ga označili kot KAX17, je od leta 2017 nudil strežnike brez teh informacij. Večinoma je šlo za vstopne in vmesne točke, nekaj pa je bilo tudi izstopnih. To je nenavadno, saj običajno napadalci postavljajo izstopne strežnike, kar omogoča spreminjanje...

6 komentarjev

Meta s svojih omrežij odstranila več dezinformacijskih združb

vir: Axios
Slo-Tech - Strokovnjaki za dezinformacije v Meti so v poročilu ob koncu leta popisali analiziranje antipropagandnih združb na svojih omrežjih in ukrepanje proti njim. Med drugim so odstranili kitajski poskus očrnitve zahodnih držav pri raziskovanju izvora novega koronavirusa, pa anticepilska omrežja, ki so nadlegovala zdravnike in novinarje.

Izjemen doseg in vpliv družbenih omrežij je izpostavil potrebo po novi vrsti varnostnih analitikov, ki se ne ukvarjajo s klasičnimi hekerskimi vdori in krajami podatkov, temveč z usmerjenimi propagandnimi pritiski in nadlegovanjem uporabnikov. Najnovejše poročilo Adversarial Threat Report, v katerem svoje izkušnje premlevajo tovrstni strokovnjaki pri Meti, ponuja zanimiv vpogled v spreminjanje karakterističnih nevarnosti na socialnih omrežjih. Pri Meti tem pojavom skupno pravijo coordinated inauthentic behaviour, tokrat pa so metode podrobneje razdelili. S Facebooka so vrgli uporabniške račune združbe iz Francije in Italije, ki je vršila pritisk na...

21 komentarjev

Britanci prepovedali privzeta enostavna gesla

Slo-Tech - Britanski parlament je sprejel nov zakon, ki je namenjen zaščiti boljši zaščiti potrošnikov pred hekerskimi napadi na njihove pametne elektronske naprave, kot so na primer telefoni in televizorji. Odslej bo na Otoku prepovedana prodaja naprav, ki ne bodo izpolnjevale osnovnih varnostnih pogojev. Poleg tega zakon uvaja visoke globe, ki lahko dosežejo 10 milijonov funtov ali štiri odstotke globalnega letnega prometa podjetja, če podjetja ne bodo izpolnjevala pogojev. Za vsak dan kršitve se lahko izreče še 20.000 funtov tekoče glboe.

Novi zakon se imenuje PSTI (Product Security and Telecommunications Infrastructure) in med drugim prepoveduje uporabo generičnih tovarniških gesel, ki so bila svoj čas popularna in eden večjih razlogov za preproste vdore. Preprosta gesla, denimo admin ali password, so odslej prepovedana. Naprave bodo morale imeti unikatna gesla, ki jih ne bo možno enostavno uganiti. Zakon ureja tudi nadgradnje pametnih naprav, saj se v njih sčasoma odkrijejo ranljivosti,...

53 komentarjev

V Googlov oblak v glavnem vdirajo kriptorudarji

vir: Google
Google - Pri Googlu so v prvem poročilu glede varovanja uporabniških inštanc v svojem oblaku navedli, da je bilo več kot štiri petine vdorov izkoriščenih za rudarjenje kriptovalut.

Googlovi varnostni strokovnjaki, ki bedijo nad inštancami Google Clouda, katere oddajajo v uporabo, so pričeli z izdajanjem varnostnih poročil, ki so jih poimenovali Threat Horizons. V prvi številki (skrajšan povzetek) so pokrili 50 letošnjih vdorov v uporabniške račune in še nekatere druge neprilike. Kar 43 od omenjenih vdorov je pridobljene kapacitete izkoristilo za prikrito rudarjenje kriptovalut. V večini primerov je šlo verjetno za ozek krog napadalcev ali pa vsaj podobno avtomatizirano programsko opremo, ker je v več kot polovici primerov v manj kot 22 sekundah po vdoru na kompromitirane strežnike namestila programje za rudarjenje. Prav tako je bila večinoma krivda na strani uporabnikov, ki so imeli v kar 24 primerih mnogo preenostavna gesla.

Preostalih 7 primerov vdora je odpadlo na phishing kampanje in...

2 komentarja

Izrael skrčil seznam držav, ki jim prodaja orodja za vdiranje

Slo-Tech - Izraelska vlada je precej skrčila seznam držav, katerim smejo izraelska podjetja prodajati orodja za nadzor, prisluškovanje in vdiranje. Medtem ko sta bili na prvotnem seznamu 102 državi, jih je sedaj ostalo 37. Gre večinoma za razvite zahodne države, na seznamu pa je tudi Slovenija. Izrael je s seznama odstranil vse avtokratske režime. Med članicami Evropske unije na seznamu manjkata le Madžarska in Poljska.

V Izraelu ima sedež precej podjetij, ki razvijajo tovrstne programe in opremo, ki sodijo v sam svetovni vrh. Med najbolj znanimi sta Candiru in NSO Group, skupno pa jih je v Izraelu 27. Orodja, ki jih ponujajo, so bila v preteklosti tarča obtožb, da z njimi avtokratski režimi nadzorujejo oporečnike, novinarje, kritične intelektualce, politične nasprotnike in ostale, ki se z režimom ne strinjajo. Uradne izjave, zakaj se je sprememba dogodila prav zdaj, iz Izraela ni. Špekulira se, da so Izrael v to prisilili zahodni zavezniki. Finančne posledice bodo gotovo občutno, saj je...

9 komentarjev

Vdor v GoDaddy razgalil 1,2 milijona strank

U.S. Securities and Exchange Commission - Ponudnik gostovanja in registracije domen GoDaddy je v poročilu regulatorju trga vrednostnih papirjev (SEC) razkril, da je bil 6. septembra žrtev hekerskega vdora, ki so ga odkrili minuli teden. Vodja varnosti Demetrius Comes je dejal, da je podjetje opazilo nepooblaščen dostop do sistemov, kjer imajo strežnike WordPress svojih uporabnikov. Omogočajo namreč namestitev WordPressova na svoje strežnike.

Vdor je prizadel podatke 1,2 milijona uporabniških računov, pobegnili pa so elektronski naslovi, uporabniške številke in prva gesla za posamezne račune (preden so jih uporabniki, če so jih, spremenili). GoDaddy ima sicer okoli 20 milijonov strank. Največja nevarnost je potemtakem zloraba teh podatkov za phishing napade. Pobegnili so tudi prijavni podatki za sFTP (uporabniška imena in gesla), v nekaterih primerih pa še ključi SSL. GoDaddy je že ponastavil gesla in ključe, certifikate SSL pa še bodo.

To ni prvi vdor v GoDaddy. Leta 2018 je napaka v konfiguraciji AWS povzročila razlitje...

5 komentarjev

Nova ranljivost v Intelovih procesorjih

Slo-Tech - V Intelovih procesorjih (Pentium, Celeron, Atom, Apollo Lake, Gemini Lake in Gemini Lake Refresh) so odkrili ranljivosti, ki napadalcu s fizičnim dostopom do računalnika omogočajo izmakniti šifrirne ključe iz procesorja. Vsak novi procesor ima edinstven ključ (fuse encryption key), iz katerega so potem izračunani drugi ključi, denimo za TPM ali šifriranje podatkov z Bitlockerjem. Dostop do univerzalnega ključa omogoča tudi prelisičiti Intel Management Engine, torej poganjanje neavtorizirane kode na najnižjem nivoju, kar omogoča vgradnjo stranskih vrat v procesor.

Za izrabo najnovejših ranljivosti je potreben fizični dostop do računalnika. Toda potem je moč zlomiti zaščito, ki je namenjena prav zaščiti računalnika, ki nam uide iz rok, denimo ukradenega prenosnika s šifriranimi podatki na disku. Z izrabo ranljivosti je moč napasti tudi vgradne procesorje, kot so v pametnih avtomobilih. Ranljivost izkorišča orodje za razhroščevanje, ki ima previsoke privilegije (debugging...

8 komentarjev

Kako so v FBI-jevem imenu pošiljali elektronsko pošto

Slo-Tech - V petek je na več kot 100.000 elektronskih naslovov prispelo sporočilo, v katerih jih je domnevno FBI obvestil o vdoru v informacijski sistem in pozval k ukrepanju. Sporočila so povzročila precej zmede, ker so dejansko prihajala s FBI-jevega strežnika, dasiravno je bila vsebina lažna. Ni šlo za vdor v FBI-jeve strežnike v klasičnem smislu, temveč za zlorabo malomarno sprogramirane spletne strani.

Gre za spletno stran Law Enforcement Enterprise Portal (LEEP), ki omogoča prijavo v FBI-jev sistem različnim upravičencem, denimo drugim organom pregona. Pri registraciji morajo navesti svoj službeni elektronski naslov, na katerega dobijo potrditveno sporočilo, v katerem s klikom na povezavo dokažejo lastništvo elektronskega naslova. Do petka je portal registracijo omogočal komurkoli, nato pa je z naslova eims@ic.fbi.gov prejel kodo za validacijo naslova. Izkazalo se je, da je bilo to sprogramirano površno.

Vsebino elektronskega sporočila je namreč generiral kar brskalnik obiskovalca, ki...

0 komentarjev

Hekerji napadli največjo pakistansko banko

Slo-Tech - Največja pakistanska banka NBP (National Bank of Pakistan), ki je v državni lasti in predstavlja podružnico centralne banke, je bila v noči s petka na soboto žrtev resnega hekerskega napada, poroča The Record. Napad je prizadel zaledne sisteme (backend) in strežnike, ki skrbijo za delovanje poslovalnic, bankomatov in mobilnih aplikacij. V napadu kljub škodi niso odtujili finančnih sredstev. Iz banke so sporočili, da so že v soboto izolirali prizadete sisteme. Napadla jih ni izsiljevalska programska oprema (ransomware), temveč je šlo za bolj klasičen napad z eskalacijo privilegijev.

Večino poslovalnic in bankomatov so uspeli usposobiti že v ponedeljek, preostanek pa v nadaljevanju tedna. Kljub temu so vesti nekatere komitente dovolj prestrašile, da so na bankomatih dvigovali svoje prihranke. K temu so pripomogle nekatera pompozna poročila v medijih, da naj bi bilo prizadetih kar devet bank, kar ne drži. V ponedeljek je morala zato naval na banke (bank run) ustaviti vlada z jasnim...

2 komentarja

Pobegnili zasebni ključi za evropska covidna potrdila

Slo-Tech - Po poročanju italijanske tiskovne agencije ANSA so neznani hekerji odtujili zasebne ključe, ki se uporabljajo za podpisovanje evropskih covidnih potrdil. Ni znano, od kod so ključe ukradli, ANSA pa poroča, da ne iz Italije. Ponarejena potrdila naj bi trenutno krožila po Franciji in Poljski.

Ker je internet pač internet, se je seveda takoj na njem znašlo veljavno covidno potrdilo na ime Adolf Hitler, rojen leta 1900. Na darknetu so se začela prodajati tudi druga digitalna potrdila. Po neuradnih podatkih na nivoju EU že potekajo sestanki, kjer ugotavljajo obseg škode in podrobnosti. Trenutnoni znano, kdaj so ključe dejansko ukradli. Za zdaj so se odločili, da prekličejo ukradene ključe, kar bo razveljavilo vsa z njimi izdana potrdila. To pomeni, da bodo morali legitimnim imetnikom potrdil izdati nova.

118 komentarjev

REvil kmalu po vrnitvi ponovno tarča organov pregona

Slo-Tech - Hekerska skupina REvil, ki so jo letos poleti demontirali organi pregona ZDA in partnerskih držav, je zatem poniknila in se minuli mesec ponovno pojavila. A nova epizoda njihovega veka je bila kratka, saj so jo že ta teden s hekerskim napadom organi pregona ponovno onesposobili. Kot kaže, so proti njim uporabili kar lastno orožje, saj so zlikovci storili precej osnovnošolskih napak.

Ko je pred štirimi dnevi spletna stran REvila izginila, sta zaokrožili dve teoriji. Bodisi je stran po hitrem postopku pospravil kakšen nezadovoljen nekdanji vodja bodisi so vanjo vdrli organi pregona. Čeprav je to običajno manj verjetno, je to pot resničen drugi scenarij. Uradne potrditve iz FBI sicer ni, a strokovnjaki iz več podjetij ugotavljajo, da so FBI, Tajna služba, Cyber Command in partnerji ponovno onesposobili REvil. Po novem je to lažje z organizacijskega vidika, saj so ZDA napade z izsiljevalskimi virusi uvrstile na seznam nacionalnih groženj podobno kot terorizem, kar omogoča aktivacijo...

0 komentarjev

Ogromen pobeg podatkov s Twitcha

Ars Technica - V sredo so še neidentificirani napadalci na spletu objavili celotno izvorno kodo Twitcha in praktično vseh z njim povezanih notranjih programskih orodij, pa tudi zaslužke največjih akterjev na platformi. Gre za enega največjih pobegov podatkov v zgodovini.

Preteklo sredo, 6. oktobra, so uporabniki spletnega foruma 4chan lahko naleteli na izjemno zanimivo objavo (na sliki): anonimni uporabnik je skozi torrent ponudil 125 GB velik paket podatkov, v katerem naj bi bili, po vrsti: kompletna izvorna koda platforme za pretočni video Twitch, vključno z vso zgodovino programskih posodobitev in kodo vseh aplikacij; izvorna koda vseh notranjih razvojnih orodij, ki jih v podjetju uporabljajo, vključno s tisto iz oddelka za varnost (red team tools); koda še nedokončane trgovinske igričarske platforme s kodnim imenom Vapor, ki naj bi bila Amazonov tekmec Steama; za nameček pa tudi zaslužki 10.000 največjih Twitchevih streamerjev iz leta 2019. Podjetje je najprej na hitro omenilo, da je res...

13 komentarjev

Cyber Night - CTF

cybernight

Slo-Tech - CyberNight tekmovanje bo potekalo v petek, 8. oktobra 2021, v prostorih Digitalnega inovacijskega stičišča Slovenije (Ulica Gledališča BTC 6, Sever, Dvorana 1a, Ljubljana), s pričetkom ob 17.00 uri.

V okviru tekmovanja, se bodo udeleženci pomerili v reševanju varnostnih izzivov. Za tekmovalce pa ni pomembno samo njihovo programsko znanje, temveč tudi spodobnost kreativnega in kritičnega razmišljanja, zato je tekmovanje primerno prav za vse.

Za udeležbo na tekmovanju je potrebna prijava . Več informacij in novic pa lahko najdete tudi na Twiter profilu @cybernightevents.

0 komentarjev

Huda ranljivost v protokolu za Exchange in Outlook

Slo-Tech - Microsoftovi odjemalci za elektronsko pošto imajo resnega hrošča, proti katerem se običajni uporabniki ne morejo zaščititi in ki napadalcem omogoča nabiranje prijavnih podatkov (uporabniških imen in gesel). Ranljivost tiči v protokolu autodiscover, ki ga uporabljata Exchange in Outlook za preprosto konfiguracijo odjemalcev. Odkrili so jo v Guardicoru, Microsoft pa popravka še ni izdal.

Autodiscover
ima koristen namen, saj od uporabnikov ni realistično pričakovati, da si bodo zapomnili vse podrobnosti za nastavitev elektronskega predala. Uporabniško ime in geslo je nujno poznati, medtem ko imena strežnikov, protokole, vrata in podobno lahko skladiščimo na javno dostopnih strežnikih. V praksi autodiscover deluje tako, da pri nastavitvi odjemalca vpišemo naslov in geslo, denimo ime@oddelek.podjetje.com. Outlook bo potem pogledal, ali obstaja strežnik autodiscover.oddelek.podjetje.com. Če ga ne bo našel, bo povprašal še na oddelek.podjetje.com in podjetje.com. In če niti od teh...

14 komentarjev

Zlonamerna programska oprema tudi na preprostih telefonih

Slo-Tech - Pametni telefoni so primerna gojišča zlonamerne programske opreme, saj so v resnici računalniki, ki znajo tudi telefonirati. Precej manj znano pa je, da so lahko okuženi tudi običajni telefoni s tipkami (feature phones), ki nimajo obsežnih programskih funkcionalnosti in "pameti". Ruski raziskovalec ValdikSS je analiziral pet tovrstnih telefonov, ki so na prodaj v Rusiji, in kar na štirih odkril nezaželene zlonamerno ravnanje.

Šlo je za pri nas manj znane telefone DEXP SD2810, Itel it2160, Irbis SF63, F+ Flip 3 in Inoi 101 (samo zadnji ni imel virusov). Telefoni so prihajali iz Kitajske, kjer so bili proizvedeni in prodani v Rusiji, koder so jih potem spletne trgovine prodajale kot poceni alternative pametnim telefonom. Virusi so tičali v firmwaru telefonov in so počeli različne stvari. Nekateri so se naročili na plačljive SMS, ne da bi uporabnik to vedel, povratna sporočila pa so prikrili, da početja ne bi takoj opazili. Drugi so se povezovali na kitajske strežnike, čeprav sploh...

4 komentarji

REvil se je vrnil

Slo-Tech - Julija je hekerska skupina REvil izginila z obličja interneta, potem ko so pred tem zagrešili najobsežnejši izsiljevalski napad v zgodovini. Tedaj se je špekuliralo, da jim je postalo prevroče, saj so ZDA ponudile 10 milijonov dolarjev nagrade za namige, ki bi privedli do aretacij odgovornih. REvil je sedaj nazaj.

REvil je (bila) ena najaktivnejših skupin, ki je z izsiljevalskimi virusi služila milijone. Izvira iz Rusije, trdijo ameriški obveščevalci in strokovnjaki, in deluje z vednostjo tamkajšnjih oblasti. Njihova spletna stran se imenuje Happy Blog, tam pa tik pred začetkom napada objavijo vzorec ukradenih podatkov, s čimer pokažejo resničnost in resnost napada. Tarčo nato zaklenjeno iz lastnih sistemov, za obnovitev podatkov pa zahtevajo odkupnino. Da tarči ne bi padlo na misel enostavno poradirati vsega in obnoviti iz varnostnih kopij, zagrozijo še z javno objavo ukradenih podatkov.

Portal Happy Blog, prek katerega potekajo tudi pogajanja s tarčami, je ponovno oživel v...

7 komentarjev

Najdena in zakrpana resna ranljivost v Microsoftovem oblaku

Reuters - Varnostno podjetje je našlo resno ranljivost v Microsoftovem oblaku Azure, ki je napadalcem omogočala popoln prevzem nadzora nad drugimi računi. V Redmondu so luknjo zakrpali, medtem ko morajo dostopne ključe stranke zamenjati same.

Prenos informacijskih sistemov v oblak podjetjem ponuja poenostavitev vzdrževanja, a po drugi plati so odvisna od varnostne ravni, ki jo uspe ponudnik storitev v oblaku zagotavljati. Takšna podjetja imajo ponavadi cele vojske varnostnih strokovnjakov, a če se kakšna ranljivost pretolče skozi sito, je lahko skrajno uničujoča, ker je na udaru množica strank. To bi kaj lahko na lastni koži izkusili pri Microsoftu, kjer imajo v zadnjem času res polne roke dela s kibernetskimi napadi in krpanjem odprtin. Varnostno podjetje Wiz je namreč našlo resno ranljivost v osrednji storitvi upravljanja baz podatkov Cosmos DB, oblaka Azure. Poimenovali so jo Chaos DB in je napadalcu omogočala razmeroma enostavno pridobiti primarni vstopni ključ za množico drugih računov...

4 komentarji

Na internet pobegnila dva milijona oseb na domnevnem protiterorističnem seznamu

Slo-Tech - Na internetu se je nezaščitena znašla baza dveh milijonov oseb, ki po oceni raziskovalca, ki jo je opazil, predstavlja seznam ljudi, ki jim je prepovedano letenje (no-fly list) ali so kako drugače zanimivi za varnostne službe po svetu. Bazo je julija letos odkril Bob Diachenko na strežnikih Elasticsearch, kjer ni bila zaščitena. Z interneta je izginila tri tedne po prijavi na Službo za domovinsko varnost (DHS) v ZDA.

V bazi je bilo 1,9 milijona vnosov, ki so vsebovali polje, kot so TSC_id (TSC je Terrorist Screening Center), watchlist_id, no_fly_indicator, country_of_issuance, nomination_type ipd. Vse to kaže, da gre verjetno za seznam oseb, ki so ga izdelale varnostne agencije. Terrorist Screening Database, ki obstaja od 11. septembra 2001 (napadi na WTC), je leta 2016 vsebovala okrog 1,8 milijona oseb, torej je velikostni razred ustrezen.

Baza je bila odkrita 19. julija letos na strežniku, ki je imel bahrajnski IP-naslov. Po prijavi na DHS, ki jo je Diachenko izvedel še isti...

3 komentarji

Kako je bil Zavod za gradbeništvo žrtev spletne prevare

Izsek iz poslovnega poročila

Slo-Tech - Na portalu N1 pišejo, da je bil Zavod za gradbeništvo (ZAG) žrtev spletne prevare, zaradi katere so za sedaj izgubili 234.000 evrov (morda pa bodo del tega dobili nazaj). Podrobnosti o incidentu, ki se je zgodil novembra lani, so dostopne v poslovnem poročilu za minulo leto.

V projektu CINDERELA sodeluje tudi makedonski Inštitut za civilni inženiring (CEIM), ki bi mu moral ZAG plačati omenjeni znesek iz projektnih sredstev. V evropskih projektih namreč koordinator prejme avansna sredstva za partnerje, ki jih potem posreduje partnerjem glede na časovnico izvajanja projekta. Ko je ZAG CEIM obvestil, da jim lahko nakažejo denar, je CEIM odgovoril s sporočilom, da imajo nov bančni račun. Po poizvedbi ZAG-a so priložili tudi potrdilo o lastništvu računa, ki je vsebovalo podpise in pečate banke in inštitucije. Zato je ZAG plačilo izvedel na ta novi račun, ki je bil odprt pri švedski banki Nordea na Švedskem.

Ko je CEIM čez dva tedna sporočil, da denarja še niso prejeli, so začeli...

10 komentarjev

Izsiljevalski virusi napadajo NAS-e

Slo-Tech - Čeprav je mikavno imeti NAS povezan v internet, novi izsiljevalski virusi kažejo, da to prinaša znatna tveganja. Virus eCh0raix, poznan tudi kot QNAPCrypt, se širi in okužuje NAS-e proizvajalcev QNAP in Synology, ki so dostopni z interneta. Prvikrat so novo verzijo eCh0raix opazili lanskega septembra, medtem ko je sama koda še starejša. Že leta 2016 je napadala QNAP-ove NAS-e, zato se imenuje QNAPCrypt. Kasneje so ji dodali funkcije napada še drugih sistemov, od tarč pa zahteva plačilo nekaj sto dolarjev (v bitcoinih) odkupnine.

Vmes je čas tekel, stare ranljivosti se zakrpali, odkrite pa so nove. Nova inačica virusa izkorišča ranljivost ID CVE-2021-28799, ki tiči v starejših verzijah naprav QNAP-a in Synologyja. Na napravah QNAP na primer napade programsko opremo Hybrid Backup Sync (HBS 3), ki je namenjena sinhronizaciji med lokalni, oddaljenimi in oblačnimi slikami podatkov. Analitiki ocenjujejo, da je v internet priključenih vsaj 240.000 ranljivih naprav QNAP in 3500...

42 komentarjev

TPM se zlomi v pol ure

Slo-Tech - Od nekdaj je veljalo, da je računalnik, do katerega napadalec pridobi fizični dostop, slej ko prej kompromitiran. Z razvojem novih metod zaščite, od šifriranja do posebnih varnih enklav v čipih (Trusted Platform Module oz. TPM) se postavi vprašanje, ali ta problem še vedno ostaja. Raziskovalci iz Dolos Group so nedavno pokazali, da je prestrežen računalnik kljub vsem varnostnim ukrepom še vedno ranljiv.

Proučevali so scenarij, ko podjetje zaposlenim pripravi prenosne računalnike za delo od doma. Ti upoštevajo vsa znana priporočila NSA in NIST, kar vključuje šifriranje vsebine diska, uporabo varne (TPM) strojne opreme itd. Dobili so torej računalnik, ki je bil zaščiten, hkrati pa o njem niso vedeli ničesar. Ali ga je mogoče zlomiti?

Izkaže se, da v pol ure! Čeprav klasični prijemi niso delovali (napad prek DMA, obvoz avtentikacije, pridobivanje podatkov iz vmesnika ethernet/USB itd.), je šibek člen kar TPM. Računalnik je imel šifriran disk z BitLockerjem in se je avtomatično...

17 komentarjev

Skrivanje zlonamerne kode v nevronske mreže

Slo-Tech - Kitajski raziskovalci (z University of the Chinese Academy of Sciences) so pokazali, da je možno zlonamerno kodo učinkovito skriti v nevronske mreže in jo s tem pretihotapiti mimo protivirusnih zaščit. V objavljenem članku so 36,9 MB virusne kode skrili v 178 MB veliko nevronsko mrežo, ki je sicer namenjena prepoznavanju fotografij. S tem njenega delovanja niso opazno poslabšali (manj kot odstotek), so pa se izmuznili protivirusnim programom. Storitev VirusTotal, ki uporablja več kot 70 različnih protivirusnih programov in sezname sumljivih strani, domen in podobna orodja za iskanje sumljivega obnašanja, ni opazila ničesar.

Raziskovalci so v izdelani model nevronske mreže, ki je dobro deloval, v primeren sloj podtaknili virus. Možno je tudi drugače, in sicer lahko vzamejo nenatreniran model, mu dodajo virus in ga potem urijo. Rezultat bo nevronska mreža, ki bo nekoliko večja, bo pa primerljivo kakovostna. To je v bistvu steganografija, umetnost skrivanja, ki ni novost. Skrivna...

2 komentarja

Konec največjega vdora v zgodovini, dešifrirni ključ od REvila znan

Slo-Tech - V začetku meseca se je odvil največji usklajeni hekerski napad doslej, ki ga je ruska skupina REvil izvedla nad več kot 1500 podjetji v več deset državah. Zahtevali so 50 milijonov dolarjev odkupnine za univerzalni ključ, ki bi odšifriral vse datoteke, zaklenjene z izsiljevalskim virusom, sicer pa so od posameznih podjetij zahtevali manj, odvisno od velikosti. Dobra dva tedna pozneje je skupina izginila z interneta. Sedaj je napada uradno konec, saj je javno dostopen univerzalni ključ za dešifriranje.

Napad je potekal prek vektorja, ki ga je predstavljajo orodje za oddaljeni nadzor strežnikov, ki ga nudi podjetje Kaseya. To je hitro zakrpalo luknje in pripravilo popravke, a na okuženih sistemih je bila škoda že storjena. Sedaj pa jo bo možno odpraviti, saj je Kasea pridobila univerzalni ključ za dekripcijo. Podpredsednica podjetja Dana Liedholm je dejala, da so ga dobili od zaupanja vrednega partnerja in da so ga že preizkusili. Vse stranke, ki še imajo težave, se lahko obrnejo na...

8 komentarjev

Na internetu terabajt zaupnih podatkov iz Saudi Aramca

Slo-Tech - Največje podjetje na svetu, savdski državni naftni gigant Saudi Aramco, je potrdil, da ni bil tarča hekerskega napada, čeprav na internetu najdemo njihove zaupne dokumente (kar so tudi potrdili). Nekatere interne datoteke podjetja so pricurljale na internet, in sicer prek pogodbenega izvajalca, ki so mu hekerji podtaknili izsiljevalski virus. Zahtevali so 50 milijonov dolarjev odkupnine, na temnem spletu pa so se hvalili, da imajo 1 terabajt informacij.

Saudi Aramco je potrdil, da podatki niso odtekli iz njihovih sistemov in da hekerji niso vdrli v informacijski sistem podjetja. Toda že 23. junija so se na spletu neznani hekerji pohvalili, da imajo omenjeni terabajt podatkov. V zameno za izbris so zahtevali odkupnino v kriptovaluti monero, ki ji je težko slediti, sicer bi podatke razkrili javnosti. Po drugi strani pa so podatke tretjem kupcem ponujali za pet milijonov dolarjev, s čimer so dodatno pritiskali na Saudi Aramco, naj plača odkupnino in si zagotovi izbris podatkov....

10 komentarjev

Kam so šli hekerji iz REvil?

zemljevid napadenih področij po podatkih firme Kaspersky

vir: Ars Technica
Reuters - Hekerska skupina REvil, ki je bila med drugim odgovorna tudi za največji koordiniran izsiljevalski napad, ki se je zgodil nedavno, je izginila z obličja interneta. Spletne strani, ki jih je upravljala skupina, so izginile v torek. Tudi druga infrastruktura, denimo strani za pogajanje z žrtvami o višini odkupnine, je prenehala delovati. Raziskovalci in novinarji, ki so pred tem lahko vzpostavili stik s skupino, so praznih rok.

To še ne pomeni nujno, da se jim je zgodilo kaj hudega, saj so v preteklosti podobne skupine že izginile, ko so pritegnile preveč pozornosti javnosti in zlasti organov pregona, ter se potem vrnile v drugačni embalaži. REvil je zagotovo požel ogromno pozornosti, saj so v svojem zadnjem napadu prizadeli od 800 do 1500 podjetij in organizacij po celem svetu. O njihovem početju so govorili tudi na najvišjih ravneh, ameriški predsednik pa je v petek dejal, da bi se lahko ZDA agresivneje odzivale na tovrstne grožnje, ter enako zahteval tudi od Rusije. Ameriške...

3 komentarji

Na internet pricurljali FBI-jevi lažni telefoni iz operacije Trojan Shield / Greenlight

vir: Vice
Vice - Pred mesecem dni smo poročali o uspešnem zaključku mednarodne preiskave, v kateri so aretirali 800 osumljencev za huda kazniva dejanja. Ključni način za zbiranje dokazov so bili pametni telefoni, ki jih je v letih 2019-2021 pod krinko prodajal FBI kot varne telefone z zaščito proti prisluškovanju, v resnici pa so bili okuženi. Na njih je bila platforma ANOM, ki naj bi bila omogoča varno šifrirano komunikacijo. Sedaj vemo več, saj so se ti telefoni znašli na trgu rabljenih naprav.

Vice je dobil en tak telefon
in ga podrobno analiziral. Dobili so ga od uporabnika, ki ga je kupil rabljenega kot poceni telefon, pri čemer sploh ni vedel, da bo dobil zloglasni telefon ANOM (ki je bil predhodno v lasti nekega kriminalca). Takih primerov je še več. Gre za telefon Google Pixel 4a (pojavljajo se tudi Google Pixel 3a, ki so predelani na enak način), ki na prvi (in drugi) pogled deluje povsem običajno. Tako se zdi, če vpišemo PIN, ki odpre značilno namizje, na katerem so ikone do popularnih...

1 komentar

Okenska ranljivost PrintNightmare še vedno straši

bleepingcomputer.com - Po tem, ko so iz Microsofta v torek poslali prve popravke za ranljivost PrintNightmare (CVE-2021-34527), so varnostni strokovnjaki ugotovili, da jo je mogoče v določenih primerih še vedno zlorabiti in prevzeti nadzor nad sistemom.

V začetku junija so pri Microsoftu z rednimi obliži pokrpali ranljivost CVE-2021-1675. Luknja je zevala v okenskem organizatorju tiskanja (print spooler) in je napadalcem omogočala pridobitev administratorskih privilegijev. Toda nato je prišlo do komedije zmešnjav: teden dni kasneje sta raziskovalca Zhiniang Peng in Xuefeng Li ugotovila, da je mogoče ranljivost izkoristiti tudi za izvajanje kode na daljavo. Ker sta menila, da je težava že odpravljena, sta koncept zlorabe javno objavila, nakar se je izkazalo, da sta v resnici naletela na povsem novo, ločeno ranljivost - CVE-2021-34527, ki sta jo poimenovala PrintNightmare. Ta zlikovcem na daljavo omogoča vdor v krmilnik domen (domain controller), če je ciljni računalnik povezan v internet in daje na...

7 komentarjev

Izsiljevalski napad skupine REvil ni omejen na ZDA

zemljevid napadenih področij po podatkih firme Kaspersky

vir: Ars Technica
ZDNet - Na dan prihajajo nove podrobnosti izsiljevalskega napada ruske grupe REvil, ki se je pričel v petek in je zlorabil ranljivost v programski opremi firme Kaseya. Potencialno je na udaru do 1500 podjetij, ki prihajajo tudi iz Evrope in Azije, zlikovci pa za univerzalni ključ zahtevajo petdeset milijonov dolarjev.

Letošnji ameriški praznik dneva neodvisnosti so varnostni strokovnjaki preždeli pred zasloni in s kavo v rokah, kajti na predvečer prazničnega vikenda, 2. julija, je zloglasna ruska hekerska združba REvil sprožila obsežen ransomware napad na mnoga podjetja, najprej prvenstveno v Združenih državah. Vektor napada je bila programska oprema VSA ameriškega podjetja Kaseya, ki jo njene stranke, to so upravljalci omrežij, uporabljajo za upravljanje računalniških sistemov podjetij in njihov nadzor na daljavo. Čez vikend so nepridipravi javno objavili zahtevo po odkupnini v višini 70 milijonov ameriških dolarjev v zameno za univerzalno orodje za odklep ugrabljenih podatkov, ki pa naj...

7 komentarjev

ZDA zajel val simultanih ransomware napadov

Reuters -
Najmanj 200 ameriških podjetij je bilo včeraj, na začetek prazničnega konca tedna v ZDA, žrtev obsežnega izsiljevalskega napada. Ta je potekal prek orodja VSA floridskega ponudnika Kaseya, ki ga ponudniki upravljanja sistemov uporabljajo za množično upravljanje in nadzor strežnikov, delovnih postaj, prenosnikov, tiskalnikov in omrežnih naprav pri svojih strankah.

Napadalci so tako simultano napadli približno dvesto strank osmih ponudnikov, ki so uporabljali Kaseyin VSA in jim zašifrirali podatke. V zameno pa seveda zahtevali odkupnine, ki glede na pomembnost in velikost posamezne družbe segajo od nekaj dolarskih tisočakov pa tja do petih milijonov ameriških dolarjev.

Predstavniki Kaseye, ki ima sicer okoli 40.000 strank, so sporočili, da morebitni napad preiskujejo in da so za vsak slučaj ugasnili del svoje infrastrukture, svoje stranke pa obveščajo, naj nemudoma ugasnejo svoje strežnike. Preiskavo so zagnali tudi v ameriški zvezni Agenciji za informacijsko varnost in...

16 komentarjev

Robinhoodu najvišja kazen v zgodovini FINRA

Slo-Tech - Ameriški regulator finančnih inštitucij (Financial Industry Regulatory Authority) je kaznoval podjetje Robinhood Financial LLC, ki trži aplikacijo Robinhood za hitro in poceni trgovanje na borzah. FINRA je Robinhoodu izrekla 57 milijonov dolarjev globe in plačilo 12,6 milijona dolarjev odškodnine strankam, ki so bile zaradi protipravnega delovanja oškodovane. To je najvišja globa, ki jo je FINRA doslej izrekla.

Glavni očitek se nanaša na tehnične težave z mobilno platformo za trgovanje, zaradi katerih med povečano volatilnostjo stranke niso mogle opravljati vseh poslov, kar jim je povzročile visoke izgube. Poleg tega je Robinhood tudi nepoučenim vlagatelj dovoljeval investicije v kompleksne izvedene instrumente, ki so zelo tvegani, ne da bi jih primerno opozoril na možnost izgube premoženja. K temu sodi tudi trgovanje z visokimi vzvodi. FINRA je posebej izpostavila lanski primer, ko je uporabnik Robinhooda storil samomor, ker mu je aplikacija napak prikazovala negativno stanje v...

8 komentarjev

Ranljivost, ki ogroža na milijone Dellovih naprav

Ars Technica - Raziskovalci varnostnega podjetja Eclypsium so že v začetku marca odkrili paket varnostnih lukenj na Dellovih računalnikih, prek katerih je mogoče z njihovo povezavo prevzeti nadzor nad napravo, njenim zagonom, s tem pa tudi nad varnostnimi funkcijami operacijskega sistema. Ranljivosti imajo na lestvici Common Vulnerability Scoring System (CVSS) skupno varnostno oceno 8,3, prek njih pa je ogroženih 128 različnih Dellovih tablic ter namiznih in prenosnih računalnikov, skupaj naj bi šlo kar za okoli 30 milijonov naprav.

Središče nevarnosti predstavlja orodje Dell SupportAssist, ki je večinoma že prednaloženo na naprave in njegova funkcionalnost BIOSConnect, ki naj bi uporabnikom olajšala nadgradnje in popravke firmwara ter pomagala pri ponovni vzpostavitvi operacijskega sistema po morebitni zrušitvi. Orodje se v ta namen samo poveže v Dellov oblak in od tam prenese potrebne podatke. Raziskovalci pa so v tem procesu odkrili četverico ranljivosti, ki bi napadalcu lahko omogočile...

12 komentarjev

Cozy Bear ne počiva

Microsoft - Iz Microsofta so v razmeroma skopem sporočilu opozorili na nov napad s strani hekerske skupine Nobelium, kar je njihovo poimenovanje združbe APT29, oziroma Cozy Bear. Tokratni podvig je bil manjšega obsega, toda z važno podrobnostjo: začel se je z vdorom v računalnik enega od Microsoftovih uslužbencev.

Hekerska grupa Nobelium je ta hip brez dvoma eden najbolj poznanih globalnih kiber-napadalcev, saj je v lanskem letu zagrešila enega največjih hekerskih vdorov v zgodovini, ko se je skozi okuženo programsko opremo podjetja SolarWinds pretihotapila v vrsto pomembnih ameriških podjetij in agencij. Kdo natančno skupino sestavlja, še vedno ni čisto jasno; zelo verjetno se večinsko prekriva z že dlje časa razvpito rusko združbo Cozy Bear. Američani so še vedno trdno prepričani, da gre za Ruse, tesno povezane s tamkajšnjo obveščevalno službo. Gotovo pa gre za organizirano skupino, katere delovanje je zastavljeno na dolgi rok, kar Američani imenujejo persistent threat actor. Tako so v...

5 komentarjev

Srečanje OWASP Maribor: Kako so hekerji napadli elektro distributerja v Ukrajini leta 2015 in kako se v takih primerih branimo

OWASP

Slo-Tech - V sredo 30. junija ob 20. uri bo na virtualnem srečanju OWASP Maribor Matjaž Demšar predstavil nekaj izzivov povezanih s kibernetsko obrambo na področju nadzorovanja in krmiljenja industrijskih sistemov.

S prodiranjem digitalizacije v proizvodna okolja in kritično infrastrukturo se pojavljajo tudi tveganja za upravljavce. Pristopi k varovanju se precej razlikujejo od običajnega IT okolja in postavljajo organizacije pred izzive, njihovo infrastrukturo pa v nevarnost. Pogledali si bomo primer napada na elektro distributerja v Ukrajini leta 2015 ter priporočila za zagotavljanje varnosti v takih primerih.

Vabljeni k obisku, s prijavo na dogodek boste pridobili povezavo na online srečanje.

1 komentar

Izklopite My Book Live omrežni disk iz omrežja, če so vam podatki ljubi

WD MyBook Live: Geslo ne dela, podatki pa pa.

vir: Ars Technica
Ars Technica - Zunanji trdi diski so med uporabniki precej popularni kot rešitev za varnostno kopiranje pomembnih podatkov. Nekateri zunanji diski imajo tudi lasten omrežni vmesnik, tako da ga povežemo kar na mrežo in je lahko stalno prižgan ter povezan na internet, soležne aplikacije na telefonu pa omogočajo, da so vsebine dostopne od kjerkoli.

Ena izmed takih naprav je tudi My Book Live proizvajalca Western Digital. My Book Live, kot izhaja že iz imena, je "v živo" povezan z internetom oz. strežniki Western Digitala. Ta povezava pa očitno omogoča tudi tovarniško ponastavitev naprave, kar ima za posledico izbris vseh vsebin, ki jih naprava hrani. To se je včeraj začelo dogajati posameznim uporabnikom, simptom tega pa je npr. neveljavno geslo, ko se poskusite prijaviti na spletni nadzorni vmesnik naprave.

Če se naprava še ni ponastavila, jo nemudoma odklopite iz mreže, če ima ta mreža dostop do interneta, da preprečite izgubo podatkov.

10 komentarjev

Milijardni napad na bangladeško centralno banko korak za korakom

Slo-Tech - Pred petimi leti je sprva v Bangladešu in kasneje po celotnem sistemu SWIFT potekala prava drama, v kateri je bila na kocki milijarda dolarjev. Na koncu se je razpletlo sorazmerno srečno, saj so hekerji uspeli ukrasti le 81 milijonov dolarjev. Dolgo se je ugibalo, kdo je stal za napadom, kasneje pa smo spoznali, da je bil napad delo Severno Koreje. Obširno reportažo o tem je pripravil BBC, ki je na voljo tudi v podcastu iz desetih delov.

Začelo se je ob 8.45 zjutraj 5. februarja 2016 z nedelujočih tiskalnikom v bangladeški centralni banki. Kar je delovalo kot neškodljiva nevšečnost, je bil prvi vidni znak metodičnega dela skupine Lazarus, ki je delovala iz celotne Azije pod pokroviteljstvom Severne Koreje. Eden izmed glavnih osumljencev je Park Jin-hyok, ki sodi v skupino elitnih hekerjev, ki jih načrtno, do mladih nog vzgaja Severna Koreja. Že izbira datuma je kazala na metodičnost, saj se je napad začel v četrtek ob 20. uri po bangladeškem času, ko je ameriška centralna banka...

5 komentarjev

V Ukrajini razbili izsiljevalsko skupino C10P

Slo-Tech - V Ukrajini so po obsežni preiskavi, ki jo je tamkajšnja policija izvedla v sodelovanju z Interpolom, ameriškimi in južnokorejskimi oblastmi, aretirali šest članov kriminalne združbe Cl0P, ki se je ukvarjala z izsiljevalskimi virusi. Omenjena skupina je s svojim delovanjem povzročila za pol milijard dolarjev škode. Ukrajinska policija je potrdila, da je kibernetski oddelek razbil skupino, ki je delovala vsaj od leta 2019. Osredotočali so se na ameriške in južnokorejske tarče. V prestolnici in okolici so izvedli 21 hišnih preiskav. Zasegli so več računalnikov, vozil in za okrog 150.000 evrov ukrajinske gotovine. Pridržane posameznike so obtožili nezakonitega vstopa v računalniške sisteme in pranja denarja, zaradi česar jim grozi do osem let zapora.

Cl0P je zgolj ena izmed hekerskih skupin, ki uporabljajo izsiljevalsko programsko opremo za pridobivanje denarja od žrtev. Uporabljali so klasično dvojno taktiko: žrtvam so podatke zašifrirali, tako da so jih lahko dobile nazaj le ob...

1 komentar

Kratka sporočila (prek RCS) v Androidu dobila šifriranje

Slo-Tech - Google je v aplikacijo Google Messages, ki je privzeta aplikacija za pošiljanje in prejemanje kratkih sporočil (SMS) na androidnih telefonih, dodal možnost šifriranja sporočil od pošiljatelja do prejemnika (end-to-end). Funkcionalnost so preizkušali že nekaj mesecev, sedaj pa je na voljo vsem. Vseeno pa nekaj omejitev ostaja.

Šifriranje bo seveda delovala le, če oba sodelujoča v pogovoru uporabljata Google Messages, če imata vključen protokol RCS in če se pogovarjata sama (skupinski pogovori odpadejo). RCS je nadgradnja protokola za SMS iz leta 2008, ki prinaša deljenje lokacije, potrdilo o odprtju, vidnost tipkanja itd. Odkar prenos podatkov ni več omejitev, kratka sporočila pa so marsikod neomejena dobrina, sta tudi razvoj in implementacija RCS malo zastala. Google je praktično edini večji igralec, ki se še ukvarja z RCS in od leta 2019 uvajajo lasten sistem, ki ni odvisen od operaterja.

V Google Messages je šifriranje izvedeno po protokolu Signal, ki ga uporabljajo tudi...

11 komentarjev

Southwest zaradi računalniških težav odpovedal 500 letov

Slo-Tech - Ameriški letalski prevoznik Southwest Airlines je včeraj odpovedal približno 500 letov, še več sto pa jih je zamujalo, ker so morali zaradi težav z računalniškim sistemom začasno ustaviti delovanje. Letala so bila prizemljena od 19.45 do 20.30 po slovenskem času, zaradi česar je 37 odstotkov poletov (okrog 1300) pridelalo zamudo. Razlog je težava z mrežno povezljivostjo, zaradi česar je Southwest zaprosil FAA, naj uradno prizemlji njihova letala, da ne bi kje kakšno po nevede vzletelo. To je že druga težava v zadnjih 24 urah pri istem letalskem prevozniku.

Že v torek zjutraj po slovenskem času je Southwest zaradi druge
, po besedah prevoznika nepovezane težave, začasno prizemljil svoja letala, a tedaj letov ni bilo treba odpovedati. Zjutraj je bila težava s sistemom za zagotavljanje vremenskih podatkov, so sporočili. Težavo, ki je izvirala pri zunanjem ponudniku storitev, so odpravili okrog 6. ure zjutraj po slovenskem času. Tedaj je zamudilo 1541 letal. Zaradi včerajšnjih težav so...

2 komentarja

Reality Winner predčasno izpuščena iz zapora

Slo-Tech - Zaradi lepega vedenja bodo iz zapora predčasno izpustili Reality Winner, ki je leta 2017 časniku The Intercept posredovala dokumente, ki so bili v ZDA označeni kot tajni. V letih 2010-2016 je delala v ameriškem vojaškem letalstvu kot strokovnjakinja za lingvistiko in kriptologijo, potem pa je nadaljevala kariero v zasebnem podjetju, ki je bilo podizvajalec za NSA, zato je obdržala licenco za dostop do nekaterih tajnih podatkov. Tako je pridobila dokumente o ruskem vpletanju v ameriške volitve, ki jih je posredovala časniku. Ta je po avtentičnosti vprašal NSA, ki je ugotovila, da gre za skenirane verzije natisnjenih dokumentov, zato jih je posredovala FBI. Ta je v preiskavi hitro ugotovil, da jih je odtujila Reality Winner, saj so bile na kopijah vidne mikrotočke, ki omogočajo identifikacijo tiskalnika, od tod pa je bil do identifikacije storilca le še korak.

Leta 2018 je bila Reality Winner obsojena na petletno zaporno kazen zaradi izdaje zaupnih dokumentov
. Doslej je v zaporu...

0 komentarjev

Število kampanj ribarjenja se povečuje

Slo-Tech - Četudi zadnje čase več poročamo o izsiljevalskih virusih, ribarjenje (phishing) še vedno ostaja zelo priljubljena vrsta internetnega kriminala. V poročilu APWG (Anti-Phishing Working Group) ugotavljajo, da je letos število tovrstnih spletnih strani doseglo absolutni rekord, in sicer so jih našteli 245.771. To je več kot dvakrat več kot v enakem obdobju lani.

V delovni skupini APWG je več kot 2200 organizacij, med katerimi so tudi tehnološki velikani (Microsoft, Facebook, PayPal), strokovnjaki za varnost (RSA, ESET), organizacije (ICANN) in drugi. Ugotavljajo, da število ribarskih spletnih strani sicer niha, in je bilo najvišje januarja letos, februarja pa nekoliko nižje, a je trend rastoč. Teh 200-250 tisoč strani skuša posnemati okrog 500 uveljavljenih znamk, med katerimi je četrtina finančnih inštitucij, slaba četrtina družbenih omrežij ter petina ponudnikov spletne pošte. To je tudi razumljivo, saj kraja prijavnih podatkov za omenjene vrste storitev kriminalcem nudi najboljši...

3 komentarji

Electronic Arts žrtev hekerskega napada

vir:BleepingComputer

vir: Vice
Vice - Za zdaj še neznani vdiralci so sporočili, da so uspešno vdrli v omrežje velikana digitalne zabave Electronic Arts (EA) in pri tem odnesli za 780 GB podatkov. Med njimi naj bi bila izvorna koda za FIFO 21 - in z njo povezana orodja, napadalci pa naj bi imeli v rokah tudi izvorno kodo za grafični pogon Frostbite, ki je temelj za številne EAjeve naslove. Zadnje, napadalci naj bi si pridobili tudi točke, ki v FIFI veljajo kot igralna valuta in so med kriminalci priljubljeno sredstvo za pranje denarja.

Pri Bleeping computer so stopili v stik s neznancem, ki je omenjene podatke za 28 milijonov ameriških dolarjev ponujal na enem od forumov in ta jim je zatrdil, da bo kupec obenem dobil poln dostop do vseh EAjevih storitev. Del svojih trditev so vdiralci podkrepili s posnetki zaslonov, na katerih so mape z datotekami izvorne kode.

V EA so incident potrdili, prav tako, da je bila odnešena omejena količina izvorne kode in nekaj orodij. So pa zatrdili, da so na varnem vsi podatki, ki se...

2 komentarja

Operacija Trojan Shield / Greenlight: če ne moremo zlomiti šifriranja, ponudimo svojo aplikacijo

Slo-Tech - Ameriški FBI, ameriška Agencija za droge (DEA), nizozemska policija in švedska policija so v sodelovanju z Europolom in še trinajstimi drugimi državami včeraj izvedle obsežne racije, v katerih so pridržali 800 osumljencev hudih kaznivih dejanj, zasegli osem ton kokaina, dve toni amfetaminov, 250 kosov orožja, 55 luksuznih avtomobilov in več kot 48 milijonov dolarjev gotovine in kriptovalut. V dve leti dolgi preiskavi so prisluškovali več kot 12.000 posameznikom iz 300 hudodelskih združb iz več kot 100 držav - ker so uporabljali aplikacijo za komuniciranje, ki jo je pripravil FBI.

Modernih aplikacij za šifrirano komuniciranje, kar podpira tudi WhatsApp, ob dobri implementaciji ni možno zlomiti. Če želimo prisluškovati pogovorom, je edini način zajeti vsebino na viru ali cilju, torej okužiti sprejemnike. Zaradi tega so v ZDA in Evropi že dlje časa žgoče razprave, ali bi države lahko imele pravico od proizvajalcev zahtevati, da v svoje izdelke vgrajujejo stranska vrata. Brez tega...

60 komentarjev

Odkrita zanimiva ranljivost v čipu M1, ki pa ni kritična

Ars Technica - Med projektom prenosa Linuxa na nove mace s sistemskim čipom M1 je bil odkrit še neznan hrošč v čipu, ki dvema aplikacijama omogoča nepooblaščeno komuniciranje med seboj. A ker prijem ne omogoča kraje informacij ali okuževanja naprav z zlobno kodo, zaenkrat ne gre za resnejšo težavo.

Hector Martin je vodja projekta Asahi Linux, katerega namen je prenesti Pingvina na Applove naprave z novim sistemskim čipom M1. Pri igračkanju z drobovjem procesorja pa je naletel na samosvoj register velikosti dveh bitov, ki je dosegljiv v načinu delovanja EL0, to je tisti z najnižjimi sistemskimi privilegiji, ki ga uporabljajo aplikacije. Problem je, da je raba tega registra operacijskemu sistemu praktično nevidna. To pomeni, da ga lahko dve aplikaciji, če to znata, namensko uporabita za medsebojno komunikacijo, ki je ni mogoče zaznati brez posebnih orodij. Po drugi plati te zmogljivosti ni mogoče uporabiti za kukanje v druge registre, oziroma pomnilnik, ali procese. Tako je funkcija uporabna zgolj...

15 komentarjev

Napadalci SolarWinds znova udarili s phishing kampanjo

Primer phishing sporočila. Vir: Microsoft

Slo-Tech - Kot so sporočili iz Microsofta, je minuli teden vnovič potekala obsežna phishing kampanja, izvajala pa naj bi jo ruska hekerska skuina Nobellium, znana tudi pod imeni APT29, Cozy Bear in the Dukes, sloveča tudi po lanskih napadih SolarWinds. Tokratni napad je obsegal pošiljanje phishing sporočil na okoli 3000 naslovov v približno 150 podjetjih in drugih organizacijah. Pošta je prihajala z uradnega marketinškega poštnega računa ameriške Agencije za mednarodni razvoj (USAID), nad katerim so si napadalci že prej uspeli zagotoviti nadzor.

Nekatera sporočila so vsebovala povezavo s klikabilnim naslovom, denimo Trump objavil nove dokumente o volilni prevari, po kliku se je uporabnik sprva našel na dejanskem strežniku z imenom Constant Contact service USAID, od koder so ga nato preusmerili na strežnik Nobelliuma, kjer je skupek kode v JavaScriptu prenesel in pognal zlobno kodo in v sistem prenesel ISO datoteko. Ta je vsebovala PDF datoteko, LNK datoteko z imenom Reports in skrito...

2 komentarja

Neznanci napadli Pravno informacijski sistem Republike Slovenije

Slo-Tech - Pravno informacijski sistem Republike Slovenije - PISRS - je nedosegljiv že od ponedeljka. Namesto vsebin se pokaže zgolj opravičilo, da je stran trenutno nedosegljiva. Nekoliko več informacij nudi novica na spletni strani gov.si, ki pove, da je prišlo do varnostnega incidenta v zalednem sistemu spletišča PISRS. Napadalec naj bi vdrl prek zelo stare in varnostnih lukenj polne, nevzdrževane namestitve Apache Solr.

PISRS je v upravljanju Službe vlade za zakonodajo, skozi leta pa je postal nepogrešljiv pripomoček za vpogled v aktualni nabor predpisov, saj je SVZ vsako spremembo dodal v sistem ter s tem javnosti nudil predpise v čitljivi obliki. Predvsem PISRS prihrani ogromno časa posameznikom, saj bralcu ni potrebno zamudno brskanje po Uradnem listu, iskanje zadnjega uradnega prečiščenega besedila, prebiranje za spremembami predpisa, ter ročno dodajanje vseh sprememb, da dobi ažurno različico.

Vse pristojne službe si prizadevajo, da bi PISRS obudili nazaj v delovanje v najkrajšem...

41 komentarjev

Hekerski napad na Irskem ohromil delovanje zdravstvenega sistema

Slo-Tech - Komajda se je rešil en velik hekerski napad, že poteka drugi. Na Irskem so morali ugasniti večji del informacijskega sistema, ki ga uporablja tudi zdravstvo. Iz HSE (Health Service Executive) so sporočili, da so se za ukrep odločili iz previdnosti, potem ko je hekerski napad prizadel vse jedrne dele nacionalnega informacijskega sistema. Sistema niso v celoti ugasnili, saj še vedno delujejo klinični sistemi in program cepljenja proti covidu-19, ki tečeta na ločeni infrastrukturi. Nedelujoč pa je sistem za naročanje, izdajanje in obdelavo napotnic. Urgence delujejo, bolnišnice pa imajo različne težave, odvisno do prizadetosti.

Odgovornosti za napad še ni prevzela nobena skupina. Prav tako ni jasno, ali za njim stoji izsiljevalska programska oprema in zahteva po odkupnini. Posamezni pregledi že odpadajo, denimo nosečnic, ki še niso v 36. tednu. Ponekod normalno delujejo onkološki oddelki in operacije, medtem ko radioterapija in slikanja ne. Glavna težava je nedostopnost sistema za...

9 komentarjev

Colonial Pipeline plačal pet milijonov dolarjev odkupnine

Bloomberg - Colonial Pipeline je hekerjem, ki so z izsiljevalskim virusom izsilili ustavitev delovanja največjega ameriškega naftovoda, izplačal skoraj pet milijonov dolarjev odkupnine, sklicujoč se na vire iz podjetja piše Bloomberg. Izplačilo naj bi izvedli v kriptovaluti, ki ji je težko slediti. Po neuradnih podatkih naj bi bile ameriške oblasti seznanjene z dejstvom, da je bila odkupnina plačana. Hekerji naj bi po prejemu odkupnine podjetju predali orodje za dešifriranje podatkov, ki pa je tako počasno, da raje nadaljujejo obnavljanje iz varnostnih kopij. Uradnih vesti iz podjetja ni, je pa začelo gorivo teči danes okrog polnoči po slovenskem času.

Hekerji so včasih zgolj zašifrirali datoteke in zahtevali plačilo odkupnine za obnovo, a so sčasoma izsiljevanje podvojili. Ker so podjetja tedaj podatke pač obnovila iz varnostnih kopij, jim sedaj zagrozijo še z javnim razkritjem vseh ukradenih podatkov. Kljub temu FBI še priporoča, da se odkupnina ne plača. A v veliko primerih podjetja...

9 komentarjev

FBI za napad na naftovod obtožil DarkSide, slednji posredno priznal nespamet

Slo-Tech - FBI je včeraj uradno potrdil, da je hekerska skupina DarkSide odgovorna za napad na Colonial Pipeline, zaradi česar so morali začasno ustaviti transport goriv po največjem ameriškem naftovodu, ki z nafto, kerozinom in bencinom oskrbuje polovico vzhodne obale. Podrobnosti zaradi interesa preiskave FBI ne razkriva.

Upravljavec naftovoda je po zaustaviti naftovoda začel odpravljati težave zaradi vdora in nekaj krajših linij že zagnal, preostanek pa naj bi bil delujoč do konca tedna. V vmesnem času se lahko poraba goriv pokriva iz lokalnih rezerv in povečanega klasičnega transporta, potem pa bi grozilo večje povišanje cen. Maloprodajne cene goriva so na prizadetih območjih že porasle za okrog 2-4 odstotke, v celotni državi pa za slab odstotek. Glavni problem niso osebni avtomobili, temveč letališča, ki imajo lastnih rezerv za 3-5 dni, ter cestni tovorni promet. V primerjavi s situacijo pred desetletji je ZDA to pot praktično samozadostna glede proizvodnje goriv, a so rafinerije...

11 komentarjev

Hekerski napad povzročil zaprtje največjega ameriškega naftovoda

Washington Post - Podjetje Colonial Pipeline, ki v ZDA upravlja največji naftovod, je včeraj zaradi hekerskega napada zaprlo svoje celotno naftovodno omrežje. Po njem se pretakajo nafta, bencin, kerozin in druga goriva, skupno pa na vzhodno obalo ZDA dobavijo skoraj polovico vsega potrebnega goriva iz rafinerij v Teksasu. Po prvih podatkih je napad izvedla skupina DarkSide, ki naj bi izvirala iz vzhodne Evrope. V podjetju so napad potrdili.

Incident preiskujejo organi pregona in podjetje za računalniško varnost FireEye, zato veliko podrobnosti ta hip še ni znanih. Napad se je zgodil v petek pozno popoldne po našem času in je vključeval izsiljevalsko programsko opremo. Tako hekerji niso zaprli naftovoda, temveč je to storil upravljavec, ko je ugasnil računalniške sisteme, da bi omejil širjenje virusa. Za zdaj zaprtje še ni vplivalo na cene nafte, ni pa še znano, kako dolgo bo trajalo. Tovrstni napadi kažejo, kako zelo je kritična infrastruktura občutljiva na delovanje računalniških sistemov, ki so...

25 komentarjev

Predlog novega Zakona o varstvu osebnih podatkov v javni razpravi

Vir: Ministrstvo za pravosodje

Slo-Tech - Ministrstvo za pravosodje je v petek v javno razpravo ter v strokovno in medresorsko usklajevanje posredovalo predlog novega Zakona o varstvu osebnih podatkov (ZVOP-2), ki na sistemski ravni izvaja določbe Splošne uredbe o varstvu podatkov iz leta 2016 (znana tudi po angleški kratici "GDPR"). Pred tem so novembra v Državnem zboru sprejeli tudi Zakon o varstvu osebnih podatkov na področju obravnavanja kaznivih dejanj (ZVOPPOKD), ki ločeno ureja varstvo osebnih podatkov posameznika, ki je obravnavan zaradi kaznivih dejanj pred represivnimi organi.

Na spletni strani ministrstva so zapisali, da predlog ZVOP-2 ohranja visoke standarde varstva osebnih podatkov v Republiki Sloveniji in dopolnjuje Splošno uredbo v delu, kjer ta urejanje prepušča državam članicam Evropske unije. Predlog ureja tudi prvostopenjski postopek pred zavezanci za varstvo osebnih podatkov, pritožbene ter nadzorne postopke pred Informacijskim pooblaščencem, določa prekrške za kršitve, ki niso zajeti že v Splošni...

7 komentarjev

Velik napad DDoS na belgijsko javno upravo

Slo-Tech - Strani, katerih strežniki gostujejo na Belnetovem omrežju, so bile danes večji del dneva nedosegljive. Belnet, ki je belgijski državni ponudnik dostopa do interneta, ki ga uporablja večinoma javni sektor, je bil tarča obsežnega napada DDoS. Zaradi tega so bile nedosegljive strani več kot 200 belgijskih uradov, agencij in vladnih služb, ministrstev, parlamenta itd. Težave so imeli tudi platforma za oddajo davčnih obračunov in drugih obrazcev, več šol in univerz, ki so uporabljale orodja za poučevanje na daljavo. Nedostopen je bil tudi portal za prijavo na cepljenje proti covidu. Motnje so prekinile tudi delovanje parlamentarnih odborov, saj se ti niso mogli sestati na daljavo.

Belgijsko pravosodno ministrstvo je potrdilo težave. Številni uporabniki interneta so opazili, da je začetek motenj sovpadal z začetkom seje parlamentarnega odbora za zunanje zadeve, kjer bi morali obravnavati kitajsko ravnanje z Ujguri in poslušati pričevanje preživelega interniranca iz delovnega taborišča....

69 komentarjev

Nov napad Spectre?

Ars Technica - Pred dobrimi tremi leti smo izvedeli za napada Spectre in Meltdown, ki sta proizvajalcem procesorjem povzročila obilico sivih las. Odkritje je pokazalo, da so moderni procesorji zaradi optimizacij (speculative execution) za večjo zmogljivost ranljivi na napad, ki nepooblaščenemu programu omogoča prebiranjem pomnilniških delov, do katerih nima dostopa. To je problematično, ker se tam lahko (in dostikrat tudi se) skrivajo gesla, ključi in drugi občutljivi podatki. Proizvajalci procesorjev so razvili različne tehnike za blažitev teh ranljivosti, izmed katerih so nekatere zaščitile tudi stare procesorje, predvsem pa so se posvetili novim, kjer so lovili občutljivo razmerje med hitrostjo in varnostjo. Raziskovalci z univerz v Virginiji in San Diegu pa sedaj proizvajalcem sporočajo, da so spet na začetku.

Raziskovalci namreč AMD-ju in Intelu sporočajo, da so odkrili način napada, ki premaga Intelovo zaščito LFENCE in drugi AMD-jeve zaščite. Nova metoda napada predpomnilnik na...

14 komentarjev

Apple posredno žrtev ransomwara

vir: Flickr

Slo-Tech - Napad naj bi izvedla ruska hekerska skupina REvil, znana tudi pod imenom Sodinokibi, ki je tajvanskemu podjetju Quanta med napadom ukradla podatke o zasnovi in proizvodnji MacBookov in nekaj drugih Applovih izdelkih, ki jih v Quanti sicer proizvajajo za Apple. Da se je incident res primeril so v podjetju že potrdili. Niso pa znane podrobnosti samega napada, v zadnjem podobnem incidentu so REvil sicer zlorabili ranljivost Microsoftovega Exchange ProxyLogona.

REvil je podrobnosti ukradenih materialov začel objavljati 20. aprila, nekaj ur pred Applovim dogodkom Spring Loaded, potem ko so pri Quanti zavrnili plačilo 50 milijonov ameriških dolarjev odkupnine. Nepridipravi zdaj k plačilu pozivajo kar sam Apple, za kar so tudi postavili rok 1. maj, dotlej pa bodo, kot so napovedali, vsakodnevno objavili nekaj podatkov.

Objavljene podrobnosti zares obsegajo načrte za nov Apple Watch, pa pravkar najavljen redizajn iMacov, nekaj proizvodnih diagramov za lanski MacBook Air in podrobnosti o...

4 komentarji

Ranljivost v WhatsApp zlikovcem omogoča zaklep profila žrtev

Forbes - Čeprav sodi med najpopularnejše aplikacije za hipno sporočanje, WhatsApp tehnološko ni nič kaj pred konkurenco. Dvostopenjsko preverjanje pristnosti (2FA) sploh ni obvezno in ga veliko uporabnikov ne uporablja, a pred najnovejšim napadom sploh ne ščiti. V Forbesu poročajo o načinu, kako nas lahko zlikovci zaklenejo iz lastnega profila. Pri tem ne gre za klasičen vdor, temveč za zlorabo slabo izpeljanih mehanizmov.

Vsakdo lahko namreč namesti aplikacijo WhatsApp na svoj telefon in vnese poljubno telefonsko številko, s katero ga želi povezati - četudi nima dostopa do te številke. WhatsApp potem pošlje na to številko SMS s kodo, ki je potrebna za aktivacijo na novi napravi. To kodo seveda prejme legitimni lastnik, ki z njo nima kaj početi, lahko jo le ignorira. Toda če zlikovec kodo zahteva in vpiše dovoljkrat, bo povzročil 12-urni zaklep sistema za vnos kode, ki je namenjen zaščiti pred ugibanjem. To še ni problem.

Problematičen pa je drugi del napada. Če zlikovec potem pošlje...

19 komentarjev

Exchange strežniki zdaj napadeni še z ransomwarom

bleepingcomputer.com - Nedavno razkrite ranljivosti v poštnih strežnikih Exchange zdaj nepridipravi izkoriščajo še za nameščanje izsiljevalske zlobne kode, so sporočili iz Microsofta. Gre za novo obliko ransomwara, znano pod imenom DoejoCrypt oz. DearCry, ki izkorišča iste ranljivosti, kot jih je uporabila hekerska skupina Hafnium, domnevno povezana s kitajskimi oblastmi.

Microsoft je pred tednom dni sicer objavil popravek, ki pa ne pomaga, če so bili strežniki napadeni že pred tem in ranljivost izkoriščena za namestitev zlobne kode. Kot pojasnjujejo, so pripadniki Hafniuma ranljivosti najverjetneje izkoristili za zbiranje obveščevalnih podatkov, pozneje, nekje po 9. marcu, pa so se jih z drugimi, beri izsiljevalskimi nameni, poslužile še številne druge vdiralske skupine, ki trenutno aktivno napadajo strežnike v ZDA, Kanadi in Avstraliji. Ameriški FBI in CISA (Cybersecurity and Infrastructure Security Agency) sta že objavila opozorilo, da ranljivost predstavlja veliko nevarnost za podjetja in kot

11 komentarjev

Ponovno vdrli v Gab

Slo-Tech - Teden dni po zadnjem vdoru je družbeno omrežje Gab ponovno podleglo hekerjem. Včeraj se je med objavami znašlo sporočilo Andrewa Torbe, ustanovitelja in izvršnega direktorja Gaba, v katerem je sam sebe karal, da ni plačal osmih bitcoinov odkupnine za vrnitev minuli teden odtujenih osebnih podatkov uporabnikov. Jasno je, da so sporočilo napisali hekerji, ki imajo očitno spet dostop do Gaba. Malo zatem je stran za nekaj ur izginila, sporočilo pa so izbrisali.

Kasneje se je javil pravi Torba, ki je pojasnil, da so hekerji v prvem napadu pridobili tudi žetone OAuth2. Čeprav so pri sanaciji napada onemogočili krajo novih žetonov, niso deaktivirali starih, zato so se lahko z njimi hekerji prijavili v Gab. V osmih minutah, kolikor je trajalo od začetka do konca napada, so objavili 177 sporočil. Da pri sanaciji vdora niso onemogočili starih žetonov, je malomarnost. Možnih razlag je več, bodisi upravljavci strani niso dobro razumeli kode, ki poganja Gab (mastodon), bodisi niso želeli...

5 komentarjev

Ranljivost v Exchangeu se aktivno izkorišča, tarč več deset tisoč

Slo-Tech - Microsoft je ob nedavno odkriti in zakrpani ranljivosti v več verzijah Exchange Severja opozoril, da več hekerskih skupin luknjo že izkorišča. Brian Krebs je potrdil, da je žrtev samo v ZDA vsaj 30.000. Napadi so se še okrepili.

Potem ko je Microsoft 2. marca izdal izredne varnostne popravke, kar se zgodi redko, je kitajska hekerska skupina Hafnium še povečala pogostost napadov na to ranljivost, ugotavlja Krebs. Na ta način si želijo zagotoviti prisotnost v sistemih, saj tudi po zakrpanju luknje sistemi ostanejo ranljivi, če so jih hekerji predhodno kompromitrali in vanje naložili zlonamerno programsko opremo. Zato Microsoft in tudi naš SI-CERT svetujejo, da po namestitvi popravkov temeljito preverimo (obstaja več orodij), ali je bil sistem že pred tem napaden (simptomi) - in ga v takih primerih ustrezno očistimo.

Napadi pa trajajo že vsaj dva meseca. V podjetju Volexity, ki so prvi opazili ranljivosti in nanjo opozorili tudi Microsoft, so dejali, da so prve napade zaznali že 6....

6 komentarjev

Google z nemškima zavarovalnicama orje ledino zavarovanja v oblaku

vir: Piqsels

Reuters - Google Cloud je z münchenskima zavarovalnicama Allianz Global Corporate and Specialty (AGCS) in Munich Re sklenil partnerstvo za pokrivanje informacijskih vdorov in drugih neljubih dogodkov, namenjeno strankam, ki uporabljajo njihove oblačne storitve. Gre za prvi primer, da je kateri od večjih ponudnikov za svoje uporabnike oblikoval tako storitev, seveda pa bi v primeru uspeha to lahko pomenilo razmah takih informacijskih zavarovanj tudi drugod, denimo pri ponudnikih programske opreme za velika podjetja, podjetjih, ki se ukvarjajo z varnostjo, spletnim gostovanjem in drugih.

Risk Protection Program meri na pojav, da se bolj občutljivi procesi danes pogosto izvajajo v javnem oblaku, kar pomeni, da je treba riziko porazdeliti med uporabnikom in ponudnikom in ga močneje integrirati v samo storitev. Program bo v praksi potekal prek Googlovega diagnostičnega orodja Risk Manager, ki ga stranka požene v svojem sistemu, rezultate pa posreduje obema zavarovalnicama, ki bosta na podlagi...

8 komentarjev

Hekerji vdrli v Gab in odnesli 70 GB podatkov

Slo-Tech - Družbeno omrežje Gab, kamor so se po blokadi na Twitterju in prenehanju delovanja Parlerja zatekli podporniki nekdanjega ameriškega predsednika in - to še ni potrjeno - morda tudi on, je bilo žrtev hekerskega napada, so sporočili iz podjetja. Hekerji so po navedbah skupine DDoSecrets izkoristili ranljivost vrivanja SQL in pridobili zaledno bazo podatkov. Baza podatkov za zdaj še ni pricurljala na internet, lahko pa dostop dobijo novinarji in strokovnjaki za varnost, so sporočili iz aktivistične skupine DDoSecrets. Dejali so, da baza predstavlja dragocen vpogled v dogajanje na družbenih omrežjih, ki je v letu 2021 zanimivo tudi zaradi širšega ozadja, ki vključuje objave, povezovanje in delovanje ekstremističnih skupin, pravi vodja DDoSecrets Emma Best. Na Gabu so intenzivno objavljali tudi pripadniki milic, neonacistov, QAnona in podobnih grupacij. Po napadu na kapitol je število objav na Gabu in uporabnikov poskočilo. Google je aplikacijo Gab odstranil že leta 2017 zaradi širjenja...

28 komentarjev

Na Jamajki že tretjič ušli podatki iz baze za covid-19

Slo-Tech - Na Jamajki so onemogočili dostop do spletne strani in pripadajoče aplikacije JamCOVID, ki je namenjena omejevanju epidemije covida. V varnostnem incidentu, ki je že tretji zapovrstjo, so ušli podatki več kot pol milijona obiskovalcev tega otoka, ki jim je bila odrejena karantena. Stran se je kasneje vrnila.

Aplikacija JamCOVID se uporablja za lažjo obravnavo potnikov, ki pridejo na Jamajko in jim ministrstvo za zdravje odredi karanteno. V bazi so imena vseh potnikov in naslov, na katerem morajo preživeti 14-dnevno karanteno. Varnostni raziskovalci pa so ugotovili, da so bili ti podatki dostopni kar iz brskalnika, saj baza ni bila zaščitena z geslom, temveč je bila odprta na internet. Jamajška vlada odgovarja, da se je nepooblaščen dostop sicer zgodil, a ni šlo za množično odtekanje podatkov.

To ni prvi varnostni incident s to aplikacijo. Minuli teden je bilo tudi na Jamajki na internetu dostopnih več podatkov o 70.000 negativnih rezultatih testov na covid in več kot 425.000...

0 komentarjev

Botnet, ki za komunikacijo uporablja bitcoinovo verigo blokov

Slo-Tech - Ena izmed ključnih lastnost verige blokov (blockchain), ki jo uporabljajo kriptovalute, je nespremenljivost preteklih blokov - kar zapišemo vanje, tam ostane za zmeraj, obstaja pa v več decentraliziranih kopijah pri uporabnikih po celem svetu, zato jih ni možno poloviti. Zamisel, da bi tja kaj zapisali, ni nova. So pa to prvikrat izkoristili hekerji, ki obvladujejo botnet. Raziskovalci iz podjetja Akamai poročajo o botnetu, ki IP-naslove rezervnih nadzornih strežnikov pridobi iz transakcij z bitcoinom.

Botneti, kamor imenujemo velika omrežja okuženih računalnikov, ki jih obvladujejo hekerji, so uporabni le, dokler so v stiku z nadzornimi strežniki. Pri razbijanju botnetov je zato eden izmed ključnih korakov onesposobitev oziroma blokada nadzornih strežnikov (sinkholing), s čimer okuženih računalniki izgubijo lutkarja. Napadalci sicer lahko postavijo nove strežnike, a če okuženi računalniki ne poznajo njihovih naslovov (dokler jih seveda na dezinficiramo), so neuporabni zombiji.

...

13 komentarjev

Se je hekerska skupina Sandworm lotila vohunstva?

ZDNet - Prejšnji teden je francoska državna agencija za kibernetsko varnost razkrila, da je dobro organizirana napadalna ekipa v približno tri leta dolgi kampanji vdrla v več francoskih podjetij. Čeprav stoodstotnega potrdila še ni, pa veliko podrobnosti kaže na delovanje ruske skupine Sandworm, kar je zanimivo, ker slednjo povezujemo z uničevalnimi napadi na omrežja, ne z vohunskimi podvigi, kot je bila kampanja v Franciji.

V začetku prejšnjega tedna so iz francoske državne agencije za informacijsko varnost ANSSI (Agence Nationale de la Sécurité des Systèmes d'Information) sporočili, da so prišli na sled nepridipravom, ki so med letoma 2017 in 2020 vdrli v več francoskih informacijskih podjetij; zvečine je šlo za ponudnike spletnega prostora, cilj pa naj bi bilo vohunjenje. Vdore je povezovala vstopna točka skozi luknje v nadzornem programju za omrežja Centreon, istoimenskega francoskega podjetja. V Centreonu so sredi tedna v izjavi za javnost poudarili, da niso bile napadene njihove...

0 komentarjev

Severna Koreja naj bi bila poizkušala vdreti v Pfizerjeve strežnike

Slo-Tech - Po trditvah južnokorejske obveščevalne agencije naj bi Severna Koreja skušala vdreti v strežnike ameriškega podjetja Pfizer, ki izdeluje eno izmed cepiv proti covidu-19. Severnokorejski hekerji so se še posebej zanimali za informacije in tehnologijo za izdelavo cepiva proti covidu-19 in tudi za protokole zdravljenja.

Ni znano, v kolikšni meri je bil napad uspešen, saj v Pfizerju navedb ne komentirajo. Obtožbe južnokorejskih oblasti zoper Severno Korejo zaradi domnevnih hekerskih napadov pa postajajo stalnica. V zadnjem letu se je število napadov povečalo za tretjino, so dejali v Seulu. Severnokorejce obtožujejo tudi drugi, denimo Microsoft novembra lani, ko naj bi sodelovali še ruski hekerji. Obtožbe se vrstijo tudi zoper kitajske hekerje, medtem pa Kitajci obtožujejo tudi Američane. Skratka, računalniški vdori so postali moderni način vojskovanja. V Severni Koreji sicer trdijo, da nimajo nobenega primera covida-19, bodo pa v prihajajočih tednih vseeno dobili dva milijona odmerkov...

14 komentarjev

CD Projekt Red žrtev izsiljevalskega napada

Slo-Tech - V torek so iz poljskega igričarskega studia CD Projekt Red sporočili, da so bili žrtve ransomware napada, v katerem so jo zlikovci obenem pobrisali z zajetno malho podatkov, med drugim izvorno kodo Cyberpunka 2077, Witcherja 3 in Gwenta. Informacije kažejo, da so jo skušali tudi prodati na črnem trgu, a še ni jasno, ali jim je to v resnici uspelo.

Napredni izsiljevalski napadi dandanes ne vključujejo več zgolj igračkanja z virusi, temveč gre za polnopravne hekerske vdore, kjer malopridneži podatke najprej ukradejo, nato pa jih pri žrtvi še zašifrirajo. Tako si omogočijo dvojni način izsiljevanja: z ohromitvijo dela žrtve in za nameček še z grožnjo, da bodo ukradene podatke razkrili ali preprodali. Kako to poteka v praksi, so pretekli teden izkusili pri znani poljski hiši za razvijanje iger, CD Projekt Red. V torek so sporočili, da so bili žrtve takšnega napada, v katerem so kriminalci ukradli kup poslovnih podatkov, toda najbolj je zabolela pobegla izvorna koda iger Cyberpunk...

14 komentarjev

V Microsoftovem antivirusu ranljivost tičala 12 let

Slo-Tech - V Microsoftovem protivirusnem programu, ki ga vsebuje Windows, so zakrpali 12 let staro ranljivost, za katero do nedavna niso vedeli ne proizvajalec ne napadalci. V Microsoft Defenderju (včasih se je imenoval Windows Defender) je vsaj od leta 2009 tičala ranljivost (CVE-2021-24092), ki je omogočala napad z eskalacijo privilegijev. Prizadete so verzije Windows 7 in novejše ter programska oprema, ki uporablja iste klice: Microsoft Endpoint Protection, Microsoft Security Essentials, in Microsoft System Center Endpoint Protection.

O ranljivosti so prvi poročali na SentinelOne novembra lani, v februarskem paketu popravkov pa je Microsoft pripravil rešitev. Težava je tičala v gonilniku BTR.sys (Boot Time Removal Tool), ki se uporablja pri brisanju okuženih datotek. Predvidevajo, da je ostala tako dolgo neodkrita, ker ta gonilnik ni ves čas aktiven, temveč se namesti in aktivira le, ko je potreben, potem pa se odstrani. Težava je, da gonilnik ne preveri datotek, ki jih kot obnovljene...

20 komentarjev

Na Floridi preprečili zastrupitev vodovoda na daljavo

vir: Pixabay

Slo-Tech - Nadzorni delavec vodnega zajetja v mestu Oldsmar, v ameriški zvezni državi Florida, je med svojim delom opazil, da so v njihov sistem uspeli vdreti neznanci, pri čemer so na daljavo upravljali z uporabniškim vmesnikom in na ta način želeli povečati koncentracijo natrijevega hidroksida z običajnih 100 delov na milijon delov vode, na 11.100 delov na milijon. Gre za približno stokratno in potencialno nevarno povišanje, saj gre za močno bazo, ki jo v zajetjih uporabljajo za uravnavanje PH vrednosti vode, v gospodinjstvih pa je pogosta sestavina tekočih sredstev za čiščenje odtokov.

Dežurni operater je poskus k sreči zaznal in koncentracijo povrnil na običajno vrednost. Sistem za upravljanje vodovoda na daljavo pa so za zdaj onemogočili. Za storilci, ki so ogrozili življenja okoli 15.000 uporabnikov vodovoda, pa so se zapodile tajne službe in FBI. Za zdaj še ni jasno ali je bil napad izveden iz ZDA ali pa morda iz tujine.

Podobni incidenti so se v preteklosti že dogajali. Leta 2016...

42 komentarjev

Odkrite ranljivosti v priljubljenem Wi-Fi čipu Realtek RTL8195A

Slo-Tech - V priljubljenem modulu za Wi-Fi podjetja Realtek (RTL8195A), ki ga uporabljajo številne nezahtevne naprave, so raziskovalci iz izraelskega podjetja Vdoo odkrili šest resnih ranljivosti. Sumijo, da so iste ranljivosti prisotne tudi v čipih RTL8711AM, RTL8711AF in RTL8710AF, česar pa niso izrecno preverili. V vseh primerih gre za napake prekoračitve sklada (stack overflow) in branje izven okvirja (out-of-bounds reads), ki se skrivajo v izvedbi rokovalnega protoka pri vzpostavljanju povezave WPA2 (four-way handshake).

Ena izmed ranljivosti napadalcu, ki je v dovolj blizu čipa, omogoča prevzem popolnega nadzora nad čipom, ne da bi poznal ključ, če je RTL8195A dostopna točka ali odjemalec. To napadalcu dovoljuje, da izvede poljubno kodo. Dve drugi ranljivosti omogoča izvedbo napada DoS, preostale tri pa izrabo odjemalcev in izvajanje poljubne kode.

Napake v programski kodi Ameba Arduino 2.0.8, ki teče na čipu, je Realtek že zakrpal. Vse verzije po 21. 4. 2020 so odporne na...

1 komentar

V mednarodni raciji onesposobili botnet Emotet

Slo-Tech - Ena večjih nevarnosti preteklih let je bil trojanec Emotet, ki je obstal vse od leta 2014. Kos škodljive programske opreme, ki je sprva služil zgolj za krajo bančnih podatkov, se je razvil v dovršen botnet, ki so ga lahko drugi zlikovci najemali za različne namene. Europol in Eurojust sta ta teden koordinirala policijske racije na Nizozemskem, v Nemčiji, ZDA, Veliki Britaniji, Franciji, Litvi, Kanadi in Ukrajini, v katerih so zasegli več strežnikov, gotovine in zlatih palic ter pridržali več ljudi.

Emotet se je širil z elektronsko pošto, običajno kot okužena priponka doc. Ob odprtju in aktivaciji se je zagnal makro, ki je okužil sistem. Lotem Finkelstein iz Check Point Software je povedal, je bil Emotet z naskokom najuspešnejši malware leta 2020. Nenehno se je tudi prilagajal, tako da je poslal elektronska sporočila z več kot 150.000 različnimi zadevami in 100.000 različnimi imeni priponke. Sproti se je namreč prilagajal tarčam, da je povečal verjetnost, da bodo odprle dokument....

10 komentarjev

SolarWind napadalci so dostopali do Microsoftove izvorne kode

Slo-Tech - Dobra dva tedna po ambicioznem napadu na ameriške državne institucije in podjetja, ki je potekal prek sistema za posodabljanje omrežnega programja SolarWinds, se počasi slikajo bolj konkretne posledice incidenta. Kot so na silvestrskem blogu sporočili iz Microsofta, so domnevno ruski državni hekerji med napadom uspešno dostopali tudi do njihove izvorne kode. V podjetju so namreč opazili nenavadne dejavnosti na nekaterih internih računih zaposlenih, eden med njimi pa je uspešno dostopal do izvorne kode v različnih repozitorijih. Kot poudarjajo Microsoftovci, račun ni imel dovoljenja za spreminjanje kode in spremljajočih sistemov, poznejša analiza pa naj bi pokazala, da sprememb ni bilo.

Iz poročil ni mogoče razbrati, za katere dele izvorne kode gre, Microsoft trži veliko programskih izdelkov, je pa to precej zaskrbljujoče, saj lahko kaže na precej bolj daljnosežne ambicije vdiralcev. Kakršnekoli spremembe v izvorni kodi tako široko uporabljanih izdelkov kot sta Windows ali Office,...

11 komentarjev

Vdori v ZDA so potekali tudi prek Microsoftovih partnerjev

Slo-Tech - Medtem, ko v ZDA počasi odkrivajo vse razsežnosti največjega informacijskega napada zadnjih let na zvezne agencije, infrastrukturo in velika podjetja, so v varnostnem podjetju CrowdStrike razkrili še eno od poti, ki so jo vdiralci vsaj poskušali uporabiti za dostop do notranjih omrežij. Ta vodi prek podjetij, ki v imenu Microsofta prodajajo njihovo programsko opremo. Tudi ta imajo namreč, podobno kot že razkriti SolarWinds, pooblastila za nameščanje in vzdrževanje programske opreme Microsoftovih strank in so zato idealno kritje za nepridiprave.

V primeru napada na CrowdStrike so neznanci poskušali pridobiti dostop do njihove elektronske pošte prek neimenovanega Microsoftovega preprodajalca. Ker pa pri CrowdStrike uporabljajo druge aplikacije Office 365, ne pa tudi elektronske pošte, so dejstvo, da je nekdo poskušal vklopiti pravico do branja pošte, opazili pri Microsoftu. Kjer so menda že pred meseci zaznali nenavadne poizvedbe prek API na njihovem oblačnem računu, ki upravlja...

1 komentar

Vohunsko programje firme NSO spet buri duhove

vir: ZDNet
ZDNet - Kanadska raziskovalna skupina Citizen Lab naj bi odkrila še eno obširno vohunsko kampanjo, ki naj bi jo nekatere arabske države vodile proti medijski hiši Al Jazeera s pomočjo programja razvpitega izraelskega razvijalca NSO Group. Hkrati se odločno širi koalicija tehnoloških podjetij, ki želi Izraelce in njihov gospodarski model pripeljati pred sodišče.

Letošnjo jesen je preiskovalni novinar katarske medijske hiše Al Jazeera Tamer Almisshal posumil, da nekdo prisluškuje njegovemu iPhonu. Ker so mu bili že poznani podobni primeri iz zadnjih let, je telefon predal preiskovalni skupini Citizen Lab z Univerze v Torontu, ki se ukvarja z digitalno forenziko naprav medijskih in političnih aktivistov. Preiskovalci so zdaj objavili, da so na napravi našli sledove delovanja programja njihovega starega znanca, izraelskega podjetja NSO Group, verjetno najbolj svetovno znanega razvijalca spywara, ki ga prodajajo oblastem, državnim agencijam in organom pregona. Našli naj bi skupno 35...

16 komentarjev

Vdor SolarWinds: Niso bili le Rusi

Slo-Tech - Po odkritju, da so prek napada na programsko opremo SolarWinds najverjetneje ruski hekerji imeli odprta vrata do ameriških podjetij in inštitucij, Microsoft nadaljnje ugotavlja, da je v istem programskem paketu prisluškovala še druga, z Rusi nepovezana skupina hekerjev. Ta je zagotovo napadla vsaj Microsoft, morda pa tudi kakšno drugo tarčo.

Microsoft je pri preiskavi odkril dodatno zlonamerno programsko opremo (malware), ki je napadala isti program SolarWinds Orion, a jo je uporabljala druga ekipa. Drugo zlonamerno programsko opremo so poimenovali SUPERNOVA in gre za kodo, ki imitira Orion, a ni digitalno podpisana. Ostali del napada je tak podpis imel. Sprva so menili, da gre za del prvega napada, a se je izkazalo, da ima drugega avtorja. Ni namreč verjetno, da bi napadalci pozabili podpisati en modul, vse ostale pa bi bili. Nastala je konec marca, ni pa še jasno, ali so z njo dejansko še koga napadli. Skrita je bila v DLL knjžnici App_Web_logoimagehandler.ashx.b6031896.dll.

To...

22 komentarjev

ZDA pod udarom širokopoteznega hekerskega napada

The New York Times - Vse kaže, da so ruski državni hekerji v izredno ambicioznem in dalj časa trajajočem napadu pridobili dostop do pomembnih podatkov v več ameriških vladnih ustanovah ter večjih podjetjih, po tem ko je preiskava prejšnjetedenskega vdora v podjetje FireEye razkrila, da so zlikovci kompromitirali sistem za posodabljanje razširjenega omrežnega programja firme SolarWinds.

Vdor v varnostno družbo FireEye, o katerem smo poročali prejšnji teden, bi kaj lahko bil samo še eden od primerov ravsanja malopridnih hekerjev z varnostnimi strokovnjaki. Toda ko so FireEyejevi uslužbenci dodobra analizirali nerodni incident, so odkrili, da se zadaj v resnici skriva ena najbolj impozantnih in obsežnih hekerskih kampanj v zgodovini! Napadalci so se v sistem namreč pritihotapili skozi okuženo posodobitev za programje za nadzor omrežij Orion, podjetja Solarwinds. Problem? Orion širom sveta uporablja dobrih 33.000 podjetij in državnih organizacij, med katerimi je večina ameriških zveznih agencij, podjetij...

17 komentarjev

Magnetne resonance, računalniške tomografije, rentgeni na internetu kar s tovarniškimi gesli

Slo-Tech - Številni izdelki ameriškega giganta GE Healthcare, med katerimi so naprave za magnetno resonanco, računalniško tomografijo, rentgeni, mamogrami, ultrazvoki in pozitronska emisijska tomografija, imajo nastavljeno tovarniško geslo, ki se ob postavitvi in začetku redne uporabe naprave ne spremeni. Seznami gesel posameznih modelov so javno dostopni na internetu, naprave pa so povezane v internet. Namen je, da bi jih proizvajalec na daljavo posodabljal, a to pomeni, da lahko vanje vlomijo tudi hekerji.

Težave uporabniki ne morejo odpraviti sami, temveč jim mora GE Healthcare poslati tehnika, ki bo spremenil prijavne podatke. Kdor tega ne naredi, pušča svojo napravo izpostavljeno spletu za morebitne vdore. Na njih namreč teče unixovski operacijski sistem, obnašajo pa se kot pravi računalniki. Luknjo, ki ima na lestvici od 1 do 10 oceno resnosti 9,8, so odkrili v podjetju Cyber MDX, na njo pa je opozorila tudi ameriška agencija za internetno varnost in zaščito infrastrukture.

GE...

22 komentarjev

FireEye žrtev vdora, napadalci med drugim odnesli Red Team orodja

vir: Pixabay

vir: bleepingcomputer.com
bleepingcomputer.com - Iz znanega ameriškega varnostnega podjetja FireEye so sporočili, da so neznanci uspešno vdrli v njihov sistem in med drugim dostopali tudi do njihovih orodij, ki jih uporabljajo za t. i. Red team teste pri svojih strankah. Napadalci so med napadom skušali zbrati tudi podatke o strankah FireEya, zlasti tistih na ravni svetovnih vlad, za zdaj še ni znano ali jim je to tudi uspelo.

Kot so sporočili iz podjetja, vse kaže, da za napadom stoji ena od hekerskih skupin, povezana s tajnimi službami ene od držav. CEO Kevin Mandia je pri tem ocenil, da gre za eno od držav z najbolj razvitimi kapacitetami za izvajanje informacijskih napadov. Časnik Washington Post pa iz svojih virov poroča, da je napad najverjetneje izvedla ruska skupina APT-29, bolj znana pod imenom Cozy Bear.

Da je temu tako kaže način vdora, ki je bil posebej ukrojen za ciljanje FireEya, pri čemer je bila uporabljena taktika, ki ovira forenzično preiskavo dogodka, prav tako so bila neučinkovita orodja, ki naj bi zaznala...

1 komentar

Ranljivost v iOS je omogočala prisluškovanje prek Wi-Fi brez interakcije uporabnika

Slo-Tech - Spomladi (še pred vgraditvijo sistema za slednje stikom prek stalno vključenega Bluetootha) je Apple zakrpal ranljivost v operacijskem sistemu za svoje mobilne telefone iOS, ki je omogočala dostop do vsebine telefonov zgolj ob vključenem Wi-Fi, ne da bi uporabnik kakorkoli posredoval. Ranljivost je odkril Ian Beer, ki je zaposlen v Googlovem oddelku za iskanje ranljivosti Project Zero. Sedaj ko je ranljivost že lep čas zakrpana, je podrobnosti razkril na blogu podjetja.

Za napad je dovolj, da se sprehodimo mimo oddajnika Wi-Fi (torej praktično katerakoli mobilna naprava), ki nam posreduje ustrezno pokvarjen paketek (packet of death). Ranljivost se skriva v gonilniku AWDL, ki skrbi za omrežno povezljivost v Applovih napravah. Ker gonilniki bivajo v jedru, kjer imajo najvišje privilegije, so hrošči v njih tako nevarni. AWDL skrbi tudi za Wi-Fi, zato je to ranljivost možnost uporabiti na daljavo in - temu pravimo wormable - širiti od naprave do naprave. Beer je pokazal, kako lahko ranljivost uporabo v različne namene. Oblikoval je delujoče primerke kode, ki so kradli elektronsko pošto, fotografije, sporočila, gesla in celo ključe. Zadostoval je Raspberry Pi in Wi-Fi adapter, nato pa je trajalo le nekaj sekund in naprave v...

45 komentarjev

Nova prisluškovalna afera s švicarsko opremo za šifriranje: Omnisec

Slo-Tech - Po februarskem razkritju, da je bilo ugledno švicarsko podjetje Crypto AG dolgo vrsto let skrivni partner ameriške in nekaj časa tudi nemške obveščevalnih agencij CIA in BND, ki so jima tuji akterji torej drago plačevali za luknjičavo opremo, dobiva drugo dejanje. V njem nastopa manj znano podjetje Omnisec, ki je nastalo z izločitvijo iz podjetja Gretag leta 1987 ter je prodajalo opremo za šifriranje pogovorov, faksov in podatkov. Poslovati je prenehalo pred dvema letoma, glavne stranke pa so bili državni organi iz več držav. Švicarska radiotelevizija SRF je dognala, da je Omnisec podobno kot Crypto AG prodajal z vgrajenimi stranskimi vrati in ranljivostmi.

Opremo serije OC-500 so na primer prodajali tudi domačim strankam: zveznim agencijam v Švici, lastni obveščevalni službi, bankam in zasebnim podjetjem. Razkritja so sprožila burne debate tudi v švicarskem parlamentu, kjer se sedaj sprašujejo, kje vse se še vohuni ali se je vohunilo. Še posebej Švicarje to pot jezi, da so bile...

20 komentarjev

Severnokorejski hekerji nad proizvajalce cepiv za Covid-19?

vir: Pixabay

vir: Reuters
Reuters - Hekerji naj bi si tako pred dnevi poskušali s pomočjo socialnega inženiringa pridobiti dostop do računalnikov nekaterih zaposlenih britanski družbi AstraZeneca, znani po tem, da je tik pred koncem razvoja svojega cepiva proti Covid-19.

Storilci so nastopili pod krinko ponudnikov zaposlitev na družbenih omrežjih Linkedin in WhatsApp, zainteresiranim posameznikom pa so nato poslali dokumente, povezane s podrobnostmi o zaposlitvi. Dokumenti so vsebovali tudi zlobno kodo, zasnovano za omogočanje dostopa do žrtvine naprave. Med tarčami so bili tudi zaposleni, ki delajo neposredno na razvoju cepiva.

Reutersovi anonimni viri incident povezujejo s Severno Korejo na podlagi v napadu uporabljenih orodij in tehnik, te naj bi bile del obširnejše hekerske kampanje, ki jo varnostni strokovnjaki in predstavniki ZDA prepisujejo prav tej državi. Ta kampanja je bila sicer doslej bolj osredotočena na obrambne ustanove in medijske organizacije, v zadnjih tednih pa se je preusmerila na tarče povezane...

41 komentarjev

Nova kombinacija ranljivosti zopet omogočala krajo Tesel

Woutersova napadalna oprema

ZDNet - Belgijski varnostni raziskovalci z univerze KU Leuven so še tretje leto zapored uspeli z nekaj domiselnega hekanja odpeljati z dovoza Teslo, ki ni bila njihova. Podjetje naj bi softverski luknji prejšnji teden že pokrpalo.

Belgijska raziskovalna skupina COSIC (Computer Security and Industrial Cryptography) s Katoliške univerze v Leuvnu, zbrana okoli Lennerta Woutersa, je Teslinim informacijskim inženirjem že presneto dobro znana, kajti predlani in lani je z domiselnimi triki že dvakrat strla varnostno lupino sistema za odklepanje njihovih avtomobilov na daljavo. Leto je zopet naokoli - in čas je za nove vragolije Woutersa & Co. Tokrat je bila na udaru Tesla X, postopek pa bržkone najbolj navdušujoč doslej. Belgijci so namreč izrabili dve programski ranljivosti, s katerima so prišli z eno skozi avtomobilska vrata, z drugo pa še do zagona motorja. Podvig so opravili z opremo, ki stane nekaj sto evrov, vzel pa jim je celokupno okoli pet minut.



Prva luknja je tičala v sistemu...

13 komentarjev

Microsoft razkril varnostni koprocesor Pluton

Microsoft - Da bi se zoperstavili naprednim napadom na strojno opremo, kot sta Meltdown in Spectre, so pri Microsoftu v sodelovanju z Intelom, AMDjem in Qualcommom razvili vezje s kodnim nazivom Pluton, ki bo vgrajeno v same sistemske čipe.

Kdor hodi naokrog s prenosnikom, polnim supertajnih načrtov jedrskih bomb ali podobne eksotike, običajno uporablja naprave z raznimi dodanimi varnostnimi zmogljivostmi, kot je Trusted Platform Module (TPM), kriptografski mikrokontroler, ki ojača funkcije, kot je BitLocker. Toda hekerji so že pred časom našli pot mimo TPM na način, da vohljajo za prometom med procesorjem in varnostnim čipom. Pri Microsoftu so se zato odločili uvesti še trdnejšo obliko zaščite v obliki koprocesorja, ki bo vgrajen v same sistemske čipe in mu bo tako praktično nemogoče prisluškovati. Vezje z imenom Pluton je sad njihovih izkušenj z uspešnim ščitenjem Xboxa One pred poganjanjem nepooblaščene kode (beri: piratiziranjem iger), tehnologijo pa že nekaj let uporabljajo tudi v...

24 komentarjev

Hekerski napadi na bolnišnice in raziskovalne ustanove za covid-19 se nadaljujejo

Slo-Tech - Hekerji iz Rusije in Severne Koreje so v zadnjem času izvedli več hekerskih napadov na podjetja in ustanove, ki se ukvarjajo z raziskavami covida-19, razvojem cepiva in testov, kliničnimi raziskavami ipd. Tarče so v ZDA, Kanadi, Franciji, Indiji in Južni Koreji, izvajajo pa jih skupine, ki so jih v Microsoftu poimenovali Strontium, Zinc in Cerium. Gre za z vladami Rusije in Severne Koreje povezane hekerje, ki delajo po državnih ukazih, trdi Microsoft.

To niso osamljeni primeri, zgolj najnovejši. V bližnji preteklosti so hekerji napadli tudi več sto bolnišnic v ZDA, univerzitetno bolnišnico v češkem Brnu, pariški sistem bolnišnic, španske bolnišnice, tajske bolnišnice, klinike v Teksasu in celo Svetovno zdravstveno organizacijo. V Nemčiji je zaradi hekerskega napada, ki je terjal preusmeritev rešilnega vozila v drugo bolnišnico, po nekaterih podatkih pacientka celo umrla.

V najnovejši seriji napadov so ciljali sedem podjetij, ki neposredno sodelujejo v raziskavah covida-19....

20 komentarjev

Microsoft: ne uporabljajte večstopenjske avtentikacije s SMS ali telefonskimi klici

Slo-Tech - Pravzaprav priporočilo za nobenega poznavalca mobilnih omrežij ne bi smelo biti presenečenje, a vseeno malokdo tako neposredno pove, kot je to storil Alex Weinert, ki je v Microsoftu vodja programa Identity Security. V svojem blogu je zapisal, da je sicer vsaka dvostopenjska avtentikacija (MFA) boljša kot nobena, a da je uporaba mobilnih omrežij, torej prejemanje kod prek smsov ali s telefonskimi klici, varnostno zelo šibka metoda.

MFA je učinkovita zaščita. Microsoft ocenjuje, da se z uporabo MFA prepreči 99,9 odstotka avtomatiziranih napadov, kar je Weinart ocenjeval v blogu že julija lani. Po drugi strani so izključno gesla v večini primerov slab način zaščite identitet. Kaj je torej narobe z MFA prek mobilnih telefonov?

Mobilna omrežja so bila zgrajena v nekem drugem času, zaradi zagotavljanja združljivosti in enostavnosti uporabe pa še danes v njih mrgoli ranljivosti. Napad na protokol SS7, FEMTOcelice in drugi načini prestrezanja pomenijo, da telefonska števila ni varen in...

47 komentarjev

Hrošč v Ubuntu omogoča ustvaritev administratorskega računa

Slo-Tech - V Linuxovi distribuciji Ubuntu je Kevin Backhouse odkril hrošča, ki navadnemu uporabniku omogočata eskalacijo privilegijev in ustvaritev računa z administratorskimi pravicami. Izraba ne zahteva nobenega posebnega računalniškega znanja, kaj šele programiranja. Ranljivost deluje le, če imamo dostop do lokalnega računa in grafičnega vmesnika, torej je ne moremo zlorabiti na strežnikih.

Prva ranljivost tiči v servisu accountsservice, ki upravlja z uporabniškimi računu v sistemu in ki komunicira z accounts-daemon. Ker accountsservice poišče datoteko .pam_environment, ga je možno zrušiti z vzpostavitvijo bližnjice, ki v to ime poveže neskončno dolgo datoteko ničel (/dev/zero). Če potem pošljemo accounts-daemonu pošljemo SIGSEGV, ga lahko tudi kot navadni uporabnik zrušimo (to ne bi smelo biti možno). Drugi hrošč tiči v GNOME Display Managerju (gdm3), ki med drugim ob sveži namestitvi ustvari prve račune - in prvi uporabniški računa mora biti administratorski. Ključ je v tem, da gdm3 to...

19 komentarjev

Izsiljevalski virus z Windows dobil različico za Linux

Slo-Tech - Na Linuxu smo pred nesnago resda varnejši kakor na Windows, a ta varnost ni absolutna. Tako kot smo v preteklosti že videli posamezne primerke zlonamerne kode za Linux, velja tudi za najnovejšo nadlogo. Kaspersky je odkril Linuxovo verzijo izsiljevalskega virusa RansomEXX, ki se je doslej širil po Windows. Gre za sorazmerno nov kos programske opreme, ki so ga prvikrat opazili junija letos.

A zaradi tega ni bil nič manj aktiven, saj je doslej poskrbel za napade na brazilska sodišča, javni promet v Montrealu, teksaško upravo za promet, Konico Minolto in še nekaj drugih odmevnih primerov. Upravljavci so se specializirani za napade na velike sisteme, kjer lahko iztržijo večjo odkupnino, namesto ukvarjanja s stotaki od fizičnih oseb. Ugotovili so tudi, da nima smisla napadati delovnih postaj v podjetji, saj bodo preprosto pobrisali sisteme in jih na novo postavili iz varnostnih kopij. Zaradi tega izsiljevalski virusi sedaj ciljajo na centralne strežnike.

RansomEXX tudi ni edini, ki je...

34 komentarjev

Se je izsiljevalska skupina Maze zares upokojila?

Slo-Tech - Na njihovi spletni strani se je pred dnevi pojavilo obvestilo za medije, v katerem sporočajo, da so uradno prenehali z delovanjem. Ter, da vse bodoče povezovanje z njihovimi projekti, blagovno znamko ali pa metodami dela, najverjetneje pomenijo prevaro. Kot še pravijo, nikoli niso imeli partnerjev in nimajo naslednikov. Hkrati pa obveščajo vse, ki želijo, da se njihovi osebni podatki izbrišejo z njihove spletne strani, da se obrnejo na njihovo chat podporo, ki bo na voljo še mesec dni.

Skupina Maze je bila znana po tem, da po uspešnem vdoru ni le zašifrirala podatkov, pač pa so jih pogosto tudi ukradli in v zameno za njihovo neobjavo na temnem spletu zahtevali odkupnino v bitcoinih. Višina je pogosto dosegala milijonske dolarske zneske.

Med njihove zvezdniške žrtve so se zapisala podjetja, kot so Canon, LG in Xerox.

Da se Maze zares umikajo s scene, je pred časom nakazalo že poročilo Malwarebytes, v katerem so poleti zaznali precej manj okužb. Seveda pa to ne pomeni, da so se...

8 komentarjev

Osem let zapora za upravljanje botnetov

Slo-Tech - Ameriško sodišče je v petek na osemletno zaporno kazen obsodilo 36-letnega Aleksandra Brovka, na Češkem rojenega ruskega državljana, ki je več let (2007-2019) sodeloval pri upravljanju botnetov, iskanju osebnih informacij in njihovi zlorabi, s čimer je s sostorilci povzročil za okrog 100 milijonov dolarjev škode. Brovko je bil aktiven na forumih za rusko govoreče hekerje, kjer si so izmenjevali kontakte, orodja in posle. Brovko je deloval kot programer orodij za zbiranje podatkov, ki so jih nabrali botneti, in njihovo obdelavo.

V ogromnih količinah zbranih podatkov je iskal osebne podatke, ki bi jih bilo možno zlorabiti, zlasti prijavne podatke v različne storitve. Potem jih je preveril in ustrezno prečiščene sezname poslal naprej drugim sodelavcem. Brovko je imel dostop do okrog 200.000 naprav, torej toliko je bilo okuženih računalnikov v botnetih, ki jih je upravljal. Pri tem je natančno vedel, kaj počnejo z njegovimi orodji in podatki, saj ga je znani kriminalec Alexander...

4 komentarji

Google odkril ranljivost v Windows in jo (pre)hitro pokazal

Slo-Tech - Google je pred tednom dni sporočil, da je v Windows odkril ranljivost (CVE-2020-17087), ki jo hekerji že aktivno izkoriščajo, zato je Microsoftu dal na razpolago le sedem dni za zakrpanje. Microsoft tako kratkega roka ni izpolnil, zato je Google v v petek zvečer razkril podrobnosti ranljivosti. Ta je nezakrpana (0-day), aktivno napadana in sedaj povsem razkrita. Microsoft bo popravek izdal ob naslednji priložnosti, to je drugi torek v mesecu (10. novembra) na tako imenovani Patch Tuesday.

Googlov Project Zero je namenjen iskanju ranljivosti v najrazličnejši programski opremi več proizvajalcev. O odkritih ranljivostih obvestijo proizvajalca, ki ima potem 90 dni časa, da izda popravek. Google po izdaji popravka ali najpozneje v 90 dneh javnosti razkrije podrobnosti ranljivosti, s čimer se poskrbi, da imajo proizvajalci motivacijo v doglednem času izdelati popravek. Roki pa se spremenijo, ko je ranljivost že aktivno zlorabljena. V tem primeru Google počaka le sedem dni, kar v...

22 komentarjev

Zoom po novem z E2EE šifriranjem za vse uporabnike

vir: Pixabay

Slo-Tech - Konferenčna storitev Zoom je končno dočakala celostno oz. end-to-end šifriranje, ki omogoča zaupnost vsebine sporočil med pošiljateljem in prejemnikom. E2EE šifriranje je tako zdaj omogočeno v aplikacijah za Mac, PC, iOS in Android ter v Zoom Rooms, ni pa na voljo v spletnem odjemalcu, kot tudi drugih odjemalcih, ki temeljijo na njihovem SDK oz. programskem razvijalskem paketu.

Celostno šifriranje bo na voljo za vse, tako za plačljive kot za brezplačne uporabnike, čeprav so pri Zoomu še nedavno - v strahu, da bi storitev pograbili raznorazni nepridipravi - načrtovali drugače, a so se nato premislili. Bo pa potrebno identiteto brezplačnega računa potrditi z SMS sporočilom. Samo šifriranje poteka tako, da se ključi generirajo pri gostitelju posamezne konference, nato pa so posredovani sodelujočim. Zoomovi strežniki so na ta način postali samo posredniki podatkov, ki pa brez ključa same vsebine pogovora ne morejo dešifrirati.

Zoomov E2EE uporablja 256 bitno AES-GCM šifriranje,...

10 komentarjev

Apple plačal zajetno nagrado odkriteljem ranljivosti v svojem omrežju

Slo-Tech - V Applu so skupinici white-hat hekerjev, ki je v preteklih mesecih v velikanovem širšem računalniškem omrežju odkrila več deset resnih ranljivosti, izplačali skoraj tristo tisoč dolarjev, vsota pa bo v prihodnjih dneh še narasla.

Resna informacijska podjetja se zavedajo, da je navkljub sposobnim notranjim ekipam varnostnih strokovnjakov še vedno mogoče spregledati grde odprtine v digitalnem oklepu, zato nagrajujejo zunanje raziskovalce-poševnica-hekerje, ki drezajo v njihovo obrambo iz plemenitih razlogov iskanja ranljivosti. V Cupertinu imajo v ta namen postavljen program Apple Security Bounty, ki ga je sedaj za komunikacijo z njimi uporabila skupinica petih hekerjev okoli Sama Curryja. Gruča se je zadnje tri mesece potikala po notranjosti Applovega omrežja in na plano privlekla 55 ranljivosti, "11 od teh kritičnih". Apple jim je do tega trenutka že izplačal 288.500 ameriških dolarjev nagrade, ko pa bodo strokovnjaki predelali vse prijavljene šibkosti, bo vsota verjetno presegla...

23 komentarjev

Nepopravljiva ranljivost v Applovem varnem procesorju T2

Slo-Tech - Ranljivost Checkm8, ki so jo raziskovalci že pred letom dni izkoristili za odklep (jailbreak) starejših modelov iPhona (A5-A11, torej v letih 20011-2017), je moč izrabiti tudi za napad na varni čip T2. Čip, ki ga je Apple pripravil leta 2017 in ga od leta 2018 vgrajujejo v svoje naprave, skrbi za kopico varnostnih tehnologij: TouchID, Activation Lock, Secure Boot, System Integrity Protection, šifriranje podatkov itd. Sedaj pa so strokovnjaki iz hekerske skupine Checkra1n odkrili, da je možno s Checkm8 obiti zaščito T2. To pa ima pomembne varnostne posledice.

Na Macih je sedaj možno na T2 poganjati poljubno programsko opremo. Seveda so posamezniki nanj takoj naložili Linux. Z izrabo še ene ranljivosti pa je potencialno možno iz T2 dobiti celo šifrirne ključe in odkleniti podatke na telefonu - česar bodo organi pregona nedvomno veseli, saj jim ne bo treba iskati pomoči specializiranih podjetij.

Ker je napaka v najnižjem, strojnem delu čipa T2, je ni možno programsko zakrpati. Vse...

16 komentarjev

Vdor v LinkedIn iz leta 2012 dobil epilog: dobrih sedem let zapora

vir: Maxpixel

Slo-Tech - Skupina ruskih hekerjev je leta 2012 uspešno vdrla v LinkedIn, Dropbox in družbeno omrežje Formspring ter se pri tem polastila 117 milijonov uporabniških imen in gesel, ki so jih nato ponudili v prodajo na enem od ruskih forumov. Gesla so bila sicer šifrirana s SHA-1 algoritmom, vendar brez uporabe salta, naključnega parametra, tako da jih je bilo mogoče vseeno napasti s preizkušanjem najbolj pogostih kombinacij. Skratka, šlo je za enega najbolj odmevnih informacijskih napadov v zgodovini ZDA.

Enega od napadalcev, Jevgenija Nikulina so leta 2016 med potovanjem po Češki prijele tamkajšnje oblasti in ga nato izročile ZDA, kjer je pred dnevi, po štirih letih v priporu, vendarle dočakal razsodbo: 88 mesecev zapora. Tožilstvo mu je očitalo kaznivo dejanje vdora v informacijski sistem ter posebej hudo obliko kraje identitete milijonov ameriških državljanov. Nikulinova obramba je zatrjevala, da so podatki tožilstva o povzročeni škodi pretirani, da temeljijo zgolj na izjavah predstavnikov...

12 komentarjev

V vdoru v KuCoin zmanjkalo 150 milijonov dolarjev

Slo-Tech - Singaporska borza kriptokovancev KuCoin je potrdila, da so v soboto zgodaj zjutraj po lokalnem času neznani napadalci izvedli nepooblaščene transakcije večjega obsega. Z njimi so ukradli večjo količino kriptovalut, ki jih je menjalnica držala v vroči denarnici (hot wallet) kot likvidne rezerve. Po neuradnih podatkih je zmanjkalo za 150 milijonov dolarjev kriptovalut, predvsem ethra, bitcoina, litecoina, rippla, tethra, stellarja in trona. Večje zaloge, ki niso bile povezane v internet (cold wallet), ostajajo nedotaknjene. Kako so napadalci pridobili dostop do vroče denarnice, še ni jasno.

Takoj po odkritju nepooblaščenih transakcij so začeli reševati, kar se je rešiti dalo. Izdajatelje posameznih kriptovalut oziroma žetonov so obvestili o incidentu. Odvisno od ustroja je nekatere žetone možno preklicati ali pa račune, kamor so bili nakazani, zakleniti. Tako so zaklenili za 22 milijonov dolarjev tethra. Neuporabni so tudi nekateri drugi žetoni. Večino kriptovalut pa na tak način ni...

21 komentarjev

Europol in ZDA zaprla več ilegalnih spletnih tržnic in aretirala 179 ljudi

Europol - V veliki akciji povezanih racij v ZDA in Evropi so organi pregona aretirali 179 posameznikov in zasegli za šest milijonov evrov gotovine in kriptovalut, pol tone drog in 64 kosov orožja, ki so jih storilci prodajali prek internetnih tržnic na temnem delu interneta (darknet). Operacijo DisrupTor sta koordinirala Europol in ameriško pravosodno ministrstvo. Večina pridržanih je iz ZDA, nekaj pa še iz Nemčije (42), Nizozemske (8), Velike Britanije (4), Avstrije (3), in Švedske (1). Med zasedenimi drogami so v glavnem fentanil, oksikodon, metamfetamini, a tudi heroin, kokain, ekstazi in MDMA.

Vodja centra za računalniško kriminaliteto pri Europolu Edvardas Šileris je povedal, da se zlata doba skritega interneta končuje. Tudi dogajanje na temnem delu interneta ni več skrito, anonimnosti pa da ni več. Policija se ne osredotoča več zgolj na zapiranje nezakonitih internetnih tržnic, ki potem tako ali tako ponovno vzniknejo pod drugim imenom, temveč aktivno preganja tudi osebe, ki jih...

11 komentarjev

Iranski hekerji šest let prisluškovali komunikaciji prek WhatsAppa in Telegrama

Slo-Tech - Vsaj od leta 2014 iranski hekerji izvajajo obsežno operacijo prisluškovanja oporečnikom, izseljencem in kritikom režima, je ugotovil CheckPoint. V akciji, ki je tekla pod radarji kar šest let, so spremljali šifrirano komunikacijo prek Telegrama in WhatsAppa, prestrezali gesla za upravljalnika gesel KeePass ter sporočila sms, prisluškovali telefonom ipd. Programi so imeli tudi možnost zajemanja zaslonske slike in pošiljanja datotek upravljavcem virusov.

Napadali so tako računalnike z Windows, kjer lahko tečejo namizne verzije aplikacij, kot tudi mobilne telefone. Za to jim ni bilo treba zlomiti šifrirnih protokolov, temveč je zadostovalo prestreči komunikacijo na izviru. Proti temu se pisci aplikacij teže borijo, saj gre za okužene naprave uporabnikov, ne pa za ranljivost v aplikaciji. V nekaterih primerih pa je šlo za phishing, ko so lažne spletne strani terjale vpis prijavnih podatkov za Telegram. Da se v tem primeru ne da kaj dosti storiti, so potrdili tudi v Telegramu, medtem...

10 komentarjev

Bolnik umrl med hekerskim napadom na bolnišnico

Slo-Tech - V univerzitetnem kliničnem centru v Düsseldorfu so imeli od minulega četrtka težave zaradi hekerskega napada z izsiljevalskim virusom, ki so se končale tragično. Bolnica v kritičnem stanju, ki je zaradi nedelujočih sistemov niso mogli sprejeti, temveč so jo preusmerili v drugo bolnišnico, je kmalu zatem umrla. Hekerji so bolnišnico napadli po pomoti in so po opozorilu policije napad prekinili in posredovali ključe za odklep šifriranih datotek.

Napad je bolnišnico docela ohromil, saj so odpadale operacije in drugi načrtovani posegi. Prizadetih je bilo 30 strežnikov informacijskega sistema v bolnišnici, ponovno vzpostavljanje sistema pa bo trajalo več tednov. To ne pomeni, da bo bolnišnica toliko časa onesposobljena; toliko časa bo trajalo, da bo čisto vse, kot je bilo pred napadom. Tiskovni predstavnik bolnišnice je zagotovil, da so med napadom še vedno skrbeli za vseh 570 hospitaliziranih bolnikov, niso pa mogli sprejemati novih ali opravljati naročenih posegov pri zunanjih...

85 komentarjev

Razer pomotoma objavil podatke 100.000 uporabnikov

Vzorec zapisa objavljenih osebnih podatkov vir: Volodimir Diačenko

LinkedIn - Varnostni raziskovalec Volodimir Diačenko je razkril, da je Razer, znani ponudnik računalniške periferije, 8. avgusta nehote javno objavil podatke svojih strank, shranjene na njihovi spletne strani. Šlo je za podatkovno gručo v Elasticsearchu, ki je bila ne le dostopna javnosti, pač pa so jo ves čas indeksirali tudi javni iskalni pogoni.

Krivec? Napačna konfiguracija strežnika. Objavljeni so bili podatki, povezani z njihovo spletno trgovino, denimo email in fizični naslov uporabnika, vsebina naročila in telefonska številka. Med njimi pa ni bilo gesel ali pa podatkov o plačilnih karticah. Kljub temu gre za nedopustno malomarnost, saj gre za podatke, s katerimi je mogoče precej učinkoviteje zastaviti kako bodočo kampanjo phishinga in si na ta način pridobiti še kake druge, bolj usodne osebne podatke, denimo o plačilni kartici.

Še slabše so se pri Razerju odrezali, ko gre za hiter in dejaven odziv na opozorilo o napaki. Diačenko jih je o svojem odkritju poskušal obvestiti...

5 komentarjev

V Connecticutu zaradi hekerskega napada odpadel prvi šolski dan

Slo-Tech - Zaradi napadov virusov in izsiljevalske programske opreme so se že zapirale banke, ustavljale tovarne in javni promet, težave so imeli tudi na univerzah in v šolah, nismo pa še brali o tem, da bi zaradi tega odpadal pouk. V Connecticutu so v mestu Hartford imeli prav te težave, saj je virus napadel informacijski sistem več šol (in nekaterih drugih javnih inštitucij), zaradi česar so prvi šolski dan prestavili.

Pouk bi se bil moral začeti v torek, a so ga zaradi vdora odpovedali. To je še toliko večja nevšečnost, ker so zaradi epidemija covida-19 že spomladi ustavili pouk in nadaljevali s šolanjem na daljavo. Ker so šolanje na daljavo za nekatere paralelke ustavili, pričakujoč začetek v živo, tako sedaj niso imeli druge možnosti, kot pouk preprosto odpovedati in počakati, da so posledice vdora odpravljene. Kdaj se bo to zgodilo, še ni jasno. Po prvotnem načrtu bi bila to sreda, a danes šol še niso mogli odpreti. Tudi učenci, ki bi se morali šolati na daljavo, so morali počakati,...

1 komentar

V Čilu zaradi hekerskega napada banka zaprla vse poslovalnice

Slo-Tech - Druga največja banka v Čilu, BancoEstado, je včeraj zaradi hekerskega napada zaprla vse poslovalnice v državi, so sporočili iz te južnoameriške države. Napad se je zgodil konec tedna in je po neuradnih podatkih potekal z izsiljevalsko programsko opremo REvil (Sodinokibi). Kot kažejo prve informacije, se je začel kot večina tovrstnih vdorov. Zaposleni je prejel okužen Officeov dokument, ki ga je odprl in s tem omogočil hekerjem stranska vrata za vstop. V noči s petka na soboto so napadalci ta vrata izkoristili za dostop do omrežja in namestitev REvila. Zaposleni, ki so delali med vikendom, so v soboto zjutraj ugotovili, da do svojih datotek niso imeli dostopa, ker jih je virus zašifriral.

Cel vikend je potekala operacija reševanja, a do ponedeljka ni uspela, zato so morali napad priznati javnosti. To so storili že v nedeljo, še dan prej pa so obvestili organe pregona in finančnega regulatorja. Po neuradnih podatkih naj bi izsiljevalska koda uspešno zašifrirala večino podatkov na...

4 komentarji

Novi standardi informacijske varnosti v bančništvu

Slo-Tech - Kot kaže, nekatere slovenske banke uvajajo nove standarde na področju informacijske varnosti. Konkretno, na področju gesel.

Geslo je osnovni in najpogosteje uporabljan zaščitni mehanizem, zato morajo biti gesla praviloma dovolj kompleksna in dovolj dolga, da zagotavljajo želeni nivo varnosti. Težava pri geslih je, da si je kompleksna gesla težko zapomniti, zato pri oblikovanju gesel trčimo ob dilemo ali si želimo večjo varnost ali pa enostavnejšo uporabo. Vsekakor je pri geslih pomembno, da morajo biti čim daljša in čim bolj kompleksna (mešanica črk in številk, po možnosti tudi mešanica velikih in malih črk ter številk in "posebnih" znakov). Prekratka gesla je namreč mogoče razbiti z metodo grobe sile (angl. brute force attack – gre za ugibanje vseh možnih kombinacij črk in številk) ali pa napada s slovarjem (angl. dictionary attack – gre za ugibanje gesel na podlagi besed iz slovarja).

Seveda pa navedeno velja zgolj za pomembna gesla. Za geslo, ki ga uporabimo za prijavo na neko...

97 komentarjev

Ciscovo omrežno opremo ogroža nevarna ranljivost

vir: Pixabay

Slo-Tech - Iz Cisca so konec tedna sporočili, da bi lahko bila z DoS (Denial of Services) napadi ogrožena njihova omrežna oprema, v prvi vrsti usmerjevalniki najvišjega razreda in sploh vse, kar uporablja njihov operacijski sistem IOS XR Software. Ta je običajno nameščena na napravah, ki jih imajo telekomunikacijska podjetja in upravljavci podatkovnih centrov. Programski popravek za vrzel za zdaj še ni na voljo, njena nevarnost pa je na lestvici Common Vulnerability Scoring System (CVSS) ocenjena z 8,6 od 10 točk.

Ranljivost CVE-2020-3566 omogoča napadalcem, da s pošiljanjem umetno ustvarjenega IGMP (Internet Group Management Protocol) prometa, zasitijo pomnilnik usmerjevalnika, s čimer lahko destabilizirajo tudi nekatere druge procese, med katerimi bi utegnili biti tudi usmerjevalni protokoli. Za uspešen napad je sicer še potrebno, da ima naprava vklopljen VMRP oz. Distance Vector Multicast Routing Protocol. Končni rezultat napada bi tako lahko bil uspešen DoS napad, ki bi lahko povzročil...

6 komentarjev

(Komentar) Dva kilograma informacijske varnosti, prosim

Ti. kavč oz. pisarniška inšpekcija (simbolična fotografija)

vir: RTV Slovenija
Slo-Tech - Število odmevnih varnostnih incidentov v digitalnem svetu je vsak dan večje in Slovenija ni nobena izjema. Spomnimo le na incidente Nova24TV, Lekarne Ljubljana, Bolnišnica Izola, Revoz, AJPES. Ob dogajanju se vedno znova zastavljata dve ključni vprašanji: kdo je kriv in zakaj podatki niso bili ustrezno zavarovani?


Kdo je odgovoren?

Pri iskanju krivca pomaga kombinacija ljudske folklore (»nihče ni kriv«) in inšpekcijske prakse (»kriva je odgovorna oseba«). Ko varnostni incidenti niso medijsko izpostavljeni, krivca ni treba iskati, dovolj je, da se dogovorimo med sabo, okaramo nesposobne zaposlene, se posipamo s pepelom in zadevo pometemo pod preprogo. Ko se začne incident javno pogrevati, nastanejo težave, ki jih bolj ali manj učinkovito rešujejo represivne službe: Policija, Informacijski pooblaščenec, AKOS, Uprava za informacijsko varnost). Takrat naj bi se v okviru formalnih postopkov določilo odgovorno osebo, praviloma tako, da se začne z iskanjem krivca čim nižje v...

39 komentarjev

Anonymous napadel Novo24TV

Slo-Tech - Slovenski del hekerske skupine Anonymous je danes zjutraj na svojem Twitter računu objavil povezavo do datoteke s 3.6GB zaupnih podatkov s strežnika spletnega časopisa Nova24TV (znani kot "prvi v službi resnice").



Kot kaže, so člani skupine uspeli vdreti v njihov strežnik ter si skopirati celotno podatkovno bazo oz. so se na kakšen drug način prikopali do kopije omenjene baze. S tem so odtujili podatke o vseh registriranih uporabnikih spletnega časopisa: njihove e-poštne naslove, IP naslove, imena, vzdevke, čase prijave, ipd. Z objavo teh podatkov so tako v bistvu razkrili identiteto številnih uporabnikov portala Nova24TV. Kot kaže hitri pregled vsebine baze, se v njej nahajajo tudi gesla, vendar v šifrirani obliki (oz. v obliki tim. kontrolnih vsot), zato njihova neposredna zloraba ni mogoča.



Anonymous ne skriva, da je bil njihov namen škodovati desnici, saj jo v tvitu opisujejo kot "faš******* kriminalce", ki jih je treba ustaviti pri njihovem cilju "uničenja svobode in...

198 komentarjev

OstaniZdrav - slovenska aplikacija za sledenje stikom

Slo-Tech - Od tega tedna dalje je v Googlovi trgovini Play na voljo slovenska aplikacija za sledenje stikom, ki jo je pripravilo Ministrstvo za javno upravo v sodelovanju z Nacionalnim inštitutom za javno zdravje. Aplikacija za iOS bo na voljo kmalu. Aplikacija, ki jo najdemo pod imenom #OstaniZdrav je prevod nemške aplikacije Corona Warn App, ki na Androidu uporablja Googlove, na iOS pa Applove API vmesnike za sledenje stikom.

Za delovanje aplikacije moramo imeti vključeno tehnologijo Bluetooth, zaradi tehničnih razlogov pa aplikacija zahteva dovoljenje za pridobivanje lokacije, čeprav aplikacija lokacije same (GPS) ne beleži. Preko Bluetootha je namreč (teoretično) mogoče ugotoviti lokacijo, zato je za aktivacijo Bluetootha aplikaciji potrebno dodeliti pravico za dostop do lokacije, čeprav aplikacija sama lokacijskih podatkov ne pridobiva.

Aplikacija je odprtokodna, njena izvorna koda je objavljena na Githubu in tam lahko tudi preverimo, da aplikacija lokacijskih podatkov res ne...

115 komentarjev

Tožilci nad nekdanjega Uberjevega šefa varnosti

vir: Pixabay

Slo-Tech - Joseph Sullivan je kot nekdanji CSO (Chief Securtiy Officer) obtožen oviranja pregona in poskusa prikrivanja informacijskega vdora, ki se je Uberju primeril leta 2016 in v katerem so bili neznancem izpostavljeni podatki o 57 milijonih njihovih voznikov in uporabnikov. Podjetje je vdor obelodanilo leto pozneje, ko je vodstvo že prevzel Dara Khosrowshahi, tedaj je postalo znano tudi dejstvo, da so vdiralcem plačali 100.000 ameriških dolarjev za izbris pridobljenih podatkov. Sullivan je takrat izgubil službo, Uber pa je za odškodnine, ki so jih na sodišču zahtevale vse zvezne države, porabil 148 milijonov USD.

Zdaj tožilci Sullivanu očitajo, da je zvezni komisiji za trgovino oz. Federal Trade Commission (FTC) aktivno preprečeval, da bi vdor ustrezno raziskala, pa tudi to, da je osebno odobril izplačilo odkupnine. Slednja je bila sicer zamaskirana v t. i. bug bounty nagrado, torej znesek, ki ga podjetja običajno plačajo varnostnim raziskovalcem, ki odkrijejo kako bistveno ranljivost....

0 komentarjev

Varnostne ranljivosti v DSP vezju čipa Snapdragon

Slo-Tech - Varnostna firma Check Point je odkrila kopico ranljivosti v delu sistemskega čipa Snapdragon, ki je namenjen obdelavi signalov (DSP). Qualcomm je že objavil popravke, ki pa jih morajo Google in proizvajalci telefonov še dostaviti.

Digital Signal Processor ali DSP je čip, namenjen hitri in varčni obdelavi signalov, na primer kompresiranju videa in zvoka, pa tudi recimo kontroli nad hitrim napajanjem. V sodobnih sistemskih čipih ga pospravijo v vezje, ki ždi poleg centralnega procesorja, GPUja in ostalih podsistemov. DSPje običajno razvijajo ločeno od preostanka SoCja, zaradi česar so za sistemske integratorje "črna škatlica", to pa obenem pomeni oteženo odkrivanje in odpravljanje varnostnih lukenj. Ravno zaradi tega so se DSPja v najbolj razširjenem sistemskem čipu na svetu, Qualcommovem Snapdragonu, lotili v varnostnem podjetju Check Point in našli prek 400 hroščev v krmilnem ter razvojnem (SDK) programju. Ti niso nedolžni, saj naj bi zlikovcem omogočali razmeroma enostavno izrabo...

7 komentarjev

Za vdor v Twitter obtožena trojica ljudi

Ars Technica - Ameriški organi pregona so v petek zjutraj po lokalnem času izdali obtožnice zoper trojico oseb, osumljeno sodelovanja pri nedavnem odmevnem vdoru v Twitterjeve račune. Dva osumljenca, oba Američana s Floride, so tudi že priprli, tretjega pa so prijeli v Veliki Britaniji. 17-letnik iz Tampe naj bi bil obenem tisti, ki je napad načrtoval in v največji meri izpeljal.

Ker je bil vdor v Twitter sredi julija ne le eden najobsežnejših napadov na družbena omrežja doslej, temveč je imel za tarčo vrsto vplivnih oseb iz politike in gospodarstva, so ameriški preiskovalni organi zelo hitro in konkretno pljunili v roke. Le pol meseca so potrebovali, da so za rešetke spravili snovalca hacka, obenem pa še dva pomočnika, ki sta mu pomagala pri trženju ukradenih računov. V Tampi na Floridi so tako aretirali 17-letnega Grahama Clarka, ki naj bi bil omenjeni mastermind. V Orlandu je policija prijela 22-letnega Nimo Fazelija, medtem ko je britanska policija prišla po 19-letnega Masona Shepparda iz...

9 komentarjev

Garmin žrtev izsiljevalskega virusa tolpe Evil Corp

Ars Technica - Podjetje z GPS lokacijskimi storitvami Garmin je v preteklih dneh dodobra ohromil prefinjen in ambiciozen hekerski napad z napredno izsiljevalsko zlobno kodo WastedLocker.

Večina tistih, ki na potovanjih in pri športu uporabljajo naprave družbe Garmin, je bila konec tedna soočena z mrkom naprednejših funkcij, kot je denimo analiza treninga. V četrtek opoldne po našem času je klecnil Garmin Connect, takoj nato so sledili še flyGarmin, klicni centri in vse spletne strani. To je konkretno pomenilo na primer, da se pametne ure niso mogle priklopiti v oblak, piloti pa niso mogli z nalinijskimi orodji oblikovati načrtov letenja. Šele v ponedeljek so pričeli servise ponovno zaganjati in nekateri so tudi še v torek delovali "s pol moči". Hkrati so v skopem sporočilu uradno potrdili razlog: njihovo omrežje je bilo žrtev dobro organiziranega napada z izsiljevalsko zlobno kodo, tako da smo dobili novo udarno poglavje v spopadu med velikimi ustanovami in ransomwarom.

Strokovnjaki in...

11 komentarjev

V velikem vdoru v Twitter kradli tudi zasebna sporočila

vir: Vice
Slo-Tech - Po dobrem tednu od največjega vdora v Twitter na dan prihajajo nove podrobnosti, ki korakoma slikajo obsežnejši napad. Čeprav je Twitter sprva zatrjeval, da napadalci niso pretočili zasebnih sporočil pomembnih računov (high-profile), ki so bili sicer tarče napadov, to ne drži. Včeraj zvečer so namreč iz podjetja sporočili, da so 36 pomembnim računom ukradli zasebno korespondenco, iz vseh 130 pa elektronske naslove, telefonske številke in druge osebne podatke. Tega sploh niso razkrili v novi objavi za javnost, temveč so zgolj popravili skoraj teden dni staro.

Na internetu se je o vdoru nabralo že precej informacij, bistveno več od tega, kar uradno razkriva Twitter. Kot kaže, je bil glavni motiv za napad pridobiti dostop do računov s kratkim ID naslovom (npr. @6). Napadalci so povezani s skupino hekerjev (SIM swappers), ki naj bi dostop pridobili prek Twitterjevih lastnih administrativnih orodij za menjavo gesel in elektronskih naslovov, čeprav Twitter zanika vpletenost kogarkoli iz...

17 komentarjev

Hekerji od argentinskega telekoma neuspešno zahtevali 7,5 milijona dolarjev

vir: ZDNet
ZDNet - Pretekli konec tedna so hekerji napadli sisteme drugega največjega argentinskega operaterja Telecom Argentina, ki ima tretjinski tržni delež. Napadalci so uspeli prevzeti nadzor nad Domain Adminom in nato namestiti izsiljevalsko programsko opremo na 18.000 delovnih postaj. Ob tem sicer ni prišlo do prekinitev zagotavljanja storitev (fiksna in mobilna telefonija, kabelska TV), so pa bile nedosegljive spletne strani. Hekerji so zahtevali 7,5 milijona dolarjev odkupnine v kriptovaluti monero (109345,35), kar se bo podvojili vsake tri dni, so dodali.

Kot poročajo viri iz podjetja in kažejo zaslonski posnetki, ki so jih na družbenih omrežjih delili nekateri zaposleni, je Telecom Argentina zaznal vdor takoj, ko se je zgodil. Zaposlene so pozvali, naj se ne povezujejo s službenim omrežjem prek VPN, naj omejijo uporabo omrežnih virov in naj ne odpirajo elektronske pošte s priponkami. Telecom Argentina incidenta sprva ni komentiral, prav tako ni razkril, ali nameravajo plačati odkupnino,...

18 komentarjev

Nove podrobnosti Twitter hacka

Slo-Tech - Mineva nekaj dni od odmevnega vdora v najvidnejše račune na Twitterju in tako podjetje kot mnogi preiskovalci ter vpleteni so postregli z nekaj več detajli. Zaenkrat še vedno kaže, da je šlo za kripto-potegavščino, saj ni videti, da bi jo zlikovci podurhali z zasebnimi sporočili Obame, Muska in drugih pomembnih oseb; toda na končne sklepe bo potrebno še čakati.

V noči s srede na četrtek po našem času se je Twitterju pripetil bržkone največji vdor v zgodovini socialnih omrežij. Mnogi računi vidnih svetovnih političnih, gospodarskih in medijskih osebnosti, kot so Barack Obama, Elon Musk, Bill Gates in Jeff Bezos, so začeli bljuvati prevarantske objave, ki so imele namen od lahkovernežev izvabiti kriptokovance. Na koncu so nepridipravi dejansko pobasali za prek sto tisoč dolarjev plena, pri Twitterju pa so po dveh urah mahinacije le zaustavili - tudi s pomočjo prijemov, ki jih vidimo jako redko, kot je vsesplošno blokiranje preverjenih (verified) uporabniških računov. Ker je...

13 komentarjev

Iranski državni hekerji pomotoma objavili uvajalne videoposnetke

IBM - Kako deluje hekerske skupine, ki jih sponzorirajo države, je v grobih obrisih znano, podrobnosti vsakega napada pa preiskovalci običajno zlagajo skupaj iz ostankov zlonamerne kode, dnevniških datotek in povezav. Redkeje pa se zgodi, da hekerji sami razkrijejo svoj način dela - z videoposnetki. Prav to se je zgodilo hekerski skupini ITG18 (znano tudi kot APT35, Charming Kitten ali Phosphorous), ki je povezana z iransko vlado. Na v internet odprt strežnik so naložili 40 GB ukradenih podatkov, med katerimi je tudi približno pet ur videoposnetkov, ki jih uporabljajo za urjenje novincev. Vsebino je našel IBM, ko je njegova skupina za informacijsko varnost X-Force IRIS naletela na omenjeni strežnik.

Objavili so pet ur posnetkov (AOL.avi, Aol Contact.avi, Gmail.avi, Yahoo.avi, Hotmail.avi), ki kažejo kako vdreti v uporabniške račune različnih storitev in kako hitro sneti podatke (en primer je ameriškega pripadnika mornarice, drugi pa je iz grške mornarice). Poizkusili so vdreti v kar 75...

14 komentarjev

V Windows DNS Server odkrili 17 let staro ranljivost

vir: Pixabay

Slo-Tech - Microsoft je varnostno luknjo označil kot kritično in črvivo (wormable), saj je izpostavljena napadom s pomočjo zlobne kode, popularno imenovani črvi. Ranljivost napadalcu omogoča oddaljeno zaganjanje izvršljive programske kode na strežniku in izvajanje lažnih DNS poizvedb, s čimer bi v praksi lahko prodrl v celotno infrastrukturo organizacije. Microsoft je stopnjo ogroženosti po lestvici Common Vulnerability Scoring System (CVSS) ocenil na 10, za primerjavo, razvpiti črv WannaCry je bil po tej isti sistemizaciji ocenjen z 8,5.

Varnostno luknjo so že maja odkrili raziskovalci podjetja Check Point in odkritje posredovali Microsoftu, kjer so pred dnevi objavili popravek, ob njem pa še eno, obvodno rešitev, ki ranljivost nevtralizira prek registra. Po besedah predstavnikov Microsofta za zdaj ni indicev, da bi ranljivost kdo že poskusil zlorabiti, predstavniki Check Pointa pa so pri tem nekoliko bolj previdni, češ, obstajala je 17 let, če smo jo našli mi, ni vrag, da je ni vmes še kdo...

12 komentarjev

Mnoge aplikacije še vedno vohljajo po iOSovem odložišču

engadget - Nova funkcija preizkusne različice iOSa 14 je pokazala, da več ducatov aplikacij še vedno brez jasnega razloga dostopa do odložišča (clipboard), medtem ko je na Androidu položaj še slabše poznan.

Letošnjega marca sta raziskovalca Talal Haj Bakry in Tommy Mysk odkrila prek petdeset priljubljenih aplikacij za iOS, ki so brez jasno navedenega razloga dostopale do odložišča, kjer se shranjujejo kopirani podatki. Programje ima dostikrat čisto legitimne težnje takšne narave, na primer grafična okolja, ki tam iščejo slike, ali appi dostavnih storitev, ki opazujejo, če smo slučajno zajeli številko dostavne storitve. Toda ker se v odložišču pogosto znajdejo tudi gesla ali podatki z bančnih računov, vsekakor kaže biti pazljiv, komu dovolimo tam okoli vohljati. Spisek množice appov, ki sta ga sestavila Bakry in Mysk, je vseboval priljubljena orodja, kot sta Viber in AccuWeather, pa prikazovala najvidnejših medijskih hiš, kot so Reuters, New York Times, NPR in Fox. Ter TikTok, ki je spričo...

34 komentarjev

Evropski organi pregona v eni najuspešnejših akcij v zgodovini shekali kriminalno komunikacijsko omrežje

vir: Vice
BBC - Širom zahodne Evrope je v preteklih tednih za rešetkami pristalo na stotine članov kriminalnih združb, predvsem tihotapcev drog. Gre za posledico uspešnega vdora kriminalistov v šifrirani komunikacijski sistem EncroChat.

Zloraba sodobne informacijske tehnologije ni zgolj domena piscev zlobne kode in podobnih black hatov, temveč tudi običajnejših kriminalnih tolp. Te z njeno pomočjo lahko postanejo skrbno naoljena prekupčevalska in izterjevalska omrežja, saj sodobne komunikacije ter analiza podatkov močno pospešijo njihovo delovanje. Toda hkrati ima naslanjanje na takšne zmogljivosti lahko zanje tudi negativno plat, saj so tako izpostavljene hekerskim vdorom. Očitno smo primer takšnega dogodka ravnokar dobili v praksi, kajti kriminalistični uradi širom zahodne Evrope so v sodelovanju z Europolom in Eurojustom razkrili eno najuspešnejših tovrstnih akcij v zgodovini, ki je bila osrediščena okoli prisluškovanja šifrirani mobilni platformi EncroChat.

EncroChat je bil ponudnik storitev...

18 komentarjev

Hekerji od univerze v San Franciscu izsilili milijon dolarjev

Slo-Tech - Izsiljevalski virus Netwalker, ki se je začel širiti v začetku tega leta, je prizadel tudi Univerzo v San Franciscu (UCSF). Na njihovi medicinski fakulteti je zašifriral datoteke na računalnikih, pred tem pa so hekerji kopije ukradli še zase. Nato so fakulteti zagrozili, da želijo tri milijone dolarjev, sicer ne bodo nikoli dobili nazaj svojih podatkov (oziroma ključa za dešifriranje), bodo pa javno objavili zbrane osebne podatke (denimo študentov). UCSF se je po pogajanjih uklonil in plačal dober milijon dolarjev.

Celotno zgodbo so od blizu spremljali novinarji BBC-ja, ki so prejeli informacijo o dogajanju. Pogajanja so potekala prek klepeta na spletni strani, podobno kot ima to urejeno veliko podjetij za pomoč uporabnikom, le da je bila ta stran na temnem delu interneta (darkweb). Glede na prihodke, ki jih ustvari UCSF, so hekerji sprva zahtevali tri milijone dolarjev, UCSF pa je ponudila štirikrat manj. Kasneje so se uskladili pri 1,14 milijona dolarjev, kar so plačali v...

7 komentarjev

Razširitve v Chromu - leglo zlobne kode

vir: Pixabay

vir: Awake Security
Awake Security - Raziskovalci varnostnega podjetja Awake Security so razkrili, kako je skupina 111 razširitev, ki si jih je s Chromove spletne tržnice doslej preneslo že 33 milijonov uporabnikov, pridno zbirala občutljive osebne podatke in jih pošiljala na določene spletne strani. Šlo je za posnetke zaslonov, vsebino odložišč, piškotke za vpisovanje v spletne strani in celo zaporedja tipk pri vpisovanju gesel v določena poslovna orodja. Večina omenjenih razširitev je delovala tako, da je po namestitvi lahko sama nameščala svoje lastne popravke prek izvršljivih datotek. Google je razširitve po opozorilu Awake Security že odstranil.

Razširitve so se pri svojem delovanju povezovale s približno 15.000 spletnimi domenami, ki so bile vse registrirane pri izraelskem podjetju GalComm. Vodstvo slednjega zanika vsako vpletenost, a strokovnjaki Awake Security trdijo, da so v družbi zagotovo morali vedeti, kaj se dogaja. Predstavniki ICANN (Internet Corp for Assigned Names and Numbers), ki so GalComm...

23 komentarjev

Intelovi čipi dobivajo vgrajeno zaščito proti zlonamerni programski opremi

Slo-Tech - Tehnologijo CET (Control-Flow Enforcement Technology) sta Intel in Microsoft prvikrat predstavila že leta 2016, sedaj pa naposled prihaja v nove procesorje. Intel je včeraj potrdil, da bo nova serija Tiger Lake imela vgrajen CET, ki je namenjen preprečitvi delovanja tehnike ROP (return-oriented programming). Z njo zlikovci skušajo pretentati metode, kot sta Executable Space Protection ali ASLP. Te pa so bile v prvi vrsti postavljene, da bi zlonamerni kodi preprečili ciljano pisanje po pomnilniku, ki ji ne pripada. Igra mačke z mišjo se torej nadaljuje, kjer je bil ROP zadnji dosežek zlikovcev, zato sta Intel in Microsoft razvila ROP.

Kot pojasnjuje Alex Ionescu iz CrowdStrika, CET uvaja nov kontrolni sklad (control stack), ki ga napadalci ne morejo spremeniti in ki ne vsebuje nobenih podatkov. Namesto tega vsebuje naslove (return address) posameznih kosov kode, ki je v pomnilniku in bi jo z ROP lahko uporabili za izvedbo napada. CET zazna morebitne spremembe, zato lahko procesor...

6 komentarjev

Kako je južnoafriška banka zamenjala 12 milijonov kartic zaradi ukradenega ključa

Slo-Tech - V južnoafriški Postbank so morali zamenjati 12 milijonov kartic, ker je eden izmed zaposlenih ukradel 36-bitni glavni ključ (master key), razkriva The Sunday Times, ki je pridobil poročilo iz julija 2019. Incident se je zgodil že decembra 2018, posledice pa so bile občutne. Ni šlo le za zamenjavo milijonov kartic, temveč tudi za več tisoč lažnih transakcij in milijonske škode.

Neimenovani uslužbenec je decembra 2018 v starem podatkovnem centru v Pretoriji na list papirja natisnil 36-bitni ključ. Omenjeni ključ omogoča dostop do informacijskega sistema v banki, izvajanje transakcij in njihovo spreminjanje ter celo izdajanje plačilnih kartic. Med marcem in decembrom lani so zlikovci s tem ključem izvedli 25.000 lažnih transakcij in ukradli za 56 milijonov randov sredstev (2,9 milijona evrov). Prizadetih je 8-10 milijonov imetnikov kartic, še milijonu pa so ukradli osebne informacije. To se sliši veliko, a zaradi tega bo banka morala zamenjati vse kartice (plačilne in tudi posebne,...

10 komentarjev

Prisluškovanje z opazovanjem nihanja žarnic

Slo-Tech - Raziskovalci z izraelske Univerze Ben-Gurion in Weizmannovega inštituta pod vodstvom Adija Shamirja, ki se ukvarjajo z iskanjem in dokazovanjem metod za prestrezanje podatkov in prisluškovanje, so pokazali nov način, kako lahko (dobesedno) prisluškujemo. Napad, ki so ga poimenovali Lamphone, izkorišča prosto visečo žarnico v prostoru, ki se zaradi zvoka rahlo ziblje.

Zvok je longitudinalno valovanje zraka, ki se odrazi kot oscilacije zračnega tlaka. Ti lahko povzročijo nihanje predmetov, ki pa je zaradi zanemarljive energije, ki jo nosi zvočno valovanje, v večini primeri nezaznavno. Prav na tem principu deluje sluh, saj je bobnič fino napeta membrana, ki zaradi sprememb zračnega tlaka niha, kar se prevede v signal za možgane. Nihajo pa tudi svetila, denimo prosto viseče žarnice. Nihljaji zaradi zvoka so prostemu očesu nevidni, saj je gre za milistopinje, ne pa tudi specializirani opremi.

Shamirjeva ekipa je pokazala, da je to dejstvo možno izkoristiti za pasiven napad. Koncept, kot rečeno ni nov. Laserji, ki merijo vibracije stekel v oknih, so znana metoda. Sedaj pa so pokazali, da lahko s 400 dolarjev vredno opremo (elektro-optični senzor) merimo spremembe v svetlobnem toku zaradi mikronihajev svetila v prostoru, ki je...

10 komentarjev

Honda zaradi hekerskega napada začasno ustavila proizvodnjo

Slo-Tech - Japonski proizvajalec vozil Honda je bil v začetku tedna žrtev hekerskega napada, zaradi česar so za en dan celo ustavili proizvodnjo in nekaj zaposlenih poslali na izredni dopust. V podjetju so incident potrdili in dejali, da posledice že odpravljajo. Proizvodnja se je po torkovi zaustavitvi danes že nadaljevala.

Napad se je zgodil v ponedeljek zjutraj v Tokiu in se je kmalu razširil po informacijskem sistemu podjetja. Proizvodnjo so prekinili v Ohiu v ZDA, v Turčiji, Indiji in Južni Afriki, je dejal tiskovni predstavnik Hidenori Takeyasu. Na Japonskem naj bi proizvodnja tekla normalno. Kaj je povzročilo vdor, uradno ni znano. Vdor približno sovpada s širjenjem izsiljevalske programske opreme Ekans, ki je glavni osumljenec, ker se je v bazi VirusTotala pojavil prijavljeni vzorec Ekansa iz omrežja mds.honda.com. Pregled je pokazal, da je konkretna verzija napisana tako, da poizkusi dostopiti do mds.honda.com in če to ni možno (to je interni strežnik), ne zašifrira nobenih datotek,...

2 komentarja

Avstrijski A1 pol leta v primežu hekerjev

Heise - Heise razkriva, da je bil vsaj od lanskega novembra avstrijski mobilni operater A1 Telekom Austria žrtev hekerskega napada. Preiskovalci so bili napadu nekaj mesecev na sledi, a so sistemsko čiščenje zaradi epidemije koronavirusa prestavili z marca na maj. To namreč ni enostaven postopek, saj so morali sočasno zamenjati gesla vseh zaposlenih, odstraniti stranska vrata v webshellu, izdati nove golden tickets za Kerberos strežnike Active Directoryja itd. Le tako so lahko zagotovili, da se napadalci ne morejo vrniti.

V zadnjih mesecih so poskrbeli, da prek okuženih sistemov niso pretakali pomembnih podatkov, hkrati pa niso smeli vzbuditi pozornosti napadalcev, je dejal vodja računalniške varnosti pri A1 Wolfgang Schwabl. Napad se je zgodil že novembra lani, in sicer je - za zdaj prek neznanega vektorja, bržkone ukradenih prijavnih podatkov - najprej doletel eno običajno delovno postajo. Od tam so se potem počasi prebijali po omrežju, najprej do prvega neustrezno zaščitenega strežnika...

36 komentarjev

Zoom uporabnikom brezplačne verzije ne bo ponudil pravega šifriranja

Slo-Tech - Zoom je sprva trdil, da ima urejeno šifriranje od pošiljatelja do prejemnika (end-to-end), a smo kasneje izvedeli, da ga v resnici šele pripravlja. V obstoječi verziji ima namreč tudi Zoom ključe, zato bi lahko teoretično prisluškovali pogovorom, kar bi razveselilo zlasti organe pregona. In to bo tudi glavni razlog, da bo za uporabnike brezplačne verzije tako tudi ostalo.

Izvršni direktor Eric Yuan je potrdil, da bo pravo šifriranje na voljo le naročnikom plačljive verzije. Brezplačnim uporabnikom ga ne bodo ponudili, da bo podjetje laže sodelovalo s policijo v primeru zlorab aplikacije. Z drugimi besedami: Zoom bo imel tehnično možnost predati vsebino komunikacije. To odpira stare debate o primernosti šifriranja end-to-end, kjer prestrezanje prometa niti teoretično ni mogoče. Tako organi pregona sodnih odredb o prisluškovanju ne morejo izvesti, ker to tehnično ni možno. Rešitev te zagate je seveda bodisi namerna ošibitev šifrirnih algoritmov bodisi ukinitev šifriranja end-to-end,...

6 komentarjev

NSA opozarja, da skupina Sandworm skozi znano ranljivost napada poštne strežnike

vir: ZDNet
Slo-Tech - Ameriška agencija NSA je izdala opozorilo, da razvpita ruska hekerska skupina Sandworm izvaja obširno kampanjo napadov na poštne strežnike, in sicer skozi še vedno zelo razširjeno ranljivost v programju za pošiljanje elektronske pošte Exim, ki je bila odkrita lansko poletje.

Lanskega junija je bila najdena kritična ranljivost v programu za pošiljanje elektronske pošte (mail transfer agent - MTA) Exim, ki je razširjen v sistemih z Unixom in Linuxom ter naj bi se nahajal v več kot polovici poštnih strežnikov po svetu. Napadalcu preko primerno sestavljenih sporočil omogoča polni (root) prevzem nad ciljnim poštnim strežnikom. Kljub temu, da je bil popravek na voljo takoj, hkrati pa so zlikovci še isti mesec pričeli dejansko zlorabljati odkrito slabost, raziskave kažejo, da je še letošnjega maja polovica lukenj ostala nezakrpanih.

To naj bi v zadnjem času pridoma izkoristili v zloglasni hekerski skupini Sandworm, povezani z rusko vojaško obveščevalno službo (GRU). Skupina je ena...

9 komentarjev

Maximator: evropsko elitno združenje za prisluškovanje

Slo-Tech - Od Snowdnovih razkritij pred sedmimi leti vemo za obseg sodelovanja, ki ga okviru zavezništva Petero oči na področju obveščevalnih službi izvajajo Avstralija, Kanada, Nova Zelandija, Velika Britanija in ZDA. Do letos pa je bilo precej manj znano dejstvo, da podobna združba obstaja tudi na Stari celini. Maximator je ime evropskega petčlanskega krožka, v katerem sodelujejo Danska, Francija, Nemčija, Nizozemska in Švedska. Prvi je o Maximatorju pisal Bart Jacobs z Univerze Radboud v nizozemskem Nijmegenu.

Zavezništvo je nastalo leta 1976, ko so se povezale Nemčija, Švedska in Danska (slednja je bila pobudnik), da bi laže dešifrirale sporočila na satelitskih zvezah. Dve leti pozneje se je pridružila še Nizozemska, Francija pa je vstopila leta 1985. In v takšni obliki je skupina ostala aktivna vse do danes. Ena izmed ključnih sestavin zavezništva je bilo švicarsko podjetje Crypto AG, katerega lastnika sta bila ameriška CIA in nemška BND. Ne da bi ostali člani Maximatorja vedeli, od kod...

8 komentarjev

Na Tajskem ušla baza s prometnimi podatki uporabnikov mobilnega interneta

Slo-Tech - Po navadi pišemo o pobeglih bazah, ki vsebujejo osebne podatke, to pot pa je na Tajskem na internet pobegnila še precej bolj zanimiva baza. Nekaj dni je bilo povsem brez zaščite možno preveriti, katere spletne strani so obiskovali uporabniki tajskega mobilnega operaterja AIS (Advanced Info Service). Baza je merila 4,7 TB in je vsebovala 8,3 milijarde zapisov.

Zapisi so bili vnosi v dnevniško datoteko, kjer so se beležile poizvedbe DNS (DNS queries). Zajemali so obdobje od 30. aprila zvečer do 7. maja zjutraj. Nihče ne ve, zakaj se je beležilo to obdobje in zakaj se je kasneje beleženje nehalo. Baza je bila na internetu dostopna še dva tedna, šele po posredovanju ThaiCERT-a pa je bila odstranjena. Raziskovalec Justin Paine, ki jo je našel med brskanjem po BinaryEdge in Shodanu, je en teden zaman skušal vzpostaviti stik z AIS, a mu ni uspelo. Šele ko je obvestil ThaiCERT, se je AIS zganil. Baza je bila tako dostopna od 1. maja do 22. maja.

Vsebovala je 3,4 milijarde poizvedb DNS...

1 komentar

FBI še v drugo odklenil sporna iPhona, a je še vedno jezen na Apple

William Barr

vir: Ars Technica
Ars Technica - Iz FBIja so sporočili, da so po več mesecih truda naposled odklenili dva iPhona domnevnega islamskega terorista, ki je lanskega decembra na Floridi zagrešil strelski pokol. Toda dogodek ni pomiril napetih strasti med Applom in ameriškimi preiskovalnimi organi, temveč jih je še zaostril.

Letos smo bili priče ponovitvi sage, ki se je v podobni obliki odvijala že pred štirimi leti: ameriški Zvezni preiskovalni urad FBI je v roke dobil dva zaklenjena iPhona, tokrat Savdijca Mohammeda Saeeda Alshamranija, ki je 6. decembra lani v streljanju v vojaški bazi na Floridi ubil tri ljudi in jih še osem ranil. Pri zašifriranih iPhonih je mogoče geslo ugibati zgolj desetkrat, preden se podatki nepovratno izbrišejo, zato je vdiranje v takšno napravo zahtevno. Da bi si preiskovalci lahko čimprej pomagali s podatki na telefonih, so zato za pomoč vnovič prosili Apple, ki pa jim je zopet odgovoril, da v tem oziru ne more storiti ničesar, ker iPhoni, oziroma iOS, nimajo stranskih vrat, ki bi jih...

23 komentarjev

EasyJetu ukradli podatke o 9 milijonih strank

Independent - Britanski nizkocenovni prevoznik EasyJet je sporočil, da so bili v podjetju žrtev sofisticiranega informacijskega napada, v katerem so neznanci dostopali do podatkov o 9 milijonih uporabnikov, med njimi so bili tudi email naslovi in podrobnosti potovanj, kar je verjetno najhuje, med razgaljenimi podatki so bili tudi detajli o 2208 plačilnih karticah. Vodstvo podjetja je še sporočilo, da prizadete stranke že obveščajo o incidentu, izvršni direktor EasyJeta Johan Lundgren, pa se je strankam prek medijev že javno opravičil.

Druge podrobnosti o napadu, denimo kako je bil izpeljan, niti to, kdaj natanko se je primeril, za zdaj niso znane.

Za zdaj tudi ni poročil, da bi bili pridobljeni osebni podatki kakorkoli zlorabljeni, zadevo pa že preiskujejo britanski Nacionalni center za informacijsko varnost, varuh zasebnosti in tamkajšnji urad pooblaščenca za varstvo osebnih podatkov.

2 komentarja

Ameriške obtožbe, da kitajski hekerji vohunijo za raziskavami covida-19

The New York Times - Ameriški FBI in Oddelek za domovinsko varnost (DHS) sta opozorila, da kitajski hekerji napadajo ameriške bolnišnice, farmacevtske družbe in raziskovalne ustanove, ki se ukvarjajo z raziskavami zdravil in cepiv proti novemu koronavirusu. Kdor bo prvi razvil cepivo ali učinkovito zdravilo, bo imel pomembno geostrateško prednost.

To predstavlja resno grožnjo nacionalni varnosti in odzivu na pandemijo, so v FBI in DHS povedali v skupni izjavi za javnost. Na ministrstvu za pravosodje ob tem dodajajo, da Kitajska že dlje časa vohuni za informacijami iz biomedicinskih raziskav, pri čemer je covid-19 novi sveti gral. Zato razmišljajo, da bi vložili obtožnice proti hekerjem. V praksi to ne pomeni veliko, ker ti verjetno ne bodo nikoli stopili v ZDA, jim pa s tem močno otežijo potovanje po svetu, saj ima precej držav podpisane sporazume o izročitvah tretjih državljanov ZDA. Prav tako imajo tovrstne razglasitve pomembno odvračalno funkcijo, saj imajo ameriški državni hekerji pravico napasti...

15 komentarjev

Thunderspy: razlog več, da prenosnika ne puščate samega

Slo-Tech - Nizozemski raziskovalec Björn Ruytenberg je razkril, kako z izvijačem in prirejeno Thunderbolt napravo v petih minutah vdreti v prenosnik in prevzeti nadzor nad podatki. Metoda Thunderspy se zanaša na varnostno luknjo strojne narave v vmesniku Thunderbolt. Ta deluje na vodilu PCI-e in ima zato neposreden dostop do podatkov v delovnem pomnilniku (DMA), kar nepridipravom omogoča popoln dostop do podatkov. Postopek si lahko ogledate tudi v videoposnetku.

Metoda je močno omejena s tem, da zahteva neposreden dostop do računalnika in to najmanj nekaj minut. V tem času je potrebno prenosnik odpreti, priključiti posebno zunanjo napravo in z njeno pomočjo naložiti nov firmware. A po drugi strani na ta način obidemo vse, še tako močne zaščite, kot je denimo Secure Boot, pa z geslom zaščitena BIOS in operacijski sistem ter celostno šifriranje diska. Thunderspy tudi ne zahteva nobenega sodelovanja uporabnika ter po končani operaciji ne pušča vidnih sledov, ki bi žrtvi dale vedeti, kaj se je...

9 komentarjev

Dvajset let po virusu ILoveYou

vir: BBC
BBC - Pred dvajsetimi leti se je po svetu množično razširil virus ILoveYou. Ni bil prvi virus na svetu, je bil pa prvi, ki je pustošil globalno. Vrhunec razmaha je dosegel 5. maja 2000, ko je okužil več kot 50 milijonov računalnikov, kar bi bilo še danes veliko, za tisti čas pa je bilo ogromno. Škoda je presegla 15 milijard dolarjev. Virus se je širil prek elektronske pošte v priponki LOVE-LETTER-FOR-YOU, ki je vsebovala virus. Datoteka vbs je bila skripta za Visual Basic, ki je ob zagonu (tehnično je šlo za črva) prepisala nekaj datotek na disku (glasbo, videoposnetke, dokumente, slike) in se potem poslala vsem v Outlookovem imeniku. Virus se je začel širiti v Manili in se je potem širil proti zahodu, ko so ljudje prihajali v službo in zaganjali svoje računalnike, na njih pa prebirali pošto. Ker je bil virus napisan v skriptnem jeziku, so ga lahko uporabniki spreminjali, zato je kmalu vzniknilo več deset variant, ki so bile često agresivnejše in so onesposobile zagon sistema.

Kdo je...

5 komentarjev

Prisluškovanje računalniku, ki nima zvočnikov ali internetne povezave

Slo-Tech - Raziskovalci z Univerze Ben Gurion v izraelskem Negevu v skupini Mordechaija Gurija so znani po odkrivanju inovativnih načinov, kako je možno komunicirati z (okuženimi) računalniki, ki niso priključeni na nobeno omrežje (air-gapped). Njihov najnovejši prototip je napad POWER-SUPPLaY, ki izkorišča zmožnost napajalnikov, da oddajajo zvoke. Te je potem možno prebrati z mikrofonom, ki je skrit v okolici.

Računalnik, ki ga napadamo, mora seveda biti nekako okužen. Ko to zagotovimo, pa zlonamerna koda spreminja interno frekvenco napajalnika, kar se odrazi tudi na grajenih transformatorjih in kondenzatorjih. Na ta način lahko spreminjamo zvok, ki ga oddaja napajalnik. Ta je v razponu med 0 in 24kHz. Napajalniki sicer nimajo delov, ki bi jih lahko direktno krmilili, a se prilagajajo porabi. V konkretnem primeru zlonamerna programska oprema (ki ne potrebuje administratorskih privilegijev) spreminja obremenitev procesorja, kar vpliva na delovanje napajalnika in zvok, ki pri tem nastaja. Kot sprejemnik lahko deluje že navaden telefon, ki ima nameščeno ustrezno aplikacijo. Podatke so uspeli prenašati s hitrostjo 50 b/s, domet pa je bil šest metrov. Je pa to seveda odvisno od hrupa v prostoru in siceršnje obremenitve procesorja. Napad je...

14 komentarjev

Hekerji vdrli v strežnike LineageOS

vir: Needpix

vir: ZDNet
ZDNet - Neznanci so minuli konec tedna vdrli v jedrno infrastrukturo LineageOSa, gre za brezplačen in odprtokodni operacijski sistem za telefone, tablice in set-top boxe, ki temelji na platformi Android. Napad se je odvil v noči s sobote na nedeljo po našem času in je bil odkrit še preden bi lahko napadalci povzročili resno škodo.

Kot so sporočili iz LineageOS, so podpisni ključi za avtentikacijo uradnih distribucij ostali nedotaknjeni, prav tako izvorna koda in posamezne graditve operacijskega sistema. So pa začasno, zaradi preiskave dogodka, ugasnili vse svoje strežnike.

Napadalci so pri napadu izkoristili nezakrpano varnostno vrzel v Saltu, torej platformi Saltstacka za upravljanje in nadzor strežnikov na daljavo. Dve taki varnostni luknji, CVE-2020-11651 in CVE-2020-11652 so prav pred dnevi razkrili pri F-Secure, njuna kombinacija lahko napadalcu omogoči da obide vpisno proceduro in na Salt master namestitvi požene poljubno programsko kodo. Popravek je že na voljo, a trenutno je na...

21 komentarjev

WhatsApp obtožuje NSO Group hekanja svojih uporabnikov

vir: Pxfuel

vir: theguardian.com
theguardian.com - Facebookovo podjetje WhatsApp je že lani obtožilo izraelskega ponudnika spywara NSO Group sodelovanja pri vdoru v 1400 njihovih uporabniških računov, zdaj pa je iz sodnega spisa pricurljalo nekaj več podrobnosti, kako je bil pri tem uporabljen Pegasus, njihov najbolj znan spyware izdelek. Slednjega uporabljajo organi pregona in obveščevalne službe več držav, z njim je mogoče prestrezati sporočila, klice, imenik, zvok mikrofona, GPS-lokacijo, podatke aplikacij in podobno.

Po zatrjevanju WhatsAppa so bili med napadenimi uporabniki visoki vladni uradniki, aktivisti za človekove pravice, disidenti in novinarji. Njihova interna preiskava je tudi pokazala, da so v napadih sodelovali strežniki v lasti NSO Group in ne tisti v lasti njihovih vladnih klientov. Tako pričanje enega od inženirjev pravi, da so v 720 primerih napadov našli IP naslov oddaljenega strežnika, ki se sicer nahaja v Los Angelesu in ga najema in uporablja NSO Group. Slednje seveda pomeni, da je imelo podjetje zelo...

6 komentarjev

V Play Storu tudi vohunske aplikacije državnih hekerjev

Slo-Tech - Navajeni smo že, da se tudi v uradnem Google Play Storu znajdejo aplikacije sumljive provenience in zlih namenom, ki jih tja podtaknejo kriminalci, ki uspejo začasno pretentati Googlov (resda luknjičav) nadzor. Redkeje pa se zgodi, da zlonamerne aplikacije tja skrijejo kar državni obveščevalci. Raziskovalci iz podjetja Kaspersky poročajo o primeru skupine OceanLotus z napadom PhantomLance, ki se je ukvarjala prav s tem. Na Play Store so podtaknili malware, s katerim so vohunili po telefonih uporabnikov iz Vietnama, Bangladeša, Indonezije in Indije.

V konkretnem primeru cilj ni bil okužiti čim več ljudi, temveč nekaj točno določenih posameznikov. Napadalci so zgolj želenim tarčam poslali elektronska sporočila s povezavami na aplikacije, ki so vsebovale vohunsko kodo. V tem primeru bodo žrtve bolj verjetno zaupale, da je aplikacija legitimna, ker povezava vodi do Play Stora. Na podoben način namreč povezavo do svojih aplikacij pošiljajo legitimna podjetja, denimo nove spletne banke....

15 komentarjev

Zevajoča luknja v Mail aplikaciji na iPhonih

vir: ZecOps

Slo-Tech - Poročilo podjetja ZecOps razkriva dva hrošča v privzeti poštni aplikaciji, ki domnevno ogrožata na milijone uporabnikov iPhonov in iPadov. V podjetju še zatrjujejo, da so varnostno vrzel neznanci doslej že izkoristili za napade na šest znanih uporabnikov, konkretnih imen niso razkrili. O svoji najdbi so Apple obvestili že meseca marca.

Po navedbah raziskovalcev je prvi hrošč povezan z RCE (remote code execution) napako v MIME knjižnici aplikacije Mail, ki napadalcu omogoča oddaljeni zagon zlonamerne kode. Drugi hrošč je povezan s t. i. prekoračitvijo medpomnilnika na kopici (heap overflow). Exploita delujeta tako, da hekerji uporabniku pošljejo navidez neškodljivo, prazno sporočilo. Ko ga ta odpre, se aplikacija Mail sesuje, sistem pa od uporabnika zahteva ponovni zagon naprave. Med zagonom pa lahko nepridipravi dostopajo do podatkov na napravi. Ključna nevarnost obeh lukenj tiči v tem, da ne potrebujeta uporabnikove interakcije, v smislu prenašanja datotek ali obiska kakega...

28 komentarjev

V teku obširna kampanja vdiranja v Nintendove uporabniške račune

Slo-Tech - Število vdorov v Nintendove uporabniške račune, ki so v porastu že kakšen mesec, je v preteklih dneh doseglo vrhunec. Očitno gre za organizirano dejavnost, katere namen je kraja vezanih denarnih sredstev. Iz Nintenda svetujejo rabo dvostopenjske avtentikacije, toda točni načini dostopa zlikovcev še niso povsem jasni.

Nemalo uporabnikov Nintendovih konzol Switch je zadnji vikend v epoštnem nabiralniku pričakalo neprijetno sporočilo, da so v njihov uporabniški račun (Nintendo Account) vstopali neznanci. Tisti, ki so imeli nanj vezana plačilna sredstva, so v njih naleteli na zevajočo luknjo, saj so jo nepridipravi običajno podurhali z več sto evri v nagrabljenih Fortnitovih novcih V-Bucks, kodah za igre, ali kateri drugi obliki premoženja, ki jo je mogoče prenesti z računa. Prve vdore te sorte so zabeležili že marca, toda sodeč po pritožbah na socialnih omrežjih je njihova množina v zadnjih dneh dosegla vrhunec.

Ta hip še ni povsem jasno, ali gre zgolj za odločno rabo drugod...

2 komentarja

Skokovito povečanje spletnih prevar, povezanih s Covid-19

vir: Google

Slo-Tech - Google na svojem blogu poroča o pravi eksploziji malwara in phishinga na temo pandemije novega koronavirusa v zadnjem času. Dnevno tako blokirajo okoli 100 milijonov elektronskih sporočil, pri čemer je tistih, povezanih s pandemijo približno 18 milijonov. Virus Covid-19 je tako gladko postal najpopularnejša tema phishinga v zgodovini. Ob vsem tem pa dnevno blokirajo tudi približno 240 milijonov primerkov nekoliko manj nevarnega spama na isto temo.

Googlov sistem tedensko pregleda 300 milijard priponk, njegovi predstavniki pa ob tem zatrjujejo, da veliko večino oz. 99,9 odstotka napadov prestrežejo že njihova orodja za strojno učenje. Slednje vseeno pomeni, da 258.000 primerkov neželene pošte in poskusov ribarjenja vendarle uspešno pride do uporabnikov.

Nepridipravi se največkrat predstavljajo za katerega uradnih organov, najpogosteje je to Svetovna zdravstvena organizacija (WHO), s čimer želijo uporabnike prepričati v prenos in zagon datoteke ali pa v lažno donacijo. Google se...

3 komentarji

Naprodaj pol milijona Zoomovih uporabniških računov

vir: Bleeping Computer

vir: bleepingcomputer.com
bleepingcomputer.com - Komunikacijski storitvi Zoom je v zadnjih mesecih uspel neverjeten skok v popularnosti. Po drugi strani pa se zdi, da so njeni upravljavci zlate čase svojega izdelka pričakali povsem nepripravljeni. V zadnjih tednih smo večkrat poročali o varnostnih luknjah, zdaj pa se je izkazalo, da je na hekerskih forumih in na temnem spletu naprodaj prek 530.000 uporabniških računov. Pri čemer naprodaj ni čisto ustrezna beseda, saj jih lahko ponekod za dolarski cent dobimo kar pet, v nekaterih primerih pa se celo delijo brezplačno.

A tokrat krivda ni docela na strani Zooma, ukradeni podatki namreč skoraj zagotovo izvirajo iz t. i. credential stuffinga, torej postopka, v katerem nepridipravi ukradena uporabniška imena in gesla določene storitve, preizkusijo še pri vstopu v katero drugo storitev. In pri tem pogosto uspejo, saj ljudje kljub opozorilom še vedno radi recikliramo gesla. Ukradeni računi večinoma vsebujejo uporabniško ime, geslo, zgodovino in povezave pogovorov ter tudi Zoom HostKeys,...

40 komentarjev

Nadaljnje ranljivosti v Zoomu

The Inercept - Velika priljubljenost sistema za videokonference Zoom se nadaljuje seciranje tega programa, ki je doslej odkrilo že precej ranljivosti. Nadaljnji pregledi kažejo, da ima program še več varnostnih pomanjkljivosti, zaradi česar strokovnjaki odsvetujejo njeno uporabo pri komuniciranju skrivnosti. Ranljivosti se zavedajo tudi pisci, ki so sporočili, da bodo prekinili razvoj novih funkcij in se osredotočili na krpanje lukenj.

The Intercept razkriva, da ima Zoom tudi povezave s Kitajsko. V nekaterih primerih se lahko zgodi, četudi so vsi uporabniki iz Evrope ali Severne Amerike, da promet preusmeri prek kitajskih strežnikov. Čeprav v dokumentaciji piše, da Zoom uporablja šifrirni algoritem AES-256, gre v resnici za AES-128 v načinu ECB, ki ga varnostni strokovnjaki ne priporočajo (ker v šifrirani vsebini ostajajo razločljivi vzorci). Zoom ključe generira na posebnih strežnikih (key management systems), ki so lahko tudi na Kitajskem. Namesto standardnih protokolov za pošiljanje videa in...

137 komentarjev

Še dve, to pot resnejši ranljivosti v Zoomu

Slo-Tech - Množičen prehod na delo in učenje od doma, kar terja uporabo programov za videokonference, vsak dan razkrije kakšno ranljivost v tej programski opremi. V tem množičnem testiranju prednjači Zoom, v katerem so po včerajšnjem razkritju, da šifriranje v resnici ni tako trdno, kot bi verjeli iz oglasov, sedaj našli še dve precej bolj praktični luknji.

Zaradi težave v nastavitvah Company Directory se lahko zgodi, da osebni podatki uporabnikov Zooma (elektronski naslov in fotografija) pridejo v roke nepooblaščenim osebam. Omenjena funkcija omogoča enostavno iskanje ljudi, ki se prijavo z elektronskim naslovom, ki pripada isti domeni, če je ta od nekega podjetja. Toda nekaterim uporabnikom se je to zgodilo, tudi ko so se prijavili z domačimi elektronskimi naslovi, kjer se običajno uporablja domena ponudnika dostopa do interneta ali ponudnika elektronskega predala. Nenadoma so se znašli v skupinah več tisoč uporabnikov, kjer so vsi videli osebne podatke drug drugega.

Napaka je na nek...

36 komentarjev

Microsoft odpravil hrošča, Zoom ima luknjo

Slo-Tech - Zadnji dnevi so spričo intenzivne uporabe mobilnih poti za delo, zabavo in druženje razkrili tudi nekatere ranljivosti v programski opremi, ki bi sicer dlje ostale neznane. Microsoft je tako danes izdal izredni popravek za Windows 10, ki je odpravil težave s povezljivostjo z oblakom za Office 365, če so naprave uporabljale posredniški strežnik (proxy) ali povezavo v navidezno zasebno omrežje (VPN). Microsoft je o ranljivosti obvestil minuli teden in ni čakal na drugi torek v mesecu, ko je na sporedu redni mesečni paket popravkov, temveč ga je ponudil že sedaj. Posodobitev pa je treba trenutno namestiti ročno, saj jo Microsoft priporoča le tistim, ki imajo dejansko težave. Medtem pa uporabniki že poročajo o različnih težavah, ki jih prinese namestitev popravka.

Poleg hroščev pa so tu še ranljivosti. Priljubljena aplikacija za spletne videokonference Zoom, ki ima tudi pri nas sedaj veliko uporabnikov, ni tako varna, kot se predstavlja. Čeprav se oglašujejo kot platforma, ki ponuja...

15 komentarjev

Google je lani razposlal 40.000 opozoril pred državnimi hekerji

vir: Threat Analysis Group

vir: Google Research Blog
Google Research Blog - Pri Threat Analysis Group (TAG) - ta deluje pod okriljem Googla - so v poročilu razkrili, da so lani odposlali 40.000 opozoril pred informacijskimi napadi, ki jih izvajajo z nekaterimi državami povezane hekerske skupine. Med lastniki ogroženih računov so bili predvsem politiki, disidenti, novinarji in geopolitični nasprotniki domnevnih napadalcev. Število opozoril je približno za četrtino nižje, kot je bilo v letu 2018, večinoma zaradi ostrejše varnostne politike, ki jo je medtem uvedel Google. So pa napadalci sočasno ob zmanjšanju števila napadov pri teh postali bolj odločni.

Povečalo se je zlasti število phishing napadov, pri katerih so se napadli izdajali za novinarje ali pa za kak znan medij. V teh primerih je šlo večinoma za to, da so storilci želeli med resnične novinarje razširiti kakšno lažno novico ali pa vzpostaviti prijateljsko vez s kakim novinarjem. V tem primeru je žrtev čez določeno obdobje praviloma prejela elektronsko sporočilo s pripeto zlobno kodo. Napadalci so...

5 komentarjev

Izkorišča se nezakrpana ranljivost v Windows 10

Slo-Tech - V Windows 10 so odkrili novo ranljivost, ki ima po Microsoftovi lestvici najvišjo stopnjo resnosti ("kritično") in še ni zakrpana. Težava tiči v Adobe Type Manager Library (atmfd.dl) in jo lahko napadalec izkoristi, če uporabnik zlonamerno pripravljen dokument odpre ali si ga že predogleda v Windows Preview. Omenjena knjžnica se uporablja za izris pisav PostScript Type 1 v Windows.

Z zlorabo te ranljivost lahko napadalec na sistemu oddaljeno požene zlonamerno kodo. Gre za dve luknji, ki omogočata RCE (remote code execution). Omenjena ranljivost se v praksi že izrablja, dasiravno v omejenem obsegu, je dejal Microsoft. Podrobnosti o tem, kdo in kako jo izkorišča, niso razkrili. Ogrožen je tudi Windows 7, ki pa ni več podprt za domače uporabnike. Popravek, ki bo na voljo v naslednjem ciklu (drugi torek v mesecu), bodo tako dobili le naročniki razširjene podpore, za Windows 10 pa vsi.

Do tedaj lahko onesposobimo
Preview Pane in Details Pane v Raziskovalcu, izključimo storitev...

20 komentarjev

Hekerji napadli univerzitetni klinični center v Brnu

Slo-Tech - Drugo največjo bolnišnico na Češkem, univerzitetni klinični center v Brnu, je prizadel hekerski napad, zaradi česar so morali odpovedati vse nenujne operacije in nekatere bolnike prestaviti v druge bolnišnice. Podrobnosti o napadu še niso znane, ga je pa danes potrdil češki urad za internetno in informacijsko varnost (NÚKIB), takoj ko so izvedeli zanj. Napad je potrdil tudi češki premier Andrej Babiš.

V bolnišnici policisti, računalniških strokovnjaki in NÚKIB ugotavljajo, kaj se je zgodilo in kako čim prej vzpostaviti normalno delovanje bolnišnice. Direktor bolnišnice Jaroslav Štěrba je za češke medije dejal, da nekateri sistemi delujejo, a da je odpovedal informacijski sistem, tako da ni možno prenašati podatkov med sistemi in dostopati do baz podatkov. Poleg glavnega kliničnega centra sta prizadeti tudi pediatrična klinika in porodnišnica. Napad se je zgodil okrog 2. ure ponoči.

Bolnišnica se ni ustavila, je pa delo zaradi ročnega pisanja izvidov in receptov upočasnjeno....

67 komentarjev

Sojenje v primeru Vault 7 razkriva varnostne spodrsljaje v CIA

The Register - V ZDA poteka zanimiv sodni postopek zoper nekdanjega uslužbenca CIA Joshuo Shulteja, ki ga obtožujejo, da je ukradel dokumente, ki jih je kasneje kot Vault 7 razkril Wikileaks. Postopek je vredno spremljati iz več razlogov, med katerimi gotovo prednjači vpogled v varnostne prakse v CIA. Te so milo rečeno obupne.

Obramba ima neobičajno taktiko, saj so Shulteja že na začetku predstavili kot izjemno težavnega, maščevalnega, osornega in motečega zaposlenega. Sprl se je z vsemi sodelavci, pri čemer so razlogi segali od dodelitve mize v pisarni do kakšnih tehtnejših. Vsakokrat je poskrbel, da sovražnikom grenil življenje, kamor na primer sodi lažna prijava o grožnjah s smrtjo. A CIA ga je spričo njegove briljantnosti potrebovala, zato so blažili spore in skrbeli, da ni delal skupaj z ljudmi, ki jih ni maral. Obramba je z odkritim priznanjem težavnega značaja obdolženca želela preprečiti, da bi te karakterne značilnosti tožilstvo uporabilo kot posredne dokaze za očitano dejanja. Trdnih...

7 komentarjev

Kitajska zahteva pojasnila o vohunjenju CIE

vir: Pxfuel

Slo-Tech - Kitajsko varnostno podjetje Qihoo 360 je objavilo rezultate raziskave, v kateri so po njihovih trditvah našli dokaze za vohunjenje ameriške Centralno obveščevalne agencije, ki naj bi trajalo najmanj enajst let. Preiskovalci so namreč med pregledovanjem najdene zlobne kode našli podobnosti z vohunskimi orodji, ki so bila razkrita na Wikileaksu pred tremi leti. Domnevnemu krivcu za njihovo objavo, menda užaljenemu programerju CIE Joshui Schulteju, v ZDA pravkar sodijo zaradi namernega razkritja podatkov, ki naj bi uničilo desetletja prizadevanj ameriških vohunov.

Po besedah Qihoojevih strokovnjakov naj bi CIO izdala tudi analiza datumov nastanka najdene programske kode; ti kažejo na to, da je storilec deloval med običajnim delovnim časom vzhodne obale ZDA. Pri svojem delu naj bi se osredotočil na vladne in znanstvene inštitucije, pa internetna, letalska in naftna podjetja. Američane naj bi zlasti zanimali podatki o letalskih potnikih v realnem času, med drugim tudi o kitajskih...

15 komentarjev

Evropska komisija zaposlenim: uporabljajte Signal

Slo-Tech - Očitno v želji, da nekoliko dvigne standarde pri varnosti komuniciranja, je Evropska komisija (EK) zaposlenim interno sporočila, da je bila kot priporočena oblika komunikacije izbrana aplikacija Signal. Ključna prednost pred konkurenčnimi aplikacijami, denimo iMessageom, WhatsAppom ali Telegramom, ki so prav tako celostno oz. end-to-end šifrirani, pa naj bi bila njena odprtokodna narava.

Nasvet EK seveda velja samo za komunikacijo zunaj službenih omrežij, za siceršnjo službeno komuniciranje zaposleni uporabljajo šifrirano elektronsko pošto, ko gre za vsebine zaupne narave, pa vse skupaj poteka pod varnostno še strožjimi pogoji.

Signal so sicer razvili že leta 2013, zadnja leta pa uživa podporo neprofitne fundacije Signal Technology Foundation, za katero stoji Brian Acton, eden od ustanoviteljev WhatsAppa, ki se je pozneje razšel z vodstvom Facebooka. Komunikacija prek Signala je celostno šifrirana, prav tako tudi metapodatki. Kako malo podatkov pravzaprav na njihovih strežnikih...

71 komentarjev

Vdor v agenciji ameriške vojske, zadolženi za informacijsko varnost

vir: Twitter

Slo-Tech - Iz Defense Information Systems Agency (DISA), gre za posebni oddelek ameriškega obrambnega ministrstva, so sporočili, da so doživeli obsežen vdor v svoj sistem. Ta naj bi se primeril že med lanskim majem in julijem, v njem pa so bili po prvih poročilih izpostavljeni osebni podatki 200.000 uporabnikov, večinoma gre za imena in priimke ter osebne identifikacijske številke possameznikov.

Kot so sporočili iz DISA - in kot je v takih primerih zdaj že skoraj običajna PR fraza - nimajo podatkov, da bi razgaljeni podatki do sedaj bili na kakršenkoli način zlorabljeni. Bodo pa vsem prizadetim določeno obdobje nudili brezplačen nadzor, kot jim sicer to narekuje zakon.

Agencija je pred dnevi začela obveščati posameznike, katerih podatki so bili ogroženi in eden med njimi, Andy Piazza, je pismo objavil na Twitterju.

Ironija je, da gre za agencijo, ki zaposluje 8.000 ljudi in je zadolžena za informacijsko podporo in varnost komunikacij v Beli hiši ter na diplomatskih predstavništvih...

5 komentarjev

Hekerski napad povzročil dvodnevni izpad plinovoda v ZDA

Slo-Tech - V ZDA so bili zaradi napada z izsiljevalskim virusom (ransomware) primorani za dva dni ustaviti delovanje kompresorske postaje za zemeljski plin, sporoča US CERT. Identitete prizadetega podjetja sicer niso razkrili, so pa z javnostjo delili nekaj podrobnosti o napadu. Kompresorske postaje so pomembni del omrežja za prenos plina, saj s turbinami in motorji poskrbijo, da se zemeljski plin dovolj stisne (poviša tlak), da ga je možno učinkovito in varno prenašati po plinovodih.

Napad se je začel učbeniško. Zaposleni so dobili zlonamerno elektronsko pošto, kjer je bila povezava do strani, ki je sistem okužila. Napadli so informacijski sistem kompresorske postaje, kasneje pa so se prebili tudi v tehnološki del (operational technology hub). To so strežniki, ki nadzorujejo (SCADA) delovanje strojev na postaji. K sreči niso uspeli okužiti PLC-jev (programmable logic controllers), ki dejansko upravljajo opremo. Da napadalci niso mogli vplivati na delovanje strojev, so v podjetju jasno...

6 komentarjev

Hekerji so se izdajali za mlada dekleta in napadli telefone izraelskih vojakov

Slo-Tech - Več izraelskih vojakov je na svoje pametne telefone nevede spustilo zlonamerno programsko opremo (malware), ko so nasedli palestinskim hekerjem iz organizacije Hamas. Ti so se na internetu izdajali kot privlačna mlada dekleta, so sporočili iz izraelskih oboroženih sil (Israeli Defence Force). Hamasovi hekerji so ustvarili profile na Facebooku, Instagramu in Telegramu ter nato začeli komunicirati z izraelskimi vojaki. Predstavljali so se kot mlada dekleta, ki so se šele nedavno priselila v Izrael, zato še ne obvladajo jezika. Poimenovali so se Sarah Orlova, Maria Jacobova, Eden Ben Ezra, Noa Danon, Yael Azoulay in Rebecca Aboxis. Vojake so nagovorili v namestitev aplikacij za pomenkovanje Catch & See, Grixy in Zatu, kjer naj bi dobili še več fotografij.

Aplikacije pa niso bile namenjene pogovarjanju, temveč vdoru. Ob zagonu so izpisale napako, kakor da se ne morejo zagnati, in nato odstranile svojo okno. V resnici pa so ostale na telefonu in spremljale fotografije, sporočila,...

15 komentarjev

Maci s količino malwara prehiteli Windows računalnike

vir: Pxhere

Malwarebytes - Kot v svojem zadnjem poročilu ugotavljajo pri varnostnem podjetju Malwarebytes, je bilo leto 2019 v zamenju napadov z zlobno kodo na naprave s sistemom macOS. Na njih so namreč zaznali 30 milijonov primerkov malwara, na napravah z Okni pa "le" 24 milijonov. Ugotavljajo, da se je glede na leto 2018 število groženj na macih povzpelo za 400 %.

Uporabniki Oken se bodo ob teh podatkih morda privoščljivo zahihitali, potem ko so bili tozadevno v vodstvu vso moderno zgodovino, a v resnici je v vsem skupaj precej statistike in posledic metodologije. Kot omenjajo sami avtorji poročila, je povečanje števila groženj tudi posledica povečanja števila Applovih računalnikov v zadnjem letu. Zato so morda nekoliko realnejši podatki o številu povprečnih groženj na napravo, ki pa vseeno niso zanemarljivi: pri macih so na napravo tako našteli povprečno 11 groženj, medtem ko je pri Windows ta številka znašala 5,8.

Kot drugo, malwara je veliko vrst in stopenj škodljivosti in medtem, ko se računalniki...

13 komentarjev

Facebooku shekali profila na Twitterju in Instagramu

vir: BBC

Slo-Tech - Hekerska skupina OurMine, po poreklu iz Dubaja, je včeraj popoldne za kratek čas prevzela Facebookova profila na družabnih omrežjih Twitter in Instagram in pustila sporočilo: "Even Facebook is hackable but at least their security is better then Twitter." Torej, tudi v Facebook je moč vdreti, a je njihova varnost vsaj boljša od Twitterjeve. Kar ni povedano čisto po resnici, saj OurMine dejansko ni vdrl v računa na obeh omrežjih, pač pa se tja dokopal prek platforme Khoros. Slednjo podjetja uporabljajo za centralno upravljanje svojih družabnih profilov in posledično ima taka platforma dostop do podatkov za prijavo v uporabniške račune. Predstavniki Khorosa za zdaj ne odgovarjajo na novinarska poizvedovanja.

Oba vdora sta trajala le kratek čas, so pa uporabniki Twitterja poročali o komičnem tekmovanju med vdiralci, ki so puščali sporočila in Facebookovimi uslužbenci, ki so jih hiteli brisati. Twitter je nato z začasnim zaklepom računov brž vzpostavil red.

OurMine trdi, da je bil...

9 komentarjev