»

Microsoft za povečano število vdorov obtožuje iranske hekerje

Slo-Tech - Tom Burt, podpredsednik Microsofta, zadolžen za varnost, je v blogu popisal v zadnjem času precej povečano aktivnost vdiralcev, ki se želijo prikopati do vsebin e-poštnih računov nekaterih njihovih strank. Med letošnjim avgustom in septembrom je tako Microsoft Threat Intelligence Center (MSTIC) zabeležil več kot 2.700 poskusov vdorov v 241 računov oseb, povezanih bodisi z ameriško predsedniško kampanjo 2020, pa novinarjev, ki se pri svojem delu ukvarjajo z globalnimi zadevami ter pomembnih Irancev, ki živijo zunaj meja svoje domovine. V štirih primerih je napadalcem tudi uspelo, a ti primeri menda niso povezani z ameriško predsedniško kampanjo.

Microsoft je dejanja pripisal skupini, znani pod imenom Phosphorus, domnevno povezani z vlado v Iranu. Njihovi poskusi niso bili ravno tehnološko dovršeni, storilci so namreč v račune poskušali vdreti predvsem s pomočjo podatkov, ki so jih zbrali o svojih žrtvah. Med njimi so bile recimo telefonske številke, s katerimi so nato poskusili...

3 komentarji

Nadaljevanje zgodbe Superfish-Lenovo kaže na resnejšo ranljivost

Slo-Tech - Hitro se je začela odvijati zgodba, ko so na računalnikih Lenovo odkrili Superfish. Medtem ko proizvajalec programa trdi, da ni nič narobe, je Lenovo že ponudil navodila za odstranitev, na internetu pa so ugotovili, da so sporni certifikati prisotni tudi v drugi programski opremi in da je ranljivost še bistveno resnejša.

Izvršni direktor podjetja, ki je razvilo program Superfish, Adi Pinhas, je v izjavi za javnost dejal, da program za uporabnike ne predstavlja nikakršnega tveganja. Poudaril je, da Superfish ne shranjuje nobenih informacij o uporabnikih in da so skupaj z Lenovom pred začetkom prodaje izvedli obširno testiranje, ki pa ni odkrilo omenjene varnostne...

26 komentarjev

Po Flamu miniFlame

threatpost - Doslej najobsežnejši znani vladni trojanec Flame, ki so ga pripravili posebej za vohunjenje v strateško pomembnih ustanovah in obratih, je zgrajen izrazito modularno. S tem se njegova velikost nekoliko prikrije, saj se prenaša po delih, hkrati pa ga je enostavneje mogoče prilagoditi napadom na posamezne tarče. Malce po odkritju Flama so raziskovalci našli kos zlobne programske opreme, ki se ga je prijelo ime miniFlame in za katerega je sprva kazalo, da je en njegov modul. Izkazalo se je, da to ne drži.

MiniFlame (znan tudi kot SPE) je zelo premeten kos programske opreme. Deluje lahko kot vključek (modul) v Flamu ali njegovem bratrancu Gaussu, sposoben pa je tudi povsem samostojnih operacij. Kot...

2 komentarja

Danes izredni popravek za ranljivost v Internet Explorerju

Microsoft - Microsoft popravke za svoje programe izdaja vsak drugi torek v mesecu in redko se zgodi, da je treba kakšnega izdati izredno in že prej. Za Internet Explorer se je to nazadnje zgodilo januarja 2010. To se bo spet primerilo danes, ko bodo izdali popravek za pretekli teden odkrito ranljivost v Internet Explorerju, ki ogroža vse verzije do vključno IE9. Če uporabnik z ranljivim brskalnikom obišče zlonamerno stran, se na njegov računalnik samodejno namesti malware. IE10, ki ga vsebuje Windows 8, pa je imun.

Napadi, ki izkoriščajo omenjeno ranljivost, se že dogajajo, čeprav Microsoft zatrjuje, da je njihovo število majhne, posledice pa omejene. V ta namen je Microsoft ponudil tudi prvo pomoč, ki...

38 komentarjev

Nov virus Shamoon napada energetsko infrastrukturo

Slo-Tech - Odkritja virusov, ki ne napadajo vse povprek, temveč imajo posebej določene tarče in naloge, se v zadnjem času kar vrstijo. Spoznali smo že Stuxnet, DuQu, Flame, Madi in Gauss, ki so vsi napadali bližnjevzhodne cilje, sedaj pa so raziskovalci odkrili še en primerek. Shamoon je napadel Saudsko Arabijo oziroma njihovo energijsko omrežje.

V sredo je njihovo državno naftno podjetje sporočilo, da je zaradi napada njihova računalniška mreža nedelujoča. Okuženi računalnik so kmalu odkrili in ga izolirali - šlo naj bi za virus, ki je okužil osebne računalnike v podjetju, infrastrukturna hrbtenica pa naj ne bi bila prizadeta. Dan pozneje so na internetu odkrili virus Shamoon, ki je prizadel vsaj eno podjetje v energetskem sektorju.

Gre za virus, ki je spet natančno umerjen in se še posebej rad loti infrastrukturnih sistemov. Zanimivo pa je, da...

4 komentarji

Kaspersky išče pomoč pri dešifriranju trojanca Gauss

Slo-Tech - Pretekli teden so v Kaspersky Labu javnost obvestili, da so odkrili še en zapleten kos zlonamerne programske opreme, ki ima zelo verjetno enako provenienco kakor Stuxnet in Flame. Poimenovali so ga Gauss in ugotovili, da so ga bržčas napisali isti ljudje kakor Flame in Stuxnet, čeprav zasleduje nekoliko drugačne cilje. Medtem ko je Stuxnet sabotiral iranski jedrski program po ameriškem naročilu, naročniki Flama uradno niso znani (so pa verjetno isti, ker ima en enak modul kakor Stuxnet). Flame je namenjen prisluškovanju, medtem ko Gaussov namen še ni znan. Nekaj modulov so že razvozlali in ugotovili, da so jih pisali isti ljudje kakor Flame, a glavni tovor ostaja neznanka. Znano pa je, da Gauss beleži prijavne podatke za elektronsko pošto, e-bančništvo, IM itd., kar je doslej pri vladnih trojancih nevideno. Razlogov utegne biti...

8 komentarjev

Madi napada bližnjevzhodne tarče

International Business Times - V zadnjem času postaja internetno vojskovanje z virusi in črvi, ki imajo nalogo pridobiti čim več informacij o sovražniku in po možnosti sabotirati njegovo kritično infrastrukturo, vedno bolj priljubljeno. Po Stuxnetu in letošnjem hitu poletja Flamu so v več bližnjevzhodnih državah zaznali novega nepridiprava z imenom Madi. O okužbah poročajo iz Izraela, Irana in Afganistana, tako da odpade teorija o izraelsko-ameriški navezi, ki je zakrivila Stuxnet in bržčas tudi Flame.

Tudi sicer je med Flamom in Madijem nekaj pomembnih razlik. Glavna med njimi je kompleksnost, saj se Madi s precej bolj znamenitim predhodnikom ne more niti primerjati. Tako ni jasno, ali je Madi delo kakšne vladne agencije, kot je bil Stuxnet in skoraj...

8 komentarjev

Flame izkoriščal Microsoftove certifikate

Ars Technica - Pred tednom dni smo pisali o novo odkritem kosu zlobne programske opreme z imenom Flame, ki vohuni še bolj zvito kakor Stuxnet. O obsežnosti in sofisticiranosti Flama pričajo njegova velikost, izrazita modularnost in taktike za izmikanje odkritju. Vodja razvoja v F-Securu Mikko Hypponen - ki je imel že lani julija še pred odkritjem Flama izjemno zanimivo predavanje o računalniški varnosti v okviru TED Talks - je nad dogodki zaskrbljen.

Kot pravi, so njegovo in ostala varnostna podjetja imela primerke kode, okužene s Flamom že najpozneje leta 2010 in verjetno že prej, a jih nihče ni analiziral. Sistemi za avtomatično javljanje so to kodo zaznali, a je niso označili kot varnostno tveganje, zato se je nihče ni lotil pregledovati. Podobno tudi Stuxneta več kot leto dni po izpustitvi v divjino interneta ni nihče opazil, ali pa manj znanega, a...

17 komentarjev

NYT: Stuxnet ameriško-izraelsko orožje, ki je ušlo

Iranski predsednik Mahmud Ahmadinedžad med aprilskim obiskom Natanca

The New York Times - Ko so se leta 2010 na spletu razširila poročila o nenavadnem črvu Stuxnet, ki je z domala kirurško natančnostjo onemogočal iranski jedrski program, je sum hitro padel na ZDA in Izrael. Čeprav se je Stuxnet razširil po več državah na Bližnjem vzhodu, je bil skoncentriran predvsem v Iranu, in sicer v podzemeljski jedrski centrali za bogatenje urana Natanc. Analiza je pokazala, da je imel Stuxnet premeten cilj čim bolj neopazno sabotirati delovanja centrifug za bogatenje urana, kar je okrepilo sume o politični motiviranosti piscev. The New York Times danes ekskluzivno poroča, da sta za Stuxnet resnično odgovorna ZDA in Izrael.

Projekt naj bi se začel leta 2006, ko je administracija takratnega predsednika Georgea W. Busha razmišljala, kaj...

50 komentarjev

Flame stokrat kompleksnejši od Stuxneta

Secure List - Računalniški napadi postajajo vedno pogostejši in zdi se, da zamenjujejo klasično vojskovanje in vohunjenje. Najbolj razvpit primer zlonamerne kode v zadnjih letih je Stuxnet, ki je sabotiral iranske centrifuge za bogatenje urana, leto dni pozneje pa mu je sledil Duqu, ki je kradel občutljive podatke. Naslednjo fazo v tej tekmi predstavlja Flame, ki je po besedah strokovnjakov najobsežnejši in najkompleksnejši zlonamerni program za prisluškovanje in krajo informacij.

Flame je razširjen že od leta 2010, a je javnosti postal znan šele sedaj, ko so ga analizirali v Kaspersky Labu. Gre za obsežen in dovršen kos kode, ki...

42 komentarjev

Microsoft potrdil vdor v MAPP

vir: ZDNet
ZDNet - Microsoft je potrdil, da so neznani napadalci kompromitirali kanale, po katerih potujejo informacije v programu MAPP, zaradi česar se je na internetu v divjini že znašla zlobna koda, ki zlorablja svežo šele ta teden zakrpano ranljivost.

Program MAPP (Microsoft Active Protections Program) so uvedli leta 2008 in je kljub nekaterih varnostnim pomislekom ob zagonu do danes ostal eden izmed Microsoftovih najboljših programov. V njegovem sklopu Microsoft zaupanja vrednim proizvajalcem o varnostnih luknjah v svojem programju poroča že nekaj dni pred izdajo uradnega popravka, s čimer se izboljša zaščita, zmanjša možnost lažnih pozitivnih zadetkov protivirusnih programov in zapre okno ranljivosti. Varnostni pomisleki ob začetku delovanja programa so se tikali zlasti uhajanja informacij, saj bi bile informacije iz programa...

3 komentarji

Ranljivost v Operi

Heise - Francoski VUPEN je odkril ranljivost v norveškem brskalniku Opera, ki omogoča prilagojenim spletnim stranem okužiti računalnike s sistemom Windows. Prizadeti sta zadnja verzija 11.00 kakor tudi prejšnje različice od 10.63 navzdol na Windows 7 in XP SP3.

Problem tiči v datoteki opera.dll, ki ima v delu za procesiranje datotek HTML z velikim številom podrejenih elementov (child elements) hrošča. Prvikrat je nanj opozoril Jordi Chancel v začetku januarja, a je uspel le zrušiti brskalnik. VUPEN pa je uspel hrošč zlorabiti tako, da vrine in izvede zlobno kodo na računalniku. Zato se ranljivost klasificira kot kritična. Popravka še ni.

24 komentarjev

Reverzni razvoj zlonamerne kode iz varnostne posodobitve

Schneier.com - Ko zaposleni v Microsoftu odkrijejo ali izvedo za varnostne ranljivosti v Microsoftovi programski opremi, razvijejo varnostne posodobitve, ki jih preko storitve Windows Update pošljejo svojim uporabnikom.

Marsikateri potencialni napadalec se sprašuje, ali bi bilo mogoče iz teh varnostnih posodobitev z reverznim inženiringom samodejno razviti zlonamerno kodo, ki bi omogočila izrabo varnostne ranljivosti?

Vprašanje so si zastavili tudi varnostni strokovnjaki David Brumley, Dawn Song in Jiang Zheng ter odkrili, da to vsekakor je mogoče.

V članku Automatic Patch-Based Exploit Generation is Possible: Techniques and Implications so opisali nekaj tehnik, s katerimi je mogoče iz varnostne posodobitve, posredovane preko Microsoftove storitve Windows Update, samodejno zgenerirati zlonamerno kodo (tim. exploit).

Odkritje kaže na to, da bo napadalec z ustreznim orodjem lahko samo počakal na novo varnostno posodobitev, nekaj sekund nato pa bo že imel zlonamerni program, ki ga bo lahko...

10 komentarjev