Author Archives: multimedia

POMOČ PRI DEKODIRANJU KRIPTIRANIH DATOTEK S TESLACRYPT 2.0 VIRUSOM

V začetku leta 2016 se prek priponk e-pošte širi izsiljevalski virus TeslaCrypt 2.0, ki zašifrira vse vaše dokumente. Bi plačali 500 € odkupnine? Multimedia vam lahko pomaga pri dekriptiranju datotek s podaljški .ECC, .EZZ, .EXX, .XYZ, .ZZZ, .AAA, .ABC, .CCC in .VVV. Tako vam nebo treba plačat odkupnine. Trenutno žal ni rešitve za podaljške .TTT, .XXX in .MICRO . LOCKI .MP3. (TESLACRYPT 3.0).


POZOR – “RAZHAJA” IZSILJEVALSKI VIRUS

Po medmrežju “razhaja” izsiljevalski virus, ki šifrira dokumente, slike in druge datoteke ter v zameno za odšifriranje zahteva odkupnino 500 EUR in več. Virus se najpogosteje širi po elektronski pošti; v ZIP priponkah in v obliki Word in Excel datotek, ki vsebujejo nevarne makro programe, ki na računalnik namestijo virus. Virus zašifrira tudi datoteke na vseh dostopnih omrežnih diskih.
V primeru da z virusom “okužite” računalnik, boste za povračilo podatkov morali plačati v spletni valuti bitcoin, ki je zaradi svoje kriptirane narave najbolj priljubljeno plačilno sredstvo avtorjev teh virusov.izsiljevalski_virus1izsiljevalski_virus2


TeslaCrypt3.0

[POZOR: PRIPONKA Z NEPLAČANIM RAČUNOM JE IZSILJEVALSKI VIRUS]

Bodite pozorni na elektronsko pošto z obvestilom o neplačanem računu. V priponki ne boste našli računa, ampak izsiljevalski virus Locky, ki zašifrira vse dokumente in zahteva odkupnino v višini 0,5-1 bitcoina (1 BTC je trenutno 378,4 €). Poplava izsiljevalskih virusov v zadnjem času je še en razlog več, da si končno naredite varnostno kopijo (backup) vseh pomembnih dokumentov!

 



NEVARNI IZSILJEVALSKI VIRUSI

V svetu spletnega kriminala so že nekaj  let na pohodu izsiljevalski virusi, ki nam zaklenejo računalnik, ali nam ukradejo podatke tako, da jih zašifrirajo. Prvi takšni virusi so bili enostavni in obstajali so postopki, s katerimi smo svoje dokumente lahko povrnili. Danes skoraj nikoli ni več tako.

V začetku leta 2016 se dogaja vrsto prijav, ki se nanašajo na izsiljevalska virusa TeslaCrypt 3.0 in Locky. Širita se najpogosteje preko elektronske pošte, prvi v ZIP priponkah, drugi pa v obliki lažnih računov, Word in Excel datotek, ki pa vsebujejo nevarne makro programe, ki na računalnik namestijo virus.

Kako se zgodi okužba z izsiljevalskim virusom in kako se ji lahko izognemo?
Škodljiva koda se širi v glavnem na dva načina: v priponkah elektronske pošte ali prek okužb v mimohodu (angl. drive-by download). V prvem primeru je rešitev enostavna: ne klikajte priponk v elektronski pošti neznanih pošiljateljev ali priponk, ki jih niste pričakovali in za katere ne veste prav dobro, zakaj ste jih dobili. Pred okužbo v mimohodu ste varnejši, če na računalnik redno nameščate popravke in posodobitve za operacijski sistem in vse programe na njem. In predvsem: “Končno že ustvarite tiste kopije vaših dokumentov!” Obravnavani primeri kažejo tudi, da zelo pogosto pride do okužbe pri brskanju po spletu preko lukenj v Java okolju, zato izklopite vtičnike zanjo v svojih brskalnikih ali pa Javo kar odstranite iz sistema, če je res ne potrebujete. Enako velja tudi za Adobe Flash okolje.

V poslovnih okoljih je centralizirana izdelava varnostnih kopij nujna. Če te še nimate, čim prej poskrbite za to.

vir: www.varninainternetu.si

 


Napadi z odbojem preko NTP strežnikov

Opis

Izraba ranljivosti omogoča napadalcu oddaljeno izvajanje kode. Ranljivost se ustvari pri načinu dostopa Internet Explorerja do objektov, ki so bili izbrisani oziroma niso še bili ustrezno ustvarjeni. Ranljivost tako omogoča napadalcu izvedbo kode znotraj Internet Explorerja v kontekstu trenutnega uporabnika.

Metoda napada

Napadalec zvabi žrtev na spletno stran s podtaknjeno kodo, ki izrablja navedeno ranljivost.

Prizadeti produkti

  • Internet Explorer 6,7,8,9,10 in 11*

Kritična Internet Explorer ranljivost (0-day)

Opis

Izraba ranljivosti omogoča napadalcu oddaljeno izvajanje kode. Ranljivost se ustvari pri načinu dostopa Internet Explorerja do objektov, ki so bili izbrisani oziroma niso še bili ustrezno ustvarjeni. Ranljivost tako omogoča napadalcu izvedbo kode znotraj Internet Explorerja v kontekstu trenutnega uporabnika.

Metoda napada

Napadalec zvabi žrtev na spletno stran s podtaknjeno kodo, ki izrablja navedeno ranljivost.

Prizadeti produkti

  • Internet Explorer 6,7,8,9,10 in 11*

OpenSSL kritična ranljivost

Opis

Programska knjižnica OpenSSL vsebuje resno varnostno pomanjkljivost pri implementaciji razširitve heartbeat protokola TLS in DTLS. S posebej prirejenim zahtevkom lahko napadalec prebere 64kB podatkov iz delov pomnilniškega prostora strežnika, kjer se lahko nahajajo zelo občutljivi podatki, kot so avtentikacijski podatki o uporabnikih – gesla, sejni piškotki, in tudi zasebni ključ strežnika. Napad ne pušča sledi v dnevniških datotekah, zato po trenutno znanih podatkih ne vemo, ali se je ranljivost izkoriščala v napadih že pred 7.4.2014, ko je bila ranljivost javno objavljena.

Ranljive verzije

OpenSSL verzije 1.0.1 do vključno 1.0.1f.

Verzije, ki niso ranljive:

  • OpenSSL 1.0.1g,
  • OpenSSL 1.0.0 (celotna veja),
  • OpenSSL 0.9.8 (celotna veja).

Ranljivi so tako strežniki, kot tudi klienti, ki temeljijo na ranljivi verziji programske knjižnice OpenSSL.

Ali je vaš spletni strežnik ranljiv, lahko preverite na spletni strani https://sslanalyzer.comodoca.com, v razdelku “Protocol Features / Problems”, vrstica “Heartbeat”.

Rešitev

Administratorji

Administratorjem strežnikov, ki uporabljajo OpenSSL, svetujemo takojšnjo namestitev posodobljene verzije, preko posodobitev operacijskega sistema, ali neposredno z namestitvijo neranljive verzije knjižnice OpenSSL. Ker obstaja možnost, da so bili zlorabljeni šifrirni ključi in avtentikacijski podatki uporabnikov, je po odpravi ranljivosti potrebno zamenjavati šifrirne ključe na strežniku in ponastaviti avtentikacijske podatke (gesla, sejni piškotki itd.).

Administratorjem OpenVPN strežnikov svetujemo namestitev posodobljene verzije strežnika ter zamenjavo ključev na strežniku in odjemalcih (več informacij na https://community.openvpn.net/openvpn/wiki/heartbleed).

Skrbnikom drugih strežnikov in naprav, ki uporabljajo SSL/TLS protokol in morda uporabljajo ranljivo OpenSSL knjižnico, svetujemo, da se obrnejo neposredno na proizvajalca in informacije, objavljene na njihovih spletnih straneh.

Uporabniki storitev

Na spletni strani http://mashable.com/2014/04/09/heartbleed-bug-websites-affected/ se nahaja seznam spletnih strani, za katere priporočamo zamenjavo gesla. Gesla za ostale storitve zamenjajte, ko vas o tem pozove ponudnik storitve. Če niste prepričani, ali morate zamenjati geslo, kontaktirajte ponudnika storitve.

Ponudniki storitev

Ponudnike storitev pozivamo, da uporabnike obvestijo, ali je bila njihova storitev ranljiva, ter jih po odpravi ranljivosti (posodobitvi sistema in zamenjavi šifrirnih ključev) pozovejo k zamenjavi avtentikacijskih podatkov (gesla ipd.).

 

Odgovori na pogosta vprašanja

  1. Ali je Heartbleed virus?
    Ne, ne gre za virus, ki bi okuževal uporabniške računalnike, ampak za programsko pomanjkljivost v knjižnici OpenSSL, ki jo uporabljajo spletni in poštni strežniki za šifriranje komunikacije z uporabnikom. OpenSSL se uporablja tudi za druge šifrirane povezave.
  2. Koliko računalnikov v Sloveniji je ranljivih?
    Natančnih podatkov ta trenutek na SI-CERT še nimamo, ocene se gibljejo med 10 % in 20 %, zato so verjetno ocene o tem, da je ogroženih 2/3 spleta, pretirane (vsaj, dokler ne bodo na voljo dovolj zanesljivi podatki, ki bi tako trditev podprli).
  3. Baje so med ranljivimi tudi slovenske banke!
    Sklep o ranljivosti e-bančne storitve, ki ste ga morda videli na spletu, je bil kot kaže izpeljan na podlagi testa, ki ni popolnima zanesljiv. Zaenkrat nimamo podatkov o tem, da bi bili ogroženi komitenti kakšne banke, ki opravlja storitve v Sloveniji.
  4. Ali moram zamenjati vsa gesla?
    Najprej se pozanimajte pri svojem ponudniku, ali so njegove storitve bile ranljive. Ko bo ponudnik ranljivost odpravil in zamenjal ključe na strežniku, zamenjajte gesla tudi vi.

GNU bash ranljivost omogoča izvajanje ukazov na daljavo

GNU Bash je priljubljena ukazna lupina (shell), ki se uporablja na Linux sistemih. Verzije do vključno 4.3 vsebujejo napako pri obravnavi funkcij v okoljskih spremenljivkah (environment variables). Ukazi, podani za koncem definicije funkcije se izvedejo. Najbolj očiten vektor napada je preko CGI skript na spletnem strežniku s HTTP parametri, podanimi ob klicu skripte, ranljivi pa so tudi drugi strežniki, ki uporabljajo bash za evaluacijo parametrov, kot sta recimo SSH in DHCP strežnika.

Na SI-CERT smo prejeli obvestilo o tem, da se ranljivost že aktivno izkorišča na internetu.


Val phishing napadov na komitente slovenskih bank

S pričetkom v petek, 23. januarja 2015, smo na SI-CERT pričeli prejemati prijave o elektronskih sporočilih, ki želijo uporabnike slovenskih bank prepričati, da na lažna spletna mesta vpišejo podatke za dostop do e-bančništva. Tarče napada so komitenti Nove ljubljanske banke (NLB), Nove kreditne banke Maribor (NKBM), SKB banke, Abanke, Unicredit banke in Probanke.

Elektronska sporočila so kratka in vsebujejo poziv uporabnikom, naj obiščejo spletno mesto banke. Primeri vsebine sporočil so:

  • “Vaš račun je trenutno prekinjena. Iz varnostnih razlogov morate sinhronizirati varnostni ključ.”
  • “Prejeli ste novo varnostno opozorilo.”
  • “Naše spletno bančništvo je bil spremenjen. Iz varnostnih razlogov morate aktivirati svoj spletni dostop.”
  • “Novo plačilo prejeto.”
  • Vaš račun zahteva dodatno preverjanje.”
  • “Prejeli ste novo sporočilo iz naše varnostni službi.”