Category Archives: Novice

POMOČ PRI DEKODIRANJU KRIPTIRANIH DATOTEK S TESLACRYPT 2.0 VIRUSOM

V začetku leta 2016 se prek priponk e-pošte širi izsiljevalski virus TeslaCrypt 2.0, ki zašifrira vse vaše dokumente. Bi plačali 500 € odkupnine? Multimedia vam lahko pomaga pri dekriptiranju datotek s podaljški .ECC, .EZZ, .EXX, .XYZ, .ZZZ, .AAA, .ABC, .CCC in .VVV. Tako vam nebo treba plačat odkupnine. Trenutno žal ni rešitve za podaljške .TTT, .XXX in .MICRO . LOCKI .MP3. (TESLACRYPT 3.0).


TeslaCrypt3.0

[POZOR: PRIPONKA Z NEPLAČANIM RAČUNOM JE IZSILJEVALSKI VIRUS]

Bodite pozorni na elektronsko pošto z obvestilom o neplačanem računu. V priponki ne boste našli računa, ampak izsiljevalski virus Locky, ki zašifrira vse dokumente in zahteva odkupnino v višini 0,5-1 bitcoina (1 BTC je trenutno 378,4 €). Poplava izsiljevalskih virusov v zadnjem času je še en razlog več, da si končno naredite varnostno kopijo (backup) vseh pomembnih dokumentov!

 


NEVARNI IZSILJEVALSKI VIRUSI

V svetu spletnega kriminala so že nekaj  let na pohodu izsiljevalski virusi, ki nam zaklenejo računalnik, ali nam ukradejo podatke tako, da jih zašifrirajo. Prvi takšni virusi so bili enostavni in obstajali so postopki, s katerimi smo svoje dokumente lahko povrnili. Danes skoraj nikoli ni več tako.

V začetku leta 2016 se dogaja vrsto prijav, ki se nanašajo na izsiljevalska virusa TeslaCrypt 3.0 in Locky. Širita se najpogosteje preko elektronske pošte, prvi v ZIP priponkah, drugi pa v obliki lažnih računov, Word in Excel datotek, ki pa vsebujejo nevarne makro programe, ki na računalnik namestijo virus.

Kako se zgodi okužba z izsiljevalskim virusom in kako se ji lahko izognemo?
Škodljiva koda se širi v glavnem na dva načina: v priponkah elektronske pošte ali prek okužb v mimohodu (angl. drive-by download). V prvem primeru je rešitev enostavna: ne klikajte priponk v elektronski pošti neznanih pošiljateljev ali priponk, ki jih niste pričakovali in za katere ne veste prav dobro, zakaj ste jih dobili. Pred okužbo v mimohodu ste varnejši, če na računalnik redno nameščate popravke in posodobitve za operacijski sistem in vse programe na njem. In predvsem: “Končno že ustvarite tiste kopije vaših dokumentov!” Obravnavani primeri kažejo tudi, da zelo pogosto pride do okužbe pri brskanju po spletu preko lukenj v Java okolju, zato izklopite vtičnike zanjo v svojih brskalnikih ali pa Javo kar odstranite iz sistema, če je res ne potrebujete. Enako velja tudi za Adobe Flash okolje.

V poslovnih okoljih je centralizirana izdelava varnostnih kopij nujna. Če te še nimate, čim prej poskrbite za to.

vir: www.varninainternetu.si

 


Napadi z odbojem preko NTP strežnikov

Opis

Izraba ranljivosti omogoča napadalcu oddaljeno izvajanje kode. Ranljivost se ustvari pri načinu dostopa Internet Explorerja do objektov, ki so bili izbrisani oziroma niso še bili ustrezno ustvarjeni. Ranljivost tako omogoča napadalcu izvedbo kode znotraj Internet Explorerja v kontekstu trenutnega uporabnika.

Metoda napada

Napadalec zvabi žrtev na spletno stran s podtaknjeno kodo, ki izrablja navedeno ranljivost.

Prizadeti produkti

  • Internet Explorer 6,7,8,9,10 in 11*

Kritična Internet Explorer ranljivost (0-day)

Opis

Izraba ranljivosti omogoča napadalcu oddaljeno izvajanje kode. Ranljivost se ustvari pri načinu dostopa Internet Explorerja do objektov, ki so bili izbrisani oziroma niso še bili ustrezno ustvarjeni. Ranljivost tako omogoča napadalcu izvedbo kode znotraj Internet Explorerja v kontekstu trenutnega uporabnika.

Metoda napada

Napadalec zvabi žrtev na spletno stran s podtaknjeno kodo, ki izrablja navedeno ranljivost.

Prizadeti produkti

  • Internet Explorer 6,7,8,9,10 in 11*

OpenSSL kritična ranljivost

Opis

Programska knjižnica OpenSSL vsebuje resno varnostno pomanjkljivost pri implementaciji razširitve heartbeat protokola TLS in DTLS. S posebej prirejenim zahtevkom lahko napadalec prebere 64kB podatkov iz delov pomnilniškega prostora strežnika, kjer se lahko nahajajo zelo občutljivi podatki, kot so avtentikacijski podatki o uporabnikih – gesla, sejni piškotki, in tudi zasebni ključ strežnika. Napad ne pušča sledi v dnevniških datotekah, zato po trenutno znanih podatkih ne vemo, ali se je ranljivost izkoriščala v napadih že pred 7.4.2014, ko je bila ranljivost javno objavljena.

Ranljive verzije

OpenSSL verzije 1.0.1 do vključno 1.0.1f.

Verzije, ki niso ranljive:

  • OpenSSL 1.0.1g,
  • OpenSSL 1.0.0 (celotna veja),
  • OpenSSL 0.9.8 (celotna veja).

Ranljivi so tako strežniki, kot tudi klienti, ki temeljijo na ranljivi verziji programske knjižnice OpenSSL.

Ali je vaš spletni strežnik ranljiv, lahko preverite na spletni strani https://sslanalyzer.comodoca.com, v razdelku “Protocol Features / Problems”, vrstica “Heartbeat”.

Rešitev

Administratorji

Administratorjem strežnikov, ki uporabljajo OpenSSL, svetujemo takojšnjo namestitev posodobljene verzije, preko posodobitev operacijskega sistema, ali neposredno z namestitvijo neranljive verzije knjižnice OpenSSL. Ker obstaja možnost, da so bili zlorabljeni šifrirni ključi in avtentikacijski podatki uporabnikov, je po odpravi ranljivosti potrebno zamenjavati šifrirne ključe na strežniku in ponastaviti avtentikacijske podatke (gesla, sejni piškotki itd.).

Administratorjem OpenVPN strežnikov svetujemo namestitev posodobljene verzije strežnika ter zamenjavo ključev na strežniku in odjemalcih (več informacij na https://community.openvpn.net/openvpn/wiki/heartbleed).

Skrbnikom drugih strežnikov in naprav, ki uporabljajo SSL/TLS protokol in morda uporabljajo ranljivo OpenSSL knjižnico, svetujemo, da se obrnejo neposredno na proizvajalca in informacije, objavljene na njihovih spletnih straneh.

Uporabniki storitev

Na spletni strani http://mashable.com/2014/04/09/heartbleed-bug-websites-affected/ se nahaja seznam spletnih strani, za katere priporočamo zamenjavo gesla. Gesla za ostale storitve zamenjajte, ko vas o tem pozove ponudnik storitve. Če niste prepričani, ali morate zamenjati geslo, kontaktirajte ponudnika storitve.

Ponudniki storitev

Ponudnike storitev pozivamo, da uporabnike obvestijo, ali je bila njihova storitev ranljiva, ter jih po odpravi ranljivosti (posodobitvi sistema in zamenjavi šifrirnih ključev) pozovejo k zamenjavi avtentikacijskih podatkov (gesla ipd.).

 

Odgovori na pogosta vprašanja

  1. Ali je Heartbleed virus?
    Ne, ne gre za virus, ki bi okuževal uporabniške računalnike, ampak za programsko pomanjkljivost v knjižnici OpenSSL, ki jo uporabljajo spletni in poštni strežniki za šifriranje komunikacije z uporabnikom. OpenSSL se uporablja tudi za druge šifrirane povezave.
  2. Koliko računalnikov v Sloveniji je ranljivih?
    Natančnih podatkov ta trenutek na SI-CERT še nimamo, ocene se gibljejo med 10 % in 20 %, zato so verjetno ocene o tem, da je ogroženih 2/3 spleta, pretirane (vsaj, dokler ne bodo na voljo dovolj zanesljivi podatki, ki bi tako trditev podprli).
  3. Baje so med ranljivimi tudi slovenske banke!
    Sklep o ranljivosti e-bančne storitve, ki ste ga morda videli na spletu, je bil kot kaže izpeljan na podlagi testa, ki ni popolnima zanesljiv. Zaenkrat nimamo podatkov o tem, da bi bili ogroženi komitenti kakšne banke, ki opravlja storitve v Sloveniji.
  4. Ali moram zamenjati vsa gesla?
    Najprej se pozanimajte pri svojem ponudniku, ali so njegove storitve bile ranljive. Ko bo ponudnik ranljivost odpravil in zamenjal ključe na strežniku, zamenjajte gesla tudi vi.

GNU bash ranljivost omogoča izvajanje ukazov na daljavo

GNU Bash je priljubljena ukazna lupina (shell), ki se uporablja na Linux sistemih. Verzije do vključno 4.3 vsebujejo napako pri obravnavi funkcij v okoljskih spremenljivkah (environment variables). Ukazi, podani za koncem definicije funkcije se izvedejo. Najbolj očiten vektor napada je preko CGI skript na spletnem strežniku s HTTP parametri, podanimi ob klicu skripte, ranljivi pa so tudi drugi strežniki, ki uporabljajo bash za evaluacijo parametrov, kot sta recimo SSH in DHCP strežnika.

Na SI-CERT smo prejeli obvestilo o tem, da se ranljivost že aktivno izkorišča na internetu.


Val phishing napadov na komitente slovenskih bank

S pričetkom v petek, 23. januarja 2015, smo na SI-CERT pričeli prejemati prijave o elektronskih sporočilih, ki želijo uporabnike slovenskih bank prepričati, da na lažna spletna mesta vpišejo podatke za dostop do e-bančništva. Tarče napada so komitenti Nove ljubljanske banke (NLB), Nove kreditne banke Maribor (NKBM), SKB banke, Abanke, Unicredit banke in Probanke.

Elektronska sporočila so kratka in vsebujejo poziv uporabnikom, naj obiščejo spletno mesto banke. Primeri vsebine sporočil so:

  • “Vaš račun je trenutno prekinjena. Iz varnostnih razlogov morate sinhronizirati varnostni ključ.”
  • “Prejeli ste novo varnostno opozorilo.”
  • “Naše spletno bančništvo je bil spremenjen. Iz varnostnih razlogov morate aktivirati svoj spletni dostop.”
  • “Novo plačilo prejeto.”
  • Vaš račun zahteva dodatno preverjanje.”
  • “Prejeli ste novo sporočilo iz naše varnostni službi.”

Številne okužbe z izsiljevalskimi virusi

I-CERT prejema povečano število prijav, ki se nanašajo na izsiljevalske viruse Cryptolocker, Cryptowall, CTB Locker in Synolocker. Glavni način okužbe je preko elektronske pošte, širijo se kot priponke s podaljški .cab, .scr in .zip. Po okužbi virus zašifrira datoteke na računalniku in na dostopnih omrežnih pogonih (Synolocker cilja uporabnike Synology omrežnih diskov).


Android Stagefright ranljivost

Sistemi Android od vključno verzije 2.2 dalje vsebujejo ranljivosti v programski knjižnici Stagefright, ki skrbi za prikaz nekaterih multimedijskih datotek.

Varnostni strokovnjaki podjetja Zimperium so v programski knjižnici Stagefright, ki je ena izmed osnovnih sistemskih knjižnic sistema Android, našli več kritičnih ranljivosti, katerih izraba napadalcu omogoča oddaljeno izvajanje poljubne kode. Ob uspešni izrabi ranljivosti lahko napadalec zgolj s poznavanjem telefonske številke žrtve pridobi vsaj direkten dostop do mikrofona, kamere in medija za shranjevanje, z izkoriščanjem katere od ranljivosti eskalacije privilegijev pa lahko v nadaljevanju pridobi tudi dostop do jedra sistema (t.i. root).

Ranljiva koda se sproži ob predogledu video posnetkov, načinov izkoriščanja ranljivosti (t.i. vektorjev napada) pa je več: npr. preko MMS sporočil, brskalnika, elektronske pošte, prenosov preko NFC in Bluetootha ipd.

Pri scenariju napada preko MMS sporočil napadalec žrtvi pošlje zlonamerno MMS sporočilo s posebej prirejenim posnetkom (exploit), ki izkoristi omenjeno ranljivost. V primeru uporabe aplikacije Hangouts se ranljivost aktivira brez kakršnekoli interakcije uporabnika, v primeru uporabe privzete aplikacije za sporočila pa se ranljivost aktivira ob ogledu sporočila.

Po dosedaj znanih informacijah se ranljivost še ne izkorišča v napadih. Zaradi mehanizmov za zaščito pred izrabo ranljivosti s korupcijo pomnilnika, ki so bile uvedene predvsem v Android verziji 4.1, je napad na teh sistemih še posebej otežen. Exploit koda, ki je bila predstavljena v javnosti (4), deluje samo na napravah, ki imajo nameščen Android verzijo do 4.0 (Ice Cream Sandwich). Po podatkih iz Googla naj bi bilo teh naprav manj kot 10%.

Google je proizvajalcem Android naprav že posredoval popravke, ki jih morajo vključiti v svojo programsko opremo in posredovati na naprave uporabnikov preko t.i. Over-the-air posodobitev.