Stefan Tanase
Niedawno pojawiły się doniesienia na temat ataku, w którym cyberprzestępcy infekują iPhone’y i użytkowników systemów OS X przy użyciu raczej nietypowego szkodliwego oprogramowania o nazwie WireLurker. Dokładna analiza opublikowana przez Palo Alto Networks jest dostępna tutaj.
Na początek należy zaznaczyć, ze wszyscy użytkownicy produktów firmy Kaspersky Lab są chronieni przed tym zagrożeniem. Szkodliwe pliki wykorzystywane przez WireLurker są identyfikowane przez nasze produkty za pomocą następujących nazw:
W lipcu 2014 roku nasze sensory zarejestrowały połączenia ze szkodliwym serwerem kontroli (C&C) zlokalizowanym w Hong Kongu. To samo zaobserwowano w kolejnych miesiącach, chociaż ilość połączeń...
Analizy
Blog
Niedawno Google opublikował wersję 4.4 (KitKat) swojego arcypopularnego systemu operacyjnego Android OS. Wśród usprawnień niektórzy zauważyli kilka zmian związanych z bezpieczeństwem. A zatem, o ile bezpieczniejszy jest 4.4?
Główne udoskonalenia w zakresie bezpieczeństwa Androida 4.4 (KitKat) można podzielić na 2 kategorie:
1. Certyfikaty cyfrowe
Android 4.4 ostrzeże użytkownika, jeżeli do urządzenia zostanie dodane centrum certyfikacji (Certificate Authority), ułatwiając tym samym zidentyfikowanie ataków typu Man-in-the-Middle wewnątrz lokalnych sieci. Jednocześnie, mechanizm Google Certificate Pinning utrudni zaawansowanym cyberprzestępcom przechwytywanie ruchu sieciowego do i z usług Google, zezwalając jedynie certyfikatom umieszczonym na białej liście SSL na połączenie się z określonymi domenami Google’a.
2. Wzmocnienie systemu operacyjnego
SELinux działa teraz w trybie egzekwującym, a nie zezwalającym....
Analizy
Blog
Kiedy dowiedzieliśmy się o tym incydencie, byliśmy dość sceptycznie nastawieni i trudno nam było uwierzyć, że strony te zostały zhakowane. Tak ogromna strona jak Google, może zostać teoretycznie zhakowana, ale jest to bardzo mało prawdopodobne. Potem jednak zauważyliśmy, że obie badane domeny rozwiązują się na adres IP zlokalizowany w Holandii: 95.128.3.172 (server1.joomlapartner.nl) – więc incydent wygląda raczej jak atak zatruwania DNS.
Pytanie, które aż do teraz pozostaje bez odpowiedzi brzmi: gdzie dokładnie wydarzył się atak spoofingu / zatruwania DNS. Istnieje kilka możliwych scenariuszy:
Analizy
Blog
Wszystko zaczęło się dwa tygodnie temu, gdy rumuński bank państwowy CEC Bank zablokował około 17 000 kart w następstwie incydentu naruszenia bezpieczeństwa, jaki miał miejsce w jednym z europejskich centrów obsługi płatności VISA.
Niedługo potem zareagowały inne banki. Rumuński oddział banku ING również potwierdził zablokowanie kart, które ucierpiały w wyniku incydentu naruszenia bezpieczeństwa, nie podał jednak żadnych liczb. Przedstawiciele banku twierdzą, że zablokowali kilka kart, jednak ściśle monitorują sytuację.
Kilka dni później również serbskie banki zaczęły blokować...
Analizy
Blog
Za tekstem “Father crashes and dies because of THIS message posted on his daughters profile wall!” znajduje się skrócony adres URL (przy pomocy serwisu bit.ly). Brakujący apostrof w słowie "daughter's" może być wskazówką, że wiadomość jest fałszywa lub przynajmniej, że jej autor nie jest rodzimym użytkownikiem języka angielskiego. Zastanówmy się jednak, co by się stało, gdyby użytkownik dał się nabrać na ten trik socjotechniczny.
Po kliknięciu odsyłacz prowadzi użytkownika przez serię przekierowań. W efekcie na ekranie pojawia się szkodliwa aplikacja dla Facebooka żądająca kilku zezwoleń.
Jak widać, bardzo łatwo domyślić się, że aplikacja jest szkodliwa: wygląda na to, że aplikacja ma losową nazwę aplikacja żąda...
Szkodliwy JavaScript, który jest rozprzestrzeniany, jest dość prosty. Wykorzystuje on lukę umożliwiającą atak XSS (Cross-Site Scripting) do kradzieży ciasteczka użytkownika Twittera, które jest przesyłane na dwa serwery. W zasadzie każde konto, z którego kliknięto szkodliwe odsyłacze, może zostać zhakowane.
Ile osób kliknęło odsyłacz? Statystyki bit.ly dotyczące jednego ze szkodliwych odsyłaczy są niepokojące – wskazują na ponad 100 000 osób.
Wszystko wskazuje na to, że atak ten pochodzi z Brazylii. Po pierwsze, 2 nazwy domen wykorzystywane do gromadzenia skradzionych ciasteczek zostały zarejestrowane pod nazwami brazylijskimi. Co więcej, jedna z domen jest utrzymywana w Brazylii. Poza tym wystarczy przyjrzeć się tweetowi, za pomocą którego dostarczana jest szkodliwa funkcja:
Pe Lanza da banda Restart sofre acidente tragico –...
Analizy
Blog
Celem tego działania było wyeliminowanie potencjalnego zagrożenia związanego z procesem nadawania dostępu do odczytu/zapisu aplikacjom niezależnych twórców, który mógł prowadzić do włamań na konta twitterowe. Teraz nie musimy już podawać nazwy użytkownika ani hasła twórcom niezależnych aplikacji, gdy chcemy korzystać z takich aplikacji na naszym koncie na Twitterze.
Jako osoba, której leży na sercu bezpieczeństwo, pochwalam decyzję o dodaniu obsługi OAuth na Twitterze. Dzięki temu mogę korzystać z aplikacji bez konieczności udostępniania nieznanej organizacji nazwy użytkownika i hasła. Hylę czoła również przed...