Сајбер одговорна организација


ЗАСТАНИ | РАЗМИСЛИ | ПОВРЗИ СЕ

Со Fireball инфицирани над 250 милиони компјутери

Достапно на / Dispozicion në: Albanian (Albanian) English (English)

Откриена е масовна малвер операција која веќе инфицирала над 250 милиони Windows I Mac OS компјутери. Овој малвер , наречен Fireballпрезема комплетна контрола над веб-прелистувачите на жртвата и ги претвара во зомби, потенцијално овозможувајќи  им на напаѓачите да го шпиунираат веб-сообраќајот и да крадат податоци.


Истражувачите од Check Point, кои го откриле малверот, ја поврзуваат операцијата со Rafotech, кинеска компанија која тврди дека нуди дигитален маркетинг, апликации  и игри на над 300 милиони клиенти. Оваа компанија го користи Fireball за генерирање профит со вметнување на огласи во веб-прелистувачите , но овој малвер има капацитет бргу да се претвори во масивна закана за сајбер-безбедноста.

Fireball доаѓа спакуван во пакет со други бесплатни софтверски програми кои можат да се преземат од интернет. Откако ќе се инсталира, овој малвер инсталира додатоци (анг. plugins) за веб-прелистувачите кои му овозможуваат манипулација со конфигурацијата и промена на назначените пребарувачи ( анг. search engines) со лажни пребарувачи. Лажните пребарувачи барањата испратени кон yahoo.com или google.com едноставно ги пренасочуваат и додаваат  т.н. „tracking pixels“ кои ја прибираат информацијата од жртвата.

Fireball го „киднапира“ веб-собраќајот на корисниците за да им сервира огласи и да оствари приход, но во исто време може да го шпионира веб-сообраќајот на жртвата, да извршува малициозен код на инфицираните компјутери, да инсталира додатоци за веб-прелистувачи, а дури и да инсталира нов малвер. Од техничка перспектива, Fireball демонстира софистицираност, квалитетни техники  за да избегне детекција, повеќеслојна структура и флексибилни сервери за комуникација помеѓу системите заразени со малвер (анг. C&C).

Според истражувачите, тековно над 250 милиони компјутери се инфицирани, од кои 20% се наоѓаат во компаниски мрежи.“Колку е сериозна ситуацијата? Замислете си пестицид наоружан со атомска бомба. Да, ќе заврши работа, но ќе направи и многу повеќе” – предупредуваат истражувачите.

Предупредувачки знаци дека Вашиот компјутер е инфициран со  Fireball:

Ако одговорот на било кое од следните прашања е „НЕ”,тоа значи дека Вашиот компјутер е инфициран со Fireball или сличен злонамерен софтвер.

Отворете го веб-прелистувачот  (пр: Firefox, Chrome, Explorer, Edge, Safari.. и сл. ) и проверете:

  1. Дали самите сте ја поставиле почетната страница (анг. homepage)?
  2. Дали сте во состојба да ја промените почетната страница на веб-прелистувачот?
  3. Дали Ви е познат пребарувачот (пр: com, bing.com, yahoo.com .. и сл. ) и дали можете да го промените?
  4. Дали се сеќавате дека сте ги инсталирале сите додатоци на веб-прелистувачот?

За отстранување на овој малвер треба да се отстрани апликацијата од Вашиот компјутер  (понекогаш е потребно да се отстрани и целосниот пакет со бесплатни софтверски програми) и да се врати веб-прелистувачот на почетните подесувања.

За да спречите инфекции од овој тип во иднина , отворете четири очи при инсталација на нов софтвер.  Софтверските инсталации неретко вклучуваат  незадолжителни инсталации на дополнителен софтвер. Секогаш избирајте „Custom” инсталација и исклучете ги сите опции кои не се потребни или се непознати.

Извор: thehackernews.com

Откриен пропуст „Split Tunnel SMTP Exploit” во EEA (email encyrpton appliances)

Достапно на / Dispozicion në: Albanian (Albanian) English (English)

Од страна на компанијата Securolytics е откриен пропуст „Split Tunnel SMTP  Exploit” во начинот на кој функционираат EEA уредите.

EEA (Email encryption appliances) се хардверски или виртуелизирани уреди кои соработуваат со серверите за е-пошта во криптирањето и декриптирањето на пораките. EEA уредите обично се поставуваат во компаниските мрежи и се користат за заштита на осетливите информации при размена преку е-пошта, дури и во ситуации кога само еден од кореспондентите се наоѓа во безбедна мрежа.

Пронајдениот пропуст му овозможува на напаѓачот да вметне злонамерни пораки во самиот EEA уред. Овие пораки влегуваат во интерната инфраструктура за е-пошта и се испорачуваат во корисничките сандачиња.

Овој пропуст, наречен „Split Tunnel SMTP  Exploit” функционира само доколку напаѓачот ја знае IP адресата на EEA уредот, за знае каде да го вметне злонамерниот  програмски код и пораките за е-пошта.

Според истражувачите од Securolytics, секој  EEА уред кој прифаќа влезни SMTP конекции е ранлив на ваков напад, независно дали се работи за самостоен хардверски уред или виртуелизиран уред.

Напаѓачот може да вметне секаква злонамерна содржина која поддржува MIME кодирање. Тимот од Securolytics во текот на тестирањето успеал да вметне е-пораки кои содржеле злонамерна содржина како рансомвер, макро-малвер, линкови за фишинг и архиви заштитени со лозинка. Нападот кој користи „Split Tunnel SMTP  Exploit” ја искористува мрежната топологија, односно патеките на е-пораките низ серверите и уредите на пат до корисничкото сандаче.

Securolytics нашле две методи за искористување на овој метод на напад, а ги тестирале во живо на два сервери за е-пошта во две здравствени клиники во САД. Првиот начин е со заобиколување на ESG (Email Security Gateway), додека вториот е со замена на IP адресите.

Истражувачите од Securolytics нагласуваат дека не им е познат начин со којшто компаниите би се заштитиле од ваков напад. Засега единствената препорака е потполно исклучување на  транспарентно gateway-to-gateway криптирање на ЕЕА уредот, а понатаму имплементација на решение кое паралелно ќе изведува декрипција на е-пошта и откривање на закани.

Извор:bleepingcomputer.com

Издадена е закрпа за пропуст во Samba стар 7 години

Достапно на / Dispozicion në: Albanian (Albanian) English (English)

Објавена е закрпа за критична ранливост на извршување произволен код  (анг. code-execution vunerability) за мрежната алатка Samba. Доколку не се инсталира закрпата, оваа ранливост може да претставува сериозна закана за корисниците.

Пропустот CVE-2017-7494, стар 7 години, доколку одредени услови се исполнети, може да се искористи со извршување на само една линија злонамерен код. Условите се: (а) кај ранливите компјутери  портата 445 за  споделување на датотеки и печатачи (анг. file and printer sharing) да е достапна преку интернет, (б) конфигурацијата да дозволува привилегија за запишување во споделени папки и (в) да се користат серверски папки со општопознати имиња или имиња кои лесно можат да се погодат. Кога овие услови се исполнети, злонамерните хакери можат далечински да постават произволен код и да го натераат серверот да го изврши.

„Сите верзии на Samba од 3.5.0 навака имаат ранливост која овозможува далечинско извршување на произволен код, која дозволува злонамерен клиент да постави споделена библиотека во споделена папка во која е дозволено запишување, а потоа да го натера серверот да ја вчита и изврши библиотеката” – објавено е од страна на авторите на Samba.

Samba е софтвер со отворен код, кој овозможува интероперабилност на оперативните системи Linux и Unix со мрежните функционалости на Windows, како Active Directory и Windows server domain. Samba постои од 1991 година, а верзијата 3.5.0, во која за првпат се појавува оваа ранливост, е издадена во март 2010 година.

Овој пропуст има заеднички точки со пропустот на Windows искористен од страна на рансомверот WannaCry: и двата се постари од пет години, се базираат на често користена имплементација на SMB протоколот за споделување на датотеки и печатачи, а исто така и двата имаат ранливост на извршување произволен код без интеракција од страна на крајниот корисник.

Разликата помеѓу ранливостите на Windows и Samba се во тоа што не постои еквивалентна алатка на DoublePulsar – напредната алатка која NSA ја користи како сајбер-оружје за „влез на задна врата“  во системите. DoublePulsar  го овозможи искористувањето на пропустот во Windows од страна на WannaCry.

Иако Samba не е ни приближно толку распространета колку SMB имплементацијата на Windows, сепак постои ризик за потенцијално сценарио за напад. На пример, злонамерна спам порака која успешно ќе зарази еден компјутер во мрежата на една компанија, може преку пропустот во Samba за кратко време да се прошири во целата мрежа.

Корисниците на Samba можат да проверат  дали постои закрпа за нивната верзија на оперативен систем или уред тука. Доколку не постои закрпа која ќе ја отстрани ранливоста, се препорачува „заобиколно“ решение, кое се состои од додавање на следната линија код:

nt pipe support = no

во конфигурациската датотека на Samba и рестартирање мрежниот SMB daemon. По оваа промена, можно е некои функционалности од поврзаните Windows компјутери да престанат да работат.

Се препорачува итно отстранување на овој пропуст, затоа што неговото искористување е многу лесно и се очекува истиот набргу да стане мета за злонамерни напаѓачи.

извор: arstechnica.com

Добредојдовте на веб-страницата на Националниот центар за одговор на компјутерски инциденти на Република Македонија.

Со член 26-а од Законот за електронските комуникации во состав на Агенцијата за електронски комуникации се формира посебна организациона единица – Национален центар за одговор на компјутерски инциденти (MKD-CIRT), која ќе претставува официјална национална точка за контакт и координација во справувањето со безбедносните инциденти кај мрежите и информациските системи и кој ќе идентификува и ќе обезбедува одговор на безбедносни инциденти и ризици.

Јавниот клуч и неговите потписи може да се најдат на големите меѓународни јавни сервери за клучеви.

  • Key ID: 0x333C00DB
  • Key Type: RSA 4096
  • Key Fingerprint: 0FB9 3DA3 E008 FA8B FC6A 9C71 0741 17A1 333C 00DB