Natprevar Hakaton CyberMK 2022


CyberMK 2022 Cybersecurity Conference

ЗАСТАНИ | РАЗМИСЛИ | ПОВРЗИ СЕ

132 Google Play Store апликации инфицирани од Windows малициозен софтвер

Достапно на / Dispozicion në: Albanian (Albanian) English (English)

Истражувачите за сигурност на информации најдоа траги од Windows малициозен софтвер во 132  апликации за Android на официјалниот сајт на Google Play Store.

Според експертите за сигурност на информации, сите 132 апликации содржат iframe со мали димензии во изворниот код на HTML страниците кои се прикажуваат кај корисниците.

Овој iframe се обидува да се поврзе со далечински сервери и да преземе други податоци. Во моментот кога истражувачите наидоа на инфицирани апликации, сите далечински сервери беа недостапни, затоа што овие сервери се веќе познати жаришта за малициозни активности и се вклучени во многу кампањи за дистрибуција на Windows малициозен софтвер.

CERT Полска блокираше два домени во 2013 година, по серија напади од поголеми размери.

Една апликација се обиде вметне exe датотека на Android уредите

Во еден изолиран случај, покрај iframe изворниот HTML код, исто така содржи VBScript коja се обидува вметне Base64 кодирана Windows апликација на телефонот на корисникот.

Секако, оваа датотека не може да направи штета на Андроид телефон, бидејќи Андроид не може да изврши exe фајлови.

Истражувачите од  Пало Алто мрежи, кои ги откриле инфицираните апликации, информираат дека овој EXE фајл може да направи промени во hosts датотеката, во поставувања на Windows Firewall, да вметне код во друг процес и самиот да се копира.

Уредите на Android не беа цел на овие инфекции

Оваа exe датотеката и фактот дека некои iframes поврзани со домени кои четири години се блокирани заради спречување на малициозни активности, ги убедија истражувачите  дека овие апликации не биле заразени намерно од страна на нивните програмери, туку програмерите на апликациите биле жртви на малициозен софтвер.

Пало Алто информира дека програмерите, најверојатно презеле малициозенa софтверска апликација  за развој на софтвер (IDE – Integrated Development Environment), која тајно додавала iframe код во сите HTML страници кои биле вклучени во нивните апликации за Android уреди.

Друг можен метод за инфекција е ако програмерите користат генератори за веб-базирани апликации кои додаваат iframes во HTML кодот на нивните апликации.

Друга теорија е дека програмерите биле заразени со малициозниот софтвер Ramnit, кој е познат по додавање на скриени iframes во сите HTML датотеки кои ги наоѓа на заразениот компјутер.

Сите програмери на Андроид апликациите се од Индонезија

Истражувачите исто така откриле дека седум програмери на 132 заразени  апликации живеат во Индонезија, што значи дека најверојатно користеле малициозен торент за преземање на заразено IDE или биле жртви на локална кампања за дистрибуција на малициозен софтвер.

Покрај тоа, бесмислено е програмерите на Андроид апликации да вметнуваат Windows малициозен софтвер на паметни телефони или да користат домени кои четири години не постојат. Без разлика колку некомпетентни можат да бидат програмерите на малициозен софтвер, тие најчесто не прават вакви видови на грешки.

Инфицираните апликации беа едноставни по природа, најпопуларната имаше околу 10.000 активни инсталации, што значи дека не е направена штета од големи размери. Google привремено ги отстрани апликациите од Play Store.

Ова не е прв пат малициозна софтверска апликација за развој на софтвер да биде искористена во дистрибуција на малициозен софтвер. Во септември 2015 година, Пало Алто открија верзии на Apple Xcode- код едиторот кој го вметнуваше XCodeGhost малициозниот  софтвер во iOS апликации генерирани преку овој код едитор, кои подоцна беа поставени на App Store на Apple.

Извор: bleepingcomputer.com

Изведен е првиот напад на SHA-1 со колизија

Достапно на / Dispozicion në: Albanian (Albanian) English (English)

Криптографската хеш-функција SHA-1 (Secure Hash Algorithm 1) е официјално прогласена за застарена, откако Google го објави првиот успешен напад со колизија. SHA-1 е безбедносен алгоритам кој генерира криптографски хеш-вредности од дигитални податоци, кои се користат, меѓудругото, за потврдување на автентичност на датотека.

Хеш-функцијата SHA-1 е развиена од страна на NSA (Агенцијата за национална безбедност на Соединетите американски држави), а алгоритамот е објавен во 1995 година.

Во 2005-та година за првпат се откриени  теоретски пропусти во овој алгоритам, кои можат да послужат за пробивање на SHA-1 со помош на т.н напади со колизија. Кај нападите со колизија, напаѓачот генерира нова, компромитирана датотека со иста хеш-вредност како валидната датотека, а потоа ја заменува валидната со комромитираната датотека.

Иако и претходно криптоаналитичарите препорачуваа замена на SHA-1 со поновите SHA-2 i SHA-3 безбедносни алгоритми, сериозен пад на популарноста на SHA-1 се случи во 2015 година, кога e објавен истражувачкиот труд The SHAppening. Во истражувањето научниците  покажаа дека технологијата е напредната до тоа ниво што за пробивање на SHA-1 со колизија се потребни помеѓу 49 и 78 дена на 512-GPU кластер. Изнајмување на еквивалентната услуга на Амазон EC2 би чинело помеѓу $75.000 и $120.000. Веднаш по објавата на истражувањето, компаниите како Mozilla, Microsoft и Google започнаа со забрзан процес за замена на SHA-1 како хеш-функција во TLS/SSL сертификатите.

Заради понатамошни истражувања во оваа насока, Google им понудил помош на истражувачите кои работеле на The SHAppening. Искористувајки ја огромната пресметувачка моќ на Google, тимот од стручни лица во февруари 2017 година објави ново истражување во кој е детално опишан нападот на SHA-1 со колизија. Како доказ за првата успешна SHA-1 колизија, истражувачите објавија два различни PDF датотеки со ист SHA-1 хеш-вредност.

Инженерите од Google го опишуваат успешниот напад на SHA-1 со колизија како една од најголемите компјутерски пресметки кои се направени досега. На ова може да се гледа на како добра вест, затоа што ретко кој може да парира на пресметувачката моќ на Google.

Google планира да го објави proof-of-concept кодот кој е користен при нападот на SHA-1 со колизија во рок од 90 дена, со што се остава простор за компаниите да преминат на подобри безбедносни алгоритми.

Извор: bleepingcomputer.com

Со софистициран комплет алатки за фишинг се автоматизираат напади на PayPal сметки

Достапно на / Dispozicion në: Albanian (Albanian) English (English)

Откриен е софистициран комплет од алатки за фишинг (phishing) кој е мошне ефективен за крадење на параметрите за најава и корисничките детали од корисниците на PayPal.

Што е фишинг?
Фишингот е облик на измама кој опфаќа збир на активности на злонамерни напаѓачи преку користење лажни пораки од е-пошта и лажни веб страници на поголем дел од финансиските организации, обидувајќи се од жртвите да добијат доверливи податоци како што се ЕМБГ, корисничко име, податоци од кредитни картички, ПИН и сл. Штом ќе дојдат до доверливите податоци, злонамерните испраќачи или сами ги користат или ги продаваат. Во пораките најчесто се повикуваат на лажни веб страни, кои според изгледот целосно одговараат на веб страните на легитимните компании.

Како функционира нападот?
Напаѓачите го користат комплетот алатки за фишинг за развој на напредни фишинг страници кои можат да ги прибираат корисничките детали и параметрите за најава во повеќе различни чекори, а резултатите ги снимаат во позадина. На овој начин, напаѓачите можат да ги валидираат податоците веднаш штом корисникот ќе ги испрати, односно во реално време. Комплетот алатки за фишинг проверува дали PayPal адресата за е-пошта е валидна, проверува дали параметрите за најава се вистински и дали броевите на кредитните кратички се точни и го задоволуваат Луновиот (Luhn) алгоритам. Повеќето фишинг страници кои се пронајдени досега не ги прават овие контроли.
Овој комплет алатки за фишинг е напреден затоа што доаѓа со позадински графички кориснички интерфејс, со кој напаѓачите можат едноставно да крерираат фишинг страници. Друга специфика е можноста за правење „селфи“, односно поврзување со камерата и снимање фотографија од жртвата, која понатаму може да биде искористена во биометриски системи од страна на напаѓачите.
Финансиските фишинг шеми обично бараат развивање на фишинг страници кои се специфични за банката и за регионот. Популарноста и интернационалната распространетост на PayPal им овозможуваат на напаѓачите со да ја развијат фишинг страницата само еднаш, а истата страница да ја користат за напади во различни региони. Овој комплет алатки за фишинг им овозможува на напаѓачите кориснички интерфејс и готови темплејти за фишинг страници, со што многукратно се олеснува прибирањето на податоците од жртвите. Со вакви алатки напаѓачите можат многу ефикасно да ги таргетираат корисниците на PayPal, но и корисниците на други системи за он-лајн финансиски трансакции.

Како да се заштитите од фишинг?
1.    Научете да ги идентификувате спам пораките. Тие обично доаѓаат од непознати испраќачи и не се персонализирани (не се обраќаат до Вас по име и презиме). Спам пораките ќе ги препознаете и по тоа што со користење на закани и заплашување се обидуваат да Ве натераат да реагирате брзо и без промислување, и со тоа да откриете или финансиски податоци.
2.    Испраќање на лични податоци и финансиски трансакции извршувајте  исклучиво преку безбедни веб-страници (HTTPS://). Безбедните веб-страници обично се обележани со икона со катанец во статус-барот, кој обично се наоѓа во горнит лев дел од веб-прелистувачот (browser). Со двојно кликање на иконата може да се проверат информациите за сопственикот на веб-страницата и валидноста на дигиталниот сертификат.
3.    Никогаш немојте да кликате на линкови или да отварате датотеки прикачени во пораки од е-пошта добиена од непознати испраќачи. Дури и ако го познавате испраќачот, прикачените датотеки отварајте ги единствено ако ги очекувате.
4.    Внимавајте на линковите во пораките од е-пошта кои бараат лични податоци, дури и ако пораката доаѓа од компанија со која соработувате. Фишинг страниците можат целосно да го копираат изгледот на веб-страницата на легитимна компанија, и со тоа да изгледаат автентично. За да бидете безбедни, не кликајте на линкот туку пристапете на веб-страницата на компанијата така што самите ќе ја впишете адресата во веб-прелистувачот.
5.    Внимавајте на pop-up прозорците: никогаш не внесувајте лични податоци и не кликајте на линкови во pop-up прозорец.
6.    Заштитете го Вашиот компјутер со фајрвол, спам филтри, анти-вирусен и анти-спајвер софтвер, и ажурирајте ги овие софтвери редовно за да се осигурате дека ги блокирате и новонастатите закани.
7.    Редовно проверувајте ги Вашите он-лајн сметки во финансиски институции за да се обезбедите дека не се извршени неавторизирани трансакции.
8.    Користете добри лозинки и често менувајте ги. Не користете иста лозинка за различни потреби.
9.    Бидете во тек со случувањата – редовно следете ги информациите за фишинг измами.

Извор: bleepingcomputer.com

Добредојдовте на веб-страницата на Националниот центар за одговор на компјутерски инциденти на Република Македонија.

Со член 26-а од Законот за електронските комуникации во состав на Агенцијата за електронски комуникации се формира посебна организациона единица – Национален центар за одговор на компјутерски инциденти (MKD-CIRT), која ќе претставува официјална национална точка за контакт и координација во справувањето со безбедносните инциденти кај мрежите и информациските системи и кој ќе идентификува и ќе обезбедува одговор на безбедносни инциденти и ризици.

Јавниот клуч и неговите потписи може да се најдат на големите меѓународни јавни сервери за клучеви.

  • Key ID: 0x333C00DB
  • Key Type: RSA 4096
  • Key Fingerprint: 0FB9 3DA3 E008 FA8B FC6A 9C71 0741 17A1 333C 00DB