SecUpdate: Nové Opera VPN – pomáhá nebo pouze špehuje? Zjistěte, jak funguje!
VPN bez omezení zdarma a součástí prohlížeče. To je novinka, která byla v minulém týdnu představena jako součást poslední verze prohlížeče Opera pro vývojáře.
Představení Opera VPN
Ve skutečnosti by ale novou funkcionalitu nazval jako VPN maximálně někdo z marketingu. Specialista na webovou bezpečnost Michal Špaček novinku důkladně prozkoumal a rozhodně by ji jako VPN neoznačil. Spíše se jedná o proxy server.
Kromě toho, že na rozdíl od standardní VPN, která šifruje veškerou komunikaci počítače, VPN v Opeře šifruje jen provoz z Opery, přidává také každému požadavku jeho ID. To zůstává stále stejné i přes restarty prohlížeče, či dokonce po reinstalaci, pokud nebyly odstraněny data uživatele. Jaký má účel je otázkou, ale může sloužit například pro velmi přesné sledování chování uživatele.
Nastavení VPN v prohlížeči Opera také zmiňuje proxy (twitter @spazef0rze)
Před použitím této novinky je tedy potřeba mít jasno, jaký je rozdíl mezi VPN a proxy a co přesně od toho očekáváte. Úroveň ochrany vašeho soukromí je u proxy serveru a VPN totiž zcela rozdílná.
Na OS X přichází nástroj na detekci ransomwaru – RansomWhere
O nějakém ransomwaru píšeme téměř v každém díle SecUpdatu a stále se u nich objevují nové a nové varianty. Jedná se tedy o velmi častý virus, proti kterému jsou antiviry se svými databázemi signatur jen málokdy úspěšné. A tak antivirové společnosti začínají používat techniky typu kontroly sekvenčního přístupu k velkému počtu souborů, používání šifrovacích algoritmů a podobně. A právě na tomto principu funguje program RansomWhere – detekuje nedůvěryhodné procesy, které šifrují soubory, zastaví je a nechá uživatele rozhodnout, zda je chování procesu oprávněné.
Upozornění programu RansomWhere na podezřelý proces
Detaily o nástroji RansomWhere včetně odkazu ke stažení najdete na stránkách Objective-See. Důležité je určitě znát jeho limity. Neupozorní vás na ransomware, který zneužívá soubory či aplikace podepsané společností Apple. Také je potřeba počítat s tím, že detekce nastane ve chvíli, kdy už došlo k zašifrování několika málo souborů a v neposlední řadě je třeba myslet na umístění souborů. RansomWhere kontroluje pouze soubory v domovském adresáři uživatele, takže jakmile se budou chtít útočníci tomuto nástroji vyhnout, začnou soubory z domovského adresáře přesouvat a až poté je budou šifrovat. Jak je vidět na následujícím videu, někteří již tento postup využili a aktualizují svůj ransomware.
Jak obejít ochranu RansomWhere? Přemístěním souborů!
Systém umělé inteligence z MIT dokáže odhalit 85 % kybernetických útoků
Skupina výzkumníků z laboratoře počítačových věd a umělé inteligence (CSAIL) na MIT ve spolupráci s projektem PatternEx pracuje na vývoji obraného nástroje proti kybertnetickým hrozbám. Ten dostal název Artificial Intelligence Squared (AI²) a dokáže zpracovat přes 3,6 miliard řádků logu každý den. Ty následně pomocí umělé inteligence, ale také pomocí úsudku profesionálního analytika hrozeb, vyhodnocuje a označuje podezřelé události.
Jednoduché znázornění principu, jak AI² pracuje
Jak je vidět na videu, systém pracuje v cyklech, kde vždy analyzuje dodaný obsah a najde v něm podezřelé události. Ty poté vyhodnotí analytik, který označí jen skutečné hrozby. Tento zásah systém využije pro vlastní rozhodování v dalším cyklu.
Jak uvádějí vědci ve svém článku [PDF], AI² aktuálně dosahuje 3x lepších výsledků než v posledních testech a počet chybně označených událostí se snížil na pětinu.
Pozor na nabídku nového Servisu 24 na Facebooku
V minulém díle jsme psali o falešných SMSkách, které chodily klientům České Spořitelny. U této banky zůstaneme, ale podíváme se na další hrozbu, která cílí na její klienty. Tentokrát se jedná o falešné stránky na sociální síti Facebook, které uživatele lákají na novou a bezpečnější verzi internetového bankovnictví Servis 24.
Ukázka podvodného profilu
Banka opět klientům doporučuje nevstupovat na stránky internetového bankovnictví přes odkazy, které obdrží v emailu, či jim je někdo pošle na sociálních sítích. Dalším krokem pro zvýšení bezpečnosti uživatelů bylo vypracování bezpečnostního desatera, které by jim mělo pomoci ochránit svůj účet před internetovými útočníky.
Program z jádra systému Windows umožňuje překonat AppLocker
Pomůcka pro administrátory s názvem AppLocker přišla s Windows 7 a Windows Server 2008 R2. Umožňovala jim nastavit pravidla povolující či zakazující spuštění aplikací pro různé uživatele nebo skupiny. Bylo možné omezovat spustitelné soubory, skripty, instalační soubory Windows a DLL soubory.
Použití regsrv32 k překonání ochrany AppLocker
Bezpečnostní výzkumník Casey Smith nyní našel způsob, jak tato omezení překonat. Stačí mu skript umístěný na vlastním serveru a utilita regsrv32. Pomocí této utility byl schopen spustit své vlastní skripty, které si můžete prohlédnout na GitHubu. Stačí, jen aby spouštěný kód byl v části <registration>
a útočník bude mít možnost přistupovat k místním souborům. Spuštění tohoto skriptu nebude registrovat COM objekt, takže v registrech po něm nic nezůstane.
Při hacknutí Facebooku hacker zjistil, že někdo jiný byl rychlejší!
Orange Tsai, konzultant ze společnosti DevCore, analyzoval infrastrukturu Facebooku když narazil na doménu files.fb.com
, na které byl hostován nástroj pro zabezpečené přenosy dat. Ten byl u Facebooku ve verzi obsahující záplaty všech jeho známých zranitelností, takže nebylo zbytí a Tsai si našel 7, do té doby neznámých zranitelností. Mezi nimi byla i SQL injection, díky které mohl vzdáleně spustit kód a nahrát na server webshell.
Jakmile tak učinil, začal sbírat data k sepsání bug bounty reportu. A právě v tu chvíli zjistil, že na server už někdo jeden webshell dříve nahrál.
Nalezený php soubor od předchozího návštěvníka
Nalezený webshell shromažďoval přihlašovací údaje zaměstnanců Facebooku, kteří používali službu pro přenos souborů. Tsai dokonce zjistil, že mezi 1. a 7. únorem skript nashromáždil přibližně 300 přihlašovacích údajů. Podle všeho se jednalo o skript, který byl na server umístěn jiným výzkumníkem, též zapojeným v bug bounty programu. Nechcete to také zkusit? Evidentně se tam dostane kde kdo a Tsai obdržel odměnu ve výši 10 000 dolarů.
Další zprávy ze světa IT bezpečnosti v bodech:
- Nový skener najde na webu zranitelnost v řádu jednotek minut
- Microsoft vydal opravu proti útoku Mousejack
- Ransomware používá bitcoinový blockchain k přenosu dešifrovacích klíčů
- Nový ransomware Jigsaw postupně maže vaše soubory, pokud neplatíte
- Viber přidal end-to-end šifrování a další rozšíření
- CISCO ve třech produktech opravilo zranitelnost umožňující DoS útoky
- Dubnové záplaty od Oraclu vyřešily 136 zranitelností
- Poslední verze TeslaCryptu se zaměřuje na nové druhy přípon souborů
- PowerShell a Google Docs lze mimo jiné využít i k šíření trojského koně