CDR.cz - Vybráno z IT

SecUpdate: Nové Opera VPN – pomáhá nebo pouze špehuje? Zjistěte, jak funguje!

nepřehlédněte
Prohlížeč Opera nabízí VPN zdarma. Skvělé, kdyby to opravdu VPN bylo. Nástroji RansomWhere a detektoru od MIT ale důvěřovat můžete. Obezřetní ale buďte u odkazů na Servis24 a programu AppLocker.

VPN bez omezení zdarma a součástí prohlížeče. To je novinka, která byla v minulém týdnu představena jako součást poslední verze prohlížeče Opera pro vývojáře.

Představení Opera VPN

Ve skutečnosti by ale novou funkcionalitu nazval jako VPN maximálně někdo z marketingu. Specialista na webovou bezpečnost Michal Špaček novinku důkladně prozkoumal a rozhodně by ji jako VPN neoznačil. Spíše se jedná o proxy server.

Kromě toho, že na rozdíl od standardní VPN, která šifruje veškerou komunikaci počítače, VPN v Opeře šifruje jen provoz z Opery, přidává také každému požadavku jeho ID. To zůstává stále stejné i přes restarty prohlížeče, či dokonce po reinstalaci, pokud nebyly odstraněny data uživatele. Jaký má účel je otázkou, ale může sloužit například pro velmi přesné sledování chování uživatele.

 

Nastavení VPN v prohlížeči Opera také zmiňuje proxy (twitter @spazef0rze)

Před použitím této novinky je tedy potřeba mít jasno, jaký je rozdíl mezi VPN a proxy a co přesně od toho očekáváte. Úroveň ochrany vašeho soukromí je u proxy serveru a VPN totiž zcela rozdílná.

Na OS X přichází nástroj na detekci ransomwaru – RansomWhere

O nějakém ransomwaru píšeme téměř v každém díle SecUpdatu a stále se u nich objevují nové a nové varianty. Jedná se tedy o velmi častý virus, proti kterému jsou antiviry se svými databázemi signatur jen málokdy úspěšné. A tak antivirové společnosti začínají používat techniky typu kontroly sekvenčního přístupu k velkému počtu souborů, používání šifrovacích algoritmů a podobně. A právě na tomto principu funguje program RansomWheredetekuje nedůvěryhodné procesy, které šifrují soubory, zastaví je a nechá uživatele rozhodnout, zda je chování procesu oprávněné.

 

Upozornění programu RansomWhere na podezřelý proces

Detaily o nástroji RansomWhere včetně odkazu ke stažení najdete na stránkách Objective-See. Důležité je určitě znát jeho limity. Neupozorní vás na ransomware, který zneužívá soubory či aplikace podepsané společností Apple. Také je potřeba počítat s tím, že detekce nastane ve chvíli, kdy už došlo k zašifrování několika málo souborů a v neposlední řadě je třeba myslet na umístění souborů. RansomWhere kontroluje pouze soubory v domovském adresáři uživatele, takže jakmile se budou chtít útočníci tomuto nástroji vyhnout, začnou soubory z domovského adresáře přesouvat a až poté je budou šifrovat. Jak je vidět na následujícím videu, někteří již tento postup využili a aktualizují svůj ransomware.

Jak obejít ochranu RansomWhere? Přemístěním souborů!

Systém umělé inteligence z MIT dokáže odhalit 85 % kybernetických útoků

Skupina výzkumníků z laboratoře počítačových věd a umělé inteligence (CSAIL) na MIT ve spolupráci s projektem PatternEx pracuje na vývoji obraného nástroje proti kybertnetickým hrozbám. Ten dostal název Artificial Intelligence Squared (AI²) a dokáže zpracovat přes 3,6 miliard řádků logu každý den. Ty následně pomocí umělé inteligence, ale také pomocí úsudku profesionálního analytika hrozeb, vyhodnocuje a označuje podezřelé události.

Jednoduché znázornění principu, jak AI² pracuje

Jak je vidět na videu, systém pracuje v cyklech, kde vždy analyzuje dodaný obsah a najde v něm podezřelé události. Ty poté vyhodnotí analytik, který označí jen skutečné hrozby. Tento zásah systém využije pro vlastní rozhodování v dalším cyklu.

Jak uvádějí vědci ve svém článku [PDF], AI² aktuálně dosahuje 3x lepších výsledků než v posledních testech a počet chybně označených událostí se snížil na pětinu.

Pozor na nabídku nového Servisu 24 na Facebooku

V minulém díle jsme psali o falešných SMSkách, které chodily klientům České Spořitelny. U této banky zůstaneme, ale podíváme se na další hrozbu, která cílí na její klienty. Tentokrát se jedná o falešné stránky na sociální síti Facebook, které uživatele lákají na novou a bezpečnější verzi internetového bankovnictví Servis 24.

 

Ukázka podvodného profilu

Banka opět klientům doporučuje nevstupovat na stránky internetového bankovnictví přes odkazy, které obdrží v emailu, či jim je někdo pošle na sociálních sítích. Dalším krokem pro zvýšení bezpečnosti uživatelů bylo vypracování bezpečnostního desatera, které by jim mělo pomoci ochránit svůj účet před internetovými útočníky.

Program z jádra systému Windows umožňuje překonat AppLocker

Pomůcka pro administrátory s názvem AppLocker přišla s Windows 7 a Windows Server 2008 R2. Umožňovala jim nastavit pravidla povolující či zakazující spuštění aplikací pro různé uživatele nebo skupiny. Bylo možné omezovat spustitelné soubory, skripty, instalační soubory Windows a DLL soubory.

 

Použití regsrv32 k překonání ochrany AppLocker

Bezpečnostní výzkumník Casey Smith nyní našel způsob, jak tato omezení překonat. Stačí mu skript umístěný na vlastním serveru a utilita regsrv32. Pomocí této utility byl schopen spustit své vlastní skripty, které si můžete prohlédnout na GitHubu. Stačí, jen aby spouštěný kód byl v části  <registration> a útočník bude mít možnost přistupovat k místním souborům. Spuštění tohoto skriptu nebude registrovat COM objekt, takže v registrech po něm nic nezůstane.

Při hacknutí Facebooku hacker zjistil, že někdo jiný byl rychlejší!

Orange Tsai, konzultant ze společnosti DevCore, analyzoval infrastrukturu Facebooku když narazil na doménu files.fb.com, na které byl hostován nástroj pro zabezpečené přenosy dat. Ten byl u Facebooku ve verzi obsahující záplaty všech jeho známých zranitelností, takže nebylo zbytí a Tsai si našel 7, do té doby neznámých zranitelností. Mezi nimi byla i SQL injection, díky které mohl vzdáleně spustit kód a nahrát na server webshell.

Jakmile tak učinil, začal sbírat data k sepsání bug bounty reportu. A právě v tu chvíli zjistil, že na server už někdo jeden webshell dříve nahrál.

 

Nalezený php soubor od předchozího návštěvníka

Nalezený webshell shromažďoval přihlašovací údaje zaměstnanců Facebooku, kteří používali službu pro přenos souborů. Tsai dokonce zjistil, že mezi 1. a 7. únorem skript nashromáždil přibližně 300 přihlašovacích údajů. Podle všeho se jednalo o skript, který byl na server umístěn jiným výzkumníkem, též zapojeným v bug bounty programu. Nechcete to také zkusit? Evidentně se tam dostane kde kdo a Tsai obdržel odměnu ve výši 10 000 dolarů.

Další zprávy ze světa IT bezpečnosti v bodech:

Ondřej Přibyl

Autor se věnuje vývoji jak webových, tak desktopových aplikací a zajímá ho jejich bezpečnost. Rád analyzuje nové typy útoků a snaží se díky tomu zvyšovat bezpečnost svých aplikací. Pro CDR zpracovává především bezpečnostní seriál SecUpdate.

více článků, blogů a informací o autorovi

Diskuse ke článku SecUpdate: Nové Opera VPN – pomáhá nebo pouze špehuje? Zjistěte, jak funguje!

Čtvrtek, 28 Duben 2016 - 11:16 | hmhmhm | V článku je chybně uvedeno "regsrv32",...
Pondělí, 25 Duben 2016 - 18:31 | Anonym | Ale co je VPN a jak funguje už víte delší dobu,...
Pondělí, 25 Duben 2016 - 18:08 | Psycho Mantis | a jak by jsme to mohli "dávno vědět",...
Pondělí, 25 Duben 2016 - 15:19 | Anonym | No,to jo, jenže ti co to ocení a chovají se...
Pondělí, 25 Duben 2016 - 15:09 | Libor Míšek | A jak se chová VPN od AVASTU?
Pondělí, 25 Duben 2016 - 14:45 | Psycho Mantis | "všichni na sebe dobrovolně na FB napráskají...
Pondělí, 25 Duben 2016 - 11:22 | Anonym | To je úsměvné :-) Všichni na sebe naprosto...

Zobrazit diskusi