English Srpski

 Kategorije

Microsoft uklonio više od 1500 lažnih aplikacija iz Windows Store

U nastojanju da povrati poverenje korisnika u Windows prodavnicu aplikacija, Microsoft je uklonio 1500 lažnih aplikacija koje su bile u ovoj prodavnici već neko vreme.

Ovaj potez kompanije usledio je samo nedelju dana nakon što su se u medijima pojavili izveštaji da je Microsoft-ova prodavnica prepuna lažnih aplikacija, i da među njima ima i lažnih antivirusa, browser-a Chrome i Safari, lažnog ažuriranja Windows 8.1, lažnog Adobe Flash Player-a programera koji se potpisao sa "microsoft studioz". Iako lažne aplikacije nisu uvek maliciozne, problem je i to što pojedini programeri naplaćuju aplikacije koje se inače mogu besplatno preuzeti.

Microsoft je do sada malo uradio na tome da zaustavi pojavljivanje lažnih aplikacija u prodavnici, izlažući tako korisnike riziku od prevara i malvera. Rezultat toga je bio gubitak poverenja korisnika u prodavnicu aplikacija.

Međutim, kompanija tvrdi da od početka ove godine radi na ovom problemu, uzimajući ozbiljno u obzir pritužbe korisnika koji su morali da u mnoštvu zbunjujućih naziva ili čak onih koji se koriste da bi obmanuli korisnike, pronađu prave aplikacije. Zbog toga je kompanija promenila svoju politiku.

Promene znače da će aplikacije ubuduće morati da ispune određene kriterijume kada je reč nazivima, kategorijama i ikonama. Nazivi će morati da jasno i tačno odražavaju funkcionalnost aplikacija. Programeri će morati da svrstaju aplikacije u kategorije tako da one odgovaraju njihovim funkcijama i nameni, i da koriste ikone koje se razlikuju od ikona drugih aplikacija.

Nova politika se primenjuje i na nove aplikacije kao i na ažuriranja za aplikacije koje se već nalaze u Windows i Windows Phone prodavnicama aplikacija. U maju ove godine, u Windows Phone prodavnici aplikacija su pronađene lažne Google aplikacije, lažni Internet Explorer i lažni Kaspersky Mobile Security.

Iz Microsoft-a kažu da većina programera aplikacija za koje je ustanovljeno da krše Microsoft-ova nova pravila imaju dobre namere i da su se, kada su o tome obavešteni, saglasili da izvrše neophodne promene. Neki programeri su bili manje skloni saradnji što je rezultiralo uklanjanjem više od 1500 aplikacija.

Izvor: Informacija.rs

Sophos dobio ARC 2014 nagrade u dve kategorije

Na godišnjoj ceremoniji dodela ARC (Annual Report Card) nagrada, u Bostonu, 20. avgusta su dodeljene dve nagrade kompaniji Sophos. Nagrade CRN 2014 ARC su se odnosile na najbolja rešenja u smislu inovacija, podrške i ostvarenih partnerstva, a kompanija Sophos je dobila nagrade za ostvarene najbolje rezultate u kategorijama Client Security Software i Network Security Appliances.

Više od 2.500 rešenja je testirano od strane The Channel Company istraživačkog tima. Tom prilikom, rešenja su morala da ispune svih 18 postavljenih kriterija u smislu inovacije rešenja, podrške i mogućeg partnerstva.

"Danas se IT svodi na rešavanje poslovnih problema i zahteva se više od samo puke ponude proizvoda. Proizvođači rešenja moraju da ostvaruju partnerstva kako bi proširili i unapredili IT kanale i kako bi zajednički radili "hand-in-hand" da bi zadovoljili potrebe klijenata" izjavio je Robert Faletra, CEO The Channel Company. "Na CRN Annual Report Card listi su se zaista i našli svi vendori koji svoja rešenja isporučuju putem partnera na najefikasniji način u poslednjih 29 godina. Čestitamo kompaniji Sophos za dobijene 2 nagrade."

Sophos čvrsto sarađuje sa svojim partnerima i distributerima. Na osnovu Partnerskog programa i primenjene Channel-first reseller strategije, pomaže se partnerima da identifikuju prilike i održe ili povećaju bazu klijenta i tako i profit. U sve više kompleksnom okruženju koje treba zaštiti, saradnja sa partnerima ubrzava i pojednostavljuje isporuku, implementaciju i upravljanje rešenjima kompanije. Uz potpunu podršku, kompanija Sophos svojim partnerima omogućava up-to-date sertifikaciju, kako bi partnerski prodajni i tehnički timovi bili u potpunosti pripremljeni i obučeni za rad sa najnovijim rešenjima kompanije.

"Velika je čast biti na samom vrhu u ovim veoma važnim kategorijama u zaštiti," izjavio je Michael Valentine, senior vice president, worldwide sales, Sophos.  "Sophos 100-procentno svoj fokus postavlja na partnerske kanale. Ove nagrade su i dokaz našeg poverenja u partnera, snagu naših rešenja i u investicije sa kojima ćemo nastaviti u budućnosti. Uzbuđeni smo što ćemo u budućnosti nastaviti da radimo na inovacijama kako bi zaštitu učinili jednostavnijom za upravljanje, deploy i upotrebu."

Korisnici računara u Evropi nesvesni rizika od neažuriranih dodataka za browsere

Stručnjaci često apeluju na korisnike da ne odlažu ažuriranje sistema i programa jer je preuzimanje i primena dostupnih ispravki za bezbednosne propuste u njima od ključnog značaja za bezbednost uređaja i samih korisnika. To posebno važi za dodatke za browser-e koji su, ako nisu ažurirani, laka meta na napadače. Međutim, sudeći po najnovijim statističkim podacima koje je objavila nemačka firma Cyscon GmbH, apeli stručnjaka izgleda da ne dolaze do evropskih korisnika. Prema ovim podacima, korisnici u većini evropskih zemalja koriste neažurirane browser-e za surfovanje internetom i tako sebe i svoje uređaje izlažu velikom riziku.

Cyscon GmbH je objavio interaktivnu mapu koja prikazuje procente korisnika u zemljama Starog kontinenta koji koriste zastarele plugin-ove za browser-e.

Prema podacima sa mape, najsvesniji rizika koje predstavljaju neažurirani dodaci za browser-e su korisnici u Holandiji, u kojoj 51% korisnika računara ima bar jedan plugin u browser-u koji treba ažurirati. Oni koji imaju najveće šanse da postanu žrtve sajber kriminalaca zahvaljujući činjenici da neažurirane plugin-ove za browser-e ne vide kao opasnost su korisnici iz Hrvatske, u kojoj 97% korisnika nema instalirana sva dostupna ažuriranja za dodatke.

Za Hrvatskom sledi Moldavija sa 94%, Srbija sa 87% i Nemačka sa 80% korisnika sa neažuriranim plugin-ovima.

Najvećem riziku izloženi su oni koji surfuju internetom koristeći Microsoft-ov Internet Explorer sa neažuriranim plugin-ovima, kažu iz Cyscon GmbH. Prema istraživanju koje je nedavno objavio Bromium, Internet Explorer je bio "najranjiviji" browser u prvoj polovini godine.

Analiza browser-a koju je sproveo Cyscon GmbH pokazuje i da je najranjiviji plugin Java, jer 47% korisnika ne koriste najnoviju verziju, a zatim sledi Adobe Acrobat sa 27% korisnika koji ne koriste najnoviju verziju plugin-a.

Izvor: Informacija.rs

Anatomija iTunes Phish napada i saveti kako ih izbeći

Kako su pretnje konstantne danas, neophodno je i konstantno podsećanje na njih. Upravo iz tog razloga stručnjaci za bezbednost iz Sophos-a i Smart-a uputili su par korisnih saveta kako izbeći i prepoznati iTunes Phishing napad.

iTunes Phish

Ovaj napad stiže u vidu spam email-a koji "navodno" dolazi od kompanije Apple. S obzirom da su se App Store i iTunes pohvalili da imaju milijarde muzičkih i app preuzimanja, pokazalo se da je Apple brend veoma popularan kod prevaranata.

 

Krajem 2011. godine, Sophos je istražio skoro 15.000 typosquats (namerno pogrešno napisanih imena domena) za šest brendova. Od svih istraživanih brendova Apple je imao najviše registrovanih slučaja. 86% od svih vezanih za apple.com je imalo grešku u jednom karakteru i utvrđeno je da su greške bile namerne u cilju upotrebe u neke zlonamerne svrhe.

 

Potkradanje Apple brenda kao call-to-action u spamu nije iznenađujuće, s obzirom da postoji dobra šansa da je nasumično odabrani primalac spama poslovao online sa Apple-om ranije. U ovom slučaju, prevaranti su nastojali da primalac posumnja da neko drugi koristi njihov nalog za plaćanje za preuzimanje sa interneta.

Na slikama ispod crvenim zastavicama su označene sledeće situacije:

  1. Bad link – pogrešno ime domena, bez bezbednosti (nedostaje HTTPS), ili obe ove situacije
  2. Pogrešan sadržaj– greške u pisanju i nedoslednosti
  3. Stavke koje ne bi trebale da su tu – podmetnute informacije koje su tražene ili prikazane

 

Prevaranti se nadaju da ćete klinuti na Transaction Details Here link kao prvi korak koji bi učinili da saznate šta se to dešava:

Crvene zastavice u ovom email-u su:

  • Prelaskom miša preko linka otkrivate da URL nije povezan sa Apple-om, da vodi na neki drugi URL.
  • Polje From i Reply to su takođe ne povezani sa legitimnim Apple ili nekim drugim adresama. Ovde treba biti dodatno oprezan jer adresa pošiljaoca može da izgleda legitimno, a da je tekst prikazan kao adresa pošiljaoca u stvari deo samog email-a).
  • Nije AppStore već App Store.
  • Apple može verifikovati vašu lozinku ali je ne može "povratiti" (recover). Kompanija nikad ne skladišti vaše lozinke, tako da ih ni ne može poslati vama.

Lažni Apple Store

Ako ipak klinete na ponuđeni link da vidite navodne detalje transakcije, link će vaš pretraživač odvesti na web sajt na kojem se prodaju parfemi i mirisi. Sajt koji se otvori je legitiman koji je najverovatnije pokrenut na ne bezbednoj verziji WordPress-a. Ovo omogućava prevarantima da postave svoj sadržaj na sajt, dajući im prostor za korišćenje legitimnog imena domena za svoje kriminalne radnje.

Ovaj hakovan WordPress sajt vas dalje u pozadini redirektuje na phishing sajt koji vam prikazuje stranicu koja sadrži vizulene elemente "ukradene" sa Apple Store stranice. Na taj način, prevarant vam predstavlja poznate vizuelne elemente i vi imate utisak da ste na zvaničnoj Apple stranici… a u stvari niste:

Ipak, kao i kod email-a, Sophos eksperti su zastavicama obeležili situacije na koje treba da obratite pažnju:

  • URL koji ne pripada Apple a zahteva poverljive informacije i to putem nebezbedne (ne HTTPS) stranice.
  • Nedoslednosti u vizuelnom izgledu, verovatno zbog aljkavog kopiranja sa zvanične Apple stranice . Na primer, naslov "Purchase Confirmation" ne opisuje ostatak stranice i a [Cancel transaction] je opisan kao dugme "confirmed button"
  • Pitanja koja obično nikad ne bi bila postavljena, čak i u pravoj transakciji plaćanja, poput pitanja vezana za kreditno ograničenje, devojačko prezime majke i td.

Ovakve očigledne greške treba da vam upućuju da je u pitanju phishing, ali treba biti obazriv i kod stranica koje nemaju ovakve naočigled greške jer je možda u pitanju pažljivije isplanirana prevara.

Lažni "SecureCode" screen

Ukoliko ste došli do ove faze, prevaranti su već ukrali dobar deo vaših poverljivih podataka (Personally Identifiable Information - PII). Sledeći korak je da vas prevare da "verifikujete" vaš identitet odavajući vaš VISA ili MasterCard sigurnosni kod. Lažna stanica za unos Sigurnosnog koda izgleda kao na slici:

Ovde treba biti obazriv jer unos sigurnosnog koda nikad nije sekundarni korak koji traži trgovac pre transakcije.

To je poseban korak iniciran od strane kompanije preko koje se plaćanje vrši, kada trgovac nastavi sa porudžbinom

U ovom slučaju, ne bi trebali da vidite SecureCode validation stranicu, zato što nema nikakvih plaćanja.

Potvrdna stranica

Ukoliko ste odali prevarantima svoje poverljive personalne podatke, kao i SecureCode lozinku kartice, tada ste u velikom problemu. Prevaranti su na dobrom putu da kontaktiraju banku i iskoriste ove podatke kako bi promenili broj telefona koji koristite za potvrdu i obaveštenja i dual-faktor autentifikaciju, čak može da zaključa vaš lični račun kod banke. Sve ovo rade kako bi otežali ili usporili vašu intervenciju ukoliko otkrijete da ste prevareni.

Poslednja faza phishing napada je da vas prevaranti uvere da je sve ok, kako ne bi shvatili da je u pitanju prevara i kako ne bi odmah odreagovali. Na taj način, oni dobijaju više vremena za svoje kriminalne aktivnosti. Vreme će obezbediti prikazujući vam lažnu potvrdnu stranicu.

Cilj ove "potvrdne" stranice bi bio konačno uveravanje da ste na stvarnom Apple Store-u, kako bi izbegli iznenadan kraj "transakcije". Na ovoj stranici bi trebali da obratite pažnju na URL koji mora biti vezan za Apple i mora biti siguran - HTTPS. Ovde to naravno nije slučaj.

Izgled legitimne Apple Store stranice:

Ukoliko vam se ovo desi, odmah reagujte. Još uvek imate vremena da se eventualno zaštitite od krađe posebno ukoliko prevaranti imaju nameru da prodaju vaše kredencijale nekom drugom umesto da ih sami koriste. Pozovite vašu banku koristeći broj odštampan na zadnjem delu kartice.

Stručnjaci za bezbednost iz Smarta savetuju da zaštitite vaše računare/uređaje i da redovno ažurirate svoju zaštitu.

To nije download koji ste želeli da preuzmete…

Na Google Chrome blogu objavljena je novina u Safe Browsing servisu koja će od danas štiti korisnike od malicioznih web sajtova i malicioznih preuzimanja u Chrome pretraživaču.

Novina se odnosi na proširenu zaštitu od različitih sumnjivih programa, pre svega od programa koji su predstavljeni kao korisni a u stvari vrše neočekivane izmene na računaru. Neodobrene izmene mogu biti na primer promena početne stranice u browser-u, dodavanje neželjenih alatnih traka u pretraživač ili izmene drugih podešavanja pretraživača.

Safe Browsing osim Chrome-a koriste i Firefox o Safari. Ovaj servis za zaštitu od nebezbednih sajtova, sada može da zaštiti više od milijardu korisnika interneta koji koriste ove pretraživače. Putem ovog servisa, web masteri su obavešteni da su im sajtovi hakovani, kako bi preduzeli dalje mere po pitanju zaštite.

Safe Browsing proverava URL sajta koji korisnik želi da poseti proveravajući crnu listu sastavljenu od nebezbednih sajtova koja se stalno ažurira, tako da se, ako je sajt na toj listi, blokira pristup sajtu.

Promena koju najavljuju iz Google-a znači da ćete ubuduće, svaki put kada pokušaju da vas prevare i nateraju da instalirate sumnjivi softver, videti upozorenje da je pokušaj preuzimanja blokiran.

Naravno, na vama je odluka šta ćete uraditi povodom toga. Možete odlučiti da ne poslušate upozorenje, ali će ono svakako biti od velike pomoći onima koji ne umeju da naprave razliku između legitimne, korisne aplikacije i sumnjivih softverskih paketa. Takođe, iz Google-a vas savetuju da uvek budete sigurni u izvor kada preuzimate bilo koji softver. Pogledajte Google savete koji će vam pomoći da ostanete bezbedni na netu.

 

“Policijski” ransomware-i u ekspanziji

Poslednjih dana, beleži se značajna detekcija "policijskog" malvera Kovter. U jednom danu zabeleženo je nešto manje od 44.000 infekcija uređaja, dok je u poređenju sa majskim detekcijama, broj infekcija porastao za 153% u julu mesecu. Ransomware poput ovog, su postali dominantna vrsta malvera jer kriminalcima obezbeđuju brzu zaradu bez velikog rizika. Naime, svaki uspešni napada malvera Kovter, sajber kriminalcima je donosio 1.000 dolara.


Izvor slike: securitystronghold.com

Kovter je "policijski" ransomware koji, kada inficira uređaj, pokušava da iznudi novac od žrtava tako što onemogućava korišćenje inficiranih sistema prikazujući lažno obaveštenje policije o kazni koju žrtve treba da plate zbog toga što su na internetu pregledavale nedozvoljeni digitalni sadržaj. "Kazna" koju korisnici zaraženih računara treba da plate dostiže i 1.000 dolara (748 evra). Kako je praksa pokazala, plaćanje nije uvek bilo pravilo da će sistem biti otključan i da će se vratiti njegova funkcionalnost. Tu i nastaje problem. Ukoliko ljudi shvate da plaćanje otkupa neće otključati kompjuter, to može uticati na sam koncept ransomware malvera. Ako sajber kriminalci nastave sa takvom praksom, sistem će se urušiti i ostaće bez zarade (koja je i njihov osnovni motiv).

Da podsetimo, početkom maja otkriven je i novi "policijski" ransomware za Android – Android/Koler-A. Ovaj zlonamerni program je blokirao ekran zaraženog Android uređaja i tražio je od 100 do 300 dolara za njegovo otključavanje. Obaveštenje koje prikazuje malver je prilagođeno lokaciji na kojoj se nalazi korisnik tako da izgleda kao upozorenje policije zemlje u kojoj se nalazi korisnik zaraženog uređaja. Tako je malver prikazivao upozorenja australijske, američke, britanske, austrijske, nemačke, francuske, slovenačke, turske, poljske, češke policije i policija desetina drugih država. Mobilna infekcija se aktivirala kada su korisnici pristupali određenim pornografskim sajtovima, i kada su dalje preusmeravani ka serveru hxxp://video-porno-gratuit.eu. Ovaj domen je hostovao maliciozni APK. Kada ga poseti, web sajt automatski preusmerava korisnika na malicioznu aplikaciju. Korišćenje pornografske mreže u distribuciji ovog "policijskog" malvera nije slučajnost, kako navode eksperti. Kriminalci računaju na to da će se žrtve osetiti krivim zbog toga što su tražile takav sadržaj i da će lakše platiti navodnu kaznu.


Izvor slike: sophos.com

Policijski malver Koler zarazio je više od 200.000 Android uređaja do 23. jula kada je mobilni deo kampanje prekinut i kada je server za komandu i kontrolu žrtvama počeo da šalje zahtev za deinstalaciju.

Ransomware-i za mobilne uređaje bili su na skoro svim listama pretnji predviđenih za 2014. godinu. Oni su još uvek daleko iza sofisticiranih familija ransomware-a kao što je Cryptolocker za Windows. Iako su za sada prilično jednostavni, mobilni ransomware-i su dovoljni da vam bar malo zakomplikuju život.

U slučaju malvera Koler, rešenje nije previše komplikovano a kako ono izgleda možete pogledati Booting into Safe mode.

BadUSB: Da li ćete ikad više moći verovati USB uređajima?

Na održanoj BlackHat 2014 konferenciji u SAD, jasno su dali do znanja koliko su USB uređaji nesigurni. Poznati istraživači Karsten Nohl i Jakob Lell, pričali su na temu "BadUSB – On Accessories that Turn Evil".

Kako istraživači upozoravaju, većina USB uređaja se može iskoristiti za infekciju kompjutera malverom na nančin koji ne može lako biti sprečen a ni otkriven. Detaljnije istražujući problem, došli su do sledećih zaključaka:

  1. USB uređaji (poput memori stikova, tastatura) sadrže u sebi mali kompjuter i neki firmware.
    1. Firmware je specijalni softverski program – minijaturni operativni sistem, koji kontroliše osnovne funkcije konkretnog USB uređaja
    2. Firmware je fabrički programiran na uređaj i često nije dobro zaštićen. To znači da firmware na USB memorijskom stiku može biti zamenjen zlonamernim programom koji u potpunosti može biti nevidiljiv za konvencionalne sigurnosne alate i operativni sistem.
  2. Firmware na mnogim USB uređajima može biti tajno reprogramiran bez obzira da li je uređaj bio priključen na nezaštićen računar ili ne.
    1. Reprogramiranje USB uređaja može dovesti do toga da se inače bezopasan USB uređaj počne ponašati zlonamerno.
    2. Reprogramirani uređaj, na primer, može oponašati tastaturu i kucanje na njoj i tako davati komande koje mogu, recimo, izvlačiti fajlove sa računara ili instalirati malver sa određene lokacije. Malver bi tako mogao da reprogramira i druge USB stikove koji se povežu sa kompjuterom, i na taj način delovati kao samoreplicirajući virus, upozorili su istraživači iz nemačke laboratorije.
    3. Reprogramirani USB uređaj mogao bi oponašati mrežnu karticu i promeniti DNS podešavanja kompjutera da bi preusmerio saobraćaj.
    4. Izmenjeni USB fleš drajv ili eksterni hard disk bi, kada opazi da se kompjuter uključuje, mogao instalirati malver na računaru pre pokretanja operativnog sistema.

Da bi dokazali da je ovako nešto moguće, dvojica istraživača iz SR Labs, Karsten Nol i Jakob Lel, napisali su proof-of-concept kod koji su nazvali "BadUSB", za koji tvrde da bezopasni USB uređaj može preobratiti u zlonamerni. Istraživači su razvili nekoliko proof-of-concept napada koje su prezentovali ove nedelje na konferenciji Black Hat održanoj u Las Vegasu. Istraživači kažu da nema efikasne zaštite od ovakve vrste pretnje zato što antivirusni proizvodi nemaju pristup firmwareu USB uređaja. Detekcija ponašanja se takođe pokazala neefikasno jer su maliciozni USB uređaji bili reprogramirani tako da se ponašaju kao uređaji druge vrste. Mehanizam za monitoring sistema je samo beležio priključenje USB uređaja na računar.

Istraživači kažu i da je čišćenje nakon infekcije veoma teško. Jednostavno reinstaliranje operativnog sistema ne rešava problem infekcije sa BadUSB. USB stik, sa kojim je operativni sistem reinstaliran, može biti već zaražen, kao i web kamera ili druga USB komponenta unutar računara. BadUSB može čak zameniti BIOS, kažu istraživači. To praktično znači da kada se BadUSB jednom otkrije, sve USB uređaje koji su povezani sa računarom trebalo bi smatrati zaraženim.

Pretnje kao što je BadUSB nisu samo potencijalan problem za kompjutere i laptopove. Mnogi elektronski uređaji se povezuju preko USB ili koriste USB za punjenje baterije. To znači da bi se ovakva vrsta napada mogla koristiti protiv svih takvih uređaja, uključujući i smart telefone.

Rešenje problema bi možda moglo biti u tome da USB mikrokontroleri zahtevaju da izmene firmware-a budu digitalno potpisane ili da se primeni neka vrsta hardveskog mehanizma za zaključavanje koji bi sprečavao prepisivanje firmware-a onda kada uređaj napusti fabriku u kojoj se proizvodi.

Iz Sophos-a su predložili sledeće: ugradnju na primer dugmeta koji će eletronski blokirati upis firmware-a ukoliko se to dugme lično ne pritisne. Predlog je došao na osnovu već postojećih slučaja postojanja Interlock sistema zaštite. Na primer kod motora, bezbednost je podignuta na viši nivo uvođenjem senzora koji će zaustaviti rad motora ukoliko nema vozača na sedištu.

Najava: Internet Explorer će blokirati zastarele ActiveX kontrole

Da bi održali reč i nastojali da korisnicima ispostave sigurni pretraživač, kompanija Microsoft je objavila da će od 12. avgusta 2014. godine, Internet Explorer blokirati zastarele ActiveX kontrole. Najavljeno je da će IE8, IE9, IE10 i IE11 na Windows 7, kao i IE10 i IE11 na Windows 8 biti ažurirani u redovnom mesečnom terminu, sledećeg utorka i da će ažurirani browser od tada prikazivati obaveštenje kada bude sprečen pokušaj web sajta da učita zastarele ActiveX kontrole.

Microsoft dodatke za Internet Explorer naziva ActiveX kontrole, ali oni imaju istu svrhu kao i dodaci koji rade sa drugim browser-ima. To su mali programi koji omogućavaju web sajtovima da prikazuju sadržaj kao što su video zapisi, igre, animirani sadržaj, interakciju sa trakama sa alatkama i drugo. Na žalost, mnoge ActiveX kontrole se ne ažuriraju automatski pa je veoma važno da se o tome korisnici sami staraju i tako izbegnu rizike od sigurnosnih propusta u zastarelim kontrolama koje mogu iskoristiti zlonamerni ili kompromitovani sajtovi za prikupljanje informacija, instaliranje opasnih programa ili daljinsku kontrolu nad računarom.

Prema podacima iz poslednjeg Micorosoft Izveštaja, Java propusti čine od 84,6% do 98,5% svih detekcija koje su u vezi exploit alata u 2013. godini. Ovi propusti su uglavnom ispravljeni u novijim verzijama, ali korisnici to često ne znaju. Zato će IE u početku blokirati samo zastarele verzije Jave. Internet Explorer će prikazati upozorenje koje će omogućiti korisniku da bira da li će ažurirati zastarelu Java ActiveX kontrolu ili će tog puta ignorisati upozorenje. Ukoliko odluči da ne rizikuje, korisnik treba da klikne na "Update" u upozorenju što će ga odvesti na sajt proizvođača kontrole sa koga može preuzeti najnoviju verziju.


Internet Explorer 9 through Internet Explorer 11


Internet Explorer 8

Opciono, u korporativnim okruženjima, IT administratori će imati nekoliko novih Group Policy podešavanja za upravljanje Internet Explorer-om na računarima zaposlenih, uključujući i ono kojim je moguće isključiti upozorenje kao i ono koje uklanja "Run this time" dugme čime će zaposlenima biti onemogućeno ignorisanje upozorenja. Prilikom blokiranja, korisnik će tako dobiti sigurnosno upozorenje i obaveštenje da je preuzimanje onemogućeno jer je u pitanju zastareli Apps:

Od utorka, IE će blokirati sve osim aktuelne verzije Jave. Za Java 8, to znači da će se upozorenje pojavljivati ako browser koristi bilo koju drugu verziju osim verzije Jave SE 8 Update 11, koju je Oracle objavio sredinom jula. Međutim, Microsoft se neće zadržati samo na Javi koja je već dugo omiljena meta sajber kriminalaca zbog brojnih sigurnosnih propusta. Kako su obećali iz kompanije, program blokiranja zastarelih ActiveX kontrola biće proširen. Trenutnu listu zastarelih ActiveX kontrola možete pogledati na linku - Internet Explorer version list.

Kada je u pitanju politika prema zastarelim dodacima, Microsoft kaska za rivalima, proizvođačima drugih popularnih browsera. Apple, Google i Mozilla su već implementirali blokiranje starih i potencijalno nebezbednih dodataka. Neki proizvođači browsera su otišli i korak dalje. Tako Mozilla, od verzije 26 svog browsera Firefox, koja je objavljena prošlog decembra, od korisnika traži da klikom na "click-to-play" izričito odobre pokretanje dodatka, čak i njegove najnovije verzije. I Apple od 2012. redovno ažurira svoju blok listu zastarelih Java i Flash dodataka za Safari.

Sve opasniji ransomware

Ransomware je maliciozni softver koji onemogućava pristup Vašem računaru ili fajlovima sve dok ne platite "otkup". Vremenom su ransomware-i su od relativno jednostavnih zlonamernih programa koji blokiraju ekran ucenjujući korisnike zaraženih računara, evoluirali u nešto mnogo opasnije - u kripto-malvere. Tako je SophosLabs razvrstala ransomware malever u dve glavne grupe:

  1. Malver koji enkriptuje Vaše personalne fajlove/foldere (na pr. Sadržaj iz My Documents foldera – dokumenta, slike, baze podataka, video materijale…). Fajlovi su obrisani odmah po enkripciji i na njihovom mestu možete samo naći tekst fajl sa instrukcijama za plaćanje "otkupa". Kod nekih varijanti možete videti i zaključan ekran ali je to ređi slučaj. Ovaj tip se zove "file encryptor" ransomware.
  2. Druga vrsta malvera kompletno zaključava ekran (prikazuje se slika preko celog ekrana koja blokira pristup bilo čemu drugom na računaru). Personalni fajlovi i folderi ovde nisu enkriptovani, jednostavno im ne možete prići. Ovaj tip se zove "WinLocker" ransomware.

Možete se susresti i sa "MBR ransomware". Master Boot Record (MBR) je deo hard drajva kompjutera koji omogućava operativnom sistemu boo tup. MBR ransomware menja kompjuterski MBR tako da prekida normalni boot proces i postavlja se na ekran zahtev za otkup.

Kripto malveri kao što su CryptoLocker, CryptoDefence ili CryptoWall su u poziciji da traže od korisnika mnogo novca da bi im podaci bili vraćeni. SophosLabs je objavila video delovanja CryptoLocker-a koji možete pogledati.

Nedavno je otkriven još jedan kripto-malver nazvan Critroni (CTB-Locker) koji primarno cilja na korisnike u Rusiji. Ovaj malver se oslanja na jak metod enkripcije, ali i na Tor mrežu da bi sakrio svoju komunikaciju sa serverom za komandu i kontrolu. Reč o potpuno novoj familiji malvera koja nema mnogo zajedničkog sa drugim poznatim familijama ransomwarea. Postojeći ranosmwarei, ako uopšte koriste Tor, rade to na nesofisticirani način. Oni pokreću legitiman fajl tor.exe koji je dostupan za preuzimanje na oficijelnom sajtu Tor mreže. Ovaj malver ne koristi taj fajl. Umesto toga, ceo kod potreban za implementaciju interakcije sa anonimnom mrežom je statički ukompajliran u izvršni fajl malicioznog programa i pokreće se u zasebnom (paralelnom) procesu. Još jedna osobenost ovog ransomware-a je kompresija ciljanih fajlova pre šifrovanja. Svaki fajl se premešta na privremenu lokaciju gde se se vrši kompresija pa tek onda šifrovanje. Rezultat je šifrovanje fajla sa CTBL ekstenzijom, koja sadrži servisne informacije za dešifrovanje na početku fajla. Razlikuje se u pogledu kriptografskog metoda koji koristi, jer umesto kombinacije AES i RSA algoritama, koristi jedan od najsnažnijih algoritama - ECDH (Elliptic curve Diffie-Hellman). Ovaj malver se trenutno širi preko bot mreže Andromeda koja se koristi za širenje spama sa email crvom nazvanim Joleee, koji prima komandu da preuzme i pokrene kripto-malver na zaraženom računaru.

Kako računar bude zaražen ransomware-om

Sredstvo infekcije

Kako…

Sophos savet

SPAM email

Otvaranje email priloga (attachment) iz SPAM email.

Za IT administratore:

Za krajnje korisnike (fizička lica):

  • Izbegavajte otvaranja priloga (attachment) iz mail-a koji ne očekujete.
  • Obratite pažnju na email-ove čiji prilozi ukazuju da morate brzo reagovati i brzo otvoriti attachement – bez obraćanja pažnje na izvor mail-a.
  • Proverite Vaš Sophos shield u sistemu.

    Sve je u redu Postoji problem

  • Pređite mišem preko štita i ukoliko se ne pojavi 'On-access scanning: disabled' sve je u redu.

    Sve je u redu

    Postoji problem

  • Dvostrukim klikom na Sophos štit, otvorićete program. Sa leve strane, pod "Status" panelom trebalo bi da pronađete "Last updated" datum.

    Ovaj datum indukuje kada se desilo poslednje čekiranje sa update izvorom i u sync-u.
  • Kontaktirajte Vaš IT sektor ako imate bilo kakvih sumnji i nedoumica.

Botnet

Vaš računar je već zaražen sa malverom, a da toga niste ni svesni. Tako uklučeni u botnet, malver ima svrhu "upgrade" komande koja omogućava prevarantima da ažuriraju, zamene ili da dodaju novi malver na Vaš računar.

Obezbedite da su svi vaši računari ažurirani i da im je aktivirano kompletno lokalno skeniranje ili skeniranje putem konzole.

Propust u operativnom sistemu ili softveru

Malver koristi sigurnosne propuste u operativnom sistemu računara ili u instaliranim aplikacijama.

Obezbedite da su svi vaši računari redovno ažurirani sa Microsoft zakrpama. Delovanje'Windows Update' lokalno na regularnoj bazi je veoma važno. IT administratorima možemo ponuditi Sophos Patch sa kojim možete skenirati računare i utvrditi nedostajuće OS i softverske zakrpe.

 

Šta ako…

Ukoliko ste ipak imali nesreću da budete žrtva ransomware malvera, Sophos Vam može pomoći. Neophodno je da imate barem jedan originalni fajl i kriptovani fajt, koji moraju biti identične veličine, zatim Vam treba alat u kom ćete imati administrativna prava. Još jedan uslov se postavlja, a to je da dekriptovani fajl mora biti veći od 4KB. Kada alat proveri Vaš kriptovan i nekriptovan fajt, tada će skeniranjem probati da pronađe originalni fajl i da ga povrati. Evo i koraka:

  1. Preuzmite (Download) Sophos Ransomware Decrypter Tool:
    http://downloads.sophos.com/misc/RansomDecrypter.zip
  2. Otpakujte sadržaj iz Zip-ovanog fajla u neki od Vaših foldera. Fajl pod nazivom RansomDecrypter.exe će biti ekstrakovan.
  3. Pokrenite aplikaciju RansomDecrypter.exe Pročitajte i prihvatite End-User License Agreement.
  4. Kliknite na Start Scan. Zatim će Vas pitati da locirate kopiju nekriptovanog fajla većeg od 4KB. Jednom kada je fajl lociran, trebate kliknuti Open.
    Napomena: fajl koji ste izabrali mora imati svoj kriptovan fajl.
  5. Sledeće pitanje će se tražiti kriptovanu verziju prethodno odabranog fajla. Izabrani fajl će imati format kriptovanog dokumenta locked-original filename.random 4 character extension. Kada se locira fajl, još jednom kliknite na Open.
  6. Ukoliko ste sve uspešno uradili do sad, pojaviće Vam se još jedno pitanje. Kliknite OK.
  7. Izaberite lokaciju gde bi voleli da alat skenira. Ukoliko niste sigurni gde se fajl nalazi, najbolje je da počnete sa C drajvom u My Computer.
    Napomena: Alat će namerno preskočiti lokacije gde malver ne može da kriptuje fajlove.
  8. Na kraju će Vam biti prikazano koliko je fajlova skenirano i koliko je otključano (dekriptovano). Log fajl sa rezultatima će takođe biti kreiran na istoj lokaciji gde je i alat kao RansomDecrypter-1.0.0.3-YYYY-MM-DD_HH_MM.txt.

Za više informacija o malverima i zaštiti, slobodno kontaktirajte eksperte iz Smart-a, kao regionalnog distributera Sophos proizvoda za zaštitu. Kontakt telefon je 021 47 28 200.

Razočarani programer objavio Instasheep - alat za hakovanje Instagram naloga

Stivi Grejem, programer iz Londona, koji je pre godinu dana otkrio sigurnosni propust u Instragram-u, zaprepašćen time što ga Facebook još uvek nije ispravio objavio je alat koji je nazvao Instasheep po ugledu na alat Firesheep, ekstenziju za Firefox koja je objavljena 2010. godine i koja se mogla koristiti za kompromitovanje online naloga, između ostalog i Facebook naloga.

Grejem tvrdi da je Facebook odbio da ga nagradi za informacije o propustu koji je otkrio pre godinu dana, pod izgovorom da su u kompaniji znali za problem na koji im je on ukazao. Problem je u popularnoj Instagram aplikaciji za Apple-ove uređaje jer propust na koji Grejem ukazuje može dovesti do preotimanja Instagram naloga, ako žrtva i napadač koriste istu javnu Wi-Fi mrežu.

Grejem je uspeo da presretne saobraćaj Instagram aplikacije za iOS i da dođe do kolačića sesije koji su mu omogućili da preotme nalog.

Propust nije nov jer je poznato da Instragram nije u potpunosti implementirao šifrovanu komunikaciju tako da je lako moguće presretanje kolačića sesije uz pomoć besplatnih i javno dostupnih alata i njihovo učitavanje u web browser koje omogućava napadaču pristup Instragram nalogu bez identifikacije.

Prijavljivanje na servis se obavlja preko šifrovane konekcije ali prikrivena komunikacija sa kolačićima se obavlja bez enkripcije.

Sa pristupom koji dobije na ovakav način, napadač može da radi sa nalogom sve što može i vlasnik naloga - da dodaje novi sadržaj, ostavlja komentare i unosi različite izmene. Podrazumeva se da napadač nije dobronameran, pa bi kompromitovani nalog mogao biti iskorišćen za slanje spama ili usmeravanje onih koji prate nalog na stranice sa malicioznim fajlovima. Mogućnosti za napadača su neograničene.

Stivi Grejem je objavio svoj proof-of-concept alat nakon razmene poruka sa Facebook-ovim timom za bagove. On je obavestio svoje folovere na Twitteru da je Facebook odbio da ga nagradi za informacije o bagu i najavio da je sledeći korak objavljivanje automatizovanog alata za masovno preotimanje naloga. On je rekao da misli da je reč o veoma ozbiljnom bagu i zamolio Facebook da reši ovaj problem.

Grejem se nada da će objavljivanjem alata kojim je moguće za kratko vreme preoteti mnogo Instagram naloga uspeti da skrene pažnju na problem, isto onako kako se to desilo sa pomenutim alatom Firesheep pre nekoliko godina.

Grejem nije jedini koji je ovakav problem prijavio Facebook-u. Ove nedelje, isti bag u Instragam aplikaciji za Android kompaniji Facebook koja vlasnik Instagrama prijavio je i jedan drugi istraživač, Mazin Ahmed. I njemu je iz Facebook-a odgovoreno da znaju za problem i da rade na njegovom rešenju, ali iz kompanije nisu precizirali kada će problem biti rešen.

Facebook nije komentarisao tvrdnje Stivija Grejema, ali je jedan od osnivača Instagrama, Majk Kriger izjavio da Instagram sve više koristi potpuno šifrovanje, kao i da je servis "Instagram Direct", koji omogućava deljenje fotografija manjim grupama ljudi, u potpunosti zaštićen. Razlog zbog čega se kasni sa tranzicijom na https jeste taj što Instagram ne želi da to utiče na performanse servisa, objasnio je Kriger.

Izvor: Informacija.rs

1 - 10 Sledeći
Smart d.o.o
Trg Mladenaca 5 21000 Novi Sad
Tel.+381 21 47 28 200
Fax.+381 21 47 28 200
office@smart.rs
Powered by Microsoft SharePoint