понедељак, 4. фебруар 2019.

Novi pokušaj mejl prevare - maskiranje u adrese banaka


Posljednjih dana, poslovni sistemi, pogotovo bankarski, i sve kontakt mejl adrese objavljene na sajtovima, na meti su napadača koji su svoje adrese maskirali u adrese banaka, a u prilogu nude nešto kao izvod, izvještaj i slično.
Fajlovi u prilogu su najčešće naizgled .pdf fajlovi, ali iza njih se kriju zapravo .ISO .EXE i .SCR fajlovi.

Ukoliko organizacija nema neko  Sandbox rešenje ili atimalver rešenje na mejl serveru, dobro je razmisliti da se ovakve ekstenzije zabrane na samom mejl serveru, prije spuštanja u mejlbox korisnika, ili da se preusmjere na adresu na kojoj će biti prethodno provjerene.
U svakom slučaju, opreza nikad na odmet, dobro provjerite da li zaista očekujete neku poštu od te banke, i da li je to uobičajen format poruke.
Dosad, u posljednje dvije sedmice, vidjela sam slučajeve prevare u kojima su korišćene  ( inače regularne i postojeće) adrese Eurobank, Addiko, Intesa, Unicredit i Sberbank, a pravi pošiljalac je bio u Kini, Litvaniji, Ukrajini, pa čak i Njemačkoj.
Pored ovakvih pokušaja, česti su i oni manje sofisticirani, gdje mejl ostaje nemaskiran, ali se u naziv poruke ubaci naziv neke banke.
Takvi mejlovi zadnjih sedam dana stižu sa adrese info@dornier.com (ponovo kompromitovan domen).

Primjer mejla kako izgleda header:










A u stvari je:



четвртак, 21. децембар 2017.

Metodologija procjene CVSS v3.0.


U prethodnom tekstu o upravljanju ranjivostima, pomenula sam metodologiju računanja CVSS.


izvor www.first.org


Procjena CVSS indeksa za neku ranjivost radi se prema prihvaćenoj metodologiji koja je Open-source standard.  Aktuelna verzija (2017.) je CVSS v3.0.
Ranjivost se procjenjuje sa tri aspekta, baznog, vremenskog i u odnosu na okruženje: Base Metrics, Temporal Metrics, i Environmental Metrics.
Razvijen je kalkulator koji dobijene vrednosti svodi na  Base Score, Temporal Score i Environmental Score, brojeve 0-10, što su indeksi ranjivosti.

Metrike, tj. elementi svakog od njih koji se boduju su sljedeći:


Base Metrics

Attack Vector (AV) – vektor napada – označava koliki je opseg napada kad je u pitanju pristup. Network ukazuje da je to mreža, odnosno internet, adjacent ukazuje na susjedni uređaj (bluetooth ili IR veza npr.), local je kad je napad iz lokalne mreže, dok physical ukazuje na neophodno fizičko prisustvo napadača na mjestu napada .
Base score raste što je veća fizička i logička udaljenost napadača od mjesta ranjivosti.

Attack Complexity (AC) – radi se o kompleksnosti napada, odnosno o uslovima koje napadač mora da ispuni da bi pristupio ranjivom mjestu. Ukoliko ne može da pristupi ranjivosti kad hoće, kompleksnost je velika, a ako može da pristupi i iskoristi je bez mijenjanja difoltnih setovanja kompleksnost je niska.
Međutim, Base score je veći što je kompleksnost napada manja.

Privileges Required (PR) – da li se traže privilegije – opisuje nivo privilegija koje mora imati napadač da bi pristupio i iskoristio ranjivost.
Ako se zahtijevaju administratorske privilegije i autorizacija je obavezna, vrijednost je High. Ukoliko se traži autorizacija, ali ne i administratorske privilegije imamo Low, a ako se ne traži ni autorizacija onda None.
Base score je veći što manje privilegija je potrebno.

User Interaction (UI) – interakcija korisnika- vrijednost koja kazuje da li je potrebna neka akcija korisnika da bi se napad realizovao. Ako je odgovor da, vrijednost je Required, u protivnom None.
Base score je veći tamo gdje se ne traže akcije korisnika.
Scope (S) – opseg. Da bismo odredili ovo moramo  razlikovati ranjivu komponentu i pogođenu komponentu sistema. Ranjiva komponenta je autorizovani opseg koji sadrži ranjivost a pogođena komponenta je autorizovani opseg koji biva pogođen kad se ranjivost iskoristi. Pitanje je da li su oni isti. Ako jesu, opseg je Unchanged (napadač ne može pogoditi domen različit od onog gdje je ranjivost), u protivnom je Changed (iskorišćavanje ranjivosti može pogoditi i domene različite od onoga gdje je ranjivost – npr. ranjiovost na serveru pogađa browser korisnika).
Base score je veći tamo gdje imamo promjenu opsega.

Confidentiality (C) – posmatra se narušavanje povjerljivosti, odnosno koliko pristupa poverljivim informacijama može ostvariti napadač kad iskoristi ranjivost.
Ako nema uticaja na poverljivost, vrijednost je None. Ukoliko napadač naruši poverljivost, ali ne može pristupiti svim podacima već samo nekim, ili podaci kojima pristupi nisu osjetljivi podaci, vrijednost je  Low. Ukoliko napadač može pristupiti svim podacima, ili osjetljivim podacima, vrijednost je High.
Base score je veći što je više podataka otkriveno neovlašćenoj osobi.

Intergrity (I) posmatra se narušavanje integriteta, odnosno koliko podataka može promijeniti napadač kad iskoristi ranjivost.
Ako nema uticaja na integritet, vrijednost je None. Ukoliko napadač naruši integritet, ali ne može izmijeniti sve podatke već samo neke, ili podaci koje može da promijeni nisu osjetljivi podaci, vrijednost je  Low. Ukoliko napadač može promijeniti sve podatke, ili osjetljive podatke ( na primjer lozinke!) , vrijednost je High.
Base score je veći što je za više podataka moguće narušiti

Availability (A) posmatra se raspoloživost, odnosno da li napadač iskorišćavanjem ranjivosti može učiniti resurse odnosno podatke nedostupnim. Ako nema uticaja na raspoloživost vrijednost je None. Ukoliko napadač utiče na raspoloživost, ali ne može u potpunosti sprečiti pristup, ili podaci koje je učinio nedostuipnim nisu kritični, vrijednost je  Low. Ukoliko napadač može potpuno onemogućiti pristup sistemu, ili pristup osjetljivim podacima, vrijednost je High.
Base score je veći što je više podataka što je veće moguće narušavanje raspoloživosti.

Temporal Metrics

Temporal metric mjeri trenutno stanje tehnika eksploita ili dostupnost koda, postojanje bilo kakvih zakrpa ili workaround rešenja, kao i poverenje koje se ima u opis ranjivosti.
Očekuje se da će se ove “vremenske” mjere vremenom mijenjati i možda će se trebati prilagoditi nakon što informacije i zakrpe postanu dostupne.
Sve Temporalne metrike imaju podrazumevanu vrednost Not Defined, koja se koristi kada nemamo dovoljno informacija da bismo izabrali određenu vrednost ili ne želimo da koristimo metriku. Ako se izabere Not Defined, dobija se isti rezultat kao što bi proizveo odabir najgore vrijednosti za metričku vrijednost, na primjer, vrijednost koja vodi do najvećeg rezultata.
Temporal Score podrazumeva isti rezultat kao i Base Score, a odabirom vrijednosti koje nisu podrazumijevane smanjuje se rezultat. Temporal Score nikada ne može premašiti Base Score.

Exploit Code Maturity (E) - mjeri vjerovatnoću ranjivosti koja se eksploatiše i obično se zasniva na trenutnom stanju tehnika eksploatacije, dostupnosti koda eksploita ili aktivnoj eksploataciji "in situ". Javna dostupnost jednostavnog eksploatacionog koda povećava broj potencijalnih napadača tako što uključuje one koji su nekvalifikovani, čime se povećava ozbiljnost ranjivosti. Dostupni eksploatacijski kod može napredovati od demonstracije dokaza (Proof-Of-Concept) preko eksploatacionog koda koji je uspješno izvršen (Functional). U teškim slučajevima (High), može se ispoljiti kao nosilac mrežnog crva ili virusa ili drugih automatskih alata za napad.

Remediation Level (RL) – nivo remedijacije . Tipična ranjivost nije pečovana kad se tek pojavi. Najprije se pojave workaround i hot fix rješenja, a zatim i zvanični, Official Fix. Što je pouzdaniji način rješavanja, to je i nivo veći.

Report Confidence (RC) - mjeri stepen povjerenja u postojanje ranjivosti i kredibilitet poznatih tehničkih detalja. Ponekad se objavi samo postojanje ranjivosti, ali bez posebnih detalja (Unknown). Na primjer, uticaj može biti prepoznat kao nepoželjan, ali osnovni uzrok (root cause)  možda nije poznat (Reasonable). Ranjivost može kasnije potkrepiti istraživanjem ili putem priznanja od strane autora ili proizvođača ugrožene tehnologije (Confirmed). Hitnost je veća kada se sa sigurnošću zna da postoji ranjivost. Skor je veći što je vjerodostojnija potvrda ranjivosti od vendora ili drugih renomiranih izvora.

Environmental Metrics
Dok vremenske metrike mjere karakteristike ranjivosti promjenjive u vremenu, Environmental metrike posmatraju ranjivosti u odnosu na okruženje, odnosno kako se neka ranjivost ispoljava u tom određenom, jedinstvenom okruženju korisnika.
One omogućavaju analitičaru da prilagodi CVSS rezultat u zavisnosti od važnosti utjecaja IT sredstava na organizaciju korisnika, mjeren u smislu komplementarnih/alternativnih bezbjednosnih kontrola koje su primjenjene i relativnog značaja povjerljivosti, integriteta i raspoloživosti. Metrike su modifikovani ekvivalent bazičnih metrika i dodeljene su vrednosti zasnovane na poziciji komponenti u organizacionoj infrastrukturi.
Prve tri metrike dozvoljavaju promjenu relativne važnosti poverljivosti, integriteta i raspoloživosti. Podrazumijevano, sva tri imaju jednaku težinu, ali posebna okruženja mogu staviti više značaja na održavanje povjerljivosti ili integriteta informacija ili na raspoloživost usluge. Npr. postavljanje Confidentiality Requirement na High povećava utjecaj različitih vrijednosti povjerljivosti na ukupan Environmental Score. Ovo je takođe slučaj za metričke zahteve za integritet i potrebama za dostupnošću.

Puni efekat na  Environmental Score određen je nadalje korespondirajućim modifikovanim metrikama iz  prve tabele Base metrics. Drugim riječima, možemo modifikovati bazne metrike s obzirom na naše specifično okruženje, odnosno kritičnost resursa koji su potencijalna meta ukoliko se ranjivost iskoristi.
Uobičajeno je da Environmental Score bude niži od Base Score, jer ovdje korigujemo vrijednosti procjene za dijelove infrastrukture koji nisu kritični za nas, a nose veliki Base Score.

Vector String
U nekim slučajevima korisno je, pored numeričkog indeksa ranjivosti imati i tekstualnu reprezentaciju baznih, vremenskih i metrika okruženja. Svi rezultati mogu biti mapirani na kvalitativne ocene definisane kroz prethodne tabele.
Kao primjer, uzmimo da je CVSS sa baznim skorom od 4.0 , što je ranjivost srednje težine.
Korišćenje pojedinačnih kvalitativnih ocena ozbiljnosti ranjivosti je neobavezno i ne postoji potreba da se one uključe prilikom objavljivanja CVSS rezultata. Namijenjeni su da pomognu organizacijama da pravilno procijene i daju prednost prioritetima u procesu upravljanja ranjivostima.

U verziji CVSS v3.0 data je i je tekstualna reprezentacija skupa CVSS metrika i koristi se za čuvanje ili prenošenje CVSS metričkih informacija u konciznoj formi.
Vektorski niz verzije 3.0 počinje sa oznakom "CVSS:" i numeričkom prikazom trenutne verzije "3.0".
Metričke informacije slijede u obliku skupa metrika, pri čemu  svakoj metrici prethodi kosa crta, "/",  kao razdjelnik.
Svaka metrika se sastoji od imena u skraćenom obliku, dvotačke i njegove pridružene vrijednosti u skraćenom obliku.
Obično se ovakav vektor pravi za bazne metrike, rjeđe za  vremenske ili metrike okruženja.
Primjer vektora:
CVSS:3.0/AV:N/AC:H/PR:L/UI:R/S:U/C:N/I:L/A:H

Kalkulatori za ovu svrhu,  (LINK)  pored numeričke vrijednosti obično ispišu i vektor:


Upravljanje ranjivostima

Upravljanje ranjivostima ili Vulnerability management  je veoma važna funkcija u upravljanju bezbjednošću u informacionim sistemima

Ranjivost (Vulnerabillity) – osobina sistema koja čini sistem nebezbjednim, ranjivim, koja omogućava da se sistem napadne i iskoristi u zlonamjerne svrhe. To je bezbjednosni propust na sistemu. Definiše se kao presjek tri elementa: osjetljivosti sistema zbog neke manjkavosti, mogućnosti napadača da pristupi toj manjkavosti i mogućnosti napadača da iskoristi tu manjkavost.

Exploit –  program koji može da iskoristi ranjivost kako bi narušio neku od tri osobine bezbjednosti: raspoloživost, integritet ili poverljivost. Svi napadi na računarske sisteme u osnovi koriste neki exploit. Ne postoji exploit za svaku pronađenu ranjivost. Ova činjenica je veoma važna i može da nam pomogne u efikasnijoj zaštiti sistema.

CVE (Common Vulnerabilities and Exposures) - je spisak zajedničkih identifikatora za poznate ranjivosti  u sajber bezbjednosti. Upotreba identifikatora CVE-a ili "CVE ID-ova", koje dodeljuju CVE-ovi autoriteti iz čitavog svijeta, osigurava pouzdanost među stranama kada se koriste za diskusiju ili dijeljenje informacija o nekoj ranjivosti softvera ili firmvera, pruža osnovnu vrijednost za evaluaciju i omogućuje razmjenu podataka za automatizaciju sajber bezbjednosti.

CVSS (Common Vulnerability Scoring System) – okvir za ocjenu ozbiljnosti ranjivosti na sistemu. CVSS koristi algoritam za određivanje tri težine: Base, Temporal i Environmental. Rezultati su numerički; oni se kreću od 0.0 do 10.0 gde je 10.0 najveća ranjivost.
Base CVSS je metrika na koju se najviše oslanjaju preduzeća i bavi se s inherentnim osobinama ranjivosti. Temporal rezultati predstavljaju karakteristike ranjivosti koja se vremenom mijenja, a Environmental  predstavlja osobine ranjivosti koje su specifične za okolinu pogođenog korisnika.
CVSS dozvoljava organizacijama da prioritizuju koje ranjivosti će prvo popraviti i procijeniti uticaj ranjivosti na svoje sisteme. Mnoge organizacije koriste CVSS, a  američka Nacionalna baza podataka (NVD) daje rezultate za najpoznatije ranjivosti. Prema NVD-u, osnovni rezultat CVSS od 0,0 do 3,9 smatra se "niskom" težinom (Low); bazični CVSS rezultat od 4.0-6.9 je "srednja" (Medium); i bazni rezultat od 7.0-10.0 je "visoka" (High) ozbiljnost.

Danas je aktuelna Metodologija procjene CVSS v3.0 , mada mnogi sistemi još uvijek koriste prethodne verzije.

Zašto je ovo važno?
Baratanje ovom veličinama (što sam objasnila u posebnom tekstu) , pomaže nam da definišemo upravljanje ranjivostima, i kriterijume na osnovu kojih će se planirati preduzimanje akcija. Možemo reći da npr. sve ranjivosti čiji je CVSS veći od 5 moraju biti odmah sanirane.
Ove brojke nam takođe pokazuju gdje smo i koliko ranjivi, i pomažu u procjeni rizika.
Ranjivosti u organizaciji možemo pratiti na više načina, najčešća su dva:

1.      Manuelno praćenje pretnji i ranjivosti (praćenje preporuke i upozorenja izdatih od vendora i specijalizovanih agencija)


2.      Automatizovano praćenje ranjivosti ( korišćenje specijalnih sistema predviđenih da skeniraju mrežu i radno okruženje i izvještavaju o ranjivostima. Neki od ovih sistema nude i mogućnost virtuelnog pečovanja pronađenih ranjivosti.


недеља, 10. децембар 2017.

Još jedan pokušaj prevare putem mejla - OPREZ!

Decembar je mjesec kad su mejlovi obično zatrpani, i to je uzrok što pažnja može da popusti, pa se klikne i na nešto što ne bi trebalo.
Posebno treba da budu oprezni korisnici poslovnih mejlova.

Ovih dana na mejl adrese preduzeća u Srbiji i BiH stiže neobičan mejl, u kome ih navodni izvršitelj Ivan Azeljković , Firma Adria doo obavještava o preuzimanju njihovog potraživanja. U prilogu je Word dokument navodnog rješenja, a u njemu link ( naravno, maliciozan FinSpy koji koristi exploit Flash playera)

Primjer mejla:


Primjer fajla:


Još jedan mejl od istog pošiljaoca: ( izvor: Dragan Milosavljević)



U BiH, takođe :

 https://forum.klix.ba/azeljkovic-ivan-t148647.html


Hvala Miodragu Ristiću, vlasniku preduzeća Deto doo što je na svom fejsbuk profilu podijelio slučaj sa svima i upozorio javnost!

Važno je da svu poslovnu poštu pažljivo posmatrate, nemojte plaćati račune za koje ne znate na koje se usluge odnose, preduzećima za koja prvi put čujete, ne nasjedajte na "sudska rješenja" iz postupaka o kojima ništa ne znate, ukoliko dobijete bilo kakvu izmjenu instrukcije za plaćanje, telefonski provjerite sa poslovnim partnerom!

I najvažnije: nemojte kliknuti na link u sumnjivom mejlu!
Čak i kad vam se čini da se ništa nije dogodilo, napadač je možda na vaš računar ili telefon instalirao špijunski program koji prati sve vaše aktivnosti.


Ovakve i slučne slučajeve možete prijaviti odeljenju za visokotehnološki kriminal: vtk@beograd.vtk.jt.rs


Najvovija vijest (11.12.2017.) CERT Republike Srpske izvještava da se ipak radi o ransomveru:

PROČITAJ ČLANAK 


недеља, 18. децембар 2016.

Phishing preko Facebook Community stranice?

U nedjelju, 18.decembra, oko 19 časova dobila sam na stranicu kojoj sam editor notifikaciju sa fejsbuk stranice "Safety Page", odakle su se slale notifikacije raznim stranicama sa teritorije Srbije i Crne gore, ne profilima, već stranicama tipa “Page”  o tome kako će fejsbuk nalog biti blokiran, ako se ne potvrde kredencijali.

Poruka je izgledala ovako:

Odnosno, kad se otvori: (malo neobično ovo "a" u Safety, zar ne?)

Klikom na link dolazi se do naizgled regularne Facebook stranice podrške   https://www.business.facebook.com/ zapravo to je „community stranica“ visokog kredibiliteta,
(i to je ono što najviše buni, mada postoji i legitimna,  koju kontroliše kompanija Facebook  https://www.facebook.com/business/ ) ,
gdje se u zapisu tipa "Note" kaže da je nalog prijavljen zbog narušavanja politike i pravila fejsbuka, i da će biti ugašen ukoliko se ne „oporavi“ u roku 24 sata, pa onda opet ide link.
Definitivno, sve poslate notifikacije raznim stranicama se usmjeravaju ovamo.


Prvi je problem, ako je prijavljeno zbog sadržaja, zašto onda nije naveden taj sadržaj? I zašto se traži da se oporavi „account“ , kad se radi o stranici koju administrira neko sa ličnim nalogom.
Notifikacija je stigla na stranicu ("page"), a ne na lični profil,  i dobiju je svi administratori i editori te stranice, što znači da svaki može da se "upeca" i ostavi podatke - negdje.
Klikom na link stvari postaju jasnije:
Ovo je mjesto  gdje nipošto ne želite da se prijavite:



Odnosno:
Upisivanjem neke nepostojeće adrese:
Otvara se sledeća strana, i traži se, naravno, broj kreditne kartice, kao podatak za autentifikaciju :):



E sad, kako je napadač sa stranice facebook zajednice https://business.facebook.com/   uspio da objavi legalan link na phishing http://reprt-cust-recvery.esy.es/  i meni ostaje tajna.
Izgleda da je slaba kontrola ko tu šta može da objavi.

Jedini odgovor je da je zloupotrebljena stranica Facebook zajednice, što je vrlo neozbiljno. I zašto su se obrušili na stranice iz Srbije i Crne Gore?

Evo, ovo je prikaz jednog klasičnog phishing algoritma.

Kad budu prijavljeni, i kad im se blokiraju ove stranice, oni će otvoriti novi, i tako u nedogled... vremena imaju, model imaju, a i sjede vjerovatno u nekoj od zemalja gdje se ovo ne kažnjava ...

Zato, oprez: Regularni sajtovi vam nikad, ali NIKAD neće tražiti da se registrujete na nekom sajtu van njihovog domena, i definitivno NIKAD broj kreditne kartice za verifikaciju naloga.



уторак, 25. октобар 2016.

DDoS ponovo napada ili zašto je u petak pao Twitter?

Oktobar je bio mjesec DDoS-a. Taman kad se činilo se da će se ovaj napad povući pred agresivnijim i isplativijim ransomverom i polako otići u tehnološku istoriju ( jer mu motiv nije bio novac, i ne obezbjeđuje brzu i laku zaradu), u junu ove godine pojavila se serija DDoS napada na institucije finansijskog sektora, centralne i poslovne banke. Vraćanjem DDoSa u fokus postalo jasno da ovo više nisu napadi sa samo jednim ciljem: oboriti nekome sajt i onesposobiti servise, već da se često dešava i da je DDoS samo paravan za upad u sistem „na zadnja vrata“ (dok se domaćini bave podizanjem sajta)  i krađu podataka, a zatim i iznuđivanje novca.

fotografija preuzeta sa crebsonsecurity.com
Šta je DDoSNajkraće rečeno, to je organizovana mreža (botnet) računara (botovi), koji i ne moraju znati da su u mreži što znači može biti bilo koji računar na svijetu, dovoljno da mu se na prevaru ubaci komadić koda, i koji organizovano i istovremeno napadaju (šalju zahtjev) na određenu adresu, odnosno servis. Kad je taj napad dovoljno velik, servis ne može izdržati toliko zahtjeva, tj. ne može dovoljno brzo generisati odgovore, servis pada. Šta je to dovoljno veliki broj zahtjeva? Pa, recimo da su to napadi (istovremeni zahtjevi prema serveru) intenziteta od nekoliko Gbps. Botnet može imati 100, ali i 50.000 računara "na zadatku". 

Postoje uređaji kojima se može braniti od DDoS napada, ali njihovi dometi su uglavnom od jednog do nekoliko desetina Gbps, (računalo se da je 10Gbps sasvim respektabilna granica zaštite), tako da je septembarski napad kojim je oboren sajt kompanije Krebson Security od 629 Gbps zapravo bio neodbranjiv.

Taj, kao i najnovija serija velikih DDoS napada, koji su premašili intenzitet onog na Krebson, pokazao je još jednu važnu stvar: da treba pod hitno inovirati definiciju DDoS-a.

Dakle, botnet nije mreža računara, već uređaja sa IP adresom. Bot može biti bilo šta što ima IP adresu (IoT) i neki, makar i najprimitivniji softver. Malver pod nazivom Mirai je jednostavan kod koji može da se pokrene bukvalno na svakoj stvari povezanoj na Internet. Dokazano. Više puta u posljednjih mjesec dana.

Moja prva misao kad sam za vikend čula za napad na DNS provajder Dyn, što je uzrokovalo pad Twittera, Netflixa i još nekoliko svjetski poznatih servisa je da to nije djelo hakera. (Skromno dodajem, Džon Mekafi dijeli moje mišljenje).  Američka administracija brzo se oglasila da se ne radi o državno vođenom napadu, već je to djelo vandala, a budući da im se baš nije povjerovalo, onda se kao država koja stoji iza toga označila – Sjeverna Koreja.

Bilo kako bilo, ipak mislim da je ovo bila jedna vaspitna ćuška IoT tehnologiji, tj.  proizvođačima uređaja koji se kače na Internet, da malo uspore i da bolje zaštite svoje proizvode. Jer, s obzirom na rizike IoT  na koje se upozoravalo, a proizvođači se oglušili, morala se napraviti jedna javna provjera ranjivosti. Nije čak bila ni teška za izvesti, vrata IoT svijeta nisu bila zaključana.

Nakon ovoga, današnja vijest je da kineska kompanija Hangzhou Xiongmai, povlači sa tržišta milione sigurnosnih kamera prodatih u SAD, jer se ispostavilo da je njihov softver za povezivanje sa uređajem za snimanje i čuvanje zaražen Mirai virusom. Za očekivati je da se u danima koji dolaze objelodani još ovakvih proizvoda, ali vrlo vjerovatno i ponovi još ovakvih i sličnih napada. 

недеља, 17. јул 2016.

Pokemon, Oops!


Od svoje pojave, igrica Pokemon Go, ima vrlo ozbiljnih “sudara” sa bezbjednošću i privatnošću, od kojih neki i nisu sasvim “virtuelni”.




 foto izvor:gameranx



Ne bih nikom da kvarim zabavu, ali koliko se svijet usijao ovih dana oko jurenja Pokemona, toliko su se i mejl inboksi nas koji se bavimo bezbjednošću usijali od upozorenja.

Dakle, svjetski  hit, igrica Pokemon Go ima i svoju drugu stranu, i mislim da je bitno znati je.
Nova pomama desila se u vidu smartfon aplikacije jedne od virtuelih stvarnosti, tzv “augmented reality” aplikacije zvane Pokemon Go!  Radi se o lokacijski osjetljivoj, geo-keširanoj  igrici, što znači da se koriste stvarne lokacije.

Stvar je u  tome da igrica šalje ljude na ulicu, da pokušaju da uhvate virtuelno stvorenje, Pokemona, na stvarnim lokacijama (zvanim Pokestops), a onda uhvaćenog Pokemona mogu da treniraju za “borbu”, ali i trguju sa njim.
Pretpostavljate na šta to liči: ko ne vjeruje neka izađe na Knez Mihajlovu, ili neku vama najbližu frekventnu ulicu. Ako vidite gužvu na nekom mjestu i puno ljudi koji zure u telefone – tu se pojavio Pokemon.
Mnogo riskantnija situacija je kad se Pokemoni hvataju vozeći automobil, ali izgleda da je i to počelo. Sinoć sam vozila iza mladića koji je vrludao kroz sve tri trake buljeći u telefon, na Bulevaru pored Juge.

Već se čini dovoljno uvrnuto? Čitajte dalje, ovo je još uvijek zabavni dio. Najluđe tek dolazi.

Vrtoglavi uspon ove igrice i njeno brzo širenje planetom nose i svoje rizike: Čim se pojavila, igrica Pokemon Go, imala je vrlo ozbiljnih “sudara” sa bezbjednošću i privatnošću, od kojih neki i nisu sasvim “virtuelni”.

Prvo: Pljačka
U ovoj igri, igrači se mogu sresti u stvarnom životu, na stvarnoj  lokaciji Pokestop, i organizovati “borbu” svojih Pokemona.  Pljačkaši koriste ovu opciju da ljude bukvalno “odvuku” iz stana ili automobila i ostave ih praznim, dok džeparoši to koriste da naprave vještačku gužvu ljudi fokusiranih na nešto drugo, što im olakšava posao. Policija u SAD već ima dosta posla ove vrste.
Naravno, tu su i sve ostale varijante koje neko može iskoristiti znajući vašu stvarnu lokaciju.

Drugo: Problem prijave preko Google naloga
Stručnjaci već danima upozoravaju na ozbiljne bezbjednosne propuste ukoliko se na igricu prijavljujete sa svog Google ili Apple naloga. Bezbjednosni propusti omogućuju da vaš nalog bude otvoren zlonamjernim napadačima.

Treće: Aplikacje zaražene Trojancima
Budući da originalna verzija igre nije dostupna svuda u svijetu, hakeri su se brzo (u roku od 72 sata od prve pojave igrice na Play Storu) dosjetili da u oficijelnu verziju podmetnu virus trojanac, te da ponude to kao pravu verziju igrice nekim drugim kanalima distribucije za sve one koji je ne mogu naći na Play Store lokaciji. Ovaj trojanac je urađen tako da omogući pristup alatu  DroidJack – poznatom i kao  SandroRAT, što napadaču daje mogućnost da preuzme potpunu kontrolu nad telefonom žrtve. Najgore je što se na raznim gejmerskim forumima daju uputstva kako instalirati igricu upravo sa takvih “trećih” lokacija, koje distribuiraju upravo ovu, zaraženu verziju.
Posebno je opasno ukoliko se zaraženi telefon nalazi u korporativnoj mreži ili se sa njega pristupa poslovnim podacima, jer kontrola nad telefonom preko alata DroidRack podrazumjeva i pristup mrežnim uređajima.

Za provjeru, idite u Settings->Apps->PokemonGo i provjerite odobrenja. Ukoliko aplikacija traži nešto od sljedećeg: direktno pozivanje telefonskih brojeve, čitanje SMS poruka, snimanje zvuka, čitanje istorije pretraživanja, modifikovanje i čitanje kontakata, čitanje i ispisivanje istorije poziva i promjena parametara mreže - momentalno je deinstalirajte!
Drugi način (za one nepredne) je da uporedite SHA-1 hash na vašoj igrici sa onim na zvaničnoj. Hash je dugački niz znakova dobijen iz sadržaja fajla, i ukoliko je sadržaj izmijenjen i samo u jednom bitu, hash neće biti isti.

Četvrto, ali takođe važno je psihološki uticaj ove igrice. Virtuelne stvarnosti, pogotovo za djecu i adolescente mogu biti opasne, i granica je tanka. Ukoliko se sve dešava u realnom vremenu i na stvarnim lokacijama, te dovodi do stvarnih susreta sa, do tada nepoznatim ljudima, izazovi su još veći. O ovome u nekom od narednih tekstova ...