Voice Phishing na delu

Britanska kompanija za IT sigurnost i kontrolu, Sophos, upozorila je kompjuterske korisnike  da budu ekstra oprezni prilikom dobijanja email-ova koji trvrde da dolaze od strane finansijskih institucija, bez obzira koliko oni verodostojno izgledali. Mala kreditna unija, Kessler Federal, se našla u fokusu sajber kriminalaca koji plasiraju phishing email-ove. U email-u se navodno upozoravaju korisnici Kessler Federal usluga da ukoliko dobiju “Phishing upozorenje” koje traži od njih da posete web sajt i da potvrde svoje personalne podatke, da tada pozovu određeni telefonski broj i da samo na tom broju potvrde svoje podatke.

Eksperti iz Sophos-a su otkrili skoro “savršene” detalje ovog phishing napada. Naime, sajber kriminalci su koristili tekst koji se zaista koristi na legitimnom Kessler Federal web sajtu i u svoj mail su postavili legitimne URL-ove koji vode do zvaničnih stranica sa savetima. U email-u se čak nalazila i legitimna email adresa na koju se prijavljuju sve zloupotrebe. Jedine stavke koje su menjali su datum, deo teksta i broj telefona, u cilju podsticanja poziva primaoca mail-a, što nije narušavalo izgled legitimnog mail-a.

Prikaz izgleda mail-a lažnog upozorenja:

Primaoci mail-a koji su pozvali ponuđeni broj telefona iz email-a, bili su pozdravljeni glasom sa automatske sekretarice koja je pozivaoca obaveštavala da od njega neće biti traženo da da svoje lične podatke poput broja socijalnog osiguranja na primer. Tada su od pozivaoca traže informacije o broju bankovnog računa i PIN-u, što je bilo sasvim dovoljno da se bankovni računi kompletno isprazne! Novac je kasnije podignut na bankomatima ili je jednostavno prebačen na off-shore račune.

Ovo nije prvi pokušaj Voice Phishing-a (ili Vishing-a). U 2006.godini, PayPal korisnici su iskusili sličnu prevaru. Insistiralo se od primaoca mail-a da pozove telefonski broj i da potvrde svoje podatke. Pozivom na broj, javljala se automatska sekretarica koja je zahtevala da se unesu 16 cifara sa kreditne kartice: “Welcome to account verification. Please type your 16 digit card number.”

• Listen to a WAV file of the phone message (203 KB)

Kada su jednom bili uneti brojevi računa, sajber kriminalcima su bila širom otvorena vrata u krađi i ostalih informacija i ostvarivanja njihove koristi. Išli su toliko daleko da ukoliko je neko pogrešno uneo broj svog računa, pojavio bi se ponovni zahtev za novim unosom broja, što je samo povećavalo uverljivost ispravnosti pozvanog telefonskog broja.

Zaljubljivanje u Trojanca

Eksperti iz SophosLabs™-a, Sophos-ove globalne mreže centara za analizu virusa, spyware-a i spam-a, je upozorila na široko rasprostranjenu spam kampanju kojom se želi instalirati maliciozni kod tj Dorf trojanski konj. “Romantični” mail koji “širi ljubav” čini čak 8% od ukupno zaraženih mail-ova, što bi značilo da svaki 12-i mail pripada ovoj kampanji.

U Subject-u mail-a koji nosi Dorf Trojanca (poznatijeg kao Storm), mogu se naći različiti naslovi. Neki od naslova koji vas trebaju upozoriti na ovu kampanju su:

“Falling In Love with You”,
“Special Romance”,
“You’re In My Thoughts”,
“Sent with Love”,
“Our Love Will Last”,
“Our Love is Strong”,
“Your Love Has Opened”,
“You’re the One”,
“A Toast My Love”,
“Heavenly Love”.

[Read more]

Microsoft sigurnosni bilten za januar

Microsoft je objavio sigurnosni bilten za januar u kojem je sadržano dve sigurnosne zakrpe, od kojih je jedna označena kao kritična. Detalje možete saznati putem ovog linka, gde ćete pronaći i download linkove.

Top10 pretnji za kraj godine

Poslednji mesec 2007.godine je takođe prošao sa web-baziranim i email- baziranim pretnjama na Internetu. Izveštaj britanske kompanije Sophos o najzastupljenijim pretnjama tokom decembra 2007. sledi:

Top10 najzastupljenijih web baziranih pretnji izgleda sledeće:

Pozicija za Decembar	Pozicija u Novembru	Malware	Procenat
1	1	Mal/IFrame	50.8%
2	2	Mal/ObfJS	19.2%
3	Novo	Troj/DRClick	14.6%
4	3	Troj/Unif	3.0%
5	4	Troj/Decdec	2.4%
6	5	Troj/Fujif	1.6%
7	Re-entry	Troj/Pintadd	0.9%
8	Re-entry	Troj/Zlobar	0.8%
9	10	Mal/FunDF	0.6%
10	Re-entry	VBS/Haptime	0.5%
Ostalo			5.6%

Mal/Iframe, koji funkcioniše po pricipu postavljanja malicioznog koda na web stranice, i dalje ostaje na prvom mestu ove “ozloglašene” liste. Međutim, zabeležen je pad procentualnog učešća u ukupnom broju web baziranih malvera sa skoro 70% prethodnog meseca na 50,8% u decembru. Mal/ObfJS, metod koji hakeri koriste lažni JavaScript da bi zarazili web surfere, je uspešno zadržan na drugom mestu.

[Read more]

Napadi na Orkut

U posljednje vrijeme kao novu metu online napada maliciozni hakeri biraju web lokacije namenjene povezivanju Internet korisnika. Poslednji primer je propust u web servisu Orkut, Google-ovom projektu zamišljenom kao pandan MySpace-u.

Propust uspešno iskorišćava crv koji je za veoma kratko vreme uspeo da se proširi među više od 400.000 korisnika Orkuta. Prema rečima Roberta McArdlea, inženjera iz firme Trend Micro, napadi se izvode korišćenjem specijalno oblikovanog Flash objekta koji se kao poruka umeće u korisničke stranice. Autor koda je uspeo da kreira SWFObject koji poziva maliciozni JavaScript zaobilazeći Orkutove filtere, inače vrlo efikasne u odbijanju XSS napada.

Napad počinje slanjem e-maila korisnicima u kojima ih se obaveštava da imaju novu poruku u Scrapbooku. Otvaranjem sporne poruke dolazi do inicijalizacije malicioznog koda. U isto vreme, problematične poruke se umeću i u lične stranice svih korisnika iz kontakt liste. Ovde se zapravo radi o pokaznom kodu koji će prema predviđanjima postati temelj za nove slične pretnje. Google je izvestio da crv nije prouzrokovao probleme u radu Orkuta, te da je navedeni propust uspjšno saniran.

Sigurnosni propusti u isporučenim HP i Compaq notebookovima

Prema rečima sigurnosnih eksperata, preko 20 različitih modela HP prensonih računara isporučeno je sa softverom koji sadrži sigurnosne propuste, te se samim time povećava mogućnost napada na računare korisnika.

Ranjivost za koju trenutno nije dostupna zakrpa nalazi se u ActiveX kontroli u HP Info Center aplikaciji koja se isporučuje sa prenosnim računarima HP i Compaq sa instaliranim operativnimsistemima Windows. ActiveX kontrola sadržava tri sigurnosna propusta koji zlonamernom korisniku omogućavaju udaljeno izvršavanje malicioznog koda na pomenutim  računarima.

Hakeri smatraju da HP treba da vodi veću brigu o sigurnosti korisnika nego o profitu kojeg ostvaruju izdavanjem različitih softverskih patenata. Trenutno ne postoji odgovarajuća zakrpa za nove propuste, pa se korisnicima preporučuje da ne slede sumnjive linkove u e-mail porukama i da ne posećuju potencijalno maliciozne web stranice.

Kerio WinRoute Firewall-a verzije 6.4

Kerio Technologies, firma za razvoj softvera za mala i srednja preduzeća iz sfere komunikacije i sigurnosti na internetu, je objavila izlazak Kerio WinRoute Firewall-a verzije 6.4. Nova verzija Firewall-a sadrži i unapređenu verziju modula za nadgledanje aktivnosti na internetu, Kerio StaR,  koji opsežno izveštava o tome šta korisnici posećuju na internetu i ograničava “opušteno” surfovanje.

Nove mogućnosti izveštavanja Kerio StaR-a, omogućavaju pravljenje profila za svakog korisnika interneta u jednoj organizaciji. Novi raporti daju tačne informacije o tome koje sajtove zaposleni posećuju tokom dana i koliko vremena provode na tim sajtovima. Takođe, raporti daju i informacije o upitima na Google-u i ostalim pretraživačima, o download-u velikih fajlova, o aktivnostima messenger programa, kao i o multimedijalnim aktivnostima kao što su slušanje internet radio stanica ili gledanje video klipova na Youtube-u.

Uz pomoć ovakvog korišćenja Kerio StaR-a, IT menadžeri sada imaju pristup statistici i raportima i preko šifrom zaštićene web strane, a informacije koje im pruža ovakvo korišćenje Kerio StaR-a, omogućavaju pomoć pri pronalaženju najboljeg mogućeg podešavanja filtera u Kerio WinRoute Firewall-u.

Virtuelni upad u američka vojna postrojenja

Maliciozni napadači upali su u sisteme dve najvažnije američke naučne vojne laboratorije, Oak Ridge National Laboratory (ORNL) u Tennesseeju i Los Alamos National Laboratory u New Mexicu.

Hakeri su uspeli da dođu do poverljivih informacija o oko tri hiljade naučnika iz ovih ustanova. Napad je započeo slanjem phishing poruka sa malicioznim prilozima koji su verovatno bili zaraženi trojancima, te su na taj način uspeli da zaobiđu sigurnosne sisteme laboratorija.

Sigurnosni stručnjaci smatraju da korišćenje “trojanskih konja” pokazuje da su napadi bili ciljano usmereni baš na ove vojne laboratorije. Poslednje informacije vezane za napade koji su se dogodili 29.10. i 9.11. upućuju da su oni bili međusobno povezani. ORNL laboratorija je višenamenska naučna laboratorija koja se koristi u službi državne bezbednosti i vojna istraživanja, a u njoj se nalaze neki od najmoćnijih računara sveta. Los Alamos laboratorija specijalizovana je za istraživanja nuklearnog oružja.

Nove zakrpe za Windows komponente

Microsoft planira da sutra objavi čak sedam sigurnosnih zakrpa od kojih su tri rangirane kao veoma kritične, jer napadaču omogućavaju izvršavanje malicioznog koda na računaru krajnjeg korisnika. Sigurnosne zakrpe tiču se komponenti operativnog sistema uključujući DirectX, DirectShow i Windows Media Format Runtime.

Jedan od sigurnosnih propusta nalazi se u web browseru Internet Explorer u verzijama 6 i 7,  a takođe je pronađeno i nekoliko ranjivosti u novoj Windows Visti, kojoj je jedan od glavnih ciljeva bio da bude najsigurniji Microsoftov OS. Četiri sigurnosna propusta rangirana su oznakom srednjeg rizika, a nalaze se u velikom broju Windows verzija uključujući i novu Windows Vistu.

Postoji mogućnost da će se izdati zakrpa vezana za ranjivost u mogućnosti operativnog sistema Windows poznatoj kao Web Proxy Autodiscovery (WPAD), koja administratorima pomaže pri omogućavanju automatske konfiguracije proxy podešavanja.

Povećan broj malicioznog softvera

Eksperti iz kompanija F-Secure i Websense predviđaju eksponencijalni rast broja malicioznog softvera, botnet softvera, iskorištavanja propusta u multimedijskom programu QuickTime i porast broja virusa koji napadaju iPhone.

Početkom 2007. godine kompanija F-Secure imala je oko 250.000 registrovanih malicioznih programa u svojoj bazi podataka, dok je na kraju godine taj broj porastao na 500.000. To pokazuje da je F-Secure detektovao više verzija malicioznog softvera ove godine nego u prethodnih 20 godina.

Takođe, zabeležen je porast broja “trojanaca” koji kradu podatke o bankovnim računima i lozinke za online igre. U 2007. zabeležen je i trend porasta napada na Apple-ove softverske proizvode. Primećen je i velik broj krađa osetljivih korisničkih informacija, a predviđa se da će se taj trend nastaviti i u budućnosti zbog sve veće popularnosti web lokacija za socijalno povezivanje korisnika, kao i porast broja napada na web aplikacije i mobilne uređaje.

Ponovljeni propust u Windowsima

Microsoft je objavio da su računari korisnika njihovih operativnih sistema ranjivi na online napade koji iskorištavaju ranjivost u Windowsima za koju je već pre izdata zakrpa, ali se problem ponovno pojavio.

Propust se uglavnom tiče korisnika van SAD-a, a hakeri ga mogu iskoristiti kako bi preusmerili korisnike na maliciozna web lokacije. Propust je originalno ispravljen još 1999. godine, ali se  ponovno pojavio u novijim verzijama operativnog sistema Windows te je nedavno prezentovan na hakerskoj konferenciji Kiwicon na Novom Zelandu.

Sigurnosni ekspert Mike Reavey iz Microsofta tvrdi da se novi propustmanifestuje kada korisnici na određeni način konfigurišu sopstveni web browser. Problem se nalazi u načinu na koji Windows sistemi traže DNS informacije.

Teoretski mogu biti ranjive sve verzije Windowsa, ali  Microsoft je za sada izdao sigurnosnu preporuku u kojoj je objašnjeno koje su konfiguracije ranjive i koje korake treba  preduzeti kako bi se sprečila opasnost od eventualnih napada. Microsoft takođe radi na izradi odgovarajuće zakrpe.

Spyware veliki problem

Prema istraživanju Computer Technology Industry Association spyware je bio najveća sigurnosna pretnja u 2007. godini. CompTIA je anketirala preko 1000 informatičkih stručnjaka od kojih je 55% izjavilo da im je najveće probleme stvarao spyware.

Takođe su naveli da je porastao broj zaraza spywareom u poslednjih 12 meseci. Predsednik CompTIA-e John Venator je izjavio da pre nekoliko godina spyware gotovo niko nije ni spominjao kao sigurnosnu pretnju.

Osim spywarea, ispitanici su kao ostale probleme naveli manjak svesti korisnika o računarskoj sigurnosti, viruse i crve te prekoračenja ovlašćenja legitimnih korisnika sistema. 41% anketiranih izjavilo je da veliki problem predstavljaju napadi preko propusta u web browserima.

Istraživanje je pokazalo da organizacije nisu zabrinute zbog phishing pretnji i socijalnog inženjeringa. Polovina ispitanika tvrdi da njihove organizacije nameravaju da povećaju budžet za sigurnosnu tehnologiju i edukaciju administratora i korisnika.

Top10 najzastupljenijih pretnji u novembru

Sophos, kompanija za IT sigurnost i kontrolu, je objavila top10 listu najzastupljenijih malverskih pretnji i zemalja koje su prouzrokovale probleme kompjuterskim korisnicima širom sveta, tokom novembra meseca 2007.

Sophos-ova globalna mreža stanica za nadgledanje je izvestila da je old-tajmer Traxg, uspeo da dostigne visoku drugu poziciju na ovoj karti “ozloglašenih”, sa skoro 25% od ukupnog broja zabeleženih email malverskih pretnji u novembru. Pojavljivanje i visoko rangiranje ovog malvera predstavlja veliko iznenađenje, s obzirom da je ovaj malver je prvi put detektovan pre više od tri godine, u oktobru 2004. Međutim, sam vrh liste zauzima Pushdo trojanac.

Autor ovog malvera je napredovao brojnim varijantama koje u kontinuitetu objavljuje. Jedna od tih varijanti je iskoristila radoznalost korisnika elektronske pošte, koji su bili zainteresovani da pogledaju video sa nagom, mladom Američkom pevačicom Britney Spears ili nage slike popularne glumice Angelina Jolie.

Top10 lista email baziranih malware-a u novembru 2007:

1.   Troj/Pushdo	       29.3%
2.   W32/Traxg	       23.6%
3.   W32/Netsky	       17.8%
4.   Mal/Dropper          5.4%
5.   W32/Zafi	        5.0%
6.   W32/Mytob            4.8%
7.   W32/Flcss            3.3%
8.   W32/MyDoom           2.9%
9.   W32/Strati           2.8%
10.  W32/Bagle            1.0%

Ostalo               5.1%

Tokom novembra, 0,1% email-ova je nosilo maliciozni email attachment (ili 1 na svakih 1000).

[Read more]

Anti-bot operacija FBI-a “Bot Roast II”

FBI je pre par dana objavio informaciju o operaciji pod nazivom “Bot Roast II” u okviru koje je izvršeno 13 naloga za pretragu i pretres, te za poslednjih pet meseci uhapšeno je osam hakera osumnjičenih za upravljanje mrežama kompromitovanih računara.

U sklopu ove akcije uhapšeni su maliciozni računarski manipulanti koji su napravili štetu od oko 20 miliona američkih dolara i koji su kompromitovali preko milion račinara širom sveta. Akcija je bila uspešna zbog uske saradnje FBI-a, američkih tajnih službi i policije iz različitih država,  a sam direktor FBI-a Robert S. Mueller istaknuo je da su botneti veoma popularni kod hakera, jer im omogućavaju da koriste sistem trećih strana i tako sakrivaju svoje ilegalne aktivnosti na Internetu.

shematski prikaz botnet napada
Zlonamerni korisnici upotrebljavaju botnet, mrežu kompromitovanih računala, kako bi poslali veliku količinu neželjene elektronske  pošte ili pokrenuli DDoS napad na određeni server ili mrežu.

Godišnji izvještaj SANS-a

Prema SANS-ovom godišnjem izveštaju o sigurnosti danas najveće pretnje za korisnike predstavljaju web aplikacije i sigurnosni propusti u kancelarijskom paketu Microsoft Office.

Sigurnosni stručnjaci iz SANS-a tvrde da mnogi programeri ne koriste tehnike za sigurno kodiranje aplikacija za web, čime napadačima omogućavaju upad u baze podataka sa poverljivim informacijama korisnika. Izveštaj je ujedinio informacije o sigurnosnim pretnjama iz vladinih organizacija, sigurnosnih kompanija i akademskih institucija.

Izveštaj takođe naglašava da je broj ranjivosti u paketu Microsoft Office porastao 3 puta u odnosu na 2006. godinu, većinom zbog novih propusta u Excelu. Napadači maliciozne dokumente stavljaju u prilog e-mail poruka i tehnikama socijalnog inženjeringa pokušavaju da nagove korisnike da ih otvore nakon čega mogu da kompromituju njihove računare. Zabeležen je i porast web lokacija sa spyware softverom za čak 187% u odnosu na prethodnu godinu.

Nova zakrpa za Firefox

U ponedeljak Mozilla fondaciaj izdala je novu zakrpu Firefox 2.0.0.10 u kojem su ispravljena tri sigurnosna propusta. Dve ranjivosti su XSS koje omogućavaju krađu osetljivih korisničkih podataka, dok treći propust omogućuje kompromitaciju memorije računara.

Postojeći korisnici mogu novu verziju preuzeti korištenjem opcije automatskog ažuriranja, a novi korisnici je mogu preuzeti sa službenog Mozzilinog web sajta.

[Read more]

Otkriven propust u QuickTimeu

Prošlog vikenda poljski sigurnosni ekspert Krystian Kloskowski otkrio je novi sigurnosni propust u Appleovom  QuickTime softveru za reporudukciju multimedije, koji može da napadaču omogući izvršavanje malicioznog softvera na ranjivim sistemima.

U.S. CERT izdao je sigurnosnu preporuku u kojoj se navodi da je pronađena ranjivost prekoračenja kapaciteta međuspremnika u modulu QuickTimea koji obrađuje RTSP Content-Type zaglavlje. Napadač mora korisnika uveriti da otvori specijalno kreirani fajl, slanjem linka u e-mail porukama ili upućivanjem korisnika na malicioznu web lokaciju.

Ranjive su verzije QuickTimea za Windows XP, Vista i Mac OS X. Pošto je QuickTime deo Apple iTunesa, ranjivi su i sistemi na kojima je instaliran ovaj program. Sigurnosni stručnjak Elia Florio iz Symanteca tvrdi da već postoji kod za zlonamerno iskorišćenje novog propusta, dok u isto vreme ne postoji odgovarajuća zakrpa. Administratorima se savetuje blokiranje TCP porta 554 i edukacija korisnika da ne slede sumnjive linkove.

Sigurnost antivirusnog softvera

Dva sigurnosna ekspertaiz Nemačke utvrdili su da antivirusni softver može organizacijama da predstavlja veću pretnju nego zaštitu od sigurnosnih problema. Istraživači Sergio Alvarez i Thierry Zoller iz nemačke kompanije N.runs koja se bavi sigurnošću sistema tvrde da su pronašli velik broj sigurnosnih propusta u načinu na koji se skeniraju potencijalno maliciozn fajlovi.

Ovi sigurnosni propusti mogu napadaču da omoguće zaobilaženje implementirane zaštite, a često ovaj propust same kompanije koje proizvode antivirusni softver naglašavaju da implementacija njihovih proizvoda sadrži rizik neprepoznavanja malicioznog koda, dok se čak  uopšte ne spominje mogućnost kompromitovanja operacionih sistema zbog propusta u antivirusnom softveru.

U poslednje dve godine zabeležen je velik broj ranjivosti u sigurnosnom softveru, a oko 80% propusta pronašli su sami Alvarez i Zoller. 2004. proširio se crv Witty koji je iskorištavao propust u softveru za otkrivanje upada kompanijeInternet Security Systems.

Novi zloćudni IRC bot

Prošlog vikenda pronađen je novi trojanac koji koristi MSN Messenger za izgradnju mrežu kompromitovanih računara. Kako bi povećao broj konekcija na botnet, spomenuti maliciozni softver traži na kompjuteru i virtualne mašine.

Iz sigurnosne kompanije Aladdin tvrde da se nova pretnja pojavila u nedelju, te da se botnet u početku sastojao od servera i 500 kompromitiranih računala. Nakon tri sata broj kompromitovanih računara u botnetu narastao je na nekoliko hiljdada i dalje raste do nekoliko stotina na sat.

Novi trojanski konj je zapravo IRC (Internet Relay Chat) bot koji se širi preko MSN Messengera na listu kontakata korisnika. Spomenuti trojanski konj šalje se u .zip datoteci i pokušava da skenira virtualne mašine kako bi povećao broj botova sa kojih se može slati spam ili pokrenuti DDoS napad. Statistika pokazuje da je ove godine zabeleženo 80% više napada putem sistema za trenutnu razmenu poruka nego u istom razdoblju prošle godine.

Poslovnim korisnicima je dostupna nova, poboljšana verzija F-Secure Client Security-ja 7

F-Secure korporacija danas je objavila da je poslovnim korisnicima dostupna nova, poboljšana verzija sigurnosnog rešenja za korporativne PC-jeve. F-Secure Client Security 7.1 je jedinstven po tome što kombinuje proaktivnu zaštitu zasnovanu na analizi ponašanja sa tradicionalnom antivirusnom zaštitom baziranom na potpisima, a sve to praćeno najbržim odzivom na tržištu pri isporuci ažuriranih baza virus definicija. Ova kombinacija garantuje najbolju moguću zaštitu korporativnih radnih stanica kako protiv virusa, tako i protiv raznih novih, još nepoznatih, pretnji. F-Secure Client Security je namenjen kompanijama svih veličina, od pet računara pa do više hiljada radnih stanica.

F-Secure Client Security 7.1 odlikuju sledeća poboljšanja:

Poboljšana proaktivna zaštita
F-Secure DeepGuard i Blacklight tehnologije štite korisnike od novog, još neotkrivenog malware-a kao i od skrivenih pretnji poput rootkit-ova. F-Secure Client Security 7.1 sadrži novu verziju DeepGuard sistema, koji korisnicima pruža još veći nivo proaktivne zaštite nego ranije.

Poboljšane performanse
Verzija 7.1 je optimizovana, tako da koristi manje sistemskih resursa u odnosu na ranije verzije, čineći je tako bržom i “lakšom“ po sistem.

Podrška za Windows Vistu
F-Secure Client Security 7.1 podržava Windows 2000, Windows XP i Windows Vista (32-bitni) operativne sisteme.

[Read more]

Next Page »