Witajcie w 2019,\u00a0kt\u00f3ry rozpoczynamy od zestawienia gor\u0105cych news\u00f3w o nowych gro\u017anych cyberatakach i lukach bezpiecze\u0144stwa, za kt\u00f3rych \u0142atanie – je\u015bli dotycz\u0105 Waszych system\u00f3w – warto bra\u0107 si\u0119 od razu po lekturze.<\/p>\n
<\/p>\n
<\/a>1. Ransomware JungleSec atakuje przez luk\u0119 w protokole IPMI<\/b><\/p>\n Od pocz\u0105tku listopada wirus atakuje serwery dzia\u0142aj\u0105ce w \u015brodowiskach Windows, Linux i Mac. Za odszyfrowanie zaj\u0119tych plik\u00f3w \u017c\u0105da 0,3 Bitcoina, kt\u00f3rych op\u0142acenie niestety nie pomaga odzyska\u0107 zasob\u00f3w ofiary. Zagro\u017cenie atakuje przez niezabezpieczony protok\u00f3\u0142 IPMI (Inteligentny Interfejs Zarz\u0105dzania Platformami), przeznaczony do zada\u0144 serwerowych. Dzi\u0119ki niemu mo\u017cna m.in. w\u0142\u0105cza\u0107 urz\u0105dzenie serwerowe, sprawdza\u0107 informacje systemowe i uzyskiwa\u0107 dost\u0119p do KVM (\u015brodowiska wirtualizacji Linux), a nast\u0119pnie do konsoli zdalnego dost\u0119pu. IPMI nie wymaga w\u0142\u0105czania serwera, us\u0142ug sprz\u0119tu BIOS, ani systemu operacyjnego, a instalowany jest na oddzielnym sprz\u0119cie macierzystej p\u0142yty urz\u0105dzenia serwerowego. Wirus wykorzystuje m.in. cz\u0119sto pozostawione na interfejsach domy\u015blne has\u0142a producenta, dlatego je\u015bli wasze IPMI korzystaj\u0105 z hase\u0142 fabrycznych, jak najpr\u0119dzej ustawcie w\u0142asne kombinacje. Warto te\u017c skonfigurowa\u0107 nas\u0142uchiwanie IPMI wy\u0142\u0105cznie na ruch z wewn\u0119trznego IP, odcinaj\u0105c dost\u0119p z zewn\u0105trz.<\/span><\/p>\n \u0179r\u00f3d\u0142o newsa [<\/span>EN<\/span><\/a>]<\/span><\/p>\n <\/a>2. 19 tysi\u0119cy modem\u00f3w Orange Livebox podatnych na atak<\/b><\/p>\n Uwaga u\u017cytkownicy Orange Livebox ADSL! Prosta luka bezpiecze\u0144stwa w Waszych modemach daje zdalny i nieuprawniony dost\u0119p do identyfikatora sieci (SSID) oraz has\u0142a WiFi za pomoc\u0105 prostego zapytania GET. Na komend\u0119 \u201c\/get_getnetworkconf.cgi\u201d modem odsy\u0142a swoje dane czystym tekstem! Liczb\u0119 urz\u0105dze\u0144 zawieraj\u0105cych podatno\u015b\u0107 sprawdzono wyszukiwark\u0105 dedykowan\u0105 interfejsom IoT – Shodan.io – podaj\u0105c do wiadomo\u015bci publicznej 19 490 zagro\u017conych modem\u00f3w. Dodatkowo wiele z zagro\u017conych urz\u0105dze\u0144 wci\u0105\u017c korzysta z tego samego, fabrycznego loginu i has\u0142a znacz\u0105co u\u0142atwiaj\u0105 zadanie cyberprzest\u0119pcom. Z\u0142a ochrona modem\u00f3w to dla nich zaproszenie do infiltracji, a nast\u0119pnie potencjalnego cyberataku – kradzie\u017cy danych, zaszyfrowania ich ransomware lub zupe\u0142nego wymazania firmowych zasob\u00f3w. Wersje Orange Livebox dotkni\u0119te podatno\u015bci\u0105 to Arcadyan ARV7519 00.96.00.96.613, 00.96.00.96.609ES, 00.96.321S i 00.96.217. Wersja odporna to 00.96.00.96.613E. <\/span><\/p>\n \u0179r\u00f3d\u0142o newsa [<\/span>EN<\/span><\/a>]<\/span><\/p>\n <\/a>3. Wykryto pierwszy rootkit atakuj\u0105cy UEFI<\/b><\/p>\n Specjali\u015bci bezpiecze\u0144stwa naszej partnerskiej firmy ESET namierzyli pierwszy skuteczny rootkit (narz\u0119dzie pomocne we w\u0142amaniach) napisany na bezpieczny dot\u0105d interfejs UEFI, czyli nast\u0119pc\u0119 BIOS-u w nowszych komputerach osobistych. Tego rodzaju zagro\u017cenie mo\u017ce d\u0142ugotrwale i uporczywie zak\u0142\u00f3ca\u0107 prac\u0119 infekowanej maszyny, poniewa\u017c dzia\u0142aj\u0105c w pami\u0119ci flash p\u0142yty g\u0142\u00f3wnej uniknie skan\u00f3w antywirusowych. Kod rootkita wykonywany jest przy ka\u017cdym bootowaniu, a jeszcze przed wczytaniem systemu operacyjnego i chroni\u0105cych go program\u00f3w, wobec czego nawet wymiana dysku twardych nie pomo\u017ce zlikwidowa\u0107 szkodnika. Pomo\u017ce jedynie reset pami\u0119ci flash lub zmiana p\u0142yty g\u0142\u00f3wnej. Co ciekawe, rootkit o nazwie LoJax wzorowany jest na legalnym programie bezpiecze\u0144stwa LoJack. Zapisywa\u0142 si\u0119 on w pami\u0119ci po to, by w razie utraty\/kradzie\u017cy przesy\u0142a\u0107 koordynaty maszyny w\u0142a\u015bcicielowi i u\u0142atwi\u0107 jej odzyskanie. Aby zmniejszy\u0107 ryzyko infekcji aktywujmy mechanizm Secure Boot i zadbajmy o aktualizacj\u0119 firmware UEFI naszych maszyn.<\/span><\/p>\n \u0179r\u00f3d\u0142o newsa [<\/span>EN<\/span><\/a>]<\/span><\/p>\n <\/a>4. Oszukuj\u0105 u\u017cytkownik\u00f3w Netflixa \u201czawieszeniem konta\u201d<\/b><\/p>\n Kolejny odcinek phishingowego serialu cyberprzest\u0119pc\u00f3w. Tym razem autorzy oszustwa pr\u00f3buj\u0105 wy\u0142udza\u0107 dane klient\u00f3w portalu Netflix, strasz\u0105c ich mailowo rzekomym zawieszeniem konta. Fa\u0142szywy mail od naci\u0105gaczy sugeruje, \u017ce za blokad\u0105 us\u0142ugi stoj\u0105 \u201cproblemy z p\u0142atno\u015bci\u0105\u201d. Aby j\u0105 usun\u0105\u0107, odbiorca ma zaktualizowa\u0107 ustawienia p\u0142atno\u015bci przez klikni\u0119cie w spreparowany link zawarty w wiadomo\u015bci. Oszu\u015bci pr\u00f3buj\u0105 uwiarygodni\u0107 tre\u015b\u0107 maila mi\u0119dzynarodowym telefonem pomocy technicznej. Przedstawiciele Netflixa doskonale zdaj\u0105 sobie spraw\u0119 z istnienia i mechaniki podobnych atak\u00f3w, dlatego zach\u0119caj\u0105 do regulowania swoich p\u0142atno\u015bci i zmian ustawie\u0144 zawsze poprzez wizyt\u0119 na stronie portalu – nigdy przez hiper\u0142\u0105cza wiadomo\u015bci mailowych. Jak zwykle w przypadku takich atak\u00f3w, lampk\u0119 bezpiecze\u0144stwa powinien nam zapali\u0107 sam fakt otrzymania niespodziewanej wiadomo\u015bci, a w dalszym ci\u0105gu nawet pojedyncze liter\u00f3wki, nietypowe sformu\u0142owania i wywieranie presji czasowej w celu szybkiego otwarcia za\u0142\u0105cznika\/linku.<\/span><\/p>\n \u0179r\u00f3d\u0142o newsa [<\/span>EN<\/span><\/a>]<\/span><\/p>\n <\/a>5. Chmura Google \u201cu\u017cywana\u201d do atak\u00f3w na sektor finansowy<\/b><\/p>\n Wi\u0119kszo\u015b\u0107 system\u00f3w bezpiecze\u0144stwa w por\u0119 zablokuje zainfekowany za\u0142\u0105cznik, a nawet link do podejrzanego adresu www pod warunkiem, \u017ce jest on ju\u017c skatalogowany w bazie zagro\u017ce\u0144 rozwi\u0105zania. A jakie adresy nie trafiaj\u0105 do takich katalog\u00f3w? Te nale\u017c\u0105ce do najwi\u0119kszych \u015bwiatowych us\u0142ugodawc\u00f3w\u2026 lub troch\u0119 do nich podobne, jak \u201cstorage.googleapis.com\u201d. Autorzy kampanii mailowej od sierpnia atakuj\u0105cej banki i instytucje finansowe podparli wiarygodno\u015b\u0107 swojego podst\u0119pu prawdziw\u0105, zaufan\u0105 us\u0142ug\u0105 (tzw. reputation-jacking), z kt\u00f3rej korzystaj\u0105 tysi\u0105ce firm na ca\u0142ym \u015bwiecie. W ich wiadomo\u015bciach znajdowa\u0142y si\u0119 linki do rzekomo wa\u017cnych informacji przechowywanych jako archiwa .zip i .gz w chmurze Google. W rzeczywisto\u015bci zawieraj\u0105 one dobrze zamaskowane i z\u0142o\u017cone zagro\u017cenia typu RAT (Remote Access Trojan). Tego rodzaju trojany daj\u0105 agresorom szerokie pole manewru, umo\u017cliwiaj\u0105c m.in. infiltracj\u0119 zaatakowanej sieci w celu przygotowania wi\u0119kszego, profilowanego ataku maj\u0105cej omija\u0107 jej zabezpieczenia. <\/span><\/p>\n \u0179r\u00f3d\u0142o newsa [<\/span>EN<\/span><\/a>]<\/span><\/p>\n <\/a>6. FBI zamyka 15 witryn oferuj\u0105cych us\u0142ug\u0119 atak\u00f3w DDoS<\/b><\/p>\n W dzisiejszej sieci mo\u017cna zam\u00f3wi\u0107 wszystko, w tym na przyk\u0142ad atak na czyj\u0105\u015b witryn\u0119. Kilka dni temu FBI przej\u0119\u0142o 15 witryn oferuj\u0105cych tego typu us\u0142ugi, stawiaj\u0105c kryminalne zarzuty trzem osobom oskar\u017conym o zarz\u0105dzanie nimi. Zaj\u0119te strony okre\u015blane mianem \u201cbooter\u00f3w\u201d za nisk\u0105 op\u0142at\u0105 w Bitcoin oferowa\u0142y \u201cbootowanie\u201d wskazanych domen, czyli wy\u0142\u0105czanie ich z sieci atakami typu DDoS (zmasowan\u0105 liczb\u0105 zapyta\u0144 o adres b\u0105d\u017a wybrane zasoby wybranej strony wysy\u0142anych z sieci komputer\u00f3w zombie). Baza danych tylko jednego z tych serwis\u00f3w – \u201cdownthem.com\u201d – z okresu mi\u0119dzy pa\u017adziernikiem 2014 a listopadem 2018 zawiera\u0142a ponad 2 tys. subskrybent\u00f3w i zlecenia ponad 200 tysi\u0119cy atak\u00f3w DDoS. Oczywi\u015bcie to jedynie ma\u0142y wycinek procederu, kt\u00f3rego globalna skala jest niepor\u00f3wnanie wi\u0119ksza. Przed atakami DDoS warto chroni\u0107 si\u0119 m.in. load balancingiem roz\u0142adowuj\u0105cym sztuczny i problematyczny ruch na wolne zasoby sieci. <\/span><\/p>\n \u0179r\u00f3d\u0142o newsa [<\/span>EN<\/span><\/a>]<\/span><\/p>\n <\/a>7. \u201cDeepfake\u201d czyli wiarygodne oszustwa jako wyzwanie bezpiecze\u0144stwa IT<\/b><\/p>\n \u201cFejki\u201d i \u201cfejk newsy\u201d (czyli informacje nieprawdziwe) to coraz popularniejszy sk\u0142adnik informacyjnego szumu sieci. W naj\u0142agodniejszej formie przypominaj\u0105 artyku\u0142y pisane pod gotow\u0105 tez\u0119, w najostrzejszej ca\u0142kowicie zaciemniaj\u0105 i zniekszta\u0142caj\u0105 obraz realnych proces\u00f3w i wydarze\u0144. Niestety ich tabloidowa, cz\u0119sto skrajna tre\u015b\u0107 automatycznie przyci\u0105ga uwag\u0119 odbiorcy znudzonego suchymi komunikatami ekonomicznymi i politycznymi. Do tej pory mo\u017cna by\u0142o je weryfikowa\u0107 sprawdzaj\u0105c w innym miejscu \u017ar\u00f3d\u0142a informacji przeczytanej np. z mema promuj\u0105cego fa\u0142szywy cytat podparty sfabrykowan\u0105 statystyk\u0105. Wkr\u00f3tce odr\u00f3\u017cnienie fa\u0142szywek mo\u017ce sta\u0107 si\u0119 trudniejsze, bo dynamiczny rozw\u00f3j AI umo\u017cliwia ju\u017c g\u0142\u0119bok\u0105 ingerencj\u0119 nawet w skomplikowany obraz video – w\u0142\u0105cznie z podmian\u0105 twarzy i g\u0142osu m\u00f3wi\u0105cego, b\u0105d\u017a dostosowaniem ruchu warg do odpowiednio przygotowanej tre\u015bci. Pami\u0119tacie nagi spacer Cersei z \u201cGry o Tron\u201d lub <\/span>Baracka Obam\u0119 krytykuj\u0105cego Donalda Trumpa<\/span><\/a>? W obu przypadkach zastosowano w\u0142a\u015bnie transfer twarzy z jego p\u00f3\u017aniejsz\u0105 g\u0142\u0119bok\u0105 edycj\u0119, uzyskuj\u0105 bardzo wiarygodny efekt. To zjawisko okre\u015blono mianem \u201cdeep fake\u201d, czyli tre\u015bci, kt\u00f3rej prawdziwo\u015b\u0107 wydaje si\u0119 oczywista (\u201cprzecie\u017c widz\u0119 to na filmie\u201d) i kt\u00f3r\u0105 bardzo trudno zweryfikowa\u0107. Stwarza ona szczeg\u00f3lne zagro\u017cenie dla bezpiecze\u0144stwa firm i organizacji, w kt\u00f3rych ofiarami np. fotorealistycznego phishingu z wykorzystaniem wizerunku prezesa mog\u0105 pada\u0107 nie wyszkoleni pracownicy. Wed\u0142ug niekt\u00f3rych szacunk\u00f3w do 2020 roku straty wywo\u0142ane rosn\u0105c\u0105 z\u0142o\u017cono\u015bci\u0105 i wiarygodno\u015bci\u0105 \u201cfejk\u00f3w\u201d poniesie nawet 50% podmiot\u00f3w.<\/span><\/p>\n \u0179r\u00f3d\u0142o newsa [<\/span>EN<\/span><\/a>] <\/span><\/p>\n <\/a>8. Nowy wariant zagro\u017cenia Satan szyfruje i kopie kryptowaluty Monero<\/b><\/p>\n Sektor finansowy wci\u0105\u017c pod obstrza\u0142em cyberprzest\u0119pc\u00f3w. Tym razem eksperci wychwycili dwa nowe warianty zagro\u017cenia Satan, targetowanego przeciwko instytucjom finansowym. Pierwsza wersja, wykryta na pocz\u0105tku listopada infekuje systemy Windows i Linux, nie wyrz\u0105dzaj\u0105c jednak \u017cadnej szkody – wirus po prostu pr\u00f3buje duplikowa\u0107 si\u0119 na kolejne maszyny. Drugi wariant jest znacznie gro\u017aniejszy, bo dodatkowo szyfruje pliki ofiary zmieniaj\u0105c ich rozszerzenie na \u201c.lucky\u201d… i instaluje w systemie ofiary XMRig, czyli ukryt\u0105 kopark\u0119 kryptowaluty Monero. W styczniu min\u0105 dwa lata, odk\u0105d Satan zadebiutowa\u0142 w sieci w modelu ransomware-as-a-service (RaaS), pozwalaj\u0105cym zarabia\u0107 na z\u0142o\u015bliwym szyfrowaniu nawet amatorom nie maj\u0105cym wiedzy technicznej. Wykrycie wariantu wirusa doposa\u017conego w kryptokopark\u0119 oznacza, \u017ce jego tw\u00f3rcy pr\u00f3buj\u0105 nad\u0105\u017ca\u0107 za nowszymi trendami, chocia\u017c kopanie kryptowalut sw\u00f3j boom ma ju\u017c chyba za sob\u0105. Tym niemniej pami\u0119tajmy o aktywnym antywirusie, aktualizacjach firmowych system\u00f3w i oczywi\u015bcie regularnym backupie danych – tylko one uchroni\u0105 nas przed skutkami ewentualnej infekcji diabelskiego wirusa. <\/span><\/p>\n \u0179r\u00f3d\u0142o newsa [<\/span>EN<\/span><\/a>]<\/span><\/p>\n <\/a>9. Google: aktualizacja Androida znacznie zwi\u0119ksza bezpiecze\u0144stwo<\/b><\/p>\n