Крайни потребители

  • LoJax: първият UEFI руткит, засечен в кибер атака

    Първият UEFI руткит, използван в кибер атака, е засечен от анализаторите на компанията за киберсигунрост ESET.

    Зловредният код е използван от руската хакерска група Sednit за придобиване на контрол върху компютри от държавни институции в Централна и Източна Европа. Няма информация дали България е сред засегнатите от атаката държави.

    Вижте пълната публикация в блога на ESET >>

    Какво е UEFI?

    UEFI е спецификация за софтуерен интерфейс между операционната система и хардуера. UEFI заменя вече остарялата технология BIOS.

    Досега се предполагаше, че със зловредни кодове, които експлоатират UEFI, разполагат единствено някои държавни агенции за сигурност. Според ESET това е първият случай, в който организирана хакерска група злоупотребява с такъв руткит.

    Защо LoJax e опасен?

    LoJax е особено опасен, тъй като може да прескача някои традиционни защитни мерки като преинсталиране на операционната система или смяна на твърдия диск. Друг проблем е, че се открива трудно, защото повечето антивирусни програми не сканират UEFI.

    “Вече няма причина да не сканирате фърмуеъра на компютъра си. Да, атаките срещу UEFI са изключително редки, и до този момент бяха възможни при физически достъп до компютъра. Но ако една таква атака се осъществи, тя ще доведе до пълен контрол над устройството”, коментира Жан-Ян Бутин, анализатор в ESET.

    Как да се защитите от LoJax?

    Защитата от LoJax, както всъщност и всеки зловреден код, манипулиращ UEFI или фърмуеър, е трудна задача. Все пак от ESET предлагат няколко възможности за действие:

    • Активирайте Secure Boot от настройките на UEFI;
    • Ако атаката вече е осъществена може да се подмени дънната платка на инфектираното устройство. Алтернативата е да се подмени фирмуеъра на SPI флаш паметта, но това е сложна процедура, която не е по силите на обикновения потребител;
    • Използвайте приложения за защита, които сканират и UEFI (например, ESET Endpoint Security)

    Кой е автор на атаката

    Според ESET най-вероятният извършител е хакерската група Sednit, за която се предполага, че имa връзки с руското разузнаване. Известна още като APT28, STRONTIUM, Sofacy или Fancy Bear, тя често е посочвана като извършител на известни в медиите атаки като хакването на френската телевизиознна група TV5Monde или публикуването в интернет на имейли от Световната антидопингова агенция.

    Според информация на “Капитал” Sednit е сочена като вероятен извършител на DDoS атаката срещу сайта на Централна избирателна комисия през ноември 2015 г.

  • Защо трябва да помислите още по-сериозно за защитата на Android устройствата си

    В днешни дни бляскавият екран, който държите може да ви даде много повече от кратки разговори и съобщения. Имайки това предвид, компанията Epic Games реши да направи хитовата си игра „Fortnite” достъпна за мобилни платформи. Уловката, обаче, се крие в това, че компанията няма да предоставя играта чрез Google Play, а като отделен .apk (инсталационен) файл. Потребителите трябва да го изтеглят и инсталират собственоръчно.

    Ако не можете да видите как това може да ви навреди, то ето един пример: вече има стотици YouTube видеа на тема „Как да инсталираме Fortnite”. Голяма част от тях (ще) съдържат линкове към фалшиви и инфектирани .apk файлове. Което може да доведе до гигантска по размерите си скам атака – и масово източване на данни и монетизация на реклами от огромната потребителска база на играта (съставена предимно от деца).

    Вижте още: Защо да внимавате какво сваляте: Google е спряла над 700,000 заразени приложения за Android

    Първите примери за подобни измами бяха забелязани месеци преди да бъде обявена мобилната версия на играта. Лукас Стефанко от ESET, сподели в Twitter за нарастващият брой фалшиви видеа и приложения още през юни:

    В момента е лесно да се разпознаят, тъй като официалната мобилна версия все още е в разработка и не се предлага за потребителите. Веднъж, щом тя бъде пусната, няма да има очевиден начин за потребителите да различат фалшиво от истинско приложение преди да е вече късно.

    Във ваш интерес, както и в този на децата и близките ви е да се подготвите още отсега. За това може да ви послужи решение за антивирусна защита за Android, което може да разпознава потенциално зловредни приложения и да ги блокира.

    Най-добре за вас и устройствата ви е да не позволявате инсталация на приложения от недоверени източници. Ако все пак искате да се срещнете на бойното поле с приятелите си във Fortnite, направете го внимателно като следвате официалните инструкции на сайта на играта.

    Ако сте системен администратор: посъветвайте колегите си да не инсталират съмнителни .apk файлове – или ги улеснете (и себе си) като изпратите проверен линк към подобен туториъл на родителите, чийто деца са фенове на играта. Те ще са ви благодарни.

  • Скрити копачи на криптовалути стават все по-често срещани при мобилните устройства

    Ако последните 2 години бяха белязани от главоломен ръст на криптовируите, то 2018 г. е подвластна на нова тенденция – скритото копаене на криптовалути. Скрито, защото става без ясното знание на засегнатите потребители, чийто компютри – а вече все по-често и мобилни телефони – са използвани за „добив“ на криптовалути.

    В числа – статистиката показва, че от началото на годината засечените подобни атаки срещу различни сайтове са се увеличили с 27%, а за мобилни устройства – с 4000%.

    Как работят?

    Целта на cryptojacking атаките не е да криптират файловете ви или да ви попречат да работите с устройството си, а точно обратното – те разчитат на постоянната работа на телефона или таблета ви. Това се дължи на факта, че тези вируси прикрито „копаят“ криптовалути в полза на атакуващия.

    Вижте още: Как вашият сървър (или сайт) прави пари за хакерите

    В нормални обстоятелства, добивът на криптовалута се осъществява чрез множество отделни (специализирани) процесори, които комбинират изчислителната си мощ. Cryptojacking операциите наподобяват това като комбинират множество заразени устройства – колкото повече, толкова по-големи приходи. Най-често жертви на такива вируси стават потребителите на Android устройства, тъй като контролът при пазарът за приложения не е толкова строг, колкото при iOS.

    Напоследък феноменът се разраства при мобилните устройства с притесняващи темпове. Доказателство за това е скорошното разкритие на ESET, че популярната игра Bug Smasher (около 5 милиона сваляния) е включвала прикрит cryptojacker. Въпреки че не са толкова мощни, мобилните устройства са атрактивна цел по няколко очевидни причини. Замислете се, като начало: колко приложения, които не използвате стоят на телефона ви?

    Как да открием, че сме заразени

    При прекомерно агресивно присъствие на cryptojacker-и, телефонът ви може да не само да се нагрява и бави ненужно, но и батерията ви може да бъде повредена заради постоянното и прекалено бързо разреждане.

  • Google пази данни за местоположението ви дори и след спиране на Location History. Ето как да спрете споделянето на локацията ви

    Google съхранява информация за местоположението на Android устройства дори и след изричната забрана на собствениците им. Това показва разследване на информационната агенция Associated Press.

    Материалът на агенцията показва, че простото спиране на опцията „Location History” (История на местоположенията, ако използвате българската версия на операционната система) не спира проследяването на локацията на устройството, за което се изискват още 8 различни настройки, разхвърляни в менюто на операционната система.

    Какво следи Google?

    Ето няколко примера за действия, които ще изпратят точното ви местоположение (до квадратен метър) на Google дори и да сте забранили съхраняването на Location History:

    • Всеки път, когато просто отворите Google Maps, без значение дали сте поискали да ви локира
    • Всеки път когато търсите нещо, което може да има общо с местоположението ви (ресторанти, магазини и др.)
    • Автоматично обновяване на информацията за времето

    Тази информация се изпраща към Google с точни дата и час и после се синхронизира с акаунта ви.

    От компанията коментират, че следенето е в в интерес на потребителите, за да подобри услугите, които предлагат и също може да бъде изключено.

    Какво всъщност прави Location History?

    Според описанието на услугата Location History в страницата за техническа поддръжка на Google гласи, че „ако функцията е изключена, местата, които посещавате, повече няма да се съхраняват.“ Което реално не означава, че Google спира да ви следи (каквато е официалната позиция на компанията).

    Преводът на човешки език на функционалността от страна на Associated Press показва, че на практика спирането ѝ означава, че Google няма да може да създаде хронология на локациите, на които сте се намирали – но не и, че няма да съхранява самите локации.

    Иначе казано – Google ще знае, че сте били (например) в София, Бургас и Благоевград, но няма да знае в какъв ред сте ги посетили.

    Как да спрете следенето наистина?

    За да може да спите спокойно и да сте сигурни, че Google няма да съхранява не само хронологията на движението ви, а и локациите, на които сте били, то трябва да изключите друга опция – Web & App Activity (Контроли за активността), която на практика управлява „какви видове данни да се запазват в профила ви в Google.“ За да стигнете до нея на устройството си, обаче, трябва да минете през 5 стъпки на компютър или 4 на телефона си (или да кликнете тук). Ето кои са те.

    На компютър

    1. Влезте в менюто Google Account в горния десен ъгъл на браузъра си, когато използвате услуга на компанията
    2. Изберете опцията Personal Info & Privacy
    3. Изберете Go to My Activity
    4. От навигацията вляво изберете Activity Controls
    5. Намерете на екрана опцията Web & App Activity – и я изключете

    На Android устройство

    1. Влезте в настройките на операционната система
    2. Отидете в менюто Google Account
    3. Изберете Data & personalization
    4. Намерете Web & App Activity
    5. Изключете настройката (след като го направите, ще видите изскачащ прозорец с предупредителен текст „Pausing Web & App Activity may limit or disable more personalized experiences across Google services. For example, you may stop seeing more relevant search results or recommendations about places you care about. Even when this setting is paused, Google may temporarily use information from recent searches in order to improve the quality of the active search session.“)

    Как да видите какво знае Google за вас?

    Можете да видите цялата си активност и всички събрани с нея данни на https://myactivity.google.com/myactivity

    При желание, можете да изтриете историята си, но трябва ръчно да намерите и заличите всеки отделен елемент, освен ако не искате да заличите цялата си активност в Google.

  • CCleaner провокира потребителите с активно събиране на данни

    Вероятно познавате CCleaner като – софтуерът, който позволява да вършите бързо трудоемки задачи по поддръжката на системата ви.

    Доскоро функционалността на приложението беше „чиста“ от събиране на лични данни на начина, по който потребителите ѝ работят с програмата. Това вече не е така, което не се понрави на потребителската база.

    Едно от подобренията в новата версия 5.45 на CCleaner е „added more detailed reporting for bug fixes and product improvements“. Уви, това не описва пълната активност на програмата, която събира и изпраща данни за системата ви и активността ви в софтуерния интерфейс на фонов режим. Изключването на това събиране на данни не е част от настройките на новата версия.

    Това не е първото провинение на CCleaner, който се разпространява под марката Piriform, но се притежава от Avast. Преди година, програмата намери пътя си до новинарските заглавия след като стана жертва на сериозна хакерска атака. Атакуващите директно замениха софтуера с негово инфектирано копие, което мнозина изтеглиха и инсталираха.

    След остра критика от потребителската си база, Piriform съобщиха, че в следващата версия ще адресират всички изисквания и притеснения. Излизането на следващата версия предстои в идните седмици, но надали корекцията в нея ще върне потребителското доверие.

    Бъдете винаги в крак с новините от света на информационната сигурност – станете наши фенове във Facebook.

  • Meltdown в действие: как работи уязвимостта на Samsung Galaxy S7

    Продължението на Meltdown сагата идва от Техническия университет в Грац, Австрия. Екип от ентусиасти в университета се похвалиха на Ройтерс, че са намерили начин да експлоатират популярната уязвимост в Galaxy S7. Екипът съобщи, че планира да представи откритието си на Black Hat USA 2018. Конференцията ще се проведе днес (09.08.2018) в Лас Вегас.

    Samsung съобщи, че ъпдейти от януари и юли адресират точно тези уязвимости. Компанията прикани всички потребители да ги инсталират на устройствата си.

    Джейк Муур, специалист от ESET, препоръча всички потребители да обновят системния софтуер на устройствата си, за да ги предпазят от атаки в интервю за Independent UK.

    “Постоянно виждам как хора отлагат ъпдейтите си по най-различни причини, но не мога да натъртя достатъчно – важни ъпдейти като тези предотвратяват порой от атаки към бизнеса и крайните потребители“ – продължава експертът

    В момента, екипът от ТУ Грац търси начини да експлоатира уязвимостта при други марки и модели Android устройства, като очаква да намери множество уязвими такива.

    Засега не са забелязани реални атаки, които експлоатират Meltdown за Android устройства.

  • Фалшивите онлайн рецензии са реална заплаха за сигурността ви

    Близо 15% от онлайн рецензиите на продукти и услуги са платени. Това показват данните на ReviewTrackers, които поставят под въпрос достоверността на може би най-добрия показател за качество – потребителското удовлетворение.

    Фалшивите рецензии могат да са много убедителни

    Поначало, клиентското мнение относно даден продукт е ценен ресурс, който може лесно да ви ориентира в един доста пренаситен пазар. Без значение дали си купувате кола или слушалки, можете да намерите човек с такива и детайлно обяснение за предимствата и недостатъците им.

    Дори понякога толкова детайлно, че ви кара да се замислите защо някой би седнал да напише три страници текст за хладилна чанта.

    Проблемът продължава да се задълбочава

    Трудно е да се измери каква част от оценките в онлайн магазините са фалшиви, тъй като няма конкретен белег, по който да съдим за достоверност. Самите магазини са твърде много, че да бъдат категоризирани, но нека погледнем някои факти:

    • В последните няколко години, гигантът Amazon води хиляди дела срещу търговци в платформата заради купуване на рецензии (това ощетява имиджа на платформата)
    • Средностатистическата цена за рецензия е едва $5
    • Писането на “product reviews” е една от най-търсените услуги във freelance света
    • Най-често такива се пишат за скоро стартирали магазини (за да изглеждат по-достоверно) или за подобряване на рейтинга на продавача в платформи като ebay и amazon

    Как може да познаем фалшива рецензия

    Една добре написана такава може да е сложна за различаване от истинска, но нека заложим на нормалната, евтина фалшива оценка. Нея можете да забележите по:

    • Ключовите думи – ако използва прекалено особен речник, което принципно се изисква от възложителя
    • Общи приказки – фалшивите рецензии рядко подчертават силни точки на продукта, които не са описани в магазина
    • Печат за достоверност – някои магазини предлагат допълнително обозначение, че някой действително притежава (или поне е закупил) продукта. Това, уви, вече не е гаранция, но все пак е по-добре от нищо.
    • Анализ на езика – според проучване на Cornell Computers, флашивите рецензии съдържат прекалено много глаголи и използване на първо лице, ед. число – „Аз“.

    Защо фалшивите рецензии са заплаха за сигурността?

    Ето само част от причините:

    • Наличието на множество рецензии се води за белег за достоверен магазин. А пишещи по поръчка не се интересуват дали наистина работят за магазин, който просто иска да стане по-популярен или за фалшиво копие на магазин за кибер-престъпници, които ще крадат вашите лични данни
    • Продуктовите ревюта по поръчка могат да прикриват пропуски на продукти – включително и в защитата им, което да изложи вас – потребителите им – на риск

    Бъдете винаги в крак с новините от света на информационната сигурност – станете наши фенове във Facebook.

  • Най-големите кибер атаки през 2018 (досега)

    До този момент 2018 г. върви сравнително (и привидно) по-спокойно от предходната, ако говорим за разкрити пробиви в информационната сигурност. „По-спокойно“ обаче не означава, че няма пробиви – дори обратното. Ето част от най-мащабните такива през 2018 г.

    NotPetya – най-скъпата кибератака до момента

    Криптовирусът разкъса компании от цял свят, причинявайки загубата на терабайти чувствителна информация. На два пъти, атаката постигна и нещо друго невиждано до сега – масовото на електрозахранване, причинено от компютърен вирус.

    Вижте повече за това как атаката се отрази на българското киберпространство.

    Според САЩ, атаката идва от руските военни части, а те трябва да бъдат подведени под отговорност. Това е донякъде иронично, тъй като основният използван инструмент е техника, изтекла от NSA (националната агенция за сигурност на САЩ).

    Ирански хакери срещу университети в САЩ

    След като осъществяват атака срещу над 300 университета в САЩ, група ирански хакери биват разпознати и осъдени. В процеса се стига до заключението, че са успели да проникнат в 144 университета в САЩ, 176 в 21 други страни и 47 частни компании. Според министерството на правосъдието на САЩ, хакерите са откраднали над 31 терабайта данни.

    Изтичащи и изтекли данни

    Няма как да не споменем всичкото източване и изтичане на данни, на което сме свидетели ежедневно. Сред случаите с най-много медийно внимание попада и този на фирмата Exactis – компания, която събира лични данни, които могат да бъдат използвани за инзудване. Доскоро, компанията ги съхраняваше на публично достъпни сървъри.

    Фитнес тракер стана източник на 150 милиона потребителски записа

    Атаката над MyFitness Pal e отличен пример за неспособността на корпоративния свят да навакса с изискванията на сигурността. Източването на данни при нея се случва само и единствено защото част от тях са били криптирани с доказано уязвим алгоритъм – SHA1.

    Другата част от данните са били надеждно подсигурени и не са пострадали при атаката.

    Както винаги, напомняме, че можете да видите дали сте жертва на една от споменатите атаки, като използвате HaveIBeenPwned – безплатна услуга, която проверява за потребителското ви име или мейл в изтеклите бази данни.

    Бъдете винаги в крак с новините от света на информационната сигурност – станете наши фенове във Facebook.

  • Как няколко лампи ни предпазват от хакери

    Може ли няколко лава лампи да бъдат използвани като средство за защита от хакери? Може и да звучи странно, но отговорът е да. Как и защо – ще разберете от следващите редове.

    Един пример

    Всеки път, когато влезете в уебсайт, например, той генерира случайно число. Това случайно число играе ролята на идентификатор за посетителя (вас). Проблемът е, че компютрите не са особено силни в генерирането на наистина произволен стринг, защото зависят от алгоритъма на генериране, който им е зададен.

    Да, генерираните комбинации могат да бъдат много сложни за отгатване, но не и абсолютно случайни. А това ги превръща в разбиваеми от хакери.

    Интернет гигантът CloudFlare се справя с този недостатък като елиминира компютъра и използва няколко интересни генератора на случайност – 100 лава лампи, махало и гайгеров брояч.

    Как няколко случайни предмета ни пазят

    Как действа инсталацията? CloudFlare наблюдава 100 лава лампи в изолирано помещение. Те са известни с фигурите от разтопен парафин, които бавно се издигат и падат в тялото на лампата. Както можете да се досетите, няма особено голяма вероятност да се образуват две еднакви парафинови фигури.

    По думи на Джон Греъм-Къминг (CTO на компанията), стената от лампи генерира 16,384 бита ентропия (мярка за безпорядък) всеки път, когато се използва.

    Това далеч не е всичко

    С право можете да си зададете въпроса „Ами ако някой започне да наблюдава лампите без разрешение?“. В такъв случай, може да ви успокои факта, че компанията е добавила допълнителни слоеве към защитата си.

    Компанията наблюдава и движението на двойно махало в офиса си в Лондон. Освен него, за защитата ви се грижи и гайгеров брояч, измерващ радиацията от парченце уран в Сингапур, където е другият офис на CloudFlare.

    Системата за генериране на случайност се нарича LavaRand и можете да прочетете публикацията на CloudFlare ТУК.

    Бъдете винаги в крак с новините от света на информационната сигурност – станете наши фенове във Facebook.

  • Затворници в САЩ намериха пробойна в система за забавление и откраднаха 250 000 USD

    Над 360 американски затворници са успели да откраднат средства благодарение на приложение, което използват докато излежават присъдите си.

    Компроментираното приложение се предоставя от фирмата JPlay и включва онлайн услуги и таблети, които затворниците под свободен режим ползват за развлечения и комуникация.

    Компанията производител отказва да съобщи точно как защитата е била преодоляна. От наличната информация, обаче става ясно, че затворниците са манипулирали стойността на преводите, които устройството получава. Така те са добавяли финанси към акаунтите си, които са били използвани за закупуването на музика, книги, изпращането на имейли и др.

    Всяка от тези услуги, макар и безплатна за хората на свобода, се заплаща в системата на JPlay.

    От компанията – производител съобщиха, че уязвимостта вече е патчната и продължава да се работи по подобряването на сигурността. В инцидента не са пострадали пари на данъкоплатци или други трети страни. Похарчените суми не са реални, а просто измамни стойности, които фигурират само в системата на JPlay.

    Затворниците са получили наказание под формата на лишаването от развлекателни и комуникационни привилегии и преместването в по-високо охранявана част на затвора.

    Бъдете винаги в крак с новините от света на информационната сигурност – станете наши фенове във Facebook.

Back to top button
Close
Close