Nejnovější phishingové a spamové triky
74 % všech e-mailů na celém světě představují spamové a phishingové zprávy. Nejoblíbenější internetový komunikační prostředek se tak stává téměř nepoužitelným. A podobný osud teď hrozí také „weblogům". Fóra, blogy a knihy hostů jsou dnes zavaleny nežádoucími a zčásti i nebezpečnými zprávami. V poslední době přitom vykrystalizovaly dvě nové phishingové metody.
Blogový phishing: Nebezpečné jsou nejen komentáře
V „komfortní" variantě využívají podvodníci snadno ovladatelný nástroj pro Windows zvaný XRumer. Ten obchází ochranná opatření téměř všech fór a dokáže obelstít i dotazy CAPTCHA, které mají zabránit automatizovaným zápisům. Nástroj je natolik úspěšný, že je na jedné ruské webové stránce dokonce prodáván - za cca 400 dolarů plus měsíční poplatek 10 dolarů za podporu.
Mnohé phishingové gangy jdou ještě o krok dále a nasazují vlastní blogy. Ty jsou zaplněny pornografickým obsahem - a infikovány nebezpečnými odkazy. Pokud na ně nic netušící návštěvník klikne, ocitne se na webové stránce, která napadá prohlížeč, instaluje spyware a v počítači oběti vyhledá zajímavá data. A takto vyšpehovaná hesla, čísla kreditních karet a mailové adresy pak končí na černém trhu datových zlodějů.
Phishing totožnosti: Na mušce pracovní burzy a sítě
Poněvadž phishingové zprávy většinou nejsou formulovány dostatečně osobně, surfaři už obvykle na jednoduché standardní maily „neskočí". Internetová mafie si proto musela vymyslet důmyslnější fintu: phishing totožnosti.
Při napadení burzy pracovních příležitostí Monster.com, které vyvolalo značný rozruch, se jedné partě phishingových zločinců podařilo odcizit přihlašovací data několika zprostředkovatelů. Pomocí jejich účtů pak mohli po dobu několika měsíců špehovat důvěrná data zájemců hledajících práci. Takto ukořistěné informace hackeři využívají mj. pro phishingové maily s pracovními nabídkami. Pro zvýšení důvěryhodnosti jsou v nich uváděny údaje s přímým vztahem k osobním datům oběti. Když posléze jeden ze specialistů bezpečnostní firmy Symantec konečně odhalil server tohoto gangu, objevil databanku obsahující kolem 1,6 milionu kradených datových vět.
Podle mínění expertů byl však tento útok jen pouhou předzvěstí nastupujícího trendu phishingu totožnosti.
NOVÁ HROZBA
Odvrácená tvář proxy serverů
Zdá se, že majitelé botnetů zařadili do své „obchodní" nabídky novou vyspělou službu pro provádění krádeží identity, rozesílání spamu či jiné nekalé činnosti na internetu, tentokrát prostřednictvím anonymních proxy serverů. Gunter Ollmann, ředitel bezpečnostní strategie IBM Internet Security Systems, ve svém blogu popisuje, jak lze webové proxy servery využít ke skrytí webových útoků a jakým problémem se stávají pro společnosti nebo ty, kteří mají tyto útoky vyhledávat a odhalovat tak pachatele těchto zločinů. Zajímavé jsou také nejnovější zprávy o nových „poskytovatelích" těchto proxy služeb, kteří se začínají objevovat na internetu. Ti se specializují přímo na tuto „nekalou činnost" a nebojácně zveřejňují i ceny za svoje služby!
Info: http://blogs.iss.net/archive/XSOXProxy.html
BEZPEČNOSTNÍ NOVINKY
Nové produkty McAfee
Společnost McAfee představila nové produkty, které mohou chránit váš počítač před hrozbami z internetu. Pojďme se podívat, jaké možnosti nám McAfee nabízí.
McAfee VirusScan Plus je základní sada zabezpečení, která nabízí funkci antiviru a antispywaru, obousměrný firewall, antiphishing, McAfee SystemGuards (strážce systému), software pro kontrolu získání práv „superuživatele" (tzv. antirootkit), kontrolu skriptů (Script Scanner) a Shredder („drtič", funkce, která zlikviduje data ze smazaných souborů).
Sada McAfee Total Protection patří k nejkomplexnějším bezpečnostním produktům pro koncové uživatele současnosti. V jediném balíku obsahuje veškeré bezpečností funkce nabízené společností McAfee. McAfee Total Protection poskytuje v reálném čase ochranu proti virům, spywaru a hackerům společně s pokročilou ochranou pomocí varování před rizikovými webovými servery (McAfee SiteAdvisor). K dispozici je také obousměrný firewall a antiphishingový nástroj, McAfee SystemGuards navíc kontroluje počítač a varuje před podezřelým chováním, které by mohlo signalizovat virus, spyware nebo činnost hackera. Kontrola softwaru pro získání práv superuživatele (Rootkit scanning) McAfee X-Ray odhaluje a odstraňuje rootkity a další škodlivé aplikace skryté v systému Windows nebo v jiných antivirových programech. Funkce Script Scanner (kontrola skriptů) blokuje škodlivé skripty a další zneužití, k nimž může docházet při prohlížení webu. Funkce Shredder („drtič") umožňuje uživateli digitálně „rozdrtit" soubory obsahující důvěrné informace. Poskytuje také ochranu proti on-line krádežím identity, nabízí ochranu proti spamu a dovoluje rodičům přidělit každému dítěti individuální nastavení, které obsahuje například časové limity a další omezení. Obsahuje také nástroj pro analýzu obrazu, která chrání děti před prohlížením nežádoucího grafického obsahu.
McAfee Internet Security Suite zahrnuje všechny výše uvedené způsoby ochrany s výjimkou funkcí Link Checker (kontrola odkazů), Protected Mode (chráněný režim) a Easy Network (snadná síť).
BEZPEČNÉ SURFOVÁNÍ
Cache pro Web 2.0
Secure Computing je prvním výrobcem, který vyvinul proxy/cache s ohledem na bezpečnost v dnešním prostředí Web 2.0. Webwasher SecureCache využívá i technologie podrobující „skladované" objekty reaktivní i proaktivní kontrole (modul Webwasher AntiMalware) společně s testováním globální reputace (TrustedSource. org) zdrojového serveru. Objekty ukládá do cache spolu s výsledky těchto kontrol, a to včetně informací o verzi virové databáze, kterou byly kontrolovány. Po určité době, kdy dojde k aktualizaci databáze virových signatur, se pouze znovu zkontrolují objekty uložené v cache, bez nutnosti je znovu načítat! Výsledkem je optimalizace výkonu celého bezpečnostního řešení a rychlejší doručování objektů uživatelům.
BEZPEČNOSTNÍ SOFTWARE
Nové produkty Trend Micro
Společnost Trend Micro Incorporated zveřejnila verze svých spotřebitelských bezpečnostních produktů pro rok 2008. Dvě z nich jsou aktualizacemi existujících verzí z roku 2007: Trend Micro AntiVirus plus AntiSpyware 2008 a Trend Micro Internet Security 2008. Novinkou je pak Trend Micro Internet Security Pro. V těchto nejnovějších verzích se Trend Micro zaměřuje na základní uživatelské potřeby, jako je zlepšená ochrana před malwarem, rychlejší „ruční" skenování, snadný reporting a pohodlnější správa včetně zjednodušeného uživatelského rozhraní.
Vylepšení v produktech
Podle průzkumu Trend Labs, globální sítě center Trend Micro pro výzkum, služby a podporu, vzrostl počet webových hrozeb mezi lednem 2005 a lednem 2007 o 540 procent. Aby uživatelé produktů Trend Micro mohli s těmito zákeřnými hrozbami bojovat, byla vylepšena dostupná obrana v rámci antimalwarových řešení. Mezi nové a vylepšené funkce patří mimo jiné proaktivní blokování průniků, ochrana před webovými hrozbami, vylepšené antispamové možnosti, dvoucestný firewall a plně integrované antivirové a antispywarové softwarové stroje. Proaktivní blokování průniků je technologie založená na sledování chování, která chrání počítače před neoprávněnými a škodlivými změnami. Tato nová technologie rozšiřuje technologie pro prevenci v reálném čase, které nevyužívají signatur a mohou se dynamicky přizpůsobovat novým a vznikajícím hrozbám. Monitorováním aktivit aplikací v počítači je schopná bránit škodlivým změnám v počítači ještě předtím, než se tyto změny projeví. Navíc je omezen počet varování uživatele, protože tato technologie může sledovat změny až k jejich zdroji místo toho, aby reagovala na každou z nich zvlášť.
Ochrana a rychlost
Trend Micro Web Threat Protection chrání uživatele před rostoucím počtem kyberútoků, jako je například „Italian Job" (viz minulý Chip). Využívá přitom technologie, která jde za úroveň klasického filtrování URL adres a která zajišťuje bezpečnost webové stránky díky mnoha faktorům, včetně věku, obsahu, chování uživatele a důvěryhodnosti stránky. Web Threat Protection blokuje specifické stránky a obsah obsahující malware místo toho, aby blokoval celý web. Produkty Trend Micro pro rok 2008 jsou také optimalizovány pro lepší výkon - například spotřeba paměti klesla ve srovnání s loňskými verzemi zhruba o 50 procent. Dalším vylepšením je přehlednost - díky zjednodušené instalaci a nastavení nyní Trend Micro Internet Security vyžaduje pro dokončení instalace pouze tři kroky.
ŽEBŘÍČEK HROZEB
Vykrádači hesel dominují žebříčku
Říjen byl ve znamení šíření infiltrace Win32/PSW. Agent. NDP, která se po napadení počítače snaží získat citlivé informace. Uvedený trojský kůň je schopen vykrádat hesla z různých zdrojů a zasílat údaje vzdálenému počítači. Win32/PSW. Agent. NDP se na šířených hrozbách podílel 5,7 % a během jednoho měsíce se posunul z třetího na první místo v žebříčku globálně šířených virových hrozeb, který sestavuje společnost ESET na základě rizik proaktivně detekovaných její technologií ThreatSense. Je však zajímavé, že podle české statistiky se Win32/PSW. Agent. NDP na tuzemských počítačích takřka nešířil a neumístil se ani v první desítce. V Česku se v říjnu na počítačích nejvíce objevoval agresivní adware Win32/Adware. Virtumonde, který uživatele obtěžuje zobrazováním nejrůznějších reklam.
Na druhém místě globálního žebříčku se v říjnu objevil INF/Autorun, jenž v sobě skrývá celou rodinu nejrůznějších červů, infikujících vždy podobným způsobem soubory typu autorun.ini (typicky se šíří prostřednictvím USB flash disků). Tak si zajistí své spuštění a následně napadnou počítač. INF/Autorun se na šířených hrozbách podílel 3,45 procenty. Exploit Win32/TrojanDownloader. Ani. Gen se ze čtvrtého místa v předchozím měsíci posunul na třetí místo, a to s podílem 2,80 %. Na čtvrtém místě globální statistiky skončil v říjnu adware Win32/Adware. Virtumonde, a to s 2,72 %. Páté místo obsadil Win32/Agent. BCK - spy trojský kůň s podílem 2,05 %, který útočníkovi otevírá „zadní vrátka" a dává mu tak možnost ovládnout napadený počítač. Zároveň vykrádá citlivá data uživatele. Za zmínku také stojí rychlý pokles šíření červa jménem Win32/Rjump. A, který po napadení umožňuje vzdálený přístup útočníka na infikovaný počítač.
Technologie ThreatSense. Net, která je součástí řešení ESET NOD32 Antivirus a ESET Smart Security, sbírá anonymně statistické balíčky obsahující informace o typu a počtu infiltrací zachycených na počítači daného uživatele. Díky těmto údajům mají virové laboratoře společnosti ESET velmi přesné a relevantní údaje o nejrozšířenějších infiltracích. ThreatSense. NET získává data od 25 milionů dobrovolných uživatelů z celého světa a je tak nejpřesnější globální statistikou svého druhu.
Zranitelnosti
Win32/PSW.Agent.NDP 5,70%
INF/Autorun 3,45%
Win32/TrojanDownloader.Ani.Agent 2,80%
Win32/Adware.Virtumonde. 2,72%
Win32/Agent.BCK 2,05%
Win32/Adware.Virtumonde.FP 1,40%
Win32/Agent 1,34%
Win32/Rjump.A 1,33%
IRC/SdBot 1,22%
Win32/Adware.Agent. 0,99%
OCHRANA INFORMACÍ
Symantec Database Security
Společnost Symantec ohlásila novou verzi softwaru Symantec Database Security, který je klíčovou součástí firemní vize Security 2.0. Software Symantec Database Security 3.0 nabízí několik nových funkcí, které organizacím mohou pomoci zabránit ztrátě citlivých informací nebo duševního vlastnictví z databází. Software také pomáhá zajistit soulad s rostoucím počtem předpisů na ochranu dat.
Symantec Database Security 3.0 nabízí funkce, které minimalizují nebo znemožňují ztrátu informací. Software sleduje a audituje všechny operace SQL v síti mezi koncovými uživateli a databázemi. Zároveň také pomáhá implementovat zásady, vyhodnocovat databázová prostředí a vytvářet příslušné zprávy a tím zajistit bezpečnou distribuci citlivých a důvěrných informací.
V programu najdete několik nových vylepšení a funkcí: 3 Heuristické učení - nová funkce heuristického učení pomáhá snížit náklady a složitost tím, že automaticky doporučuje vzory chování SQL v souladu s interními zásadami IT. Doporučení jsou vytvářena na základě podnikových činností ovlivňujících IT, jako jsou fúze a akvizice, implementace nových a starších aplikací a postupné vyřazování softwaru.
Identifikace narušitele - nová součást Intruder Identification umožňuje uživatelům trasovat nebezpečnou nebo podezřelou činnost až k jejímu zdroji, vyřešit situaci a zabránit jejímu opakování. Vše je založeno na tom, že součást porovnává pověření nebo IP adresu uživatele s informacemi získanými z původní databázové transakce.
Výstrahy v reálném čase na základě zásad - nová funkce založená na zásadách transakcí umožňuje správcům databází sledovat příchozí a odchozí databázový provoz a korelovat ho s výstrahami vydávanými v reálném čase. To pomáhá vyladit a agregovat zásady pro sledování transakcí a není nutno používat jednotlivé dotazy a odpovědi, čímž se podstatně šetří čas a zdroje.
Integrace s aplikací Symantec Security Information Manager (SSIM) - nová integrace umožňuje zákazníkům, kteří používají aplikaci SSIM a software Symantec Database Security 3.0, zobrazovat důležité výstrahy zabezpečení databází.
Software Symantec Database Security 3.0 podporuje několik databází, včetně databází Oracle, IBM DB2 a Microsoft SQL, a integruje se s nástroji pro správu hardwarových zařízení, jako jsou Dell OpenManage, Hewlett Packard OpenView a Symantec Security Information Manager. Rozšířené vestavěné šablony zpráv pro vykazování souladu s předpisy a nové uživatelské rozhraní zlepšují použitelnost a zvýšení výkonu přináší zrychlení transakcí.
Nová bezpečnostní rizika
ITUNES
Prostřednictvím speciálně upraveného hudebního souboru může útočník podstrčit přehrávači iTunes škodlivý kód a získat tak kontrolu nad počítačem. Bezpečnostní mezera se týká Windows i Mac OS. Chyba byla odstraněna ve verzi 7.4 softwaru přehrávače.
Info: www.apple.com
SYMANTEC MAIL
Společnost Symantec vydala bezpečnostní oznámení SYM07-027, ve kterém upozorňuje na zranitelnosti KeyView modulu, který je součástí jejich Mail Security produktů. Potenciální způsob zneužití je buď pomocí DoS útoku, nebo při vykonání kódu. Záplaty zatím (v době uzávěrky) nejsou dostupné. Bližší informace včetně seznamu postižených produktů naleznete v původním oznámení Symantecu (http://securityresponse.symantec.com/avcenter/security/Content/2007.11.01c.html).
Info: zpravy.actinet.cz
NORTON 2005 & 2006
Ačkoliv by tyto programy už neměly mít mnoho uživatelů, ve verzích 2005 a 2006 produktů Norton objevil Symantec bezpečnostní mezeru, která na PC lokálně umožňuje získat oprávnění správce. Záplata je k dispozici, Norton 360 & Co. naštěstí postiženy nejsou.
Info: www.symantec.com
IBM WEBSPHERE
IBM WebSphere Application Server Community Edition obsahuje zranitelnost v modulu SQLLoginModule (viz www-1.ibm.com/support/docview.wss?uid=swg21286105). Tento modul dovolí přihlášení do aplikace i neexistujícím uživatelům. IBM doporučuje nepoužívat SQLLoginModule, dokud v následujících vydáních nebude chyba opravena.
Info: zpravy.actinet.cz
REALPLAYER
Helixplayer a Realplayer je možné pomocí nekorektního multimediálního souboru přivést ke zhroucení. V extrémním případě pak havaruje i celý operační systém. Postiženy jsou všechny verze Realplayeru s číslem nižším než 10.1. Dokud nebude zveřejněn update, vyhýbejte se neznámým souborům s příponou . AU.
Info: www.real.com
ACDSEE
V produktech ACDSee Photo Manager 9.0, Pro Photo Manager 8.1 a Photo Editor 4.0 byly nalezeny zranitelnosti ve zpracování obrázků a archivů, které dovolují až spuštění zákeřného kódu na počítačích uživatelů. Chyby mohou obsahovat také starší verze programů. Výrobce doporučuje aplikovat aktualizaci, kterou najdete na adrese www.acdsee.com/support/knowledgebase/article?id=2800.
Info: zpravy.actinet.cz
JAVA RUNTIME
Společnost Sun vydala opravy svých JRE a JDK(SDK) verzí 6, 5, 1.4.2 a 1.3.1. (http://sunsolve.sun.com/search/document.do?assetkey=1-26-103112-1). Důvodem k uvolnění oprav je zranitelnost dovolující java appletu navýšit svá práva. Applet si tak může například přidělit práva ke čtení a změně obsahu lokálních souborů nebo může spouštět lokální aplikace. Bližší informace naleznete v původním oznámení Sun Alert ID: 103112
Info: zpravy.actinet.cz
MAC OS X
Podle informací společnosti Intego se po internetu začal šířit trojský kůň nazvaný OSX. RSPlug. A (www.intego.com/news/ism0705.asp). Při pokusu o zhlédnutí videa na některých pornowebech se uživatelům Mac OS X zobrazí upozornění, že si musí doinstalovat speciální kodek do QuickTimu. Pokud uživatel s instalací souhlasí a vloží své superuživatelské heslo, nainstaluje se mu trojský kůň, který pak přesměrovává požadavky na některé internetové adresy (např. eBay, PayPal a několik bankovních webů) na adresy útočníků.
Info: zpravy.actinet.cz
SYMANTEC MAIL SECURITY
V Symantec Mail Security for Exchange verze 4.x, 5.x a 6.x bylo objeveno několik závažných chyb, které mohou způsobit až spuštění kódu útočníkem (http://secunia.com/advisories/27429/). Chyba se projeví při skenování zákeřně změněných souborů. V současné chvíli nejsou známy informace o aktualizacích zranitelných produktů.
Info: zpravy.actinet.cz
REALPLAYER
Výrobce uvolnil záplatu kritické zranitelnosti (více informací na http://service.real.com), jejíž popis naleznete i na webu společnosti Symantec (www.symantec.com/enterprise/security_response/weblog/2007/10/realplayer_exploit_on_the_loos.html). Zranitelnost je v současné době aktivně zneužívána. Verze RealPlayeru pro Linux a Macintosh nejsou zranitelné, stejně tak RealPlayer verze 8 a starší pro Windows.
Info: zpravy.actinet.cz
FIREFOX 2.X
Server mozilla.org zveřejnil celkem osm nových bezpečnostních oznámení, z toho dvě kritická, týkající se internetového prohlížeče Mozilla Firefox. První kritické oznámení (www.mozilla.org/security/announce/2007/mfsa200729.html) upozorňuje na pravděpodobnou možnost zneužití některé z blíže nespecifikovaných zranitelností k vykonání libovolného kódu. Druhé (www.mozilla.org/security/announce/2007/mfsa200735.html) upozorňuje na možnost vykonat na napadeném systému libovolný javascriptový kód. Dalších šest zveřejněných (viz www.mozilla.org/security/announce/) oznámení je střední nebo nízké důležitosti. Řešením je upgrade na verzi 2.0.0.8., nebo ještě lépe na 2.0.0.9.
Info: zpravy.actinet.cz
- Aktuality - Bezpečnost (236.06 kB) - Staženo 1406x