InfoSec » eSauga

Jūsų slaptažodis nepatikimas

info — Sun, 21 Dec 2008 14:08:26 +0000

Ar kada domėjotės, kiek laiko užimtų „atspėti“ jūsų naudojamą slaptažodį, kad prisijungti prie el. pašto, tinklo resursų ar kitų slaptažodžiais apsaugotų vietų? Įveskite naudojamų simbolių skaičių ir tipą, o Hackosis Brute Force Calculator pasakys kiek laiko paprastam kompiuteriui užtruktų jį nulaužti. Spėju poros valandų.

Bet yra ir gera žinia, daugelis programų paprasčiausiai neleis kažkam spėlioti jo tūkstančius kartų per sekunde. Nors pagalvoti yra apie ką.

RRT pradeda vykdyti CERT funkcijas

info — Tue, 10 Oct 2006 17:40:37 +0000

Lietuvos Respublikos ryšių reguliavimo tarnyboje (RRT) veiklą pradėjo Tinklų ir informacijos saugumo incidentų valdymo padalinys (CERT-RRT).

CERT-RRT (angl. Computer Emergency Response Team), kaip ir kitų šalių analogiškų įstaigų, funkcijos bus operatyviai reaguoti į tinklų ir informacijos saugumo incidentus elektroninių ryšių tinkluose, vykdyti jų tyrimus ir koordinuoti veiksmus, šalinant juos, ypač kai yra potenciali rizika tinklo funkcionalumui ir (ar) elektroninių duomenų saugumui.

Vykdydamas saugumo incidentų valdymą, CERT-RRT tiesiogiai dirbs su interneto paslaugų teikėjais. Interneto vartotojai, patyrę elektroninio saugumo problemų, turėtų kreiptis į savo paslaugų teikėją. Jei problemos išspręsti nepavyktų, vartotojai galės kreiptis į CERT-RRT – užpildyti pranešimą apie saugumo incidentą tinklalapyje www.esaugumas.lt/cert arba rašyti el. pašto adresu cert_eta_rrt.lt

Iniciatyva aišku sveikintina, bet ar nesigaus taip, kaip jau yra kitose srityse. Daug įvairių valstybinių įstaigų kuruojančių tą pačią sritį. Juk dabar yra, kas tiria nusikaltimus elektroninėje erdvėje – NEETS (Nusikaltimų elektroninėje erdvėje tyrimo skyrius), kas yra mūsų lietuviškoji internetinė policija, “kurios misija yra užtikrinti Konvencijos dėl elektroninių nusikaltimų reikalavimų įgyvendinimą, užkardyti, tirti ir atskleisti ruošiamus, daromus ar padarytus nusikaltimus elektroninėje erdvėje – pasauliniame interneto tinkle bei korporatyvinėse informacinėse sistemose – intranete, taip siekiant užtikrinti Lietuvos visuomenės ir informacinių technologijų saugumą šioje sferoje”. Dabar dar bus Ryšių reguliavimo tarnybos CERT’as, kuris tirs “informacijos saugumo incidentus elektroninių ryšių tinkluose”, kas daugeliu atveju, o gal ir visais atvejais, yra nusikaltimas.

Nors apie lietuviškojo cyberpolice veiksnumą turiu savo nuomonę, kuri nėra labai teigiama, bet matyt galima suprasti policiją – biudžeto trūkumas, žmonių trūkumas, bendro supratimo trūkumas matyt irgi. Bet gal reikėjo kelti NEETS galimybes, o ne kurti dar vieną su panašiais tikslais.

Bet kokiu atveju, linkiu sėkmės siekiant savo užsibrėžtų tikslų ir nešant el. saugumą į lietuviškąjį internetą.

Yahoo pašto servisas patyrė viruso ataką

info — Sun, 27 Aug 2006 15:54:53 +0000

Yahoo, didžiausias pašto servisas, pranešė apie virusinę ataką prieš “labai nedidelę dalį” vartotojų (Yahoo skelbia, kad iš viso jų turi 200 milijonų). Tai buvo neeilinis virusas plintantis, kaip prikabintas failas, bet kodas, pasileidžiantis automatiškai skaitant patį laišką. Virusas aptiktas Yahoo pavadintas Yamanner.Piktybiškas kodas išnaudoja JavaScript pažeidžiamumą, leidžiantį atlikti nesankcionuotus veiksmus. Skaitant laišką su Yahoo Mail, kodas aktyvuojasi ir išsisiunčia save visiems el. pašto adresams iš adresų knygutės, o pačią knygutę išsiunčia atskiru adresu, matyt bus panaudoti SPAM tikslais. Laiško tema “New Graphic Site”, o siuntėjo adresas ” av3@yahoo.com “.

Passive Micro 0.1 (Trojan-Downloader.Win32 Apher.gen)

info — Sun, 27 Aug 2006 15:54:18 +0000

Passive Micro 0.1 (Trojan-Downloader.Win32 Apher.gen) naujas virusas, kaip galima suprasti iš pavadinimom, tai web downloaderis.
Dydis viso labo 804 baitai. Parašytas masm32.

Pirmasis blogiukas StarOffice’ui

info — Sun, 27 Aug 2006 15:53:32 +0000

Virusų kūrėjai parašė pirmąjį virusą, kuris pažeidžia StarOffice. Virusas pavadinimu Stardust (kosminės dulkės) atakai prieš Sun ofiso alternatyvą naudoja makro komandas. Šis kenksmingas kodas sukurtas labiau ne tam, kad sugadinti programinę įrangą, o tam, kad parodyti, kas gali būti padaryta.Stardust yra pirmasis virusas, kuris teoriškai gali infekuoti StarOffice ar OpenOffice dokumentus. Jis parašytas Star Basic kalba. Virusas iš interneto parsisiunčia vaizdo failą ir atidaro jį naujame dokumente.

Kodas naudoja senąjį API (application programming interface), bet tai galima lengvai modifikuoti taip, kad virusas galės pakenkti naujausiai atviro kodo OpenOffice 2.0 versijai, praneša Infoworld.

Virusų kovo mėnesio dešimtukas

info — Sun, 27 Aug 2006 15:53:01 +0000

Nepaisant didelio infekcijų skaičiaus kovo mėnesį, virusų dešimtuke nebuvo didelių pasikeitimų. Kaip ir praėjusį mėnesį, FTP virusas, susietas su Sdbot šeima, buvo dažniausiai aptinkamas kenksmingas kodas šį mėnesį. Net devyni iš dešimties virusų sąraše išliko nepakitę nuo vasario.

Antra dažniausiai aptinkama grėsmė kovo mėnesį buvo Netsky.P kirminas, kuris plisdamas naudojasi el. paštu ir failų apsikeitimo programomis (P2P) ir kuris išnaudoja pažeidžiamumą Outlook peržiūros lange neatnaujintose sistemose. Nepaisant dvejų metų cirkuliacijos, tai vis dar yra viena iš dažnai bepasirodančių grėsmių.

Kita dažnai aptinkama grėsmė buvo Exploit/Metafaile – pažeidžiamumo išnaudojimas Windows operacinėje sistemoje apdorojant WMF failus. Vos tik pasirodžiusi, šis pažeidžiamumas buvo plačiai išnaudojamas visų rūšių užkrėstuose tinklapiuose dėka didelio neapsaugotų kompiuterių skaičiaus.

Sąraše taip pat yra Tearec.A (CME-24), dar žinomas kaip Kamasutra, sukėlęs nerimo dėl savo aktyvacijos kiekvieno mėnesio trečiąją dieną, nors jo pasikartojimai nebuvo tokie rimti, kaip pirma bijota, arba Sober.AH (CME-681), kuris sukėlė vidutinį viruso pavojus laipsnį lapkritį.

Grėsmė	Dažnumas %
W32/Sdbot.ftp	1.95
W32/Netsky.P.worm	1.09
Exploit/Metafile	0.94
W32/Tearec.A.worm!CME-24	0.63
W32/Sober.AH.worm!CME-681	0.57
W32/Alcan.A.worm	0.54
Trj/Qhost.gen	0.54
W32/Gaobot.gen.worm	0.52
W32/Parite.B	0.51
Trj/Lowzones.QF	0.47

Vienintelis naujai pasirodęs šio mėnesio dešimtuke yra trojos arklys Lowzones.QF – grėsmės rūšis, kuri gali fiksuoti momentines ekrano kopijas arba pavogti asmeninės informacijos iš užkrėsto kompiuterio.

Palyginimui virusų duomenys iš Lietuvos:

Grėsmė	Dažnumas %
W32/Sdbot.ftp	2.87
W32/Netsky.P.worm	1.15
Trj/Downloader.HRP	1.00
W32/Bagle.GS.worm!CME-328	1.00
W32/Gaobot.gen.worm	0.86
W32/Tearec.A.worm!CME-24	0.86
Bck/Haxdoor.HH	0.72
Exploit/CodeBaseExec	0.72
W32/Jeefo.A.drp	0.72
W32/Sober.AH.worm!CME-681	0.72

Internetinės grėsmės 2006 metais

info — Sun, 27 Aug 2006 15:52:28 +0000

Per šiuos besibaigiančius metus įvyko didelis persilaužimas internetinių grėsmių atžvilgiu. Paskutiniai 12 mėnesių pasižymėjo tokių masinių virusinių epidemijų, sukeltų tokių kenksmingų kodų, kaip LoveLetter, Sasser ar Blaster, nebuvimu. Tačiau, jau keletą mėnesių pastebimas naujų grėsmių suaktyvėjimas ir teisinga būtų sakyti, kad niekada nebuvo tokios didelės tikimybės nukentėti nuo IT atakų, kaip dabar. Nors ši situacija gali pasirodyti prieštaringa, tačiau taip nėra. Tai yra internetinių grėsmių kūrėjų motyvacijos pakitimo pasekmė: kai anksčiau asmeninės “šlovės” siekimas buvo varomoji jėga, dabar ja tapo paprasčiausiai pinigai.Turint tai omenyje, panašu, kad 2006 metais internetinės grėsmės, kuriamos finansiniais paskatinimais, bus pačios vaisingiausios, dėl to vartotojai turėtų atkreipti dėmesį į šio tipo grėsmes, o tai yra:

„Backdoor“ trojos arkliai: jie leidžia atidaryti kompiuteryje „galines duris“, per kurias sistemą galima valdyti nuotoliniu būdu. Tokiu būdu, be visų kitų veiksmų, galimas konfidencialios informacijos vogimas, kenksmingų kodų įdiegimas ar kitų kompiuterių puolimas.

„Keylogger“ trojos arkliai: jie gali registruoti klavišų nuspaudimus, padarytus Jūsų kompiuteryje, ir yra dažniausiai naudojami renkant vartotojo bankinę informaciją.

„Bot“ trojos arkliai ir kirminai , kurie leidžia parsiųsti kitų rūšių grėsmes arba tiesiog gali paversti kompiuterį pašto šiukšles gaminančiu zombiu.

Šnipinėjimo programos , uždirbančios pinigus iš informacijos apie vartotojo interneto naudojimosi įpročius pardavinėjimo.

“Phishing” ir “pharming” programos – vis labiau plintantys du tiesioginių apgavysčių metodai.

Tačiau grėsmės, su kuriomis susidursime 2006 metais, turėtų būti daug sudėtingesnės ir painesnės, nei dabartiniai pavyzdžiai. Tai gali būti tiesiogiai susiję su “phishing”, kuris, vietoj to, kad plistų vien tik e-laiškais, tikriausiai pasitelks į pagalbą kitą kenksmingą kodą, kaip, pavyzdžiui, trojos arklius.

Kita vertus, žinant jų pelno siekiančią prigimtį, tikslingos atakos (tos, per kurias naudojamasi kenksmingais kodais, sukurtais būtent tam tikrų vartotojų puolimui) turėtų suintensyvėti.

Bet kuriuo atveju, nesvarbu, kokios rūšies grėsmė, jos kūrėjai tikrai pasistengs likti nepastebėtais tiek saugumo kompanijų, tiek vartotojų. Taip jie užsitikrins, kad ilgą laiką galės atlikinėti kenksmingas operacijas. Dėl to galima nuspėti, kad internetinių grėsmių aktyvumas didės sparčiais tempais, nors kol kas mes nesame turėję labai daug epidemijų.

Anot Luis Corrons, “Labai galimas daiktas, kad tyliosios grėsmės 2006 metais taps pagrindinėmis kenkėjomis, įdiegdamos save ir veikdamos vartotojams net nežinant apie jų buvimą. Dėl to, reaktyvūs antivirusiniai produktai, kuriems būtini atnaujinimai, kad galėtų kovoti su internetinėmis grėsmėmis, jau bus nebepatikimi. Vartotojams reikės proaktyvių technologijų, kurios gali blokuoti naujai pasirodžiusius kenksmingus kodus, nereikalaudamos ankstesnių atsinaujinimų, bet analizuodamos jų elgesį.”

Apie ateinančių metų grėsmes galite diskutuoti mūsų forume.

Virusų ir šnipinėjimo programų lapkričio mėnesio dešimtukas

info — Sun, 27 Aug 2006 15:51:14 +0000

Net ir lapkritį, jau penktą mėnesį iš eilės, Sdbot.ftp buvo tiesioginio antivirusinio sprendimo Panda ActiveScan dažniausiai aptinkama grėsmė. Sąraše taip pat yra grėsmės, kurios turėjo didelį poveikį praėjusį mėnesį,- Sober.AH ir Mitglieder.FK,- dažnai pasirodydamos kartu su Mitglieder šeimos trojos arkliais. Kalbant apie šnipinėjimo programas, New.net išlaikė lyderio pozicijas, kaip ir spalio mėnesį.- Sober.AH: sėkmingas virusų derinys ir socialinė inžinerija.

Sober AH variantas sugebėjo taip greitai išplisti dėka jo kūrėjo panaudotos socialinės inžinerijos metodo, kuriuo vartotojai būdavo pavilioti atidaryti failą su kirminu. Sober.Ah pritraukdavo dėmesį tokiais būdais, kaip e-laiško tekstais, užsimenančiais apie Paris Hilton ir Nicole Richie nuotraukas ir video medžiagą, ir kitais, bandančiais įtikinti esant įspėjimais iš FTB ar CŽV apie prisijungimą prie uždraustų internetinių adresų.

- Mitglieder trojos arklys dominuoja sąraše.

Keturios grėsmės iš Panda ActiveScan aptiktųjų yra Mitglieder šeimos trojos arkliai. Jų dominavimas aiškiai pastebimas buvo Lapkritį sukurtose atakose, pasižymėjusiose masiniu daugybės variantu plitimu užtvindant tinklą.

- Trojos arklių daugėjimas.

Priešingai kirminų dominavimui praeitame dešimtuke, šį mėnesį penkios grėsmės iš sąrašo yra trojos arkliai, kas parodo internetinių apgavikų suaktyvėjimą naudojantis šios rūšies grėsmę kaip priemonę savo piktiems ketinimams.

Grėsmė	Dažnumas %
W32/Sdbot.ftp	3.59
W32/Netsky.P.worm	2.11
W32/Sober.AH.worm	1.64
Trj/Mitglieder.FK	1.33
W32/Gaobot.gen.worm	1.18
Trj/Qhost.gen	1.15
Trj/Mitglieder.GB	1.06
Trj/Mitglieder.FO	0.93
W32/Alcan.A.worm	0.85
Trj/Mitglieder.FL	0.78

Palyginimui Lietuvos duomenys:

Grėsmė	Dažnumas %
W32/Sdbot.ftp	4.72
W32/Netsky.P.worm	2.86
Trj/Mitglieder.FK	2.36
W32/Jeefo	1.86
W32/Gaobot.gen.worm	1.61
W32/Sober.AH.worm	1.49
Trj/Mitglie der.FO	1.24
Trj/Mitglieder.FU	1.24
Trj/Cimuz.X	1.24
Trj/MadCow.A	1.24

Lapkričio mėnesio šnipinėjimo programų dešimtuke pirmosios trys pozicijos išlieka nepakitusios. Pasikeitimai yra tik dėl LinkReplacer ir CWS.Olehelp, kurie pakeitė Dyfuca ir Petro-Line.

Šnipinėjimo programa	Dažnumas %
Spyware/New.net	2.35
Spyware/Cydoor	1.56
Spyware/Virtumonde	0.87
Spyware/BetterInet	0.57
Spyware/Altnet	0.57
Spyware/MarketScore	0.43
Spyware/RXToolbar	0.38
Spyware/media-motor	0.27
Spyware/LinkReplacer	0.27
Spyware/CWS.Olehelp	0.2

Gmail apsaugotas ir nuo virusų

info — Sun, 27 Aug 2006 15:49:30 +0000

Google savo teikiamai Gmail paslaugai įdiegė ir apsaugą nuo virusų. Dabar bus skanuojami visi išeinantys ir ateinantys laiškai, siekiant apsaugoti Gmail vartotojus nuo virusų epidemijų. Siunčiamų laiškų skanavimas neleis virusams plisti per Gmail el. pašto sistemą.Kaip teigiama Gmail pagalbos centre: “Jei gautame laiške pridėtas failas yra su virusu, mūsų sistema pabandys išvalyti jį, kad atsiųsta informacija išliktų Jums pasiekiama. Jei viruso nebus galima išvalyti, sistema neleis atsisiusti šio failo”.

Bavarijos policija įspėja dėl naujo viruso

info — Sun, 27 Aug 2006 15:48:31 +0000

Bavarijos policija spaudoje paskelbė įspėjimą apie naujus viruso Sober.worm variantus diena iki jų pasirodymo.Paskelbta ne tik apie naujas viruso versijas, bet ir apie tekstą rašomą el. pašto žinutėje su infekuotu failu. Tekstas, „Thanks for your registration. Your data are saved in zipped Word.doc file!“ (vert. Ačiū už registravimąsi. Jūsų duomenys išsaugoti suarchyvuotame Word.doc faile!), atsiranda el. pašto žinutėje kartu su prisegtu failu registration.zip. F-Secure savo blog‘e pažymėjo, kad bent vienas iš Sober.worm variantų tikrai turi tokią žinutę.

Bavarijos policija nepateikė jokių papildomų detalių, kaip jie sugebėjo numatyti naują „kirmino“ pasklidimą. Sakoma tik, kad tai paaiškėjo vykdant tyrimą. Manoma, kad Sober.worm „kirmino“ ir kelių jo variantų autorius yra vokietis.