často aktualizujte sw (nejlépe automaticky).
Zpráva o bezpečnosti Internetu za 2. pololetí 2004
[23.3.2005 10:40] Robert Vamosi (CNET Reviews) debatuje v článku
Criminal hackers reach beyond Windows and Internet Explorer s Davidem
Cole (Symantec) nad výsledky zprávy Symantecu o bezpečnosti Internetu za druhé pololetí 2004
Symantec Internet Security
Threat Report Highlights Rise In Threats To Confidential Information. Stručně řečeno -
tradiční Internetové útoky jsou na ústupu, zato narůstají útoky zaměřené na IM (Instant
Messaging), IRC (Internet Relay Chat) a výměnné sítě (P2P); běžnější jsou novější útoky (spyware,
phishing, pharming); s tím jak se uživatelé odvracejí od M$ IE se útočníci více zaměřují na
Mozillu a jiné internetové prohlížeče; poroste zájem o jiné OS (Mac OS také není bez chyb);
objevuje se malware pro mobilní zařizení založené na OS Symbian; dříve spíše individuální tvůrce
malware pohlcuje organizovaný zločin... Zpráva resp. její části jsou široce rozebírány a
komentovány v mediích.
Tři noví Symbianoví trojani za den
[22.3.2005 18:50] Jarno (F-Secure) přináší zprávu o nových dnešních úlovcích:
Drever.B, Drever.C a Skulls.F. Drever.C se neúspěšně pokouší poškodit
zavaděč a binárky F-Secure Mobile Anti-Virus. Tato verze trojana obsahuje zprávu:
FSECURE MUST DIE!!!!!!
Please, don't make new antiviruses for my viruses and I stop make
viruses for your antiviruses. My target is Simworks!
=)
Je snad zbytečné podotýkat že se F-Secure této prosbě nechystá vyhovět.
→Three new Symbian trojans in one day
Rafinované útoky
[22.3.2005 18:00] z poslední doby rozebírá článek
Sumitomo Matsui Bank sophisticated hacking sends alarm signals.
Jeden z posledních známých útoků byl pokus ukrást 220 milionů liber (421 milionů US$) z
londýnských poboček japonské bankovní skupiny Sumitomo. Odhad globálních ekonomických
škod způsobených všemi typy digitálních rizik za rok 2004 leží podle společnosti
mi2g
mezi 470 a 578 biliony US$, což je více než dvojnásobek odhadovaných škod za rok 2003...
Nebezpečné zprávy
[22.3.2005 17:40] Důkladný rozbor situace kolem IM (instant messaging)
přináší článek
→Does IM stand for insecure messaging?.
Chyba starších verzí McAfee AV
[22.3.2005 17:20] Starší verze produktových řad VirusScan a GroupShield
AV firmy McAfee trpí zranitelností buffer overflow. Uživatelé kteří si stáhli nejnovější
bezpečnostní signatury nejsou ohroženi.
→McAfee admits buffer vulnerability
Zranitelná jablka
[22.3.2005 17:00] Hackerské útoky na stroje Apple sílí - Mac OS není
tak nezranitelný jak mnoho nadšenců tvrdí. Symantec našel r. 2004 více než 37 velmi vážných
chyb v Mac OS. S vzestupem iPodů se svět i hackeři o dražší stroje více zajímají... Přes
rostoucínebezpečí je počet objevených chyb mrňavý ve srovnání s počet chyb MS Windows
.
více zde
→Apple vulnerable to hack attack
Cialis vede!
[22.3.2005 15:00]
Experti AV firmy Sophos zveřejnili seznam slov která
se spameři v majlech snaží zamaskovat, aby se vyhnuli odfiltrování spamů.
Zjistili že až 80% spamu využívá maskovací triky aby spamy proklouzly antispamovými filtry na
poštovních branách - od jednoduchých záměn písmene o číslicí 0 až po složité techniky
využívající HTML. Avšak důmyslné antispamové programy dokáží rozpoznat spamy obsahující úmyslně
zamaskovaná slova a fráze a nepustí je do poštovních schránek uživatelů. Např. Sophos PureMessage
může zjistit více než 5,6 miliard různých způsobů jak může být ve spamu zamaskováno slovo Viagra.
SophosLabs analyzovalo seznam slov podle četnosti výskytu v majlech aby zjistili která slova
jsou nejčastěji maskovaná. Zjistili že 30% obdržených spamů obsahovalo URL spojené s zdravotními
inzeráty (nabídky léčiv [drog]); jednoznačně sexuální slova tvoří 14% z 50 nejčastějších slov na
seznamu. Ze seznamu slov nejčastěji skrývaných spamery je vidět že většina spamu je o starých známých:
peníze, drogy a sex. Je důležité aby lidé nejen udržovali antispamový sw aktuální, ale především aby
od kriminálníků, jimiž spameři jsou, nekupovali žádné zboží. Pokud by nikdo na spamy nereagoval,
spam by dávno vymřel.
Seznam nejčastěji maskovaných slov ve spamech:
| 1. | cialis | 6. | valium
|
| 2. | orgasms | 7. | pharmacy
|
| 6. | viagra | 8. | xanax
|
| 4. | shipping | 9. | increase
|
| 5. | milf | 10. | vicodin |
Mimochodem, "Windows XP" je na 40. místě
→Sophos report reveals words that spammers most commonly try to disguise
AccessiV: 7 let
[22.3.2005 11:20] Yury (Kaspersky Lab) vzpomíná na prvního vira pro MS
Access - Virus.MSAccess.AccessiV - který se objevil před sedmi lety. V dnešní době však
takovéto jednoduché viry téměř vymizely... →First MS Access Virus celebrates seventh birthday.
[22.3.2005 10:40] Mika (F-Secure) se
zmiňuje o trojanu skrývajícím se
pomocí staré finty - tím že se neskrývá (před programem vyhledávajícím rootkity
). Proti tomu je ale snadná pomoc: před
spuštěním přejmenujte fsbl.exe na něco co neobsahuje řetěz fsbl (nikde po celé
cestě - mimochodem to je dobré u každého vyhledávače rootkitů).
→archiv
Snadné zneužití bezdrátu
[21.3.2005 16:30] Na ZDNetu je zajímavý
článek o bezdrátovém
přístupu k Internetu (v USA ho má už 10 milionů domácností!) a o snadnosti jeho
zneužití zloději a o problémech prokazování takové činnosti.
Benny překladatel
[18.3.2005 18:10] Pokud si ještě vybavíte jistého Bennyho (polepšený hacker,
→dřívější aktualita), stal se i
překladatelem: právě mu jeho současný zaměstnavatel vydal překlad knihy
HACKING - umění exploitace (autor: Jon Erickson). Nahlédnutí do ukázky
dává dojem dosti slušného překladu.
Mimochodem, originál má na Amazonu pochvalné recenze (tedy, uživatelské: customer review)
→podrobnosti
Dva nové Symbianovské trojany
[18.3.2005 16:00] Jarno (F-Secure) se zmiňuje o dvou dnes objevených
trojanech Drever.A a
Locknut.B.
F-Secure provedlo zajímavý test - vyzkoušet jak se bude malware pro Symbian Series 60
chovat na jiných zařízeních. Ani Cabir ani Comwarrior na Series 80 nebo Series 90
nefungují, ale Skulls a Locknut fungují. Protože instalace malware pro
Series 60 na zařízeních s jinými verzemi Symbianu je složitější a uživatel dostane zvláštní
výstrahu, nepředstavuje pro ně zvláštní hrozbu. Ale protože lidé jsou zvědaví, malé nebezpečí
tu stále je.
→Two new Symbian trojans in one day.
Virové války - druhá epizoda
[18.3.2005 15:40] Podle tvrzení Eugena (Kaspersky Lab) nabírá virová
válka další obrátky: protože počet využitelných (rozumějme: pro účely útočníka) strojů
klesá (jak jsou postupně infikovány jistým druhem infekce), malware začíná ničit (odstraňovat)
svou konkurenci (tj. jiný dříve nainstalovaný malware, který ale pracuje pro někoho jiného).
Tato bitva už probíhá, u adware, trojanů,...
zřejmě bude docházet ke konsolidaci malých roztříštěných skupin do velkých e-gangů
→Virus Wars
Episode II
Milion PC pro hackery
[18.3.2005 10:20] Václav Kadlec píše v
článku na Živě o
výsledcích sledování aktivity hackerů, podle nichž mají k dispozici přes milion
napadených PC spojených do sítí (kterých může být až 6000); tyto sítě jsou tvořeny několika
až desetitisíci stroji a jsou zneužívány k útokům DoS, šíření spamů, hledání dalších
napadnutelných strojů a jiným bohunelibým účelům. Informace jsou přejaty z projektu
HoneyNet o němž jsme se nedávno zmiňovali.
Viry versus bakterie
[17.3.2005 17:20] Jarno (F-Secure) se zmiňuje o zajímavé inovaci na
poli mobilních telefonů: zatímco AV firmy poskytují pro mobily antivirovou ochranu,
nový mobil Samsung SCH-869 je od výrobce opatřen antibakteriálním povlakem
což Jarno komentuje "avšak tato
ochrana nebrání proti softwareovým virům, ale stejně ani náš antivir nezabíjí biologické viry".
→Samsung announces anti-bacterial phone
Konec Internetu?
[17.3.2005 10:30] ISC SANS upozorňuje na článek
How To Save The
Internet v němž řada odborníků uvažuje o změnách nutných k záchraně téměř nefunkčního
Internetu. → It's the end of the world as we know it...
Profesor Hannu H. Kari se svou předpovědí konce Internetu není sám, podobně pesimistický
pohled má např. i Eugene Kaspersky.
'Vigilante' zhatí červy
[16.3.2005 12:20] Článek
Microsoft 'Vigilante' Project Foils Worms (CIO Today)
popisuje novou techniku omezení virů, červů a hakerských útoků, vyvinutou Mikrosoftem.
Nový přehled novinek ze světa bezpečnosti
[16.3.2005 11:40] má být zveřejňován ode dneška na
Lupě. Tento
článek přináší přehled za březen.
[15.3.2005 16:10] Mikko (F-Secure) se zmiňuje o Bluetoothovém spojení
na vzdálenost větší než kilometr (na rozdíl od metrů uváděných ve specifikacích) pomocí
Bluesniper
Rifle →Return of the Bluesniper. Později jsem našel podobnou zmínku i u
Igiho.
Java.OpenStream.T
[15.3.2005 16:00] Jarno (F-Secure) se zmiňuje o javovském trojanu schopném
stáhnout a infikovat M$IE spywarem. Java.OpenStream.T je přenosný, tj. pracuje i pod jiným prohližečem
podporujícím Javu (např. Firefox) a pravděpodobně i v Linuxovém prostředí.
→Java Applet trojan that infects Internet Explorer even when run in Firefox.
Zneužívání chyb AWStats pokračuje
[15.3.2005 11:50] Hrubý odhad ISC SANS pomocí vyhledávání Googlem
dává dalších přibližně 110000 napadnutelných strojů.
→AWStats exploitation
on-going →aktualita
[15.3.2005 10:20] Projekt
Honeynet [1] vydal nový dokument řady "Poznej svého nepřítele"
Tracking Botnets. Přehled dalších
článků naleznete zde.
Rozsáhlý rozbor tohoto dokumentu přináší v článku
Sítě botů v
číslech na DigiWeb.cz Mirek Holý.
[1] Projekt Honeynet
je nezisková výzkumná organizace bezpečnostních profesionálů zaměřených na
bezpečnost informací. Nemáme žádné produkty, služby ani zaměstnance, náš výzkum je prováděn
dobrovolně. Naším cílem je poznat prostředky, taktiku a motivy skupiny krekrů ("blackhat
community") a sdílet co jsme se naučili. Věříme že náš výzkum obohatí jak účastníky projektu,
tak bezpečnostní obec. Organizace byla založena v říjnu 1999; všechna naše práce je
OpenSource a je sdílena s bezpečnostní obcí.
Další víkend
[14.3.2005 11:40] Mezi běžnou víkendovou agendou v ISC SANS, jako jsou
reakce na zaslané majly a hlášení o různých mimořádných událostech a problémech, vyhledávání
botů, sledování phishingových pokusů, se tento víkend objevil i hromadný únos stránek několika
poskytovatelů webu (web hosting) na stránky www.7sir7.com a další, které prováděly skenování a
pokusy o instalování malware... V příspěvku Phish, Bots and What-Nots píše Lorna Hutcheson jak postupuje v případě
phishingu. Minulý týden byl
CeBIT: F-Secure se chlubí velkým zájmem o jejich nový produkt BlackLight
(→aktualita) - reklamované "falešné" poplachy vedly
k objevení dosud neznámého rootkitu.
Nová metoda blokování virů
[11.3.2005 16:50] Podle článku
New anti-computer virus technology developed v
CHINA VIEW oznámila čínská AV firma
Beijing Jiangmin New Science & Technology Company Ltd. že vyvinula novou technologii
blokování trojanů, založenou na sledování změn registrů následovaném blokováním virů nebo
upozorněním uživatele na neznámé chování podezřelých virů.
[11.3.2005 10:10] Mikko (F-Secure) se včera ohlásil z CeBITu a
zmiňoval se o jejich novém produktu BlackLight vyhledávajícím a odstraňujícím rootkity
(→výklad)
(→aktualita) - další informace a stažení
zde. Nová technologie má být
"později tento rok" integrována do AV produktů F-Secure. Navíc k stručnému vysvětlení
uvedl odkazy na další informace Roberta Hensinga
Incident Response WebLog a jiný produkt Sysinternals Freeware -
RootkitRevealer
(→aktualita). Nedočkavě jsem si BlackLight
stáhl, nainstaloval a spustil - naštěstí nic nenašel, takže mohu být chvilku klidnější...
→Greetings from CeBIT 2005!
PC s CA License Clientem v ohrožení
[10.3.2005 14:10] Ve středu Computer Associates International Inc. (CA)
vydala opravy bezpečnostních chyb CA License Client and Server software a v pátek již
byl zveřejněn exploit; od té doby probíhá stále intenzivnější skenování sitě s cílem najít
stroje ohrožené touto slabinou. Vzhledem k tomu že CA License Client and Server software je
přibalen k téměř každému jinému sw firmy CA a klientská část je ve většině případů povolena, jsou
téměř všechny stroje se sw CA ohroženy. Přestože dosud není znám žádný případ napadení s zneužitím
tohoto exploitu, CA silně doporučuje okamžitě instalovat opravy.
→Exploit released for CA product vulnerability
Další krádež dat
[10.3.2005 11:50] Paul Roberts (IDG News Service) přináší v LinuxWordu zprávu o novém
případu krádeže důvěrných dat nejméně 32000 klientů divize Seisint kterou firma
LexisNexis získala v září. Seisint shromážďuje data o osobách která uživají státní úřady i
soukromé firmy pro získání dluhů, zjišťování zločinů a podobné služby. Tento případ je podobný
v únoru zveřejněné krádeži dat u konkurenční firmy ChoicePoint (→aktualita), bylo ale použito jiné techniky. LexisNexis podniká akce k
zlepšení ochrany dat a prověřování zákazníků. Incident vyšetřuje mj. i tajná služby USA. Jiný
nedávný případ ztráty dat postihl Bank of America (→aktualita).
→Hackers grab LexisNexis info on 32,000 people.
Podle článku Heather Timmons (The New York Times) v IHT je však situace horší než
by se z předchozího mohlo zdát, protože Seisint konzoliduje data z různých vládních úřadů.
→Reed Elsevier suspects hackers stole private records in U.S..
[10.3.2005 9:30] Sean Michael Kerner (internetnews.com) rozebírá přibývající
phishingové útoky založené na zneužití slabin DNS a uvádí závěry nedávno zveřejněné zprávy
Anti-Phishing Working Group (APWG), podle níž tyto útoky od prosince 2004 do ledna 2005 vzrostly o
42%. →Phishing Attacks Jump 42 Percent
→DNS-Based Phishing Attacks on The Rise
Venuše?
[9.3.2005 12:20] BT spustila nový poštovní bezpečnostní nástroj
Venus (Viral E-mail Network Utilisation Symptomiser) pro identifikaci poštou šířených
virů, nezachycených existujícími AV systémy. Venus monitoruje neobvyklé chování pošty na
itranetu, které by mohlo znamenat vir, a proaktivně brání šíření. Jakmile zjistí infikovaný
stroj, automaticky zabrání dalšímu odesílání pošty dokud není zdroj infekce identifikován a
odstraněn. →BT turns to Venus to proactively prevent virus attacks.
ITsafe
[9.3.2005 12:00] Anglická vláda spustila nové stránky
ITsafe zaměřené na podporu domácích
uživatelů a malých firem ("SOHO") proti virům a jiným síťovým hrozbám.
→Government launches IT security awareness website.
Další nástroj pro nalezení rootkitů
[9.3.2005 10:30] Mark Joseph Edwards (Windows IT Pro)
upozorňuje na nový
nástroj BlackLight pro detekci rootkitů, vyvinutý AV firmou F-Secure. Má být
předveden veřejnosti zítra na CeBitu, k stažení rovněž od zítřka
zde (plně funkční β - do
30.4.2005). Původní zpráva F-Secure je zde.
Nový spamerský trik
[8.3.2005 16:30] Asi před měsícem psal Dan Ilett (ZDNet UK) o novém triku
umožňujícímu spamerům obcházet blacklisty: infikované stroje neodesílají spamy adresátům samy
ale posílají je prostřednictvím majlových serverů jejich ISP (podle tvrzení antispamové organizace
SpamHaus; jejíž ředitel předpovídá zhroucení emajlové infrastruktury a doporučuje ISP
přiškrtit množství majlů přicházejících z účtů s širokopásmovým připojením).
→Spammers 'tricking ISPs' into sending junk mail
Podle výzkumu který minulý pátek zveřejnily MessageLabs se podařilo najít důkazy že se
tak skutečně děje: zatímco objem spamů přicházejícího přímo od sítí infikovaných strojů klesl
z 79% na 59%, celkové množství spamu ale vzrostlo, což potvrzuje změnu způsobu distribuce spamu. ISP
budou muset jednat rychle: musí začít řídit data procházející jejich sítěmi - nepropouštět viry
a spamy. →It's
official: Spammers are hijacking ISPs. Také tento článek napsal Dan Ilett (ZDNet UK).
Identita a podvody
[8.3.2005 11:30] Podle nedávného průzkumu stránek Which? byla čtvrtině
anglických dospělých zcizena identita nebo zná někoho kdo se stal obětí podvodu s identitou.
Ztráty z těchto - jedněch z nejrychleji rostoucích - podvodů v Anglii lze odhadnout na 1,3 bilionů
liber ročně. Jako součást výzkumu se autorům poměrně jednoduše podařilo získat osobní informace
jednoho z editorů Which?... Jednoduché způsoby jak se těmto zločinům vyhnout jsou např.
nepoužívat dívčí jméno matky nebo místo narození [*] jako hesla, nepožívat stejné heslo k více
účtům... (polovina dotazovaných používala stejné heslo k více účtům).
→Identity fraud
[*] přesněji nepoužívat žádná snadno zjistitelná osobní jména, jména příbuzných, jména
domácích mazlíčků, data či místa narození příbuzných - prostě žádné informace které lze o dané
osobě zjistit z mnoha veřejných zdrojů...
Další noví IM červi
[9.3.2005 11:20] Zajímavý rozbor situace přináší Gregg Keizer (TechWeb News)
→New IM Worms Hit MSN
Messenger. Upozorňuje také na stránku s přehledem virů (mimo jiné )
IM Threat Center
a volně dostupný analyzátor IM Detector Pro.
[9.3.2005 10:00] Ryan Naraine (eWeek) rozebírá soustředěný útok na uživatele
IM klienta MSN: upozorňuje na úspěšně používané metody sociálního inženýrství, nové metody
šíření některých nových mutací červů Bropia, nové červy Kelvir a Sumom,
a trojana Backdoor.Rbot kterého červi instalují. Trojan Rbot může být řízen
přes IRC, hledá stroje s neopravenými bezpečnostními chybami, spouští DoS útoky, zaznamenává
a odesílá hesla a podrobné informace o napadených strojích... Červi se šíří jako odkazy na PIF
soubory: jakmile na něj svedený uživatel klikne, červ se nainstaluje a rozešle se na všechny
kontakty v MSN Messengeru. →Worm Chatter Escalates on MSN Messenger.
[8.3.2005 10:50] Alexey (F-Secure) objevují se stále noví Instant
Messaging červi - Bropia je už u verze K [*], dva noví MSN červi jsou
Kelvir a
Sumom.
Na obzoru může být další válka autorů - červ Sumom má v sobě zprávu pro autora červa
Assiral, kterému
hrubě nadává za pokusy odstraňovat červa Bropia.
→Instant Messaging worms getting popular
[*] Až bude vytvořen, bude mít tento popis.
První MMS vir pro mobily
[8.3.2005 10:40] Mikko (F-Secure): byl objeven vir pro mobily, šířící se
jako MMS - CommWarrior
- na platformě Symbian Series 60. Pokouší se šířit jak přes MMS, tak přes Bluetooth a je pravděpodobně
ruského původu.
→First
MMS mobile phone virus?
[8.3.2005 17:30] Jarno (F-Secure) aktualizuje - šíření prostřednictvím
MMS je sice potvrzeno, ale je mnohem složitější než přes bluetooth: mezi MMS zprávami je zpoždění,
k instalaci je potřeba ještě více kroků než pomocí bluetooth, adresát musí mít kompatibilní mobil
s Symbian Series 60... navíc (naštěstí) mnoho operátorů služby MMS nezapíná automaticky
takže masivní šíření CommWarriora
ani konec světa zřejmě nehrozí.
→More detailed description of Commwarrior worms.
Konec anonymity v síti?
[8.3.2005 14:10] Bruce
Schneier přidává abstrakt přednášky a komentuje: "Really nice work."
[7.3.2005 18:30] Podle článku
Tracking PCs anywhere on the Net (Renai LeMay, CNET News.com)
našel Tadayoshi Kohno, doktorand University of California, řadu účinných technik
(založených na posunu hodin [clock skew]) identifikace vzdálených zařízení (PC) v síti. Nový
objev nabízí dalekosáhlé možnosti využití.
Stanfordská univerzita
[7.3.2005 15:30] zveřejnila výsledky průzkumu, zaměřeného na PC a spotřební elektroniku,
v němž odpovědělo tři tisíce studentů: 98% má vlastní PC (při tom 10% dva nebo více! nepočítaje v to
PDA a pod.), 83% má laptop, 11% má PDA a pod., 69% má vlastní tiskárnu, 80% má mobil, 56% má digitální
foťák nebo video kameru, 53% má přenosný hudební přehrávač (MP3, iPod, atd.), 9% má bezdrát ("WiFi"
přístupový bod nebo směrovač). Co se bezpečnosti týče, 53% používá automaticky pracující AV program,
52% používá anti-spyware, 49% periodicky pouští AV program, 48% má nastaveny automatické aktualizace
Windows resp. aplikací. Co se týče OS, 78% užívá MS Windows, 22% užívá Apple OS, 2% Unix/Linux.
Samozřejmě je tam spousta dalších zajímavostí...
→Results from the Annual Residence Evaluation
Důsledky prolomení SHA-1
[7.3.2005 10:40] Robert Lemos (ZDNet) se v článku
Fixing a hole in security
zabývá otázkami kolem nedávného prolomení SHA-1 (viz dřívější aktualita) a přebírá interview s jedním z autorů průlomu, Yinem (z
CNET News.com).
Neklidný víkend
[8.3.2005 10:20]
LAND Attack Update
(ISC SANS): Windows XP se zdá být zranitelné pouze s SP-2. Windows 2003 je zranitelné.
[7.3.2005 8:20] Víkend bývá obvykle klidný, tentokrát se toho ale dělo docela
dost podle zpráv v deníku ISC SANS:
některé známé stránky, jako např. google.com, ebay.com, weather.com byly
přesměrovány na podvržené servery www.7sir7.com, 123xxl.com, abx4.com zneužitím tzv. "otrávení
vyrovnávací paměti DNS" (DNS cache poisoning) - chybou postihující některé
firewally Symantecu.
Na podvržených serverech mohli být nakaženi spyware ABX toolbar, (nákaza pravděpodobně
nepostihuje prohlížeče nevyužívající
Active X a stroje s instalovaným WXP SP2). IP adresy podstrčených serverů jsou postupně blokovány.
Objevil se nový
LAND Attack na Windows XP a 2003 Server; útok vede k nestabilitě (zhroucení,
zablokování) napadeného stroje. Zatím se zdá že WXP Pro je tímto útokem zranitelné, WXP Home Edition
ne, Server 2003 nebyl dodud testován. Představa že stačí jediný šikovný paket aby se PCčko zhroutilo
mne, přiznávám se, dost děsí.
PIF soubory (např. parishilton.pif, cute.pif) šířící se pomocí URL předávaného IM programy,
ve zprávě typu "hot pic!!" po odkliknutí infikují stroj oběti a rozešlou se kamarádům... některé AV
programy je identifikují jako Backdoor.Win32.IRCBot.y, IM-Worm.Win32.Kelvir.a, Win32/Bropia.Variant!Worm
Drobnosti jako pokračující vyhledávání
nezazáplatovaných strojů se slabinami phpBB a awstat (následované útoky na ně) pak
trochu zanikají...
[7.3.2005 9:50] F-Secure hlásí novou variantu Email-Worm.Win32.Bagle.pac a
Bropia.K (červ MS Messenger)
Kaspersky Lab tvrdí že nový droper Bagle.pac je v Rusku masově rozesílán spamy
a připomíná první "mediální" vir
Michelangelo, který na sebe v březnu 1992 strhl pozornost medií (pesimistická předpověď
milionů PC se zničenými daty naštěstí nevyšla, bylo postiženo "jen" méně než 10000 PC).
[4.3.2005 15:50] místo šíření: konference 3GSM. Navíc se objevil nový Symbianovský trojan
Dampig.A který
vyřadí některé aplikace a nainstaluje několik variant Cabira (ty se ale nespustí automaticky
)
→New Symbian trojan and Cabir sighted in France
→aktualita
RootkitRevealer
[4.3.2005 12:30] Andrew Brandt (PC World) se v článku
New tool gives
the scoop on snoops v PC ADVISORu
zabývá novým prostředkem RootkitRevealer umožňujícím objevit malware skrývající se (bránící
se před odhalením) pomocí techniky rootkitu. RootkitRevealer umí zjistit přítomnost
několika známých rootkitů běžících pod Windows NT, 2000, nebo XP. Program je možno stáhnout ze
stránky jednoho z autorů Sysinternals.
Spyware
[4.3.2005 10:50] Eugene (Kaspersky Lab) se zamýšlí nad definicí spyware
(jeho oblíbená je:
"Spyware je sw který je nainstalován bez vašeho poučeného souhlasu. Sděluje o vás útočníkovi
důvěrné osobní informace. Mohou to být zprávy o vašich surfovacích zvycích, nebo sw může hledat
i mnohem zlověstnější informace, jako např. vyslídit čísla vašich kreditních karet a ohlásit je."
→Information
week).
Dochází k závěru že nejde o nic nového (již z r. 1996 pochází první trojan kradoucí hesla) - současný rozruch
kolem tohoto pojmu je hlavně marketingový trik který má zvýšit prodejnost nových specializovaných
anti-spywareových produktů... Mimochodem, uváděný článek
More Anti-Spyware Tips
se problematikou spyware zabývá podrobněji a uvádí i řadu tipů a dalších odkazů...
Mozilla - Firefox - Thunderbird: další chyby
[4.3.2005 10:10] czilla
informuje o nedávno odhalených mírně kritických chybách produktů Mozilla.org (zveřejnila Secunia
→Mozilla / Firefox / Thunderbird Multiple Vulnerabilities).
Yahoo: 10
[4.3.2005 9:30] I když se občas zdá že některé věci (jevy atp.) tu byly vždycky,
takřka od nepaměti, Yahoo slaví teprve 10 let...
na několik významných bodů z jeho historie se můžete podívat zde.
[3.3.2005 16:20] Jarno (F-Secure) si povzdechl: dokud budou lidé zvědaví a
nebudou užívat antiviráky, Cabir se prostě bude šířit dál...
→Cabir now in Hongkong and Japan
→aktualita
Searchmeup
[3.3.2005 13:40] PR Newswire komentuje zprávu AV firmy Panda Software
o adware Searchmeup, prvním adware zneužívajícím slabinu
Exploit/LoadImage k tomu aby se nainstaloval bez povolení uživatele. Současně
se nainstaluje trojan Tofger.AT který zaznamenává hesla řady bank (a odesílá je na server).
→Panda Software Reports the Appearance of Searchmeup, the First Adware Using the
Exploit/LoadImage Vulnerability
Únosy účtů
[3.3.2005 11:30] CIO TODAY se v článku
Account Hijacking Is Growing Concern zabývá poměrně novým způsobem získání
přístupu a zneužití bankovních účtů. Únosem účtu (account hijacking - kombinace
phishingu a hackingu) bylo vloni postiženo dva miliony majitelů bankovních účtů v USA.
Aktualizace RealPlayeru
[3.3.2005 11:10] TechWeb News oznamuje vydání aktualizací
opravujících nedávno objevené bezpečnostní slabiny RealPlayeru (RealNetworks).
Přehled a návod na stažení →RealNetworks, Inc. Releases Update to Address Security Vulnerabilities.
[4.3.2005 11:40] viz také Dvě vysoce kritické chyby RealPlayeru →Živě
[3.3.2005 16:30] Živě komentuje
[3.3.2005 10:30] Redakční článek IT Observer přináší zprávu o jmenování
Billa Gatese "Knight Commander of the Most Excellent Order of the British Empire". Rytířský titul
byl BG udělen za jeho aktivity pro zlepšení zdravotnictví v rozvojovém světě a jeho příspěvek
high-tech oblasti ve Spojeném Království.
První makrovir pro MS Office
[2.3.2005 16:20] jeho sedmé výročí včera připoměl Yuri (Kaspersky Lab)
→The first macro virus for MS Office.
Tento druh virů jakoby vymíral - nové makroviry téměř nevznikají.
Ticho po pěšině?
[2.3.2005 9:10] alespoň tak by se mohlo zdát z momentálního nedostatku zveřejňovaných
aktualit Že tomu tak není, ba spíše
naopak, by naznačil pohled na stránky oblíbených deníčků AV firem F-Secure a Kaspersky
Lab, ISC SANS a dalších přehledových stránek zaměřených na viry, malware a bezpečnost
(počítačovou!) vůbec... Zase jednou probíhají nevyhlášené závody mezi autory červů rodiny Bagle
a autory AV - Yuri (KL) si včera postěžoval že sotva aktualizují AV aby rozpoznával poslední
variantu je vypuštěna nová - KL uvádí zatím 15 nových variant, FS se zmiňuje o
nejméně dvou nových variantách (a dvou podezřelých) kombinujících se s čtyřmi downloadery ...
Nejpřesnější je ISC SANS: "řádí několik nových variant rodiny Beagle/Bagle" (parafráze!
)... Navíc jsou teď spameři mazanější -
např. používají spamovací pomůcky, které se tajně nainstalují na stroj oběti a tam sbírají
adresy, které pak odešlou (svému pánovi) a
odinstalují se; při sběru (vytváření) adres vypouštějí adresy AV a antispamových firem (aby oddálili
jejich reakci - postupují v tom podobně jako již dříve autoři virů) a své kampaně více plánují;
podle Mikka (FS) dokonce používají model klient-server: nová varianta červa se spojí s webovým
back-end serverem který jí dodá 50 adres na které se rozešle (a tak dál dokola).
[1.3.2005 16:24:58] byly oznámeny další dvě chyby (jedna kritická) a vydána oprava:
→phpBB 2.0.13
released - Critical Update. Informaci přinesli
ISC SANS i
Kaspersky Lab. Při tom byla teprve nedávno vydána jiná
oprava →aktualita.
20 nejkritičtějších slabin Internetu, v originále The Twenty Most Critical Internet Security Vulnerabilities, je dokument
který by neměl ujít vaší pozornosti...
Přehled nebezpečných programů byl přesunut do
samostatného dokumentu. Příliš se rozrůstal
Pokud vás zajímá jak se viry činí, nahledněte do žebříčků AV společností:
F-Secure virus statistics
(oficiální AV program MU), Kaspersky Labs Virus Top Twenty for April 2005 (nebo přes
Virus News a najít si příslušný měsíc),
Computer Associates Virus Information Center,
Messagelabs top 10 current virus threats,
Trend Micro Weekly Virus Report,
Trend Micro Top Threats,
Top ten viruses reported to Sophos in ... a dalších...
Zajímá-li vás rozšíření virů po světě, můžete nahlédnout do
mapy výskytu virů McAfee nebo
Trend Micro Virus Map.
Programy k odstranění virů a další informace jsou na www stránkách CIT
o virech a antivirech a také na dalších stránkách o
problematice virů (za všimnutí stojí i nové stránky Spyware.cz o problematice Spyware, Adware, Dialerů a jiných):
Další důležité stránky o bezpečnosti Woknous a Ouřadu:
Bezpečnostní aktuality za rok 2005 po jednotlivých měsících:
01 02
03 04
05 06
07 08
09 10
.
Běžné aktuality (zprávy, události - jiné než bezpečnostní )
naleznete zde.
Pro zájemce je k nahlédnutí archiv starších virovych, bezpečnostních
a jiných subjektivně významných
aktualit za rok 2004.
Rekapitulace starších zpráv a přehled událostí v roce 2004,
2003.
(od 20.1.2005)
