teplomer-sans ISS AlertCon


Aktuální virové, bezpečnostní a jiné (subjektivně) významné informace

Tato stránka je věnována hlavně virovým, bezpečnostním a jiným (subjektivně) významným aktualitám. Byla odštěpena od předchozí verze stránek aktualit, aby v ní nezanikaly důležité provozní aktuality ... icon_wink Bude se asi časem sama poněkud měnit...

Bezpečnostní aktuality za rok 2005 po jednotlivých měsících: 01 02 03 04 05 06 07 08 09 10 .

Běžné aktuality (zprávy, události - jiné než bezpečnostní icon_wink) naleznete zde.

Pro zájemce je k nahlédnutí archiv starších virovych, bezpečnostních a jiných subjektivně významných icon_wink aktualit za rok 2004.

Rekapitulace starších zpráv a přehled událostí v roce 2004, 2003.


Aktualizujte Kerio Personal Firewall

[31.3.2005 15:00] neb verze starší než právě zveřejněná 4.1.3 obsahují chybu - upozorňuje Vít Jurásek (Živě)Nová bezpečnostní chyba v Kerio Personal Firewallu.

Phishing a pharming

[31.3.2005 10:50] rozborem těchto pojmů se zabývá článek Rhybaření střídá pharming na Lupě jehož autorem je Ondřej Bitto.

Netiketa

[31.3.2005 10:40] Pavel Satrapa má na Lupě povídání o netiketě Neškodí si občas připomenout co to vlastně je... icon_wink

Po penězích jdou i autoři rootkitů

[30.3.2005 19:40] říká Mika (F-Secure) v poznámce Money: Rootkit authors go for gold. Autor rootkitu Hacker Defender (dosud prodávaného jako obrana proti detekci antiviry) ho rozšířil o schopnost obrany před vyhledávači rootkitů a jako Golden Hacker Defender prodává za asi 500 US$. Mika ale doporučuje peníze takhle nevyhazovat icon_wink

FSA

[30.3.2005 11:00] John Oates (The Register) přináší zprávu o nově založené Fingerprint Sharing Alliance, v níž se spojili velcí poskytovatelé Internetových služeb (ISP), telefonní společnosti, výrobci (a jiní) jako jsou BT, Cisco, Earthlink, Internet2, MCI, The Planet a další k výměně informací o hackerských útocích. Dříve se takovéto informace sdílely neformálně pomocí osobních kontaktů v bezpečnostní komunitě. Informace bude automaticky sbírat Arbor Networks a bude je předávat členům aliance. →ISPs share hacker infovícevícevícetéž

Chyby a aktualizace produktů Symantec

[30.3.2005 10:40] SecurityTracker informuje o aktualizacích níže uvedených produktů Symantec vzhledem k chybám "AutoProtect Errors May Let Local or Remote Users Deny Service": Norton AntiVirus | Norton Internet Security | Norton System WorksSymantec AdvisoryArchives

Phishing na vzestupu

[30.3.2005 10:10] Nová zpráva Anti-Phishing Working Group (APWG) říká že průměrný měsíční nárůst "phishing sites" za minulý více než půlrok (červenec 2004 - únor 2005) byl 26% - v únoru bylo 2625 aktivních phishingových sídel →dřívější aktualita.

virus

Terč: on-line banky

[30.3.2005 9:50] Alex (Kaspersky Lab) upozorňuje na změnu zájmu autorů virů Bagle: poslední varianty se zaměřují na on-line banky a platební systémy, a což je horší, ne na konkrétní ale obecně na stovky on-line bankovních systémů. →Bagle targeting banks.

Rybáři a jim podobní

[30.3.2005 9:40] Mikko (F-Secure) přednášel na Microsoftím Technet webcastu. Záznam prezentace "Phishers, Spammers and Scammers: Criminals of the Internet" je k dispozici tu a taky tady. Asi bych se na to měl taky podívat, a vůbec... icon_wink

Zhovadilost

[29.3.2005 11:30] jinak snad ani nejde nazvat nápad frimy DVForge vypsat soutěž o vytvoření prvního původního viru pro Apple Macintosh OS X (s cenou 25000 US$). Soutěž byla vzápětí odvolána (pod tlakem odmítavých reakcí uživatelů i sw profesionálů OS Mac). Mikko (F-Secure) si myslí že se nic špatného nestalo (v původní, nearchivní verzi deníčku; v upravené archivní verzi se o tom již nezmiňuje), IMHO škoda se stala a to veliká: je to další podpora zrůdného názoru že psaní a zveřejňování virů není nic špatného, že to vlastně podporuje vývoj... Ukazuje na to i zdůvodnění vypsání soutěže: "pohřbít mytus obklopující nedostatek virů šířících se v Mac OSu" zesílené ve stejné větě blábolem o "neškodných virech": "To lay to rest, once and for all, the myths surrounding the lack of spreading computer virii on the Macintosh OS X operating system, by sponsoring a contest that challenges virus writers to actually prove that they can introduce a harmless virus into two modern OS X Macs." V této souvislosti mi lítostivý podtitulek "Soutěž která se naneštěstí nikdy nebude konat" ("The Contest That, Sadly, WIll Never Be") připadá až dryáčnický. (Napadá mne nepěkná představajestli celá tato akce nebyl promyšlený marketingový tah jak k firmě DVForge přitáhnout pozornost... negativní reklama je jednou z nejúčinnějších). icon_sadTalking about money.... Záznam původního oznámení najdete zde, odvolání zde. icon_sad.
[29.3.2005 14:20] Rozsáhlý rozbor přináší Paul Roberts (IDG News Service)Company backs off bounty for Mac OS X virus.
[29.3.2005 14:40] Nick Farrell (the inquirer) přináší stručnou informaci s odkazem na další rozbor.

Strašná představa

[29.3.2005 11:10] napadla na Bílou sobotu Mikka (F-Secure): protože víme, že spam vynáší (jsou lidé kteří si na spamu nadělali jmění) a protože víme, že někteří autoři virů se spamery spolupracují a někteří se tím dokonce živí, mohou být i bohatí autoři virů... Viroví milionáři? icon_winkMoney

Melissa - 6 let

[29.3.2005 10:30] Alex (Kaspersky Lab) vzpomíná na výročí viru Melissa - první makrovir šiřitelný poštou, jedna z nejvážnějších Internetových infekcí (postižen byl i Microsoft, který dokonce dočasně zavřel poštovní systém aby zamezil lavinovitému šíření Melissy). Autor viru David Lee Smith byl rychle identifikovám a dopaden; trest (10 let a pokuta 2500 US$) mu byl snížen vzhledem ke spolupráci s úřady... více →The Melissa virus struck 6 years ago today. Výročí si všímá i Igi.

Spam se vyplácí!

[25.3.2005 10:10] Václav Kadlec (Živě) říká: Za spam si můžeme sami a dokládá to průzkumem Radicati Group komentovaným na TechWeb News (→Users To Blame For Spam) Nejděsivější výsledek je že více než 10% uživatelů si zakoupilo nějaký spamem inzerovaný produkt. Spam se tedy opravdu bohatě vyplácí a nezmizí dokud uživatelé nezmění své chování. icon_sad

Mozilla Suite 1.7.6, Firefox 1.0.2, Thunderbird 1.0.2

[24.3.2005 9:20] nové verze opravují dvě kritické - zpracování GIF, vložení javaskriptu - a několik menších chyb. Firefox 1.0.2 je již počeštěn, Mozilla Suite 1.7.6 a Thunderbird 1.0.2 budou lokalizovány brzy. Opravy jsou tu, tedy záplatujte! Více na stránkách czilla nebo Mozilla Foundation. Stahování: Firefox  |  Thunderbird  |  Mozilla Suite

Pharming

[23.3.2005 11:50] Co to je, jak útoky tohoto typu probíhají a jak se jim bránit popisuje mediální zpráva Panda Software Reports An Increase In Phishing Attacks And The Emergence Of Pharming As A Serious Threat To Users firmy Panda Software. Mezi doporučeními najdeme:
  • používejte anti-malvare software (užívající proaktivní i reaktivní detekční systémy - samotný antivirový sw nestačí!);
  • instalujte firewall;
  • často aktualizujte sw (nejlépe automaticky).

    Zpráva o bezpečnosti Internetu za 2. pololetí 2004

    [23.3.2005 10:40] Robert Vamosi (CNET Reviews) debatuje v článku Criminal hackers reach beyond Windows and Internet Explorer s Davidem Cole (Symantec) nad výsledky zprávy Symantecu o bezpečnosti Internetu za druhé pololetí 2004 Symantec Internet Security Threat Report Highlights Rise In Threats To Confidential Information. Stručně řečeno - tradiční Internetové útoky jsou na ústupu, zato narůstají útoky zaměřené na IM (Instant Messaging), IRC (Internet Relay Chat) a výměnné sítě (P2P); běžnější jsou novější útoky (spyware, phishing, pharming); s tím jak se uživatelé odvracejí od M$ IE se útočníci více zaměřují na Mozillu a jiné internetové prohlížeče; poroste zájem o jiné OS (Mac OS také není bez chyb); objevuje se malware pro mobilní zařizení založené na OS Symbian; dříve spíše individuální tvůrce malware pohlcuje organizovaný zločin... Zpráva resp. její části jsou široce rozebírány a komentovány v mediích.

    virus

    Tři noví Symbianoví trojani za den

    [22.3.2005 18:50] Jarno (F-Secure) přináší zprávu o nových dnešních úlovcích: Drever.B, Drever.C a Skulls.F. Drever.C se neúspěšně pokouší poškodit zavaděč a binárky F-Secure Mobile Anti-Virus. Tato verze trojana obsahuje zprávu:
    FSECURE MUST DIE!!!!!!
    Please, don't make new antiviruses for my viruses and I stop make
    viruses for your antiviruses. My target is Simworks!
    =) 
    Je snad zbytečné podotýkat že se F-Secure této prosbě nechystá vyhovět. icon_winkThree new Symbian trojans in one day

    Rafinované útoky

    [22.3.2005 18:00] z poslední doby rozebírá článek Sumitomo Matsui Bank sophisticated hacking sends alarm signals. Jeden z posledních známých útoků byl pokus ukrást 220 milionů liber (421 milionů US$) z londýnských poboček japonské bankovní skupiny Sumitomo. Odhad globálních ekonomických škod způsobených všemi typy digitálních rizik za rok 2004 leží podle společnosti mi2g mezi 470 a 578 biliony US$, což je více než dvojnásobek odhadovaných škod za rok 2003...

    Nebezpečné zprávy

    [22.3.2005 17:40] Důkladný rozbor situace kolem IM (instant messaging) přináší článek →Does IM stand for insecure messaging?.

    Chyba starších verzí McAfee AV

    [22.3.2005 17:20] Starší verze produktových řad VirusScan a GroupShield AV firmy McAfee trpí zranitelností buffer overflow. Uživatelé kteří si stáhli nejnovější bezpečnostní signatury nejsou ohroženi. →McAfee admits buffer vulnerability

    Zranitelná jablka

    [22.3.2005 17:00] Hackerské útoky na stroje Apple sílí - Mac OS není tak nezranitelný jak mnoho nadšenců tvrdí. Symantec našel r. 2004 více než 37 velmi vážných chyb v Mac OS. S vzestupem iPodů se svět i hackeři o dražší stroje více zajímají... Přes rostoucínebezpečí je počet objevených chyb mrňavý ve srovnání s počet chyb MS Windows icon_wink. více zdeApple vulnerable to hack attack

    Cialis vede!

    [22.3.2005 15:00] Experti AV firmy Sophos zveřejnili seznam slov která se spameři v majlech snaží zamaskovat, aby se vyhnuli odfiltrování spamů. Zjistili že až 80% spamu využívá maskovací triky aby spamy proklouzly antispamovými filtry na poštovních branách - od jednoduchých záměn písmene o číslicí 0 až po složité techniky využívající HTML. Avšak důmyslné antispamové programy dokáží rozpoznat spamy obsahující úmyslně zamaskovaná slova a fráze a nepustí je do poštovních schránek uživatelů. Např. Sophos PureMessage může zjistit více než 5,6 miliard různých způsobů jak může být ve spamu zamaskováno slovo Viagra. SophosLabs analyzovalo seznam slov podle četnosti výskytu v majlech aby zjistili která slova jsou nejčastěji maskovaná. Zjistili že 30% obdržených spamů obsahovalo URL spojené s zdravotními inzeráty (nabídky léčiv [drog]); jednoznačně sexuální slova tvoří 14% z 50 nejčastějších slov na seznamu. Ze seznamu slov nejčastěji skrývaných spamery je vidět že většina spamu je o starých známých: peníze, drogy a sex. Je důležité aby lidé nejen udržovali antispamový sw aktuální, ale především aby od kriminálníků, jimiž spameři jsou, nekupovali žádné zboží. Pokud by nikdo na spamy nereagoval, spam by dávno vymřel.
    Seznam nejčastěji maskovaných slov ve spamech:
    1. cialis 6. valium
    2. orgasms 7. pharmacy
    6. viagra 8. xanax
    4. shipping 9. increase
    5. milf 10. vicodin
    Mimochodem, "Windows XP" je na 40. místě icon_winkSophos report reveals words that spammers most commonly try to disguise

    AccessiV: 7 let

    [22.3.2005 11:20] Yury (Kaspersky Lab) vzpomíná na prvního vira pro MS Access - Virus.MSAccess.AccessiV - který se objevil před sedmi lety. V dnešní době však takovéto jednoduché viry téměř vymizely... →First MS Access Virus celebrates seventh birthday.

    BlackLight potřetí

    [22.3.2005 10:40] Mika (F-Secure) se zmiňuje o trojanu skrývajícím se pomocí staré finty - tím že se neskrývá (před programem vyhledávajícím rootkity icon_wink). Proti tomu je ale snadná pomoc: před spuštěním přejmenujte fsbl.exe na něco co neobsahuje řetěz fsbl (nikde po celé cestě - mimochodem to je dobré u každého vyhledávače rootkitů). →archiv

    Snadné zneužití bezdrátu

    [21.3.2005 16:30] Na ZDNetu je zajímavý článek o bezdrátovém přístupu k Internetu (v USA ho má už 10 milionů domácností!) a o snadnosti jeho zneužití zloději a o problémech prokazování takové činnosti.

    Benny překladatel

    [18.3.2005 18:10] Pokud si ještě vybavíte jistého Bennyho (polepšený hacker, →dřívější aktualita), stal se i překladatelem: právě mu jeho současný zaměstnavatel vydal překlad knihy HACKING - umění exploitace (autor: Jon Erickson). Nahlédnutí do ukázky dává dojem dosti slušného překladu. icon_wink Mimochodem, originál má na Amazonu pochvalné recenze (tedy, uživatelské: customer review) →podrobnosti

    virus

    Dva nové Symbianovské trojany

    [18.3.2005 16:00] Jarno (F-Secure) se zmiňuje o dvou dnes objevených trojanech Drever.A a Locknut.B. F-Secure provedlo zajímavý test - vyzkoušet jak se bude malware pro Symbian Series 60 chovat na jiných zařízeních. Ani Cabir ani Comwarrior na Series 80 nebo Series 90 nefungují, ale Skulls a Locknut fungují. Protože instalace malware pro Series 60 na zařízeních s jinými verzemi Symbianu je složitější a uživatel dostane zvláštní výstrahu, nepředstavuje pro ně zvláštní hrozbu. Ale protože lidé jsou zvědaví, malé nebezpečí tu stále je. icon_winkTwo new Symbian trojans in one day.

    Virové války - druhá epizoda

    [18.3.2005 15:40] Podle tvrzení Eugena (Kaspersky Lab) nabírá virová válka další obrátky: protože počet využitelných (rozumějme: pro účely útočníka) strojů klesá (jak jsou postupně infikovány jistým druhem infekce), malware začíná ničit (odstraňovat) svou konkurenci (tj. jiný dříve nainstalovaný malware, který ale pracuje pro někoho jiného). icon_wink Tato bitva už probíhá, u adware, trojanů,... zřejmě bude docházet ke konsolidaci malých roztříštěných skupin do velkých e-gangů icon_sadVirus Wars Episode II

    Milion PC pro hackery

    [18.3.2005 10:20] Václav Kadlec píše v článku na Živě o výsledcích sledování aktivity hackerů, podle nichž mají k dispozici přes milion napadených PC spojených do sítí (kterých může být až 6000); tyto sítě jsou tvořeny několika až desetitisíci stroji a jsou zneužívány k útokům DoS, šíření spamů, hledání dalších napadnutelných strojů a jiným bohunelibým účelům. Informace jsou přejaty z projektu HoneyNet o němž jsme se nedávno zmiňovali.

    Viry versus bakterie

    [17.3.2005 17:20] Jarno (F-Secure) se zmiňuje o zajímavé inovaci na poli mobilních telefonů: zatímco AV firmy poskytují pro mobily antivirovou ochranu, nový mobil Samsung SCH-869 je od výrobce opatřen antibakteriálním povlakem icon_wink což Jarno komentuje "avšak tato ochrana nebrání proti softwareovým virům, ale stejně ani náš antivir nezabíjí biologické viry". →Samsung announces anti-bacterial phone icon_smile

    Konec Internetu?

    [17.3.2005 10:30] ISC SANS upozorňuje na článek How To Save The Internet v němž řada odborníků uvažuje o změnách nutných k záchraně téměř nefunkčního Internetu. → It's the end of the world as we know it... Profesor Hannu H. Kari se svou předpovědí konce Internetu není sám, podobně pesimistický pohled má např. i Eugene Kaspersky.

    'Vigilante' zhatí červy

    [16.3.2005 12:20] Článek Microsoft 'Vigilante' Project Foils Worms (CIO Today) popisuje novou techniku omezení virů, červů a hakerských útoků, vyvinutou Mikrosoftem.

    Nový přehled novinek ze světa bezpečnosti

    [16.3.2005 11:40] má být zveřejňován ode dneška na Lupě. Tento článek přináší přehled za březen.

    Dalekonosný Bluetooth

    [15.3.2005 16:10] Mikko (F-Secure) se zmiňuje o Bluetoothovém spojení na vzdálenost větší než kilometr (na rozdíl od metrů uváděných ve specifikacích) pomocí Bluesniper RifleReturn of the Bluesniper. Později jsem našel podobnou zmínku i u Igiho.

    virus

    Java.OpenStream.T

    [15.3.2005 16:00] Jarno (F-Secure) se zmiňuje o javovském trojanu schopném stáhnout a infikovat M$IE spywarem. Java.OpenStream.T je přenosný, tj. pracuje i pod jiným prohližečem podporujícím Javu (např. Firefox) a pravděpodobně i v Linuxovém prostředí. →Java Applet trojan that infects Internet Explorer even when run in Firefox.

    Zneužívání chyb AWStats pokračuje

    [15.3.2005 11:50] Hrubý odhad ISC SANS pomocí vyhledávání Googlem dává dalších přibližně 110000 napadnutelných strojů. →AWStats exploitation on-goingaktualita icon_wink

    Nový dokument projektu Honeynet

    [15.3.2005 10:20] Projekt Honeynet [1] vydal nový dokument řady "Poznej svého nepřítele" Tracking Botnets. Přehled dalších článků naleznete zde. Rozsáhlý rozbor tohoto dokumentu přináší v článku Sítě botů v číslech na DigiWeb.cz Mirek Holý.
    [1] Projekt Honeynet je nezisková výzkumná organizace bezpečnostních profesionálů zaměřených na bezpečnost informací. Nemáme žádné produkty, služby ani zaměstnance, náš výzkum je prováděn dobrovolně. Naším cílem je poznat prostředky, taktiku a motivy skupiny krekrů ("blackhat community") a sdílet co jsme se naučili. Věříme že náš výzkum obohatí jak účastníky projektu, tak bezpečnostní obec. Organizace byla založena v říjnu 1999; všechna naše práce je OpenSource a je sdílena s bezpečnostní obcí.

    Další víkend

    [14.3.2005 11:40] Mezi běžnou víkendovou agendou v ISC SANS, jako jsou reakce na zaslané majly a hlášení o různých mimořádných událostech a problémech, vyhledávání botů, sledování phishingových pokusů, se tento víkend objevil i hromadný únos stránek několika poskytovatelů webu (web hosting) na stránky www.7sir7.com a další, které prováděly skenování a pokusy o instalování malware... V příspěvku Phish, Bots and What-Nots píše Lorna Hutcheson jak postupuje v případě phishingu. icon_wink Minulý týden byl CeBIT: F-Secure se chlubí velkým zájmem o jejich nový produkt BlackLight (→aktualita) - reklamované "falešné" poplachy vedly k objevení dosud neznámého rootkitu.

    Nová metoda blokování virů

    [11.3.2005 16:50] Podle článku New anti-computer virus technology developed v CHINA VIEW oznámila čínská AV firma Beijing Jiangmin New Science & Technology Company Ltd. že vyvinula novou technologii blokování trojanů, založenou na sledování změn registrů následovaném blokováním virů nebo upozorněním uživatele na neznámé chování podezřelých virů.

    BlackLight podruhé

    [11.3.2005 10:10] Mikko (F-Secure) se včera ohlásil z CeBITu a zmiňoval se o jejich novém produktu BlackLight vyhledávajícím a odstraňujícím rootkity (→výklad) (→aktualita) - další informace a stažení zde. Nová technologie má být "později tento rok" integrována do AV produktů F-Secure. Navíc k stručnému vysvětlení uvedl odkazy na další informace Roberta Hensinga Incident Response WebLog a jiný produkt Sysinternals Freeware - RootkitRevealer (→aktualita). Nedočkavě jsem si BlackLight stáhl, nainstaloval a spustil - naštěstí nic nenašel, takže mohu být chvilku klidnější... icon_winkGreetings from CeBIT 2005!

    PC s CA License Clientem v ohrožení

    [10.3.2005 14:10] Ve středu Computer Associates International Inc. (CA) vydala opravy bezpečnostních chyb CA License Client and Server software a v pátek již byl zveřejněn exploit; od té doby probíhá stále intenzivnější skenování sitě s cílem najít stroje ohrožené touto slabinou. Vzhledem k tomu že CA License Client and Server software je přibalen k téměř každému jinému sw firmy CA a klientská část je ve většině případů povolena, jsou téměř všechny stroje se sw CA ohroženy. Přestože dosud není znám žádný případ napadení s zneužitím tohoto exploitu, CA silně doporučuje okamžitě instalovat opravy. →Exploit released for CA product vulnerability

    Další krádež dat

    [10.3.2005 11:50] Paul Roberts (IDG News Service) přináší v LinuxWordu zprávu o novém případu krádeže důvěrných dat nejméně 32000 klientů divize Seisint kterou firma LexisNexis získala v září. Seisint shromážďuje data o osobách která uživají státní úřady i soukromé firmy pro získání dluhů, zjišťování zločinů a podobné služby. Tento případ je podobný v únoru zveřejněné krádeži dat u konkurenční firmy ChoicePoint (→aktualita), bylo ale použito jiné techniky. LexisNexis podniká akce k zlepšení ochrany dat a prověřování zákazníků. Incident vyšetřuje mj. i tajná služby USA. Jiný nedávný případ ztráty dat postihl Bank of America (→aktualita). →Hackers grab LexisNexis info on 32,000 people. Podle článku Heather Timmons (The New York Times) v IHT je však situace horší než by se z předchozího mohlo zdát, protože Seisint konzoliduje data z různých vládních úřadů. →Reed Elsevier suspects hackers stole private records in U.S..

    Phishing na vzestupu

    [10.3.2005 9:30] Sean Michael Kerner (internetnews.com) rozebírá přibývající phishingové útoky založené na zneužití slabin DNS a uvádí závěry nedávno zveřejněné zprávy Anti-Phishing Working Group (APWG), podle níž tyto útoky od prosince 2004 do ledna 2005 vzrostly o 42%. →Phishing Attacks Jump 42 PercentDNS-Based Phishing Attacks on The Rise

    Venuše?

    [9.3.2005 12:20] BT spustila nový poštovní bezpečnostní nástroj Venus (Viral E-mail Network Utilisation Symptomiser) pro identifikaci poštou šířených virů, nezachycených existujícími AV systémy. Venus monitoruje neobvyklé chování pošty na itranetu, které by mohlo znamenat vir, a proaktivně brání šíření. Jakmile zjistí infikovaný stroj, automaticky zabrání dalšímu odesílání pošty dokud není zdroj infekce identifikován a odstraněn. →BT turns to Venus to proactively prevent virus attacks.

    ITsafe

    [9.3.2005 12:00] Anglická vláda spustila nové stránky ITsafe zaměřené na podporu domácích uživatelů a malých firem ("SOHO") proti virům a jiným síťovým hrozbám. →Government launches IT security awareness website.

    Další nástroj pro nalezení rootkitů

    [9.3.2005 10:30] Mark Joseph Edwards (Windows IT Pro) upozorňuje na nový nástroj BlackLight pro detekci rootkitů, vyvinutý AV firmou F-Secure. Má být předveden veřejnosti zítra na CeBitu, k stažení rovněž od zítřka zde (plně funkční β - do 30.4.2005). Původní zpráva F-Secure je zde.

    Nový spamerský trik

    [8.3.2005 16:30] Asi před měsícem psal Dan Ilett (ZDNet UK) o novém triku umožňujícímu spamerům obcházet blacklisty: infikované stroje neodesílají spamy adresátům samy ale posílají je prostřednictvím majlových serverů jejich ISP (podle tvrzení antispamové organizace SpamHaus; jejíž ředitel předpovídá zhroucení emajlové infrastruktury a doporučuje ISP přiškrtit množství majlů přicházejících z účtů s širokopásmovým připojením). →Spammers 'tricking ISPs' into sending junk mail Podle výzkumu který minulý pátek zveřejnily MessageLabs se podařilo najít důkazy že se tak skutečně děje: zatímco objem spamů přicházejícího přímo od sítí infikovaných strojů klesl z 79% na 59%, celkové množství spamu ale vzrostlo, což potvrzuje změnu způsobu distribuce spamu. ISP budou muset jednat rychle: musí začít řídit data procházející jejich sítěmi - nepropouštět viry a spamy. →It's official: Spammers are hijacking ISPs. Také tento článek napsal Dan Ilett (ZDNet UK).

    Identita a podvody

    [8.3.2005 11:30] Podle nedávného průzkumu stránek Which? byla čtvrtině anglických dospělých zcizena identita nebo zná někoho kdo se stal obětí podvodu s identitou. Ztráty z těchto - jedněch z nejrychleji rostoucích - podvodů v Anglii lze odhadnout na 1,3 bilionů liber ročně. Jako součást výzkumu se autorům poměrně jednoduše podařilo získat osobní informace jednoho z editorů Which?... Jednoduché způsoby jak se těmto zločinům vyhnout jsou např. nepoužívat dívčí jméno matky nebo místo narození [*] jako hesla, nepožívat stejné heslo k více účtům... (polovina dotazovaných používala stejné heslo k více účtům). →Identity fraud
    [*] přesněji nepoužívat žádná snadno zjistitelná osobní jména, jména příbuzných, jména domácích mazlíčků, data či místa narození příbuzných - prostě žádné informace které lze o dané osobě zjistit z mnoha veřejných zdrojů...

    virus

    Další noví IM červi

    [9.3.2005 11:20] Zajímavý rozbor situace přináší Gregg Keizer (TechWeb News)New IM Worms Hit MSN Messenger. Upozorňuje také na stránku s přehledem virů (mimo jiné icon_wink) IM Threat Center a volně dostupný analyzátor IM Detector Pro.
    [9.3.2005 10:00] Ryan Naraine (eWeek) rozebírá soustředěný útok na uživatele IM klienta MSN: upozorňuje na úspěšně používané metody sociálního inženýrství, nové metody šíření některých nových mutací červů Bropia, nové červy Kelvir a Sumom, a trojana Backdoor.Rbot kterého červi instalují. Trojan Rbot může být řízen přes IRC, hledá stroje s neopravenými bezpečnostními chybami, spouští DoS útoky, zaznamenává a odesílá hesla a podrobné informace o napadených strojích... Červi se šíří jako odkazy na PIF soubory: jakmile na něj svedený uživatel klikne, červ se nainstaluje a rozešle se na všechny kontakty v MSN Messengeru. →Worm Chatter Escalates on MSN Messenger.
    [8.3.2005 10:50] Alexey (F-Secure) objevují se stále noví Instant Messaging červi - Bropia je už u verze K [*], dva noví MSN červi jsou Kelvir a Sumom. Na obzoru může být další válka autorů - červ Sumom má v sobě zprávu pro autora červa Assiral, kterému hrubě nadává za pokusy odstraňovat červa Bropia. icon_winkInstant Messaging worms getting popular
    [*] Až bude vytvořen, bude mít tento popis.

    virus

    První MMS vir pro mobily

    [8.3.2005 10:40] Mikko (F-Secure): byl objeven vir pro mobily, šířící se jako MMS - CommWarrior - na platformě Symbian Series 60. Pokouší se šířit jak přes MMS, tak přes Bluetooth a je pravděpodobně ruského původu. icon_winkFirst MMS mobile phone virus?
    [8.3.2005 17:30] Jarno (F-Secure) aktualizuje - šíření prostřednictvím MMS je sice potvrzeno, ale je mnohem složitější než přes bluetooth: mezi MMS zprávami je zpoždění, k instalaci je potřeba ještě více kroků než pomocí bluetooth, adresát musí mít kompatibilní mobil s Symbian Series 60... navíc (naštěstí) mnoho operátorů služby MMS nezapíná automaticky icon_wink takže masivní šíření CommWarriora ani konec světa zřejmě nehrozí. icon_smileMore detailed description of Commwarrior worms.

    Konec anonymity v síti?

    [8.3.2005 14:10] Bruce Schneier přidává abstrakt přednášky a komentuje: "Really nice work."
    [7.3.2005 18:30] Podle článku Tracking PCs anywhere on the Net (Renai LeMay, CNET News.com) našel Tadayoshi Kohno, doktorand University of California, řadu účinných technik (založených na posunu hodin [clock skew]) identifikace vzdálených zařízení (PC) v síti. Nový objev nabízí dalekosáhlé možnosti využití.

    Stanfordská univerzita

    [7.3.2005 15:30] zveřejnila výsledky průzkumu, zaměřeného na PC a spotřební elektroniku, v němž odpovědělo tři tisíce studentů: 98% má vlastní PC (při tom 10% dva nebo více! nepočítaje v to PDA a pod.), 83% má laptop, 11% má PDA a pod., 69% má vlastní tiskárnu, 80% má mobil, 56% má digitální foťák nebo video kameru, 53% má přenosný hudební přehrávač (MP3, iPod, atd.), 9% má bezdrát ("WiFi" přístupový bod nebo směrovač). Co se bezpečnosti týče, 53% používá automaticky pracující AV program, 52% používá anti-spyware, 49% periodicky pouští AV program, 48% má nastaveny automatické aktualizace Windows resp. aplikací. Co se týče OS, 78% užívá MS Windows, 22% užívá Apple OS, 2% Unix/Linux. Samozřejmě je tam spousta dalších zajímavostí... icon_winkResults from the Annual Residence Evaluation

    Důsledky prolomení SHA-1

    [7.3.2005 10:40] Robert Lemos (ZDNet) se v článku Fixing a hole in security zabývá otázkami kolem nedávného prolomení SHA-1 (viz dřívější aktualita) a přebírá interview s jedním z autorů průlomu, Yinem (z CNET News.com).

    Neklidný víkend

    [8.3.2005 10:20] LAND Attack Update (ISC SANS): Windows XP se zdá být zranitelné pouze s SP-2. Windows 2003 je zranitelné.
    [7.3.2005 8:20] Víkend bývá obvykle klidný, tentokrát se toho ale dělo docela dost icon_wink podle zpráv v deníku ISC SANS: některé známé stránky, jako např. google.com, ebay.com, weather.com byly přesměrovány na podvržené servery www.7sir7.com, 123xxl.com, abx4.com zneužitím tzv. "otrávení vyrovnávací paměti DNS" (DNS cache poisoning) - chybou postihující některé firewally Symantecu. Na podvržených serverech mohli být nakaženi spyware ABX toolbar, (nákaza pravděpodobně nepostihuje prohlížeče nevyužívající Active X a stroje s instalovaným WXP SP2). IP adresy podstrčených serverů jsou postupně blokovány. icon_wink Objevil se nový LAND Attack na Windows XP a 2003 Server; útok vede k nestabilitě (zhroucení, zablokování) napadeného stroje. Zatím se zdá že WXP Pro je tímto útokem zranitelné, WXP Home Edition ne, Server 2003 nebyl dodud testován. Představa že stačí jediný šikovný paket aby se PCčko zhroutilo mne, přiznávám se, dost děsí. icon_sad PIF soubory (např. parishilton.pif, cute.pif) šířící se pomocí URL předávaného IM programy, ve zprávě typu "hot pic!!" po odkliknutí infikují stroj oběti a rozešlou se kamarádům... některé AV programy je identifikují jako Backdoor.Win32.IRCBot.y, IM-Worm.Win32.Kelvir.a, Win32/Bropia.Variant!Worm icon_wink Drobnosti jako pokračující vyhledávání nezazáplatovaných strojů se slabinami phpBB a awstat (následované útoky na ně) pak trochu zanikají... icon_smile
    [7.3.2005 9:50] F-Secure hlásí novou variantu Email-Worm.Win32.Bagle.pac a Bropia.K (červ MS Messenger) icon_smile
    Kaspersky Lab tvrdí že nový droper Bagle.pac je v Rusku masově rozesílán spamy icon_wink a připomíná první "mediální" vir Michelangelo, který na sebe v březnu 1992 strhl pozornost medií (pesimistická předpověď milionů PC se zničenými daty naštěstí nevyšla, bylo postiženo "jen" méně než 10000 PC).

    Cabir zrychluje: Francie

    [4.3.2005 15:50] místo šíření: konference 3GSM. Navíc se objevil nový Symbianovský trojan Dampig.A který vyřadí některé aplikace a nainstaluje několik variant Cabira (ty se ale nespustí automaticky icon_wink) →New Symbian trojan and Cabir sighted in Franceaktualita

    RootkitRevealer

    [4.3.2005 12:30] Andrew Brandt (PC World) se v článku New tool gives the scoop on snoops v PC ADVISORu zabývá novým prostředkem RootkitRevealer umožňujícím objevit malware skrývající se (bránící se před odhalením) pomocí techniky rootkitu. RootkitRevealer umí zjistit přítomnost několika známých rootkitů běžících pod Windows NT, 2000, nebo XP. Program je možno stáhnout ze stránky jednoho z autorů Sysinternals.

    Spyware

    [4.3.2005 10:50] Eugene (Kaspersky Lab) se zamýšlí nad definicí spyware (jeho oblíbená je: "Spyware je sw který je nainstalován bez vašeho poučeného souhlasu. Sděluje o vás útočníkovi důvěrné osobní informace. Mohou to být zprávy o vašich surfovacích zvycích, nebo sw může hledat i mnohem zlověstnější informace, jako např. vyslídit čísla vašich kreditních karet a ohlásit je." →Information week). Dochází k závěru že nejde o nic nového (již z r. 1996 pochází první trojan kradoucí hesla) - současný rozruch kolem tohoto pojmu je hlavně marketingový trik který má zvýšit prodejnost nových specializovaných anti-spywareových produktů... Mimochodem, uváděný článek More Anti-Spyware Tips se problematikou spyware zabývá podrobněji a uvádí i řadu tipů a dalších odkazů...

    Mozilla - Firefox - Thunderbird: další chyby

    [4.3.2005 10:10] czilla informuje o nedávno odhalených mírně kritických chybách produktů Mozilla.org (zveřejnila SecuniaMozilla / Firefox / Thunderbird Multiple Vulnerabilities).

    Česká lokalizace Firefox 1.0.1

    Yahoo: 10

    [4.3.2005 9:30] I když se občas zdá že některé věci (jevy atp.) tu byly vždycky, takřka od nepaměti, Yahoo slaví teprve 10 let... na několik významných bodů z jeho historie se můžete podívat zde.

    Cabir: Hongkong a Japonsko

    [3.3.2005 16:20] Jarno (F-Secure) si povzdechl: dokud budou lidé zvědaví a nebudou užívat antiviráky, Cabir se prostě bude šířit dál... →Cabir now in Hongkong and Japan icon_winkaktualita

    Searchmeup

    [3.3.2005 13:40] PR Newswire komentuje zprávu AV firmy Panda Software o adware Searchmeup, prvním adware zneužívajícím slabinu Exploit/LoadImage k tomu aby se nainstaloval bez povolení uživatele. Současně se nainstaluje trojan Tofger.AT který zaznamenává hesla řady bank (a odesílá je na server). icon_winkPanda Software Reports the Appearance of Searchmeup, the First Adware Using the Exploit/LoadImage Vulnerability

    Únosy účtů

    [3.3.2005 11:30] CIO TODAY se v článku Account Hijacking Is Growing Concern zabývá poměrně novým způsobem získání přístupu a zneužití bankovních účtů. Únosem účtu (account hijacking - kombinace phishingu a hackingu) bylo vloni postiženo dva miliony majitelů bankovních účtů v USA.

    Aktualizace RealPlayeru

    [3.3.2005 11:10] TechWeb News oznamuje vydání aktualizací opravujících nedávno objevené bezpečnostní slabiny RealPlayeru (RealNetworks). Přehled a návod na stažení →RealNetworks, Inc. Releases Update to Address Security Vulnerabilities.
    [4.3.2005 11:40] viz také Dvě vysoce kritické chyby RealPlayeruŽivě

    Sir Bill Gates?

    [3.3.2005 16:30] Živě komentuje
    [3.3.2005 10:30] Redakční článek IT Observer přináší zprávu o jmenování Billa Gatese "Knight Commander of the Most Excellent Order of the British Empire". Rytířský titul byl BG udělen za jeho aktivity pro zlepšení zdravotnictví v rozvojovém světě a jeho příspěvek high-tech oblasti ve Spojeném Království.

    První makrovir pro MS Office

    [2.3.2005 16:20] jeho sedmé výročí včera připoměl Yuri (Kaspersky Lab)The first macro virus for MS Office. Tento druh virů jakoby vymíral - nové makroviry téměř nevznikají. icon_wink

    virus

    Ticho po pěšině?

    [2.3.2005 9:10] alespoň tak by se mohlo zdát z momentálního nedostatku zveřejňovaných aktualit icon_wink Že tomu tak není, ba spíše naopak, by naznačil pohled na stránky oblíbených deníčků AV firem F-Secure a Kaspersky Lab, ISC SANS a dalších přehledových stránek zaměřených na viry, malware a bezpečnost (počítačovou!) vůbec... Zase jednou probíhají nevyhlášené závody mezi autory červů rodiny Bagle a autory AV - Yuri (KL) si včera postěžoval že sotva aktualizují AV aby rozpoznával poslední variantu je vypuštěna nová - KL uvádí zatím 15 nových variant, FS se zmiňuje o nejméně dvou nových variantách (a dvou podezřelých) kombinujících se s čtyřmi downloadery ... Nejpřesnější je ISC SANS: "řádí několik nových variant rodiny Beagle/Bagle" (parafráze! icon_smile)... Navíc jsou teď spameři mazanější - např. používají spamovací pomůcky, které se tajně nainstalují na stroj oběti a tam sbírají adresy, které pak odešlou (svému pánoviicon_wink) a odinstalují se; při sběru (vytváření) adres vypouštějí adresy AV a antispamových firem (aby oddálili jejich reakci - postupují v tom podobně jako již dříve autoři virů) a své kampaně více plánují; podle Mikka (FS) dokonce používají model klient-server: nová varianta červa se spojí s webovým back-end serverem který jí dodá 50 adres na které se rozešle (a tak dál dokola).

    phpBB 2.0.13

    [1.3.2005 16:24:58] byly oznámeny další dvě chyby (jedna kritická) a vydána oprava: →phpBB 2.0.13 released - Critical Update. Informaci přinesli ISC SANS i Kaspersky Lab. Při tom byla teprve nedávno vydána jiná oprava →aktualita. icon_wink


    SANS top 20 20 nejkritičtějších slabin Internetu, v originále The Twenty Most Critical Internet Security Vulnerabilities, je dokument který by neměl ujít vaší pozornosti...

    Přehled nebezpečných programů byl přesunut do samostatného dokumentu. Příliš se rozrůstal icon_sad

    Pokud vás zajímá jak se viry činí, nahledněte do žebříčků AV společností: F-Secure virus statistics (oficiální AV program MU), Kaspersky Labs Virus Top Twenty for April 2005 (nebo přes Virus News a najít si příslušný měsíc), Computer Associates Virus Information Center, Messagelabs top 10 current virus threats, Trend Micro Weekly Virus Report, Trend Micro Top Threats, Top ten viruses reported to Sophos in ... a dalších...

    Zajímá-li vás rozšíření virů po světě, můžete nahlédnout do mapy výskytu virů McAfee nebo Trend Micro Virus Map.

    Programy k odstranění virů a další informace jsou na www stránkách CIT o virech a antivirech a také na dalších stránkách o problematice virů (za všimnutí stojí i nové stránky Spyware.cz o problematice Spyware, Adware, Dialerů a jiných):

    www.viry.cz Virus Bulletin www.f-secure.com datafellows
    www.norman.com www.symantec.com viruslist.com  

    Další důležité stránky o bezpečnosti Woknous a Ouřadu:

    Windows Update Office Update Office CZ Update 3 kroky k zabezpečení počítače


    Bezpečnostní aktuality za rok 2005 po jednotlivých měsících: 01 02 03 04 05 06 07 08 09 10 .

    Běžné aktuality (zprávy, události - jiné než bezpečnostní icon_wink) naleznete zde.

    Pro zájemce je k nahlédnutí archiv starších virovych, bezpečnostních a jiných subjektivně významných icon_wink aktualit za rok 2004.

    Rekapitulace starších zpráv a přehled událostí v roce 2004, 2003.


    pocitadlo    (od 20.1.2005)