teplomer-sans ISS AlertCon


Aktuální virové, bezpečnostní a jiné (subjektivně) významné informace

Tato stránka je věnována hlavně virovým, bezpečnostním a jiným (subjektivně) významným aktualitám. Byla odštěpena od předchozí verze stránek aktualit, aby v ní nezanikaly důležité provozní aktuality ... icon_wink Bude se asi časem sama poněkud měnit...

Bezpečnostní aktuality za rok 2005 po jednotlivých měsících: 01 02 03 04 05 06 07 08 09 10 .

Běžné aktuality (zprávy, události - jiné než bezpečnostní icon_wink) naleznete zde.

Pro zájemce je k nahlédnutí archiv starších virovych, bezpečnostních a jiných subjektivně významných icon_wink aktualit za rok 2004.

Rekapitulace starších zpráv a přehled událostí v roce 2004, 2003.


Nová bezpečnostní laboratoř

[31.5.2005 15:40] V deníčku F-Secure jsou uvedeny záběry ze slavnostního otevření nové firemní bezpečnostní laboratoře ve Finsku. Hlavní projev měl známý bezpečnostní odborník Bruce Schneier. →The Grand opening!

Chyby ovladačů

[30.5.2005 17:30] Robert Lemos (SecurityFocus) se v článku Device drivers filled with flaws, threaten security zabývá dalším zdrojem problémů - tentokrát jde o ovladače, které jsou často na vedlejší koleji jak po stránce zkušeností jejich programátorů, tak testování a představují proto další bezpečnostní hrozbu.icon_sad

Igi komentuje

[30.5.2005 16:20] současnou situaci kolem rodinky virů MytobRodinka virů Win32/Mytob (viz také např. dřívější aktualita).

Obměna IM malvare

[30.5.2005 11:10] Roel (Kaspersky Lab) se zabývá vývojem v oblasti IM malware. Jedna z nových technik používaných IRC boty šířícími se přes AOL je že boty obsahují text který vzdálený škůdce spojí s html odkazem. Uživatel pak dostane větu doplněnou odkazem; takových vět je široký výběr. Další, která byla zjištěna u nové verze Bropia.ad, je kopírování sebe sama pod různými jmény do sdílených adresářů v P2P sítích. →IM malware diversifying

Průmyslová špionáž

[30.5.2005 11:00] ISC SANS se zmiňuje o situaci v Izraeli, kde řada firem padla za oběť průmyslové špionáži provedené na zakázku napsanými trojany. Více info naleznete v citovaném článku v Jerusalem Post. →Trojans for industrial espionage

Největší hrozby

[27.5.2005 16:20] Ivo Mareček (Živě) podrobně rozebírá asi měsíc starou zprávu AVERT týmu McAfee (viz dřívější aktualita). →Co nám hrozí nejvíce?

ZombieMeter

[27.5.2005 15:30] Otakar Schön (Živě) informuje o nové aplikaci firmy CipherTrust pojmenované ZombieMeter pomocí níž získávají statistiky o nově napadených strojích. Uvádí i některé výsledky: během května zjistili průměrně 170000 nových zombií denně; nejvíce jich pochází z EU (26%), USA (20%), Číny (15%), Jižní Korey (10%); zbytek první desítky má už jen jednociferný příspěvek: Německo (6%), Francie (6%), Brazilie (5%), Japonsko (4%), Velká Britanie (3%), Španělsko (3%), Tajvan (2%). →Nejvíce nových zombií získávají zlí hoši v Evropské Unii. Více podrobností →CipherTrust's ZombieMeter

Witty vloni

[27.5.2005 9:20] ICS SANS se zmiňuje o statistických analyzách červa Witty z loňského března Outwitting the Witty Worm a teorii o původu červa Witty worm flaws reveal source, initial targetsExtensive statistical analysis of last year's Witty worm.

Z PC na Mac

[26.5.2005 18:50] Slashdot informuje o přechodu bezpečnostního specialisty Winna Schwartaua a jeho firmy z PCček na Macy. →Mad as Hell, Switching to Mac
V článku Winn Schwartau říká: "Je to můj první sloupek psaný na Macu - vůbec první. Asi jsem to měl udělat už dávno, nikdy jsem ale neříkal že jsem chytrý, jen umíněný. Byl jsem bigotní PCčkař. Teď už toho mám ale dost. Jsem [z toho] po čertech šílený a už to víc neberu.[1] Mimo stručného líčení důvodů které ho dovedly k přechodu z PCček na Macy i přechodu samého také uvádí příčiny proč je platforma WinTel odsouzena k selhání - přílišná složitost, velké změny při nových verzích OS nebo servisních balících, různé verze BIOSu, nepořádně napsané aplikace, jen částečně kompatibilní hw. Potřebujeme jednoduchý OS vyhovující potřebám většiny lidí kteří si koupí PC pro denní práci. Zbavte se složitostí a zjednodušte mezičlánky mezi OSem, BIOSem a hw. Protože takový jednoduchý OS zatím neexistuje, odešli jsme od Wintelu. V méně než dvou dnech jsme přešli na Macy. [1] (This is my first column written on a Mac - ever. Maybe I should have done it a long time ago, but I never said I was smart, just obstinate. I was a PC bigot. But now, I've had it. I'm mad as hell and I'm not going to take it anymore.)"

Kampaň proti zombiím

[26.5.2005 8:40] Otakar Schön (Živě): 20 zemí spouští kampaň proti zombiím

Pravá Windows?

[26.5.2005 8:40] Otakar Schön (Živě): Bezpečnostní expert našel způsob jak obejít kontrolu pravosti Windows.

David Perry

[26.5.2005 8:30] Ondřej Bitto (Lupa) referuje o přednášce Davida Perryho "Spam a phishing mimo zákon."
Anotace: Nedávno Prahu navštívil David Perry, jeden z nejuznávanějších odborníků na počítačové viry a škodlivý kód. Během své přednášky zabrousil nejen do historie počítačového undergroundu, ale vyjádřil se také k současným problémům, které sužují svět Internetu. Které z nich jsou největší a jak se s nimi vypořádat?

Identita

[26.5.2005 8:20] Aleš Miklík (Lupa) zveřejnil zajímavou úvahu týkající se identit: zatím je u nás (na rozdíl od Ameriky) klid, ale - Kdy dojde i na vaši identitu?

Boj se škodlivými programy

[25.5.2005 20:50] Scott Fendley, technik ve službě - ICS SANS, uvádí rozsáhlý návod jak zatočit se škodlivými programy (přesněji řečeno - jak stabilizovat systém natolik aby bylo možno zachránit uživatelská data před reinstalací napadeného systému). →Combating Windows Malware Tutorial (using WinXP Pro)

CA - chyba v knihovně Vet

[26.5.2005 8:00] ICS SANS: CA uvádí podrobný návod na stránkách pro podporu EZ Antivirus/Armor, rovněž uvádí návod pro kontrolu.
[25.5.2005 20:30] ICS SANS upozorňuje na chybu v knihovně Vet používané v mnoha produktech jak CA tak i některých OEM produktech poskytujících AV skenování. Podle CA má většina jejich produktů schopnost automatické aktualizace, jiné společnosti by měly opravy urychleně chystat. Vzhledem k značně chaotickému označování verzí produktů CA je však situace poněkud nepřehledná; doufejme že CA poskytne uživatelům návod jak přesně určit zda jsou ohroženi. →Computer Associates Antivirus Vet Library Vulnerabilityhttp://www3.ca.com/securityadvisor/vulninfo/vuln.aspx?id=32896

Chyby DNS

[25.5.2005 20:20] ICS SANS upozorňuje na chyby některých implementací DNS které je možno speciálně připravenými palety DNS shodit. Výstrahu vydalo jak NISCC, tak později i Cisco a Secunia. →DNS Denial of Service Vulnerability

Vydírání

[25.5.2005 21:00] David (Kaspersky Lab) doplňuje informace o obdobných minulých vyděračských operacích. →Using malware for extortion: striking, but not new!
[24.5.2005 12:10] ICS SANS varuje před elektronickým vydíráním: informuje o případu kdy se uživatel stal pravděpodobně obětí slabiny M$IE HTTP Help browser vulnerability (MS04-023): uživatelova data byla zašifrována a vyděrač poslal oběti nabídku pomůcky pro odšifrování dat za 200 US$ (které chtěl zaplatit přes on-line platební službu). Máte instalovány všechny vydané opravy? Co takhle si to hned zkontrolovat?

Nepříjemné překvapení

[24.5.2005 11:10] může čekat návštěvníky některých stránek v podobě hromadného pokusu o zneužití slabin M$IE. Po skenování na řadu známých slabin dojde - je-li některá z nich nalezena - k instalaci řady škodlivých programů: zadní vrátka, trojani, addware a spyware. Zajímavé je že tyto "skužby" poskytuje zmiňovaná stránka svým obchodním partnerům... icon_smileiframeDOLLARS dot biz partnership maliciousness

Dejte mi své ID

[24.5.2005 10:50] ICS SANS uvádí téměř neuvěřitelný případ mistrovského využití sociálního inženýrství: jistý server doporučuje svým novým zákazníkům aby pro platbu užili stejné uživatelské ID a heslo jako pro paypal icon_lolShame on that prophet.

eBay/Paypal phishing

[24.5.2005 10:40] ICS SANS se zmiňuje o množících se zprávách o phishingových útocích na eBay a Paypal. Tyto útoky jsou založeny na zneužití (dlouho známých - leden 05) chyb ZeroBoard bulletin board sweBay/Paypal phishing via vulnerable ZeroBoard software.

Phishing: jak nenaletět

[23.5.2005 11:50] ICT World přináší rady Symantecu jak rozpoznat phishing a jak v těchto případech postupovat. →Symantec provides advice on phishing scams

virus

Změna chování Sober.Q

[23.5.2005 10:20] Podle plánu přestal dnes o půlnoci Sober.Q spamovat a začal hledat na předem určených stránkách aktualizace svého chování, říká Jarkko (F-Secure), a dodává že zatím se neví o jaké změny má jít ale na daných stránkách se nic nenachází; F-Secure situaci monitoruje. →Sober.Q started the update phase Dřívější aktuality o červech Sober najdete zde.

Netscape 8.01

[23.5.2005 9:50] a už jsou tu i první bezpečnostní záplaty shrnuté v nové verzi Netscape 8.01 →Netscape 8.01
[19.5.2005 11:40] Otakar Schön (Živě) informuje o dokončení verze 8.0 prohlížeče Netscape a uvádí jeho základní vlastnosti i kde si ho mohou zájemci stáhnout. →Netscape 8.0 je dokončen

Zase jednou Benny

[20.5.2005 10:30] Jen pro úplnost a udržení povědomí: stále bloguje (podle jeho slov z konce dubna policie odložila vyšetřování jeho případu [podezření z autorství červa SQLSlammer] pro nedostatek důkazů, ale ví to jen neoficiálně), v lednu (ale zmínil se o něm právě až koncem dubna icon_wink) vyšel v Tiscali-Zpravodajství jeho inetrview , vyvíjí (programuje) Zoner Anti-Virus (ZAV) (a stěžuje si na to jak špatně se mu programuje pod linuxem na rozdíl od widlí [rozuměj: Windows]) a chystá se překládat (pro Zoner Press) knihu The Art of Computer Virus Research and Defense (autor Peter Szora)... tvorbě virů se (podle vlastních slov) už (několik let) nevěnuje... icon_wink Pokud to někoho zajímá více, dřívější aktualitu nalezne zde.

Nový průzkum krádeží identity

[19.5.2005 19:30] Článek New Identity Theft Survey Reveals Latest Count of Victims, Need for Greater Protection v TMCnet uvádí některé výsledky nezávislého průzkumu zákazníků uvolněného včera firmou First Data Corp., zabývající se elektronickým obchodem a platbami. Případy phishingu (rhybaření) a krádeže identity stále dramaticky rostou: 6,8% dospělých se stalo obětí krádeže identity, 43,4% dospělých bylo postiženo rhybářským kontaktem. 54 milionů američanů se stalo obětí podvodu souvisejícího s identitou. Tento průzkum ukazuje že krádeže identity a rhybaření jsou celonárodním nebezpečím a že zákaznící potřebují pomoc s obranou. Téměř 5% pokusů rhybaření je úspěšných, přes významné úsilí finanční obce zvýšovat povědomí a vzdělávat zákazníky o rhybaření. Výzkum také ukazuje že 50% zákazníků se velmi/extrémně obává krádeže identity. Více než třetina dotazovaných (36,6%) dostala rhybářský majl, 19% rhybářský telefonát; 5% z těchto kontaktovaných zákazníků uvěřilo rhybářům natolik že jim poskytlo požadované osobní informace. Těměř polovina (45%) z těch kteří poskytli informace uvedla že tyto informace byly použity k neautorizovaným transakcím. V minulém roce to přispělo k přibližně 2 milionům nových obětí krádeže identity jen z rhybaření.

Commwarrior: 2F

[19.5.2005 15:40] Katrin (F-Secure) + Finsko: 1. Irsko, 2. Indie, 3. Oman, 4. Italie, 5. Filipíny, 6. Finsko. →Commwarrior in Finland
[19.5.2005 11:20] Jarno (F-Secure) dopňuje seznam o Filipíny - 1. Irsko, 2. Indie, 3. Oman, 4. Italie, 5. Filipíny. →Commwarrior spotted in Philippines (viz též dřívější →aktualita).

Bezpečnost Wi-Fi

[19.5.2005 11:50] Živě přebírá článek z Connect! Jak na bezpečnost Wi-Fi?

Cabir v Německu

[19.5.2005 11:30] Jarno (F-Secure) hlásí 24. zemi výskytu. →Commwarrior spotted in Philippines. Postup šíření lze sledovat přes dřívější →aktuality. PS Nějak jsem přehlédl zmínku o Švýcarsku - to je ta "chybějící" 23. země s Cabirem. icon_wink

Trendy rhybaření

[19.5.2005 9:30] SecurityPark.Net komentuje výsledky studie Phishing Trends. Průzkum pro Websense Security Labs provedl Harris Interactive. →Nearly Half of IT Decision Makers Surveyed Say Employees Have Fallen for the Phish Původní studii naleznete →zde. Podobný článek s dalšími údaji z jiných zdrojů přináší eMarketer Do They Know They've Been Hooked?

Nebezpečí zevnitř

[19.5.2005 8:50] ISC SANS upozorňuje na zajímavou studii Insider Threat Study: Computer System Sabotage in Critical Infrastructure Sectors právě vydanou CERT SEI Carnegie Mellon UniversityAn interesting report came out of the CMU CERT a také →Secret Service and CERT Release Second Insider Threat Report.

Sasser: poslední velký síťový červ?

[18.5.2005 15:20] Ryan Naraine (eWeek) přináší vzpomínky na loňskou epidemii červa Sasser z pohledu MSRC (Microsoft Security Response Center). Na otázku z titulku však Debby Fry Wilson z týmu MSRC vpodstatě nemůže odpovědět jinak než že M$ je na případné nové útoky lépe připraven než před rokem. →Sasser: The Last Big Network Worm?

Sym_Avert_cat_3 virus

Nový Sober

[19.5.2005 10:10:00] Kevin J. O'Brien (International Herald Tribune) vyslovuje názor že nedávné pravicově orientované "německé spamy" (jejichž autor je pravděpodobně němec sympatizující s extrémní pravicí) se nejspíš pokouší ovlivnit volby které mají v Severním Rýnsku-Vestfálsku proběhnout v neděli (podobně jako vloni v září). Podle německé pobočky firmy Sophos tvořily tyto spamy v úterý 84% všech spamů v Německu. →Spam attack linked to German election
[18.5.2005 12:10] Damian Clarkson (iTWeb) informuje o záplavě německého spamu v Jižní Africe během minulého víkendu - u mnoha místních organizací stouplo využití přenosového pásma během neděle na maximum místo obvyklých 5%. →German spam invades SA
[18.5.2005 15:10] ICT World uvádí že 15.5.2005 v 02h00 (místního času) stoupla úroveň lokálního spamu o 300% a celý den zůstala na této hladině. →Nationwide spam outbreak could slow local Internet
[16.5.2005 19:20] Roel (Kaspersky Lab) se více zabývá aktivitami červů Sober.P a Sober.Q, připomíná podobnost s aktivitami variant Sober.G a Sober.H a vzpomíná na tehdejší záplavu spamů v Holandsku. →Sober.p strikes againSome info on Sober.qSober.q has become active
[16.5.2005 12:00] F-Secure informuje o nové aktivitě Sober.P - o víkendu stáhl a aktivoval Sober.Q rozesílající německé spamy (obsahující linky na weby propagující rasismus a neonacismus, jak informuje ISC SANSGerman Spam...Maybe?). →Sober.q spams right-wing related emailsMore on Sober.q
[16.5.2005 11:40] Roel (Kaspersky Lab) blíže rozebírá možnosti ochrany AdWare (de facto všeho malware) proti nalezení. →Protection mechanisms
[16.5.2005 11:50] F-Secure snížila 13.5.2005 uroveň nebezpeči červa Sober.P na základní.
[11.5.2005 9:00] Roel (Kaspersky Lab) vysvětluje proč se Sober.p tak úspěšně šířil: vidí hlavně 2 důvody - jednak sociální inženýrství dovedené téměř k dokonalosti (dvojjazyčné texty, nabídka volných lístků na mistrovství ve fotbalu), dále skutečnost že zatím stále mnoho majlových serverů nepoužívá antivir (a tím vlastně podporují šíření virů majly). To by stále ale k takovému úspěchu s jakým se Sober.p šířil nestačilo: další důvod je že podobně jako některé jiné varianty Sobera používá ochranu proti I/O operacím s jeho soubory, je-li aktivní v paměti, což znamená že nedokáže-li daný AV zjistit Sober.p v paměti a zrušit ho, nedokáže ani jeho soubory oskenovat a tím zjistit že je ve stroji přítomen... Máme tedy spousty zombií které kontrolují na určených místech zda pro ně není připravena aktualizace, která nám přinese další překvapení. A to podle Roela není všechno - lze očekávat další varianty rozvíjející již tak silné stránky rodiny Sober. icon_winkSober.p reaches new heights - and then dies?
[10.5.2005 10:30] Podle Sophosu je Sober.P na vzestupu: přes víkend se podíl majlů s ním vyšplhal na 5,4% veškeré (sledované) pošty a 84% virové aktivity (v pátek to bylo jen 4,65% a 77%). Pro srovnání Netsky.P (považovaný za nejrozšířenšjší vir) měl podíl jen 0,3% majlů. →Sober worm hits new heights.
[5.5.2005 12:20] Na jedné straně panují z rychlosti šíření Sober.P obavy až panika (podle některých by to mohl být červ roku), na druhé straně hned po objevení upozorňovali analytici McAfee na podobnost s variantou Sober.M s tím že sice rychle šíří, ale pak rychle zanikne. →Sober worm variant makes the rounds.
[5.5.2005 12:00] Otakar Schön (Živě) rozebírá chování a šíření Sober.P
[4.5.2005 11:00] Kaspersky Lab už mluví o epidemii v západní Evropě Sober.p causes epidemic in Western Europe. MessageLabs už zachytila více než 1,1 milionu kopií - mezi zeměmi postiženými velkým množstvím nové varianty patří Singapur, USA, Velká Britanie, Čína, Holandsko, Německo, Nový Zéland, Rakousko, Francie, Belgie, Dánsko, Litva, Spojené arabské emíráty, Jižní Afrika, Evropská Unie, Chile, Mexico a Indie. MessageLabs Stops Over 1.1 Million Copies Of New Sober Virus
[3.5.2005 18:40] Na novou variantu upozorňuje i Igi, Mikko (F-Secure) dodává že šíření se nevzbuzuje přílišné obavy; nicméně protože se v majlech nabízí volné lístky na světový pohár v kopané 2006 v Německu, FIFA vydala veřejné varováníSober Agent.icon_wink
[3.5.2005 11:40] Vít Jurásek (Živě)Červ Sober.P se razantně šíří internetem.
[3.5.2005 9:40] podle zpráv ICS SANS i F-Secure se objevila nová varianta poštovního červa Sober. Minulé verze se poměrně úspěšně šířily, uvidíme jak si povede tato. Symantec přiřadil červu W32.Sober.O@mm vysokou úroveň nebezpečí.

Norton AntiSpyware

[18.5.2005 14:30] Molouk Y. Ba-Isa (Arab News) informuje o βverzi produktu firmy Symantec Norton Internet Security 2005 AntiSpyware Edition poskytujícího kombinovanou ochranu proti spyware, spamu, virům, červům, hackerům a jiným bezpečnostním rizikům. →Symantec Releases Beta Version of Spyware Solution. Viz tisková zpráva.

OneCare

[16.5.2005 20:00] Otakar Schön (Živě) informuje o chystané nové placené službě Microsoftu: OneCare. Je určena domácím uživatelům PC, nabízí ochranu před viry a spyware, má automatizovat další činnosti jako například kontroly disků, zálohování systému... →Microsoft nabídne službu OneCare - antivir, firewall, antispyware a zálohování
[18.5.2005 14:00] Tiskové oznámení M$: Microsoft to Deliver Automated, All-in-One PC Health Service for Consumers. Další informace např.: →Keep your PC healthyMicrosoft Announces OneCare AntivirusMicrosoft To Deliver Automated PC Health Service.

Boj se spamem

[18.5.2005 11:00] Bruce Schneier má ve svém blogu pěkný článek Combating Spam. Je přístupný také v jeho zprávách Crypto-Gram Newsletter - viz Combating Spam. Mimochodem, Crypto-Gram je měsíční souhrn (částečně upravených resp. aktualizovaných) zpráv z Schneierova blogu Schneier on Security

Nové varianty Mytob

[18.5.2005 10:30] David (Kaspersky Lab) informuje o spoustě nových variant Mytob (za tři měsíce od objevení Mytob.a jsou zde již varianty Mytob.aw; viz též dřívější aktualita) a pochvaluje si jak jim (tj. Kaspersky Lab) generické rozpoznávání umožňuje pomocí jedné virové definice poznávat mnohočetné varianty rodin malware (někdy jde o desítky i o stovky variant hrozeb!). →New Mytobs, and generic detections

Poznej svého nepřítele: Phishing paper

[18.5.2005 10:20] ISC SANS upozorňuje na nový dokument ze serie "Know Your Enemy" - Phishing paper. Analyzuje úmysly a metody získávání informací rhybáři. →Honeynet KYE: Phishing paper Published

Snadná (podniková) špionáž

[18.5.2005 9:30] John Bambenek, technik ve službě ("Handler on Duty") ISC SANS uvádí příklad nového scénáře použití spyware ke krádeži dat (tj. dokumentů; je přesvědčen že dříve nebo později k něčemu podobnému dojde): (variace ad libitum). Řekl bych že průměrný uživatel nemá šanci se ubránit, ale i řada podniků bude mít velké problémy. Že by už byl čas investovat do cihláren? (výroba hliněných tabulek bude brzy šlágrem). →Corporate Espionage Made Easy with Spyware icon_wink

Průzkum spywareového nebezpečí

[17.5.2005 16:10] Článek Survey Highlights Real Breadth of Spyware Threat zveřejněný na portálu SecurityPark uvádí výsledky průzkumu profesionálů IT odkud se do jejich sítí dostává spyware: web: 79%, email: 67%, výměnnná media (klíče, CD, atp.): 29%, instant messaging: 39%, P2P (hudba a film): 41%, hry: 33%, freeware/shareware: 52%. Další závěry ukazují že IT profesionálové požadují anti-spywareový systém odstraňující malware a chránící před ním a objevujícím se nebezpečím. Společnosti zabývající se bezpečností Internetu musí pro své zákazníky zastavit cykly šíření infekce a ne je vmanévrovávat do pořizování anti-spyware které tuto problematiku neřeší. 95% IT manažerů věří že centrální řízení a správa je nejúčinnější způsob nasazení anti-spywareového řešení; 92% chce blokovat spyware ještě než se objeví v síti; 94% chce řešení odolné proti uživatelským zásahům které značně omezují efektivnost jakéhokoliv bezpečnostního řešení. V současné době pouze 10% organizací užívá anti-spywareové řešení.

Nový IM červ jde po vás

[17.5.2005 14:20] John E. Dunn (Techworld) upozorňuje na nového Instant Messaging (IM) červa W32/Oscabot-B (alias W32/Opanki.worm, Oscarbot, Doyorg; viz též Backdoor.Doyorg nebo Backdoor.Win32.Agent.jn) který se zaměřuje na IM sw AOL. Na napadeném PC instaluje backdoor umožňující útočníkovi stahovat a spouštět programy a nainstaluje se do registrů. Přes IM AOL se ale nešíří okamžitě, ale až po přijetí příkazu od útočníka - pak pošle na všechny adresy ze seznamu zprávu "Hey check out this" s vloženým odkazem na soubor odkud se po odkliknutí stáhne a spustí a tak infikuje další stroj. V souvislosti se stále se množícími útoky přes IRC se objevují úvahy o tom zda používání IM ve firmách je skutečně nutné a stojí za všechna rizika. →New IM worm is coming to get you

Využívání a zneužívání IM

[17.5.2005 11:10] Podle průzkumu Instant Messagingu (IM), který si nechala vypracovat firma Akonix Systems (2000 mladých anglických pracovníků ve věku 18-29 let) 16% připustilo užití IM k odeslání nebo přijetí citlivých firemních informací nebo dokumentů, 25% (z toho 2x více mužů) užívá IM ke klepání o spolupracovnících, 80% užívá IM k chatování s přáteli nebo rodinou při práci a 7% si pomocí IM shání jinou práci. Při tom ale IM může být cenný pracovní nástroj: pomáhá zlepšovat komunikaci se zákazníky nebo partnery (46%), umožňuje rychlejší rozhodování (33%), pomáhá získávat informace (39%). 21% společností má obecnou politiku užívání IM, dalších 19% má technologii pro řízení nebo blokování IM komunikace; nicméně 62% dotazovaných pracuje pro společnosti které nemají politiku užívání IM nebo technologii pro řízení IM. V jiné samostatné studii Akonix zjistil že šíření virů sítěmi IM se za první tři měsíce 2005 ztrojnásobilo. →John Leyden (The Register): UK workers in IM flirt, gossip, bitchfestMicrosoft to Deliver Automated, All-in-One PC Health Service for Consumers

IBM doporučuje Firefox

[16.5.2005 19:50] (zaměstnancům), uvádí Otakar Schön (Živě), a zahajuje jeho interní podporu. Zatím Firefox používá přibližně 10% zaměstnanců IBM. O konverzi na Firefox se zmiňujeme také v dřívější aktualitě. →IBM doporučuje zaměstnancům Firefox

Roční výročí trojana BMPAgent

[16.5.2005 19:30] připomíná Yury (Kaspersky Lab) a uvádí jednu zajímavost - šířil se jako BMP obrázek, zneužíval chybu některých verzí Internet Exploreru a Outlook Expressu při zpracování grafických souborů. →Trojan-Downloader.Win32.BMPAgent.a is a year old

Commwarrior nalezen v Italii

[16.5.2005 18:50] sděluje Jarno (F-Secure) a dále uvádí že ani obtížnost instalace z MMS zprávy infekci nezabrání - lidé jsou prostě zvědaví co jim v MMS přišlo. icon_sadCommwarrior spotted in Italy Italie je tedy čtvrtou zemí s potvrzenou infekcí červem Commwarrior, dosavadní pořadí je: 1. Irsko, 2. Indie, 3. Oman, 4. Italie (viz též dřívější →aktualita).

Firefox 1.0.4

[16.5.2005 19:00] Costin (Kaspersky Lab) vypráví pěknou paralelu mezi rychlostí šíření požáru v Londýně r. 1666 a rychlosti šíření virů (a nebezpečí plynoucím z nezáplatovaných programů) na příkladu vážných chyb Firefoxu. Zmiňuje se také že již jsou známé exploity pro tyto chyby a uvádí adresu odkud je možno stáhnout aktualizovanou verzi Firefox 1.0.4. →Fire, fire(fox)!
[16.5.2005 12:20] Česká verze byla vydána 12.5.2005 →Firefox 1.0.4 CZ a Mozilla Suite 1.7.8. Stahovat lze zde.
[12.5.2005 11:20] opravuje kritické chyby javaskriptu a některé další chyby →What's New 1.0.4. Stahovat lze zde, Česká verze se (jako obvykle) připravuje. →Nový Firefox 1.0.4 opravuje kritické chyby

Microsoft Security Advisories

[16.5.2005 10:50] Možná by se hodilo připomenout že Microsoft otevřel novou bezpečnostní poradnu Microsoft Security Advisories. Asi jsem to zahlédl i někde jinde, dnes mi to ale připoměl deníček →ISC SANS.

Logy IM klientů

[16.5.2005 10:10] Na základě dotazů uživatelů ISC SANS zveřejnilo umístění logů různých IM klientů [1]. →1. část2. část Mohlo by se hodit:
MSN Messenger 7.0: C:\Documents and Settings\<windows login>\My Documents\My Received Files\<IM handle>\History
Yahoo Messenger 6.0: C:\Program Files\Yahoo!\Messenger\Profiles\<IM handle>\Archive\Messages
AOL Messenger: C:\program files\users\default\log\AIM\Query
Miranda Messenger: C:\Program Files\Miranda IM\Logs
mIRC: C:\program files\mirc\logs (je-li logování povoleno)
Trillian 3.1: C:\Program Files\Trillian\users\default\logs
Exodus 0.9.x: C:\Documents and Settings\<username>\My Documents\Exodus-Logs\<user>_<server>.html
GAIM: Na unixu jsou v ~/.gaim/logs, na win32 jsou v adresáři $drive\Documents and Settings\user\Application Data\.gaim\logs. V obou případech jsou nové logy (od verze 0.73) v podadresářích odpovídajících protocol/yourscreenname/theirscreenname.
iChat: /Users/<logon name>/Documents/iChats
[1] Impulsem byla pomoc staroslivému rodiči při hledání v chatovém logu na PC dítěte; slibují také zveřejnit stručný návod.

Trendy malware

[16.5.2005 10:00] ISC SANS informuje o čtvrtletní zprávě analyzující trendy malware a doporučuje ji jako výborné čtení. →PanadaLabs report

Microsoft SQL Server 2000 Service Pack 4

[12.5.2005 11:30] Když jsme u těch oprav, zapoměl jsem se zmínit že minulý týden byl vydán SP4 pro M$ SQL Server 2000. →podrobnosti. (vymluvím se na to že nevím o nikom v blízkém okolí kdo by M$ SQL používal icon_wink tady to uvádím spíše jen pro úplnost, pokud by to některý administrátor SQL zjistil až po týdnu zde tak by to bylo dost špatné.icon_wink)

Podíl zavirované pošty vyšší než podíl normální pošty

[12.5.2005 10:30] Podle včerejší zprávy v Net 4 Nowt bylo od soboty 7.5. do úterý 10.5. v poště procházející systémy Postini více pošty obsahující vir Sober - 14% - než platné pošty - 13% Virus mail overtakes legitimate mail at Postini [Postini je čtvrtý největší poskytovatel zabezpečení el. pošty (po AOL, MSN/Hotmail a Yahoo); zpracovává týdně více než 3 miliardy zpráv pro více než 4500 společností (odstraňuje spamy, viry, phishingové, DHA, DoS a jiné útoky).]

Co bude s DNS?

[12.5.2005 9:50] Pavel Satrapa se v článku Jaké jsou perspektivy DNS? na Lupě zabývá dokumentem Signposts in Cyberspace: The Domain Name System and Internet Navigation. Říká: "Cílem dokumentu je analyzovat současný stav DNS a jeho vztah k navigaci v Internetu, identifikovat možné hrozby pro jeho další vývoj a přinést doporučení, jak jim čelit. Nedá se říci, že by dokument byl nějak mimořádně skeptický, ale jeho čtení není zrovna veselé." a dokument rozebírá. Vzpomeneme-li si na současné rozmáhající se zneužívání některých vlastností DNS hackery (národní abecedy, cache poisoning) je možná na některé teoretické úvahy již skoro pozdě icon_sad.

Commwarrior

[11.5.2005 14:40] Jarno (F-Secure) připomíná že Cabir není jediný Symbianovský červ šířící se po světě. Již v lednu byl v Irsku objeven Commwarrior (viz též dřívější →aktualita). Další známé výskyty jsou Indie a Oman. Commwarrior se šíří jak přes Bluetooth tak jako MMS zprávy; infekce přes MMS je ale ještě složitější - uživatel musí nejprve uložit přílohu MMS zprávy. icon_wink Přestože by Commwarrior mohl být nebezpečnější než Cabir, jde zatím jen o jednotlivé případy a zdá se že velké nebezpečí nehrozí. Šíření Commwarrioru pomocí MMS zpráv se však majiteli infikovaného telefonu může pěkně prodražit. icon_sadCommwarrior Symbian MMS worm is in the wild

Cabir na Novém Zélandu

[11.5.2005 14:30] Jarno (F-Secure) hlásí 22. zemi výskytu icon_sad. →Commwarrior Symbian MMS worm is in the wild. Postup šíření lze sledovat přes dřívější →aktuality.

Bezpečné PHP?

[10.5.2005 13:50] Costin (Kaspersky Lab) vypráví pěkný a poučný příběh jedné znectěné (defaced) webové stránky icon_wink. Ukazuje se že nestačí mít dobrého hostitele stránek se systémem používajícím poslední a aktuální (záplatované) verze sw, ještě je nutno při programování aplikací důsledně myslet na správné použivání funkcí (tj. hlídat je - např. aby nemohly otevřít libovolný zadaný soubor odkudsi z webu). →Safe PHP - a contradiction in terms?

Cabir X auta

[10.5.2005 12:10] Pokud si vzpomínáte na mírný rozruch kolem možnosti infekce počítačů v autech Lexus a Toyota virem Cabir (viz dřívější aktualita) příběh má pokračování: týmu virových specialistů F-Secure to nedalo a provedli podrobnou analýzu (viz článek [včetně obrázků!] In depth investigation of myth about Cabir infecting Lexus). Dřívější tvrzení že Cabir nemůže infikovat Bluetoothové palubní počítače těchto aut bylo potvrzeno.

Rychlé šíření bankovního trojana

[10.5.2005 10:50] Podle informací v článku Banking Trojan spreading rapidly na ComputerWeekly.com se bankovní trojan Troj/BankAsh-A rychle šíří - portál Lycos v dubnu zachytil a zastavil 3,3 milionů pokusů o jeho stažení, zatímco v březnu těchto pokusů bylo jen 40000. Hlavní "pracovní náplní" trojana Banker (alias, přesněji PWS-Banker.j) je zaznamenávání přihlašovacích jmen a hesel k bankovním účtům (určených bank - poslední jsou Barclays a Bank of Scotland) pro luxování účtů případně jiné podvody (kromě toho vypíná AV sw, maže soubory, krade informace, stahuje a instaluje další malware - šikovná věcička! icon_wink). Kromě šíření majly se BankAsh.A šíří p2p sítěmi a pomocí jiného adware a spyware.

Phishing

[10.5.2005 9:10] je stále na vzestupu: mohli bychom se sice utěšovat že zatím nejvíc postihuje USA, ale mnohem rozumnější je situaci sledovat a snažit se jí porozumět a naučit se těmto a podobným útokům bránit. Mohl by nám v tom pomoci i článek →Výsledky jarního rhybaření načerno na Lupě, jehož autorem je Ondřej Bitto.

Problémy Google, problémy DNS

[9.5.2005 12:10] Daniel Dočekal komentuje výpadek GoogleGoogle nehackli, prý jenom výpadek v DNS.
[9.5.2005 17:00] Výpadkem a dohady co se vlastně stalo se zabývala snad všechna media - za všechny aspoň The Register.
ICS SANS se nejen tímto výpadkem, ale celkově situací kolem problematiky DNS cache poisoning zabývá v řadě příspěvků během několika posledních týdnů, např.: Botnets Used to Host DNS for Phishing Continued DNS poisonings DNS problems at Network Solutions (Unintentional) DNS Cache poisoning DNS cache poisoning, again. Illustrating a particular DNS cache poisoning incident. DNS cache poisoning update Updates on DNS Poisoning DNS Cache Poisoning Detailed Analysis Report. DNS Cache Poisoning Detailed Analysis Report. Excellent DNS Article New DNS cache poisoning server; DNS Poisoning stats a tak dále...

Obejití chyb Firefoxu

[9.5.2005 11:40] K nedávno objeveným chybám Firefoxu 1.0.3 (k nimž už existují exploity ale zatím nejsou opravy) ICS SANS doporučuje jako možnost jak je obejít buď vypnout Javaskript nebo nepovolovat stránkám instalovat sw (nebo obé icon_wink). →Exploit against Firefox 1.0.3Firefox 1.0.3 Alternate Workaround
[9.5.2005 14:00] Ojojoj, zapoměl jsem se zmínit o jaké chyby vlastně jde: napravil to za mne Otakar Schön (Živě) v tomto příspěvku (chyby zpracování Javascriptu).

Cabir v Řecku!

[6.5.2005 11:20] hlásí Mikko (F-Secure) a přináší obrázky z průběhu instalace Cabira na mobilu a částečné vysvětlení proč vůbec k infekci dochází (podle napadených): na mobilu se objeví zpráva (Receive message via Bluetooth from Nokia 3650?) vyžadující odpověď "Yes" nebo "No"; odpoví na ni "No", ale zpráva se ukáže okamžitě znovu, zase odpoví "No", ale celé se to opakuje... A protože se zdá že "No" nefunguje, odpoví "Yes"... icon_sad Zpráva by zmizela, pokud by se vzdálili z dosahu infikovaného mobilu - ale jak to má obyčejný uživatel vědět? →This is all Greek to me. Pro zájemce o postup šíření Cabira jsou zde dřívější →aktuality.

Milostné

[6.5.2005 8:50] dopisy, majly ale i viry byly, jsou a budou velmi populární. Na pětileté výročí červa I love you (LoveLetter) vzpomíná David (Kaspersky Lab) jako na první případ stále úspěšnějšího sociálního inženýrství (poslední rozšířenou variantou je Sober.P s nabídkou volných lístků na fotbal - viz starší aktualita). →Social engineering: an ongoing love story. Výročí připomínají i jiné články, např. Five Year Anniversary Of Infamous Worm, I-Worm.Loveletter.

Záplatujte Apple Mac OS!

[6.5.2005 8:30] John Leyden (The Register) informuje o hromadě oprav (vlastně servis packu, jen tak není oficiálně označen icon_wink) vysoce kritických chyb Mac OS X v10.3.9Apple mega-patch fixes 19 flaws. Informace přímo od pramene.

Spyware sype!

[4.5.2005 11:20] Podle rozboru výsledků výzkumu firmy Webroot, který Matt Hines (CNET News.com) zveřejnil v článku Research: Spyware industry worth billions, spyware vynáší asi 2 miliardy US$ ročně, představuje asi 25% celého internetového reklamního průmyslu. Nejvšudypřítomnější je adware: některá z jeho forem běží na 50% firemních resp. 60% soukromých strojích, přičemž na infikovaných strojích běží průměrně 7 různých verzí adware současně.

Stinger

[4.5.2005 9:10] Jako reakce na taktiku nového Sober.p který ukončoval mj. procesy obsahující jméno stinger bylo jméno této utility firmy McAfee postupně změněno na st1nger a pak na s-t-i-n-g-e-r - viz Update History na stránce http://vil.nai.com/vil/stinger/ - informuje ISC SANS. Nově je také uváděn MD5 hash. 'leet Names and the Distribution of Security Tools.

Dubnový žebříček vede Zafi-D

[3.5.2005 10:40] říká Sophos, referuje TechWebZafi-D Leads Top 10 Viruses in AprilTop ten viruses and hoaxes reported to Sophos in April 2005
[4.5.2005 10:40] ale podle Kaspersky Lab je až šestý, první místo patří Mytob.cVirus Top Twenty for April 2005. Žebříček je doplněn rozsáhlým komentářem.

20 nejkritičtějších slabin Internetu SANS top 20

[3.5.2005 9:20] Bylo zveřejněno první letošní pokračování pravidelných čtvrtletních aktualizací →The Twenty Most Critical Internet Security VulnerabilitiesTop 20 update. Na zprávu Top 20 reaguje řada článků v různých mediích a zdůrazňují různá dílčí pozorování a závěry - jako např. že se hackeři začínají více soustřeďovat na aplikační sw, kde bezpečnostní aktualizace nejsou prováděny tak často (jako v OS) přestože také obsahují mnoho chyb.

Aktualizace produktů Symantec

[2.5.2005 11:10] Minulý týden vydal Symantec opravu delší dobu známé chyby zpracování šifrovaných nebo archivovaných souborů, postihující řadu produktů. Podrobnější informace naleznate zde. →Symantec Squashes Virus Detection Bypass Bug

Studie o Bagle

[2.5.2005 10:44:27] Gregg Keizer (TechWeb News) rozebírá výsledky dvou nedávných studií červa Bagle (viz dřívější aktuality: zde a zde) a rozsáhle z nich cituje (zvláště z první z nich). Pozoruhodný je závěr jejího autora Jasona Gordona: podobně jako bezpečnostní sw mohou být zkonstruovány, využity a řízeny i výnosné škodlivé programy. →Bagle Worm Seen As 'Blueprint' For Web Criminals


SANS top 20 20 nejkritičtějších slabin Internetu, v originále The Twenty Most Critical Internet Security Vulnerabilities, je dokument který by neměl ujít vaší pozornosti...

Přehled nebezpečných programů byl přesunut do samostatného dokumentu. Příliš se rozrůstal icon_sad

Pokud vás zajímá jak se viry činí, nahledněte do žebříčků AV společností: F-Secure virus statistics (oficiální AV program MU), Kaspersky Labs Virus Top Twenty for April 2005 (nebo přes Virus News a najít si příslušný měsíc), Computer Associates Virus Information Center, Messagelabs top 10 current virus threats, Trend Micro Weekly Virus Report, Trend Micro Top Threats, Top ten viruses reported to Sophos in ... a dalších...

Zajímá-li vás rozšíření virů po světě, můžete nahlédnout do mapy výskytu virů McAfee nebo Trend Micro Virus Map.

Programy k odstranění virů a další informace jsou na www stránkách CIT o virech a antivirech a také na dalších stránkách o problematice virů (za všimnutí stojí i nové stránky Spyware.cz o problematice Spyware, Adware, Dialerů a jiných):

www.viry.cz Virus Bulletin www.f-secure.com datafellows
www.norman.com www.symantec.com viruslist.com  

Další důležité stránky o bezpečnosti Woknous a Ouřadu:

Windows Update Office Update Office CZ Update 3 kroky k zabezpečení počítače


Bezpečnostní aktuality za rok 2005 po jednotlivých měsících: 01 02 03 04 05 06 07 08 09 10 .

Běžné aktuality (zprávy, události - jiné než bezpečnostní icon_wink) naleznete zde.

Pro zájemce je k nahlédnutí archiv starších virovych, bezpečnostních a jiných subjektivně významných icon_wink aktualit za rok 2004.

Rekapitulace starších zpráv a přehled událostí v roce 2004, 2003.


pocitadlo    (od 20.1.2005)