Artykuły dotyczące tematu: atak

dodany: 24.07.2013 | tagi: , , ,

Oficjalna strona Simple Machine zhakowana

42

Oficjalna strona open-sourcewego projektu  Simple Machines Forum (w skr. SMF) została zhakowana. Administratorzy podają, iż włamanie miało miejsce 20 lipca.

Włamywacze przejęli konto jednego z administratorów, które pozwoliło na dostęp do bazy danych serwera. Jak nie trudno się domyślić, w ten sposób zostały skradzione wszystkie dane użytkowników, włącznie z hasłami.

Administratorzy SMF zastrzegają, że nie grozi nam przez to atak na nasze forum – oczywiście pod warunkiem, że stosujemy inne hasło – jeśli tak nie jest, zmieńcie je koniecznie natychmiast.

Każdy z użytkowników jest zobligowany do zmiany hasła do samego konta na stronie SMF.

Zawinił admin…

Niestety wedle oficjalnych informacji ujawnieniu danych sprzyjała postawa jednego z administratorów SMF – jak się okazało był on także admnistratorem innego portalu i to właśnie to konto zostało zhakowane. Niestety admin używał także takiego samego hasła do zarządzania portalem SMF…

Powyższa sytuacja jest zdecydowanie wystarczającym dowodem na to, by do każdej usługi stosować możliwe inne hasło / login.

dodany: 27.06.2013 | tagi: , , ,

Opera zaatakowana – zaktualizuj swoją przeglądarkę

3

Wydawca znanej przeglądarki Opera przyznał, iż doszło do ataku na infrastrukturę sieciową firmy. Z oficjalnych informacji wynika, że żadne dane użytkowników nie zostały ujawnione. Sam atak miał miejsce 19 czerwca –  w jego rezultacie włamywacze przechwycili certyfikat do podpisywania należący do Opera Software. Atakujący wykorzystali go do stworzenia złośliwej wersji przeglądarki, która zawierała w sobie malware.

Na zagrożenie powinni zwrócić uwagę przede wszystkim użytkownicy systemów Windows, który korzystali z Opery tamtejszego dnia od godziny 1 do 1:36 czasu UTC, albowiem przeglądarka w tym czasie mogła pobrać  i zainstalować złośliwe oprogramowanie. Co ciekawe skradziony certyfikat był już unieważniony – na jakiej podstawie zatem usługa automatycznej aktualizacji Opery pozwala na instalowanie nowej wersji? Wypadałoby, aby chociaż było ostrzeżenie o nieważnym już certyfikacie.

Jeśli tak się stało w naszym wypadku, to powinniśmy zainstalować nową wersję Opery, która jest podpisana nowym certyfikatem.
Malware, który został podpisany skradzionym certyfikatem na chwilę obecną jest wykrywany przez większość programów antywirusowych – wg danych TotalVirus z złośliwcem radzi sobie 31 na 47 programów AV:

malware opera

Niestety producent nie podaje nic na temat, która wersja została podmieniona. Można się domyślać, że chodzi o „starą” wersję Opery (tj. w wersji 12.xx) – użytkownicy nowej edycji, czyli Next powinni być teoretycznie bezpieczni, aczkolwiek obydwie edycje korzystają z tych samych serwerów aktualizacji, także warto sprawdzić, czy nasze oprogramowanie antywirusowe radzi sobie z powyższym zagrożeniem.

Według informacji od TotalVirus malware jest stosunkowo groźny, gdyż potrafi wykraść m.in. nasze hasła FTP z programów: Total Commander, CuteFTP, FlashFXP, FileZilla, ExpanDrive, CoffeeCup FreeFTP. Hasła te są następnie przekazywane przestępcom. Malware ten prawdopodobnie instaluje także inne złośliwce, więc nie należy lekceważyć tego problemu.

dodany: 11.06.2013 | tagi: , , , , , ,

Phishing – jak oni to robią? Przeczytaj, żeby wiedzieć jak się bronić

6

Pewnie wielu z was zastanawiało się, jak wyglądają ataki phishingowe. Ostatnio opisywaliśmy, jak wygląda ten proces od strony ofiary (zobacz artykuł: Anatomia phishingu) – dzisiaj przyjrzymy się drugiej stronie medalu, a więc temu, jakie narzędzia i sposoby są najczęściej wykorzystywane przez cyberprzestępców.

W sieci natknęliśmy się na materiał, będący swego rodzaju przewodnikiem dla phisherów. Postanowiliśmy przetłumaczyć dla Was obszerne fragmenty, ponieważ wiedząc, jak działają phisherzy, można skuteczniej bronić się przed ich szkodliwą działalnością. Nasz materiał ma na celu przede wszystkim pokazanie, jak można się chronić oraz na co należy zwrócić uwagę podczas wdrażania polityki zabezpieczeń.

Ataki poprzez e-mail za każdym razem muszą przyciągnąć uwagę i być unikalne. Proces tworzenia zakończonej sukcesem e-mailowej kampanii phishingowej jest bardzo metodyczny i zdecydowaną większość czasu, uwagi i pracy przestępca poświęca etapowi planowania.

Dobry poziom bezpieczeństwa oznacza zabezpieczania wielopoziomowe i wiele z tych poziomów może potencjalnie zniszczyć próbę phishingu. Niektóre z możliwych przeszkód dla przestępcy, to między innymi – wszelkie filtry antyspamowe (np. Email Gateway Spam Filter, Outlook „Junk E-mail” Filter), antywirusy, systemy zapobiegające wtargnięciom (z ang. Intrusion Prevention Systems), serwery Web Proxy i tak dalej. Jednak przestępcom udaje się pokonywać postawione im przeszkody. Przyjrzymy się kilku najbardziej powszechnym systemom bezpieczeństwa, żeby zobaczyć, jak phisher może omijać ich zabezpieczenia.

Zdobywanie adresów e-mail

Jedną z pierwszych rzeczy, jaką atakujący musi zrobić w każdej kampanii phishingowej, jest pozyskanie adresów e-mail. Jednak nie może wysyłać wiadomości, jeśli nie wie, gdzie ma je wysłać.

Uwaga: I tutaj z pomocą dla phishera przychodzi np. Jigsaw, który w prosty i szybki sposób znajduje odpowiednie adresy. Obecnie ma on nawet wsparcie baz danych i może wygenerować plik CSV z danymi. Doskonale działa po założeniu darmowego konta na jigsaw.com i podaniu swoich danych jako argumenty w linii poleceń.

01

W inny sposób można zrobić to samo za pomocą theHarvester. Mały skrypt napisany w pythonie, który jest częścią dystrybucji BackTrack 5. Skrypt ma możliwość przeszukiwania różnych wyszukiwarek do szybkiego pozyskiwania adresów.

02

Omijanie antywirusów

Nie będziemy opisywać zbyt obszernie, jak cyberprzestępca może ominąć zabezpieczenia programu antywirusowego, ponieważ temat ten poruszany jest przez wiele blogów, kanałów IRC, filmików na YouTube i wszystkie inne możliwe kanały komunikacji. Jeśli chcesz dowiedzieć się więcej na ten temat, warto rzucić okiem np. na wiki Metasploita, w którym wszystko jest wytłumaczone w przyjazny sposób.

Uwaga: Internet dostarcza cyberprzestępcom ogromnej wiedzy. Łatwo można znaleźć chociażby kilka artykułów opisujących, jak użyć cache DNS w celu wykrycia używanego antywirusa przez upatrzony cel (czyli ofiarę).

Cyberprzestępcy nie skąpią także czasu na instalację antywirusa w maszynie wirtualnej przed wysyłaniem swoich wiadomości. Często są to dokładnie odwzorowane kopie systemu, który chcą atakować. Jednak nie zawsze jest to możliwe, ale z pewnością testują wszystkie najpopularniejsze i darmowe antywirusy, takie jak Microsoft Security Essentials, AVG, Comodo itd. Tym samym sprawdzają, czy uda im się przejść obok zabezpieczeń oprogramowania antywirusowego potencjalnej ofiary.

Większość kompresorów jest oznaczana przez programy zabezpieczające, ale niektóre zabezpieczenia plików przechodzą bez problemu przez większość silników skanowania.

Uwaga: Cyberprzestępcy chcąc dodatkowo umocnić swój złośliwy program, kupują często poprawny certyfikat i podpisują nim plik, by w ten sposób dla ofiar program wyglądał wiarygodnie!

Wyjście poza filtry

Tutaj phisherzy mają dwie możliwości. Mogą użyć odwrotnego https, które jest świadomym proxy albo reverse_tcp_all_ports. Ten drugi to moduł, który implementuje odwrócony sterownik TCP. Sterownik nasłuchuje na jednym porcie TCP i system operacyjny przekierowuje wszystkie przychodzące połączenia na wszystkich portach do tego nasłuchiwanego. Do poprawnego działania wymaga to iptables albo innego filtra pakietów. Przykładowo taka komenda na systemie bazującym na Linuksie przekierowuje cały ruch na port 443/tcp:

Uwaga: Ważną sztuczką jest możliwość przeniesienia ssh na port 65535 w celu zdalnego logowania na maszynie nie przeszkadzając w kampanii phishingowej.

iptables -t nat -A PREROUTING -p tcp –dport 1:65534 -j REDIRECT –to-ports 443

reverse_https ustala połączenie za pomocą szyfrowanego tunelu, co powoduje trudności dla systemów zapobiegających włamaniom. Systemy nie mogą wykryć podejrzanego ruchu wewnątrz szyfrowanego tunelu.

Większość osób odpowiedzialnych za ataki phishingowe wybiera reverse_https, które łączy się do LHOST=X.X.X.X i LPORT=433. Prawie wszystkie korporacje zezwalają na przeglądanie Internetu, więc ten wybór wygląda dla nich jak zwykły ruch HTTPS.

Scenariusz ataku

Z poprzedniego artykułu wiemy, że użytkownicy, niestety, klikają w podejrzane i fałszywe linki. Wygląda na to, że nie ma znaczenia, jak bardzo dobre treningi uświadamiające prowadzone są w firmie – zawsze znajdzie się ktoś, kto kliknie w spreparowany adres.

Jednym z ciekawszych (ze strony atakującego) scenariuszy jest dostarczenie wiadomości e-mail wyglądającej na wysłaną przez wewnętrzną firmę IT, zawierającej informacje, iż „nowa krytyczna łatka została wydana i każdy musi zainstalować aktualizację”. Wtedy atakujący wysyła link do strony wyglądającej podobnie, jak na zrzucie ekranu niżej.

03

Uwaga: Atakującemu wystarczy sklonowanie strony i uruchomienie jej na swoim serwerze. Phisherzy używają do tego prostych narzędzi, np. SET (z ang. Social Engineer Toolkit), by strona znalazła się w set/src/program_junk.

Serwery Web Proxy

Wiele korporacji uruchamia serwery Web Proxy, które blokują końcowym użytkownikom odwiedzanie niektórych stron internetowych. Niektóre serwery mają wbudowane skanery antywirusowe, które wykrywają czy istnieje jakiś podejrzany ruch na interfejsie sieciowym. Niektóre firmy blokują nawet ściąganie jakichkolwiek plików wykonywalnych. Można się zastanawiać, jak phisher ma dostarczyć swój program do użytkownika końcowego, kiedy nie może on ściągać żadnych plików wykonywalnych? I tutaj należy zwrócić uwagę na zagrożenia!

Uwaga: W tym momencie atakujący może wykorzystać poprawny certyfikat SSL, jeśli zainwestował wcześniej w jego zakup. W ten sposób, podczas połączenia ze spreparowaną stroną, zostaje nawiązany tunel SSL. Zaszyfrowany tunel zdecydowanie utrudnia pracę serwerowi Proxy, tak że nie zauważy on, czy ruch nie jest przypadkiem podejrzany. Skoro serwer nie jest w stanie tego wykryć, nie zauważy też, że użytkownik ściąga plik wykonywalny – dla Proxy będzie to niewidzialne.

Wysyłanie e-maili

Kiedy przychodzi czas wysyłania wiadomości, phisher ma kilka różnych możliwości. Po pierwsze może wybrać E-mail spoofing (podszyć się pod istniejący adres, np. osoby znanej, wiarygodnej) albo kupić przekonującą domenę. Na potrzeby tego artykułu skupimy się na wysyłaniu e-maili z zakupionej domeny.

Wiele bramek e-mail (ang. email gateways) sprawdza odwrotne DNS domeny, z której otrzymuje wiadomość. Jeżeli domena nie ma przypisanego rekordu MX wiele bramek odrzuci takiego e-maila i wtedy kampania phishingowa nie odniesie żadnego skutku.

Uwaga: Przestępcy potrafią bronić się przed tymi zabezpieczeniami przez automatyczne ustawianie rekordów MX, bez zmartwienia ustawieniami DNS w sposób poprawny.

06

Innym sposobem obrony wykorzystywanym przez atakujących jest wykonanie whois na domenie wysyłającego przez serwer SMTP – tylko po to, by upewnić się, że wszystko wygląda normalnie. Atakujący może przezwyciężyć ten mechanizm sprawdzając whois domeny, którą zamierza udawać i uzupełnić w panelu takimi samymi danymi.

07

Uwaga: Phisherzy mogą posługiwać się rozmaitymi skryptami, np. pobierającymi listę adresów i wiadomość, którą wysyłają do wszystkich oraz dodającymi do linku zakodowany w base64 adres e-mail odbiorcy. Dzięki temu mogą sprawdzać, kto wszedł na ich fałszywą stronę.

Przykładowy link z base64: http://example.com/index.php?dXNlckBleGFtcGxlLmNvbQ==

Niżej wynik działania skryptu wysyłającego wiadomość do dwóch użytkowników.

08

Wiedząc jak działają phisherzy, można skuteczniej bronić się przed ich działalnością. Warto uświadomić sobie, że przestępcy potrafią obejść zabezpieczenia, które mogłoby się wydawać, że są nie do przejścia. Mamy nadzieję, że nasz materiał pomoże zarówno administratorom, jak i zwykłym chronić siebie i swoje komputery przed phishingiem.

 

Źródło: pentestgeek.com/2013/01/30/how-do-i-phish-advanced-email-phishing-tactics

dodany: 10.06.2013 | tagi: , ,

jor.pl padł ofiarą ataku – wyciekła baza klientów

16
jor.pl

Dostawca tanich usług hostingowych, jor.pl, padł ofiarą ataku, którego skutkiem był wyciek bazy danych klientów firmy  – blisko 2000 rekordów z danymi osobowymi, adresami e-mail i haszami haseł, a w wielu przypadkach z hasłami zapisanymi czystym tekstem(!).

Dump został opublikowany na forum POLIGAMIA i zgłoszony do nas przez użytkownika lucypher, którego serdecznie pozdrawiamy. Oczywiście zrzutu bazy nie publikujemy zarówno na stronach WebSecurity, jak i PasteBin.

Zaznaczenie_025

Nie znamy szczegółów na temat uzyskania zrzutu bazy danych. Publikując tę informację, zgłaszamy ją jednocześnie do administratorów jor.pl z prośbą o potwierdzenie informacji i ewentualne szczegóły incydentu, jeśli takowe zostały odnotowane.

Komentarz administratora jor.pl:

Winą był zewnętrzny skrypt adminpanel.pl z którego korzysta wiele hostingów.
Sprawa została zgłoszona na policję, a klienci mają wygenerowane nowe hasła.

Z wyrazami szacunku,
Adam Mikura,
Biuro Obsługi Klienta Jor.pl

dodany: 13.05.2013 | tagi: , ,

Włamanie do name.com

0

Amerykański serwis rejestrujący domeny name.com padł ofiarą włamywaczy. Firma poinformowała o tym fakcie swoich klientów, podając także, że włamywacze uzyskali ich adresy e-mail, zahaszowane hasła oraz także zaszyfrowane dane dotyczące płatności kartami kredytowymi. Jednocześnie właściciele zapewnili, że klucz prywatny potrzebny do zdekodowania danych dotyczących płatności jest przechowywany w osobnym systemie, który nie został naruszony.

Niestety name.com nie skomentowało co z samymi hasłami użytkowników – teoretycznie powinny być bezpieczne, aczkolwiek firma zaleciła zmianę hasła… Sam atak jest tajemnicą – nie wiadomo, jak do niego doszło – jedyne co zdradziła firma, to fakt, że celem ataku były dane kluczowych klientów biznesowych.

dodany: 29.04.2013 | tagi: , , ,

Serwis zakupów grupowych LivingSocial zhakowany

0

Znany amerykański serwis zakupów grupowych LivingSocial został zhakowany – w efekcie ataku włamywacze uzyskali dostęp do danych dotyczących 50 milionów kont. Jest to zdecydowana większość, gdyż w serwisie jest zarejestrowanych około 70 milionów osób z całego świata. Administratorzy powiadomili użytkowników indywidualnie e-mailem oraz zalecili zmianę hasła, pomimo, że przejęte hasła były zahaszowane algorytmem SHA1 oraz posolone losowymi 40 bajtowymi danymi. Oprócz tego włamywacze zdobyli e-maile użytkowników wraz z ich nazwiskami oraz datami urodzin. Dla bezpieczeństwa w serwisie zmieniono metodę szyfrowania z SHA1 na bcrypt.

living social atak

Właściciele serwisu poinformowali, że dane dotyczące kart kredytowych nie zostały naruszone. Sęk w tym, że nie ma informacji w jaki sposób były/są przechowywane te dane – informacja o haszowaniu dotyczy samych haseł, także pewności mieć nie można – raczej wątpliwe jest by, którykolwiek znaczący portal przyznał się do takiej wpadki. Głównymi klientami LivingSocial są obywatele USA, ale skorzystają z niego także mieszkańcy Australii, Wielkiej Brytanii, Nowej Zelandii, Malezji, a także części Europy i Ameryki Południowej.

dodany: 09.04.2013 | tagi: , ,

Wiosenne ataki na użytkowników Skype’a

3

Eksperci z Kaspersky Lab wykryli dwa ataki skierowane na Skype’a: w obu przypadkach cyberprzestępcy używają metod socjotechnicznych w celu nakłonienia użytkowników do kliknięcia w szkodliwy odsyłacz, pod którym ma się kryć interesujące zdjęcie lub film. Zhakowane lub specjalnie utworzone fałszywe konta w serwisie Skype są wykorzystywane do rozsyłania szkodliwych odnośników. Dodatkowo, celem najnowszego ataku jest nieuczciwe generowanie wirtualnej waluty Bitcoin. Atak ten wycelowany jest między innymi w użytkowników Skype’a z Polski.

Pierwszy atak odbył się już 1 marca, a przez pierwsze 24 godziny użytkownicy klikali szkodliwy odsyłacz niemal trzy razy na sekundę (około 10 000 kliknięć na godzinę). Kliknięcia te miały miejsce głównie w Rosji, Bułgarii, Chinach, na Ukrainie, Tajwanie i we Włoszech. Podczas analizy kodu pobranego na komputer ofiary eksperci z Kaspersky Lab odkryli tekst „Bitcoin wallet” (‚portfel Bitcoin’).

W czwartek, 4 kwietnia wykryto podobny atak, w którym użytkownicy mieli klikać niebezpieczny odnośnik. Eksperci z Kaspersky Lab odkryli, że na komputerach tych użytkowników instalowany był szkodliwy program generujący walutę Bitcoin. System Bitcoin umożliwia zarabianie bitmonet w zamian za udostępnienie zasobów komputera. Wirtualne pieniądze mogą zostać później wymienione na inną walutę lub mogą służyć do zapłaty za przedmioty i usługi w sklepach internetowych. Mimo to, że ostatni atak miał miejsce dzień wcześniej, zdążył nabrać rozpędu. Zgodnie z obliczeniami ekspertów z Kaspersky Lab, do czwartkowego wieczoru około 2 000 użytkowników klikało szkodliwy odsyłacz co godzinę. Geograficzny rozkład drugiego ataku sugeruje, że jego głównym celem byli użytkownicy z Włoch, Rosji, Polski, Kostaryki, Hiszpanii, Niemiec i Ukrainy.

Atak nieprzypadkowo rozpoczął się w momencie, gdy kurs wymiany waluty Bitcoin osiągnął swoje apogeum. W dniu 5 kwietnia 1 moneta była warta 132 dolary – jest to ogromny wzrost w porównaniu z rokiem 2011, kiedy to 1 moneta była warta 2 dolary. Jest to zbyt kuszące, aby mogło zostać zignorowane przez cyberprzestępców

– komentuje Siegiej Lożkin, ekspert z Kaspersky Lab.

Niemal oczywistym było, że cyberprzestępcy nie przejdą obojętnie obok system płatności Bitcoin, który oferuje pełną anonimowość. Podziemne fora internetowe pełne są ofert zakupu i sprzedaży w walucie Bitcoin. Narkotyki, broń, exploity 0-day, trojany oraz wirusy są często kupowane i sprzedawane w tej walucie

– dodaje Lożkin.

Eksperci z Kaspersky Lab zalecają użytkownikom Skype’a, aby traktowali z wielką ostrożnością wszelkie wiadomości docierające poprzez komunikator internetowy. Nawet jeśli wiadomość pochodzi od osoby, którą znamy, możliwe jest, że jej komputer został zainfekowany i jest kontrolowany przez cyberprzestępców. W celu zapewnienia ochrony swoich komputerów użytkownicy powinni:

  • Zainstalować skuteczne oprogramowanie chroniące przed szkodliwym oprogramowaniem oraz zagrożeniami internetowymi i regularnie je uaktualniać.
  • Bezzwłocznie instalować wszelkie uaktualnienia systemu operacyjnego i użytkowanych aplikacji.
  • Używać silnych haseł zawierających litery, liczby i symbole (?,#,!,. itd.).
  • Korzystać z oddzielnego hasła dla każdego użytkowanego serwisu online.
  • Nie zapominać o zdrowym rozsądku i nie klikać wszystkich linków docierających za pośrednictwem komunikatorów internetowych oraz innych usług online.

Źródło: Kaspersky Lab

dodany: 23.02.2013 | tagi: , , , ,

Hack na Zendesk skompromitował dane użytkowników Twittera, Tumblr i Pinteresta

4

Nastały czasy, w których mało który użytkownik Internetu, a zwłaszcza wszelakich portali społecznościowych, może czuć się bezpiecznie.

Dane trzech z najpopularniejszych mediów społecznościowych zostały naruszone. Ale to nie one były bezpośrednim celem ataku. Nazwałabym je raczej skutkiem ubocznym całego zdarzenia.

Firma zajmująca się wsparciem technicznym klienta, Zendesk, ujawniła dziś na swoim blogu, że stała się ofiarą naruszenia bezpieczeństwa, i jakby tego było mało, informacje trzech z jej klientów zostały pobrane przez atakujących. Wired jako pierwsze opublikowało nazwy tych klientów. Byli to Twitter, Tumblr i Pinterest.

W oświadczeniu na blogu pojawiła się informacja, że „usterka” została natychmiast znaleziona i załatana:

Nasze trwające śledztwo wskazuje, że haker miał dostęp do informacji o pomocy trzech z naszych klientów, które były przechowywane w naszym systemie. Najprawdopodobniej haker pobrał adresy e-mail użytkowników, którzy kontaktowali się w sprawach wsparcia i pomocy z ramienia naszych trzech klientów. Powiadomiliśmy o wszystkim naszych klientów i pracujemy wraz z nimi nad rozwiązaniem tego problemu.

Chociaż Zendesk nie podaje nazw swoich klientów, niektórzy użytkownicy zaczęli otrzymywać ostrzeżenia, że mogli zostać ofiarami naruszenia.

Tumblr wystosował e-mail do redakcji CNET, którego treść wyraźnie wskazuje na bycie jednym z trzech zainteresowanych klientów:

Jeśli maile, które zostały wysłane do Tumblr Support zawierały adresy waszych blogów, może stać się tak, że wasze adresy e-mailowe zostaną z nimi powiązane. Wszelkie informacje, jakie zawarliście w e-mailach do Tumblr Support mogą zostać wyeksponowane i narażone. Zalecamy zapoznanie się z korespondencją wysyłaną przez was na którykolwiek z poniższych adresów:

abuse@tumblr.com, support@tumblr.com, dmca@tumblr.com, legal@tumblr.com, enquiries@tumblr.com lub lawenforcement@tumblr.com.

 

dodany: 20.02.2013 | tagi: , ,

Big Mac under attack

1

Odłóżcie wszystko,  co w tej chwili robicie i skupcie się na tym, co zaraz przeczytacie. Stało się niemożliwe, Apple przyznaje, że złośliwe oprogramowanie zainfekowało jego systemy operacyjne.

Samozwańczy król okazał się równie nagi, jak ludzie, z których się śmiał. Kilka dni po wyznaniu Facebooka, w którym była mowa o wyrafinowanym ataku na jego systemy, Apple postanawia wydać oświadczenie, w którym wyjawia, że jego systemy również zostały zaatakowane i to przez tych samych cyberprzestępców!

Apple zidentyfikowało złośliwe oprogramowanie, które zainfekowało określoną liczbę systemów Maca przez lukę w plug-inie Javy w przeglądarkach. Złośliwe oprogramowanie było wykorzystane w ataku przeciwko Apple i innym firmom. Rozprzestrzeniało się przez witrynę dla deweloperów oprogramowania.

Kto jest głównym winnym? Java, bo przecież Apple kompletnie nic zrobić nie mogło, żeby temu zapobiec. Chyba się tego nie spodziewano.

Określoną liczbą systemów były systemy pracowników Apple, ale, na szczęście dla nich, żadne dane nie zostały skradzione. Komputery z zaatakowanymi systemami zostały odseparowane, a firma już wszczęła postępowanie (wraz z służbami egzekwującymi prawo) mające na celu znalezienie źródła złośliwego oprogramowania.

Apple od razu wydało zaktualizowane narzędzie do usuwania złośliwego oprogramowania korzystającego z Javy i zaleca jego instalację wszystkim użytkownikom, którzy posiadają Javę na swoich Macbookach.

Dodatkowo Apple wydało aktualizację bezpieczeństwa dotyczącą załatania luki Javy. Java for OS X 2013-001 jest już dostępna w sekcji Aktualizacji Oprogramowania w Mac App Store i na stronie Apple’a.

Apple wychodzi na bohatera szybko ratując swoich użytkowników korzystających z Javy. A sama Java znowu zmieszana z błotem i skazana na banicję.

dodany: 18.02.2013 | tagi: , ,

„Wyrafinowany” atak na Facebooka

0

15 lutego w oświadczeniu na swoim blogu Facebook poinformował, że serwis społecznościowy stał się ofiarą „wyrafinowanego” ataku hakerów. Departament bezpieczeństwa Facebooka problemy zauważył w zeszłym miesiącu. Choć atak był na tyle poważny, że  mógł doprowadzić do wypłynięcia danych ponad miliarda użytkowników, to – jak zapewniono w oświadczeniu – nic nie wskazuje na to, że tak się stało.

Według Facebooka, do problemu miała się przyczynić luka w zabezpieczeniach oprogramowania Java Oracle, a do samego ataku doszło po  zarażeniu laptopów pracowników portalu za pomocą oprogramowania szpiegowskiego. Malware znalazł się na pracowniczych komputerach po tym, jak kilkoro z nich odwiedziło stronę jednego z developerów aplikacji mobilnych.

Amerykanie twierdzą, że źródło ataków znajduje się w Chinach. Pojawiły się również pogłoski, że hakerzy opracowujący ten rodzaj ataku pracują dla rządu chińskiego. Na poparcie tej teorii wskazuje poziom zaawansowania oprogramowania.

Facebook, posiadający dane ponad miliarda użytkowników z całego świata, jest nie lada gratką dla hakerów. Nic więc dziwnego, że staje się on celem ataków, które zapewne będą się powtarzać. I chociaż w oświadczeniu zapewniono, że portal nie szczędzi sił i środków na zapobieganie, wykrywanie i reagowanie na zagrożenia, to warto mieć świadomość, że każdy system jest silny na tyle, na ile silne jest jego najsłabsze ogniowo.

Tym razem się udało, ale hakerzy także uczą się na błędach.