Artykuły dotyczące tematu: Norton

dodany: 12.01.2013 | tagi: , , , , ,

TOP 10 największych gaf z dziedziny bezpieczeństwa w 2012 roku cz. 2

2

Początek roku to czas podsumowań, także u nas. Przedstawiamy listę najgorszych wpadek w dziedzinie bezpieczeństwa w 2012 roku o zasięgu globalnym, również z udziałem gwiazd świata IT: Dropboksa, Microsoftu, Skype’a i Nortona. Przed Wami część 2.

6. Wyciek milionów SSN-ów (Social Security Numbers) w Południowej Karolinie

W październiku przez potężny atak hakerzy pozyskali 3,6 miliona numerów ubezpieczenia społecznego (Social Security Number, skr. SSN) mieszkańców Południowej Karoliny, w którym mieszka 4,6 miliona osób. Lokalni urzędnicy winą za to obarczyli IRS (ang. Internal Revenue Service), czyli urząd podatkowy USA. IRS nie zawiera szczegółowych wymogów, co do szyfrowania SSN-ów w zeznaniach podatkowych, w związku z czym urzędy w Karolinie Południowej również ich nie zastosowały.

Podczas ataku pozyskano także dane kart debetowych i kredytowych 387 tys. mieszkańców Południowej Karoliny. Większość z nich była zaszyfrowana – dane tylko 16 tys. użytkowników zostały skradzione w formie czystego tekstu.

7. Usterka w Skypie

W listopadzie użytkownicy Skype’a tymczasowo stracili możliwość wysłania żądania zresetowania haseł dostępu do swoich kont. Nastąpiło to po tym, jak researcherzy zidentyfikowali exploita, który pozwalał każdemu, kto poznał adres e-mail powiązany z kontem na Skypie, na dostęp do tego konta. Chociaż Skype szybko zatkał dziurę, to zniszczenia zostały poczynione. Informacje o luce krążyły po rosyjskich forach i zostały aktywnie wykorzystane.

8. Hakerzy wykradli 1,5 mln numerów kart kredytowych

W kwietniu hakerzy zarządzili „eksport” 1,5 miliona numerów kart kredytowych z bazy danych Global Payments – serwisu do płatności używanego przez agencje rządowe, instytucje finansowe, prawie 1 milion witryn oraz innych.

Na szczęście serwis Global Payments był w stanie zidentyfikować numery kart uszkodzonych przez atak. Wśród wykradzionych informacji znajdowały się aktualne numery kart i ich daty ważności, bez nazwisk posiadaczy kart czy innych danych osobowych. W czerwcu serwis Global Payments ogłosił, że hakerzy wykradli informacje osobiste osób starających się o konto sprzedawcy.

9. Microsoft Security Essentials oblewa AV-Test

AV-Test to niezależny informacyjny instytut zajmujący się bezpieczeństwem. Regularnie bada najlepsze antymalware’owe produkty z górnej półki. Organizacja pod koniec listopada 2012 sprawdziła 24 rozwiązania i tylko jedno z nich nie spełniło wymagań standardu AV-Test: Microsoft Security Essentials dla Windows 7.

Właściwie to MSE wykonał przyzwoitą pracę walcząc z dobrze znanymi wirusami, ale nie poradził sobie wcale z exploitami zero-day. Bezpieczeństwo programu jeśli chodzi o exploity zero-day oceniono na 64 punkty, co oznacza o 25 punktów poniżej średniego wyniku.

10. Pomyłka, której nie było: kod źródłowy Nortona opublikowany

Grupa niecnych hakerów postarała się o pozyskanie kodu źródłowego dla jednego z popularnych narzędzi bezpieczeństwa Nortona, a potem podrzuciła kod do Pirate Bay. Wydawałoby się, że hakerzy mieliby uproszczoną sprawę, ale okazało się, że kod źródłowy należał do produktów Norton Utilities wydanych w 2006 a obecne produkty Symanteca mają już inny kod. Innymi słowy, kradzież tego kodu źródłowego nie stwarza jakiegokolwiek zagrożenia dla współczesnych abonentów Nortona, jeśli zaktualizowali je przynajmniej raz w ciągu ostatnich pięciu lat.

dodany: 05.01.2013 | tagi: , , , , ,

TOP 10 największych wpadek z dziedziny bezpieczeństwa w 2012 roku cz. 1

7

Początek roku to czas podsumowań, także u nas. Przedstawiamy listę najgorszych wpadek w dziedzinie bezpieczeństwa w 2012 roku o zasięgu globalnym, również z udziałem gwiazd świata IT: Dropboksa, Microsoftu, Skype’a i Nortona.

 1. Atak na Honana

Media na całym świecie są zgodne, że najgłośniejszym atakiem 2012 roku był atak na Mata Honana, redaktora Wired.com.

Pisaliśmy o tym (Dziennikarz obwinia Apple za atak na iCloud), jednak przypomnijmy, jak atak wyglądał.

W ciągu godziny hakerzy uzyskali dostęp do konta Honana na Amazonie, usunęli jego konto w Google i dostali się do jego Apple’owych urządzeń. Następnie przejęli kontrolę nad kontem Honana na Twitterze – zanim konto ze statusem @mat zostało zawieszone, cyberwłamywacze zdążyli zamieścić na nim kilka rasistowskich i homofobicznych tweetów.

Do ataku użyto prawdopodobnie snafusa. Ponad to, do ataku przyczyniły się także: brak dwuskładnikowego uwierzytelnienia, używanie tych samych nazw w przypadku kilku kont e-mailowych, sprzeczne protokoły bezpieczeństwa kont na Amazonie i Apple’u oraz stara, ale wciąż skuteczna, inżynieria społeczna.

 2. Wirus Flame

Obecność wirusa Flame, uderzająco podobnego do sponsorowanego przez rząd Stuxneta,
stosowanego do działań szpiegowskich w krajach Bliskiego Wschodu, odkryli researcherzy Kaspersky’ego (Dochodzenie Kaspersky Lab ujawnia trzy nowe szkodliwe programy związane z Flamem).

Przypomnijmy, dlaczego Flame jest naprawdę groźny: za każdym razem, gdy zanurza swoje haczyki w systemie, instaluje moduły, które mogą np. nagrywać rozmowy prowadzone przez Skype’a lub dźwięk audio dochodzący z czegokolwiek, co znajduje się blisko komputera, a także kopiować zrzuty komputera, podglądać połączenia sieciowe oraz przetrzymywać rejestry wszystkich ruchów na klawiaturze i jakichkolwiek danych wprowadzanych w oknach wprowadzania. Poza tym wszystkie informacje, które zbiera, wrzuca na serwery nadzorujące (ang. Command and Control).

Wkrótce po tym, gdy researcherzy Kaspersky’ego odkryli obecność Flame’a, twórcy wirusa aktywowali polecenie, by wyczyścić z oprogramowania zainfekowane komputery.

3. Narzędzie domowej roboty za 50$, które otwiera hotelowe drzwi

Podczas konferencji Black Hat w lipcu, researcher Cody Brocious zaprezentował urządzenie, które może otworzyć elektroniczne zamki, produkowane przez Onity. Z zamków Onity korzystają tysiące hoteli na całym świecie, w tym największe, jak Hyatt czy Marriott.

Urządzenie bazuje na mikrokontrolerze Arduino. Kosztuje mniej niż 50$. Może zbudować je każdy, kto posiada minimalną wiedzę o kodowaniu.

Firma nie zapłaciła za szkody. Nie naprawiła też wady zamków. Wymieniła tylko układy elektroniczne w uszkodzonych zamkach w hotelach na całym świecie.

 4. Wiele wycieków haseł

W tym roku nie było tak spektakularnych upadków, jak w przypadku PlayStation Network, ale nastąpiło wiele mniejszych ataków, których wysyp nastąpił na przełomie wiosny i lata. Opublikowanych zostało 6,5 mln zahaszowanych haseł LinkedIn, 1,5 mln haseł eHarmony, 450 tys. haseł Yahoo Voice, niesprecyzowana liczby haseł Last.fm i informacje dotyczące logowania i profili setek użytkowników Nvidia.

 5. Dropbox upuszcza swoją ochronę

W lipcu część użytkowników Dropboksa odnotowała, że zaczęła otrzymywać dużą ilość spamu na swoje skrzynki. Dropbox odkrył, że hakerzy pozyskali dzięki kontom jego pracowników dokumenty zawierające adresy e-mail użytkowników. Śledztwo wykazało, że hakerzy uzyskali dostęp do kont tych użytkowników, ponieważ używali oni tych samych nazw użytkowników/kombinacji haseł w przypadku różnych stron. Kiedy dane logowania wyciekły przez lukę w innym serwisie, hakerzy mieli wszystko, czego potrzebowali, aby otworzyć konto użytkowników na Dropoksie.