Jakub Wątor

Napisz do autora:
jakub.wator@agora.pl

RSS


RSS
piątek, 07 października 2016
 
2Mikko Hyppönen jest szefem działu analiz w fińskiej firmie F-Secure. Pracuje w niej od 1991 r., jest światowej sławy ekspertem w dziedzinie cyberbezpieczeństwa i prywatności w sieci. Wielokrotnie stawał publicznie w obronie prywatności zwykłych obywateli i apelował o transparentność działań rządów. Dwa lata temu za pomoc w ulepszaniu swego systemu bezpieczeństwa publicznie dziękował mu zarząd Twittera. Firma znana jest głównie ze swoich programów antywirusowych. Pomaga też w ochronie w kontaktach ze światem Edwardowi Snowdenowi, byłemu pracownikowi amerykańskich służb, który ujawnił szczegóły masowej inwigilacji prowadzonej przez agencję NSA.
 
JAKUB WĄTOR: Kto jest najbardziej narażony na działania cyberprzestępców?
 
MIKKO HYPPöNEN: Wszyscy mają problem, ale najsłabszym punktem są prywatni użytkownicy. Nie mają pojęcia, jak chronić swoje systemy, i dlatego to w ich komputerach dochodzi do największej liczby infekcji.

Obecnie najpopularniejszy jest ransomware. Rodzaj wirusa, który szyfruje prywatne pliki na komputerze i żąda od ofiary okupu za ich odszyfrowanie. Jeden z gangów na jednej jego masowej wysyłce mailowej zarobił 325 mln dol.

- Mamy dziś do czynienia z mniej więcej setką takich międzynarodowych gangów. Zawsze radzę: jeśli dałeś się zainfekować i nie miałeś kopii zapasowej swoich danych, zapłać ten okup. To bolesny krok, ale jest i optymistyczna strona: to działa! Wszystkie gangi dotrzymują słowa i oddają pliki. Ba - mają specjalne działy obsługi "klienta", które na czacie podpowiedzą, jak zapłacić okup w bitcoinach (wirtualnej walucie), a potem odszyfrować dane. Dbają o dobrą reputację, bo wiedzą, że przyszłe ofiary nie zapłacą, jeśli rozniesie się wieść, że nie zwracają plików. Nie cierpię momentu, gdy muszę powiedzieć, że lepiej zapłacić okup, ale często to jedyne wyjście.

Ransomware opiera się na socjotechnice. To będzie wciąż główny kierunek cyberprzestępczości?

- Zawsze będą się ze sobą łączyły słabość systemów informatycznych i głupota, jaką popisują się ludzie. Możemy naprawiać dziury w systemach przez ich aktualizowanie i tworzenie dla nich łatek, ale ludzi naprawić trudno. Na ludzki umysł nie da się stworzyć żadnej łatki.

Przestępcy najczęściej wysyłają ransomware przez maile, w których podszywają się pod znajome osoby i dołączają zainfekowane pliki. Dlatego pierwszym przykazaniem jest: nie klikaj w załączniki! Drugim sposobem zarażenia są exploity, czyli wirusy na stronach internetowych szukające dziur w twojej przeglądarce lub jej rozszerzeniach - Javie czy Flashu. Strona może wyglądać normalnie, to może być duży portal z newsami, ale ma lukę i ktoś umieszcza w niej exploita. Wystarczy, że odwiedzisz taki zarażony portal, a już jesteś zhakowany.

Przykazanie drugie: aktualizuj przeglądarkę i jej aplikacje.
z20723530Q,Mikko-Hypponen-z-F-Secure
Bardziej powinniśmy się bać cyberprzestępców czy jednak wielkich korporacji, którym oddajemy naszą prywatność?

- Z jednym i drugim mamy równie duży problem. Dlaczego naszą prywatność mają w rękach korporacje i aplikacje mobilne? Bo za każdym razem kłamiemy, klikając: "Tak, przeczytałem regulamin i zgadzam się". Najlepszym przykładem, ile warta jest nasza prywatność, jest Google. Używamy jego produktów cały czas - YouTube, Google Maps, wyszukiwarka, GMail, Google Docs - i nic za to nie płacimy. Zero złotych! A tylko w ostatnim kwartale Google zainkasował 19 mld dol. za reklamy!

Dla Google'a jestem tylko towarem, sprofilowanym zestawem cech.

- No cóż, najwięksi geniusze naszych czasów pracują w Google'u nad usprawnianiem algorytmów, które wyświetlają nam reklamy. Dla mnie to też dość smutne, bo oni mogliby robić coś bardziej produktywnego.

To powinno budzić nasz niepokój?

- Na wielu płaszczyznach przegraliśmy już walkę o naszą prywatność, bo... Ile masz lat?

29.

- No to pamiętasz jeszcze czasy sprzed internetu. Ale spójrz na dzisiejszych 20-latków. Oni internet mają od zawsze. Dla nich naturalne jest, że za treści w sieci płacą swoją prywatnością, a nie pieniędzmi. Wydaje im się, że to normalne. Tego procesu nie cofniemy.

Ale czy można w ogóle komuś ufać? W lutym Apple odmówił FBI odblokowania iPhone'a terrorysty, który dokonał masakry w San Bernardino, ale agenci federalni w końcu sami się do niego włamali.

- Apple zachował się perfekcyjnie, odmawiając pomocy FBI. Biję im brawo, ale też rozumiem FBI. Mieli prawo złamać zabezpieczenia iPhone'a terrorysty i dobrze, że im się to udało. Nie podobało mi się tylko to naciskanie przez federalnych na Apple'a.

Czujesz niepokój, wjeżdżając na teren USA?

- Przez 25 lat mojej kariery publicznie krytykowałem rządy. Ale bez względu na to nie mam obaw, gdy odwiedzam Stany Zjednoczone, bo to państwo demokratyczne. Nigdy jednak nie odwiedzę Chin, które z demokracją nie mają nic wspólnego. A w Rosji byłem kilkukrotnie i owszem, zachowywałem pewne środki ostrożności, ale nic mi się nie stało.

Bałeś się szpiegowania?

- Wiesz, ja nie jestem normalnym użytkownikiem, pracuję w cyberbezpieczeństwie.

James Bond przeniósł się do sieci?

- Nawet kiedyś powiedziałem coś takiego jednej gazecie. Dzień po publikacji zadzwonił do mnie kolega z fińskich służb wywiadu i powiedział: "Stary, nie masz pojęcia o agentach. To nie tak działa!". Szpiegostwo się po prostu rozwinęło - teraz funkcjonuje i tu, i tu. Interesujące jest, jak to wszystko postępuje. Nie tylko w działalności szpiegowskiej, ale też wojennej.

Ostatnie 60 lat minęło nam na zimnej wojnie i nuklearnym straszeniu. Bomby atomowe wciąż istnieją, ale raczej mało kto się boi, że wybuchnie nagle wojna nuklearna. Nadchodzi czas cyberwojny. Rządy państw są bardzo zainteresowane cyberbronią, bo jest efektywna, niedroga i trudno zidentyfikować atakujących. To wspaniała kombinacja. Co więcej, wyrządzasz szkodę tylko tam, gdzie chcesz. Gdy zrzucasz bombę z samolotu, łatwo zabić wielu przypadkowych cywilów. A gdy używasz Stuxneta [pierwszy w historii wirus do szpiegowania, używany wspólnie przez USA i Izrael do ataku na Iran], cywile nie ucierpią, jeśli tego nie zechcesz.

Z drugiej strony atak hakerski na ukraińską elektrownię pokazał, że cywile też mogą ucierpieć.

- Bo tego chcieli Rosjanie. I to pokazuje, jaka siła idzie za tymi metodami.

Ale poza tym i Stuxnetem nie słychać o innych epizodach cyberwojny.

- Mamy do czynienia z efektem mgły - nie wiemy, do czego zdolne są poszczególne rządy. W czasach zagrożenia wojną nuklearną to było proste. Każdy wiedział, które kraje i iloma bombami dysponują. No i gdy wiedziałeś, że dany kraj ma taką bombę, to z nim nie zadzierałeś. Jej nie trzeba było odpalać, wystarczyło ją mieć, by inni się bali.

A w cyberwojnie nie ma możliwości postraszenia tym, że mamy narzędzia do ataku. Tu trzeba ich użyć. Stąd wspomniana przeze mnie mgła - poza tym, że USA, Rosja i Chiny mają ogromny potencjał do cyberataku, o reszcie nie wiemy nic. Jaka może być siła rażenia Wietnamu? Włoch? Albo Polski? Nie mam zielonego pojęcia, i to jest bardzo niepokojące.
14:36, eprzekret
Link Dodaj komentarz »

yahoo

Kiepski okres ma amerykański gigant technologiczny. Właśnie wyszło na jaw, że Yahoo czytało maile swoich użytkowników na zlecenie amerykańskich służb.

W lipcu firma została sprzedana telekomunikacyjnemu gigantowi Verizonowi za 5 mld dol. Tę kwotę niemal wszyscy ludzie z branży uznali za bardzo niską i pokazującą upadek ogromnego kiedyś przedsiębiorstwa internetowego. Z kolei pod koniec września światło dzienne ujrzała informacja o tym, że z tego serwisu wyciekły dane z 500 mln kont użytkowników: imiona i nazwiska użytkowników, ich daty urodzenia, adresy elektroniczne, numery telefonów, zahaszowane (zabezpieczone) hasła, a także pytania i odpowiedzi pomocnicze, które służą weryfikacji tożsamości użytkownika. Teraz Ameryka żyje kolejnym skandalem związanym z tą firmą: czytaniem maili.

Cały świat był zaszokowany skalą inwigilacji amerykańskich służb w czerwcu 2013 roku, gdy Edward Snowden ujawnił tajne informacje na temat ich działania. Okazało się, że wtedy, że największe firmy technologiczne (Apple, Facebook, Microsoft, Yahoo, Google) uczestniczą w programie Prism prowadzonym przez NSA - amerykańską wewnętrzną agencję wywiadowczą. Jej agenci mieli wgląd do maili, czatów, zdjęć, filmów i różnych innych informacji zamieszczanych przez internautów w sieci. Po ujawnieniu tego przez Snowdena, wielkim skandalu i różnych prawnych bataliach firmy technologiczne przestały współpracować ze służbami. Okazuje się jednak, że Yahoo znów to robi.

Czy Yahoo nadal czyta?

Agencja Reuters u dwóch niezależnych źródeł (byłych pracowników Yahoo) dowiedziała się, że firma pozwala agentom NSA i FBI skanować wszystkie maile, które przychodzą na skrzynki użytkowników. Wszystkie! W przypadku Prism agencje miały do nich dostęp, ale na żądanie. A tu z automatu mają skanować wszystko pod kątem określonych ciągów znaków. Maszyny skanują więc wiadomości i jeśli np. znajdą w nich hasła takie, jak „bomba” czy „zamach”, to mogą interweniować. Ale czy skanują maile tylko pod kątem zagrożeń terrorystycznych? Tego się nie dowiemy.

Decyzję o pozwoleniu na skanowanie miała wydać słynna prezes Yahoo Marissa Mayer. Miało to też być powodem konfliktu między nią a szefem działu bezpieczeństwa Aleksem Stamosem. W efekcie ten ostatni w zeszłym roku odszedł z firmy. - To Wielki Brat na sterydach, którego należy natychmiast zatrzymać - skomentował te rewelacje Ted Lieu z Izby Reprezentantów, znany z walki o prywatność.

Po publikacji Reutersa, Yahoo zaczęło się miotać. Najpierw napisało w oświadczeniu, że jest firmą działającą zgodnie z prawem Stanów Zjednoczonych. Potem jednak nazwało informacje Reutersa wprowadzającymi w błąd i prowadzącymi do nadinterpretacyjnymi. W końcu stwierdziło, że „opisany przez dziennikarzy program skanujący maile nie istnieje w naszych systemach”. A więc - jeśli wierzyć Yahoo - nie skanują, ale nie powiedzieli, że nie skanowali. Chris Soghoian, ekspert technologiczny American Civil Liberties Union - organizacji walczącej o ochronę praw obywatelskich, skomentował to krótko: - Yahoo ubabrane resztkami czekolady i z okruszkami na ustach mówi: „Ciastko? Jakie ciastko?”.

Europa zaniepokojona działaniami Yahoo

Na te rewelacje zareagowała już Europa. Irlandzki inspektor ochrony danych osobowych (to w tym kraju mieści się europejska siedziba Yahoo) ogłosił, że w tej sprawie zostanie wszczęte postępowanie wyjaśniające. „Każda forma masowego naruszania podstawowych praw do prywatności europejskich obywateli będzie przez nas postrzegana jako niepokojąca” - napisało irlandzkie biuro. O dochodzenie zaapelowały też europejskie organizacje chroniące konsumentów. Z kolei niemiecki europoseł Fabio De Masi złożył już wniosek formalny u Federiki Mogherini, przedstawicielki Unii ds. zagranicznych i polityki bezpieczeństwa, z prośbą o zażądanie w imieniu całej Wspólnoty wyjaśnień od władz USA.

14:22, eprzekret
Link Dodaj komentarz »

Niedawno Edward Snowden ostrzegł przed używaniem komunikatora Google Allo. Czy ma rację? Czym się różnią między sobą dostępne komunikatory?

"Nie używajcie Allo" - ten krótki komunikat ma wyjątkową siłę, bo napisał go na Twitterze Edward Snowden - człowiek, który dokonał największego wycieku w historii, publikując mnóstwo tajnych dokumentów na temat inwigilacji prowadzonej przez amerykańskie służby. Czy Snowden ma rację? W pewnym stopniu - tak. Google Allo, nowy komunikator giganta IT, ma co prawda opcję bezpiecznego szyfrowania rozmów między użytkownikami, ale tylko w trybie incognito. Domyślnie zaś rozmowy nie są anonimizowane i są przechowywane na serwerach Google tak długo, aż sam użytkownik ich nie skasuje. Gdy w zeszłym roku Google zapowiadał wprowadzenie Allo, zapewniał, że wiadomości będą szyfrowane i anonimizowane zawsze.

 

Okazało się, że jest inaczej - firma może je przypisywać do danego użytkownika. W komunikatorze dostępna jest usługa inteligentnego pomocnika - maszyny, która podpowie użytkownikowi w różnych tematach. Pomocnik uczy się użytkownika i jego typowych odpowiedzi. Po pewnym czasie sam może sugerować, co użytkownik ma odpisać na daną wiadomość. Ba, jeśli przeczyta, że użytkownik umawia się na piwo z kolegą, może mu podpowiedzieć otwarte w pobliżu knajpy. A więc czyta wszystkie wiadomości. Firma zbiera te ogromne dane i nas profiluje - przypisuje nam zestaw cech, upodobań, a potem wyświetla nam stosowne do tego reklamy. To właśnie na tym Google zarabia potężne pieniądze.

Messenger ma nowe opcje

Z drugiej strony jest Facebook i jego komunikator Messenger. Nie ma w nim żadnego inteligentnego pomocnika, który podpowie nam, gdzie iść na piwo, ale to nie znaczy, że możemy uznać, że Facebook naszych wiadomości nie czyta. Mało prawdopodobne, by tego nie robił. Ale firma Marka Zuckerberga wprowadziła właśnie nową opcję w Messengerze - "tajne konwersacje". Są one szyfrowane metodą end-to-end, czyli odczytać je mogą tylko nadawca i odbiorca. Tej samej metody używa Allo w trybie incognito.

Tyle że Google naobiecywał mnóstwo szyfrowania i anonimowości, a zrobił komunikator domyślnie czytający niemal wszystko. Facebook zaś nic nie obiecywał, a wprowadził możliwość rozmów zaszyfrowanych. To istotna różnica pokazująca kierunki, w których idą obie firmy. Ale czy już którejś z nich można zaufać? Nie sądzę.

Signal najbezpieczniejszy

I Messenger, i Allo korzystają z tego samego protokołu szyfrowania co Signal. To komunikator powszechnie uznawany przez ekspertów (również przez Edwarda Snowdena) za najbezpieczniejszy i lepiej korzystać właśnie z niego. Stworzyła go działająca non profit grupa wybitnych specjalistów Open Whisper Systems. Oni na Signalu nie zarabiają. Ich pasją jest walka o prywatność. W Signalu rozmowy szyfrowane są (o ile obie osoby używają tego komunikatora) z założenia, nie potrzeba żadnych trybów tajnych czy incognito.

FBI odchodzi z kwitkiem

 

Na początku roku FBI poprosiło twórców Signala o to, by podali im dane dwóch użytkowników korzystających z tego komputera. Oczywiście twórcy spełnili nakaz sądowy, ale... okazało się, że sami o użytkownikach właściwie nie wiedzą nic, bo w Signalu szyfrowane jest dosłownie wszystko. Oto informacje, które FBI otrzymało o delikwentach:

signal_fbi

Czy ktoś jeszcze ma wątpliwości, którego komunikatora używać? ;)

12:22, eprzekret
Link Dodaj komentarz »

Znów nadeszła fala osób wykorzystujących osoby, które dopiero co założyły firmę. Tym razem kryją się pod nazwą Centralny Rejestr Przedsiębiorców i Firm.

Centralny Rejestr Przedsiębiorców i Firm to kalka wielu poprzednich pseudorankingów, które naciągały świeżo upieczonych przedsiębiorców. Wcześniej naciągacze działali m.in. pod nazwami: Ogólnopolska Ewidencja Firm i Przedsiębiorstw (OEFiP), Centralna Ewidencja Działalności Gospodarczych i Firm (CEDGiF) czy Centralny Rejestr Działalności Gospodarczych i Firm (CRDGiF). Wszystkie te rejestr podszywają się pod Centralną Ewidencję i Informację o Działalności Gospodarczej (CEIDG), która jest jedynym rządowym spisem przedsiębiorców będących osobami fizycznymi. Wpis do tej bazy jest bezpłatny.

Osoby, które dopiero co zarejestrowały działalność, dostają tradycyjną pocztą listy z dołączonym blankietem do uiszczenia opłaty. W przypadku nowej odsłony wyłudzaczy - Centralnego Rejestru Przedsiębiorców i Firm - treść listu jest niemal identyczna, jak poprzednim razem. „W związku z aktualnym regulaminem CRPiF ogłoszenie wpisu wymaga fakultatywnej opłaty rejestracyjnej w wysokości 290 zł. (...) Brak płatności spowoduje brak wpisu” - czytamy. A czym skutkuje rzeczony brak wpisu? Zupełnie niczym. To fikcyjny rejestr, który nie jest nigdzie publikowany i którego jedynym celem istnienia jest wyciągnięcie pieniędzy od przedsiębiorców.

Centralny Rejestr Przedsiębiorców i Firm przesyła listy, które wyglądają tak, jak ten poniżej:
z20803340Q,Centralny-Rejestr-Przedsiebiorcow-i-Firm
Informację o nowej odsłonie wyłudzeń przesłał do nas czytelnik Błażej. „Niczym się nie różni od poprzednich rejestrów, tylko właśnie nazwą. Nawet adres jest ten sam. Aha, przepraszam numer konta jest inny” - żartuje pan Błażej. A adres podany na przesyłce kieruje do wirtualnego biura w Warszawie. To jeden ze znanych sposobów na ukrycie się przez osoby, które nie do końca działają czysto z prawem.

Każdy, kto dostanie przesyłkę od Centralnego Rejestru Przedsiębiorców i Firm, powinien ją po prostu wyrzucić do kosza i niczym się nie przejmować.

12:12, eprzekret
Link Dodaj komentarz »
piątek, 22 lipca 2016

Polski oddział globalnej firmy z rynku finansowego zamówił u pewnej firmy informatycznej przeprowadzenie pentestu. Krótko mówiąc: poprosili informatyków, by spróbowali się włamać do ich sieci, a potem ocenili, co należy poprawić, by być bardziej bezpiecznym. Pentesterzy postanowili spróbować starego, sprawdzonego sposobu. Zamiast włamywać się przez sieć, porzucili zainfekowanego pendrive’a w łazience na terenie firmy.

Już po kilku minutach znalazł go jeden z pracowników i włożył do swojego służbowego komputera, czym zainfekował maszynę. - Bingo! - krzyknęli pentesterzy. Jakież było ich zdziwienie, gdy po chwili dostali komunikat, że zainfekowany jest kolejny komputer. I kolejny, i kolejny. W sumie w ciągu dwóch minut jednym pendrivem zainfekowali dziesięć urządzeń. Jakim cudem? - Nasz pendrive nic nie wyświetlał, więc pracownik, który go znalazł, myślał, że coś jest nie tak z jego komputerem. Poprosił więc kolegę, by sprawdził tego pendrive’a na swoim. Dalej nic. Poprosił kolejnego. W ten sposób włożył pendrive’a do wszystkich dziesięciu komputerów będących w sali, w której pracował - śmieje się specjalista IT, który przeprowadzał tamten pentest.

Badacze z Uniwersytetu Illinois postanowili sprawdzić, jak zachowają się ich studenci w podobnej sytuacji. Rozrzucili po miasteczku akademickim 297 zainfekowanych pendrive’ów. Pierwszy z nich znalazł się w czyimś komputerze już po 6 minutach (gdy ja robiłem podobny test w redakcji „Gazety Wyborczej”, od pierwszego „wpięcia” minęło 11 minut). Aż 291 z nich zostało przez znalazców podpiętych do urządzeń, a 45 proc. z tych osób próbowało włączyć znajdujące się na przenośnej pamięci pliki. Gdy to zrobili, wyświetlała im się ankieta. Zdecydowana większość z nich (68 proc.) przyznała, że w ogóle nie pomyślała, iż pendrive może mieć wirusa. Zaledwie 24 proc. zaufało swemu oprogramowaniu antywirusowemu. Najciekawsze jednak jest zachowanie ostatnich 8 proc. badanych. Otóż oni, owszem, zorientowali się, że pendrive może mieć wirusa, więc... zamiast sprawdzić, co na nim jest na swoim komputerze, zrobiło to na cudzym sprzęcie - należącym do znajomego lub do uczelni.

Podobne badanie przeprowadziła firma Palo Alto Networks. Tu wyniki też nie napawają optymizmem. 39 proc. z 800 pytanych menedżerów przyznało, że podłączyłoby znalezionego pendrive’a do swego komputera w pracy. A co ósmy z nich stwierdził, że nie przyznałby się potem do tego nikomu w firmie.

„Bezpańskie” pendrive’y mogą mieć wszelkiego rodzaju wirusy. Wirus zwykle uruchomi się automatycznie po włożeniu ich do komputera, ale na monitorze nic się nie wyświetli, a sam pendrive będzie wyglądał, jakby nie było na nim żadnych plików. Użytkownik pozostanie więc nieświadomy zagrożenia, jakie na siebie sprowadził.

11:34, eprzekret
Link Dodaj komentarz »
czwartek, 21 lipca 2016

_89138788_ransomware

Bardzo ciekawy raport wypuściła właśnie fińska firma F-Secure produkująca antywirusy. Jej analitycy sprawdzili zachowania czterech grup przestępczych, które zarabiają na ransomware. To wirusy szyfrujące pliki na komputerze ofiary. W zamian za odszyfrowanie przestępcy żądają zapłaty okupu w bitcoinach. Niestety, programy antywirusowe rzadko wykrywają tego typu oprogramowanie. Non stop powstają nowe mutacje wirusa ransomware, dlatego też bardzo rzadko możliwe jest odszyfrowanie zainfekowanych plików w inny sposób niż zapłata złodziejom za otrzymanie klucza deszyfrującego. Ransomware najłatwiej jest złapać poprzez e-mail. Cyberprzestępcy wysyłają zainfekowane pliki, które po otwarciu wyświetlają na komputerze komunikat mówiący o zaszyfrowaniu i konieczności zapłaty.

Firma F-Secure sprawdziła cztery najpopularniejsze odmiany ransomware - okazuje się, że internetowi złodzieje działają już jak prawdziwe firmy. Mają swoje działy obsługi „klienta”, potrafią odroczyć płatność, a nawet można z nimi negocjować jej obniżenie.

Autorzy badania założyli fikcyjne konto, pobrali próbki złośliwych oprogramowań i poprosili kobietę nie znającą się na technologii o poprowadzenie rozmów z przestępcami. Z badania wynikło kilka ciekawych wniosków.

Przede wszystkim „klient”, czyli ofiara, zazwyczaj nie jest pozostawiony sam sobie. Jak w każdym szanującym się przedsiębiorstwie, cyberprzestępcom zależy na porządnej obsłudze „klientów”. Mają swoje strony internetowe, na których publikują przydatne dla ofiary informacje: w jaki sposób kupić bitcoiny, jak przelać je na konto złodzieja, jak potem odszyfrować pliki. Ba - na stronach umożliwiają „testowe” odszyfrowanie jednego pliku za darmo - tak, aby ofiara miała pewność, że po zapłacie okupu rzeczywiście odzyska zaszyfrowane pliki. - Obsługa klienta oferowana przez cyberprzestępców wydaje się być skuteczna. Wiele legalnych sklepów internetowych i tradycyjnych firm mogłoby się od nich sporo nauczyć. Z przykrością stwierdzam, że oszuści wydają się dotrzymywać słowa. Można z nimi nawet negocjować. To przestępczość na masową skalę, prowadzona na zasadzie rutynowej działalności biznesowej - mówi Erka Koivunen, doradca ds. cyberzabezpieczeń w F-Secure.

Cerber - mistrz marketingu

Zdecydowanie najciekawszą i najzabawniejszą obsługę „klienta” oferują przestępcy rozsyłający wirusa o nazwie Cerber. Strona internetowa, na której można załatwić sprawę okupu, dostępna jest w... 12 językach. Jest na niej też formularz kontaktowy, sekcja FAQ (najczęściej zadawane pytania i odpowiedzi na nie) oraz „unikalna” podstrona dla ofiary z czasem odliczanym do końca terminu na płatność.

Wiele informacji ofiara może uzyskać już zaraz po zarażeniu się Cerberem. Dostaje ona na pulpicie plik tekstowy z wieloma wskazówkami. Złodzieje, którzy używają Cerbera musieli przejść jakieś kursy akwizytorów czy konsultantów sklepowych. Plik tekstowy rozpoczynają pytaniami do „klienta”: „Nie możesz odnaleźć potrzebnych ci plików? Zawartość plików, której szukasz, jest niemożliwa do odczytania?”. Potem proponują „pomoc”: „Jako jedyni dysponujemy sekretnym kluczem pozwalającym otworzyć twoje pliki”. I wyjaśniają płynące ze skorzystania z ich usług profity: „Po zakupie pakietu oprogramowania będziesz w stanie: odszyfrować wszystkie pliki, pracować ze swoimi dokumentami, wyświetlać zdjęcia i pliki multimedialne, kontynuować wygodne korzystanie z komputera”.

To jednak nie wszystko. Najlepsze autorzy Cerbera zostawiają na końcu pliku tekstowego. Tam bowiem tłumaczą swoje motywacje, przy których nie sposób się nie zaśmiać :D

Projekt Cerber Ransomware stworzono wyłącznie w celach instruktażowych związanych z bezpieczeństwem informacji. Weryfikuje też skuteczność oprogramowania antywirusowego w zakresie ochrony danych. Razem sprawiamy, że internet staje się lepszy i bezpieczniejszy.

Ciekawą wskazówkę podają też autorzy wirusa Shade. Informują oni, że jeśli ofiara będzie próbowała samodzielnie odszyfrować pliki, lepiej niech zrobi sobie ich kopie zapasowe. Odszyfrowanie stanie się bowiem niemożliwe w przypadku jakichkolwiek zmian wewnątrz plików. To rada, której warto trzymać się w przypadku zarażenia jakimkolwiek rodzajem wirusa ransomware.

Ransomware można negocjować

Analitycy, którzy prowadzili badania, momentami mogli czuć zaskoczenie. Kobieta (o imieniu Christine) rozmawiająca z przestępcami (za pomocą maila lub czatu na ich stronie) zdołała u trzech grup wynegocjować obniżkę okupu, choć w założeniu brak wpłaty w określonym terminie oznacza jej podwyżkę. Kobieta próbowała też oferować zamiast pieniędzy zaprojektowanie grafiki na stronę przestępców lub przekazać karty podarunkowe do Amazona. Na to złodzieje się nie zgadzali, jedyną walutą, jaką akceptują jest bitcoin.

To, jak wyglądają negocjacje i sposób działania złodziei w zorganizowanych grupach świetnie przedstawia zapis rozmów kobiety z przestępcami, którzy zarazili jej komputer wirusem Jigsaw. Agent grupy przestępczej nie tylko prowadził Christine niemal za rękę po kolejnych etapach płatności, ale i na koniec... polecił jej najlepsze programy antywirusowe chroniące przed ransomware.

Agent (w odpowiedzi na kilka wiadomości przesłanych poprzez formularz internetowy): Witam. Aby odblokować swoje pliki, musisz dokonać płatności w bitcoinach. Wiesz, jak kupić bitcoiny?

Christine Walters: Cześć. Nie, nie wiem, jak kupić bitcoiny. Co się stało z moimi plikami? Dlaczego musiałam tak długo czekać na odpowiedź? Nie mogę pracować na moich plikach! Ile muszę zapłacić?

Agent: Napisaliśmy do Ciebie trzykrotnie z innego adresu e-mail i za każdym razem wiadomość powracała do nas jako niemożliwa do dostarczenia. Twoje pliki zostały zaszyfrowane. Wejdź na stronę www.localbitcoins.com i kup bitcoiny za 125 USD. Możesz za nie zapłacić poprzez przelew bankowy, wpłatę na konto, gotówką itp. Wyślij bitcoiny na poniższy adres. Napisz do nas wtedy wiadomość e-mail, a my prześlemy Ci hasło umożliwiające odszyfrowanie plików i wejdziemy na czata, aby w razie potrzeby Ci pomóc. Wprowadzenie hasła i odzyskanie wszystkich plików zajmie Ci 5 minut. Po dokonaniu płatności napisz do nas wiadomość e-mail. Jesteśmy online przez najbliższe 12 godzin.

Christine: Nigdzie nie zamawiałam szyfrowania plików, to musi być jakaś pomyłka. Sprawdźcie, proszę, swoją dokumentację, ponieważ wydaje mi się, że zaszyfrowaliście pliki niewłaściwej osoby. Proszę o przywrócenie moich plików, bo ich brak jest dla mnie dużym problemem. Czy jest jakiś numer telefonu, pod który mogę zadzwonić, aby porozmawiać z Waszym przedstawicielem i wyjaśnić całą sprawę?

Agent: Zaszyfrowanie plików jest efektem działania wirusa, a nie usługi. Kliknęłaś jakieś łącze lub pobrałaś program, który spowodował zaszyfrowanie plików. Teraz musisz zapłacić za ich odzyskanie. To nie jest coś, co zamówiłaś. Pobrałaś wirusa, teraz musisz więc zapłacić. Po upływie 24 godzin wysokość opłaty za odszyfrowanie zostanie podniesiona do 225 USD. Wcześniej kontaktowaliśmy się z Tobą kilkakrotnie, już teraz powinniśmy więc obciążyć Cię kwotą 225 USD. Ponieważ jednak widzę, że nie wiesz, czym jest wirus żądający okupu, dziś zostaniemy jeszcze przy 125 USD. Od jutra okup wyniesie 225 USD.

Christine: Hmm, to miło z Waszej strony. Dziękuję za pozostanie przy kwocie 125 USD, zwłaszcza że nie otrzymałam wcześniejszych wiadomości. Poszperałam trochę w Google i dowiedziałam się, czym jest ransomware. Dlaczego to robisz? Rozumiem, że po prostu dla pieniędzy, ale to bardzo nie w porządku. Może powinieneś zająć się jakąś inną działalnością? Czymś, co pozwoli Ci poczuć się dobrze? Jestem przekonana, że jesteś bardzo utalentowaną osobą. Jak nazywa się to oprogramowanie ransomware? Czy to Cryptowall?

Agent: Nie, to nie Cryptowall. Cryptowall działa całkiem inaczej. Nasze oprogramowanie nie ma nazwy. Napisz do nas wiadomość e-mail po dokonaniu płatności, a wtedy prześlemy Ci klucz do odszyfrowania plików. Przywrócenie Twojego komputera do stanu normalności zajmie Ci 5 minut.

Christine: Czy to Jigsaw? A może TorrentLocker? Weszłam na stronę localbitcoins.com, skąd jednak mam wiedzieć, którą pozycję na liście wybrać? Skąd się biorą te różne ceny?

Agent: Oprogramowanie nie ma nazwy, to kod prywatny. Różnice w cenach wynikają z różnic między poszczególnymi sprzedawcami. Podaj kraj, z którego piszesz, wtedy poszukam dla Ciebie sprzedawcy.

Christine: Jestem w Finlandii. A Ty skąd piszesz?

Agent: Twoja najlepsza opcja to ... (łącze do sprzedawcy bitcoinów w Europie). To sprzedawca, który akceptuje karty paysafecard. Kupujesz kartę, przesyłasz kod lub zdjęcie, a gdy klikniesz nazwę sprzedawcy, zobaczysz czas transakcji. Ten sprzedawca udostępnia bitcoiny średnio w ciągu 5 minut. Jeśli skorzystasz z przelewu SEPA, potrwa to 1–2 dni. 125 USD to 110 EUR.

Christine: Dziękuję za znalezienie dla mnie sprzedawcy. Skąd mam jednak wziąć kartę paysafecard? Nie wiem, co to.

Agent: Sprawdź placówki w swojej najbliższej okolicy. Kartę kupisz zwykle na stacji paliw lub w supermarkecie. Idziesz do kasy, płacisz, a w zamian otrzymujesz rachunek z kodem PIN. Wysyłasz zdjęcie sprzedawcy z localbitcoins. Wtedy on weryfikuje dostępność środków i natychmiast umieszcza bitcoiny w Twoim profilu. Miejsca, w których kupisz paysafecard, to — zgodnie ze znalezionymi przeze mnie informacjami — sklepy R-Kioski i Siwa.

Christine: OK, to wydaje się dość proste. Ale skąd mam wiedzieć, że naprawdę odzyskam pliki, gdy już Wam zapłacę? A co, jeśli po prostu weźmiecie moje pieniądze, a nie naprawicie moich plików? I czy zabierzecie to okropne roznegliżowane zdjęcie z mojego pulpitu?

Agent: Odblokowujemy każdy komputer, na 100%. Czy zrobisz to dziś? Wtedy będę mógł zostać online i Ci pomóc?

Christine: Nie mogę! Miałam bardzo pracowite popołudnie w pracy. Teraz muszę odebrać synka z przedszkola, bo zamykają je za pół godziny. Przez cały wieczór będę zajęta. Muszę zrobić to jutro. Mam nadzieję, że cena nie pójdzie w górę. A co z plikami, które wirus usunął — czy je również odzyskam?

Agent: Wszystkie pliki zostaną odszyfrowane, a wirus zniknie. Postaraj się. Nie mogę zagwarantować ceny. Nie mam nad tym kontroli. Jeśli nie, zobaczymy, co stanie się jutro.

Christine: Chodzi o to, które pliki zostaną odszyfrowane? WSZYSTKIE pliki na moim komputerze? Czy wszystkie pliki, które usunęliście?

Agent: Zaszyfrowane pliki programów, które blokują używane zwykle przez Ciebie programy, zostaną odszyfrowane. Programy, które wydają Ci się usunięte, tak naprawdę nie zniknęły. Zostały przeniesione do innej lokalizacji na Twoim komputerze i zaszyfrowane w kilku folderach. Zostaną one odszyfrowane i przeniesione do lokalizacji pierwotnej. Będę online jeszcze przez 2 godziny.

Christine (następnego dnia): Czy cena wciąż jest taka sama?

Agent: Cena wynosi 110 EUR. Tylko zrób to dziś. Sprzedawca bitcoinów, o którym pisałem wczoraj, dziś ich nie sprzedaje. Kurs bitcoina rośnie i ten sprzedawca chyba wyczerpał swoje zapasy. Kup kartę paysafecard i napisz do mnie wiadomość e-mail, znajdę dla Ciebie innego sprzedawcę. Daj znać, czy zrobisz to dziś. Znajdujemy się w całkiem różnych częściach świata, mogę więc poprosić kogoś online, żeby Ci pomógł.

Christine: Problem w tym, że u mnie w ten weekend mamy przerwę świąteczną i sklepy są pozamykane. Miałam mnóstwo na głowie przez dzieci i pracę, a mój mąż jest bardzo zajęty i nie może pomóc. Na której jesteś półkuli, zachodniej?

Agent: Jestem w Kanadzie. Odszyfrujemy Twoje pliki za 125 USD, o ile zapłacisz nam do północy 24 dnia tego miesiąca. Potem cena wzrośnie do 225 USD. Gdy tylko płatność do nas dotrze i otrzymamy powiadomienie, napiszemy do Ciebie wiadomość e-mail lub wejdziemy na czata, aby odblokować Twoje pliki. Na localbitcoins możesz kupić bitcoiny za pomocą karty paysafecard lub płatności Western Union albo Moneygram. Daj znać.

Christine: Jesteś w Kanadzie? Szukałam informacji o ransomware i odniosłam wrażenie, że wszystkie ataki są przeprowadzane z Rosji. To ciekawe. Czy to Twoje główne źródło dochodów? Północ 24 dnia miesiąca — w jakiej strefie czasowej?

Agent: Północ w Twojej strefie czasowej. Najlepiej będzie, jeśli zrobisz to rano. To ja czekałem w gotowości na Twoją odpowiedź 3 dni temu, bo wydało mi się dziwne, że napisałem do Ciebie wiadomość, a Ty odpowiadasz dopiero po 8 godzinach. Zrób to do piątku do północy, lecz jeśli zrobisz to rano (wg Twojego czasu), czyli ok. 4 lub 5 rano u mnie, otrzymam wiadomość, gdy napiszesz do mnie e-maila, a wtedy wstanę i rozwiążę Twój problem. Zwykle nawet nie negocjujemy ceny, ale rozumiem, że nie dostałaś naszych pierwszych wiadomości. Wiem, że osoba, która będzie dyżurować jutro, będzie niezadowolona, gdy zobaczy, że cena dla Ciebie wynosi w dalszym ciągu 125 USD. Postaraj się więc zrobić to rano, żebym mógł załatwić całą sprawę, a Ty nie będziesz już wtedy miała problemu. A jeśli chodzi o Twoje pytanie o dochody... nie mam pojęcia, skąd takie pytanie. Zostaliśmy zatrudnieni przez pewną korporację w celu zakłócenia codziennej działalności jej konkurencji przez cyberataki. Nigdy nie robiliśmy nic w Finlandii, a Ty wydajesz się być użytkownikiem indywidualnym, który otworzył niewłaściwą wiadomość, dlatego staram się utrzymać cenę na minimalnym poziomie.

Christine: To ciekawe. Czyli to dlatego okup jest taki niski — bo jesteście już opłacani przez jakąś korporację, więc najbardziej interesuje Was utrudnianie komuś działalności biznesowej, a nie zarobienie mnóstwa pieniędzy na okupach? To jakiś obłęd. Czy ta korporacja to jakaś legalna, znana firma? Spróbuję znaleźć otwarty sklep R-Kioski lub Siwa, choć może to być trudne podczas tego świątecznego weekendu. Najprostsza byłaby dla mnie płatność Paysafe.

Agent: Okup jest niski, ponieważ zaatakował Cię wirus o najmniejszym zasięgu. Celem było tylko zablokowane plików w celu spowolnienia produkcji pewnej korporacji, co pozwoliłoby naszemu klientowi z wyprzedzeniem wprowadzić na rynek podobny produkt. Chodzi tylko o zaszyfrowanie plików. Nic więcej. Żadne pliki nie zostały przeniesione, uszkodzone ani usunięte. Na dyskach twardych nie są wykonywane żadne polecenia autodestrukcji. Tak, to znana korporacja. Firma z listy Fortune 500. W dalszym ciągu nie rozumiem, jakim sposobem Ty i jeszcze jedna osoba z Finlandii dostałyście naszą wiadomość e-mail, skoro cel znajduje się w USA, a klient zawsze podaje nam kontaktowe adresy e-mail. Musisz znajdować się na czyjejś liście mailingowej. Ta druga osoba już zapłaciła za pomocą karty paysafecard. Kupiła ją w sklepie Siwa. Dostanę powiadomienie, gdy napiszesz do mnie wiadomość e-mail, daj mi więc znać, żebym mógł odblokować Twoje pliki.

Christine (3 dni później): Nie było nas przez cały weekend z powodu świątecznego weekendu. Pojechaliśmy do domku letniskowego znajomych na wsi, w którym nie ma prądu ani Internetu. W dalszym ciągu nie powiedziałam o niczym mężowi, bo zdenerwuje się, gdy się dowie, że mam wirusa na naszym komputerze i muszę za to zapłacić. Zresztą on rzadko korzysta z tego komputera. Zapłacę w tym tygodniu. Czy takie ataki hakerskie na inne firmy są bardzo powszechne wśród wielkich korporacji? Słyszałam, że takie rzeczy robią rządy państw, nie wiedziałam jednak, że przedsiębiorstwa również.

Agent: Tak. Ataki na korporacje mają miejsce każdego dnia. Postaraj się załatwić sprawę jak najszybciej. Jeszcze nigdy nie trwało to tak długo. Dziękuję.

Christine (następnego dnia): Poszłam dziś rano do R-Kioski, żeby kupić kartę paysafecard, lecz gdy powiedziałam pracownikowi, po co ją kupuję, odmówił mi sprzedania takiej karty. Hmm. Będę chyba musiała spróbować w innym miejscu. W pobliżu nie ma sklepu Siwa. Czy cena wciąż wynosi 125 USD? To, co przytrafiło się mojemu komputerowi i moim plikom, jest oczywiście bardzo nieprzyjemne, ale miło, że chociaż Ty jesteś tak pomocny.

Agent: Tak, zapłać 125 USD. Chcemy mieć to już za sobą. Nigdy nie słyszałem o odmowie sprzedaży karty. Skoro dajesz pracownikowi pieniądze, powinien Ci ją sprzedać. Postaraj się załatwić to dziś, bo bitcoiny są notowane jak akcje, a ich kurs wzrasta. Postaraj się.

Christine: Mam dobre wieści! Porozmawiałam ze znajomym znajomego, który nieźle zna się na technologii i pomógł mi odnaleźć sporo zdjęć na moim koncie Google. Nie zdawałam sobie sprawy, że tam są! Nie wiedziałam, że część moich plików jest kopiowana na konto Gmail, ponieważ rzadko go używam. Wydaje mi się, że te odnalezione pliki to w zasadzie większość tego, co jest mi tak naprawdę potrzebne, nie muszę się więc już martwić o odszyfrowanie danych z komputera. Nie mogę uwierzyć, że to mówię, ale byłeś bardzo pomocny — choć to przecież Wy ukradliście moje pliki. Potrafisz rozmawiać z ludźmi, mógłbyś pracować w jakiejś bardziej przyzwoitej branży i świetnie się spisywać. Tak z czystej ciekawości: czy Twoja firma działa jak prawdziwe, legalne przedsiębiorstwo, z normalną stroną internetową i wszystkim, co trzeba? Nie potrafię sobie wyobrazić, jak publicznie reklamujecie usługi tego typu.

Agent: Cieszę się, że odzyskałaś swoje pliki. Ja sam nie widzę klucza odszyfrowującego do chwili pojawienia się płatności w portfelu z bitcoinami. To takie zabezpieczenie w systemie. Nie promujemy naszych usług. Wielkie korporacje zawsze mają dział techniczny. Zwykle w jednym z ich działów pracuje haker, który kontaktuje się z nami, aby sprawdzić ich zabezpieczenia. Przy okazji takich kontaktów informują nas o swoich potrzebach. To zresztą nie tylko korporacje. Politycy, rządy, mężowie, żony... Ludzie ze wszystkich środowisk zlecają nam włamywanie się na komputery, telefony komórkowe itp. Jeszcze raz zaznaczę, że moim zdaniem znalazłaś się na niewłaściwej liście kontaktowej, ponieważ nie mamy klientów w Finlandii, a naszym celem nie są użytkownicy indywidualni, którzy przechowują na swoich komputerach zdjęcia rodzinne czy muzykę. Zwykle jest to znacznie bardziej skomplikowane. Miałaś sporo szczęścia. Gdyby wirus miał funkcję autodestrukcji, Twój komputer uległby całkowitej awarii. Zaopatrz się w dobry program antywirusowy.

Christine: OK, to teraz zadam pewnie głupie pytanie, ale jaki program antywirusowy polecasz?

Agent: Jeśli chodzi o program antywirusowy, to nie ma wątpliwości, że żadne oprogramowanie nie daje takiej ochrony jak eset nod32. Avast, Malwarebytes, AVG — w porównaniu z nim to wszystko słabe narzędzia.

Należy z rezerwą podchodzić do wszystkich słów "Agenta" - to mimo wszystko przestępca.

 

Ransomware - jak się chronić?

  1. Rób backup danych na zewnętrzne urządzenia lub do chmury - nigdy nie będziemy do końca pewni innych zabezpieczeń. Każdy system, firewall, antywirus, wtyczka itd. może zawieść. Uwaga! Nośniki zewnętrzne podłączone do komputera podczas infekcji również zostaną bezpowrotnie zaszyfrowane. Backup do chmury jest najlepszym rozwiązaniem, gdyż realizuje się automatycznie - nie trzeba o nim pamiętać.
  2. Unikaj logowania się na konto z uprawnieniami administracyjnymi do komputera. Pracuj na koncie użytkownika, a konta administratora używaj tylko wtedy, kiedy jest to konieczne, np. do instalacji programów.
  3. Systematycznie i często aktualizuj system operacyjny i programy - niwelujesz w ten sposób luki bezpieczeństwa wykryte przez twórców oprogramowania.
  4. Unikaj wchodzenia na strony zawierające niebezpieczne treści, klikania w podejrzane linki i używania nieznanych narzędzi.
  5. Bardzo ostrożnie otwieraj załączniki e-mail, nawet od zaufanych nadawców. Adres nadawcy w wiadomości e-mail łatwo jest podmienić i podać się za dowolną osobę. Znane są też sztuczki, dzięki którym plik wyglądający np. na PDF czy ZIP faktycznie jest plikiem z wirusem.
  6. Jeśli musisz otworzyć załącznik, a wydaje ci się on podejrzany, możesz bezpłatnie przeskanować go w serwisie www.virustotal.com. Pamiętaj jednak, by nie przesyłać plików zawierających poufne dane.
14:38, eprzekret
Link Dodaj komentarz »
środa, 13 lipca 2016

jigsawRansomware to jeden z najpopularniejszych rodzajów wirusów stosowanych przez cyberprzestępców. Jego ofiarami padają zarówno firmy, jak i prywatne osoby. Wyjaśniamy, na czym polega to zagrożenie.

„Pliki w twoim komputerze zostały zaszyfrowane - twoje dokumenty, zdjęcia, filmy, etc. Ale nie martw się - jeszcze ich nie usunąłem. Masz 24 godziny na zapłacenie 150 dolarów w Bitcoinach aby otrzymać klucz deszyfrujący. Co godzinę będę kasować kolejne pliki z twojego dysku. Za 72 godziny wszystkie znikną bezpowrotnie” - takim komunikatem i twarzą znanej postaci z horrorów wita się z użytkownikami wirus Jigsaw. To jeden z przykładów coraz częściej stosowanego oprogramowania typu ransomware (od angielskiej zbitki ransom i software - okup i oprogramowanie).

Sama opłata jest na tyle niska, by użytkownikowi bardziej opłacało spełnić żądania przestępców, niż płacić firmie profesjonalnie odzyskującej dane. Jednocześnie jest na tyle wysoka, by wysyłka przynosiła oszustom zyski przy dość niskich kosztach własnych (oprogramowanie do ataku można w sieci kupić za kilkadziesiąt dolarów, więc atakującym może być każdy). Zależnie od tego, kto pada ofiarą, okup wynosi zwykle od 200 do 10 tys. dol.

Przykłady ofiar są często dość spektakularne. W grudniu 2013 roku departament policji w Swansea w stanie Massachusetts zapłacił 750 dol. autorom wirusa CryptoLocker. To jeden z najbardziej znanych wirusów typu ransomware. Według McAfee Labs na jednej wysyłce CryptoLockera przestępcy zarobili 325 milionów dolarów. Ataku i zapłaty okupu nie ustrzegło się nawet FBI...

W maju lokalne media w Lubelskiem donosiły, że ofiarą ransomware padli pracownicy Urzędu Gminy z tamtejszego... Urzędowa. Nie wiadomo, czy instytucja zapłaciła okup. Choć polskie firmy nie lubią się przyznawać do szkód, jakie wyrządzają im wirusy, specjaliści od IT nieoficjalnie podają wiele takich przypadków. Na ransomware złapał się jeden z czołowych ubezpieczycieli specjalizujących się w ubezpieczeniach komunikacyjnych w Polsce, dwa sklepy internetowe plasujące się w czołowej dziesiątce polskiego e-commerce czy kilka prywatnych zakładów opieki medycznej. - Niemal codziennie dostajemy zgłoszenia od firm, które padły ofiarą ataku. Niestety w większości przypadków było już za późno - mówi Jakub Wychowański z firmy Vecto.

Ransomware - jak to działa?

Najczęściej zaczyna się od otwarcia załącznika z maila. Oszuści podszywają się na przykład pod pocztę, informując o nieodebranej przesyłce. W ten sposób namawiają do otwarcia załącznika z niebezpiecznym oprogramowaniem. - 60 proc. wirusów ukrywa się w normalnych plikach multimediów. Najczęściej antywirusowe programy nie zwracają na nie uwagi. Przez luki w oprogramowaniu można dostać się do komputera - tłumaczy Michał Jarski z firmy Trend Micro. Wirusa można tez złapać z innych źródeł: przez złośliwe reklamy wyskakujące w przeglądarce internetowej, strony www z treściami pornograficznymi czy na zewnętrznych nośnikach USB.
Potem złośliwe oprogramowanie w ciągu kilku minut szyfruje dysk i wyświetla informację z żądaniem okupu. Podczas szyfrowania na naszym komputerze wykonywana jest na nim duża ilość operacji, przez co urządzenie może zwolnić. Może to potrwać od 5 do 10 minut. Często w tym czasie wyłączenie sprzętu i odłączenie go od sieci może zablokować proces szyfrowania. Nie pomoże to w usunięciu samego oprogramowania, ale może uratować nasze dane.

Pieniądze z oszustwa trafiają na konta „słupów”, a potem do osób rozsyłających takie oprogramowanie. Okup wypłacany jest najczęściej w bitcoinach lub w kodach serwisów przedpłaconych takich jak PaySafeCard. W ten sposób łatwiej jest „upłynnić” i wyprać pieniądze - na przykład w kasynach (podobnie jak cyberwłamywacze, którzy okradli bank centralny Bangladeszu).

Jeszcze kilka lat temu cyberprzestępcy tylko straszyli. Logo policji, informacja o znalezionej przez nią pornografii dziecięcej, blokada możliwości zrobienia czegokolwiek na komputerze i prośba o zapłacenie okupu w zamian za rezygnację ze śledztwa. Wystarczyło więc podłączyć dysk do innego sprzętu i skopiować pliki. Dziś pliki są szyfrowane - bez podania klucza właściwie nie mamy szans na odzyskanie danych. - To odwrócenie klasycznych form ataku. Zamiast wynosić dane na zewnątrz, atakujący zużywają je po stronie użytkownika. To tak jakby zamknąć komuś sejf i za dwieście dolarów podać klucz - mówi Jarski.

Ransomware - czy warto płacić?

Zdaniem Jarskiego - nie. - Atakujący wie już, że znalazł czuły punkt, w który może uderzyć po raz kolejny. A każdy okup finansuje kolejne ataki. Poza tym zapłacenie okupu nigdy nie oznacza końca problemów. Oprócz ransomware na naszym komputerze znaleźć się bowiem mogło oprogramowanie na przykład śledzące wszystkie wpisane z klawiatury znaki (dzięki któremu przestępcy będą mogli zdobyć nasze hasła) lub takie, które wyświetli na naszym komputerze spreparowaną stronę banku, by przekonać nas do wykonania przelewu na ich konto. Często po takiej infekcji konieczne jest całkowite sformatowanie dysku (usunięcie z niego wszystkich plików) i odzyskanie plików z kopii zapasowej - mówi.

Z kolei Arkadiusz Krawczyk z Intel Security zwraca uwagę na jeszcze inne skutki ataku ransomware: - Oczywiście cyberprzestępcom zależy na tym, aby ich biznes przynosił jak największe zyski, dlatego w większości przypadków po opłaceniu okupu przesyłają użytkownikowi klucz do odszyfrowania plików. Gdyby tego nie zrobili, ludzie przestaliby im płacić. Sprawę może rozwiązać dobry backup, który sprawi, że stracone dane będzie można odzyskać bez konieczności wpłacania okupu. Ale i to zabezpieczenie cyberprzestępcy potrafią dziś obejść, strasząc nie tylko zaszyfrowaniem danych, ale i - tak jest w przypadku ataków na urządzenia mobilne - przesłaniem historii wyszukiwania użytkownika do wszystkich kontaktów.

Ransomware - jak uniknąć zarażenia? (porady przygotowane przez firmę Vecto)

  1. Rób backup danych na zewnętrzne urządzenia lub do chmury - nigdy nie będziemy do końca pewni innych zabezpieczeń. Każdy system, firewall, antywirus, wtyczka itd. może zawieść. Uwaga! Nośniki zewnętrzne podłączone do komputera podczas infekcji, również zostaną bezpowrotnie zaszyfrowane. Backup do chmury jest najlepszym rozwiązaniem gdyż realizuje się automatycznie - nie trzeba o nim pamiętać.
  2. Unikaj logowania się na konto z uprawnieniami administracyjnymi do komputera. Pracuj na koncie użytkownika, a konto administratora używaj tylko wtedy, kiedy jest to konieczne, np. do instalacji programów.
  3. Systematycznie, często aktualizuj system operacyjny i programy - niwelujesz w ten sposób luki bezpieczeństwa wykryte przez twórców oprogramowania.
  4. Unikaj wchodzenia na strony zawierające niebezpieczne treści, klikania w podejrzane linki i używania nieznanych narzędzi.
  5. Bardzo ostrożne otwieraj załączniki e-mail, nawet od zaufanych nadawców. Adres nadawcy w wiadomości e-mail łatwo jest podmienić i podać się za dowolną osobę. Znane są też sztuczki, dzięki którym plik wyglądający np. na PDF czy ZIP faktycznie jest plikiem z wirusem.
  6. Jeśli musisz otworzyć załącznik, a wydaje ci się on podejrzany, możesz bezpłatnie przeskanować go w serwisie www.virustotal.com. Pamiętaj jednak, by nie przesyłać plików zawierających poufne dane.

Poniższy artykuł napisałem razem z Arkiem Przybyszem z "Gazety Wyborczej".

13:35, eprzekret
Link Dodaj komentarz »

28-letni Edward Majerczyk z Chicago przyznJennifer Lawrenceał się do tego, że wykradał gwiazdom Hollywood nagie zdjęcia z ich kont internetowych. Grozi mu 5 lat więzienia.

O wycieku nagich zdjęć celebrytek głośno było jesienią dwa lata temu. Do sieci trafiły fotografie kilkuset gwiazd z pierwszych stron gazet - m.in. gwiazdy tabloidów Kim Kardashian, laureatki Oscara Jennifer Lawrence, laureatki Złotej Palmy Kirsten Dunst, piosenkarek Rihanny, czy serialowej gwiazdki Victorii Justice. Autentyczność zdjęć potwierdziła m.in. Lawrence. Internauci szybko zaczęli kopiować pliki i można je było znaleźć w tysiącach miejsc w sieci. O sprawie pisały media na całym świecie.

Początkowo specjaliści podejrzewali, że włamywacz wybierał konta gwiazd i potem metodą prób i błędów zgadywał prawidłowe hasła. Ale Apple (to do niego należy usługa iCloud, z której pochodziła większość zdjęć) zaprzeczył temu, twierdząc, że jego zabezpieczenia nie zostały złamane.

Dziś wszystko jest już jasne. Apple miał rację - nikt nie próbował odgadywać haseł celebrytek. Za włamaniami stało dwóch mężczyzn i posłużyli się oni metodą phishingu. Ryan Collins i Edward Majerczyk przyznali się do zarzucanych mu czynów. O Majerczyku niewiele wiadomo poza tym, że ma 28 lat, mieszka w Chicago i - sądząc po imieniu i nazwisku - jest Polakiem. Collins zaś ma 36 lat i pochodzi z Pensylwanii.

Obaj używali prostego oszustwa - wysyłali gwiazdom fałszywe maile, które wyglądały jak komunikaty o naruszeniu bezpieczeństwa na kontach w iCloud lub poczcie Gmail. W wiadomości był link, który ofiara miała kliknąć, by „zabezpieczyć swoje konto”. Ale skutek był odwrotny - link prowadził do stron identycznie wyglądających, jak wyżej wspomniane usługi, ale wyłudzających loginy i hasła do iCloud oraz Gmaila. A mając hasła, przestępcy mogli swobodnie buszować po prywatnych danych gwiazd i wykradać ich sekretne zdjęcia.
Ryan Collins w marcu poszedł z amerykańskim sądem na ugodę i musi odsiedzieć 18 miesięcy. Edward Majerczyk dopiero będzie sądzony - grozi mu 5 lat więzienia.

Przed tego rodzaju włamaniem, jakiego ofiarą padły celebrytki, można się łatwo zabezpieczyć. Wystarczy - wszędzie, gdzie to możliwe - włączyć tzw. dwuskładnikowe uwierzytelnianie (kliknij, by zobaczyć, jak to się robi).

Tagi: włamanie
13:29, eprzekret
Link Dodaj komentarz »
środa, 25 maja 2016

z17829862Q,Jak-na-razie-oszusci-z-metoda-na--pracownika-Micro

Nowy sposób wyłudzania pieniędzy przez sieciowych oszustów. Tym razem blokują internautom dostęp do komputera i udają pracowników firmy Microsoft.
 
Sposób oszustwa jest nietypowy i oparty na mechanizmie ransomware. To rodzaj złośliwego oprogramowania, które blokuje użytkownikowi dostęp do komputera lub szyfruje mu pliki. Aby internauta odzyskał do nich dostęp, musi zapłacić okup. Wtedy cyberprzestępca podaje internaucie odpowiedni klucz, którym można pliki lub dostęp do komputera odzyskać. To nic innego jak wprowadzenie szyfru do sejfu w domu ofiary, a potem żądanie pieniędzy za ujawnienie tego szyfru. W przypadku oszustwa na pracownika Microsoftu różnica polega na tym, że ofiary nie wiedzą, iż mają zapłacić okup. Ale po kolei.

Fałszywy komunikat o licencji Windowsa

Wszystko zaczyna się w momencie, gdy komputer ofiary zostaje zarażony robakiem rozprowadzanym jako dodatek do aplikacji wyświetlających reklamy adware na stronach internetowych. Robak napisany jest oczywiście przez cyberprzestępców. Gdy ofiara po raz kolejny włączy komputer, złośliwe oprogramowanie blokuje go i wyświetla fałszywe okno o aktualizacji systemu Windows. Informuje w nim, że licencja Windowsa wygasła i konieczny jest kontakt telefoniczny ze wsparciem technicznym Microsoftu.

Ofiara wykręca więc numer widoczny w komunikacie i słyszy w słuchawce "konsultanta", czyli oszusta. Ten tłumaczy, że owszem, da się odblokować komputer, uaktualnić licencję, ale za 250 dol. Oszust używa jeszcze jednej sztuczki, by się uwiarygodnić jako pracownik Microsoftu. Firma Malwarebytes, która przeanalizowała kod złośliwego oprogramowania, wykryła, że wbudowany jest w nim program TeamViewer. To bardzo popularne na całym świecie narzędzie do zdalnego przejęcia komputera. Używane jest w wielu firmach i przez wiele zespołów technicznych w firmach IT. Ofiara widzi więc, że "konsultant Microsoftu" przejął jej komputer i "próbuje" jej pomóc, omijając blokadę. To sprawia, że ofiara jest pewna, że ma do czynienia z pracownikiem technicznym i że bez zapłaty 250 dol. się nie obejdzie. - Wyłudzenia "na support" będą stopniowo ewoluować - mówi Hubert Walnik, starszy specjalista ds. technicznych firmy ANZENA - Dlaczego? Bo iluzja uzyskiwania wsparcia w trudnej, niezawinionej przez użytkownika sytuacji ("jakiś problem z Windows") jest z oczywistych względów atrakcyjniejsza, niż uczucie "właśnie zrobiłem coś głupiego" i strach wywołany zaszyfrowaniem danych.

Microsoft ostrzega

Jak na razie oszuści z metodą na pracownika Microsoftu celują głównie w internautów z Wysp Brytyjskich, Stanów Zjednoczonych i Kanady. Sam Microsoft już ostrzegł przed jakimikolwiek telefonami z żądaniem opłaty za rzekomą pomoc od osób podających się za jej pracowników czy współpracowników.

Jak się przed takim zagrożeniem chronić? Aktualizować swoje przeglądarki internetowe, programy antywirusowe, używać programów blokujących reklamy i robić kopie zapasowe swoich danych.
Tagi: Przekręty
13:26, eprzekret
Link Dodaj komentarz »
z17074173Q,Szef-NIK-Krzysztof-KwiatkowskiBrak odpowiednich zabezpieczeń, strategii, koordynacji prac i wysokie ryzyko utraty danych przez instytucje publiczne. Najwyższa Izba Kontroli opublikowała kolejny alarmujący raport.
 
Inspektorzy skontrolowali sześć instytucji - resorty skarbu państwa, spraw wewnętrznych i sprawiedliwości oraz Komendę Główną Straży Pożarnej, NFZ i KRUS. Tylko tę ostatnią byli w stanie ocenić pozytywnie. KRUS wprowadził wszystkie procesy wymagane dla zabezpieczenia danych, bo chciał uzyskać międzynarodowy certyfikat bezpieczeństwa ISO 27001. Co prawda przy wprowadzaniu tych procesów nie ustrzegł się błędów inżynieryjnych, ale to i tak nic strasznego w porównaniu z pozostałymi instytucjami.

U innych chwalić nie było czego. - Procesy zapewnienia bezpieczeństwa informacji realizowane były chaotycznie. Stwierdziliśmy też ograniczoną wiedzę kierownictwa o wymogach bezpieczeństwa informacji - mówi prezes Najwyższej Izby Kontroli Krzysztof Kwiatkowski. W instytucjach w zasadzie nie było żadnych strategii cyberbezpieczeństwa. Pracownicy opierali się wyłącznie na nieformalnych zasadach wynikających z dotychczasowego doświadczenia. Zajmowali się tym głównie pracownicy IT, a pozostała część kadry cyberbezpieczeństwem się nie martwiła.

Słaby punkt: człowiek

To poważny błąd, bo obecnie największa liczba ataków opiera się na słabościach człowieka. Za pomocą socjotechniki i maili, których nadawcy czy instytucje (tzw. phishing) manipulują ofiarą, by ta wgrała na swój komputer wirusa lub udostępniła im swoje dane logowania do danego systemu. Z raportu NIK wynika, że instytucje publiczne, owszem, inwestowały w ochronę, ale bardziej w oprogramowanie niż w uświadamianie ludzi o zagrożeniach. Samo oprogramowanie było kupowane na chybił trafił. Urzędnicy kupowali np. programy chroniące infrastrukturę IT, bo... wydawało im się, że akurat taki, a nie inny obszar może zostać zaatakowany. Nie zawsze wiedzieli, gdzie naprawdę może się kryć zagrożenie. - Kontrolowane jednostki w ograniczonym zakresie wykorzystywały metody identyfikacji, monitorowania i zapobiegania ryzyku związanemu z bezpieczeństwem przetwarzanych informacji - mówi Kwiatkowski.

A zagrożenia mogą przyjść z każdej strony i mieć ogromne skutki. Przykłady można mnożyć. W czerwcu zeszłego roku z amerykańskiego Urzędu ds. Zarządzania Kadrami cyberprzestępcy wykradli dane 21,5 mln osób: nazwiska, daty urodzenia, adresy domowe, numery ubezpieczenia, a w ponad 5 mln przypadków nawet skany linii papilarnych! W grudniu w wyniku ataku hakerskiego doszło do zakłóceń pracy jednej z elektrowni ukraińskich i odcięcia 700 tys. mieszkańców na kilka godzin od prądu. Zaledwie cztery miesiące temu przestępcy przejęli zaś skrzynkę pocztową premiera Czech Bohuslava Sobotki. A w niej? Korespondencja dotycząca migracji, rokowań koalicyjnych, kampanii prezydenckiej, wyboru prezesa czeskiego radia publicznego, czeskiej ropy, dialogu z Niemcami sudeckimi czy prywatnej hipoteki premiera. Mnóstwo materiałów, by przewrócić życie polityczne w kraju i na arenie międzynarodowej.

Chronione minimum

Polskie instytucje zabezpieczają jedynie te informacje, które nakazuje ustawa. Ale co z tego, że pod ochroną są dane osobowe czy informacje niejawne, skoro pozostałe są dla cyberprzestępców niemal na wyciągnięcie ręki? A wyciągną ją po wszelkie dane, które mogą potem wykorzystać na setki sposobów: np. do szantażu (informacje o życiu prywatnym), wyłudzenia (nie trzeba mieć hasła do banku ofiary, czasem wystarczy trochę socjotechniki, by je zmienić lub pozyskać), ośmieszenia itd. Wymieniać można długo.

Aż dziw, że w Polsce do tak drastycznych ataków na infrastrukturę krytyczną jeszcze nie doszło. "Istnieje ryzyko, że działanie istotnych dla funkcjonowania państwa systemów teleinformatycznych zostanie zakłócone, a dane w nich się znajdujące trafią w niepowołane ręce" - pisze NIK w pokontrolnym komunikacie.

To zresztą nie pierwszy raz, gdy Izba o tym ostrzega. Podobne badanie przeprowadziła niemal równo rok temu i wnioski także były druzgocące. "Działania podmiotów państwowych były rozproszone i prowadzone bez spójnej wizji systemowej. Sprowadzały się one do doraźnego, ograniczonego reagowania na bieżące incydenty oraz biernego oczekiwania na regulacje unijne. W Polsce brakuje jednego ośrodka koordynującego działania innych instytucji w zakresie ochrony cyberprzestrzeni" - alarmował wtedy NIK.

Alarmuje także Ministerstwo Cyfryzacji, które już odniosło się do najnowszego raportu Izby. Obie instytucje rekomendują stworzenie na szczeblu centralnym jednolitych przepisów obowiązujących wszystkie podmioty publiczne w kwestii cyberbezpieczeństwa. Resort dodatkowo chce także stworzyć Rządowy Klaster Bezpieczeństwa, który nadzorowałby przez 24 godziny na dobę bezpieczeństwo systemów instytucji publicznych.

Na razie od zeszłorocznego raportu NIK w instytucjach publicznych nic się w cyberbezpieczeństwie nie zmieniło.
12:57, eprzekret
Link Dodaj komentarz »
 
1 , 2 , 3 , 4 , 5 ... 11