Forrás: origo

2012. 01. 24., 11:46

 

 

A Hannibal álnevet használó hacker a Pastebin nevű szövegtárhely-szolgáltató oldalán, és tizennégy különböző fájlmegosztó oldalon publikálta a százezer felhasználó ellopott belépési adatait vasárnap. A nyilvánosságra hozott belépési információk olyan felhasználókhoz tartoznak, akik a közösségi oldalon arab nemzetiségűként jelölték be magukat.

 

Hannibal állítása szerint harmincmillió felhasználó e-mail fiókjának belépési adatai, tízmillió internetbanki jelszavai, és négymillió bankkártyaszám van a birtokában, amelyek mindegyikét a világ különböző országaiban élő alab internetezőktől lopták el. A facebookos belépési adatokat a hacker egyfajta bizonyítékként publikálta a világhálón, hogy nyomatékot adjon szavainak.

 

A Facebook közlése szerint a Hannibal által nyilvánosságra hozott belépési adatoknak csupán harmada volt működőképes, az ellopott adatok fele pedig nem is a közösségi oldalra való belépéshez szükséges felhasználói név és jelszó párosa volt - adta hírül a PC World amerikai technológiai lap. A Facebook közlése szerint az adatokat nem a cég hálózatának feltörésével, hanem más forrásból szerezhette meg a hacker.

 

Az izraeli és arab hackerek közt zajló kiberháború részeként januárban egy oxOmar nevethasználó hacker több tízezer izraeli felhasználó bankkártya-adatait publikálta az interneten, bár ezek közül csak tizenötezer volt használatban lévő.

 

 

 

Forrás: Biztonságportál.hu

Kristóf Csaba

2012. január 24., 08:40

 

 

Az egyre jelentősebb és mind több adatot érintő biztonsági incidensek a jogalkotók figyelmét sem kerülik el. Többek között az Egyesült Államok és az Európai Unió illetékes szervei is folyamatosan figyelemmel kísérik a történéseket, és különféle előírásokkal igyekeznek gátat szabni a nemkívánatos eseményeknek, vagy legalábbis csökkenteni azok káros hatásait. Az USA-ban - igaz államonként különböző módon - meglehetősen szigorúan szabályozottak a biztonsági incidensekkel kapcsolatos teendők és a tájékoztatási kötelezettség. Az Európai Unió is próbál előrelépéseket tenni e tekintetben. Viviane Reding, az EU igazságügyi biztosa megerősítette, hogy szigorítások várhatók az adatvédelmi szabályozás kapcsán.

 

Elképzelhető, hogy a jövőben az adatbiztonsági incidenseket elszenvedő vállalatoknak 24 órájuk lesz arra, hogy értesítsék az adatvédelemért felelős szerveket, és nyilvánosan beszámoljanak a történtekről. Mindez azt is eredményezni fogja, hogy sok cégnek változtatnia kell az eddigi incidensreagálási tevékenységén, és megfelelő tervekkel kell rendelkeznie egy-egy támadás esetére.

 

Egyes hírek szerint a jogalkotókat többek között az olyan események sarkallják a szigorítása, mint ami például a Sony-nál is történt. Tavaly a cég napokig nem adott kellő tájékoztatást, míg később megerősítette, hogy 77 millió személy adata sérülhetett egy nagyszabású internetes támadás következtében. Persze az igazsághoz az is hozzátartozik, hogy egy komoly biztonsági incidens bekövetkezése után időre van szükség az incidensreagáláshoz, a károk feltérképezéséhez, az érintett adatok körének behatárolásához, stb.

 

Reding szerint adatszivárgás esetén a vállatoknak haladéktalanul értesíteniük kell a hatóságokat és az érintett személyeket. A biztos szerint a személyes adatok napjaink digitális világában olyanok, mint a fizetőeszközök, hiszen az adatokat illetően is stabilitásra valamint megbízhatóságra van szükség. A vásárlók pedig csak akkor fognak megbízni egy cégben, interneten vásárolni vagy szolgáltatást igénybe venni, ha biztosak abban, hogy az adataik megfelelően védettek.

 

A jövőben is fontos lesz, hogy a vállalatok az ügyfeleiktől felhatalmazást kapjanak a személyes adatok kezelésére. Emellett természetesen szükség esetén tájékoztatást kell nyújtaniuk az érintetteknek az adataik kezelésével kapcsolatban, és az érintettek kérésére törölniük kell azok adatait. Amennyiben e feltételeknek nem tesznek eleget, akkor a hírek szerint a jövőben nagyobb büntetésre számíthatnak, mint eddig. Persze csak akkor, ha az új adatvédelmi szabályozás elfogadása valóban megtörténik, de addig még sok nyitott kérdésre kell választ találni.

 

 

 

Forrás: Biztonságportál.hu

Kristóf Csaba

2012. január 24., 08:45

 

 

A biztonsági fenyegetettségek mennyiségének növekedésével a védelmi teendők száma is folyamatosan növekszik. A Palo Alto Networks kutatói ezért arra voltak kíváncsiak, hogy a vállalatok minként figyelnek fel azon változásokra, amelyek az újabb és újabb kockázati tényezők felszínre kerülését vonják maguk után. A szakértők 1600 szervezettől gyűjtött statisztikai adatok alapján olyan következtetésekre jutottak, amelyek első hallásra teljesen nyilvánvalónak tűnnek, ugyanakkor valamilyen oknál fogva a védelmi intézkedések mégsem olyan irányba mutatnak, mint amit a körülmények sok esetben indokolnának.

 

A Palo Alto Networks kutatói első körben azt vizsgálták, hogy a szervezetek hálózati határain kilépő adatforgalom milyen portokat érint. Ezeket a megfigyeléseket a szakértők azért tartották érdekesnek, mert szerintük sok vállalat általában csak a 80-as port monitorozására, szűrésére figyel, miközben az egyéb adatforgalom elkerüli a figyelmüket. A vizsgálatok azt támasztották alá, hogy azon hálózatbiztonsági intézkedések, amelyek a 80-as portra helyezik a fő hangsúlyt, azok korántsem nyújtanak megfelelő védelmet. A felmérés során ugyanis kiderült, hogy a vállalati alkalmazásoknak mindössze a 25 százalékáról lehet elmondani, hogy kizárólag a 80-as porton keresztül kommunikálnak.

 

"Egykoron a legtöbb hálózati adatforgalom a 80-as porton keresztül zajlott, és az IT-üzemeltetők az erőforrásaikat ennek megfelelően koncentrálták. Azonban napjainkban a legnépszerűbb alkalmazások, mint amilyenek például a webes levelezők, az azonnali üzenetküldők, az internetes játékok vagy a 443-as portot használják vagy automatikusan választanak maguknak a szabad portok közül. Az is elmondható, hogy a nem webes adatforgalom jóval jelentősebb mértékű a vállalatok esetében, mint azt gondolnánk" - nyilatkozta Matt Kiel, a Palo Alto Networks elemzője. Majd hozzátette, hogy a kutatási eredmények arra világítanak rá, hogy meglehetősen nagy mennyiségű lehet az az adatforgalom, amely nem kap kellő figyelmet a védelem során.

 

A Palo Alto Networks szerint a múlt évben nagyon jelentősen megnőtt a webes fájlmegosztókra és a közösségépítőkre visszavezethető adatforgalom. A felmérésben résztvevő vállalatok körében komoly népszerűség-növekedést értek el böngészőalapú fájlmegosztó és adatmentő alkalmazások, így például a Dropbox is. Azonban korántsem csak a Dropbox hódított, hiszen az 1600 vállalat esetében több mint 65 különböző fájlmegosztó szolgáltatás használatát lehetett kimutatni.

 

Az adatforgalmat illetően a legjelentősebb változások a közösségépítők kapcsán merültek fel. A növekedési trendek azonban elsősorban nem abban nyilvánulnak meg, hogy mind többen látogatnak közösségépítő oldalakat, hanem sokkal inkább a felhasználói szokások változásában. A kutatók szerint, míg korábban a vállalatok munkavállalói elsősorban csak ránéztek a Facebook oldalukra, vagy kiraktak egy-két üzenetet a Twitterre, addig napjainkban már sokkal aktívabb netezés figyelhető meg. A vállalati adatforgalmakban is jól kimutathatóvá váltak például a facebookos játékok, az intenzívebb tartalomfeltöltés és a különféle alkalmazások, illetve az azokhoz tartozó bővítmények által elért online tartalmak. A legjelentősebb mértékben - megközelítőleg 700 százalékkal - a Twitter felé irányuló forgalom növekedett.

 

 

Forrás: itbusiness.hu

Deák Miklós, 2012. 01. 13. péntek

 

 

Rendszer-független hardvert hozott létre egy it-biztonsági cég, amely SSD merevlemezekkel is kompatibilis.

 

Az ST Electronics biztonsági szakértő vállalat mutatta be azt a számítógép független merevlemez-védelmi megoldást, amely BIOS módosítások és illesztőprogramok telepítése nélkül biztosít fokozott védelmet a laptopok lemezein tárolt adatok felett. A DigiSAFE DiskCrypt egy 2,5 hüvelykes házba bújtatott dokkoló, amely minden 1,8 hüvelykes HDD-t, vagy SSD-t képes értelmezni, valamint a SATA interfész gyorsaságával tudja beolvasni az adatokat. Ha probléma merülne fel az eszköz használata során, abban az esetben rendelkezésre áll egy ”S.O.S” illesztőprogram, amellyel újra lehet indítani a rendszert. Elemzők szerint az SSD kompatibilitás elősegítheti az egyébként drága technológia iránti keresletet.

 

 

 

Forrás: itbusiness.hu

Deák Miklós, 2012. 01. 09. hétfő

 

 

A bevásárlóközpontokban zajló, mobiltelefon alapú vásárló-megfigyelés kihúzta a gyufát az emberi jogi aktivistáknál. Az Egyesült Királyságban gyártott FootPath technológia két méteres pontossággal tudja megállapítani az adott mobiltelefon tulajdonosának fizikai elhelyezkedését, de meglepő módon nem a lopásokat akadályozza meg a módszer, hanem a vásárlói szokások tüzetes feltérképezése a feladata. A termék gyártói elmondták, hogy a technológia optimalizálja a kereskedelmi egységek térbeli elrendezését, és javítja a termelékenységet. A Path Intelligence ügyvezetője ugyanakkor elismerte, hogy a technika gyorsabban halad a törvényhozásnál, ezáltal igazuk lehet az emberi jogi aktivistáknak.

 

 

 

 

Forrás: Global Security Mag

October 2011 by UKFraud.co.uk

 

 

The list draws upon UKFRAUD.co.uk’s substantial experience across an international client base, ranging from major financial institutions, public sector bodies and corporations to SMEs and non-profit making organisations. The list works on the assumption that whatever tools they use, be it IT based cons and false accounting or other traditional scams, the warning signs are often the same. As UKFraud.co.uk believes that awareness of the signs and a sound approach to countering them can often deter many opportunistic incidents of fraud, they have published the list here to help executives benchmark their own operations.

 

In the list suggested actions that can be taken to counter the risk of fraud are given following each sign. The early warning signs can include:

 

1. ERRATIC REPORTING: This sign is just as applicable to suppliers and contractors as it is to internal departments and functions within the organisation. Erratic, incomplete, late or excuse laden management reporting is often a classic sign that something is wrong. One of the possibilities is the existence of fraud. Further investigation will reveal that lip service and increasingly tenuous explanations are given assertively to thwart follow up activity. Common excuses used are often the frequent occurrence of IT failures, technology compatibility issues between different company systems or international systems. It is also often the case that once reports are complete; there are typically delays in them reaching those who need to review the data.

 

ACTION: Insist on up-to-date reporting, within a set timetable and then build this into the internal GRC (Governance Risk and Compliance) systems. Wherever appropriate adopt an enterprise-wide approach to technology to help with systems issues.

 

2. APPARENT PROCESS LAZINESS: A weakening of anti-fraud and data security systems can happen naturally, over time; and is normal – especially when things get busy. This occurs where the sage precautions and risk-avoidance measures get by-passed or ignored in practice as time goes by. This could just be the natural adjustment of systems to the practicalities of working life and busy peaks or it could be deliberate and sinister. However, with the seemingly right processes in place, top level management are often lulled into a false sense of security that they are actually being used, whilst the fraudster is busy at work getting around them.

 

ACTION: Make sure you implement the suggestions of your internal compliance managers and organise appropriate training to reinforce attitudes and practise. Ensure that the control processes, especially in tendering, purchasing, invoicing and customer controls and identifications are ALWAYS kept strong, managed and regularly reviewed. Where systems/processes are under pressure when used in practise, introduce a review process – and then adapt them promptly.

 

3. ORGANISATIONAL CHANGE AND THE DESIRE TO DUMP DATA: A major indicator can be the act of deletion or pressure on staff to delete, remove or otherwise dump past records following a restructure, a new division launch, a JV or acquisition. An excuse of, “oh I’m sorry those files were destroyed.” should be cause for alarm. It will be an even bigger problem where international operations are involved as it’s far harder to find or recreate evidence in a foreign territory.

 

ACTION: Take care to establish and log where paper documents are and when they should and should not be stored. Identify who is in control of the system processes and who is responsible for and has ownership of the records. They are not always the same person of course. Ensure that scanning, and indexing works properly and that no-one can intercept/edit documents. Also ensure that storage capacity is enough and controlled properly. Where acquisitions and mergers are concerned, ensure that all documents are available and stored appropriately and securely, especially those that relate to IP protection, IP development records, audit trails and staff contracts. In particular, if you are acquiring a business make sure that you have indemnities/penalty clauses built into the acquisition agreements that relate to the availability of data, logs, audit trails and so forth.

 

4. DATA INCONSISTENCIES OR ABSENSE IN THE ARCHIVES: Whether it is archive data or cross reference checks that are missing or wrong; factual inconsistencies will also occur naturally. The cheats who seek to defraud an organization will use the possibility to explain such inconsistencies and hide their fraud.

 

ACTION: Make sure that all files are electronically stored, with appropriate back-ups as part of your compliance systems and that no-one has the access to any files that include a DELETE capability. It is also worth having internal or external auditors sample check key files from time to time as a part of the audit programme. In addition arrange for the HR department to make it a gross misconduct issue to destroy data without recorded approval from above. This may not deter the fraudster but if nobody else is doing it the fraudster is more likely to be spotted at an early stage.

 

5. AUDIT-TIME DELAYS: Excuses, confusion or wild goose chases when disclosing to auditors, be they internal or external, can be a telltale sign too. We need to remember though that the audit team is not there to find fraud, rather to ensure that the correct processes are in place that will deliver appropriate protection.

 

ACTION: Ensure that everyone treats audits as important and make sure that they are completed on time and properly, and with appropriate audit skills. Where there have been delays or difficulties investigate why this was the case by drilling down into the detail. Make sure that the business critical and financial exposure areas take a priority and act upon all failings both quickly and completely; with follow-up audits if necessary.

 

6. BEHAVIOURAL ANOMALIES: These can range from acute defensiveness and resistance to attending review meetings, through to blaming strategies or even aggression when specific questions are asked about processes or figures. These behavioural anomalies have probably already been noticed through the assessment process or by HR staff. Research shows that internal fraudsters are most likely to be either ‘youngsters who cut across the processes and systems’ or ‘middle aged executives with the authority and a gripe’.

 

ACTION: Get HR more closely involved. Then if you still have concerns about such people upon closer inspection, all the relevant files need to be pulled and checked, or you might even consider a private investigator to look deeper into the processes used by such high risk people.

 

7. GOSSIP MONGERS IN OVERDRIVE: Staff whispers and rumours “that all is not right” should always be taken seriously. These are, however, so often overlooked by senior management.

 

ACTION: Listen, take all such rumours seriously and investigate the reality.

 

8. TWITCHY NON-EXECS: Good non-execs provide a considered, independent and external perspective. Often they bring in specific expertise from outside the board’s immediate experience and their skills can vary from financial knowledge through to IT. When their comfort factor ‘goes south’ or when they have a ‘bee in the bonnet’ about something that does not add up or make sense, they often have good reason to worry. So must you.

 

ACTION: It is always good for the business to maintain a fresh supply of new thinking, new approaches and new concerns. Thus if non-execs have concerns about particular issues, one should fund their thinking by allowing them to bring in the appropriate specialist experts that can investigate matters more deeply.

 

9. UNOFFICIAL IT WORK: Technical staff working around the enterprise conducting unsupervised IT activity often outside normal hours, can also be a worrying sign, both from a risk and a cost perspective. Not every company is large enough to have a full IT department that might spot such issues through system audit trails. This is more common in smaller organisations where some are working more to help themselves than to help the organization that is paying for their IT equipment and the software they use.

 

ACTION: Do the IT security staff look and think further than just password expiry issues? Make sure that someone is on the look out for data-theft, IPR theft, time theft (people spending all day on facebook etc.), or simple theft of IT assets. Make sure you have a proper asset register and IT audit system in place.

 

10. SCAPEGOATING: Where people are given a title but without actual responsibility, it can effectively cover up what is going on with those who do have responsibility or power in a situation. The fraudster’s hope is that should the balloon go up the scapegoat takes the blame, at least long enough for records to be destroyed and evidence removed.

 

ACTION: Make sure that you have strong and cascaded accountabilities. Ensure that people know what they should be doing, and that they are doing what is required of them. Make sure that everyone is contributing to the business objectives. Make sure HR is involved in creating or reviewing job specifications.

 

UKFraud.co.uk believes that by introducing a series of straightforward and cohesive processes and systems, organizations can greatly reduce the risk of fraud and in doing so, alert management to the early warning signs, should they be prevalent.

 

Says Bill Trueman CEO of UKFraud.co.uk “My first question is always to ask executives ‘do you really know how safe your own organisation is?’ Some do reply confidently. Most do not. Fraud can happen anywhere, anytime, but it is relatively straightforward to deter or discover at an early stage with the right systems and procedures in place. However, putting those systems in place and more importantly maintaining and updating them over time is the hard bit. There are always conflicting priorities and constraints in any organization. By averting or saving fraud losses though, organisations can protect their bottom line from taking an unexpected hit. However, only by having a cohesive anti-fraud strategy as part of the core management culture of the organisation is this be possible. There are generic anti-fraud processes and systems systems that can help support any strategy introduced and consultants such as UKFraud.co.uk are on hand to help introduce the required checks and procedures if required.

 

“It is our hope that having published this list, that those who read it might at least ask themselves if they recognise any of the signs in their own organisations. We hope too that it might help make things that much harder for the fraudster.”

 

 

 

Forrás: Biztonságportál.hu

Kristóf Csaba

2012. január 6., 08:30

 

 

A SpyEye trójai készítői rendszeresen újabb és újabb technikákkal, funkciókkal vértezik fel a kártékony programjukat, amely ezáltal mind nagyobb valószínűséggel képes kárt okozni a felhasználóknak. A trójai kezdetben elsősorban banki adatok eltulajdonítására specializálódott, később azonban már pénzügyi tranzakciók kezdeményezéséből is kivette a részét. A károkozó nemcsak a helyi számítógépeken található víruskeresőket és védelmi alkalmazásokat igyekszik megkerülni, hanem tavaly nyár óta egyes banki védelmi rendszereket is próbál átejteni.

 

A legtöbb bank alkalmaz tranzakciómonitorozó megoldásokat, amik többek között azon rendellenességeket, anomáliákat szűrik, amelyek a felhasználók földrajzi pozíciójából, a bejelentkezéskor használt IP-címből, a banki weboldalon eltöltött időből valamint a tranzakciók lebonyolítása során felismerhető viselkedésmintákból szűrhetők le. A SpyEye készítői tavaly egy olyan variánst fejlesztettek, amely a felhasználói szokásokat is figyelembe veszi, és emiatt például - a korábbiaktól eltérően - már nem pár másodperc alatt kezdeményez egy tranzakciót, hanem lassabban, az emberi tényezők figyelembevételével "bankol".

  

A SpyEye napokban megjelent legújabb változata ezúttal olyan jellemzőkkel gyarapodott, amelyek nem a banki rendszerek, hanem a felhasználók megtévesztésére teszik alkalmassá. A trójai egy, az eddigieknél kifinomultabb HTML-injection modullal bővült, ami képes manipulálni a felhasználó böngészőjében megjelenő banki weboldalakat. Ezáltal a károkozó képes hamis űrlapokat beszúrni a weblapokra, és el tudja érni, hogy a felhasználó ne az eredeti felhasználónév és jelszó mezőket töltse ki, hanem egy olyan webes űrlapot, amely valójában a trójaihoz tartozik.

 

A kártékony program esetében a weblapok manipulálása nem merül ki új mezők beszúrásában. A legújabb SpyEye arra is képes, hogy elrejtsen egyes tranzakciókat, illetve meghamisítsa az adott bankszámláknál megjelenített egyenleget. Ezáltal eléri, hogy a csalók által indított tranzakciókat a felhasználó ne láthassa, és ne gyanakodjon. Természetesen a bank rendszerében a tranzakciók és a valódi egyenleg is helyesen szerepel, kizárólag a böngészőben láthatóak manipulált adatok.

 

 

"A SpyEye folyamatosan monitorozza a fertőzött számítógépeken megadott hitelkártyaadatokat, majd kiszivárogtatja azokat a csalók számára, akik weben vagy telefonon keresztül tranzakciókat végezhetnek. Amikor a felhasználó bejelentkezik a banki szolgáltatásba, akkor a SpyEye ellenőrzi azon tranzakciókat, amelyeket a terjesztői indítottak, és egész egyszerűen elrejti azokat a felhasználó elől" - nyilatkozta Amit Klein, a Trusteer elnök-vezérigazgatója.

 

A SpyEye a nemkívánatos tevékenységeit természetesen nem minden banki rendszer esetében képes végrehajtani, hiszen a weboldalak tartalma minden pénzügyi szolgáltatás esetében más és más. A trójai terjesztői legtöbbször amerikai, brit, kanadai és német banki ügyfeleknek okoztak eddig károkat. A Trusteer tavalyi felmérése szerint hazánk egyelőre nincs a veszélyeztetett országok között.

 

A SpyEye által alkalmazott HTML-injection technikák valójában nem új keletűek. A másik hírhedt bankoló trójai, a Zeus már korábban is alkalmazott hasonló módszereket. Évekkel ezelőtt a két trójai fejlesztői még komolyan rivalizáltak egymással, azonban 2010-ben a két csapat egyesült. Miközben a Zeus egyes variánsainak forráskódja kikerült az internetre, aközben a SpyEye egyre több technikát vett át a korábbi riválisától.

 

 

 

 

Forrás: origo

2011. december 29., csütörtök, 12:56

 

 

A vasúti váltórendszereket hagyományosan zárt, analóg vezérlőközpontokból lehet állítani. A kétezres évek kezdetére Európában harmincöt, egymással nem kompatibilis rendszert használtak a vasúttársaságok. Küszöbön áll azonban a GSM-R nevű új szabvány bevezetése, amelyet a vasutat kiszolgáló cégek közösen dolgoztak ki. A GSM-R lehetővé tenné, hogy az egyes váltóközpontok együtt tudjanak működni, az üzemeltetők pedig több cégtől szerezhessék be a pótalkatrészeket.

 

Az új szabvány a hagyományos, 2G-s mobilkommunikációnak egy biztonságosabbá tett verziójára épül. A GSM-R rendszeren a mozdonyvezető és az állomások beszélhetnek egymással, a mozdony pedig automatikusan elküldheti sebességét és helyét a vezérlőközpontba. A központ ezeknek az információknak ismeretében engedi meg a vonatnak, hogy folytassa útját a pályán. A rendszer elvben minden szükséges adatot kezel, így a sínpár mentén elhelyezett jelzők és szemaforok feleslegessé válnak.

 

 

A Darmstadti Egyetemen kutató Katzenbeisser professzor szerint a rendszer elvben biztonságos, azonban a biztosításra használt titkosító kulcsok még gondot okozhatnak a jövőben. A huszonnyolc éves múltra visszatekintő Chaos Communication Congress hackerkonferencián tartott előadásában a professzor elmondta, hogy a titkosító kulcsok cseréje nem megoldott az új rendszerben. Azaz, ha egyszer kiszivárognak a kulcsok, úgy a vasutaknak az összes GSM-R-t használó szerelvényen és központban egyesével kellene cserélnie a kulcsokat. Csak ront a helyzeten, hogy telepítés előtt a kódot pendrive-okra másolják, így a feltételezett támadóknak nem is kell feltörni a rendszert, elég egy pendrive-ot ellopniuk.

 

Még a legrosszabbat feltételező forgatókönyv szerint sem követné vonatkatasztrófa a kulcsok kijutását. A professzor szerint azonban a vasúti közlekedés jelentősen lelassulna, amíg el nem hárítják az adatszivárgás okozta problémákat. A brit vasúti infrastruktúrát üzemeltető Network Rail szerint a GSM-R "stabil, biztonságos rendszer." Ezen túl a cég nem fűzött kommentárt a német professzor aggályaihoz.

 

 

 

Forrás: PRIM Hírek

MTI Sajtóadatbank, 2011. december 28. 06:46

 

 

 

Az Anonymous nevű ismert hackercsoport a hétvégén egy Twitter-üzenetben közölte, hogy feltörte a texasi központú elemző cég honlapját. A hackerek azt állították, hogy a Stratfor ügyfeleihez tartozó hitelkártyaszámokat, jelszavakat és egyéb személyes információkat loptak el.

 

Az Anonymous - amely közölte, hogy azért tudta az adatokat ellopni, mert azok nem voltak kódoltak - az utóbbi napokban több olyan linket is közzétett, amelyek révén az információk fellelhetők.

 

A Stratfor figyelmeztetett: érintett ügyfeleik és támogatóik, főleg azok, amelyek bírálták a hackertámadást, annak a veszélynek vannak kitéve, hogy érzékeny adataik további portálokon is megjelennek. A cég a támadást követően Facebook oldalán kommunikált, honlapja működését és az emailforgalmat felfüggesztette.

 

A texasi elemző csoport - amelynek ügyfelei között szerepel az amerikai védelmi minisztérium, több kormányzati szervezet, biztonsági vállalat és médiaügynökség, további az ENSZ néhány intézménye is - csak annyit közölt a honlap feltörésével kapcsolatban, hogy az ügyben nyomozás indult. Egyes értékelések szerint a hackerek több mint 100 ezer magánszemély és több ezer cég adataihoz fértek hozzá.

 

Az Anonymous korábban felelősséget vállalt több olyan pénzügyi intézmény elleni hackertámadásért, amelyek ellenezték a titkos diplomáciai iratokat kiszivárogtató Wikileaks portál működését és felléptek annak alapítója, Julian Assange ellen. Állítólag ez a hackercsoport törte fel a közelmúltban a szíriai védelmi minisztérium honlapját is, tiltakozásul a kormányellenes tüntetőkkel szembeni véres fellépések miatt. Az Anonymous figyelmeztetett: újabb támadásokat készül végrehajtani a héten.

 

 

 

 

Forrás : vírushíradó

- Computer World nyomán -

(2011. december 28.)

 

 

Az amerikai Computer World számítástechnikai szaklap újságírói idén is megkérdeztek több informatikai biztonsággal foglalkozó szakembert arról, hogy milyen online kihívásokat látnak az előttünk álló évben.

 

A szakértők a támadások célpontjainak nagysága szerint felülről lefelé haladva, először a nemzetek kiberbiztonságáról nyilatkoztak, Tippjeik szerint az e-fegyverek alkalmazása 2012-ben is folytatódni fog. Számítani lehet a nyár végén nagy késéssel felismert Duqu hírszerző trójai program új változatainak felbukkanására - sőt a Duqu által már ellopott titkos adatokra alapozva akár egy következő generációs, Stuxnet-utód katonai féreg is megkezdheti támadó tevékenységét.

 

A kibernetikai megelőző- vagy válaszcsapás csábító lehetőség a felkészült netkatonasággal rendelkező államok, pl. India, Izrael, Kína, Nagy-Britannia, Oroszország vagy az USA számára, a helyzet 2012-ben mégsem fajul deklarált kiberháborúvá, marad korlátozott konfliktusnak. Nehéz ugyanis megállapítani, hogy a támadást melyik "gonosz" országon kellene megtorolni, a vaktában vagdalkozást pedig egy felelős kormányzat sem vállalhatja - így inkább emberi jogi csoportokon és kellemetlen online aktivistákon verik majd el a port.

 

Az államokról a városi léptékre szűkítve a figyelmünket, a nagyvállalatok és az intézmények továbbra is a hosszan tartó, fejlett fenyegetésektől (APT) tarthatnak leginkább. Egyes szakértők szerint az APT támadók nem olyan fejlettek, mint azt a sajtóhírek sugallják - viszont a főleg kínai illetőségű ipari kém hackerek, ha egyszer sikerül bejutniuk a céges hálózatra, onnan minden adatot ellopnak, ami nincs "odabitonozva". Erre a veszélyre az amerikai törvényhozás számára készült szakértői jelentés külön is felhívja a figyelmet.

 

Az APT-támadók kezében mégsem a GhostNet, a Night Dragon, a Nitro, az Operation Aurora vagy a Shady RAT műveletben használt hacker-eszközök jelentik a fő fegyvert. A céges adattolvajlások elszaporodásáért a dolgozók info-biztonság iránti közömbössége vagy képzetlensége és a kapcsolati-társadalmi alapú átverések (social engineering) iránti fogékonyságuk is felelős. Ez nem csak az egyszerű alkalmazottak, de a vezető beosztásúak között is megfigyelhető - ami a célzott adathalászat, a "spear phishing" taktika alapja.

 

Az APT ellen védekezni a felhasználók oktatásával lehet - amit néhány szakértő, mint Amichai Shulman, az Imperva cég katonai kiképző múlttal rendelkező főmérnöke reménytelen vállalkozásnak tart. Azt még a módszer hívei is elismerik, hogy az e-biztonsági oktatásnak csak kurzusként, többször visszatérően, az újdonságokat is feldolgozó formában van értelme az egyszeri fejtágítók helyett - ahogyan arra Rik Ferguson, a Trend Micro antivírus cég kutatási igazgatója felhívja a figyelmet.

 

Mások szerint egyszerűbb a szoftvert javítani, mint az embereket megnevelni - ők ezért 2012-ben két jelentős műszaki megoldásba helyezik a bizalmukat. Az egyik az információk számítógépen belül, illetve a hálózaton történő hozzáférésének időbeli, mennyiségi és besorolás alapú korlátozása - vagyis az adatszivárgás elleni DLP-technológia. (Ez a sláger-termék nem olcsó, mert a munkaállomásokra, a fájlkiszolgálókra, a levelezésre és a netes átjárókra is ki kell terjednie a közel teljeskörű védelem érdekében).

 

A másik eszköz a tökéletesített fehérlistázás, amely a fájl ellenőrző-összege, életkora mellett figyelembe veszi annak regionális elterjedtségét, illetve reputációs besorolását. Az értékeléshez a felhasználói közösség adatgyűjtése is hozzájárul, a ritkán látott APT támadóeszközök és gyorsan megjelenő új kártevők hatékonyabb felismerése tekintetében. Fejlett folyamat-figyeléssel és alkalmazás-vezérléssel párosítva egy ilyen technológia valóban alkalmas az egyre növekvő számú fenyegetés erőforrás-takarékos blokkolására.

 

Az otthoni és kisirodai felhasználók sorsáról a konzulensek nem nyilatkoztak - bár a netező kisember számára a jövő talán kevesebb újat hoz az online biztonság terén, mert már ma is igen sokrétű módszereket használnak a profitra éhes kiberbűnözők. Folytatódni fog a kamu biztonsági szoftverek sorozata (ún. rogue scareware), míg a szociális-kapcsolati média még inkább ki lesz téve az átveréseknek, köztük a pénzügyi témájú 419-es és lottó témájú csalásoknak, illetve a "hagyományos" kártevőket terjesztő hackereknek.

 

A gazdasági világválság miatt a spammerek még elkeseredettebben nyomják majd a kéretlen reklám-leveleket, a webbanki csalók pedig az áldozataik körének szélesítése mellett próbálnak lépést tartani a fejlett, több-faktoros, mobiltelefonos azonosítási rendszerek térnyerésével. Várható, hogy a hagyományos vírusírók is belehúznak a számukra utolsó évben - ha elhiszik, hogy az újraírt Windows 8 rendszer 2012. őszi megjelenése után a biztonsági réseknek többé nem terem babér.

 

A mobilok, különösen az okostelefonok gazdái több, ha nem is robbanásszerűen növekvő számú fenyegetéssel fognak találkozni. Kereskedelmi forgalmazású és bűnözői célú hátsóajtó-kémprogramok, játék alá rejtve emeltdíjas üzeneteket küldő trójai kódok, webbanki adattolvajláshoz használt SMS-lehallgató eszközök - sőt akár a navigációt vagy a helyérzékeny szakmai telefonkönyv ajánlatokat a konkurencia érdekében manipuláló kártevők telepedhetnek meg a védelem nélkül hagyott készülékeken.

 

A kamerás mobilok sebezhetősége veszélyezteti a privátszférát és a kiskorúak jogait - ami már a személyi számítógépes, webkamerás világban is jelentős problémává lépett elő. Ez és a chatelés elterjedése erősen indokolttá teszi a szülői felügyelet típusú védelem telepítését az ifjúság által is használt digitális eszközökön. Ők ugyanis készségszinten használják az info-kommunikációt és bárhová eljuthatnak a neten - de még nem elég érettek ahhoz, hogy mérlegelni tudják a személyes információ vagy fotók kiadásával járó kockázatot!

 

 

 

Forrás: Nemzeti Fejlesztési Ügynökség

2011. december 23.

 

 

„A Nemzeti Fejlesztési Ügynökség folyamatosan dolgozik a pályázati rendszer fejlesztésén, így különösen az eljárásrendi folyamatok gyorsításán, illetve az ügyfeleket középpontba helyező pályázóbarát működés megteremtésén. E tevékenység következő lépése, hogy az NFÜ mától, 2011. december 23-tól bevezeti a közbeszerzés folyamat papírmentes ellenőrzését, nyomon követését biztosító fejlesztést.

 

A közbeszerzés modul alapját a 4/2011. (I.28.) Kormányrendelet jelenti, amely rendelet szabályozza a közbeszerzési eljárások ex-ante, valamint utólagos közbeszerzési jogi ellenőrzési folyamatát, továbbá a közbeszerzési eljárások lefolytatása eredményeképpen született szállítói szerződések módosítása kapcsán előírt ellenőrzés lefolytatásának folyamatát. A rendelet előírja, hogy minden európai uniós társfinanszírozással megvalósuló közbeszerzési eljárást ellenőrzésnek kell alávetni, függetlenül attól, hogy a kapcsolódó pályázat benyújtásra került-e az intézményrendszerhez.

 

A modul kiemelkedő előnye, hogy – felhasználóbarát módon – információt szolgáltat a közbeszerzési eljárások és az esetleges szerződésmódosítások ellenőrzésének előrehaladásáról, illetve sok esetben mentesít a dokumentumok papír alapon történő benyújtásától.

 

A már meglévő pályázatszámhoz kapcsolható közbeszerzésire vonatkozó adatfeltöltést a Pályázati e-ügyintézés (Pályázó Tájékoztató) felületen teheti meg a Pályázó, míg a pályázatszámhoz nem kapcsolható közbeszerzések kezelése az SSO felületen történő regisztrációt követően (https://sso.nfu.hu/regisztracio), az NFÜ oldalra (http://www.nfu.hu) való belépés után a „Közbeszerzés” ikonra kattintva érhető el.

 

Ezúton szeretnénk felhívni szíves figyelmüket, hogy a fejlesztés bevezetését követően egy ún. átmeneti időszak lép életbe, amely 2012. február 28-ig tart. Ezen időszak alatt Önnek lehetősége nyílik továbbra is papír alapon beküldenie a közbeszerzéseihez kapcsolódó dokumentációt, illetve használhatja a most bevezetésre kerülő eszközt. Amennyiben egy adott ügyhöz kapcsolódóan a dokumentációt papír alapon és elektronikusan is benyújtja az intézményrendszer részére, úgy az elektronikusan benyújtott anyagok az irányadóak és jelentik a lefolytatott eljárás alapját. 2012. március 1-jétől kezdődően kizárólag az elektronikus benyújtásra van mód. ”

 

 

  

2011. december 13., 08:45

 

 

A hordozható adattárolók, különösen a pendrive-ok rengeteg bizalmas adatot tartalmazhatnak. Ugyanakkor megfelelő biztonsági intézkedések nélkül ezek az adatok kiszolgáltatottá válhatnak, hiszen a kis adathordozóknak könnyen lába kelhet. A Ponemon Institute felmérése során arra próbált választ találni, hogy a vállalatok, intézmények miként viszonyulnak a pendrive-ok kezeléséhez és védelméhez. Végül a kutatók meglehetősen lehangoló eredményekről számoltak be.

 

Ennél több kell  

A felmérés során bebizonyosodott, hogy a szervezetek többsége nem fordít kellő figyelmet a hordozható adattárolók biztonságára, miközben meglehetősen pontosan tisztában vannak a kockázatokkal. Oly annyira, hogy a megkérdezettek 31 százaléka úgy nyilatkozott, hogy biztos abban, hogy az elmúlt két év során történt biztonsági incidens elkallódott pendrive-ok miatt. További 31 százalékuk pedig nagyon valószínűnek tartja, hogy következett be ilyen nem várt esemény. Ennek ellenére a felmérésbe bevont szervezetek tulajdonában lévő hordozható adattárolók 46 százaléka semmiféle védelemmel nem rendelkezik.

 

A vállalati, intézményi felhasználók gyakran másolnak fel pendrive-okra üzleti információkat, ügyféladatokat, különféle bizalmas állományokat. Azonban a szervezetek 52 százaléka nem sorolta az USB-s meghajtók védelmét a legnagyobb prioritású feladatok közé. A megkérdezett informatikai szakemberek 71 százaléka szerint a munkahelyükön nem alkalmaznak olyan technológiákat, amelyek révén felismerhető lenne, ha valaki bizalmas adatokat másol fel egy pendrive-ra. Vagyis az adatszivárgás-megelőzés nem megfelelő. 67 százalékuk pedig azt is elmondta, hogy a hordozható adattárolókkal kapcsolatos vírusvédelem sem mondható tökéletesnek.

 

Vásárlástól a selejtezésig 

Problémát jelent, hogy ha a figyelem rá is irányul az adathordozók védelmére, akkor sem mindig sikerül megvalósítani a kellő biztonságot az eszközök teljes életciklusán keresztül. Sok felhasználó a munkahelyén olyan pendrive-ot használ, melyet saját maga vásárolt, vagy éppen konferenciákon, rendezvényeken ajándékba kapott. Ez azt is jelenti, hogy a szervezetek jelentős részéhez felügyelet, illetve kellő szabályozás nélkül kerülhetnek be adattárolók. Ugyanakkor nem jobb a helyzet a pendrive-ok selejtezését, megsemmisítését illetően sem: a felhasználók 63 százaléka semmiféle bejelentést nem tesz a munkahelyén, ha elveszít egy adattárolót.

 

Fel sem tűnik 

"Ha valaki elveszít egy notebookot, akkor nem tud dolgozni. Azonban ha egy pendrive-t hagy el, akkor arról senki sem fog tudomást szerezni. Az emberek többsége az USB-s adathordozókat csak egy közönséges eszköznek tekinti" - nyilatkozta Larry Ponemon. A szakember ezzel arra utalt, hogy sok esetben nincs meg az a kellő mértékű biztonságtudatosság, amire szükség lenne. A felmérésbe bevont szervezetek 47 százaléka rendelkezik olyan biztonsági szabályokkal, amelyek kitérnek a pendrive-ok kezelésére, és mindössze a 34 százalékuk foglalkozik e védelmi problémával az alkalmazottak oktatása során. 

A vállalatok, intézmények 46 százaléka semmiféle védelmi intézkedést nem foganatosított eddig a pendrive-ok kapcsán. 43 százalékuk jelszavas hitelesítést alkalmaz, és a meghajtók 42 százalékán van titkosítás. A vírusvédelem az adattárolók 31 százalékának esetében kap figyelmet, míg az eszközök monitorozására csak az esetek 29 százalékában kerül sor.

 

A Ponemon Institute a felmérésének kapcsán néhány olyan tanáccsal is szolgált, amelyek megfogadásával jelentősen csökkenthetők a kockázatok: 

 

 

 

Forrás: VírusHíradó

2011. december 08.

 

  

A Sophos antivírus cég ausztrál részlege nemrég alaposan bevásárolt használt USB memória-kulcsokból: a Sydney-környéki agglomerációból ingázók által vonatokon felejtett három tasaknyi adathordozót - egyéb, régóta nem keresett talált tárgyakkal együtt - az új-dél wales-i "NSW RailCorp" vasúttársaság bocsátotta árverésre.

 

Az 50 darab, egyenként 256MB és 8GB közötti tároló-kapacitású pendrive-ot meglepő módon nem törölték le az értékesítés előtt - így a Sophos kutatói megvizsgálhatták, hogy az eredeti tulajdonosok mennyire figyeltek oda az info-biztonságra. Az eredmény, talán nem meglepő módon elszomorítónak bizonyult.

 

Az USB-kulcsok közül 33db (66%) fertőzött volt, sőt olyan példányok is akadtak, amelyek egyszerre többféle kártevőt hordoztak! Érdekes, hogy a veszélyes pendrive-ok közül hetet, adattartalmuk és a partíció formátuma alapján ítélve főleg Apple gépeken használhattak. Az IT-biztonsági kockázatok ellen tehát a Windows kiváltása sem nyújt teljes védelmet és a Mac OS X gépeken is szükség van vírusirtóra - legalább a barátok, kollégák védelme érdekében!

 

A tesztekben tapasztalt kirívóan magas, kétharmados fertőzöttségi arányt - a Sophos labor elismertsége ellenére - több kommentáló megkérdőjelezte azzal a felvetéssel, hogy a kutatók valószínűleg a vonatokon szándékosan hátrahagyott pendrive-okat teszteltek. A konspiratív elmélet hívei szerint ezeket az emberek kíváncsiságára és kapzsiságára alapozó adattolvaj hackerek, sőt akár kiberkémek szórhatták szét "net nélküli" kártevő-terjesztés céljából.

 

Paul Ducklin, a Sophos óceániai részlegének műszaki igazgatója és Graham Cluley vezető tanácsadó az IT World szaklap kérdésére cáfolták ezt az felvetést. Állításuk szerint a vizsgálat során a szándékosság lehetőségét is számításba vették, azonban kizárólag elterjedt, általános célú zombi (botnet) kártevőket találtak az USB-perifériákon - így nincs semmilyen bizonyíték a konspiráció-elméletre.

 

Ducklin szerint az ausztrál ingázók nagy számban szolgáltatták be a vonatokon talált pendrive-okat a vasúttársaságnak - emiatt sem lenne hatékony egy kártevő-terjesztési próbálkozás, amely enyves kezű és túl kíváncsi munkába járókra alapozva "off-line" próbálna elérni hálózati oldalról jól védett vállalati munkaállomásokat. Az adathordozók gyakori fertőzöttsége tehát a kutató véleménye szerint egyszerű "info-higiéniai" probléma.

 

Az is a felhasználók gondatlanságára utal, hogy a tesztelt adattárolók egyike sem volt titkosítva, így a kutatók kiolvashatták az eredeti tulajdonosok személyes adatait és családjuk, barátaik fotóit, videóit. A pendrive-ok szakmai anyagot is tartalmaztak, pl. AutoCAD gépészeti tervrajzokat, szoftver-forráskódot, XML weblap-adatokat - de most legalább ezek egyike sem bizonyult szolgálati- vagy banktitoknak, ahogyan az korábban, más elvesztett adattárolóknál előfordult.

 

 

 

Forrás: Biztonságportál.hu

Kistóf Csaba

2011. december 7., 08:45

 

Az egészségügyi adatok kezelése kapcsán továbbra is sok hiányosság merül fel, még a szigorú szabályozással rendelkező Egyesült Államokban is.

A bizalmas adatok elleni támadások kapcsán legtöbbször arról lehet hallani, hogy felhasználónevek, jelszavak, személyes vagy pénzügyi információk kerülnek illetéktelen kezekbe. Azonban a mindennapokban az egészségügyi adatok is komoly veszélynek vannak kitéve. Októberben például egy észak-kaliforniai kórházi rendszerből került ki nagy mennyiségű adat. Ez az incidens önmagában 4,24 millió beteg adatát érintette. Ebből is látható, hogy az egészségügyet szolgáló informatikai infrastruktúrák kapcsán is komoly védelmi feladatok vannak. A Ponemon Institute a legújabb felmérése során annak járt utána, hogy az ágazat szereplői miként kezelik a nehézségeket.

 

A felmérésbe kórházak, adminisztrációs szervezetek, pénzügyekkel és adatvédelemmel foglalkozó szervezeti egységek munkatársai is részt vettek. Az Egyesült Államokra vonatkozó kutatás során kiderült, hogy a megkérdezett intézmények 96 százaléka az elmúlt két évben tapasztalt legalább egy biztonsági incidenst. Összességében pedig elmondható, hogy az adatokat veszélyeztető nemkívánatos események száma évről-évre körülbelül 30 százalékkal emelkedik, és nem is látszik olyan tényező, ami a jövőre nézve bizakodásra adna okot. A bekövetkezett biztonsági események jelentős része csak látszólag kis súlyú. "Az incidenseknek nem kell nagyoknak lenniük ahhoz, hogy jelentős gondokat okozzanak. Egy kisebb adatszivárgás is könnyen vezethet komoly károkhoz" - mondta Larry Ponemon.

 

 A felmérés során a kutatók arra is kíváncsiak voltak, hogy mik azok a tényezők, amelyek a leggyakrabban okoznak adatszivárgást. Kiderült, hogy a vezető okok között a különböző informatikai (mobil) eszközök elvesztése vagy eltulajdonítása, az alkalmazottak figyelmetlensége, valamint az egészségügyi intézmények beszállítóinál, partnereinél bekövetkező nem várt események szerepelnek. Az incidensek számának növekedéséből azonban azok az esetek veszik ki a részüket a legjelentősebb mértékben, melyek munkavállalói hibákra vezethetők vissza.

 

A Ponemon szerint az Egyesült Államokban az adatbiztonsági incidensek éves szinten megközelítőleg 6,5 milliárd dolláros kárt okoznak.

 

 A felmérésben résztvevők 81 százaléka úgy nyilatkozott, hogy tárolnak egészségügyi adatokat mobil eszközökön. Ugyanakkor 49 százalékuk még semmiféle védelmi intézkedést nem hozott e készülékeken található adatok megóvása érdekében. A problémát tovább fokozza, hogy sok szervezet - szabályozás hiányában - nem tiltja a magáncélú mobilok intézményi feladatokra történő használatát, ami szintén növeli az adatszivárgás valószínűségét. "Sajnos ezek az eszközök nem biztonságosak: könnyen maradhatnak a taxiban, vagy veszhetnek el reptereken. Az emberek gyakran nincsenek tisztában a kockázatokkal" - mondta Rick Kam, az ID Experts elnöke a felmérés kapcsán.

 

A Ponemon a védelem fokozását alapvetően három kézenfekvő terület összehangolt kezelésében látja. Egyrészt meg kell erősíteni a technológiai védelmet, másrészt biztosítani kell a törvényi és egyéb előírásoknak való megfelelőséget, másrészt be kell tartatni a biztonsági szabályokat.

 

 

 

Forrás: Biztonságportál.hu

Kristóf Csaba

2011. november 25., 09:00

 

 

A Prolexic biztonsági vállalat arról számolt be, hogy november első felében egy olyan nagyszabású, elosztott szolgáltatásmegtagadási (DDoS) támadást észlelt, amire a történetében eddig még nem volt példa. A cég csak most hozta nyilvánosságra az akció néhány technikai részletét, ugyanakkor azt továbbra sem volt hajlandó elárulni, hogy mely vállalat esett áldozatául a kiberbűnözésnek. Mindössze annyit lehet tudni, hogy egy meghatározó ázsiai cég került célkeresztbe, amely elektronikus kereskedelemmel foglalkozik.

 

Az eddigi vizsgálatok szerint a DDoS támadás november 5-12. között négy nagyobb hullámban valósult meg. Ezek következtében a célba vett szervezet rendszere megbénult, de az egyik DNS-szolgáltató sem járt sokkal jobban, ugyanis azt is érintették az akciók. "A (45 Gbps sávszélességet felemésztő) támadások során megközelítőleg 15 ezer kapcsolat kezdeményezését észleltük másodpercenként, ami már túlmutat azon a szinten, amit egyszerű biztonsági berendezésekkel kezelni lehetne. A DDoS incidens háromszor nagyobb volt PPS (packets per second) szempontból, mint amit eddig valaha is mértünk" - nyilatkozta a Prolexic.

 

 

A harmadik negyedévre vonatkozó felmérések szerint az elosztott szolgáltatásmegtagadási támadások száma követte a megelőző időszakban tapasztalható trendeket. Ezek szerint évről évre csökken e támadások száma, ugyanakkor az incidensek mérete, kiterjedése és hatása egyre komolyabb méreteket ölt. A legtöbb problémát a SYN és ICMP flood alapú támadások okozzák. A kiberbűnözés gyakran az online játékokat, a szerencsejátékokat, valamint a vendéglátással, szállítmányozással foglalkozó vállalatokat szemeli ki, és áltagosan 1,2 napig tartó DDoS akciókat hajt végre.

 

A támadások leggyakrabban Kínából indulnak ki. Az esetek 55 százalékában kínai számítógépek vesznek részt az elosztott szolgáltatásmegtagadási támadásokban, ami többek között azzal magyarázható, hogy ott a botnetek az átlagosnál kiterjedtebben működnek.

 

 

 

Forrás: Biztonságportál.hu

Kristóf Csaba

2011. november 21., 11:13

 

 

Idén az informatikai biztonság - a már hagyományosan sok problémát okozó kártékony programok mellett - elsősorban a mobileszközök által jelentett kockázatokról, a cloud computing kapcsán felmerülő védelmi nehézségekről és az internetes fenyegetettségekről szólt. Eközben azonban egy jól megfigyelhető trend bontakozott ki, amely szerint a kiberbűnözés sok esetben már nem vaktában lövöldöz, hanem célzott támadásokat hajt végre. Méghozzá olyan módon, hogy azok a kiszemelt szervezetek védelmi infrastruktúráját a lehető legtöbb szinten próbára tegyék. A célzott támadások elszaporodása némileg hasonlít a vírusok világában elmúlt években tapasztalható fejleményekhez. Napjainkban ugyanis a kártékony programok terjesztőinek már többnyire nem az a céljuk, hogy globális, a saját hírnevüket növelő fertőzésekhez járuljanak hozzá, hanem az, hogy kisebb területeken terjedő, sok variánsból álló víruscsaládokat hozzanak létre. Ezek révén a lehető legtovább tudnak észrevétlenek maradni mind az antivírus cégek, mind a felhasználók előtt. Céljuk pedig egyértelműen az anyagi haszonszerzés és az adatlopás. Nagyon hasonló a helyzet a fejlett támadások kapcsán is.

 

Az elmúlt évek során egyre többször lehetett találkozni az APT (Advanced Persistent Threat) rövidítéssel, amely napjainkban kezd olyan felkapott kifejezéssé válni, mint például a virtualizáció vagy a cloud computing. Azonban ez esetben olyan problémáról van szó, amelyet minden szervezetnek nagyon komolyan kell vennie. Kétségtelen, hogy a biztonsági cégek az APT-t is egyre többször említik meg marketingkampányaikban, azonban - mint látni fogjuk - most nem egy termékről, szolgáltatásról vagy egy hype-olt technológiáról beszélünk, hanem olyan fenyegetettségről, amely ellen csak összetett, többszintű védelem kialakításával lehet felvenni a küzdelmet, és a siker még ekkor sem garantált.

 

Az APT (Advanced Persistent Threat) a fejlett, perzisztens fenyegetettségek összefoglaló neve, rövidítése. Rögtön adódik a kérdés, hogy a „fejlett", a „perzisztens" és a „fenyegetettség" kifejezések ezúttal pontosan mit is takarnak.

 

Fejlett: a támadók számos eszközt használnak fel céljuk eléréséhez. Vagy rendelkeznek azokkal az erőforrásokkal, amelyek révén nulladik napi sebezhetőségek kihasználására alkalmas exploitokat tudnak készíteni, vagy a feketepiacon vásárolnak ilyen kódokat, illetve azokat magukban foglaló kártékony programokat. Céljuk, hogy elkerüljék a célkeresztbe állított rendszert körülölelő vagy az abban működő védelmi eszközöket. A NIST (National Institute of Standards and Technology) mindezt így fogalmazta meg: a támadók alkalmazkodnak a védők erőfeszítéseihez annak érdekében, hogy azokkal szembeszállhassanak.

 

Perzisztens: a támadók egy jól meghatározott céllal tevékenykednek, és többnyire nem véletlenszerűen, találgatás útján próbálnak rájönni, hogy milyen sebezhetőségeket tudnak kihasználni, hanem már felkészülten, alapos felderítőmunka után lépnek akcióba. Ameddig el nem érik a céljukat (például meg nem találják az általuk keresett bizalmas adatokat), addig nem hagyják el a rendszert. Gondoskodnak arról, hogy a hozzáférésük fenntartható legyen. Sok esetben több hozzáférési pontot is kialakítanak, hogy a jelenlétüket huzamosabb ideig biztosítani tudják.

 

Fenyegetés: a támadók általában nem egyszerű port szkenneléseket, SQL injection támadásokat stb. hajtanak végre, és legtöbbször nem alkalmaznak automatizált károkozásra alkalmas programokat sem. Nyilván ezek is megjelenhetnek az eszköztárukban, azonban ez esetben célzott, irányított és komplex akciókról beszélünk, amelyek komoly fenyegetést jelenthetnek az informatikai rendszerekre és az adatokra. Ennek megfelelően a védekezés sem kivitelezhető hatékonyan csupán hagyományos biztonsági eszközök bevetésével.

 

Az APT-támadásokat általában három vagy négy szakaszra bonthatjuk, de a lényeg minden esetben ugyanaz. Az első vagy nulladik fázisként a támadó pontosan feltérképezi a célpontot, és olyan személyeket, alkalmazottakat keres, akiket social engineering trükkök révén rászedhet. Ezzel pedig el is érkeztünk az APT-k talán legfontosabb jellemzőjéhez, amely nem más, mint az emberi tényezőkre, tulajdonságokra épülő károkozások megjelenése a fejlett fenyegetettségekben. Mint arról még később szó lesz, a védelmet ez alapvetően befolyásolja.

 

Második lépésként a megtévesztett felhasználónak le kell futtatnia egy kódot, akár úgy, hogy megnyit egy e-mailben lévő ártalmas állományt, vagy megtekint egy kártékony weboldalt. Egy - általában nulladik napi - sérülékenység kihasználásával a támadó egy hátsó kaput tud felépíteni, amelyen keresztül hozzáfér a szervezet belső informatikai infrastruktúrájához. Az ilyen módon megfertőzött számítógép tehát nem a végső célpont, az csak egy „ugrópont" a hálózat és más rendszerek alapos feltérképezéséhez. Amennyiben az elkövető ráakad a számára fontos szerverre, adatbázisra, akkor harmadik lépésként megpróbál ahhoz is hozzáférést szerezni, majd az értékes adatokat különböző módokon, de általában titkosított és tömörített formában interneten keresztül továbbítja saját magának, miközben gondoskodik arról, hogy a rendszerben a jelenléte folyamatosan, huzamosabb időn keresztül biztosított legyen.

 

Ahogy azt az előbbiekben már említettük, az APT-k egyik kulcstényezője a social engineering, amelynek esetében csupán technológiai védelemmel nem lehet megfelelő mértékben csökkenteni a kockázatokat. Az APT-k további fontos összetevői a nulladik napi sebezhetőségek kihasználására alkalmas, sokszor egyedi exploitok is feladják a leckét, nem beszélve az adatszivárgások felismeréséről. Mindebből az is következik, hogy a fejlett fenyegetettségek ellen csak többszintű, mélyreható védelmi infrastruktúra felállításával és gondos üzemeltetésével lehet védekezni.

 

A védelemben a biztonsági eszközök és az emberi tényezők kezelésének is kulcsfontosságú szerepet kell betöltenie. Azonban csak akkor lehet hatékony intézkedéseket hozni, ha egy szervezet tisztában van azzal, hogy pontosan mit is kell megvédenie a támadóktól, és normál működés esetén milyen események következhetnek be. Ez utóbbi azért fontos, mert az APT-k során felmerülő anomáliákat csak ezek ismeretében lehet kiszűrni.

 

A biztonsági eszközök szintjén a vírusvédelmi megoldások, tűzfalak, behatolásdetektáló és megelőző rendszerek nyilvánvalóan fontosak, de korántsem elégségesek. Szükség van olyan monitorozó, naplózó és eseménykezelő rendszerek bevezetésére, amelyek a nemkívánatos történéseket a kliensek, a szerverek és a hálózati adatforgalom figyelésével ki tudják szűrni, és gyanús tevékenység esetén gyors riasztást, illetve incidensreagálást biztosítanak. Az APT-k esetében ugyanis a korai felismerés kulcsfontosságú a károk megelőzése, illetve csökkentése érdekében. Mindezek mellett nem szabad megfeledkezni a patch menedzsmentet támogató eszközök, valamint az adatszivárgás-megelőzésre alkalmas megoldások használatáról sem.

 

Mint az oly sokszor elhangzik, a védelem leggyengébb láncszemét maguk az emberek jelentik, amit az APT-k esetében a támadók könyörtelenül ki is használnak. Ezért a technológiai védelem mellett a biztonságtudatosság fokozására is komoly hangsúlyt kell helyezni. A felhasználók oktatása, rendszeres képzése elengedhetetlen ahhoz, hogy már a kezdetek kezdetén megállíthatók legyenek a fejlett támadások. Nyilvánvalóan arról is gondoskodni kell, hogy minden felhasználó csak olyan rendszerekhez és annyi adathoz férhessen hozzá, amennyi a munkájához feltétlenül szükséges.

 

Gavin Reid, a Cisco Security Incident Response Team vezetője úgy látja, hogy az APT-k detektálása nem könnyű feladat, ugyanis azok ellen nincsenek olyan megoldások, mint például a vírusvédelemben a szignatúra-adatbázisok, amelyekkel fel lehetne azokat ismerni egy hálózatban. A szakember szerint a szervezeteknek az APT-fenyegetettségek ellen több fronton kell felvenniük a küzdelmet. Így például fontosak a mélyreható csomagvizsgálatokra épülő hálózati ellenőrzések, valamint a naplózó rendszerek használata. „Attól, hogy egy szervezet még nem észlelt APT-támadást, korántsem biztos, hogy nem került célkeresztbe, vagy a védelme tökéletesen működik" - nyilatkozta a szakember, aki szerint sok múlik azon is, hogy az ilyen támadások felismerésére rendelkezésre állnak-e a megfelelő eszközök, illetve intézkedések. Majd hozzátette: „Ha valaki azt állítja, hogy az ön cége számára olyan hardvert vagy szoftvert ad el, amely megoldást jelent az APT-kre, akkor az vagy nem érti az APT-k lényegét, vagy nem tudja, hogy valójában hogyan működnek a számítógépek." Reid ezzel igyekezett érzékeltetni, hogy az APT-k elleni védekezést egyetlen eszközzel nem lehet megoldani.

 

A fejlett támadások az idő előrehaladtával még kifinomultabbakká fognak válni, és egyelőre semmiféle jel nem látszik, amely az APT-k visszaszorulását mutatná. Sőt, a jövőben a célzott támadások számának további növekedésével kell számolni, ami egyben az összetett, többszintű és mélyreható védekezési feladatok fontosságára hívja fel a figyelmet. Az ugyan kétségtelen, hogy a fejlett támadásokkal szemben nem könnyű felvenni a küzdelmet, de a kockázatok kezelésére nagy szükség van.

 

A támadássorozat valójában 2009 közepén kezdődött, de annak részleteit a Google csak 2010 elején hozta nyilvánosságra. Ekkor kiderült, hogy a Google mellett célkeresztben voltak olyan vállalatok is, mint például az Adobe és a Juniper. Az akció legalább egy tucat nagyvállalatot érintett, de sok cég nem erősítette meg hivatalosan, hogy az Aurora számukra is gondokat okozott. A Google a támadások kapcsán Kínát okolta, de Kína cáfolta, hogy bármilyen köze lenne a történtekhez. A károkozások alapjául egy nulladik napi Internet Explorer sérülékenység szolgált, amelyet az elkövetők e-mailekben vagy azonnali üzenetküldőkön keresztül célzottan terjesztett JavaScriptek segítségével igyekeztek kihasználni hátsó kapuk létesítéséhez. Később az F-Secure arról számolt be, hogy a támadásokban egy Adobe Reader sebezhetőség, valamint kártékony PDF-állományok is szerephez juthattak.

 

Az RSA egy olyan APT-támadás bekövetkezését ismerte el, amely bizalmas SecurID információk jogosulatlan kezekbe kerüléséhez vezetett, és a SecurID-alapú többfaktoros hitelesítés kapcsán kockázatokat vetett fel.

 

Április elején az Oak Ridge laboratórium számítógépes rendszere ellen APT-támadás indult. Április 21-én az illetékesek elismerték, hogy az elkövetők bizalmas adatokhoz fértek hozzá az Internet Explorer egyik nulladik napi biztonsági résének kihasználásával. A támadóknak több mint 50 számítógépet sikerült az irányításuk alá vonni, és több mint egy gigabájtnyi titkos adatot tulajdonítottak el.

 

 

A 2011-es Informatikai Biztonság Napjának egyik előadása az APT-k kapcsán sok érdekességet tartogatott, hiszen az RSA úgy határozott, hogy a magyar konferencián részletesen is beszámol tavaszi biztonsági incidensének részleteiről. James Lugabihl, az RSA CIRC vezetője először arról beszélt, hogy miként következett be az az APT- (Advanced Persistent Threat) támadás, amely bizalmas adatok kiszivárgásához vezetett. Az incidenshez egy olyan Excel fájlt tartalmazó e-mail járult hozzá, amelyet a cég egyik alkalmazottja a spamekre fenntartott mappából állított helyre, majd megnyitotta. Amint az Excel fájlt megtekintette, a háttérben egy nulladik napi Flash-hibát kihasználó exploit futott le. Ennek segítségével a támadók először átvették a hatalmat a felhasználó PC-je felett, majd rögtön hozzáfogtak a hálózat feltérképezéséhez. Egészen addig keresgéltek, amíg rá nem akadtak a titkos SecurID információkra, amelyeket egy hálózaton megosztott könyvtárba importáltak. Végül egy jelszóval védett RAR-fájl formájában juttatták ki az adatokat egy külső szerverre. Lugabihl elmondta, hogy az incidens után mélyreható forensic vizsgálatot végeztek annak érdekében, hogy a valós károkat és az eset körülményeit feltárják. Emellett átfogó védelmi intézkedéseket foganatosítottak, amelyek magukban foglalták a tartományvezérlőkhöz, a felhasználói fiókokhoz, a munkaállomásokhoz, valamint a webes tartalmak kezeléséhez tartozó biztonsági szabályok szigorítását. Továbbá újragondolták a felhasználói oktatásokat és a naplózást. A szakember a hasonló problémák elkerülése érdekében mélyreható védelem megvalósítását javasolta és felhívta a figyelmet az incidensreagálási képességek fokozására, a káros események korai felismerésére alkalmas eszközök bevezetésére és a forensic elemzések fontosságára.

 

 

Forrás: Biztonságportál.hu

Kristóf Csaba

2011. október 26., 08:45

 

 

A Symantec kutatói egy átfogó felmérést végeztek kisvállalatok körében. Arra voltak kíváncsiak, hogy a kisebb cégek miként képesek helytállni az egyre több fenyegetettséggel szembeni védekezés során, és hogyan vélekednek napjaink biztonsági helyzetéről. A felmérés igen ellentmondásos eredményekkel zárult, ugyanis kiderült, hogy sok kisvállalat vezetője biztonságban érzi az értékeit, ugyanakkor gyakran alapvető védelmi intézkedéseket sem hoznak meg.

 

A kutatás rávilágított arra, hogy az amerikai kisvállalatok 67 százaléka erőteljesen függ az internettől, de a helyi hálózatok is hasonlóan fontos szerepet töltenek be az üzleti tevékenységük ellátása során. 57 százalékuk nyilatkozott úgy, hogy ha az internetelérésük 48 órán keresztül nem lenne biztosított, akkor az komoly hatással lenne az üzleti folyamataikra. 38 százalékuk pedig nagyon komoly károkat lenne kénytelen elkönyvelni egy ilyen szolgáltatáskimaradás esetén.

 

A vállalkozások vezetőinek megkérdezésekor kiderült, hogy a válaszadók 85 százaléka gondolja úgy, hogy a cége védett a hekkerekkel, vírusokkal, kártékony programokkal valamint az egyéb kibertámadásokkal szemben. 57 százalékuk pedig meg van győződve arról, hogy erős védelmet építettek ki az online biztonság érdekében.

 

A felmérés további része azonban arra világított rá, hogy a helyzet korántsem ennyire rózsás. A megkérdezettek 77 százaléka ugyanis elismerte, hogy nincs írott biztonsági szabályzata. Sokan pedig bevallották, hogy az alkalmazottaiknak nem szerveznek biztonsági oktatásokat. A szervezetek többségének esetében teljesen szabályozatlan az internethasználat és a webes szolgáltatásokhoz való hozzáférés. Ráadásul csak a válaszadók 52 százaléka tervezi azt, hogy ilyen szabályozást érvénybe léptet a közeljövőben. További problémát jelent, hogy a kisvállalatok jelentős része nincs felkészülve a biztonsági incidensekre. 40 százalékuknak semmiféle terve nincs arra az esetre, ha egy támadás következtében értékes üzleti információk, alkalmazotti vagy ügyféladatok kerülnének illetéktelen kezekbe.

 

"Pontosan látjuk, hogy a kisvállalatok tulajdonosai elsősorban az üzleti folyamatokra koncentrálnak, és korlátozott erőforrások állnak rendelkezésükre az informatikára valamint a biztonság menedzselésére. Sajnos a kiberbűnözők egyre gyakrabban állítják célkeresztbe ezeket a cégeket, mivel pontosan tisztában vannak azzal, hogy e vállalatoknál gyengébb a védelem. Ezért fontos, hogy a kisebb cégek is képezzék az alkalmazottaikat a legújabb fenyegetettségek elleni küzdelem során. Az oktatásokat pedig olyan megbízható védelmi termékekkel kell kombinálni, amelyek megfelelően képesek megvédeni az üzleti értékeket és menedzselni a kockázatokat" - mondta Cheri McGuire, Symantec alelnöke. Mindez azért is fontos, mert a felmérés azt mutatja, hogy a kisvállalatok tulajdonosainak, vezetőinek körében gyakran hamis biztonságérzet alakul ki, amit a támadók, csalók könnyen a saját javukra fordíthatnak, és komoly károkat okozhatnak.

 

 

 

 

 

 

Antal Lajos, a Deloitte Zrt. Informatikai biztonság és adatvédelem üzletágának vezetője elmondta: Az információtechnológiai fejlődése egyre nehezebbé teszi a bizalmas, üzleti szempontból értékes vállalati adatok védelmét. Az adathordozók kapacitása folyamatosan nő, míg méretük mára elhanyagolható – óriási adatmennyiség csempészhető ki a legszigorúbban védett rendszerekből is, ha az elkövető rendelkezik a megfelelő hozzáférésekkel. A legtöbb vállalat még mindig az alap biztonsági kontrollok (például az erős jelszavak, naplózás, felhasználói tudatosság stb.) implementálásával, működtetésével küzd, ugyanakkor fontos lenne, hogy a következő aktuális, fenyegető tendenciákat is figyelembe vegyék, és mielőbb megtegyék a szükséges ellenlépéseket:

Antal Lajos Antal Lajos

 

A támadók ma már egyre ritkábban csapnak le véletlenszerűen. Ehelyett célirányosan dolgoznak, előre kiválasztott vállalatokat, termékeket, szolgáltatásokat és személyeket támadnak meg, a támadást nagyon alaposan tervezik, és megvárják vele a legmegfelelőbb pillanatot. Egyetlen ország vállalatai sincsenek biztonságban, tévedés tehát azt hinni, hogy magyar cégeket nem érhet támadás. A bűnözők felmérik a sebezhetőségeket, gyenge pontokat, majd a kockázatok és az elérhető haszon mérlegelését követően döntenek a támadásról.

hirdetés

 

A lebukás viszonylag alacsony kockázata mellett megszerezhető igen komoly zsákmány a szervezett bűnözés érdeklődését is felkeltette, amely egyre szorosabb szálakon kapcsolódik a kiberbűnözéshez, és anyagilag is támogatja azt. Mindez azt jelenti, hogy a támadások „minőségi” fejlődése mellett azok mennyiségi növekedésére is fel kell készülni, a hatóságok és a cégek tehát az eddiginél is komolyabb kihívások előtt állnak.

 

A gazdasági környezet változása, a válság következtében romló egyéni pénzügyi kilátások és a félelem a potenciális munkahelyvesztéstől jelentősen rontott a vállalati belső biztonság általános szintjén. A cégekre nézve adatbiztonsági szempontból saját munkavállalóik nagyobb kockázatot jelenthetnek, mint valaha, hiszen pénzért, vagy megfelelő egyéb juttatásokért fontos vállalati adatokat adhatnak ki külső feleknek.

 

A Fehér Ház nemrég nemzetközi szabályozási stratégiát alkotott, amely a kibertámadást a fegyveres fenyegetéssel azonos szintre emeli az USA-n belüli hatállyal. A vállalatoknak világszerte arra kell készülnie, hogy a törvényalkotók a következő időszakban sorra hoznak majd olyan információbiztonságot célzó szabályokat, amelyek a cégektől is megfelelő biztonsági lépéseket, új folyamatok bevezetését kívánják majd meg. Ha a vállalat majdani intézkedései nem felelnek meg a törvényi követelményeknek, a cégeknek várhatóan komolyabb szankciókra kell számítaniuk.

 

Országhatárokon és kontinenseken átnyúló veszélyt jelentenek a vállalatokra az összehangolt, globális támadások, amelyek célja, hogy tömegével tegyék használhatatlanná a számítógépes rendszereket. Nem csak a bűnüldöző szerveknek kell leküzdeniük a válaszlépésekre ma még jellemző elaprózottságot, és ehelyett elmozdulniuk a hatékony, nemzetközi együttműködések felé, hanem az egyszerre több országban jelenlévő vállalatoknak is át kell gondolniuk globális biztonsági irányelveiket.

 

A szándékos adatlopás komoly fenyegetést jelent, amelyre a vállalatoknak sokkal alaposabban kell felkészülniük. Elengedhetetlen az adatvédelmi intézkedések bevezetése, a meglévő intézkedések szigorítása, de a vállalatoknak nagyobb hangsúlyt kell fordítaniuk a beágyazott biztonsági (embedded security) megoldásokra is, amelyek nagy előnye a hagyományos védelmi szoftverekkel szemben, hogy az adatokat mindig titkosítva tárolják, és csak a fájlok megjelenítésénél fejtik vissza azokat. Így, amennyiben egy vállalati anyag mégis kiszivárogna, az külső fél számára használhatatlanná válik. Szintén érdemes megfontolnia a cégeknek a DLP (Data Loss Prevention) rendszerek alkalmazását, amelyek segítenek monitorozni, nyomon követni a vállalati adatok útját, és alkalmasak a bizalmas információk szivárgásának megakadályozására is.

 

A vállalat vezetésének rendszeresen tanulmányoznia kell a belső ellenőrzés és a biztonsági főosztály által készített, információbiztonsággal kapcsolatos jelentéseket, és rendszeresen konzultálnia kell az informatikai osztály és a belső ellenőrzés vezetőjével. A magas szintű vállalati információbiztonsághoz elengedhetetlen az együttműködés az IT-oldal és a cég üzleti döntéshozói között, ugyanakkor nagyobb hangsúlyt kell fektetni a szakemberek képzésére, az alkalmazottak információtudatosságának növelésére, illetve a vállalati incidenskezelési képesség fejlesztésére is, amiben már egy vállalaton belüli bejelentő vonal működtetése is komoly segítséget jelent – tette hozzá a Deloitte szakértője.