Ohlédnutí za SECURITY 2014 - I. - Přednáška: Lépe už bylo
24.02.2014
Ve středu 19.2.2014 se konal již 22. ročník konference SECURITY. Letos byl nebývale velký zájem a oba sály Aquapalace Hotelu byly po většinu přednášek téměř zaplněny. Proto organizátoři zvažují o přesun dalšího ročníku do větších prostor.
Program probíhal souběžně ve dvou sálech, v Manažerském a Technickém. Anotace jednotlivých přednášek jsou stále k nahlédnutí na stránkách konference.
Pokusím se postupně zveřejnit několik poznámek z konference, které jistě budou zajímat i laickou veřejnost.
V první přednášce v technickém sále shrnul Petr Šnajdr z Esetu závažné hrozby v loňském roce. Z několika set tisíc nových variant různého malware, které denně vznikají, dominovaly v loňském roce tyto tři:
O tzv. Policejním viru byl v loňském roce napsáno mnoho článku. Tento škodlivý kód nemá s policií nic společného a patří do kategorie ransomware, tedy škodlivých programů, které zablokují počítač a za jeho zprovoznění požadují výkupné. Během roku se tato havěť vyvíjela a také drze zvyšovala požadované částky. Z počátečních 1.000,-Kč až na 3.000,-Kč. Určitě se to tvůrcům vyplatilo, protože v dobách největší slávy údajně volalo na oddělení internetové kriminality denně 60-80 lidí s požadavkem „Zaplatil jsem, tak mi počítač odblokujte“.
Tento nepříjemný program zneužívá bezpečnostní díry v systému, Javě a dalších programech třetích stran. Proto se nevyplatí otálet si instalací Service Packů.
Další potvůrkou na žebříčku vývoji je Cryptolocker (WIN32/Filecoder) (anglický popis). Pro infikicaci používá obdobné triky jako předchozí havěť, ale svoji škodlivou činnost znásobuje šifrováním obsahu pevného disku. Pokud tedy máte zálohy dat na disku, kam má infikovaný počítač běžně přístup, můžete se s nimi také rozloučit, protože je Cryptoloker také úspěšné zakryptuje. Podvodníci opět nabízí, že za nemalou úplatu zašlou dešifrovací program, ale věřte jim...
Další nejvýznamnější havěti z loňského roku patří Hesperbot. Ta se specializuje na napadání internetového bankovnictví. Její aktualizace probíhá snad každých 14 dní. Propracovaný malware obsahuje skrytý VNC server, to znamená, že útočník může sledovat a případně nenápadně ovládat váš počítač. Do počítače se dostává za vydatné pomoci uživatele. Možná tušíte, že to má souvislost s podvženými e-maily o nedoručené zásilce. Zprávy se podvodně vydávají jako informace z České pošty, nasměrují uživatele na podvodné stránky, kde ho nabádají ke stažení škodlivého kódu. Pokud si ho nepozorný uživatel nainstaluje, může se dočkat dalších problémů.
Dalším trikem infiltrace počítače bývají stránky s údajnými zajímavými videi. Na stránce může být několik odkazů, pod většinou z nich se dokonce video zobrazí, ale najednou některé další video nelze přehrát, protože chybí program. Ten je samozřejmě nabídnut ke stažení, ale ouvej - nestáhnete program pro přehrání videa, ale některou z výše popisovaných potvor.
Další platformou, kde se začíná škodlivým programů dobře dařit jsou mobilní zařízení. V laboratořích Esetu bývá zachyceno 5.000 - 7.000 detekcí denně, 97% z toho je na systému Android. Tyto škodlivé aplikace bohužel pronikají i na Google Play odkud je lze také stáhnout. Mobilní havěť například může uživatele tajně zaregistrovat k odběru prémiových služeb a nešťastník na to příjde až při pravidelném vyúčtování.
Tvůrci malware používají k odzkoušení svých výtvorů také službu VirusTotal, kam zasílají upravené vzorky tak dlouho až mají jistotu, že je žádný z testujících antivirů nezachytí. Pak teprve je vypustí do světa a mají velkou šanci, že při neopatrnosti uživatelů budou mít velký úspěch.
A opět během přednášky bylo zdůrazněno - hlavní problém je většinou nezkušený nebo neopatrný uživatel.
Doplnění: VIDEO - shrnutí malware
Program probíhal souběžně ve dvou sálech, v Manažerském a Technickém. Anotace jednotlivých přednášek jsou stále k nahlédnutí na stránkách konference.
Pokusím se postupně zveřejnit několik poznámek z konference, které jistě budou zajímat i laickou veřejnost.
V první přednášce v technickém sále shrnul Petr Šnajdr z Esetu závažné hrozby v loňském roce. Z několika set tisíc nových variant různého malware, které denně vznikají, dominovaly v loňském roce tyto tři:
- tzv. Policejní virus
- Cryptoloker (WIN32/Filecoder)
- Hesperbot (WIN32/Hesperbot)
O tzv. Policejním viru byl v loňském roce napsáno mnoho článku. Tento škodlivý kód nemá s policií nic společného a patří do kategorie ransomware, tedy škodlivých programů, které zablokují počítač a za jeho zprovoznění požadují výkupné. Během roku se tato havěť vyvíjela a také drze zvyšovala požadované částky. Z počátečních 1.000,-Kč až na 3.000,-Kč. Určitě se to tvůrcům vyplatilo, protože v dobách největší slávy údajně volalo na oddělení internetové kriminality denně 60-80 lidí s požadavkem „Zaplatil jsem, tak mi počítač odblokujte“.
Tento nepříjemný program zneužívá bezpečnostní díry v systému, Javě a dalších programech třetích stran. Proto se nevyplatí otálet si instalací Service Packů.
Další potvůrkou na žebříčku vývoji je Cryptolocker (WIN32/Filecoder) (anglický popis). Pro infikicaci používá obdobné triky jako předchozí havěť, ale svoji škodlivou činnost znásobuje šifrováním obsahu pevného disku. Pokud tedy máte zálohy dat na disku, kam má infikovaný počítač běžně přístup, můžete se s nimi také rozloučit, protože je Cryptoloker také úspěšné zakryptuje. Podvodníci opět nabízí, že za nemalou úplatu zašlou dešifrovací program, ale věřte jim...
Další nejvýznamnější havěti z loňského roku patří Hesperbot. Ta se specializuje na napadání internetového bankovnictví. Její aktualizace probíhá snad každých 14 dní. Propracovaný malware obsahuje skrytý VNC server, to znamená, že útočník může sledovat a případně nenápadně ovládat váš počítač. Do počítače se dostává za vydatné pomoci uživatele. Možná tušíte, že to má souvislost s podvženými e-maily o nedoručené zásilce. Zprávy se podvodně vydávají jako informace z České pošty, nasměrují uživatele na podvodné stránky, kde ho nabádají ke stažení škodlivého kódu. Pokud si ho nepozorný uživatel nainstaluje, může se dočkat dalších problémů.
Dalším trikem infiltrace počítače bývají stránky s údajnými zajímavými videi. Na stránce může být několik odkazů, pod většinou z nich se dokonce video zobrazí, ale najednou některé další video nelze přehrát, protože chybí program. Ten je samozřejmě nabídnut ke stažení, ale ouvej - nestáhnete program pro přehrání videa, ale některou z výše popisovaných potvor.
Další platformou, kde se začíná škodlivým programů dobře dařit jsou mobilní zařízení. V laboratořích Esetu bývá zachyceno 5.000 - 7.000 detekcí denně, 97% z toho je na systému Android. Tyto škodlivé aplikace bohužel pronikají i na Google Play odkud je lze také stáhnout. Mobilní havěť například může uživatele tajně zaregistrovat k odběru prémiových služeb a nešťastník na to příjde až při pravidelném vyúčtování.
Tvůrci malware používají k odzkoušení svých výtvorů také službu VirusTotal, kam zasílají upravené vzorky tak dlouho až mají jistotu, že je žádný z testujících antivirů nezachytí. Pak teprve je vypustí do světa a mají velkou šanci, že při neopatrnosti uživatelů budou mít velký úspěch.
A opět během přednášky bylo zdůrazněno - hlavní problém je většinou nezkušený nebo neopatrný uživatel.
Doplnění: VIDEO - shrnutí malware