Kategorija: Novice

Rešitev za potrditev domene SSL za izboljšanje varnosti uporabnikov.

“Phishing” oz. lažno predstavljanje je sedaj bolj razširjen kot kdaj koli prej. Po mnenju Odbora APWG za internetno politiko je bilo leto 2016 resnično rekordno leto za lažno predstavljanje, leta 2017 pa je že na vrhu. Ta rast je v veliki meri naravna zaradi stalne rasti interneta. Vendar pa je zaradi sedanjega SSL sistema, ki ustvarja popolne pogoje za lažno predstavljanje – t.i. phishing, število prevar še večje.

Ta problem je dejansko sotočje dveh trendov. Prva je nedavna poteza brskalnikov, ki jih vodijo Google in Mozilla, da spremenijo uporabniški vmesnik (User Interface – UI) iz podcenjene ikone ključavnice v bolj privlačno in očitno zeleno binarno “Secure” / “Not Secure”, ki se je pričelo z izdajo programa Chrome 56 / Firefox 51.

To v povezavi s hitrim širjenjem prostega SSL-ja je ustvarilo okolje, v katerem lahko lažne spletne strani dodajo SSL in označijo stran kot »varno«. Prepričani smo, da se vsi strinjamo, da je spletno mesto z lažnim predstavljanjem označeno kot »varno«, slaba stvar . Izboljša moč lažnega predstavljanja.

In ne glede na začetne namere, trenutni uporabniški vmesnik pomaga pri lažnem predstavljanju.

Preberi več > Brskalniki morajo prenehati pomagati hekerjem izvajati “Phishing”

Obstaja veliko načinov za ugotavljanje, ali je spletna stran ponaredek – spodaj preberite naša priporočila

Internet je poln spletnih strani, ki so bodisi lažne, goljufive ali pa gre za prevaro. To je žalostno dejstvo. Razvoj interneta je prinesel številne izredno priročne prednosti v načinu nakupovanja, bančnih storitev in komuniciranja s svetom okoli nas. Hkrati je ta razvoj omogočil tudi nova tveganja – nove možnosti za kriminalce, da bi prevarali nič hudega sluteče.

Resnično, kaj vse se že ukvarja z goljufijo. Ti hekerji in spletni kriminalci so le malo več kot novodobni sleparji. Igra je tako stara kot čas sam – ljudje že od nekdaj goljufajo. Podobno kot starodavni prodajalci olj tudi ti sleparji hočejo samo eno stvar: vaš denar.

Danes njihova taktika vsebuje t.i. “phishing”.

Kaj je “Phishing”

“Phishing” (lažno predstavljanje) je vrsta spletne goljufije, ki vključuje pridobivanje posameznika ali organizacije, da razkrije občutljive, včasih kočljive podatke, pod lažno pretvezo, ki so jo izdelali strokovnjaki. Ti napadi so v več oblikah, ki pogosto združujejo več medijev, da bi ustvarili vtis legitimnosti.

Kaj to pomeni?

Poglejmo primer. Napadalec lahko začne tako, da vam pošlje e-poštno sporočilo z naslova, ki je podoben uradnemu. Piše pa na primer: “Nekdo se je poskušal prijaviti v vaš račun iz druge države. Prosimo, posodobite svoje geslo.”

E-mail vsebuje povezavo do posebno oblikovane strani, ki je odlična kopija Googlove prijavne strani. Za nevešče oko je skoraj nemogoče prepoznati lažno stran od prave.

S prihodom brezplačnih SSL certifikatov in nedavnimi spremembami brskalnikov je postalo prikrivanje strani lažje kot kdajkoli prej.

Preberi več > 5 načinov za ugotavljanje, ali je spletna stran ponarejena, goljufiva ali prevara

Uradne smernice za geslo potrjujejo, kar je Varnostna skupnost navedla že dolgo nazaj

Ameriški nacionalni inštitut za standarde in tehnologijo (NIST) je močno vključen v določanje varnostnih standardov in redno prispeva k področju kriptografije. Na primer, NIST so objavili smernice za uporabo v ECC in gostili tekmovanje, ki je pripeljalo do razvoja SHA-3.

Junija so objavili  SP 800-63: Digital Identity Guidelines. Medtem ko vas ime lahko uspava, varnostno skupnost navdušuje kar je napisano znotraj dokumenta.

V štirih obsegih dokumentov je opisano, kako naj sistem skrbi za varnost računa, vključno z gesli, dvotaktno avtentifikacijo in povezano politiko. O vseh vrstah varnostnih tem NIST objavlja podobne dokumente, katerih cilj je pomoč inženirjem, ki morajo te sisteme implementirati.

Ena izmed tem, omenjena v dokumentih je “prilepljanje gesla” – omogočanje uporabnikom, da svoja gesla prilepijo v obrazce za prijavo. Presoja NIST? V redu je.

Preberi več > NIST uradno priporoča lepljenje gesla

Skupna odkupnina je nižja kot si mislite

Strokovnjaki kibernetske varnosti so imeli veliko dela, saj se je 12. maja po celem svetu začel širiti WannaCry izsiljevalski virus.

Zgodba o zlonamerni programski opremi WannaCry spominja na hollywoodski scenarij. 12. maja se je virus razširil kot požar – z začetkom v Evropi – okužil je več kot 200.000 računalnikov, vključno z nekaterimi bolnišnicami.

Izsiljevalski virus je izkoristil raniljivost Microsoft Windows-ev, ki so jo odkrili NSA in je bila odpravljena dva meseca pred napadom (posodobite, če ga še niste). To še posebej izkoriščajo  WannaCry za okužbo naprav znotraj organizacij.

Torej, če ste avtor izsiljevalskega virusa, ki uspešno širi napade po vsem svetu in okuži skoraj četrt milijona naprav in velikih podjetij, vključno z Renaultom, FedExom, koliko denarja lahko pričakujete, da boste zaslužili?

WannaCry zahtevajo odkupnino 300 dolarjev plačane v internetni valuti Bitcoin. Po treh dneh, se odkupnina poveča na 600 dolarjev. Ker se je večina računalnikov okužila v petek, se bo odkupnina podvojila za tiste, ki niso plačali do nedelje.

Izsiljevalci zahtevajo plačilo na enega od treh Bitcoin naslovov. Medtem, ko so Bitcoin plačila anonimna (razkrivajo le Bitcoin naslov pošiljatelja in prejemnika), so vse transakcije javne, zapisane na “blockchain. Tako je enostavno pogledati, koliko prihodkov prejemajo avtorji WannaCry virusa. Vidimo lahko pošiljateljev in prejemnikov naslov ter čas transakcije.

Po pregledu teh podatkov na “blockchain”, so WannaCry v ponedeljek prejeli 215 plačil. Vendar vsa plačila niso bila odkupnina. 35 plačil je bilo pod 1 dolar in 15 pod 25 dolarjev. Mnogi od teh plačil so dvojniki – poslani od iste osebe. To kaže na to, da so bila ta majhna plačila verjetno od raziskovalcev, ki so testirali izsiljevalsko aplikacijo. Dva plačila sta bila okoli 50 dolarjev – večje, kot je potrebno za testiranje in veliko manjše kot znaša odkupnina. Gre morda za napako ali pa za žrtve, ki so se dogovorile za nižjo odkupnino.

Preostalih 163 plačil je v razponu od 3.424 do 168 dolarjev. Skupni znesek zbranih odkupnin je 51.644. Skoraj 20.000 od celotne odkupnine je bilo nakazane na ponedeljek.

Medtem ko se Bitcoin lahko neposredno uporablja za nakup nekaterih predmetov, bodo kriminalci morali imeti možnost, da valuto spremenijo v dolarje (ali katerokoli valuto). Ampak glede na ogromno količino pozornosti, ki so jo deležni, bo varno pretvarjanje valute lahko problem.

Zločinci za zdaj niso zaslužili še nič. Noben znesek odkupnine  se še ni preselil na katerikoli Bitcoin naslov. Možno je, da se bitcoin ne bo nikoli premaknil – še posebej, če se kriminalci bojijo, da jih bodo identificirali. Če se to zgodi, bo ta denar “pozabljen” – viden bo na “blockchain”, vendar nikoli uporabljen.

Certificate Authority Authorization (CAA) ščiti lastnike domen pred napačno izdajo.

Certificate Authority Authorization je opcijski varnosti ukrep, ki ga upravljavci spletne strani lahko uporabijo za zaščito domene pred napačno izdajo. Lastniki domen tako lahko določijo, kateri izdajatelji certifikatov lahko izdajo certifikat za njihovo spletno stran.

CAA je oblikovan kot DNS zapis. Lastniki domen, ki želijo uporabiti CAA, ustvarijo zapis s seznamom izdajateljev, ki jim dovolijo, da za njih izdajo certifikat.

Ko izdajatelj certifikata prejme zahtevek za izdajo certifikata, mora najprej preveriti zapis CAA, da vidi, če je na seznamu odobrenih izdajateljev. Če domena nima seznama CAA, lahko certifikat izda katerikoli izdajatelj.

Od 8. septembra 2017 naprej bodo morali izdajatelji preveriti CAA zapis domene.