Viry a Červi

Man arrested and blackmail charges expected after allegations of unpaid contractors and iffy infosec

Updated  Over a million records describing Australians who visited local pubs and clubs have apparently been posted online.…

Only from its digital doc-signing service, which is isolated from its cloudy storage

Dropbox has revealed a major attack on its systems that saw customers' personal information accessed by unknown and unauthorized entities.…

Developer of Square and Cash App reportedly has big back-end problems it was slow to fix

Fintech biz Block is reportedly under investigation by US prosecutors over claims by a former employee that lax compliance checks mean its Square and Cash App services may have been used by terrorists – or in countries that US orgs are not permitted to do business.…

Intrusion investors went through Blount farce trauma, says SEC

Jack Blount, the now-ex CEO of Intrusion, has settled with the SEC over allegations he made false and misleading statements about his infosec firm's product as well as his own background and experience.…

Vulnerable elderly people tricked into paying tens of thousands over fake car accidents

Sixteen people are facing charges from US prosecutors for allegedly preying on the elderly and scamming them out of millions of dollars.…

Issue now resolved and isn't thought to be the work of criminals

Aussie airline Qantas says its app is now stable following a data breach that saw boarding passes take off from passengers' accounts.…

An ACE in the hole for miscreants

Updated  The open source R programming language – popular among statisticians and data scientists for performing visualization, machine learning, and suchlike – has patched an arbitrary code execution hole that scored a preliminary CVSS severity rating of 8.8 out of 10.…

Vastaamo villain more than doubled reported crime in Nordic nation

A cyber-thief who snatched tens of thousands of patients' sensitive records from a psychotherapy clinic before blackmailing them and then leaking their files online has been caged for six years and three months.…

Congress to hear how Citrix MFA snafu led to massive data theft, $870M+ loss

Updated  UnitedHealth CEO Andrew Witty will tell US lawmakers Wednesday the cybercriminals who hit Change Healthcare with ransomware used stolen credentials to remotely access a Citrix portal that didn't have multi-factor authentication enabled.…

Tried to sell top secret docs for the low, low price of $85K

A former NSA employee has been sentenced to 262 months in prison for attempting to freelance as a Russian spy.…

Europe takes action after Facebook parent withdraws monitoring tool

The European Commission has launched formal proceedings against Meta, alleging failure to properly monitor distribution by "foreign actors" of political misinformation before June's European elections.…

Managed Detection and Response in 2023 (PDF)

Alongside other security solutions, we provide Kaspersky Managed Detection and Response (MDR) to organizations worldwide, delivering expert monitoring and incident response 24/7. The task involves collecting telemetry for analysis by both machine-learning (ML) technologies and our dedicated Security Operations Center (SOC). On detection of a security incident, SOC puts forward a response plan, which, if approved by the customer, is actioned at the endpoint protection level. In addition, our experts give recommendations on organizing incident investigation and response.

In the annual MDR report, we present the results of analysis of SOC-detected incidents, supplying answers to the following questions:

• Who are your potential attackers?
• How do they currently operate?
• How to detect their actions?

The report covers the tactics, techniques and tools most commonly used by threat actors, the nature of high-severity incidents and their distribution among MDR customers by geography and industry.

Security incident statistics for 2023 Security events

In 2023, Kaspersky Managed Detection and Response handled more than 431,000 alerts about possible suspicious activity. Of these, more than 117,000 were analyzed by ML technologies, and over 314,000 by SOC analysts. Of the manually processed security events, slightly under 90% turned out to be false positives. What is more, around 32,000 security alerts were linked to approximately 14,000 incidents reported to MDR customers.

Geographic distribution of users

In 2023, the largest concentration of Kaspersky MDR customers was in the European region (38%). In second place came Russia and the CIS (28%), in third the Asia-Pacific region (16%).

Distribution of Kaspersky MDR customers by region, 2023

Distribution of incidents by industry

Since the number of incidents largely depends on the scale of monitoring, the most objective picture is given by the distribution of the ratio of the number of incidents to the number of monitored endpoints. The diagram below shows the expected number of incidents of a given criticality per 10,000 endpoints, broken down by industry.

Expected number of incidents of varying degrees of criticality per 10,000 endpoints in different industries, 2023

In 2023, the most incidents per 10,000 devices were detected in mass media organizations, development companies and government agencies.

In terms of absolute number of incidents detected, the largest number of incidents worldwide in 2023 were recorded in the financial sector (18.3%), industrial enterprises (16.9%) and government agencies (12.5%).

Distribution of the number of Kaspersky MDR customers, all identified incidents and critical incidents by industry, 2023

General observations and recommendations

Based on the analysis of incidents detected in 2023, and on our many years of experience, we can identify the following trends in security incidents and protection measures:

• Every year we identify targeted attacks carried out with direct human involvement. To effectively detect such attacks, besides conventional security monitoring, threat hunting is required.
• The effectiveness of the defense mechanisms deployed by enterprises is best measured by a range of offensive exercises. Year after year, we see rising interest in projects of this kind.
• In 2023, we identified fewer high-severity malware incidents than in previous years, but the number of incidents of medium and low criticality increased. The most effective approach to guarding against such incidents is through multi-layered protection.
• Leveraging the MITRE ATT&CK® knowledge base supplies additional contextual information for attack detection and investigation teams. Even the most sophisticated attacks consist of simple steps and techniques, with detection of just a single step often uncovering the entire attack.

Detailed information about attacker tactics, techniques and tools, incident detection and response statistics, and defense recommendations can be found in the full report (PDF).

Infosec eggheads find iGiant left EU iOS 17 users open to being tracked around the web

Apple's grudging accommodation of European antitrust rules by allowing third-party app stores on iPhones has left users of its Safari browser exposed to potential web activity tracking.…

Minule jsem psal o rizicích spojených s fotovoltaickými systémy z Číny a navázal tak na obavy z činských elektromobilů. Na problém, ale můžete narazit i v řádech stokorun. Stačí si koupit chytré zařízení „Powered by Tuya“ a nebo být připojení do internetu přes domácí WiFi router, který fyzicky ještě funguje, ale morálně je 10 let za zenitem…

Pokud si koupíte domů nějaké chytré zařízení typu IOT (Internet of Things) a jste ho schopni ovládat odkudkoliv, třeba i z dovolené trávené tisíce km daleko, pak takové zařízení zcela určitě funguje v níže uvedené konfiguraci. Technicky je přímé spojení mezi IOT zařízením a mobilním telefonem s obslužnou aplikací komplikované. V komunikaci tak figuruje kromě domácnosti a uživatele (na plážovém lehátku), i třetí prvek a tím je serverová infrastuktura výrobce IOT někde v internetu („cloudu“). Komunikace IOT zařízení je tak mezi domácností a uživatelem „protunelována“ skrze tyto servery. IOT zařízení aktivně komunikuje se servery, obdobně jako obslužná aplikace na mobilním telefonu. V této konfiguraci to bude fungovat v podstatě všude, ať už na hotelové WiFi nebo jakékoliv mobilní síti. Žádné mapování portu, žádné nastavování firewallů. K provozu prostě jen stačí, aby „fungoval internet“.

Cloud, cloud, cloud, …

Tahle konfigurace přináší i spoustu míst (zakroužkovaná místa), kde může nastat nějaký problém. Problém může být v samotném IOT zařízení a může jít například o šlendrián výrobce, který si usnadnil práci a do všech prodaných zařízení natvrdo nastavil stejné heslo, které je pak použito při komunikaci se servery. Příkladem budiž chytrá garážová vrata značky NexxHome, která lze díky podobné chybě otevírat hromadně na dálku jedním uživatelem.

Chyba může být i ve způsobu komunikace, kterou navazuje jak IOT zařízení, tak mobilní telefon. Šlo by najít spousty příkladů, kdy se prostě komunikace realizuje v nešifrované podobě a lze tak do ní vstoupit kdekoliv po cestě. A nebo probíhá šifrovaně, ale nevadí ji, pokud je odkloněna skrze server útočníka. Obecně se tomuto útoku říká MITM – „Man in the middle“.

A co teprve chyby v cloudové infrastruktuře? Síť výrobce může být kompromitována hackery a tudíž mohou do chodu IOT zařízení zasáhnout, případně „jen“ publikovat jména / hesla uživatelských účtů. A v neposledním řadě tu máme ještě nejslabší článek celého řetezce a tím je uživatel (kroužek zcela vpravo). Ten vlivem sociálního inženýrství a různých oblbovaček může jméno / heslo odevzdat útočníkům sám a to relativně dobrovolně…

Napadení / kompromitace zařízení v domácí síti

Důsledkem výše uvedeného může dojít i k situaci, kdy bude IOT zařízení v domácnosti kompromitováno / napadeno. Můžete pak mít sebelepší firewall chránící před útoky z venku a přesto to nepomůže, jelikož už máte „škodnou“ uvnitř domácnosti a to rovnou v síti, kde máte ty nejcitlivější data (úložiště fotek, certifikáty a hesla do bankovnictví, …).

„Třešničkou na dortu“ je pak kompromitace samotného firewallu (což je taky chytré IOT zařízení) ať už z venku, nebo skrze jiné kompromitované zařízení uvnitř domácí sítě. Jeden čerstvý příklad za všechny, týkající se oblíbené značky TP-Link. Útoky na domácí WiFi routery / firewally mohou být úspěšné i z těchto důvodů:

• Nechávají se v default nastavení od výrobce. Prostě se krabička zapojí a když „internet jede“, jde se od toho.
• Nedochází k automatickým aktualizacím firmwaru (=opravě chyb), protože to vyžaduje interakci uživatele (a ten o této nutností neví a nebo na to kašle).
• Vůbec se neřeší situace kolem životního cyklu WiFi routeru – EOL (End of life), kdy výrobce již žádné bezpečnostní aktualizace firmware nevydává. Někteří výrobci chrlí nové a nové modely a o to dříve ukončují podporu pro ty starší. Zároveň zachovávají zařízením fyzickou „dlouhověkost“. Ovšem ne tu morální! WiFi router se tak mění obvykle až v momentě, kdy prostě fyzicky umře. To ale může trvat třeba 8 let, přičemž výrobce k němu dodal poslední aktualizaci 6 let dozadu. Útočníci tak budou mít několik posledních let větší šanci na kompromitaci takového firewallu, pokud se nějaká zranitelnost objeví, ale výrobce na ni nezareaguje.

WiFi router, vstupní bod do domácí sítě

I když budete mít WiFi router za pár stovek, obvykle lze v nastavení najít funkci nazvanou jako GUEST WiFi. Tedy oddělenou WiFi síť pro návštěvy. Není nic jednoduššího, než do této sítě „naházet“ i všechna chytrá zařízení. Do privátní WiFi sítě pak pustit pouze svůj notebook, stolní počítač, telefon, … Návštěvy též hodit do GUEST WiFi.
Důvod? Pokud dojde ke kompromitaci zařízení ve WiFi síti GUEST, pak principiálně nemohou škodit v oddělené privátní WiFi síti. Je tam jedno ALE: Pokud to budete brát do důsledku a do GUEST WiFi sítě zařadíte i chytrou televizi, můžete zapomenout na chromecast a podobné funkce, kdy například z mobilního telefonu pustíte video či foto na TV… Je tedy na zvážení, jak například s TV naložíte. Ale stále lepší něco, než nic.

Z výše uvedeného plyne i nutnost aktualizovat WiFi router a ideálně i zabránit situaci, kdy používate nějaký, který je EOL (End of life). Pokud toto řešit nechcete nebo neumíte, může být zajímavým řešením český projekt Turris. Je ale potřeba počítat s vyšší pořizovací cenou. Více na turris.cz.

Jaká IOT zařízení?

Pokud jde o samotná IOT zařízení, doporučuji vybírat ty, která Vás nenutí používat cloudovou infrastrukturu výrobce. Obecně by to mělo být možné u IOT zařízení, která jsou kompatibilní se zigbee (stěžejní je to pak hlavně při výběru konkrétní zigbee gateway/brány) a nebo třeba IOT zařízení mnou oblíbené značky Shelly. Ono bude pochopitelně plno dalších značek, kde není cloud nutností, nicméně speciálně varuju před nákupem IOT zařízení, která jsou označená jako „Powered by Tuya“ nebo obecně Tuya. To je jedno velké neštěstí!!!

Pozor na „Powered by Tuya“!

Ač může jít o mechanicky i softwarově kvalitní IOT zařízení, Tuya (přes WiFi) je zárukou toho, že taková zařízení se budou zuby nechty bránit lokálnímu provozu bez nutnosti internetového připojení a přístupu ke cloudové infrastruktuře tuya.com! Já jsem například držitelem chytrého ventilu na uzavírání vody „Powered by Tuya“ a moje idea byla taková, že pokud jiné IOT zařízení detekuje vodu pod pračkou či myčkou, ventil „Powered by Tuya“ dostane automaticky povel na uzavření přívodu vody do domu. Paradoxně, i když je WiFi ventil i detektor vody ve stejné WiFi síti a tekoucí pračka stojí třeba jen o metr vedle, příkaz na otočení ventilu musí přijít z internetu skrze cloudovou infrastrukturu v Číně! Takže pokud Vám zrovna nepůjde internet a nebo se Číňan rozhodne jinak, prostě tu vodu nezastavíte! Nějaké způsoby, jak to obejít, existují, nicméně to je na samostatný článek a s manželkou jsme se shodli, že je snad lepší nechat se vytopit, než tohle

Kdybych byl paranoidní, tak bych fungování a filozofii Tuya zařízení označil za cílený business plán. Když se podíváte na množství „Powered by Tuya“ zařízení na aliexpressu všeho druhu a ty příznivé ceny, nechci si ani představit důsledky toho, jak to ve světě dopadne, pokud se Čína nas*ere…

No a příští týden snad už pozitivně u třetí části

The post Rizika nevedou jen přes fotovoltaiku, stačí Vám „Powered by Tuya“ zařízení za pár stovek appeared first on VIRY.CZ.

Carriers claim real culprits are getting away with it - the data brokers

The FCC on Monday fined four major US telcos almost $200 million for "illegally" selling subscribers' location information to data brokers.…

Third of a million developer accounts kiboshed, too

Google says it stopped 2.28 million Android apps from being published in its official Play Store last year because they violated security rules.…

Canadian stores shuttered 'until further notice'

Updated  Canadian pharmacy chain London Drugs closed all of its stores over the weekend until further notice following a "cybersecurity incident."…

Finance minister says government has interests in IT giant's 'sovereign activities'

The French government has tabled an offer to buy key assets of ailing IT giant Atos after the company late last week almost doubled its estimate of the cash it will need to stay afloat in the near future.…

New laws mean vendors need to make clear how long you'll get updates too

Smart device manufacturers will have to play by new rules in the UK as of today, with laws coming into force to make it more difficult for cybercriminals to break into hardware such as phones and tablets.…

Ad tech rewrite to replace web cookies still not to regulatory taste

The UK Competition and Markets Authority (CMA) still has privacy and competition concerns about Google's Privacy Sandbox advertising toolkit, which explains why the ad giant recently again delayed its plan to drop third-party cookies in Chrome until 2025.…