Ha valamely Linux kiadást használod és a Samba alkalmazás is telepítve van, akkor a Samba-t mindenképpen frissítsd (amúgy is frissíted a rendszered, ugye? tehát ez automatikus .. lenne), de egy leírással segítek is (vagyis a veszély itt is fennáll - ez egy hír is egyben):
http://linux.network.hu/blog/linux-klub-hirei/wanna-cry-samba-javitas

Válasz

EternalRocks – A WannaCry elbújhat mellette (2017.05.26.)

A közismert kiberbiztonsági szakértő, Miroslav Stampar egy olyan kártevőt fedezett fel, ami bár számos szempontból hasonlít a hírhedt WannaCry zsarolóvírusra, annál jóval komolyabb és veszélyesebb. Az EternalRocks tulajdonképpen az SMB protokoll egész jövőhét fenyegeti.

A DoomsDayWormként is emlegetett hálózati féreg a WannaCry-jal ellentétben nemcsak az SMBv1 protokollverziót támadja és nemcsak két NSA-exploitot (EternalBlue és DoublePulsart) használ, hanem mindjárt hetet, amikkel félelmetesen hatékony szörnyeteggé válik.

-- EternalBlue — SMBv1 exploit tool
-- EternalRomance — SMBv1 exploit tool
-- EternalChampion — SMBv2 exploit tool
-- EternalSynergy — SMBv3 exploit tool
-- SMBTouch — SMB reconnaissance tool
-- ArchTouch — SMB reconnaissance tool
-- DoublePulsar — Backdoor Trojan

Folytatás:
https://androbit.net/news/6863/eternalrocks_a_wannacry_elbujhat_mellette.html

Válasz

Vita a Windows XP támogatásáról
https://itcafe.hu/hir/microsoft_windows_xp_tamogatas.html
itcafe.hu | 2017-05-19 | Forrás: Financial Times

Habár a biztonsági szakma nagy része támogatja a Microsoft gyakorlatát, akadnak bőven kritikus hangok.

A Financial Times egy meglehetősen provokatív hangú tudósítást közölt, melynek lényege, hogy ha a Microsoft nem a jelenlegi támogatási modelljét alkalmazná, hanem nagyobb gondot fordítana a régi rendszerek ingyenes támogatására, akkor a múlt héten indult zsarolóvírus-kampány kevesebb kárt okozott volna.

A mostani, bevallott és felvállalt támogatási rendszer alapelve, hogy egy üzleti és biztonsági szakemberek által megállapított időtartam után csak korlátozott támogatás jár a korábbi rendszerekre, majd amikor ez is lejár, akkor a szoftverek csak akkor kapnak újabb biztonsági frissítéseket, ha a felhasználó külön, gyakran meglehetősen magas díjat fizet ezért a szolgáltatásért. Mindennek az a célja, hogy az ügyfeleket a biztonságosabbnak ítélt újabb szoftververziók felé tereljék.

Kétarcúság

Ugyanakkor a Times által megszólaltatott szakértők egy része kritikusan szemléli ezt a gyakorlatot. Egyrészt túl erőszakosnak találják azt, ahogy a Microsoft folyamatosan újabb és újabb – kétségtelenül biztonságosabb – verziók megvásárlására kényszeríti azon ügyfeleit, akik a vállalat termékeiből építik ki rendszereiket. Másrészt ellentmondásosnak érzik azt a gyakorlatot, amit a Microsoft a Windows 10 operációs rendszerrel kezdett meg, nevezetesen azt, hogy extra díjért extra biztonsági szolgáltatásokat kínálnak, ám ez azt jelenti, hogy az ezért nem fizető ügyfelek szoftverei sebezhetőbbek maradnak. Egy szakértő, Michael Cherry szerint ilyen szétválasztásnak (melyhez nagyon hasonlít az a megosztottság, ami a régebbi és az újabb rendszerek támogatottsága között van) nem lenne szabad léteznie: ő úgy véli, minden Windowsnak ugyanolyan szintű biztonsági támogatást kellene kapnia, plusz díj fizetése nélkül. Az, hogy a Microsoft a WannaCry jelentkezésekor valóban gyorsan és ingyenesen kiadott egy biztonsági frissítést a már nem támogatott rendszerekre, épp azt bizonyítja, hogy meg tudnák ezt tenni más esetekben is. Cherry azért is kritizálja a Microsoftot, hogy amikor elkészítették a javítást a WannaCry terjedését lehetővé tevő sebezhetőségre márciusban, akkor a régebbi gépekre nem adták ezt ki, holott tisztában lehettek a kockázattal.

Az is nagy gond, hogy azok a szervezetek, melyek most nagy számban estek áldozatul a zsarolóvírus támadásának, egyrészt nehezen váltanak rendszereket – anyagi okokból is, de felmerülhetnek más szempontok is: mindenesetre ez egy létező helyzet –, másrészt az extra támogatás gyakran ezer dolláros eszközönkénti díját nem tudják vagy nem akarják kifizetni: így történt ez a brit egészségügynél is, ahol egy idő után lemondták. Az Endpoint Technologies egy elemzője úgy véli, az árazást érintő kritika nagyon hasonlít arra, amit a gyógyszergyártókkal szemben szoktak megfogalmazni, mely szerint gátlástalanság az életmentő gyógyszereket olyan magas áron adni, hogy csak a gazdagok tudják megfizetni, hiszen így a Microsoft több bevételhez jut az XP extra támogatási díjaiból, mint annak idején a szoftver értékesítéséből. Egy megkérdezett amerikai volt kormányzati tisztviselő szerint sem elfogadható az, hogy ha a vállalat kiadott valamikor egy hibás terméket, akkor nem a javítást vállalja, hanem új vásárlására kényszeríti a vevőt.

Újat és jobbat

Más szakértők, és ők vannak többen, viszont védik a Microsoft gyakorlatát, és helyesnek tartják azt, hogy az árazással igyekeznek a felhasználókat az újabb, sokkal biztonságosabb rendszerek felé irányítani.

A Microsoft csak röviden válaszolt a kritikákra, és közleményükben elmondják, hogy széles körű a szakmai konszenzus abban, hogy a legjobb védelem az, ha olyan modern, korszerű rendszereket használnak az ügyfeleik, amelyekben olyan biztonsági megoldások is szerepelnek, amelyeket a régebbi szoftverek készítésekor még nem is ismertek: ezt a régi rendszerek nem képesek biztosítani, akármennyire is frissítik őket – vagyis a toldozás-foldozás helyett az új ruha beszerzésére biztatnak.

Válasz

Friss képernyőkép - 2017.05.18.
https://androbit.net/ContentUploads/M3383/jelenleg_ezek_a_kartevok_tamadjak_magyarorszagot_591d6f80d271e.jpg
a Symantec DeepSight Intelligence rendszeréből: ez a Global Intelligence Networkből kinyert adatok alapján jeleníti meg az elmúlt 1 és 24 órában észlelt kibertámadásokat.

Mint azt láthatjuk, Magyarország ellen az elmúlt 1 órában 943 támadást indítottak, a 24 órás összesítésnél viszont már 10 ezret megközelítő számot látunk – és ezek csak a Symantec által detektált támadások. A Microsoft SMB sebezhetőséget kihasználó WannaCry zsarolóvírus sem akar eltűnni, míg mindig rengeteg kár írható a számlájára.
... https://androbit.net/mini/3383/jelenleg_ezek_a_kartevok_tamadjak_magyarorszagot.html

Forrás
https://www.symantec.com/services/cyber-security-services/deepsight-intelligence

Válasz

Itt követheted élőben a WannaCry zsarolóvírus támadási kísérleteit - 2017.05.15.

Az elmúlt fél órában (2017. 05. 15.) ismét nagyobb támadási intenzitásra kapcsolt a hírhedt WannaCry zsarolóvírus, ami a múlt péntek este folyamán több száz szervezet digitális dokumentumait ejtette túszul, köztük magyar cégekét is.

Az eseményeket a malwaretech.com-on kísérhetjük figyelemmel,
https://intel.malwaretech.com/WannaCrypt.html
ahol az éppen detektált támadási kísérleteket láthatjuk. Az eset jó példája annak, hogy az informatikai biztonságot sokszor még a legfontosabb helyeken sem kezelik kellő prioritással, veszélyeztetve személyes adatokat, de akár emberéleteket is.
... https://androbit.net/mini/3370/itt_kovetheted_eloben_a_wannacry_zsarolovirus_tamadasi_kiserleteit.html

Válasz

A ThunderCrypt elengedte a váltságdíjat egy alacsonyabb jövedelmű áldozatának - 2017.05.18.

Tudjuk, hogy már a csapból is a zsarolóvírusok folynak, de hát miért is ne folynának, mikor felhasználók 100 ezer számra esnek áldozatul, még a körültekintőbbek közül is. Most viszont egy már-már komikus esetet mutatott be a The Hacker News.

Történt ugyanis, hogy a rendkívül „áldozatbarát” ThunderCrypt ransomware egyik áldozata azt írta a kártevőt terjesztő kiberbűnözőknek, hogy csupán 400 dollárt (111 ezer forintot) keres havonta és reméli, hogy nem akarják ezt tenni vele. A bűnözőket meghatották a sorok, ezért az áldozatnál automatikus visszaállítás üzemmódba állították a kártevőt, hogy az ingyen, a váltságdíj kifizetése nélkül visszaállítsa a titkosított dokumentumokat, fotókat és videókat. Nagyon megható…
... https://androbit.net/mini/3384/a_thundercrypt_elengedte_a_valtsagdijat_egy_alacsonyabb_jovedelmu_aldozatanak.html

Forrás
https://twitter.com/Swati_THN/status/865183919188066306

Válasz

Kiderült, hogy a Windows SMB sebezhetőséget kihasználó ransomware maga is egy sérülékenységben szenved, ugyanis a felhasznált memória felszabadítása előtt nem törli ki a memóriából a titkosításhoz és visszafejtéshez generált kulcspárt, így az (korlátozott ideig, de) a memóriában marad. Bár a Windows Crypto API által okozott hibát a Windows 10-ben már javították, a Windows XP, a Windows 7, a Windows Vista, a Windows Server 2003 és 2008 rendszereken visszaállíthatóak a fájlok az ingyenes WannaKiwi segítségével. – Már elővigyázatosságból is érdemes letölteni a programot, ugyanis a támadás után minden egyes kattintás növeli annak az esélyét, hogy a rendszer felülírja a kulcsot a memóriában.
... https://androbit.net/mini/3388/ingyen_visszaallithatoak_a_wannacry_altal_tuszul_ejtett_fajlok.html

Forrás
https://github.com/gentilkiwi/wanakiwi/releases

Válasz

[Frissítve] Wannakey - Wannacry in-memory key recovery for WinXP
https://hup.hu/cikkek/20170519/wannakey_wannacry_in_memory_key_recovery_for_winxp
hup.hu | 2017. május 19.

Azok a Windows XP felhasználók, akik beszívták a WannaCry-t és a fertőzés óta még nem indították újra a gépüket, esélyt kaphatnak a fájljaik eredeti állapotának visszaállítására a Wannakey eszköz jóvoltából. Az eszköz megpróbálja a WannaCry RSA privát kulcsának prímjeit kibányászni a memóriából. Az eszköz igazoltan csak Windows XP-n működik, köszönhetően annak, hogy a Windows XP nem takarítja a memóriát annyira akkurátusan (tkp. sehogy), mint például a Windows 10.


Idézet:

This software allows to recover the prime numbers of the RSA private key that are used by Wanacry.

It does so by searching for them in the wcry.exe process. This is the process that generates the RSA private key. The main issue is that the CryptDestroyKey and CryptReleaseContext does not erase the prime numbers from memory before freeing the associated memory.

This is not really a mistake from the ransomware authors, as they properly use the Windows Crypto API. Indeed, for what I've tested, under Windows 10, CryptReleaseContext does cleanup the memory (and so this recovery technique won't work). It can work under Windows XP because, in this version, CryptReleaseContext does not do the cleanup.


Az eszköz letölthető a GitHub-ról:
https://github.com/aguinet/wannakey
Az eszközt Adrien Guinet, a francia Quarkslab biztonsági szakértője adta ki.


Frissítés: Közben kiadtak egy Wanakiwi nevű eszközt is,
https://github.com/gentilkiwi/wanakiwi/releases
amellyel az XP mellett akár Windows 7, Windows Vista, Windows Server 2003 és 2008 rendszereken is szerencsét próbálhatunk.

Válasz

A kibertámadások nemzetközi jogi aspektusai
https://hup.hu/node/153525
hip.hu | 2017. május 12.

2017. május 08-án a Pázmány Péter Katolikus Egyetemen tartott workshop rendezvényt a Doktoranduszok Országos Szövetségének Hadtudományi osztálya A kibertámadások nemzetközi jogi aspektusai címmel. Az előadás meghívott vendégei Dr. Lattmann Tamás az NKE docense, nemzetközi jogász; Ádány Tamás a PPKE docense, nemzetközi jogász; Krasznay Csaba a Kiberbiztonsági Akadémia igazgatója és Török Szilárd hacker, egykori NISZ IT biztonsági igazgató voltak.

A beszélgetés témája napjaink egyik legfontosabb kérdésére fókuszált, mely szerint egy kibertámadás esetén milyen bizonyítékok állhatnak rendelkezésre annak érdekében, hogy a támadás felelősei pontosan beazonosíthatóak és felelősségre vonhatóak legyenek. Megtudhattuk, hogy a kibertámadások esetén nagyon nehéz, sőt szinte lehetetlen olyan közvetlen bizonyítékokat felmutatni, ami helytálló és bizonyító erejű lenne az igazságszolgáltatás előtt. Az ilyen jellegű támadások esetében a forrás pontos beazonosítása nagyon nehéz, hiszen a támadók mindig egy másik ország infrastruktúráját használják fel.

A hatékony felderítés egy másik hátráltatója az informatikai szakemberek és a jogászok kommunikációs és szakmai ellentétei. Legtöbb esetben a két szakma képviselői nem tudják megérteni egymást megfelelően. A jogászok kevés informatikai ismerettel rendelkeznek, amit nem tudnak beilleszteni az általuk tanult jogi környezetbe, az informatikusok pedig más megközelítésben elemzik az eseményeket. Ezért is lenne nagyon fontos, hogy a jelenlegi oktatási rendszerben minél több helyen legyen elérhető olyan speciális képzés, ami ezt a két szakterületet megfelelően összehangolja. A jövő egyértelműen azoké, akik képesek megfelelő módon elsajátítani mind az informatikai, mind pedig a jogi szakismereteket. A támadások folyamatos, meredeken emelkedő száma miatt egyre inkább szükség lesz olyan infokommunikációs szakjogászokra, akik az informatikai incidenseket hatékonyan tudják kezelni.

A szakember képzésen felül további lépésként a nemzetközi jogi környezet átalakítása, új nemzetköz egyezmények létrehozása szükséges ahhoz, hogy egyértelműen meghatározható és beazonosítható legyen a felelős, illetve a szankciók milyensége, mértéke. Meg kell határozni azt, hogy egy támadás esetén milyen válaszlépéseket lehet tenni (csak informatikai vagy akár a hagyományos háborús eszköztárat használva). Ezt tulajdonképp hívhatjuk kiberdiplomáciának is, ami teljes mértékben megegyezne és része lenne a jelenleg működő nemzetközi diplomácia rendszernek. Minden ország vezetője kijelölhetne egy kiberdiplomatát, aki ilyen kérdésekben képviselné az országot. A nemzetközi környezet rendbetételén túl az egyes országok saját, belső törvényeit is jelentősen ki kellene bővíteni. Jelenleg sok országban igen elmaradott az informatikai jellegű bűncselekményekkel kapcsolatos jogi definíciók, szankciók, esetek részletes leírása.

Véleményem szerint komolyabb motivációs erővel bírna az is, ha egy kibertámadás esetén a közvetett felelősséget arra az országra is rá lehetne hárítani, akinek a nem megfelelően védett rendszerei miatt a valódi elkövetők kivitelezni tudták a támadásukat. Ennek következményeképp egyrészt az országok sokkal motiváltabbak lennének abban, hogy minden eszközzel visszaszorítsák az állampolgárok által használt nem kellően biztonságos rendszereket, továbbá növelné az országok közötti együttműködési hajlandóságot is. Mindenképp közös együttműködés szükséges a támadások hatékony visszaszorítása érdekében. Fontos kihangsúlyozni, hogy a közvetett felelősség megállapításánál nem a „vétlen” ország elleni támadásra kell gondolni (hiszen ez visszaélésekre adhat okot), hanem közös segítségnyújtásra az érvényben levő nemzetközi egyezményben foglaltak szerint.

Jól látható tehát, hogy sem a jogi, sem pedig a szakmai környezet nem alkalmas arra, hogy ezeket az újszerű, de rég óta létező és egyre erősödő támadásokat globális szinten kezeljék, szabályozzák. A probléma megoldása tehát rendkívül aktuális, ha az eseményeket szemléljük, már így is egy elkésett válaszlépés.

Írta: Hubert Csaba információbiztonsági szakértő, kibernyomozó

Válasz

A hozzászólásokat érdemes olvasni

"Riasztást adott ki a WannaCry miatt a Kormányzati Eseménykezelő Központ"
https://hup.hu/cikkek/20170513/riasztast_adott_ki_a_wannacry_miatt_a_kormanyzati_esemenykezelo_kozpont
hup.hu | 2017. május 13.

Válasz