Pri podjetju F-Secure so pričeli snemati podcast o računalniški varnosti Cyber Security Sauna.

Prva epizoda govori o tem, kako delujejo protivirusni programi.

Na podcast se lahko naročite preko iTunes ali RSS, več informacij je na naslovu:
https://www.f-secure.com/en/web/business_global/our-approach/cyber-security-sauna

Včeraj so se na spletu pojavila orodja, ki naj bi bila odtujena ameriški Agenciji za nacionalno varnost (NSA) in omogočajo izkoriščanje različnih napak v operacijskem sistemu Windows na postajah in strežnikih.

Microsoft je objavil komentar glede posameznih napak in popravkov zanje:
https://blogs.technet.microsoft.com/msrc/2017/04/14/protecting-customers-and-evaluating-risk/

Nevarna je predvsem napaka v SMB serverju, ki omogoča izvajanje poljubne kode na daljavo, če je možno dostopati do postaje ali strežnika preko SMBv1.

Napaka je bila za podprte operacijske sisteme Windows (Vista SP2, 7, 8.1, 10, server 2008, 2012, 2012 R2, 2016), odpravljena marca 2017 s popravkom MS17-010 (4013389):
https://technet.microsoft.com/en-us/library/security/ms17-010.aspx

Podjetje F-Secure je objavilo poročilo o informacijski varnosti za leto 2017. Vsebuje veliko uporabnih informacij, tako da se ga izplača pregledati.

Nepridipravi po elektronski pošti razpošiljajo različne verzije Word in Excel dokumentov, ki ob odpiranju in aktiviranju izvajanja makrojev zaklenejo dostop do datotek na diskih ter zahtevajo odkupnino.

Ogroženi so predvsem uporabniki, ki imajo opravka z računi, pogodbami, dobavo blaga, saj so zadeve sporočil naprimer "Copy of invoice" (kopija računa) oziroma "Rechnung" (račun), "contract questions" (vprašanja glede pogodbe), "Payment" (plačilo), "tracking documents" (dokumenti za sledenje pošiljke).

Besedilo v sporočilih prejemnika napeljuje, naj odpre pripeto datoteko, saj naj se v njej nahajal neplačan račun, pogodba ki jo je potrebno pregledati, račun za opravljene storitve ali poskeniran dokument.

Če prejemnik dokument odpre v Wordu ali Excelu, se prikaže nečitljiva vsebina in obvestilo, da je za branje besedila potrebno omogočiti izvajanje makro ukazov. Če uporabnik to omogoči, se iz različnih spletnih naslovov prenesejo programi, ki zaklenejo dostop do datotek na disku in zahtevajo plačilo odkupnine.

Uporabnikom elektronske pošte svetujemo te dni še posebno previdnost. Naj ne odpirajo dokumentov, ki jih prejmejo po elektronski pošti, če jih ne pričakujejo. Še posebej pa naj ne omogočajo izvajanja makrojev.

Varnostne rešitve F-Secure dokumente večinoma prepoznajo preko generičnih zaznav (Trojan:W97M/MaliciousMacro).
 

Na spletni strani bleepingcomputer.com so objavili rešitev, ki poizkuša najti kodirni ključ za odkodiranje datotek s podaljški .ECC, .EZZ, .EXX, .XYZ, .ZZZ, .AAA, .ABC, .CCC in .VVV.

Dodano 18.5.2016: Obstajajo tudi orodja za odkodiranje drugih podaljškov:

• TeslaCrypt (nespremenjeno ime ali podaljšek .xxx,.ttt,.micro,.mp3)
• podaljšek .crypt
• kriptiran trdi disk (Petya)

Dodano 15.7.2016

• podaljška .crypz in .cryp1 (UltraDecryptor)

Postopek dekodiranja za .ECC, .EZZ, .EXX, .XYZ, .ZZZ, .AAA, .ABC, .CCC in .VVV je naslednji:

• na disku se kreira nov imenik in vanj razpakira datoteki TeslaDecoder.zip ter yafu.zip.
• odpre se TeslaViewer in z "Browse" poišče eno od zakodiranih datotek. Izpišejo se različne vrednosti, ki jih z "Create work.txt" shranimo v datoteko.
• odpremo datoteko work.txt in poiščemo desetiško vrednost SharedSecret1*PrivateKeyBC v delu dec.
• to vrednost skopiramo na naslov factordb.com in poiščemo nasprotno vrednost.
• če za vrednost že obstaja ustrezna nasprotna vrednost, se pred rezultatom izpiše status FF.
• če se izpiše CF, poženemo še tuneX86.bat (32-bitni računalniki) oziroma tuneX64.bat (64-bitni računalniki). Proces traja nekaj minut. Ko program konča z delom, poženemo še factorX86.bat (32-bitni računalniki) oziroma factorX64.bat (64-bitni računalniki), skopiramo desetiško vrednost SharedSecret1*PrivateKeyBC in v "Amount of Threads" število jeder našega računalnika zmanjšano za 1 (koliko jih imamo izvemo, če odpremo "Upravitelj opravil"/"Task manager", "Učinkovitost delovanja" in spodaj pogledamo vrednost "Jedra"). Program bo pričel izračunavati vrednosti, postopek lahko traja od nekaj sekund do nekaj dni.
• vrednosti iz naslova factordb.com (če je vrednost skrajšana - ima podpisano dolžino, npr <43>, kliknemo nanjo da dobimo celotno) oziroma vrednosti, ki smo jih dobili s pomočjo programa Yafu, vnesemo v program TeslaRefactor po eno na vrstico (samo vrednosti desno od enačaja, če smo jih računali s programom Yafu), v polje "Public key (hex)" pa skopiramo vrednost PublicKeyBC.
• s tipko "Find private key" poizkusimo najti dekodirni ključ. Če postopek ni uspešen, odstranimo kljukico pri "Optimization" in ponovno poizkusimo.
• če se je v polju "Private key (hex)" izpisala vrednost, odpremo program TeslaDecoder, kliknemo na "Set Key" in vrednost skopiramo v polje "Key (hex)". Pod "Extension" izberemo podaljšek, ki so ga dobile kriptirane datoteke.
• z "Decrypt Folder" izberemo mapo, v kateri se nahajajo kriptirane datoteke. Pojavi se okno, če želimo pobrisati zakodirane datoteke ("Do you want to delete original encrypted files after decryption?"). Priporočamo, da tukaj izberete "Ne". Program bo sedaj dekodiral datoteke v mapi. 
• če je bil postopek dekriptiranja uspešen, se v mapi sedaj nahajajo odkodirane datoteke z originalnimi podaljški.

F-Secure Client Security je že četrto leto zapored s strani neodvisnega inštituta za testiranje varnostnih rešitev av-test.org prejel nagrado za najboljšo zaščito za podjetja.

F-Secure je pričel testirati novo varnostno rešitev - F-Secure Freedome antivirus za Android naprave.

Aplikacija z uporabo oblaka preverja, kaj je nameščeno na mobilni napravi in opozarja na morebitne problematične programe. Preverjanje deluje tako, da se preko oblaka preverijo kontrolne vrednosti posamezne aplikacije. Zaradi tega je samo pregledovanje izredno hitro, hkrati pa so morebitne problematične aplikacije lahko takoj dodane na seznam nevarnih. Pregledovanje se trenutno izvaja le takrat, ko je naprava povezana v WiFi omrežje.

Če imate napravo, na kateri teče Android 4.0.3 ali kasnejši, lahko tudi sami sodelujete v beta testiranju.

Postopek:

1. Na naslovu https://groups.google.com/forum/#!forum/f-secure-freedome-antivirus-beta
izberete "Pridruži se skupini".
2. Obiščite povezavo
https://play.google.com/apps/testing/com.fsecure.freedome.vpn.security.privacy.android.antivirus
in izberite "Postanite preizkuševalec".
3. Zatem izberete povezavo za prenos preko Play Store
4. Izbere se namestitev na napravo

Morebitne komentarje glede delovanja se lahko pošlje (v angleškem jeziku) na naslov [email protected]. 10 najbolj aktivnih uporabnikov bo prejelo nagrado.

Hvala za sodelovanje.

Po elektronski pošti so danes nekateri uporabniki prejeli sporočila z različno vsebino, ki vsebujejo Word priponko.

Primer sporočila (navidezna rezervacija hotelske sobe):

»Zadeva: rooms reservation

Dear Hotel Manager,

I would like to reserve accommodation for 5 single rooms in your hotel for 7 nights for 5 guests.

Arrival date will be on 16 September.

List any special requirements attached to letter.

Thank you for your prompt attention to the above, I look forward to receiving a letter confirming my reservation.

Kind Regards«

Sporočilu je pripeta datoteka requirements.doc:

Word že nekaj časa privzeto ne dovoli izvajanja makrojev. Zato so nepridipravi v dokumentu napisali zgolj navodila, kako se dovoli izvajanje makrojev:

Če prejemnik dovoli izvajanje makrojev, s tem sproži trojanskega konja. Dokument se zato samo zapre in sporočilo pobriše.

Po elektronski pošti se danes širi sporočilo, namenjeno kraji gesel.

Sporočila z zadevo »IMPORTANT« vsebujejo besedilo:

»Hi,

Please refer to the document I've shared with you using Google Drive App

(povezava na spletno stran)

It's very important !«

Lažna spletna stran izgleda kot prijava v predal elektronske pošte različnih ponudnikov.

Uporabniki, ki so morda svoje podatke na stran že vpisali, naj čimprej spremenijo geslo svojega poštnega predala in s tem onemogočijo zlorabo svojega predala. Prav tako naj preverijo morebitne nastavitve preusmeritev elektronske pošte in vsebino samodejnega odgovora o odsotnosti.

Vsi, ki so sporočilo prejeli od znanega pošiljatelja, pa naj jo čimprej obvestijo (najbolje po telefonu), da je bil njihov poštni naslov zlorabljen in jim predlagajo spremembo gesla.

Protivirusne rešitve F-Secure dostop do spletne strani že blokirajo.

Brezplačna aplikacija uporabnikom pametnih telefonov in tablic z operacijskim sistemom Android omogoča, da na enostaven način preverijo, do česa imajo nameščene aplikacije dostop.

To lahko naredijo za posamezno nameščeno aplikacijo, ali pa preverijo, katere aplikacije imajo dostop do posameznih podatkov (naprimer, kateri programi lahko preverjajo natančno lokacijo uporabnika, v katero brezžično omrežje je povezan, berejo kontakte iz njegovega imenika ali prejeta in poslana SMS sporočila).

Aplikacija je na voljo na Google Play pod imenom F-Secure App Permissions.

Kot zanimivost, aplikacija za svoje delovanje ne potrebuje dostopa do nobenih podatkov o uporabniku, kar je pravzaprav izjemna redkost.

Med aplikacijami, ki zahtevajo dostop do največ podatkov, je Facebook za Android. Zahteva namreč dostop do kar 50 različnih podatkov.

Vrhunski strokovnjak za računalniško varnost, Mikko Hypponen, vodja raziskovalcev pri podjetju F-Secure, je imel spletno predavanje o informacijski varnosti.

Posnetek predavanja:

Poročilo o informacijski varnosti v prvi polovici leta 2013 lahko snamete tudi v PDF datoteki.

Dodatki oziroma vtičniki za spletne brskalnike (Java, Adobe Flash) so v zadnjem času med najpogostejšimi vzroki za okužbo računalnikov med obiskovanjem spletnih strani.

Nove verzije brskalnikov Chrome in Firefox omogočajo, da vklopimo izvajanje vtičnikov na zahtevo, torej da se ne izvedejo samodejno, temveč šele po potrditvi uporabnika.

Google Chrome

V brskalniku Chrome se v naslovno vrstico vpiše "chrome://settings/content" in poišče nastavitve vtičnikov:

Izbere se "Kliknite za predvajanje". Spletne strani odslej vsebino prikazujejo šele po kliku:

Chrome na vsaki strani, ki vsebuje dodatke, na koncu naslovne vrstice prikaže znak, preko katerega lahko za določeno stran dodatke vseeno dovolimo za trenutno sejo - "Tokrat zaženi vse vtičnike", ali pa trajno, če označimo "Vedno dovoli vtičnike":

Firefox

V brskalniku Firefox se v naslovno vrstico vpiše "about:config" in v Iskanje "plugins". V vrstici "plugins.click_to_play" se nastavi vrednost na "true".

Odslej se na straneh, ki za prikaz uporabljajo dodatke, prikaže obvestilo:

Vsebina se dejansko prikaže šele potem, ko uporabnik klikne v del ekrana in s tem vtičniku dovoli izvajanje.

Ob obisku spletnih strani se v vrstici z naslovom se pojavi lego kocka, ki omogoča nastavitev trajnega vklopa vtičnikov na posamezni spletni strani.

F-Secure Client Security 10

Podprti so naslednji operacijski sistemi:

• Windows XP z SP3 (32-bit)
• Windows Vista, Windows Vista SP1 ali novejši (32-bit/64-bit)
• Windows 7, Windows 7 SP1 ali novejši (32-bit/64-bit)
• Windows 8 (32-bit/64-bit)

Novosti:

• podpora za Windows 8
• DeepGuard različica 4 - naprednejše tehnike analize obnašanja za še učinkovitejšo zaščito.
• Nov Browsing protection in Web traffic scanning - bazira na Network interceptor framework za zagotavljanje boljše zaščite spletnega brskalnika.

Dodatne informacije najdete tukaj:

http://download.f-secure.com/webclub/cs1000-rtm-release-notes.htm

F-Secure Policy Manager 10.10

Različica Policy Manager 10.10 je namenjena naslednjim operacijskim sistemom:

• Windows Server 2003
• Windows Server 2008
• Windows Server 2008 R2
• Windows Server 2012

Večje spremembe:

• Podpora novim Windows sistemom
• Podpora novim različicam Policy Manager klientov

Dodatne informacije so na voljo tukaj:

http://download.f-secure.com/webclub/fspm-1010-releasenotes.pdf

Večina napadov na računalnike dandanes poteka preko varnostnih lukenj v programih in operacijskih sistemih. F-Secure je v svojo varnostno storitev za majhna in srednja podjetja F-Secure Protection Service for Business dodal možnost samodejnega nadgrajevanja operacijskega sistema in aplikacij.

Izkoriščanje ranljivosti v različnih programih je postalo najpogostejši način napadov na računalnike. Več kot 80% novih škodljivih programov se poizkuša namestiti po tej poti.

“Programska oprema predstavlja vhodna vrata v računalnik,” je povedal Sean Sullivan, svetovalec za varnost pri F-Secure Labs. “Zastareli programi na široko odpirajo vrata za različne vrste napadov. Povprečno od objave popravkov do prvih poizkusov izkoriščanja ranljivosti minejo zgolj trije dnevi.”

Najboljša zaščita je uporaba zadnjih verzij vseh programov, od operacijskih sistemov, do aplikacij in spletnih brskalnikov. Vendar skrb za spremljanje obvestil in nameščanje svežih verzij programske opreme vzame veliko časa, zato mnogi na ta opravila pozabijo.

Rešitev poskrbi za potrebe podjetij

Software Updater z rednim preverjanjem in samodejnim nameščanjem manjkajočih popravkov skrbi, da so operacijski sistemi in aplikacije na vseh računalnikih v podjetju posodobljene. Če želijo, lahko posodobitve uporabniki nameščajo tudi ročno.

“V večini primerov uporabniki niti ne vedo, da obstajajo popravki za programe, ki jih uporabljajo. To predstavlja veliko grožnjo podjetjem,” je povedal Esa Tornikoski, produktni vodja pri podjetju F-Secure. “V primerjavi z ostalimi rešitvami Software Updater posodobitve namešča proaktivno.”

Trenutno najbolj celovita varnostna zaščita na trgu

F-Secure Protection Service for Business je trenutno najbolj celovita zaščita majhnih in srednjih podjetij pred različnimi grožnjami. Podjetja ščiti pred različnimi grožnjami, od škodljivih programov in vohunskih programov, do zaščite pred neželeno in okuženo pošto. Vsebuje tudi požarni zid in zaščito za strežnike.

Software Updater je del F-Secure Protection Service for Business (ni potrebno doplačilo). Obstoječi uporabniki lahko že snamejo novo verzijo PSB, ki vsebuje to funkcionalnost.
 

Občasno uporabniki po elektronski pošti prejmejo obvestilo o novem škodljivem programu. Pri takih sporočilih gre pogosto za lažna oziroma izmišljena obvestila.

Kako ponavadi izgledajo lažna obvestila o virusih?

• veliko vrstic z elektronskimi naslovi prejemnikov
• veliko citiranja (znaki "> >" na začetku vrstic)
• besedilo, podobno reklamnim sporočilom (spam-u)
• poveličevanje zmožnosti programa
• navajanje velikih podjetij - Microsoft, AOL, ... (ki ponavadi ne vedo nič o tem)
• navajanje nemožnih/neverjetnih tehničnih možnosti
• običajno vedno piše, da se je škodljivi program pojavil "včeraj"
• prejemnika pozivajo, naj obvestilo pošlje naprej
• BESEDILO JE NAPISANO S SAMIMI VELIKIMI ČRKAMI IN VELIKO KLICAJI!!!

Tovrstna sporočila je najbolje pobrisati, saj povzročajo samo zmedo in tratenje časa.

Ob vsakih olimpijskih igrah se naprimer pojavi obvestilo o neobstoječem virusu "Olimpijska bakla".

Primeri obvestil o škodljivih programih, ki dejansko sploh ne obstajajo:

Zadeva: FW: Pomembno sporočilo- pazite se novega virusa!

POZOR!!!!

Prihaja nov virus poimenovan WOBBLER. Prenaša se po e-mailu z naslovom
CALIFORNIA.
IBM in AOL sta sporočila, da je nevarnejši kot MELISSA, saj zbriše vse
informacije s hard-diska ter uniči Nescape Navigator in Microsoft
Internet Explorer.

Virus je shranjen v filu "WIN A. HOLIDAY", zato slednjega pod nobenim
pogojem ne odpirajte. File nemudoma zbrišite.

Omenjeno sporočilo posredujte naprej do čimveč poznanih uporabnikov
e-maila. Namreč, zelo malo uporabnikov je seznanjenih z omenjenim
virusom, kajti Microsoft je omenjene informacije posredoval šele pred
dvema dnevoma.

Zadeva: POZOR-VIRUS

>>Pomembno: preberi in poslji naprej!
>>
>>Ce dobite elektronsko posto z naslovom "JOIN CREW/ PENPALS", je ne
>>odpirajte!!! Unicila bi lahko katerikoli dokument na vasem trdem isku!!
>>Gre za nov virus, ki ga poznajo redki. Informacija neposredno od IBM-a.
>>PENPAL izgleda kot prijateljsko pismo, vendar ko ga preberete, je ze
>>prepozno! Virus medtem ze unici BOOT SECTOR vasega hard diska in vse
>>podatke, ki so v njem. Gre za samopomnozevalni virus, ki se, ce ga odprete,
>>avtomaticno odposlje na vse elektronske naslove, ki so v vasem imeniku.
>>Njegov namen je uniciti vas trdi disk in trdi disk vseh oseb, ki so v vasem
>>imeniku, ter tako naprej!!!
>>TOREJ: Ce dobite katerokoli sporocilo (mail) z naslovom PENPAL ali JOIN
>>THE CREW, ne odpirajte (odstranite ga na trajen nacin tudi iz kosa
>>elektronske poste!!!). Ta virus lahko ustvari nepopravljivo in ogromno skodo
>>na elektronskem omrezju.
>>PROSIMO, CE POSLJETE NAPREJ TO SPOROCILO VSEM OSEBAM, KATERIH NASLOV IMATE
>>TER VSEM VASIM PRIJATELJEM.
>>PO MNENJU AOL GRE ZA ZELO MOCAN VIRUS, ZA KATEREGA NE OBSTAJA ZASCITA.
>>POSLJITE GA CIMPREJ VSEM OSEBAM ON-LINE.

Zadeva: Virus Warning!!!!!

If you receive an email titled "It Takes Guts to Say 'Jesus'" DO NOT open it. It will erase everything on your hard drive. Forward this letter out to as many people as you can. This is a new, very malicious virus and not many people know about it. This information was announced yesterday morning from IBM; please share it with everyone that might access the internet. Once again, pass this along to EVERYONE in your address book so that this may be stopped.

Zadeva: Nov virus - pazite na to....

Prosim vas, bodite posebno pozorni če uporabljate tele email naslove:
YAHOO, AOL, HOTMAIL, GMAIL
To informacijo so poslali Microsoft in Norton.

Pošljite to vsem ki jih poznate in uporabljajo inetrnet.
Lahko boste dobili e-mail pod naslovom 'Life is beautiful' (življenje je lepo)!!

Če ga dobite , GA NE ODPIRAJTE NITI POD RAZNO, ampak takoj izbrišite.
Če ga boste odprli se vam bo izpisalo beautiful' (Zdaj je že prepozno, tvoje življenje več ni lepo).

Takoj potem boste IZGUBILI VSE KAR IMATE NA RAČUNALNIKU, in oseba
katera vam je poslala bo dobila dostop do vsega , e-mailov in gesel, skratka vsem!

To je virus kateri je zaćel krožiti pred par dnevi. Iz podjetja AOL so
že potrdili da so ga dobili, antivirusni programi pa ga niso v stanju zaznati in izbrisati.

Virus je naredil hacker kateri se imenuje 'life owner' (GOSPODAR ŽIVLJENJA)

PROSIM VAS DA TO POŠLJETE VSEM PRIJATELJEM IN JIH PROSITE DA JIH POŠLJEJO DALJE

Zadeva: NUJNO PREBERI, PREDEN IZGUBIŠ VSE PODATKE - TUDI BANČNE !!!!!!!! (NOV VIRUS)

Ta informacija je prišla v soboto, neposredno od Microsofta, kot tudi od
Nortona.

Pošljite, ga vsem za katere veste, da imajo dostop do interneta.

Morda boste prejeli na videz neškodljiv e mail z Power Point predstavitvijo
"Življenje je lepo" in e-pošto z navodil - Imam vašo lepo sliko o vas!! Ali stojiš tudi na tej sliki!!

NIKOLI ODPRET!
Nekdo, ki se pretvarja, da je (jamiepemie13@živo.com) pride tako do vaše osebne datoteke in vam ukrade vaše bančne podatke. V kolikor dobite tako
datoteko, jo pod nobenim pogojem NE ODPIRAJTE! TAKOJ JO IZBRIŠITE!

Če odprete to datoteko, se prikaže sporočilo na zaslonu z izjavo: "To je zdaj prepozno, tvoje življenje ni več lepo."
Potem ste izgubili vse, kar je na vašem računalniku. Oseba je poslala to pismo z namenom, da si pridobi dostop do vašega imena, e maila in gesla!

To je nov virus, ki je začel krožiti v soboto popoldan.

AOL je že potrdil, da tudi anti-virus programi ne morejo uničiti tega virusa.

Virus je ustvaril hacker, ki je samega sebe poimenoval "življenje lastnika" kliče.

Pošlji kopijo tega sporočila vsem svojim prijateljem in jih prosi, da jo TAKOJ pošljejo naprej!

(Boljše 1x več posredovati ali prejeti, kot pa prepozno!.... )