На 22 Май 2007 г. доц. д-р Стефан Дражев ще участва в конференция на Националните Контактни Лица (като представител на ИУ-Варна) в Седма Рамкова Програма на страните-членки на Европейския Съюз в областта на ИКТ, Брюксел, Белгия.
В компютър MacBook Air бе проникнато за по-малко от две минути в
състезание, наречено PWN TO OWN, във Ванкувър, Канада ( Vancouver / Canada ). Странната
надпревара беше в рамките на деветата международна конференция за
цифрова безопасност CanSecWest, която завърши днес.
Apple MacBook Air с операционна система OSX 10.5.2 беше първият лаптоп,
който беше предложен за проверка на негована устойчивост. Другите
кандидати бяха VAIO VGN-TZ37CN под Ubuntu 7.10 и Fujitsu U810 с
операционна система Vista Ultimate SP1.
Предложението на организаторите на конференцията беше участниците да
получат ноутбука, в който са успели да проникнат, както и 10 000 долара
награда. Условието било “състезателите” да прочетат указан файл на
компютъра, като използват 0day уязвимост.
Първото място спечели Чарли Милър. Той е известен и като участник в отбора по взломяване на iPhone.
Linux – единствената нехакната OS на PWN 2 OWN
Macbook Air отне 2 минути, Vista SP1 2 дни на хакерите, Linux оставен на мира
На състезанието за хакери PWN 2 OWN в рамките на конференцията по
цифрова безопасност във Ванкувър, стана ясно, че Macbook Air може да
бъде хакнат за 2 минути по интернет. Организаторите бяха предоставили няколко машини с различна операционна
система, които ако бъдат хакнати, остават за сторилите го. Освен това
победителят Чарли Милър взе и 10 000 долара.
Единствената машина която останала незасегната била Sony VAIO,
вървящ на Linux. Компютърът, работещ на Vista отнел 2 дни работа преди
да бъде хакнат, но в крайна сметка Шейн Макалуей и няколко негови
„сътрудници” са успели със задачата. Шейн и компания са се борили с
новия SP1 на Vista, който засега е най-сигурната версия, показвана от
Microsoft.
Шейн и приятелите му не са били подготвени да се борят с SP1, твърдят
медиите, но машината бе хакната в петък и начинът по който са го
сторили остава в тайна. Единствената светлина хвърлят думите – междуплатформен бъг, който използва Java, за да прескочи защитата на Vista.
Няколко души са открили бъгове в операционната система на заредения с
Linux компютър, но повечето от тях не са имали желанието и ресурсите
(основно времеви) да разработят код, който да се възползва от тях и
чрез него да спечелят конкурса.
Последна промяна ( петък, 04 април 2008 )
Криптирането - нашият личен пазач!
Автор Atanasis
четвъртък, 20 март 2008
Криптирането - нашият личен пазач!
В днешното информационно общество проблемът за сигурността и конфиденциалността на данните
е изключително актуален. Съшествуват множество техники и методи за защита на данните, чрез
така нареченото "криптиране".
Нека научим основите на криптирането и как да го използваме за нашата лична зашита!
Криптография
Криптографията е наука, използваща метематиката, за да криптира и декриптира информация.
Криптографията ни дава възможност да съхраняваме чувствителна информация или да я изпращаме
през несигурни мрежи (например Internet) така, че тя да не може да бъде прочетена от никой, с
изключение на този, за когото е предзначена.
Какво цели информационната защита чрез криптиране?
Криптирането намира приложение в почти всяка наша компютърна и комуникационна дейност.
Негови главни цели са:
Конфиденциалност - не се допуска неауторизиран достъп до съхраняваните криптирани данни.
Цялост на данните - не се допуска промяна на данните от неауторизирани лица.
Идентификация на изпращача - не се допуска изпращане на съобщение от името на друго лице.
Доказване на авторството - ауторизиране, че дадено лице е извършило дадена дейност.
Сигурност на личната Ви информация
Криптирането предоставя възможност за сигурно и надеждно съхранение на информацията от високо значение
за вас на вашия личен компютър. Днес съществуват множество безплатни софтуерни приложения, чрез
които можете да защитите различни видове данни на вашия компютър, като същевременно имате лесен
достъп до тях.
Access Manager
Access Manager е софтуерно приложение за Windows, чрез което можете лесно и сигурно да съхранявате
ваша лична информация като пароли и т.н.. на вашия компютър и само вие да имате достъп до тях.
Приложението има високо ниво на сигурност, информацията се съхранява криптирана, а същевременно
е напълно безплатно и можете да си го изтеглите от Internet и инсталирате от адрес:
http://www.accessmanager.co.uk/
True Crypt
True Crypt е софтуерно приложение за Windows Vista/XP, Mac OS X, и Linux, което ви дава възможност
да криптирате файлове, папки или цели дискови устройства на вашия компютър. По този начин важни
за вас файлове се съхраняват криптирани и никой друг освен вас няма достъп до тях. Можете да създадете
виртуални криптирани дискови устройства, скрити дискови устройства, дори да криптирате информацията
директно на вашите USB/Flash преносими устройства.
Приложението предлага много високо ниво на сигурност на вашите компютърни данни, защитени с различни
видове криптиране. Приложението е напълно безплатно и можете да си го свалите и инсталирате на вашия
компютър от Internet адрес:
http://www.truecrypt.org/
Сигурност при Уеб Сърфиране
В случай, че ползвате електронно банкиране или всякакви други уеб услуги, които изискват високо
ниво на сигурност и конфиденциалност, обърнете внимание дали връзката се осъществява през
криптирания SSL уеб протокол.
В случай, че ползвате уеб базирани електронни пощенски услуги, изберете такъв email провайдер,
който предоставя криптиран достъп до пощата ви през SSL уеб протокола.
В следващата снимка обърнете вниманите на индикаторите, които показват, че ползвате криптирана
връзка с уеб сайта - оградени са с червено.
Сигурност при Email Услугите
В случай, че ползвате електронна поща чрез email клиент инсталиран на вашият компютър или
така наречения POP3 Access, изберете такъв email провайдер, които предоставя криптиран
достъп до POP3 и до Outgoing Mailserver за изпращане на писма.
В следващите две снимките можете да видите примерните настройки за ползване на Gmail
през email клиента Mozilla Thunderbird.
Криптиране в Електронните Комуникации
В днешно време въпросът за сигурността и конфиденциалността на данните в електронните комуникации
е изключително актуален. Разработени са различните методи за осигуряване на тази сигурност и за
постигане на целите на информационната защита.
В този раздел ще се запознаем с различните методи за защита, както и нивото на сигурност,
което те предоставят.
Криптиране със Симетричен Ключ
Криптирането и декриптирането се извършва с един и същ секретен ключ. Конфиденциалност на данните.
Цялост на данните.
Идентификация на изпращача.
Доказване на авторството.
Проблем е надеждното физическо разпространение на секретните ключове!
Криптиране със Публичен Ключ
Криптираната информация със секретния ключ се декриптира само с публичния ключ,
и криптираната информация с публичния ключ се декриптира само със секретния ключ. Конфиденциалност на данните.
Цялост на данните.
Идентификация на изпращача.
Доказване на авторството.
Предимство е лесното и безопасно разпространение на публичните ключове!
Цифров Подпис
Конфиденциалност на данните.
Цялост на данните.
Идентификация на изпращача.
Доказване на авторството.
Последна промяна ( петък, 21 март 2008 )
Какво е Phishing(Фишинг) или "Зарибяване"?
Автор bonimir
неделя, 16 март 2008
Какво е Phishing(Фишинг) или “Зарибяване”?
1. Въведение.
Фишинг-ът е престъпление на новия 21-ви век. И докато престъпниците измислят все по-сложни методи на атака, бизнесът се опитва да защити личните данни на клиентите си и се обръща към експерти за подобряване сигурността на електронните съобщения. За това колко сериозна може да бъде тази измама се съди по това, че с този проблем се занимават авторитетни антивирусни компании като Trend Micro и Symantec.
2. Понятието Фишинг.
Фишингът е вид измама, имаща за цел да получи пари или да открадне ценна лична информация, като номер на кредитна карта, номер на сметка, парола или друга поверителна информация (имена, персонален номер, номер на социалната осигуровка, кредитен лимит и т.н.). Това се осъществява посредством Интернет чрез разпращане на подвеждащи писма по електронната поща, които да насочат потребителя към фалшив уебсайт, имитиращ този на уважавана фирма или институция като банка, компания, издаваща кредитни карти или система за електронни разплащания. Обикновено тези електронни съобщения информират потребителя, че има проблем с банковата му сметка или карта и че ако не обнови личната си информация може да загуби сметката си. С помощта на хипервръзка, която се включва в съобщението потребителя се пренасочва към фалшивия адрес, където след въвеждане на личната си информация, тя бива открадната от създателите на този сайт. С цел фишинг съобщенията да изглеждат по-достоверни в тях се поставя привидно реално изглеждаща хипервръзка отвеждаща към фалшив уебсайт, често пъти съдържащ оригинално лого и информация, взета от реалния сайт. Често се случва придобитите данни да се използват за електронни разплащания или отваряне на сметки например в PayPal. Дори Google бе използван от измамниците под предлог, че потребителите са спечелили награда и за да си я получат трябва да въведат номера на кредитната си карта и всичко това се случва в копие на оригиналния сайт.
3. Препоръки, които да спазвате, за да не станете жертва на фишинг-а.
Бъдете предпазливи към всяко електронно съобщение, съдържащо инструкции свързани със спешното предоставяне на лична и особено финансова информация освен, ако то не е подписано с електронен подпис. Измамниците използват това с цел потребителя да реагира импулсивно. Наличието на общо, а не персонализирано обръщение е също признак за фишинг съобщение. Не използвайте хипервръзки от електронни съобщения или чатове, ако се съмнявате в автентичността на съобщението или ако не познавате изпращача. Вместо това се обадете по телефона или влезте в сайта директно като напишете адреса в уеб браузъра си. Избягвайте да попълвате форми в електронни съобщения, изискващи лични финансови данни. Трябва да предавате информация като номера на кредитни карти и такива на сметки само по телефона или използвайки сигурен сайт. Измамниците дори успяват да фалшифицират и https://, което е знак за сигурен уебсайт. Затова изградете си навик да въвеждате ръчно адресите на сайтове на банки, магазини, търгове, сайтове за финансови транзакции, а не да използвате хипервръзки. Другият индикатор за сигурен сайт – жълтият катинар, който виждате в дъното на екрана си, също може да се фалшифицира. Обикновено, когато щракнете два пъти на него се появява сертификата за сигурност на съответния сайт. Ако получите предупреждение, че сертификата не отговаря на адреса на сайта, то не продължавайте напред. Научете се да проверявате за горе посочените идентификатори, тъй като не всеки фишинг сайт ги използва. Също така наблюдавайте на къде ви препраща хипервръзката. Например, ако искате да отидете на сайта на PayPal, адрес от вида http://www.gotyouscammed.com/paypal/login.htm? веднага трябва да ви подсети, че сте жертва на фишинг атака. Инсталирайте инструментална лента на уеб браузъра си. Тази лента постоянно следи на къде сте пренасочвани и проверява дали съответния сайт е в списъка на фишинг сайтовете и ако е така ви известява предварително. Уверете се, че браузърът ви е най-новата версия. По-новите версии на Internet Explorer 7 и на FireFox версия 2 включват такава инструментална лента. EarthLink ScamBlocker е нещо подобно, което е безплатно за всички Интернет потребители и което може да се свали от следния адрес: http://www.earthlink.net/earthlinktoolbar . Редовно влизайте и проверявайте електронните си сметки, не ги оставяйте дълго време без надзор (не повече от месец). Също така проверявайте извлеченията си по банковите сметки, кредитните и дебитните карти, за да са уверите, че всички транзакции са законни. Ако забележите нещо подозрително веднага се свържете с вашата банка или с издателя на вашите карти.
4. Ключови моменти от изследване направено от компанията Trend Micro.
Изследването показва как фишинг атаките, проведени чрез спам кампании, влияят на работата на крайните потребители и от там на тяхната увереност в това, че им е осигурена надеждна защита, както на фирмените, така и на личните данни.
В проведеното изследване са взели участие 1600 специалисти, които нямат пряко отношение към ИТ от САЩ, Великобритания, Германия и Япония. Един от важните резултати е наблюдаването на следната тенденция: много от респондентите в изследването очакват от ИТ подразделенията допълнителна информация и обучение за опасностите от явлението фишинг. Тъй като спамът в много случаи се използва като средство за фишинг атаките, изследователите подчертават необходимостта за предпазване на сътрудниците и по този начин на защита на самите фирми. Съгласно изследването, честотата на фишинг атаките се променя взависимост от размера на компанията и страната. Мишена са не само фирми, но и частни лица, а целта е да се доберат до поверителни лични данни. Работното място винаги се е считало за безопасно място, най-вече защото компаниите инвестират много в защитата си, но фишинг атаките променят тази представа.
Някои любопитни данни: повече от половината (58%) от респондентите са станали жертва на такава атака и са съобщили за нарушения на поверителността на своята лична информация. Една трета от тях заявили, че след откриването на този факт са намалили трудоспособността си и са станали жертва на „кражба на идентичност”. Освен това една пета (21%) от запитаните са съобщили за загуба на фирмени данни. Не учудва фактът, че след такива атаки респондентите са обръщат без никакво колебание към ИТ отделите. Много респонденти упоменават, че техните ИТ подразделения разработват решения срещу фишинг атаки, ефективността на такива мерки обаче е подложена на съмнения от една трета от респондентите във всяка една от страните. Най-голямо е недоверието към тях в Япония. Много от участниците заявяват, че според тях ИТ отделите трябва да обучават служителите за защита от фишинг атаките, като обучението да е средството, чрез което да бъдат избегнати и това обучение да бъде част от културата за поведение в Мрежата на работното място и вкъщи.
5. Методи за анти-фишинг.
Тъй като фишингът се проявява в различни форми, то за неговото предотвратяване е нужно да се използва комбинация от техники и технологии за информационна сигурност. Тези техники и технологии трябва да бъдат приложени на три различни логически слоя: - Ниво клиент – това ниво включва потребителите на компютри. Тук се включват техники като: технологии за защита на настолните системи (антивирусни програми, защитни стени, анти-спам и анти-spyware програми), използване на подходящи по-малко усложнени средства за комуникация, решения за наблюдение на потребителските приложения, заключване настройките на браузъра (деактивиране на pop-up прозорците, на поддръжка на Java и на ActiveX контроли, на всякаква мултимедия и всякакви разширения за автоматично изпълнение, предотвратяване на запаметяване на несигурни “бисквитки”, вместо директно отваряне на документи от браузъра да се осъществи свалянето им в директория за предварителна антивирусна проверка), електронно подписване и верифициране на е-мейлите(S/MIME и PGP), цялостна бдителност по отношение на сигурността. - Ниво сървър – това ниво включва видимите в Интернет бизнес системи и приложения. Защита от фишинг може да се постигне посредством: повишаване бдителността на клиентите, предоставяне на верифицираща информация за официални комуникации, подсигуряване, че уеб приложението е сигурно разработено, използване на стабилни системи за автентикация, поддържане на прости и разбираеми системи за наименуване. - Ниво организация – разпространените технологии и услуги за управление от трети страни. Ключовите стъпки за осигуряване на анти-фишинг защита на това ниво включват: автоматично верифициране на адресите на сървърите изпращащи е-майлите, електронно подписване на е-майл услугите, наблюдаване на корпоративните е-майли и съобщаване за регистрации приличащи на домейна на организацията, подсигуряване на шлюзовете, получаване на услуги от трети страни. Следва да представим и някои нови методи за борба с фишинга: Генератор на еднократна парола - Генераторът автоматично създава еднократни пароли. За достъп до данните си потребителят въвежда в устройството комбинация от символи. Разположеният на другия край на веригата уебсайт на банката използва същия алгоритъм за създаване на парола. Достъп се предоставя тогава, когато паролите съвпадат. Генерираната парола може да се използва само веднъж. Те се използват от много банки в САЩ и Европа, а и от Интернет доставчици от ранга на AOL в САЩ. Проблемът в случая е, че се създават допълнителни разходи за клиентите, на които се налага да купят генератора. Смарт карти - В допълнение към паролата някои банки планират да добавя още един идентификационен процес, включващ използване на карта с микрочип, свързан с компютъра с USB четец. За достъп до електронните данни клиентът не само въвежда парола, но и поставя картата в четящото устройство, свързано с компютъра. В този случай Интернет мошениците не могат да получат достъп до данните на потребителя, освен ако не бъде открадната и самата карта. Криптиране на пароли - Криптирането на пароли е друга мярка за противодействие, препоръчана от работната група за защита от фишинг. Тя предотвратява кражбата на идентификационни данни като добавя към паролата информация специфична за конкретния сайт, където се ползва паролата. Такава система е прозрачна за потребителя, който просто въвежда своята парола в електронната форма на сайта. Браузърът я преобразува и добавя необходимата информация. Следователно уебсайтът не получава паролата, въведена от потребителя. Той получава само „криптираната” парола и взема решение за предоставяне на достъп, използвайки аналогичен алгоритъм за разшифроване, както и собственика на картата. В този случай дори паролата да бъде въведена във фалшив уебсайт, тя е неизползваема. Мобилно потвърждение - При тази система потребителите потвърждават всички свои транзакции от мобилния си телефон. Преимуществото е в това, че транзакцията се извършва едва след като банката получи потвърждение чрез текстово съобщение.
6. Заключение.
Тъй като в днешно време все повече организации предлагат онлайн достъп за клиентите си, то професионалните престъпници, прилагайки фишинг техники, лесно успяват да откраднат личните финанси и да предприемат кражба на самоличност на глобално ниво. Чрез прилагането на трислойния подход към системите си за сигурност (Ниво клиент, Ниво сървър, Ниво организация) организациите могат лесно да управляват технологиите си за защита срещу днешни и бъдещи заплахи, без да разчитат на предложения за подобрение на комуникационната сигурност, който могат да не бъдат въведени за дълъг период от време.
The 10 Biggest Security Risks You Don't Know About
Автор Sunay
сряда, 12 март 2008
The 10 Biggest Security Risks You Don't Know About
1.) Zombie PC Armies Set to Attack Danger level: High | Likelihood: High | Target: Windows users
Botnets were once the province of technically adept criminals who used these remote-controlled armies of infected PCs to send spam, launch Internet attacks, or spread spyware. But now even unsophisticated cyberthugs can generate their own botnet and target your PC, thanks to savvier miscreants who create and sell simple tools for that purpose. Many people have made a business out of building and selling self-contained bot development kits that let potential herders (as individuals who run a botnet are called) direct their own scam. The kits, which cost anywhere from $20 to $3000, permit aspiring criminals to create full-featured botnets and other malicious software, ranging from customizable worms to keyloggers--no techie chops required. "There are tons of [kits]--fifty, sixty, a hundred different ones," says Eric Sites, vice president for research and development at Sunbelt Software, a maker of antispyware programs. Clever Web Controls It gets worse. After building a new bot and sending it out to unsuspecting computer users, the wannabe hacker can use sophisticated command-and-control tools to direct the resulting network easily. Sites's team at Sunbelt, along with the Rapid Response Team at security firm iDefense Labs, has found a new Web-based botnet control they've dubbed Metaphisher. Instead of issuing text commands, herders can use the control's highly graphical user interface, complete with well-designed custom icons and intuitive controls. Point, click, hack. According to iDefense Labs, Metaphisher-controlled bots have infected more than a million PCs worldwide. The command suite even encrypts communications between itself and the bot herder, and relays information about virtually every aspect of infected PCs to the botmaster--including their geographic location, the Windows security patches installed, and the browsers other than Internet Explorer loaded on each PC. All these easy-to-use kits and controls undoubtedly contribute to the huge numbers of bot-infected PCs that law enforcement officials have uncovered during recent criminal investigations. For example, Jeanson James Ancheta, a 21-year-old California man, was recently sentenced to 57 months in prison after pleading guilty to violating the federal Computer Fraud and Abuse Act. He had been running a lucrative criminal enterprise based on a botnet with as many as 400,000 infected systems. And three bot herders arrested in the Netherlands last fall are thought to have controlled a staggering 1.5 million zombie PCs. The low barrier to entry means that even as law enforcement catches some herders, eager newcomers join their ranks every day. "It's amazing how many people get into running botnets just because they see someone else doing it and making money," says Joe Stewart, a senior security researcher at the South Carolina-based firm Lurhq, a provider of managed security services. How It Works: Quick Bot Deployment With Simple Tools 1. A would-be criminal buys a bot-building kit online for a small fee. 2. With no programming skills, the criminal uses his kit to build a new bot not yet known to antivirus makers. 3. The criminal sends his new bot out as an e-mail attachment or plants it on malicious Web sites. 4. The resultant botnet rakes in cash with spam, spyware, and denial-of-service attacks. Defenses 1. Avoid unknown sites and don't click links in unsolicited e-mail. Like most malware, bots tend to be distributed in these ways. 2. Remain suspicious of e-mail attachments, even when a message seems to come from somebody you know. Crooks love to use genuine e-mail addresses in "spoofed" virus-laden e-mail missives. 3. Consider an alternate browser such as Firefox or Opera. IE has been a favorite hacker target.
2.) Your Stolen Data Free on the Web Danger level: High | Likelihood: Medium | Target: Windows users
It's bad enough when one crook uses a keylogger to steal your bank log-in and passwords. It's much, much worse to have all of your sensitive information sitting in an unprotected FTP site, open to anyone who happens across it. Unfortunately, that is exactly what security researchers have started seeing over the past year. Alex Eckelberry of antispyware firm Sunbelt Software showed me one such FTP server that his company had found while investigating a keylogger that wasn't even particularly widespread. The server, based in Washington, D.C., was packed with nearly a gigabyte of credentials stolen during the month of April. Not only do keyloggers capture anything you type, they can take screen shots of your PC's display, and they can glean data from the Windows Protected Storage area, which is the place where Internet Explorer stores its saved passwords. One of the log files on the FTP server held pilfered passwords for a number of U.S. banks and for Buy.com, along with Yahoo, Hotmail, and other e-mail account user names and passwords, plus account details for online casinos and a host of other sites. The danger is international: The log records were in myriad languages--German, Spanish, Hungarian, Turkish, and Japanese, among others--and it held IP addresses that pointed to infected computers scattered around the world. When his company discovered the first cache of keylogger data more than a year ago, Eckelberry says he alerted the banks and companies whose credentials had been scavenged by the logger. Tim Brown, owner of Kingdom Sewing & Vacuum in Northridge, California, was one recipient of such a call from Sunbelt. He figures that his bank log-in was lifted by a keylogger when he was on a trip to Costa Rica and used a hotel computer To check his account. But his home computers weren't safe, either: "I didn't have any antivirus or spam blockers on my computers," he says. "I do now." Brown was relatively lucky: He was notified before anyone had used his stolen data, and he immediately changed his account information to protect himself. Thousands of other potential victims may not be that fortunate. And these days, Sunbelt is uncovering so many data vaults that it can't handle the sheer volume of stolen credentials, so it has stopped contacting individuals and simply reports what it finds to the FBI. With this much data available, there has been no rush to create new keyloggers, says Sunbelt's Eric Sites. According to the Anti-Phishing Working Group, a business and law enforcement association, there were 180 unique keylogger programs in April, far more than the 77 found in April of last year but a slight drop from the three months prior. Sites concludes that the maturing malware business is focusing its attention on efficiently processing its cornucopia of stolen information. "The collection and sorting and manipulation of keylogger data [are] getting dropped into SQL databases," he says. "Then [the criminals] can churn through the data to find what they're looking for. Those back-end systems are incredibly complex." Defenses 1. Use a firewall that can block unknown programs from communicating with the Net to keep keyloggers from phoning home. The free ZoneAlarm firewall can do this; the built-in Windows XP firewall can't. 2. Cycle passwords, and don't use the same name and password at multiple sites. For more password tips, read Steve Bass's recent Tips & Tweaks column, "Keep It Secret, Keep It Safe."
3.) Phishers Co-Opt Legitimate Sites Danger level: High | Likelihood: High | Target: All Internet users
Phishing is one of the most lucrative computer crimes, and it continues to grow rapidly. In April 2006 the number of unique new phishing sites spiked to a record 11,121, almost four times the 2854 sites found in April 2005, according to the most recent report from the Anti-Phishing Working Group. You might expect phishers' fake sites to be easy to recognize by their amateurish spelling mistakes or broken Web graphics. But these days few phishers try to re-create entire bank-site pages by hand. Instead, modern scammers operate sophisticated server-side software that pulls all of the text, graphics, and links directly from the target bank's live site. All of the queries you input go to the real site--except your log-in data. That choice information goes straight to the bad guys. Some phishing sites have become so smooth that they can even trap cautious and experienced Web surfers. In their "Why Phishing Works" study published in April, experts at UC Berkeley and Harvard presented test subjects with Web sites and had them look for the fakes. As it turned out, "even in the best-case scenario, when users expect spoofs to be present and are motivated to discover them, many users cannot distinguish a legitimate Web site from a spoofed Web site," the report states. "In our study, the best phishing site was able to fool more than 90 percent of participants." Browser Redirects Below the Radar The key for the phisher is to inveigle you into visiting the bogus site. You may be well conditioned not to trust an e-mail missive purporting to be from your bank and asking you to click a link to check your account details. But phishers today are adopting more forceful means to push your browser to their sites. A malware-enabled technique called smart redirection secretly sends your browser to the scammer's Web site even if you manually type your bank's correct Web address into the browser. Malware on your machine monitors the availability of dozens or hundreds of duplicate fake bank sites, hosted on computers around the world, and redirects your browser to an available fake site whenever you attempt to reach your bank. And if authorities subsequently close down one site, the smart redirection software on an infected system simply sends the victim to a destination site that has eluded shutdown. As long as there's money to be made, criminals will continue to hone their phishing skills and to develop new techniques. And there's plenty of money to be made. "Good, credentialed credit card information sells for $70 a card," says Michael Rothschild of security hardware maker CounterStorm. The phishers can even sell your data twice: "They can sell the credit that's left on the card, and they can sell the identity," he says. How It Works: Ultraslick Lures Set Out to Catch the Wary 1. A well-informed, careful user manually types a bank URL into the browser address bar. 2. Malware on the computer redirects the user to a live phishing site. 3. By pulling text and images from the live bank site in real time, the phishing site looks just like the actual thing. 4. The sophisticated phisher fools even the careful user, who types in his or her bank account log-in. Defenses 1. Don't trust an unsolicited e-mail message from any company, no matter how good it looks. The best phishing sites and scam e-mail messages lack obvious flaws. 2. Type in your bank's URL yourself or use a bookmark; avoid clicking an e-mail link. 3. Look for a padlock icon, which indicates a secure site, in the browser's toolbar, not the Web page. 4. Use one of the many available antiphishing toolbars that can warn you when you encounter a known phishing site. Netcraft offers one popular free toolbar; Tom Spring looks at others in his Spam Slayercolumn "Fight Fraud and Phishing With New Tools."
4.) The Human Security Hole Danger level: High | Likelihood:High | Target: All
You can update Windows and each of your applications, and you can use security software to protect your PC, but one constantly exploited weakness can never be patched: human fallibility. Online villains use an ever-changing array of tricks and traps to lure you in, and they're getting sneakier. A recent eBay auction trap highlights the effectiveness of good social engineering. According to reports from US-CERT and Internet security companies, clever phishers were using a vulnerability in the eBay site to add auction links to eBay's pages. Those links brought unsuspecting users to a new site that would ask them for their eBay logins. You're no doubt suspicious of random e-mail messages that prompt you to click a link and enter your account information. But if you are prompted after clicking a link on a verifiable eBay page, you just might get caught with your guard down. Your e-mail gets equal attention. Clever crooks steal or buy e-mail addresses, not to pelt you with spam, but to send out virus-laden messages that appear to originate from a genuine address--without ever infecting the supposed sender. Combined with a list of known e-mail addresses at a particular company, these spoofed e-mail messages allow for carefully crafted and targeted attacks that are far more successful than the net-cast-wide approach used to distribute most malware today. You're likelier to click on a Word document or an e-mail link that appears in a well-worded note from
Spoofed e-mail addresses are also useful in conjunction with such attacks as the recent one that took advantage of a new, zero-day exploit in Microsoft Word. To get hit, all you'd have to do is open a .doc attachment--and why wouldn't you open an e-mail from Bob down the hall? Criminals know that if they can fool you with an e-mail or top-notch phishing site, they're well on their way to owning your computer. But there's a positive flip side: A well-informed user constitutes the best defense against any Internet attack. Stay educated, and stay safe. Defenses 1. Subscribe to security-focused RSS feeds to keep abreast of the latest Internet threats. We recommend the feeds at F-Secure, Kaspersky, and Sophos. 2. Obtain a wealth of security advice, product reviews, and tips at PCWorld.com's Spyware & Security Info Center.
5.) Crooks Redirect Your Browser to Their Scam Web Sites Danger level: High | Likelihood: High | Target: Businesses
Odds are, you use Domain Name System servers every day. They translate human-friendly names like "www.pcworld.com" into the numerical IP addresses that computers use to find each other on the Internet. Your ISP has its own DNS server, as do most companies. The Internet can't get by without them. But more than a million DNS servers around the world--up to 75 percent of all servers, according to networking firm The Measurement Factory--run old or misconfigured DNS software. Such systems are subject to a wide enough range of serious attacks that the SANS Institute, a computer security research and education organization, lists DNS software as one of the top 20 Internet vulnerabilities. For example, it was widely reported that cybercrooks used misconfigured DNS servers in lethal denial-of-service attacks that forced antispam firm Blue Security to shut its doors permanently in May. Attacks work in several ways. One tactic is "cache poisoning," where an offender can simultaneously target everyone who uses the DNS server. A successful attack tricks a company's or ISP's server into sending everyone who uses it to a phishing or other malicious site. You might type 'www.americanexpress.com' or 'www.yahoo.com', but you will end up at a Web site that installs an arsenal of malware on your computer. Another lethal ploy: When bad guys send spoofed requests to DNS servers that are recursive, the servers respond by sending answer messages to the intended victim. The responses contain more data than the original requests, which thus magnifies the attack beyond what the crooks could send themselves. The hapless victim is completely overwhelmed by garbage data and can't respond to genuine requests from regular users. Defense 1. Ask your company's IT group to make sure your DNS server is not recursive and its software is up-to-date. For more information, consult the US-CERT report.
6.) Rootkits and Viruses Partner Up Danger level: High | Likelihood: Medium | Target: Windows users
Rootkits are a malware inventor's dream: They allow worms, bots, and other malevolent software to hide in plain sight. The files don't show up in Windows Explorer, the running processes don't display in the Task Manager, and many current antivirus programs can't find rootkit-hidden malware--which is precisely why malware writers increasingly use them to hide malicious apps. When news broke last November that some Sony music CDs installed rootkit software to hide copy-protection files, gleeful online crooks were quick to follow with malware that exploited Sony's creation to hide their own programs. Sony's software masked any files or running processes that began with "$sys$", so the opportunistic malware writers changed their file names accordingly. In March, Spain-based antivirus maker Panda Software reported finding variants of the virulent Bagle worm equipped with rootkit functionality. Worse, like producers of botnet programs, rootkit software makers sell tools or give away free ones, so it's even easier for malware authors to build rootkit functionality directly into long-standing software strains like Bagle, or into brand-new malicious creations. Even as opportunistic criminals use existing rootkits, chilling new possibilities for the software are emerging. For example, security firm eEye discovered it was possible for crooks to hide files in the boot sector of the hard drive. And in January, John Heasman, security consultant for Next-Generation Security Software, announced that rootkits could hide malicious code within a PC's BIOS by using functions in the BIOS's Advanced Configuration and Power Interface feature. A project run by Microsoft and University of Michigan researchers really blew the lid off rootkit research, devising a method to virtually "jack up" the operating system and then use software called SubVirt to run it from below. As far as the operating system knew, it was running normally, but the "virtual machine" completely controlled everything the OS saw and could easily hide itself. Fortunately the technique can't be implemented easily, and it tends to offer the user clues, causing a slower-running system and producing certain tell-tale modified files. For now, this extreme kind of rootkit exists only as a proof-of-concept; it should be a long time before malware authors can launch such attacks. High-Stakes Hide-and-Seek Simply finding today's relatively less dangerous rootkits is a serious challenge for security software. The art of detection and removal is part engineering, part voodoo, and always difficult. Detecting a rootkit on a Windows PC is not unlike shining a flashlight at objects in a darkened room, and then trying to identify each object by the shadow it casts on the wall. Specialized software, such as F-Secure's BlackLight and Sysinternals' RootkitRevealer, scans the Windows file system and memory for characteristic irregularities that rootkits leave behind. But those tools may not work in every case. Recently, the adware program Look2Me effectively broke BlackLight by disabling a key system call. The discovery was accidental, but rootkit makers will undoubtedly pay attention to it in their next round of malware. How It Works: Cloaked Malware Sets Up Camp on Your PC 1. A Trojan horse with rootkit software invades a PC as a drive-by download. 2. The malware makes deep system changes to hide from antivirus apps. 3. The camouflaged Trojan horse pulls keyloggers and spyware onto your PC. Defenses 1. Look for antivirus software that provides rootkit scanning and removal. Kaspersky's and F-Secure's latest applications have it now; others will likely add it soon. 2. Use a rootkit detector such as Sysinternals'RootkitRevealer and F-Secure's Blacklight, both free downloads. Other scanners are becoming available; see this month's Privacy Watch for more information.
7.) Viruses Call Up Your Cell Phone Danger level: Medium | Likelihood: Low (USA), medium (Europe and Asia) | Target: Cell phone and smartphone users
As if viruses on your PC weren't bad enough, these nasty programs now target your cell phone. Like their computer-based cousins, some mobile viruses wreak havoc by crashing the phone and wrecking its operating system. Others are mere nuisances that change icons and make the device more difficult to use. And of course, some are strictly money-minded. A Trojan horse currently infecting Russian phones sends text messages to services that charge the sender a fee. So far these pests aren't a major problem in the United States, but they are significant threats in Europe and Asia. And a lot of experts think it's just a matter of time before the money-grubbing aggravations arrive on American phones. Like many real-world biological agents, a cell phone virus typically needs to be physically close to another susceptible phone to make the leap. Computer security experts like Mikko Hyppönen, chief research officer for Finnish antivirus firm F-Secure, often use unsecured phones as bait to see what slithers in. On one London trip, Hyppönen's phone got hit four times via Bluetooth, which has a maximum range of about 30 feet. Bluetooth is the most common--but not the only--vector of infection. The Mabir virus, for example, spreads via SMS messages. The vast majority of mobile viruses hit phones using the Symbian operating system, but a few go after Windows Mobile- and Java-based phones. Following the discovery of Cabir.A in June 2004, the number of viruses has continued to climb. There were 211 variants as of May 15, 2006, up from 156 at the end of 2005. Defenses 1. Disable "open" Bluetooth on your phone or PDA to close down the most common infection route. 2. Keep a close eye on the itemized part of your cell phone bill for unexpected charges. 3. Use a mobile antivirus program. F-Secure, Kaspersky, McAfee, and Trend Micro all offer them.
8.) Malware on Your Passport? Danger level: Medium | Likelihood: Low | Target: Most consumers
Could your passport, a pack of razor blades, or even your pet cat carry a computer virus? It may seem farfetched, but recent findings from a trio of Dutch researchers serve to demonstrate the possibility. RFID (Radio-Frequency Identification) chips are small, inexpensive devices that can be embedded in stickers and in pet ID tags, and soon they'll show up in driver's licenses and U.S. passports. They're used for electronically transmitting information--say, inventory data for shipping pallets, or your passport number--over short distances. Though highly useful, some implementations of the RFID technology have security weaknesses. For example, the information on some tags can be rewritten, and other tags can be read from an unusually great distance. In an attempt to exploit some of these weaknesses, the Dutch university researchers conducted a controversial proof-of-concept study using modified RFID tags and a viruslike command to "infect" the back-end database that stored the tag's records. Theoretically, an RFID system could thus be made to crash or run malicious code--a scary prospect for a critical business or government technology. Numerous computer security experts have pointed out that a reasonably well-built system with effective "middleware" between the RFID reader and the database probably wouldn't be vulnerable to such an assault. And sensitive RFID chips can use encryption and shielding covers to protect against acquiring an unasked-for malicious payload. The planned U.S. passports will use both measures. Still, the study illustrates a basic point: Nearly every system has exploitable flaws. Keep an eye on your cat. Defense 1. RFID signals can't pass through metal or foil-lined cases. If you carry an RFID security pass, keep it in a metal business-card holder or similar enclosure.
9.) Your Data Held for Ransom Danger level: Medium | Likelihood: Low | Target: Windows users
It sounds like a plot concocted by Austin Powers' nemesis, Dr. Evil: Get onto your victims' computers, kidnap their files, and hold the data hostage until they pay up. But such attacks, though rare, have occurred all over the world. Cryzip, one early example of ransomware, searches for 44 different file types (such as Microsoft Word or Excel files) on a hard drive, and compresses them into a password-protected zip file. It then tells the victim to deposit $300 in one of 99 randomly selected e-gold accounts. Once paid off, the criminals provide the victim with the necessary password. In May, another ransomware application, named Arhiveus came to light. Rather than of directing payment to a potentially traceable e-gold account, it instructed victims to buy prescription drugs from a specific online pharmacy and then send the order ID to the malware author as proof of payment. "It looks like a Russian-based pharmacy that they're hosting in China," says Lurhq's Joe Stewart. "Appended to [the URL] is what looks like an affiliate ID--they probably get a cut." In his examination of both Cryzip and Arhiveus, Stewart found the necessary passwords to "free" the data embedded within the malware code itself, unencrypted. Savvy users sometimes get lucky, too. Richmond Mathewson, a software developer from Plovdiv, Bulgaria, managed to rescue most of a friend's data after she found the entire contents of her 'My Documents' folder had vanished, taking with it all her work files, which she hadn't backed up. When he looked at the computer, Mathewson found the simple but chilling Arhiveus ransom note. He saved the day with his networked Mac Mini, a free undelete tool, and about 4 hours' labor. But he says the recovery wasn't complete: "To date, 5 percent of the files are still unrecovered." Currently, ransomware isn't very sophisticated, and its scope is limited. Besides including the password with the program, Arhiveus dumps all the victim's files into one long file called "EncryptedFiles.als"--but doesn't actually encrypt it. "The threat is very small to the average user at the moment," says Stewart. "I'd estimate [the number of ransomware infections] to be in the low thousands worldwide.... It doesn't serve these guys' interests to become widespread. If they keep it low-key, and target people who are powerless to do something about it, they're more likely to get paid." But "this seems to be just the initial phase of the threat," Stewart adds. Like every type of attack, ransomware will evolve as criminals hone their approach. "With Arhiveus testing the waters of mixing ransomware with affiliate product purchases in shady online stores, it could be the start of something bigger." How It Works: Extortion, Malware-Style 1. An unsuspecting user accidentally visits a rigged Web site, and the ransomware Trojan horse slithers into the PC. 2. The ransomware zips up the entire contents of the My Documents folder into a password-protected file. 3. The user gets a ransom note demanding money, or a purchase at a particular online store, in return for the password. Defenses 1. If you're a victim, go to the police. Don't pay the ransom, and don't visit any links in the ransom note. 2. Write down the details from any ransom notes or messages, and turn off the infected PC. From an uninfected PC, run a Web search using details from the ransom note. You may be able to find the password online. 3. Try using an undelete program (ourDownloads section offers several free options) to recover your files. However, some files may not be recoverable at all.
10.) No Safe Haven: Threats Plague All Platforms Danger level: High | Likelihood: Low | Target: Windows, Mac, and Linux users
Mac and Linux users have been understandably complacent as Windows users suffer a seemingly endless series of attacks that exploit hole after hole in Microsoft's operating system. But these alternative OSes--once considered safe computing havens--increasingly must cope with their own problems. The Mac is under attack as evildoers aim at the 70-odd reported security holes in OS X. One of these vulnerabilities was exploited in February by the first piece of malware to hit OS X Tiger: the so-called Oompa-loompa instant-messaging worm. And while Internet Explorer users are probably well accustomed to hearing reports of new browser bugs that could allow "remote code execution" (read: giving an attacker control of your PC), Mac users now need to beware as well--the most recent of Apple's three major security patches this year closed one such hole in the Safari browser. Linux has a case of worms, too; the number of malicious programs targeting that OS doubled between 2004 and 2005. Rootkits, the looming threat for Windows PCs, actually trace back to attacks meant to take surreptitious control of the administrative "root" user on Unix OSes. Also, while being able to run your own personal Web server is part of the open-source draw, doing so can allow crooks to hijack your site or take control of your PC. The latest twist is cross-platform malware: single programs that can assault two or more types of systems. A proof-of-concept virus that attacks both Windows and Linux appeared in April. The virus, created by antivirus firm Kaspersky, contains no payload and does no damage. Known variously as Virus.Linux.Bi.a and also Virus.Win32.Bi.a, it infects just a single type of Linux file format (ELF) and a single type of Windows file format (PE). And it's based on old Linux elements that aren't part of newer systems. Still, it was enough of a wake-up call to prompt Linux creator Linus Torvalds to write a fix. Windows' ubiquitousness means that malware targeting its many security holes has the greatest chance to infect the most PCs. But as alternative operating systems grow in popularity, they become more attractive targets, too. OS Holes Abound The number of security advisories issued for the OSs below show Microsoft is not alone when it comes to vulnerabilities, but Apple seems to patch more promptly. Defense 1. Consider using a Mac or Linux antivirus program, such as Panda Antivirus for Linux and Mac products from vendors such as McAfee and Symantec. If nothing else, you'll be a good neighbor and help stem the flow of Windows viruses. 2. Whatever your OS, keep it fully up-to-date and patched.
Blog
Конфиденциалност на данните.
Доказване на авторството.
