Untrusted Network

Nástroje a materiály

Jan Kopriva — Tue, 01 Jan 2019 11:28:23 +0100

SANS ISC Diary - How often are redirects used in phishing in 2026?

Jan Kopriva — Mon, 06 Apr 2026 10:50:00 +0100

Dnes vyšel můj nový příspěvek na stránkách SANS Internet Storm Center. Podíváme se v něm na rozsah zneužívání mechanismů pro otevřené přesměrování ve phishingových zprávách v prvním kvartálu roku 2026…

Desatero pro začínající specialisty na kybernetickou bezpečnost

Jan Kopriva — Fri, 27 Mar 2026 10:30:00 +0100

Čas od času mě nějaký juniorní bezpečnostní specialista, nebo člověk, který by chtěl do kybernetické bezpečnosti teprve profesně proniknout, požádá o pár rad „do začátku“. Technická specifika mých doporučení se pochopitelně liší případ od případu s ohledem na zájmy či plány konkrétní osoby, nicméně neb některá obecnější doporučení a myšlenky zmiňuji těmto lidem opakovaně, a neb jde dle mého o něco, co se může potenciálně hodit v podstatě každému juniornímu „bezpečákovi“, rozhodl jsem se dát dohromady pár myšlenek, které jsou z mého pohledu podstatné pro smysluplné, efektivní a spokojené profesní působení v kybernetické bezpečnosti.

Níže tedy najdete 10 doporučení (+ jedno dodatečné, abych udělal radost fanouškům skupiny Spinal Tap), která bych si při pohledu zpět přál, aby mi někdo dal, když jsem s kybernetickou bezpečností sám historicky začínal. Doplním, že tyto body samozřejmě odrážejí jen můj osobní pohled a názory. A byť si za vším níže uvedeným stojím, pokud se jakýkoli bod bude rozcházet s vaším pohledem na věc, nebudu vám to mít za zlé…

Bezpečnost vždy závisí na lidech, procesech a technologiích – v tomto pořadí. Nikdy na to nezapomínejte, ani pokud vás vaše profesní působení dovede k prodeji bezpečnostních technologií nebo do bezpečnostního managementu. Snaha o zajištění bezpečnosti nákupem softwarových nebo hardwarových systémů, o které se nemá kdo starat, je cesta k velmi snadnému splnění checklistů ověřujících existenci bezpečnostních opatření, ale reálný přínos něčeho takového bude vždy velmi omezený, neb technologie samy o sobě rozumnou úroveň bezpečnosti nikdy v žádném prostředí nezajistí.
Buďte obezřetní vůči samozvaným autoritám. V odborné komunitě máme mnoho odborníků hodných označení autorita, tedy extrémně šikovných a kompetentních lidí, kteří jsou obecně uznávaní (a také mnoho šikovných a kompetentních lidí, o kterých bohužel nikdo mimo jejich blízké okolí neví).
Máme v ní ale i řadu těch, kteří jsou za „autority“ považováni jen proto, že se tak sami prezentují, neb se bezpečnosti věnují dlouho a jsou v nějakém smyslu hodně hlasití nebo jsou hodně vidět. Reálné odborné – tím spíše technické – znalosti těchto lidí jsou ale mnohdy jen velmi omezené. Problém není v tom, že by tito lidé byli uznávaní víc, než si zaslouží, ale že v důsledku své omezené odbornosti mnohdy šíří myšlenky, které jsou již překonané, nebo dokonce myšlenky, které mohou být aktivně škodlivé. Je proto vhodné dobře zvažovat, v jakou „autoritu“ budeme vkládat naši důvěru. Dobrým testem odbornosti těch, kteří jsou hodně vidět, je podívat se kriticky na odbornou hloubku jejich publikovaných výstupů. Jsou-li veškeré články dané osoby, témata jejích konferenčních příspěvků nebo obsahy vystoupení v médiích plná výhradně obecných proklamací bez skutečné hloubky (tedy například standardní mantry typu „musíme řídit rizika“, „musíme vzdělávat uživatele“, nebo – nedej bože – „musíme zajistit zero-trust“), máme k dispozici poměrně jasný ukazatel odborné úrovně dané osoby. Shrnuto a podtrženo, i v naší profesi bohužel platí, že nejhlasitější hlasy nejsou nezbytně ty nejkvalifikovanější…
Neprezentujte se jako „experti na kybernetickou bezpečnost“. Nikdy. Bez ohledu na to, jak dobré si budete myslet, že máte znalosti, a bez ohledu na „expertní“ certifikace, které možná v průběhu své kariérní cesty získáte. Nejen proto, že jako lidé nejsme schopní být vůči sobě samým plně objektivní (pamatujte na práci pánů Dunninga a Kruegera), ale i proto, že kybernetická bezpečnost je dnes již extrémně širokou odbornou oblastí a skutečnou expertízu v celé její šíři – od detailů konfigurace firewallů, přes procesy pro zvládání incidentů, techniky reverzního inženýrství, metodiky pro kvantitativní analýzu rizik, mechanismy digitální forenzní analýzy, ofenzivní postupy pro red teaming až po zabezpečení OT nebo specifika bezpečnostní architektury aplikací – už tak dnes nemůže mít v podstatě nikdo.
Pokud se navíc experty v jakékoli dílčí oblasti kybernetické bezpečnosti někdy stanete, nebojte se – začnou vás tak bezpochyby označovat jiní…
Neignorujte bezpečnostní vzdělávání mimo svou primární oblast zájmu. Specializace na jednu konkrétní oblast kybernetické bezpečnosti je naprosto v pořádku a pro většinu profesionálů je dokonce žádoucí. Určitý základní všeobecný přehled o kybernetické bezpečnosti jako celku by však měl být standardem pro jakéhokoli bezpečnostního specialistu – přinejmenším proto, že mu může poskytnout hodnotný kontext pro jeho vlastní profesní aktivity. Aneb aby mohl svou práci dělat skutečně odborně na výši, i systémový inženýr nastavující firewally by měl mít alespoň obecnou představu o tom, že v oblasti kybernetické bezpečnosti existuje nějaká legislativa (neb ta může determinovat kdy a kde mají/musí být firewally použity), a penetrační tester by měl mít tušení o tom, jak funguje bezpečnostní dohled v rámci SOC (neb pro něj může být v případě neohlášených testů potenciálně žádoucí vyhnout se detekci).
Pokud se vaší specializací stane technologické řešení určitého výrobce – například firewally od společnosti Checkpoint nebo EDR/XDR řešení od Microsoftu – nikdy si nedovolte padnout do mentálního nastavení, v němž byste danou technologii považovali za ideální. Žádný firewall, SIEM, WAF ani EDR/XDR není plošně „nejlepší“ a nemá smysl něco takového tvrdit, ani kdybychom danou technologii prodávali…
Vysoká pozice negarantuje odbornost a nízká pozice její absenci, nesuďte tedy profesní kolegy jen dle jejich titulů a – konec konců – ani dle odborných certifikací, které mají. V praxi se v kybernetické bezpečnosti setkáte se spoustou velmi chytrých a kompetentních lidí bez jakýchkoli certifikací na všech pozicích, od juniorních po manažerské, stejně tak ale můžete ve všech těchto pozicích potkat i řadu lidí ověnčených certifikacemi a přesto vykazujících velkou míru amatérismu a neznalosti.
Nevěřte, že nějakou oblast bezpečnosti skutečně znáte, pokud jste jí do detailu viděli jen v jedné organizaci. Ani vidět jednu oblast (bezpečnostní monitoring, řízení rizik, penetrační testování, apod.) do detailu v řadě podobných organizací nebo řadě různých organizací působících ve stejném regionu nebo ve stejném sektoru vám nemůže dát skutečně hluboké povědomí o tom, jak může/má být daná oblast řešena všeobecně, nebo jak bývá řešena v jiných regionech či sektorech.
Váš čas je drahý a měli byste si důsledně vybírat, čemu jej budete věnovat. Pokud se tedy budete chtít vzdělávat a nebudete mít jen touhu hledat další vhodný bezpečnostní produkt nebo službu pro vaše prostředí, dobře si vybírejte konference, kterých se budete účastnit. Převážná většina rádoby odborných konferencí je totiž ve skutečnosti převážně marketingově, nikoli odborně orientovaná, a prezentace v rámci nich mají často za cíl ne vzdělat posluchače, ale přesvědčit je, že produkt firmy X nebo služba firmy Y je to, co si nezbytně potřebují pořídit, aby byla jejich organizace v bezpečí.
Pokud chcete pracovat v kybernetické bezpečnosti a nemáte alespoň základní technické znalosti, získejte je, neb bez nich nebudete schopní vykonávat žádnou bezpečnostní pozici skutečně efektivně.
Výše uvedené nemá vyznívat jako gatekeeping, nebo naznačovat, že by každý CTI analytik, manažer kybernetické bezpečnosti nebo specialista řízení rizik měl být schopný psát exploity, hledat zero-day zranitelnosti nebo detailně analyzovat síťový provoz. Pokud ale ti, kteří zastávají výše zmíněné role, nebudou znát ani absolutní technické základy typu jaký je rozdíl mezi TCP a UDP a proč je tento rozdíl relevantní pro funkci firewallů, co je to Active Directory a co by principiálně znamenala kompromitace účtu doménového administrátora, či jak konceptuálně funguje EDR nebo SIEM a jaké škodlivé chování po „vybalení z krabice“ tyto systémy zřejmě dokáží a nedokáží detekovat, nemohou svou práci vykonávat skutečně efektivně a kvalitně.
Z úst mnohých zástupců vzdělávacích organizací i vybraných firem v posledních letech často zaznívá, že kybernetické bezpečnosti se může profesně věnovat v podstatě kdokoli, bez ohledu na předchozí vzdělání či znalosti. Tato myšlenka je do jisté míry platná, má však své významné limity – kdokoli se může ZAČÍT profesně věnovat kybernetické bezpečnosti, ale určitě ne kdokoli může v této profesní oblasti následně i dlouhodobě smysluplně působit.
Pravdou je, že ne každý bezpečnostní specialista musí mít za sebou předchozí odborné vzdělání zaměřené na kybernetickou bezpečnost, aby mohl svou práci dělat dobře. Rozdílný znalostní background může být u některých rolí (např. těch zaměřených na CTI) dokonce žádoucí a junior bez předchozího IT vzdělání či odborné praxe se tak určitě může v bezpečnosti smysluplně uchytit.
Pokud si ale takový člověk velmi rychle neosvojí alespoň základní technické povědomí, nebude z principu schopný dodávat svému zaměstnavateli a/nebo zákazníkům výstupy s jakoukoli odbornou hodnotou, a to i kdyby se měl věnovat jen procesním aspektům kybernetické bezpečnosti. Přeci jen nemůžeme smysluplně řídit kybernetická bezpečnostní rizika spojená se škodlivým kódem, nebo psát bezpečnostní směrnice a politiky zaměřené na ochranu před touto hrozbou, pokud nemáme nejmenší tušení, jak vlastně takový škodlivý kód obecně funguje a „malware“, „virus“, „trojan“ a „červ“ jsou pro nás jen jakési vágní, mlhou zahalené termíny s de facto ekvivalentním významem, a „C2“ chápeme jen jako označení pole na šachovnici.
Nevěřte všemu, co je psáno. Odborná i populární literatura, ale také kurzy a materiály pro přípravu k certifikačním zkouškám (i ty oficiální) bohužel relativně často obsahují vedle technických fakt i řadu marketingových tvrzení a osobních názorů prezentovaných jako fakta. Nezřídka pak v těchto materiálech potkáte vedle pravdivých informací i řadu polopravd a chyb. Odlišit technická fakta od marketingu a chybné od pravdivého vyžaduje určitou odbornost a ne vždy tak budete něčeho takového schopní. Pokud se vám nicméně bude zdát, že to, co jste si právě přečetli, možná nebude v pořádku, raději nespoléhejte na jediný informační zdroj a dané informace si ověřte jinde.
Připravte se na to, že kybernetická bezpečnost v jakékoli organizaci, v níž budete působit, bude mít slabá místa, která se vám nebudou líbit. Pokud nebudete vlastníky či manažery organizací, v nichž budete působit, vaším úkolem nebude fakticky nikdy zajistit kybernetickou bezpečnost dané organizace, ale snažit se pomoci dané organizaci fungovat co nejbezpečněji v mantinelech vytyčených jejími vlastníky či managementem. Je to totiž právě management, kdo je finálně zodpovědný za zajištění fungování organizace a vlastní i všechna s tím spojená rizika – včetně těch bezpečnostních. Naší rolí z pozice bezpečnostních specialistů je pomoci managementu správně tato rizika vyhodnocovat a řídit.
Pokud tedy budete v rámci své praxe vnímat nějaké slabé místo organizačních procesů či technologické infrastruktury nebo určitou hrozbu jako vysoce relevantní pro organizaci, v níž budete působit, je žádoucí na ně upozornit. Pokud se management dané organizace následně rozhodne riziko spojené s těmito faktory akceptovat bez doplnění technických nástrojů, personálu nebo procesních opatření, která jste doporučili a která byste na základě vlastního odborného zhodnocení považovali za vhodná, nevěšte hlavu. Byť to není vždy příjemné, finální rozhodnutí o bezpečnosti má management organizace – my jako bezpečnostní specialisté můžeme jen radit, ukazovat cestu a snažit se dělat maximum v rozsahu kompetencí, které jsou nám svěřeny – taková je (mnohdy smutná) realita našeho oboru.

SANS ISC Diary - A React-based phishing page with credential exfiltration via EmailJS

Jan Kopriva — Fri, 13 Mar 2026 08:35:00 +0100

Dnes vyšel můj nový příspěvek na stránkách SANS Internet Storm Center. Podíváme se v něm na phishingový portál implementovaný formou zajímavé jednostránkové aplikace vytvořené s pomocí frameworku React…

Digitální mlha - Ep#04 - AI: hype vs. realita, internetový blackout v Íránu a vyšetřování Groka

Jan Kopriva — Thu, 05 Mar 2026 20:50:00 +0100

Se začátkem měsíce tu máme již tradičně i novou epizodu podcastu Digitální Mlha, který připravuje CZECH CYBER TV ve spolupráci s Nettles Consulting. Najít jí můžete na YouTube a podíváme se v ní mj. na bezpečnostní aspekty moderních AI nástrojů, problematiku ověřování věku na internetu, internetový blackout v Íránu i řadu dalších témat…

Postřehy z bezpečnosti: tlak na kontrolu věku na internetu významně sílí

Jan Kopriva — Mon, 02 Mar 2026 08:00:00 +0100

Na portálu Root.cz byl dnes publikován můj nový příspěvek do seriálu Postřehy z bezpečnosti, v němž se podíváme na pokuty udělené ve Velké Británii v souvislosti s nedostatečnou kontrolou věku na webu, propady cen akcií bezpečnostních společností díky přeceňování AI nebo přešlap Googlu vedoucí ke zvýšení oprávnění u veřejně dostupných autentizačních klíčů…

SANS ISC Diary - Another day, another malicious JPEG

Jan Kopriva — Mon, 23 Feb 2026 15:35:00 +0100

Dnes vyšel můj nový příspěvek na stránkách SANS Internet Storm Center. Podíváme se v něm na nedávnou e-mailovou kampaň šířící Remcos RAT s pomocí vícefázového infekčního řetězce zahrnujícího JScript downloader, PowerShell spouštěný s pomocí WMI a .NET assembly načtenou z JPEG souboru…

Digitální mlha - Ep#03 - Sluchátka která poslouchají, hackeři z Ruska a Číny a zranitelnost českých nemocnic

Jan Kopriva — Wed, 04 Feb 2026 17:50:00 +0100

Se začátkem měsíce tu máme již třetí epizodu podcastu Digitální Mlha, který připravuje CZECH CYBER TV ve spolupráci s Nettles Consulting. Najít jí můžete na YouTube a podíváme se v ní mj. na zranitelnost vybraných Bluetooth zařízení nazvanou WhisperPair, prosincové útoky na polskou energetiku, údajné sledování telefonů vládních činitelů Velké Británie, návrh aktualizace Aktu o kybernetické bezpečnosti i řadu dalších témat…

Interview ve Studiu ČT24 ke zranitelnosti WhisperPair

Jan Kopriva — Wed, 21 Jan 2026 09:15:00 +0100

V úterý 20. 1. jsem byl pozván do vysílání odpoledního Studia ČT 24, kde jsem odpovídal na otázky týkající se nedávno zveřejněné zranitelnosti WhisperPair, která potenciálně umožňuje útočníkům provést neoprávněné párování bezdrátových sluchátek a obdobných zařízení. Záznam z vysílání Studia ČT24 najdete v případě zájmu na tomto odkazu - část věnovaná výše zmíněnému tématu začíná přibližně v čase 16:20…

Digitální mlha - Ep#02 - Sabotáže v kyberprostoru v rukou rozvědky, zavřená call centra podvodníků a kritická chyba v MongoDB

Jan Kopriva — Wed, 07 Jan 2026 17:10:00 +0100

Po novém roce tu máme druhou epizodu již ne bezejmenného podcastu, který jsme začali připravovat spolu s CZECH CYBER TV. Podcast nově nese název Digitální mlha a v jeho aktuální epizodě, kterou můžete najít na YouTube se podíváme mj. na změny v německé legislativě rozšiřující možnosti působení zpravodajské služby BND v kyberprostoru, závažnou zranitelnost v MongoDB, únik dat o uživatelích platformy Pornhub nebo nedávné policejní zásahy proti útočníkům v oblasti kyberprostoru…

SANS ISC Diary - A phishing campaign with QR codes rendered using an HTML table

Jan Kopriva — Wed, 07 Jan 2026 10:35:00 +0100

Dnes vyšel můj nový příspěvek na stránkách SANS Internet Storm Center. Podíváme se v něm na phishingovou kampaň v níž byly QR kódy obsažené v e-mailových zprávách vytvořené s pomocí HTML tabulek namísto obrázků…

Modely hrozeb od MPO

Jan Kopriva — Tue, 06 Jan 2026 13:35:00 +0100

Ministerstvo průmyslu a obchodu (MPO) v průběhu prosince bezplatně uvolnilo první sadu modelů hrozeb určených českým organizacím, o jejichž přípravě informovalo již na konferenci ISSS v květnu 2025. Vzhledem k tomu, že poskytované modely mohou českým organizacím ze soukromého i veřejného sektoru významně pomoci mj. při volbě vhodných a efektivních bezpečnostních opatření, chtěl bych zde tuto aktivitu alespoň krátce zmínit… A také významně pochválit.

Všechny modely hrozeb poskytované ze strany MPO jsou založeny na rámci MITRE ATT&CK a obsahují výběr technik a sub-technik z tohoto rámce, které lze na základě provedených analýz považovat za aktuálně nejvýznamnější pro české organizace. Resp. modely obsahují „heat mapu“ z níž je patrné, které z technik rámce ATT&CK lze považovat za vysoce významné a které naopak za potenciálně méně problematické z pohledu organizací působících v České republice.

MPO se rozhodlo zpracovávat celkem 3 sady modelů. Vedle „obecné“ sady modelů hrozeb, které ukazují relevanci technik pro libovolnou organizaci působící v prostředí České republiky, poskytuje MPO vybraným organizacím (konkrétně ministerstvům a jim podřízeným a obdobným organizacím a organizacím působícím v oblasti energetiky a produktovodů) rovněž detailnější modely hrozeb reflektující jejich sektorová specifika. Současně se samotnými modely je pak vždy distribuován i metodický materiál popisující možnosti jejich praktického využití.

Ministerstvo bude modely hrozeb aktualizovat každých šest měsíců tak, aby vždy pokrývaly aktuální situaci na poli hrozeb a současně odpovídaly nejnovější verzi rámce ATT&CK, který je rovněž aktualizován s půlroční periodicitou.
Přestože modely ministerstvo poskytuje zcela zdarma, aktuálně nemá v plánu publikovat je volně, ale bude je distribuovat výhradně organizacím, které o ně explicitně požádají. V případě že tedy máte o tyto modely zájem bych doporučil přihlásit se k jejich odběru zasláním e-mailu na adresu kb@mpo.gov.cz.

A pokud by vás detailněji zajímalo, jak lze modely založené na rámci ATT&KCK smysluplně využít v různých oblastech řízení kybernetické bezpečnosti, nebo jak si může libovolná organizace vytvořit vlastní model hrozeb, reflektující specifika jejího interního prostředí, pak doporučím zvážit účast na školeních Taktiky, techniky a postupy škodlivých aktérů v praxi a Modelování hrozeb prakticky, neb v rámci obou kurzů výše uvedenou problematiku praktickou formou pokrýváme.

SANS ISC Diary - Positive trends related to public IP ranges from the year 2025

Jan Kopriva — Thu, 18 Dec 2025 09:10:00 +0100

Dnes vyšel můj nový příspěvek na stránkách SANS Internet Storm Center. Podíváme se v něm na pár pozitivních trendů, které jsme v uplynulých dvanácti měsících viděli v oblasti veřejných IP adresních rozsahů…

(Prozatím) bezejmenný podcast - Ep#01 - Soukromí pod tlakem, miliardy za scam reklamy a AI hackeři na prahu autonomie

Jan Kopriva — Wed, 17 Dec 2025 19:00:00 +0100

Spolu s CZECH CYBER TV jsme začali v Nettles Consulting pracovat na nové sérii podcastů věnované aktuálnímu dění z oblasti kybernetické bezpečnosti. První epizodu najdete již nyní na YouTube a podíváme se v ní na současný stav návrhu Chat Control, podvodné reklamy na sociálních sítích a ve vyhledávačích, nedávné výpadky služeb Cloudflare, nově dostupné modely hrozeb vytvářené Ministerstvem průmyslu a obchodu určené českým organizacím i řadu dalších aktuálních témat…

Postřehy z bezpečnosti: Sysmon bude nativní součástí Windows

Jan Kopriva — Mon, 24 Nov 2025 08:00:00 +0100

Na portálu Root.cz byl dnes publikován můj nový příspěvek do seriálu Postřehy z bezpečnosti, v němž se podíváme na integraci nástroje Sysmon do Windows, zdarma poskytované modely hrozeb nebo překvapivé důvody pro generování zranitelného kódu ze strany velkých jazykových modelů…

SANS ISC Diary - Use of CSS stuffing as an obfuscation technique?

Jan Kopriva — Fri, 21 Nov 2025 10:50:00 +0100

Dnes vyšel můj nový příspěvek na stránkách SANS Internet Storm Center. Podíváme se v něm na phishingovou stránku, v níž bylo - zřejmě v zájmu obfuskce - využito velké množství zbytného CSS kódu…

MITRE ATT&CK Navigator - Základní ovládací prvky a funkce

Jan Kopriva — Wed, 19 Nov 2025 10:30:00 +0100

Dnes jsem na YouTube publikoval následující krátké video věnované základním možnostem použití nástroje MITRE ATT&CK® Navigator, který je dobře využitelný mj. pro taktické modelování kybernetických hrozeb nebo evidenci detekčních scénářů implementovaných v SIEM.

Zájemcům o detailnější informace k možnostem použití rámce MITRE ATT&CK a/nebo k problematice modelování hrozeb doporučuji zvážit účast na školeních Taktiky, techniky a postupy škodlivých aktérů v praxi a Modelování hrozeb prakticky.

SANS ISC Diary - A phishing with invisible characters in the subject line

Jan Kopriva — Tue, 28 Oct 2025 10:55:00 +0100

Dnes vyšel můj nový příspěvek na stránkách SANS Internet Storm Center. Podíváme se v něm na netradiční phishingovou zprávu, která obsahovala “neviditelné” znaky ve svém předmětu…

Postřehy z bezpečnosti: nové vyhlášky k zákonu o kybernetické bezpečnosti jsou na světě

Jan Kopriva — Mon, 20 Oct 2025 07:50:00 +0100

Na portálu Root.cz byl dnes publikován můj nový příspěvek do seriálu Postřehy z bezpečnosti, v němž se podíváme na publikaci vyhlášek k novému zákonu o kybernetické bezpečnosti, konec podpory Windows 10 nebo průnik do vývojového prostředí společnosti F5…

SecurityCast Ep#301 - Británie znovu žádá backdoor do šifrování a Evropská letiště v chaosu

Jan Kopriva — Tue, 07 Oct 2025 19:30:00 +0100

Tak jako každý měsíc, i v říjnu je tu nová epizoda speciálu podcastu ALEF SecurityCast. Najdete ji na YouTube a na Spotify a podíváme se v ní na nedávný ransomware útok s dopadem na řadu evropských letišť, aktivně zneužívané 0-day zranitelnosti ve firewallech Cisco, nový malware inspirovaný ransomwarem Petya i řadu dalších aktuálních témat…

Interview ve Studiu ČT24 ke kybernetickému útoku na letištní systémy

Jan Kopriva — Sun, 21 Sep 2025 09:45:00 +0100

V sobotu 20. 9. jsem byl pozván do vysílání odpoledního Studia ČT 24, kde jsem odpovídal na otázky spojené s aktuálním útokem na systémy společnosti Collins Aerospace, jehož dopad postihl řadu evropských letišť. Záznam z vysílání Studia ČT24 najdete v případě zájmu na tomto odkazu - částí věnovanou výše zmíněnému tématu začíná přibližně v čase 9:50…

SecurityCast Ep#298 - Chat Control: Je sledování našich zpráv v EU nevyhnutelné?

Jan Kopriva — Tue, 16 Sep 2025 21:30:00 +0100

Tak jako každý měsíc, i v září je tu nová epizoda speciálu podcastu ALEF SecurityCast. Najdete ji na YouTube a na Spotify a podíváme se v ní na plán obnovy slovenského katastru, další vývoj okolo nařízení EU Chat Control, varování NÚKIB před čínskými technologiemi i řadu dalších aktuálních témat…

Postřehy z bezpečnosti: masivní kompromitace balíčků npm

Jan Kopriva — Mon, 15 Sep 2025 09:15:00 +0100

Na portálu Root.cz byl dnes publikován můj nový příspěvek do seriálu Postřehy z bezpečnosti, v němž se podíváme na masivní útok na ekosystém balíčků npm, kritiku Microsoftu za nedostatečnou úroveň bezpečnosti v produktech nebo nový bezpečnostní mechanismus v iOS…

SANS ISC Diary - A quick look at sextortion at scale: 1,900 messages and 205 Bitcoin addresses spanning four years

Jan Kopriva — Tue, 02 Sep 2025 10:00:00 +0100

Dnes vyšel můj nový příspěvek na stránkách SANS Internet Storm Center. Text příspěvku je věnovaný analýze přibližně 1.900 sextortion zpráv z let 2021-2025 a zajímavým statistickým údajům, které z této analýzy vyplývají…

Postřehy z bezpečnosti: publikován nový zákon o kybernetické bezpečnosti

Jan Kopriva — Mon, 11 Aug 2025 08:30:00 +0100

Na portálu Root.cz byl dnes publikován můj nový příspěvek do seriálu Postřehy z bezpečnosti, v němž se podíváme na publikaci nového zákona o kybernetické bezpečnosti, zajímavosti z konferencí Black Hat a DEF CON nebo údajný backdoor v čipech NVIDIA dodávaných do Číny…

SecurityCast Ep#293 - Češi přicházejí o miliony kvůli podvodníkům a Británie zakazuje placení výkupného

Jan Kopriva — Thu, 07 Aug 2025 17:30:00 +0100

Tak jako každý měsíc, i v srpnu je tu nová epizoda speciálu podcastu ALEF SecurityCast. Najdete ji na YouTube a na Spotify a podíváme se v ní na útok na Aeroflot, záměr zakázat platby výkupných ransomwarovým aktérům ve Velké Británii, bankovní podvody v Čechách i řadu dalších aktuálních témat…

SANS ISC Diary - Do sextortion scams still work in 2025?

Jan Kopriva — Wed, 06 Aug 2025 11:30:00 +0100

Dnes vyšel můj nový příspěvek na stránkách SANS Internet Storm Center. Podíváme se v něm, zda jsou sociotechnické útoky typu “sextortion” stále efektivní i v roce 2025…

SANS ISC Diary - How quickly do we patch? A quick look from the global viewpoint

Jan Kopriva — Mon, 21 Jul 2025 13:00:00 +0100

Dnes vyšel můj nový příspěvek na stránkách SANS Internet Storm Center. Podíváme se v něm na to, jak rychle jsme jako globální společnost schopní záplatovat aktivně zneužívané zranitelnosti systémů dostupných z internetu…

SecurityCast Ep#289 - Zdivočelá AI a Česko pod tlakem: nemocnice, škola nebo Ministerstvo vnitra

Jan Kopriva — Mon, 14 Jul 2025 20:50:00 +0100

Tak jako každý měsíc, i v červenci je tu nová epizoda speciálu podcastu ALEF SecurityCast. Najdete ji na YouTube a na Spotify a podíváme se v ní na problémy s AI systémy, útok na nemocnici v Nymburku, varování NÚKIB před produkty společnosti DeepSeek i řadu dalších aktuálních témat…

Interview ve Studiu ČT24 k bezpečnostnímu incidentu na Ministerstvu vnitra

Jan Kopriva — Thu, 10 Jul 2025 15:45:00 +0100

Dnes jsem byl pozván do vysílání odpoledního Studia ČT 24, kde jsem odpovídal na otázky spojené s dnes oznámeným kybernetickým bezpečnostním incidentem, který zasáhnul systémy Ministerstva vnitra. Záznam z vysílání Studia ČT24 najdete v případě zájmu na tomto odkazu - částí věnovanou výše zmíněnému tématu začíná přibližně v čase 1:59:00…

Postřehy z bezpečnosti: další česká nemocnice zasažena kyberútokem

Jan Kopriva — Mon, 07 Jul 2025 07:50:00 +0100

Na portálu Root.cz byl dnes publikován můj nový příspěvek do seriálu Postřehy z bezpečnosti, v němž se podíváme na kybernetický útok na nemocnici v Nymburku, rizika spojená s QR kódy ve phishingových e-mailech nebo zákaz působení čínské společnosti Hikvision v Kanadě…

SANS ISC Diary - Phishing e-mail that hides malicious link from Outlook users

Jan Kopriva — Wed, 04 Jun 2025 12:30:00 +0100

Dnes vyšel můj nový příspěvek na stránkách SANS Internet Storm Center. Podíváme se v něm na zajímavý phishingový e-mail, který při otevření v nástroji outlook skrývá odkaz na podvodnou stránku…

SecurityCast Ep#283 - Česko ukázalo prstem na Čínu: Kdo na nás útočil a proč na tom záleží?

Jan Kopriva — Mon, 02 Jun 2025 17:40:00 +0100

Tak jako každý měsíc, i v červnu je tu nová epizoda speciálu podcastu ALEF SecurityCast. Najdete ji na YouTube a na Spotify a podíváme se v ní na atribuci útoku na Ministerstvo zahraničních věcí skupině APT31, zájem společnosti Meta využívat uživatelská data pro trénování AI, zvyšující se počty ClickFix útoků, zásah proti infostealeru Lumma i řadu dalších aktuálních témat…

Postřehy z bezpečnosti: Čína obviněna z útoku na české ministerstvo zahraničí

Jan Kopriva — Mon, 02 Jun 2025 07:20:00 +0100

Na portálu Root.cz byl dnes publikován můj nový příspěvek do seriálu Postřehy z bezpečnosti, v němž se podíváme na obvinění Číny z kybernetického útoku na Ministerstvo zahraničních věcí, uzákonění povinnosti hlásit výkupné placené ransomwarovým skupinám v Austrálii, nebo novinky na poli botnetů…

Cyb3r Club: Co se (ne)učí o kyberbezpečnosti

Jan Kopriva — Thu, 29 May 2025 12:15:00 +0100

Kolegové ze společnosti Cyber Rangers mě nedávno pozvali do svého podcastu Cyb3r Club. V rámci natáčení jsme měli možnost pohovořit o problémech, které provází blue teamy, o požadavcích na juniory v kyberbezpečnosti, o testování detekčních mechanismů i o řadě dalších souvisejících (i nesouvisejících) témat. Záznam, který byl dnes publikován, najdete v případě zájmu na kanálu Cyber Rangers na YouTube nebo níže…

SANS ISC Diary - Another day, another phishing campaign abusing google.com open redirects

Jan Kopriva — Wed, 14 May 2025 12:30:00 +0100

Dnes vyšel můj nový příspěvek na stránkách SANS Internet Storm Center. Podíváme se v něm na aktivně zneužívanou zranitelnost ve službě Google Travel, která umožňuje škodlivým aktérům vytvářet odkazy směřující na www.google.com, po jejichž otevření bude uživatel přesměrován na libovolné URL…

SecurityCast Ep#280 - Praha ztratila data, premiérův účet šířil propagandu, TikTok dostal přes prsty

Jan Kopriva — Mon, 12 May 2025 20:15:00 +0100

Tak jako každý měsíc, i v květnu je tu nová epizoda speciálu podcastu ALEF SecurityCast. Najdete ji na YouTube a na Spotify a podíváme se v ní na únik dat Správy služeb hlavního města Prahy při ransomwarovém incidentu, potenciální kompromitaci účtu premiéra Fialy na sociální síti X, schválení novelizace zákona o kybernetické bezpečnosti Poslaneckou sněmovnou i řadu dalších aktuálních témat…

Postřehy z bezpečnosti: nový zákon o kybernetické bezpečnosti prošel Poslaneckou sněmovnou

Jan Kopriva — Mon, 28 Apr 2025 07:20:00 +0100

Na portálu Root.cz byl dnes publikován můj nový příspěvek do seriálu Postřehy z bezpečnosti, v němž se podíváme na schválení novely zákona o kybernetické bezpečnosti, novou verzi rámce MITRE ATT&CK nebo pokračující podporu cookies třetích stran v Chromu…

SANS ISC Diary - It's 2025... so why are obviously malicious advertising URLs still going strong?

Jan Kopriva — Mon, 21 Apr 2025 10:50:00 +0100

Dnes vyšel můj nový příspěvek na stránkách SANS Internet Storm Center. Podíváme se v něm na phishingovou kampaň využívající reklamní služby společnosti Google pro přesměrování obětí na podvodné stránky a také na všeobecné bezpečnostní nedostatky internetových reklamních mechanismů…

Rozhovor pro Echo24 k napadení účtu premiéra na sociální síti X

Jan Kopriva — Mon, 14 Apr 2025 09:00:00 +0100

Koncem minulého týdne jsem deníku Echo24 poskytnul rozhovor k nedávnému napadaní účtu premiéra Fialy na sociální síti X (dříve Twitter). Související článek najdete na tomto odkazu…

ALEF SECURITY TALKSHOW VOL.1

Jan Kopriva — Sun, 13 Apr 2025 18:10:00 +0100

Tento měsíc je tu místo pravidelného speciálu podcastu ALEF SecurityCast první ALEF Security Talkshow, kterou jsme nahrávali minulý týden v Brně. Záznam z této akce aktuálně již najdete na YouTube. Uslyšíte v něm diskuzi věnovanou nedávnému připojení novináře do Signal skupiny v níž zástupci USA probírali probíhající vojenské operace, pokutě, která hrozí sociální síti X, mezinárodnímu boji proti kyberzločinu i řadě dalších aktuálních témat…

SANS ISC Diary - A Tale of Two Phishing Sites

Jan Kopriva — Fri, 28 Mar 2025 13:00:00 +0100

Dnes vyšel můj nový příspěvek na stránkách SANS Internet Storm Center. Podíváme se v něm na dvě phishingové stránky vycházející ze stejného phishing kitu, které se významně lišily (nejen) mírou obfuskce…

Postřehy z bezpečnosti: velké zneužívání malé zranitelnosti

Jan Kopriva — Mon, 24 Mar 2025 07:20:00 +0100

Na portálu Root.cz byl dnes publikován můj nový příspěvek do seriálu Postřehy z bezpečnosti, v němž se podíváme na dlouho využívanou zranitelnost ve zpracování souborů LNK ve Windows, snahy o snížení evropské závislosti na USA v oblasti IT nebo údajnou ruskou podporu ransomwarové skupiny Black Basta…

SecurityCast Ep#273 - Pravda o sběru dat o navštívených webech

Jan Kopriva — Wed, 19 Mar 2025 17:25:00 +0100

Tak jako každý měsíc, i v březnu je tu nová epizoda speciálu podcastu ALEF SecurityCast. Najdete ji na YouTube a na Spotify a podíváme se v ní další vývoj okolo britského požadavku na umožnění přístupu k šifrovaným datům nahrávaným na iCloud, požadavky českých ministerstev na rozšíření sběru dat ze strany poskytovatelů internetového připojení, pozastavení ofenzivních kybernetických operací cílených na Rusko ze strany USA i řadu dalších aktuálních témat…

Měření a zvyšování efektivity SOC a CSIRT - vybrané metodiky

Jan Kopriva — Tue, 04 Mar 2025 08:00:00 +0100

Slavný citát od Petera Druckera říká, že není možné řídit něco, co neměříme. Vzhledem k tomu, že toto pravidlo platí i v oblasti bezpečnostních týmů SOC a CSIRT, rozhodl jsem se dát dohromady krátký seznam vybraných metodik a modelů, které je možné pro měření vyspělosti a efektivity těchto týmů využít. Najdete jej (v angličtině) zde…

10 let Untrusted Network

Jan Kopriva — Mon, 03 Mar 2025 07:10:00 +0100

Stránka Untrusted Network dnes slaví desáté výročí své existence. Od roku 2015 se významně změnila, a to nejen vizuálně (pokud by vás zajímalo, jak vypadala původně, můžete se podívat na Internet Archive), ale i z pohledu obsahu. Aktuálně na ní najdete již 362 příspěvků v češtině a 153 příspěvků v angličtině.

A neb jsem si říkal, že by bylo vhodné podělit se u příležitosti tohoto výročí o něco zajímavého, níže najdete pár obecných statistických informací z AWStats, které se týkají celé doby existence tohoto portálu…

SecurityCast Ep#268 - slovenská katastrOFFa, boj o backdoor do iCloudu a (ne)bezpečnost DeepSeek AI

Jan Kopriva — Wed, 19 Feb 2025 15:55:00 +0100

I v únoru je tu nová epizoda pravidelného speciálu podcastu ALEF SecurityCast. Najdete ji na YouTube a na Spotify a podíváme se v ní britský požadavek na umožnění přístupu k šifrovaným datům nahrávaným na iCloud, kybernetický útok na slovenský katastr, rizika spojená s používáním DeepSeek AI i řadu dalších aktuálních témat…

Postřehy z bezpečnosti: Britové chtějí přístup k šifrovaným datům v iCloudu

Jan Kopriva — Mon, 17 Feb 2025 07:30:00 +0100

Na portálu Root.cz byl dnes publikován můj nový příspěvek do seriálu Postřehy z bezpečnosti, v němž se podíváme na další britskou snahu o získání přístupu k end-to-end šifrovaným datům, útoky APT skupin Sandworm a Salt Typhoon nebo „průnik“ do amerických federálních systémů ze strany organizace DOGE…

Podpora SSL 2.0 na serverech v České republice

Jan Kopriva — Mon, 10 Feb 2025 07:55:00 +0100

V souvislosti s článkem z minulého týdne, který byl věnovaný počtům z internetu dostupných serverů podporujících protokol SSL 2.0, mě napadlo, že by mohlo být zajímavé podívat se i na to, jak se za posledních pár let změnila podpora SSL 2.0 na serverech v České republice. Odpověď tak najdete v následujícím grafu…

SANS ISC Diary - SSL 2.0 turns 30 this Sunday... Perhaps the time has come to let it die?

Jan Kopriva — Fri, 07 Feb 2025 11:45:00 +0100

Dnes vyšel můj nový příspěvek na stránkách SANS Internet Storm Center. Podíváme se v něm na třicetileté výročí zveřejnění protokolu SSL 2.0 a počty systémů připojených k internetu, které jej stále podporují…

SANS ISC Diary - An unusual 'shy z-wasp' phishing

Jan Kopriva — Mon, 27 Jan 2025 12:20:00 +0100

Dnes vyšel můj nový příspěvek na stránkách SANS Internet Storm Center. Podíváme se v něm na netradiční phishingovou zprávu, v níž byly použity dvě různé techniky pro obcházení bezpečnostních filtrů, spočívající v dělení textu s pomocí netištěných znaků…

Postřehy z bezpečnosti: kybernetický útok na slovenský katastr nemovitostí

Jan Kopriva — Mon, 13 Jan 2025 07:30:00 +0100

Na portálu Root.cz byl dnes publikován můj nový příspěvek do seriálu Postřehy z bezpečnosti, v němž se podíváme na kybernetický útok na slovenský katastr nemovitostí, pokutu pro Evropskou komisi pro porušování GDPR nebo zvýšenou spolupráci Telegramu s policejními složkami…

SecurityCast Ep#262 - o zranitelnostech v infotainmentu vozů Škoda nebo neposlušné Siri

Jan Kopriva — Thu, 09 Jan 2025 16:00:00 +0100

S prvními lednovými týdny je tu i nová epizoda pravidelného speciálu podcastu ALEF SecurityCast. Najdete ji na YouTube a na Spotify a podíváme se v ní na krádeže kryptoměn ze strany severokorejských APT aktérů, zranitelnosti v infotainmentech vozů Škoda, kompromitaci velkého množství rozšíření pro prohlížeč Chrome i řadu dalších témat…

SANS ISC Diary - Changes in SSL and TLS support in 2024

Jan Kopriva — Mon, 30 Dec 2024 12:25:00 +0100

Dnes vyšel můj nový příspěvek na stránkách SANS Internet Storm Center, v němž se podíváme na změny v podpoře SSL/TLS protokolů na webových a e-mailových serverech v průběhu roku 2024…

Vánoční speciál SecurityCast - ohlédněte se s námi za událostmi roku 2024

Jan Kopriva — Tue, 24 Dec 2024 18:00:00 +0100

Na závěr roku jsme připravili speciální epizodu podcastu ALEF SecurityCast. Najdete ji na YouTube a na Spotify a podíváme se v ní na ta nejzajímavější témata, která nás v oblasti kybernetické bezpečnosti provázela v posledních dvanácti měsících…

Interview v pořadu 90' ČT24 k rizikovým e-shopům

Jan Kopriva — Mon, 16 Dec 2024 21:55:00 +0100

Dnes večer jsem byl pozván do vysílání pořadu 90' ČT 24, kde jsem měl možnost krátce se vyjádřit (nejen) k rizikům spojeným s podvodnými e-shopy, s čínskými internetovými tržišti a nákupními mobilními aplikacemi. Záznam z vysílání pořadu najdete v případě zájmu na tomto odkazu - část věnovaná výše zmíněným tématům začíná přibližně na dvacáte osmé minutě…

SecurityCast Ep#259 - o výhře EY ESO Cyber Security Trophy nebo zrušených rumunských volbách

Jan Kopriva — Mon, 16 Dec 2024 16:00:00 +0100

Tak jako každý měsíc, i v prosinci je tu nová epizoda pravidelného speciálu podcastu ALEF SecurityCast. Najdete ji na YouTube a na Spotify a podíváme se v ní na šíření odkazů na škodlivou aplikaci tradiční poštou, falešné e-shopy, ovlivňování veřejného mínění rumuských občanů před prezidentskými volbami prostřednictvím sociálních sítí i řadu dalších témat…

Interview ve Studiu ČT24 k podvodným telefonátům

Jan Kopriva — Mon, 09 Dec 2024 08:15:00 +0100

V pátek jsem byl pozván do vysílání dopoledního Studia ČT 24, kde jsem měl možnost krátce pohovořit o aktuálních trendech v oblasti podvodných telefonátů a o postupech pro jejich odhalování. Záznam z vysílání Studia ČT24 najdete v případě zájmu na tomto odkazu - část věnovaná výše zmíněnému tématu začíná přibližně v čase 17:40…

Postřehy z bezpečnosti: zákon o kybernetické bezpečnosti o krok blíže schválení

Jan Kopriva — Mon, 02 Dec 2024 07:30:00 +0100

Na portálu Root.cz byl dnes publikován můj nový příspěvek do seriálu Postřehy z bezpečnosti, v němž se podíváme na nedávný vývoj okolo nového zákona o kybernetické bezpečnosti, první UEFI bootkit pro Linux nebo obcházení antivirů s pomocí herního enginu…

SANS ISC Diary - The strange case of disappearing Russian servers

Jan Kopriva — Mon, 25 Nov 2024 08:14:15 +0100

Dnes vyšel můj nový příspěvek na stránkách SANS Internet Storm Center, v němž se podíváme na nedávné citelné snížené počtu serverů, které Shodan detekuje na území Ruska…

SecurityCast Ep#254 - o čínském vydírání, amerických volbách nebo vysokých pokutách

Jan Kopriva — Sat, 16 Nov 2024 09:00:00 +0100

S prvními listopadovými týdny je tu i nová epizoda pravidelného speciálu podcastu ALEF SecurityCast. Najdete ji na YouTube a na Spotify a podíváme se v ní na historické varování NÚKIB upozorňující na hrozby spojené s produkty čínských společností, kybernetické útoky a dezinformační kampaně v souvislosti s volbami v USA, masivní pokuty za prohřešky v oblasti kybernetické bezpečnosti i řadu dalších témat…

SANS ISC Diary - Self-contained HTML phishing attachment using Telegram to exfiltrate stolen credentials

Jan Kopriva — Mon, 28 Oct 2024 08:15:00 +0100

Dnes vyšel můj nový příspěvek na stránkách SANS Internet Storm Center, v němž se podíváme na HTML stránku, která byla přiložena k phishingovému e-mailu a která zasílala zadané přihlašovací údaje útočníkovi s pomocí Telegramu…

Postřehy z bezpečnosti: milionové pokuty za nepřiznání dopadů kyberútoků

Jan Kopriva — Mon, 28 Oct 2024 07:30:00 +0100

Na portálu Root.cz byl dnes publikován můj nový příspěvek do seriálu Postřehy z bezpečnosti, v němž se podíváme na aktivně zneužívanou 0-day zranitelnost v systému FortiManager, výsledky soutěže Pwn2Own Ireland nebo masivní pokuty za nedostatečné přiznávání dopadů kybernetických bezpečnostních incidentů…

Interview ve Studiu 6 k podvodným QR kódům

Jan Kopriva — Fri, 25 Oct 2024 08:00:00 +0100

Včera jsem měl možnost ve vysílání Studia 6 v České televizi krátce pohovořit o rizicích spojených s QR kódy a o útocích, v rámci nichž jsou QR kódy využívány pro páchání podvodů. Relevantní část záznamu z vysílání Studia 6 najdete v případě zájmu na tomto odkazu…

SecurityCast Ep#249 - o vzdáleně odemykatelných autech, výbušných pagerech nebo síle hesel

Jan Kopriva — Wed, 16 Oct 2024 17:10:00 +0100

Tak jako každý měsíc, i v říjnu (byť později než obvykle) je tu nová epizoda pravidelného speciálu podcastu ALEF SecurityCast. Najdete ji na YouTube a na Spotify a podíváme se v ní na zranitelnosti postihující vozy značky Kia, spolupráci Telegramu s policií, novinky v sextortion útocích, i řadu dalších témat…

Přednáška na konferenci Linux Days - Podvodné zpravy, phishing, spam a ochrana proti zneužití e-mailu

Jan Kopriva — Sun, 13 Oct 2024 08:00:00 +0100

Včera jsem měl možnost připojit se ke kolegovi Janu Dušátkovi, který stojí mj. za projektem Cryptosession a souvisejícími školeními, na konferenci Linux Days 2024. Společně jsme publiku představili prezentaci zaměřenou na problematiku bezpečnosti e-mailů. Pokud jste se k nám nemohli připojit, ale problematika zabezpečení e-mailů vás zajímá, na stránkách konference si již nyní můžete stáhnout související slidy a na YouTube kanálu konference již najdete záznam našeho vystoupení…

Postřehy z bezpečnosti: dvoumiliardová pokuta za nedostatečnou ochranu hesel

Jan Kopriva — Mon, 07 Oct 2024 08:10:00 +0100

Na portálu Root.cz byl dnes publikován můj nový příspěvek do seriálu Postřehy z bezpečnosti, v němž se podíváme na dvoumiliardovou pokutu udělenou společnosti Meta v souvislosti s ukládáním hesel v čitelné podobě, útočnou kampaň instalující skimmery na e-shopy nebo největší DDoS útok v historii…

SANS ISC Diary - Phishing links with @ sign and the need for effective security awareness building

Jan Kopriva — Mon, 23 Sep 2024 08:55:00 +0100

Dnes vyšel můj nový příspěvek na stránkách SANS Internet Storm Center, v němž se podíváme na zneužívání “user information” řetězců v URL a na problematiku efektivního budování bezpečnostního povědomí o phishingu…

SecurityCast Ep#244 - o datech z elektronické občanky, největším zaplaceném výkupném nebo Log4Shell

Jan Kopriva — Mon, 09 Sep 2024 18:30:00 +0100

Tak jako každý měsíc, i v září je tu nová epizoda pravidelného speciálu podcastu ALEF SecurityCast. Najdete ji na YouTube a na Spotify a podíváme se v ní na aféru odesílání potenciálně citlivých dat z aplikace eDoklady do zahraničí, zatčení CEO Telegramu ve Francii, aktuální trendy v chování ransomware skupin, i řadu dalších témat…

Postřehy z bezpečnosti: klonování hardwarových tokenů YubiKey

Jan Kopriva — Mon, 09 Sep 2024 07:15:00 +0100

Na portálu Root.cz byl dnes publikován můj nový příspěvek do seriálu Postřehy z bezpečnosti, v němž se podíváme na nový útok umožňující klonovat tokeny YubiKey, nové trendy v sextortion útocích, zprávu o aktivitách ruské APT skupiny, na jejíž přípravě participovali i české zpravodajské služby, i mnoho dalších zajímavostí z uplynulého týdne…

SecurityCast Ep#240 - o historicky největším výpadku IT systémů nebo velkém problému pro Secure Boot

Jan Kopriva — Thu, 08 Aug 2024 16:00:00 +0100

Tak jako každý měsíc, i se začátkem srpna je tu nová epizoda pravidelného speciálu podcastu ALEF SecurityCast. Najdete ji na YouTube a na Spotify a podíváme se v ní na nedávné výpadky IT systémů způsobené chybnou aktualizací pro produkt CorwdStrike Falcon, nové malwaretisingové útoky, další postup ve schvalování novely zákona o kybernetické bezpečnosti, i řadu dalších témat…

SANS ISC Diary - Script obfuscation using multiple instances of the same function

Jan Kopriva — Mon, 05 Aug 2024 08:15:00 +0100

Dnes vyšel můj nový příspěvek na stránkách SANS Internet Storm Center, v němž se podíváme na zajímavý způsob obfuskace skriptů…

Postřehy z bezpečnosti: pokračování CrowdStrike a problémy Secure Bootu

Jan Kopriva — Mon, 29 Jul 2024 08:30:00 +0100

Na portálu Root.cz byl dnes publikován můj nový příspěvek do seriálu Postřehy z bezpečnosti, v němž se podíváme na pokračující vývoj okolo výpadků systémů spojených s updatem pro EDR CrowdStrike, slabinu postihující Secure Boot na řadě systémů významných výrobců i mnoho dalších zajímavostí z uplynulého týdne…

Interview ve Studiu ČT24 k důsledkům masivních IT výpadků

Jan Kopriva — Tue, 23 Jul 2024 15:00:00 +0100

Dnes jsem byl pozván do vysílání odpoledního Studia ČT 24, kde jsem měl možnost krátce pohovořit o některých okolnostech masivních výpadků IT systémů v souvislosti s nedávnou chybnou aktualizací pro senzory CrowdStrike Falcon pro Windows. Záznam z vysílání Studia ČT24 najdete v případě zájmu na tomto odkazu - část věnovaná výše zmíněnému tématu začíná přibližně na jedenácté minutě…

Interview ve Studiu ČT24 k výpadkům spojeným updatem senzorů CrowdStrike Falcon

Jan Kopriva — Fri, 19 Jul 2024 13:45:00 +0100

Dnes jsem byl pozván do vysílání odpoledního Studia ČT 24, kde jsem odpovídal na otázky spojené s aktuálními výpadky spojenými s chybnou aktualizací pro senzory CrowdStrike Falcon pro Windows, v důsledku nichž operační systémy nejsou schopny korektně nabootovat. Záznam z vysílání Studia ČT24 najdete v případě zájmu na tomto odkazu - částí věnovanou výše zmíněnému tématu celý záznam začíná…

SANS ISC Diary - 'Reply-chain phishing' with a twist

Jan Kopriva — Tue, 16 Jul 2024 11:30:00 +0100

Dnes vyšel můj nový příspěvek na stránkách SANS Internet Storm Center, v němž se podíváme na relativně neobvyklou techniku spojenou s “reply-chain” phishing útoky…

SecurityCast Ep#235 - o návrhu kontroly zpráv, nekomunikaci NÚKIBu nebo zranitelnosti v OpenSSH

Jan Kopriva — Sun, 07 Jul 2024 17:35:00 +0100

Tak jako každý měsíc, i se začátkem července je tu nová epizoda pravidelného speciálu podcastu ALEF SecurityCast. Najdete ji na YouTube a na Spotify a podíváme se v ní na pokračující diskuzi okolo monitoringu end-to-end šifrované komunikace, potenciálně problematickou komunikaci NÚKIBu směrem k odborné i široké veřejnosti, zranitelnost regreSSHion, která postihuje velké množství verzí OpenSSH, i řadu dalších témat…

SANS ISC Diary - Support of SSL 2.0 on web servers in 2024

Jan Kopriva — Fri, 28 Jun 2024 12:00:00 +0100

Dnes vyšel můj nový příspěvek na stránkách SANS Internet Storm Center, v němž se podíváme na počty webových serverů, které v současnosti stále podporují protokol SSL v2.0…

Interview ve Studiu ČT24 k zákonu o kybernetické bezpečnosti

Jan Kopriva — Tue, 18 Jun 2024 13:30:00 +0100

Dnes jsem byl pozván do vysílání dopoledního Studia ČT 24, kde jsem měl možnost krátce pohovořit o aktuálně připravované novelizaci zákona o kybernetické bezpečnosti a o kritických hlasech, které ze strany řady organizací v souvislosti s její tvorbou zaznívají na adresu NÚKIB. Záznam z vysílání Studia ČT24 najdete v případě zájmu na tomto odkazu - část věnovaná výše zmíněnému tématu začíná přibližně v čase 1:14:20…

Postřehy z bezpečnosti: novela zákona o kybernetické bezpečnosti doporučena ke schválení

Jan Kopriva — Mon, 17 Jun 2024 07:30:00 +0100

Na portálu Root.cz byl dnes publikován můj nový příspěvek do seriálu Postřehy z bezpečnosti, v němž se podíváme na novinky okolo návrhu zákona o kybernetické bezpečnosti, změny v plánovaném nasazení funkce Recall do Windows nebo kompromitaci desítek tisíc zařízení FortiGate ze strany čínských státních aktérů…

SecurityCast Ep#230 - o hrátkách Microsoftu s naším soukromím nebo bezpečnosti biometriky

Jan Kopriva — Thu, 06 Jun 2024 22:00:00 +0100

Tak jako každý měsíc, i v červnu je tu i nová epizoda pravidelného speciálu podcastu ALEF SecurityCast. Najdete ji na YouTube a na Spotify a podíváme se v ní na potenciálně nebezpečnou funkci Recall, kterou společnost Microsoft plánuje implementovat do operačního systému Windows 11, krádež desítek milionů záznamů o zákaznících společnosti Dell, zero-day zranitelnosti v prohlížeči Chrome i řadu dalších témat…

SANS ISC Diary - Files with TXZ extension used as malspam attachments

Jan Kopriva — Mon, 27 May 2024 08:45:00 +0100

Dnes vyšel můj nový příspěvek na stránkách SANS Internet Storm Center, v němž se podíváme na škodlivé e-mailové kampaně s přiloženými soubory s příponami TXZ…

SecurityCast Ep#225 - o odložení nového ZKB, nárůstu poptávky po VPN v Texasu nebo moderní válce

Jan Kopriva — Thu, 09 May 2024 16:30:00 +0100

Tak jako každý měsíc, i v květnu je tu i nová epizoda pravidelného speciálu podcastu ALEF SecurityCast. Najdete ji na YouTube a na Spotify a podíváme se v ní na reakci Ministerstva zahraničí na útoky APT28 na ČR, nedávný průnik do systémů ČTK, deepfake phishing na zaměstnance společnosti LastPass i řadu dalších témat…

Interview ve Studiu ČT24 o útocích skupiny APT28 na ČR

Jan Kopriva — Mon, 06 May 2024 08:35:00 +0100

V souvislosti s nedávným prohlášením Ministerstva zahraničí ke kyberútokům ruské skupiny APT28 na Česko jsem byl o víkendu pozván do vysílání odpoledního Studia ČT 24, kde jsem měl možnost krátce pohovořit o výše zmíněné skupině a jí užívaných postupech. Záznam z vysílání Studia ČT24 najdete v případě zájmu na tomto odkazu - část věnovaná výše zmíněnému tématu začíná začíná přibližně na páté minutě…

Postřehy z bezpečnosti: ruské útoky (nejen) na ČR

Jan Kopriva — Mon, 06 May 2024 07:30:00 +0100

Na portálu Root.cz byl dnes publikován můj nový příspěvek do seriálu Postřehy z bezpečnosti, v němž se podíváme na mezinárodní reakci na ruské kybernetické útoky na české a německé instituce, zneužívání prázdných repozitářů na Docker Hubu nebo nedávné aktivity běloruských Kyberpartyzánů…

Průmyslové systémy dostupné z internetu v ČR

Jan Kopriva — Wed, 24 Apr 2024 08:40:00 +0100

V pondělí jsem publikoval krátký článek věnovaný překvapivě vysokým počtům průmyslových systémů, resp. systémů komunikujících s pomocí standardních průmyslových protokolů, které jsou volně přístupné z internetu. Vzhledem k tomu, že tento článek se nicméně věnoval převážně celosvětové situaci, říkal jsem si, že by mohlo být zajímavé doplnit jej i o aktuální pohled na počty těchto systémů v České republice. Ten tak najdete níže.

Jak ukazuje následující graf, organizace Shadowserver Foundation v současnosti v ČR eviduje cca 450 průmyslových systémů, platformy Censys a Shodan pak udávají počty přes 1000, resp. přes 1100.

Mezi průmyslovými protokoly, kterými dostupné systémy komunikují, je pak dle platforem Censys a Shodan jednoznačně nejčastější Modbus - Shodan aktuálně eviduje přes 400 systémů, které jmenovaný protokol využívají, a Censys jich eviduje dokonce lehce přes 900. Zaznamenaný počet těchto systémů je citelně nižší v datech z Shadowserveru, nicméně vzhledem k tomu, že počet zařízení komunikujících protokolem Modbus je v datech Shadowserveru i celosvětově citelně nižší, než ten evidovaným zbylými dvěma platformami, lze předpokládat, že na vině je omezená schopnost tyto systémy identifikovat ze strany jmenované organizace, spíše než vysoké množství false-positive detekcí ze strany Censysu a Shodanu.

Níže uvedené grafy ukazují vývoj počtu průmyslových systémů dostupných z internetu v prostředí ČR evidovaného platformou Shodan. Zvláštní zmínku zaslouží, že z prvního grafu je patrné, že za poslední cca 3 roky se tento počet výrazně nezměnil a osciluje okolo hodnoty 1100.

Zdroj: Shodan

SANS ISC Diary - It appears that the number of industrial devices accessible from the internet has risen by 30 thousand over the past three years

Jan Kopriva — Mon, 22 Apr 2024 12:25:00 +0100

Dnes vyšel můj nový příspěvek na stránkách SANS Internet Storm Center, v němž se podíváme na počty průmyslových řídicích systémů dostupných z internetu…

SecurityCast Ep#220 - o odložení nového ZKB, nárůstu poptávky po VPN v Texasu nebo moderní válce

Jan Kopriva — Wed, 10 Apr 2024 16:30:00 +0100

Tak jako každý měsíc, i v dubnu je tu i nová epizoda pravidelného speciálu podcastu ALEF SecurityCast. Najdete ji na YouTube a na Spotify a podíváme se v ní na opoždění novelizace zákona o kybernetické bezpečnosti, nárůst poptávky po VPN v Texasu, sofistikovaný backdoor v xz-utils i řadu dalších témat…

SANS ISC Diary - The xz-utils backdoor in security advisories by national CSIRTs

Jan Kopriva — Mon, 01 Apr 2024 13:55:00 +0100

Dnes vyšel můj nový příspěvek na stránkách SANS Internet Storm Center, v němž se podíváme na publikaci varování ohledně backdooru v balíčku xz-utils ze strany vládních a národních CSIRTů…

Postřehy z bezpečnosti: nový typ DoS útoku na protokoly využívající UDP

Jan Kopriva — Mon, 25 Mar 2024 07:30:00 +0100

Na portálu Root.cz byl dnes publikován můj nový příspěvek do seriálu Postřehy z bezpečnosti, v němž se podíváme na nový typ DoS útoku na UDP protokoly, zranitelnosti umožňující otevírat miliony dveří v hotelech po celém světě nebo pokračující problémy s databází NVD…

SANS ISC Diary - Increase in the number of phishing messages pointing to IPFS and to R2 buckets

Jan Kopriva — Thu, 14 Mar 2024 09:55:00 +0100

Dnes vyšel můj nový příspěvek na stránkách SANS Internet Storm Center, v němž se podíváme na nedávný nárůst počtu phishingových zpráv odkazujících na IPFS a úložiště R2…

SecurityCast Ep#216 - Zákeřné Zubní Kartáčky, Zdrojový Kód Pegasu A Ruští Hackeři Trápí Microsoft

Jan Kopriva — Wed, 13 Mar 2024 20:55:00 +0100

S příchodem března je tu i nová epizoda pravidelného speciálu podcastu ALEF SecurityCast. Najdete ji na YouTube a na Spotify a podíváme se v ní na zajímavý vývoj okolo komerčního spyware Pegasus, platby spojené s ransomwarem v roce 2023 nebo pokutu společnosti Avast za prodej dat jejích zákazníků…

Aktivně zneužívaná open redirect zranitelnost ve službě Google Web Light

Jan Kopriva — Mon, 26 Feb 2024 06:30:00 +0100

Na doméně googleweblight.com, kterou historicky společnost Google využívala pro provozování služby Web Light, existuje open redirect zranitelnost, jíž v současnosti aktvině zneužívají útočníci v rámci phishingových kampaní. Google se rozhodl, že zranitelnost nebude záplatovat a na straně organizací tak může tak být žádoucí přístup ke jmenované doméně blokovat.

Detailnější popis zranitelnosti i ukázky zpráv ze souvisejících phishingových kampaní najdete (v anglickém jazyce) zde.

SANS ISC Diary - Phishing pages hosted on archive.org

Jan Kopriva — Wed, 21 Feb 2024 08:30:00 +0100

Dnes vyšel můj nový příspěvek na stránkách SANS Internet Storm Center, v němž se podíváme na zneužívání portálu archive.org pro hostování phishingových stránek…

Postřehy z bezpečnosti: zubní kartáčky na nás (zatím) neútočí

Jan Kopriva — Mon, 12 Feb 2024 07:00:00 +0100

Na portálu Root.cz byl dnes publikován můj nový příspěvek do seriálu Postřehy z bezpečnosti, v němž se podíváme na neexistující botnet složený z chytrých zubních kartáčků, rekordní nárůst plateb ransomwarovým skupinám v roce 2023 nebo sociotechnický útok s využitím deepfake technologií, při němž si podvodníci údajně přišli na více než půl miliardy…

Změny v rámci evidence incidentů, aneb nepřesnosti v datech publikovaných ze strany NÚKIB

Jan Kopriva — Fri, 09 Feb 2024 07:00:00 +0100

TL;DR: NÚKIB nedávno informoval o rekordním počtu incidentů v roce 2023, nicméně jím udávaný počet se citelně lišil od počtu incidentů, o nichž v průběhu roku informoval v rámci svých vlastních pravidelných měsíčních reportů. Zpráva za leden 2024 zřejmě tento rozdíl vysvětluje, činí tak nicméně velmi nekonkrétním způsobem, přičemž současně zpětně citelně upravuje počty incidentů, které NÚKIB eviduje pro jednotlivé měsíce roku 2023. Platnost dat z reportů publikovaných v průběhu loňského roku, s nimiž bezpečnostní komunita, média i veřejnost pracovali, je tak přinejmenším omezená. Dozví se o tom však jen ten, kdo bude důsledně studovat zápatí úvodní stránky lednového reportu, neb nikde jinde tato informace uvedena není.

Na úvod tohoto krátkého článku si dovolím zmínit, že proti Národnímu úřadu pro kybernetickou a informační bezpečnost (NÚKIB) nechovám žádnou zášť. Přestože některé jeho kroky a aktivity nepovažuji za zrovna šťastné, domnívám se, že jde o převážně rozumně efektivně fungující státní organizaci. Většiny jeho zaměstnanců, s nimiž jsem kdy přišel do styku, si velmi vážím a považuji je za kvalifikované odborníky, a některé z nich mám to štěstí počítat i mezi své přátele.

S tímto úvodem je pravděpodobně již každému čtenáři jasné, jakým směrem se bude další text ubírat. Stojím si nicméně za tím, že konstruktivní kritika jakékoli veřejné instituce je na místě, pokud tato instituce jedná zjevně neoptimálně. Jsem rovněž přesvědčen, že není nemístné takovou kritiku publikovat otevřeně, zejména ve chvíli, kdy daná instituce nereaguje na opakované pokusy o přímou komunikaci jinými kanály. Ale o tom více až za později…

Pro kontext je nejprve vhodné uvést, že NÚKIB začal již v roce 2014, kdy zveřejnil relevantní data k druhé polovině roku 2013, publikovat pravidelné roční zprávy o stavu kybernetické bezpečnosti České republiky za předchozích 12 měsíců. V nich vždy uvádí mj. počty a typy evidovaných kybernetických bezpečnostních incidentů, a to buď přes jednotlivé měsíce daného roku, nebo alespoň souhrnně, za celý rok. Počty incidentů jsou přitom v každé ze zpráv vždy uvedeny buď v rámci textu, nebo jsou patrné z některého z grafů.

Drobnou výjimkou je v tomto ohledu jen zpráva za rok 2015, v níž se do žádné části zprávy informace o počtu incidentů z nějakého důvodu vůbec nedostala, a vývoj situace ve zmíněném roce v ní tak – lehce nešťastně – popisuje pouze níže uvedený graf bez konkrétních numerických hodnot.

Zdroj: NÚKIB

Informace o počtech nahlášených a řešených incidentů publikované v každoročních souhrnných zprávách lze považovat za velmi zajímavé, neb do jisté míry odráží situaci stran útoků na české organizace, a řada organizací je také využívá při řízení bezpečnosti ve svém prostředí na strategické a taktické úrovni – mj. při tvorbě modelů hrozeb pro svá prostředí nebo při vyhodnocování rizik spojených s různými typy incidentů.

Pro úplnost je vhodné uvést, že vedle těchto souhrnných celoročních zpráv publikoval NÚKIB na GitHubu po dobu několika měsíců také detailnější seznam incidentů, které evidoval v letech 2021 a 2022. Tento seznam však nebyl aktualizován od srpna 2022.
V čem však úřad pokračuje je publikace periodických měsíčních shrnutí nazvaných Kybernetické incidenty pohledem NÚKIB, s níž začal v říjnu 2021 a v níž pokračuje (s několika drobnými přestávkami) až do současnosti.

Tyto reporty jsou odbornou komunitou i populárními médii sledovány relativně detailně, a využívány podobně jako výše zmíněné souhrnné roční zprávy. Jsou v nich totiž uvedeny mj. počty a typy incidentů, které úřad v konkrétních měsících evidoval, přičemž je vždy uveden i graf vývoje počtu nahlášených incidentů v posledních 12 měsících.

Problémem je, že tato data jsou (nebo alespoň v průběhu roku 2023 byla) zřejmě citelně nepřesná.

Počty incidentů uváděné v jednotlivých měsících, které na první pohled rovněž odpovídají hodnotám vyobrazeným v grafech publikovaných v dílčích reportech za rok 2023, jsou následující: v lednu 21, v únoru 13, v březnu 28, v dubnu 14, v květnu 19, v červnu 22, v červenci 13, v srpnu 27, v září 21, v říjnu 27, v listopadu 10 a v prosinci 12.

Vzhledem k tomu, že NÚKIB publikoval tyto reporty vždy až v měsíci následujícím po tom, k němuž se vztahují, dalo by se rozumně předpokládat, že budou pokrývat všechny relevantní incidenty, k nimž v daném měsíci došlo, vzhledem k tomu, že §8 zákona 181/2014 Sb. požaduje po organizacích, které jsou povinny incidenty ohlašovat, aby tak činily bezodkladně. Pro citelnější pozdější modifikace počtů incidentů evidovaných v jednotlivých měsících by tak ze strany úřadu neměl být důvod.

Lze si nicméně představit situaci, kdy by mohly být určité malé počty incidentů, k nimž došlo na konci měsíce, nahlášeny například s týdenním zpožděním, v důsledku čehož by byla určitá drobná pozdější korekce nezbytná. K něčemu takovému v průběhu roku 2023 zjevně došlo minimálně v reportu za září, přičemž byl upraven počet incidentů evidovaných v srpnu, neb jak je vidět z následujících obrázků, graf publikovaný v zářiovém reportu zjevně ukazuje v srpnu vyšší počet, než graf z předchozího měsíce, v němž hodnota odpovídala původně avizovaným 27 incidentům.

Změna je patrná zejména při porovnání s hodnotou za březen, kdy NÚKIB evidoval 28 incidentů – v prvním grafu je srpnová hodnota pod březnovou, v druhém citelně nad ní.

Zdroj: NÚKIB

Je otázkou, proč se k této úpravě počtu incidentů evidovaných pro srpen NÚKIB v textu zářijového reportu nijak explicitně nevyjádřil, přestože graf (resp. jeden ze dvou grafů) změnu jednoznačně ukazuje a nějaké vysvětlení by tak bylo zcela jistě na místě. To však není zdaleka největší úprava historických hodnot, k níž v rámci informování o počtech incidentů ze strany úřadu v posledních měsících došlo.

Ve středu 31. ledna 2024 totiž NÚKIB publikoval na svých stránkách zprávu, v níž informoval, že v roce 2023 zaznamenal rekordní počet kybernetických bezpečnostních incidentů, kterých bylo údajně celkem 262. Přinejmenším matoucí však bylo, že počty incidentů, které NÚKIB uváděl v jednotlivých měsíčních reportech za rok 2023, v součtu dávaly pouze 227 incidentů. I pokud bychom připočetli několik incidentů vzhledem k výše zmíněné zjevné pozdější změně srpnových dat, stále bychom byli citelně vzdáleni 35 incidentům, o které se hodnota publikovaná v prohlášení úřadu lišila od dat vycházejících z dílčích měsíčních reportů.

NÚKIB v rámci samotného prohlášení tento rozdíl nijak nekomentoval a jeho bližší zkoumání se možná může zdát až přehnaně malicherné, je však třeba zdůraznit, že – jak již bylo uvedeno – stejně jako z každoročně publikovaných souhrnných zpráv, i z dílčích měsíčních reportů vychází řada organizací při vyhodnocování aktuálních rizik a řízení vlastní bezpečnosti, a závažnější nepřesnosti v nich tak jsou přinejmenším nežádoucí. Rozdíl 35 incidentů přitom odpovídá cca 15 % počtu vycházejícího z měsíčních reportů, což rozhodně za závažnější nepřesnost považovat lze.

Neb patřím mezi ty, kteří s daty publikovaným úřadem aktivně pracují, a výše uvedeného rozporu jsem si tak všimnul, požádal jsem NÚKIB v reakci na jím publikovanou zprávu na síti LinkedIn o jeho vysvětlení. Vzhledem k tomu, že jsem se ani po několika dnech nedočkal žádné reakce, zaslal jsem na NÚKIB toto pondělí, 5. 2. rovněž e-mailovou zprávu, jejíž relevantní část uvádím zde:

"Dobrý den, vážení,

Chtěl bych Vás touto cestou požádat o vysvětlení rozdílu mezi Vámi nedávno publikovaným „rekordním“ počtem incidentů evidovaných v roce 2023 (262 – viz https://nukib.gov.cz/cs/infoservis/aktuality/2073-nukib-v-roce-2023-zaznamenal-rekordni-pocet-kybernetickych-incidentu/) a počtem, který vyplývá z Vámi publikovaných každoměsíčních přehledů. Ty totiž za rok 2023 dávají v součtu „pouze“ 227 incidentů (v lednu 21, v únoru 13, v březnu 28, v dubnu 14, v květnu 19, v červnu 22, v červenci 13, v srpnu 27, v září 21, v říjnu 27, v listopadu 10 a v prosinci 12). Bez ohledu na zdroj tohoto rozdílu Vám budu vděčný za reakci.

Současně si v kontextu periodicky publikovaných reportů dovolím zmínit, že standard TLP explicitně zakazuje, aby TLP štítky obsahovaly mezeru (viz https://www.first.org/tlp/). V souladu se standardem by tedy mělo být užíváno např. „TLP:RED“, nikoli „TLP: RED“, a v tomto kontextu bych Vám tak doporučil upravit závěrečnou část měsíčních reportů, v nichž je TLP klasifikace popsána. Pro úplnost si rovněž dovolím zmínit, že popis TLP úrovní v měsíčních reportech není zcela korektní – např. u TLP:AMBER+STRICT neuvádí potřebu „need to know“, ale popisuje situaci tak, jako kdyby bylo možné šířit informaci v organizaci, jíž byla poskytnuta, bez omezení, což rozhodně neplatí. Doporučil bych tedy zvážit úpravu i pokud jde o texty vysvětlující jednotlivé úrovně TLP, případně převzít oficiální překlad standardu ze stránek FIRST."

Na tuto zprávu jsem – stejně jako na onu prosbu na síti LinkedIn – v době publikace tohoto článku stále neobdržel ze strany úřadu žádnou reakci. Zmínku přitom zaslouží, že výše uvedený e-mail prokazatelně do NÚKIB nejen dorazil, ale dokonce se dostal na místa, která mají s publikací reportů co do činění.

Ve středu 7. 2. totiž úřad publikoval měsíční report za leden, v němž je textace spojená se standardem Traffic Light Protocol (TLP) upravena v souladu s doporučeními, která jsem ve e-mailu uváděl.

To však není to podstatné, absenci odpovědí na své všetečné dotazy bych byl ochotný tiše – byť přiznávám, že ne nezbytně nadšeně – ignorovat. Co mě však přimělo napsat tento článek bylo nenápadné vyjádření NÚKIB v zápatí úvodu zprávy a graf ukazující počty incidentů za posledních 12 měsíců, který byl ve zprávě obsažen.

NÚKIB v zápatí úvodu reportu uvedl: „Některá data uvedená v tomto přehledu se mohou lišit od přehledů z minulých měsíců. NÚKIB na přelomu roku přistoupil k některým změnám v rámci evidence incidentů, které mírně pozměnily dosavadní statistiky evidovaných incidentů“.

Sám si po pravdě úplně neumím představit k jak významným změnám mohl úřad přistoupit, pokud stále využívá stejnou taxonomii typů bezpečnostních incidentů i klasifikaci jejich závažností, a již dříve uváděl v reportech nejen incidenty ohlášené organizacemi, které jsou z jeho strany regulované, ale i těmi, které regulované nejsou, nicméně bez kontextu nám nezbývá, než výše uvedené vyjádření přijmout.

Zmínku však zaslouží dopady provedených změn, které jsou dobře patrné v grafu ukazujícím historický vývoj počtu incidentů z nového reportu. Ten uvádím níže spolu s grafem z reportu prosincového.

Zdroj: NÚKIB

Jak si můžete povšimnout, historické hodnoty v grafu z nově publikované zprávy se citelně liší od těch, které tvoří prosincový graf (a které převážně odpovídají i předchozím grafům publikovaným v průběhu roku 2023).

Aby byly rozdíly patrnější, hodnoty z obou grafů jsem vložil do jednoho grafu a upravil tak, aby odpovídaly stejnému rozsahu vertikální osy.

Zdroj: NÚKIB

Jak je vidět, ve zprávě za leden provedl NÚKIB citelnou revizi počtu incidentů publikovaných ve většině měsíců loňského roku. A vzhledem k citelném navýšení hodnot ve vybraných měsících (zejména v září) je dobře možné, že součet „nových“ počtů incidentů za jednotlivé měsíce z tohoto grafu bude skutečně odpovídat avizovaným 262.

Problémem však je, že NÚKIB tímto postupem, kdy do záznamů z loňského roku najednou zpětně zahrnul (zřejmě) okolo tří desítek nových, dříve nepublikovaných incidentů, principiálně zanesl ~15% chybu do dat vyplývajících z měsíčních reportů publikovaných v uplynulém roce, a to s minimálním komentářem a bez jakéhokoli vysvětlení nově užívaných postupů, nebo dopadů na procentuální zastoupení různých typů incidentů v jednotlivých měsících…

Jaké byly ze strany NÚKIB důvody pro ony „změny v rámci evidence“ se aktuálně (mj. vzhledem k oné absenci reakcí na žádosti o vysvětlení souvisejícího počtu incidentů) můžeme pouze domnívat. Zvolený přístup k jejich implementaci však rozhodně nelze považovat za optimální, zejména vzhledem k tomu, že jediná informace o provedených změnách je uvedena v zápatí úvodu zprávy shrnující počty a typy incidentů za leden 2024, kde jí zcela jistě řada těch, pro které je relevantní, nezaznamená. Neb dopady zvoleného postupu nejsou zcela zanedbatelné, byla by tak zřejmě v souvislosti s ním žádoucí přinejmenším o něco transparentnější a širší komunikace – minimálně informování o „změně evidence“ i v rámci webových stránek úřadu. Pokud byla navíc do současnosti publikovaná data z nějakého důvodu nepřesná – a zdá se, že dle nového postupu evidence byla – bylo zřejmě vhodné tuto skutečnost okomentovat a vysvětlit.

NÚKIB má nezanedbatelnou moc ovlivňovat fungování českých organizací a jejich přístup ke kybernetické bezpečnosti, a to nejen s pomocí nástrojů, které mu do rukou dává legislativa, ale i z pozice „expertního subjektu“ v oblasti kybernetické bezpečnosti. Jakékoli informace, které úřad publikuje, tak má většina organizací tendenci přebírat jako důvěryhodné a přesné. Podobné kroky jako ten výše popsaný mají proto citelný dopad nejen na bezpečnostní komunitu, která publikované informace využívá, ale například i na populární média, která v době tvorby tohoto článku s odkazem na NÚKIB stále pracují s daty o počtech incidentů ze začátku roku, která jsou již zjevně neplatná…

Shrnuto a podtrženo (a s kapkou cynismu) - upřímně doufám, že ze strany NÚKIB nebyl vědomě zvolen postup „zpětně změníme čísla za většinu roku 2023, o kterých jsme posledních 12 měsíců tvrdili, že jsou správná, nebudeme to jakkoli vysvětlovat nad rámec jedné, nic neříkající větičky v zápatí reportu za leden, a budeme doufat, že si toho nikdo nevšimne“. Z pohledu externího subjektu - člověka, který nevidí do dění a rozhodování na úřadu - tak jeho chování nicméně působí. V každém případě nejde o postup hodný organizace typu NÚKIB – působí zmatečně, neprofesionálně a vybraným organizacím zcela zbytečně zkomplikuje život.

SecurityCast Ep#211 - HP bojuje s inkoustem, Microsoft s vlastní bezpečností

Jan Kopriva — Wed, 07 Feb 2024 20:55:00 +0100

S příchodem února je tu i nová epizoda pravidelného speciálu podcastu ALEF SecurityCast. Najdete ji na YouTube a na Spotify a podíváme se v ní na problematické bezpečnostní mechanismy v tiskárnách HP, úspěšný útok na e-mailový systém společnosti Microsoft, nebo odsouzení několika zločinců v souvislosti s kybernetickými útoky…

SANS ISC Diary - Computer viruses are celebrating their 40th birthday (well, 54th, really)

Jan Kopriva — Tue, 06 Feb 2024 10:00:00 +0100

Dnes vyšel můj nový příspěvek na stránkách SANS Internet Storm Center, v němž se podíváme na zajímavé výročí spojené s počítačovými viry…

Interview ve Studiu ČT24 o aktuálních kybernetických útocích

Jan Kopriva — Fri, 02 Feb 2024 09:40:00 +0100

V návaznosti na nedávno publikované vyjádření NÚKIB o rekordně vysokém počtu incidentů, které úřad evidoval v roce 2023, jsem byl včera pozván do vysílání odpoledního Studia ČT 24, kde jsem měl možnost krátce pohovořit o DDoS útocích, ransomwaru a dalších aktuálních kybernetických hrozbách. Záznam z vysílání Studia ČT24 najdete v případě zájmu na tomto odkazu - část věnovaná výše zmíněnému tématu začíná začíná na šestnácté minutě…

SecurityCast Ep#206 - E-maily od Státní Instituce Připomínají Phishing

Jan Kopriva — Wed, 10 Jan 2024 20:55:00 +0100

Tak jako každý měsíc, i v lednu je tu i nová epizoda pravidelného speciálu podcastu ALEF SecurityCast. Najdete ji na YouTube a na Spotify a podíváme se v ní na únik dat ze služeb MujRozhlas a EasyPark, stále relevantní zranitelnost Log4shell, nebo zásah FBI proti provozovatelům ransomwaru BlackCat…

SANS ISC Diary - Interesting large and small malspam attachments from 2023

Jan Kopriva — Wed, 03 Jan 2024 15:00:00 +0100

Dnes vyšel můj nový příspěvek na stránkách SANS Internet Storm Center, v němž se podíváme na největší a nejmenší vzorek škodlivého kódu, který mi průběhu loňského roku přišel e-mailem…

Postřehy z bezpečnosti: netradiční vánoční dárky

Jan Kopriva — Mon, 01 Jan 2024 08:40:00 +0100

Na portálu Root.cz byl dnes publikován můj nový příspěvek do seriálu Postřehy z bezpečnosti, v němž se podíváme na bezplatné sdílení balíků citlivých informací v rámci vánočních oslav na darkwebu, únik dat z vybraných systémů užívaných v ČR, nebo ransomware, který 24. prosince postihnul německé nemocnice…

SecurityCast Ep#203 - 2023: Co Rok Dal a Vzal a Predikce do Roku 2024

Jan Kopriva — Sat, 09 Dec 2023 09:15:00 +0100

Se začátkem prosince je tu i nová epizoda pravidelného speciálu podcastu ALEF SecurityCast. Najdete ji na YouTube a na Spotify a podíváme se v ní na nárůst sociotechnických útoků cílených na ČR, útok na ukrajinskou energetickou infrastrukturu, nový CVSS standard a mnoho dalších témat…

SANS ISC Diary - Whose packet is it anyway: a new RFC for attribution of internet probes

Jan Kopriva — Wed, 06 Dec 2023 11:45:00 +0100

Dnes vyšel můj nový příspěvek na stránkách SANS Internet Storm Center, v němž se podíváme na nedávno publikované RFC, které popisuje možný postup pro atribuci síťových skenů v prostředí internetu…

Postřehy z bezpečnosti: útoky na Bluetooth, PLC i UEFI

Jan Kopriva — Mon, 04 Dec 2023 07:40:00 +0100

Na portálu Root.cz byl dnes publikován můj nový příspěvek do seriálu Postřehy z bezpečnosti, v němž se podíváme na novinky okolo úniku dat ze systémů společnosti Okta, nové zranitelnosti v Bluetooth a v UEFI, nebo útoky na průmyslové systémy vyrobené v Izraeli…

SANS ISC Diary - Phishing page with trivial anti-analysis features

Jan Kopriva — Fri, 17 Nov 2023 11:10:00 +0100

Dnes vyšel můj nový příspěvek na stránkách SANS Internet Storm Center, v rámci něhož se podíváme na falešnou přihlašovací stránku s triviálními mechanismy komplikujícími její případnou analalýzu…

SecurityCast Ep#198 - Krádež Dat z Univerzity Obrany, Útoky v Pásmu Gazy nebo HTTP/2 Rapid Reset

Jan Kopriva — Mon, 06 Nov 2023 15:20:00 +0100

Se začátkem listopadu je tu i nová epizoda pravidelného speciálu podcastu ALEF SecurityCast. Najdete ji na YouTube a na Spotify a podíváme se v ní na únik dat ze systémů Univerzity obrany, kybernetické útoky cílené na Izrael a Pásmo Gazy, HTTP/2 Rapid Reset DDoS útoky a mnoho dalších témat…

Postřehy z bezpečnosti: dva aktualizované bezpečnostní standardy

Jan Kopriva — Mon, 06 Nov 2023 08:00:00 +0100

Na portálu Root.cz byl dnes publikován můj nový příspěvek do seriálu Postřehy z bezpečnosti, v němž se podíváme na novou verzi standardu CVSS, aktualizaci rámce MITRE ATT&CK, doposud nezáplatované zranitelnosti v Microsoft Exchange serveru a řadu dalších zajímavostí z uplynulého týdne…

Jak aktuální jsou varování o hrozbách publikovaná Národním úřadem pro kybernetickou a informační bezpečnost?

Jan Kopriva — Mon, 30 Oct 2023 07:30:00 +0100

Jedna z oblastí, kterou se zákazníky (nejen) při diskuzích zaměřených na problematiku bezpečnostního dohledu pravidelně řeším, jsou procesy a nástroje pro včasnou identifikaci aktuálních hrozeb, útočných kampaní a nově publikovaných exploitů, které jsou pro daná zákaznická prostředí relevantní.

Přestože ne každá organizace potřebuje mít nezbytně vybudovaný formální CTI program nebo systém pro řízení zranitelností, jakákoli organizace, která spravuje vlastní IT systémy nebo IT systémy třetích stran, by měla mít bezesporu vždy alespoň orientační představu o tom, jaké zranitelnosti, které tyto systémy potenciálně postihují, jsou aktuálně zneužívané, a jaké útočné kampaně na tyto systémy aktuálně cílí. Ačkoli se nastavení procesů pro kontinuální či periodické získávání takových informací může zdát jako vysoce komplexní úkol, v praxi je pro řadu (zejména menších) organizací naprosto dostačující sledovat články publikované v odborných médiích a informace publikované specializovanými bezpečnostními organizacemi (zajímavé vstupy může poskytovat mj. CISA a její Known Exploted Vulnerabilities Catalog).

Konkrétní zdroje, na kterých organizace své „situační povědomí“ založí, je však třeba volit velmi opatrně.

Nějakou dobu zpátky jsem se při auditu od jednoho zákazníka v reakci na dotaz, jaké postupy a nástroje pro získávání informací o aktuálních hrozbách v dané organizaci používají, dozvěděl, že spoléhají výhradně na varování o hrozbách, která publikuje Národní úřad pro kybernetickou a informační bezpečnost. Velmi rychle jsme si následně vysvětlili, že spoléhat na NÚKIB jako na jediný zdroj informací v této oblasti rozhodně není rozumné, neb ani sám jmenovaný úřad rozhodně netvrdí, že by v rámci svého „infoservisu“ pokrýval všechny hrozby relevantní pro české organizace.

Současně jsem se neubránil lehce kousavé poznámce o tom, že NÚKIB má při informování o hrozbách přinejmenším pochybné „dodací lhůty“, mj. vzhledem k tomu, že nejednou informoval o určité útočné kampani nebo zranitelnosti až několik týdnů poté, co se informace o nich objevily v mainstreamových odborných médiích… V té chvíli mě nicméně napadlo, že jmenovanému úřadu možná křivdím, neb je možné, že ona opožděná varování byla pouze historickými výjimkami, které mi utkvěly v paměti, a aktuální situace již může být zcela odlišná.

Abych zjistil, zda budu kolegům z NÚKIB dlužen omluvu, nebo zda je rychlost jimi poskytovaných varování stále „suboptimální“, rozhodl jsem se udělat analýzu toho, jak se situace v průběhu času vyvíjela. Pro všechna varování o „hrozbách“, která NÚKIB historicky publikoval a která se týkala určité zranitelnosti nebo nové útočné kampaně, jsem identifikoval dobu jejich zveřejnění od:

data, kdy byla publikována původní informace, jíž se varování týká, nebo kdy došlo k události, k níž se varování váže, a
data, kdy byla stejná informace, událost či situace pokryta „mainstreamovými“ odbornými médii (např. portály Bleeping Computer, Threat Post, Security Affairs apod.).

Ze seznamu zveřejněných varování jsem přitom vyjmul ta, která byla velmi obecná (Upozornění na podvodné emaily zneužívající epidemie Koronaviru, Varování o hrozbě Emotet-Trickbot-Ryuk apod.) a/nebo byla relevantní pouze pro prostředí ČR (např. zvýšené riziko DDoS útoků proti tuzemským organizacím, specifické kampaně šířící českojazyčné phishingové zprávy apod.), vzhledem k tomu, že se v těchto případech varování buď netýkala situace, která by na straně organizací vyžadovala okamžitou reakci, a případnou prodlevu v jejich publikaci tak lze omluvit, nebo se informace vztahovala přímo k aktivitám samotného úřadu (např. k nově zveřejněným reaktivním opatřením).

Z celkem 102 varování, která NÚKIB v průběhu uplynulých 6 let zveřejnil, následně zůstalo 62 takových, u nichž mělo smysl se aktuálností v době jejich publikace zabývat.

Než se podíváme na výstupy z analýzy těchto varování, je pro úplnost vhodné zmínit, že v případě 3 varování (jedno v roce 2019, jedno v roce 2021 a jedno v roce 2022) mainstreamová bezpečnostní média zranitelnosti, na které NÚKIB upozorňoval, nepokryla vůbec, nebo se jim věnovala až citelně později v návaznosti na publikaci souvisejících exploitů. Rovněž je na místě uvést, že v roce 2019 byla ze strany úřadu publikována jen 3 varování, z nichž jediné lze považovat za relevantní pro potřeby diskutované analýzy, což se citelně podepsalo na níže uvedené průměrné a střední době prodlevy v publikaci varování pro tento rok.

Doplním ještě, že kde varování NÚKIB upozorňovalo na určitou zranitelnost, avšak současně – byť jen okrajově – zmiňovalo i její aktivní zneužívání, používal jsem jak na straně původního zdroje, tak médií vždy dobu publikace informace o exploitaci dané zranitelnosti, nikoli o existenci zranitelnosti samotné – kolegům z NÚKIB jsem se tedy snažil jít maximálně naproti…

Neb úvod jsme si poskytli již dostatečný, můžeme se podívat na vlastní výstupy z analýzy, které shrnuje následující diagram. V něm jsou na ose X uvedena data, kdy NÚKIB publikoval jednotlivá zájmová varování, a na ose Y doba prodlevy mezi výskytem situace nebo zveřejněním informace, jíž se varování týká, v jejím původním zdroji, resp. v médiích, a publikací souvisejícího varování ze strany úřadu.

Neb schopnost médií informovat o určité skutečnosti před její oficiální publikací, která se v několika případech projevila (např. u varování z 12. 3. 2020), může působit matoucím dojmem, je vhodné zmínit, že v těchto případech zpravidla média reagovala na předběžné informace publikované neoficiálními kanály (např. Twitter), nebo informace předané určitou organizací pouze vybrané skupině zákazníků ještě před jejich oficiálním zveřejněním.

Jak je z diagramu patrné, od roku 2017 publikoval NÚKIB varování o určité hrozbě dříve než odborná média pouze třikrát, a to naposledy v lednu 2021. Ve stejný den jako odborná média pak osmkrát a ve stejný den, kdy byly informace zveřejněny v původním zdroji, desetkrát. Alespoň o jeden den za odbornými médii tak byla varování ve 40 případech a alespoň o jeden den za původním zdrojem informací byla ve 44 případech.

Níže uvedené tabulky ukazují průměry a mediány zájmových hodnot v jednotlivých letech, v nichž úřad na hrozby upozorňoval.

Rok	Průměrný počet dnů od výskytu události/publikace informace v původním zdroji do publikace varování ze strany NÚKIB	Průměrný počet dnů od pokrytí události/situace médii do publikace varování ze strany NÚKIB
2017	5	1
2018	1	1
2019	6	-
2020	7	4
2021	4	2
2022	5	2
2023	2	2

Rok	Medián počtu dnů od výskytu události/publikace informace v původním zdroji do publikace varování ze strany NÚKIB	Medián počtu dnů od pokrytí události/situace médii do publikace varování ze strany NÚKIB
2017	1	1
2018	1	1
2019	6	-
2020	3	2
2021	2	2
2022	3	2
2023	2	2

Tabulky i výše uvedený diagram ukazují, že přestože se jmenovanému úřadu zejména v posledním roce v oblasti relativně včasné publikace varování o hrozbách dařilo podstatně lépe než v letech předchozích (minimálně se zdá, že došlo k eliminaci oněch extrémních prodlev, které bylo možné ve vybraných případech historicky pozorovat), jím publikované informace jsou stále v průměru o dva dny opožděné nejen za původními zdroji dat, ale i za mainstreamovými odbornými médii.

Přestože varování o hrozbách poskytovaná ze strany NÚKIB tak určitě nejsou špatným doplňkovým zdrojem informací, zejména pokud jde o vybrané phishingové a jiné kampaně cílené na organizace působící v prostředí ČR, zcela jistě platí, že informace o aktuálních hrozbách a zranitelnostech poskytují nejen v pravidelnější, ale bohužel i citelně aktuálnější podobě mainstreamová média zaměřená na kybernetickou bezpečnost.

Hezkou ukázku této skutečnosti poskytnul konec konců i uplynulý týden, kdy úřad publikoval varování ohledně aktivního zneužívání zranitelnosti CVE-2023-20273 v Cisco IOS XE, které přišlo až 4 dny poté, co o souvisejícím zneužívání zranitelností informovala nejen společnost Cisco, ale například i portál Bleeping Computer.

SANS ISC Diary - Are typos still relevant as an indicator of phishing?

Jan Kopriva — Mon, 16 Oct 2023 09:45:00 +0100

Dnes vyšel můj nový příspěvek na stránkách SANS Internet Storm Center, v rámci něhož probereme, zda jsou překlepy stále využitelné jako indikátor phishingu…

SecurityCast Ep#194 - Severní Korea Bohatne na Krádežích Kryptoměn

Jan Kopriva — Thu, 12 Oct 2023 17:00:00 +0100

Tak jako každý měsíc, i v říjnu je tu nová epizoda pravidelného speciálu podcastu ALEF SecurityCast, v níž jsem měl možnost vystoupit. Najdete ji na YouTube a na Spotify a podíváme se v ní na významné ransomwarové útoky, krádeže kryptoměn, za nimiž stojí severokorejské APT skupiny, nový přístup Mezinárodního trestního soudu ke kybernetickým útokům a řadu dalších témat…

Interview ve Studiu ČT 24 o kybernetických útocích na Izrael

Jan Kopriva — Wed, 11 Oct 2023 18:00:00 +0100

Dnes jsem měl možnost krátce pohovořit ve vysílání České televize o aktuálních kybernetických útocích cílených na Izrael a Pásmo Gazy, k nimž po sobotním útoku hnutí Hámás dochází. Záznam z vysílání Studia ČT 24 najdete v případě zájmu na tomto odkazu - část věnovaná výše zmíněnému tématu začíná cca od čtvrté minuty…

Postřehy z bezpečnosti: příběh malwaru QakBot zřejmě ještě není u konce

Jan Kopriva — Mon, 09 Oct 2023 07:20:00 +0100

Na portálu Root.cz byl dnes publikován můj nový příspěvek do seriálu Postřehy z bezpečnosti, v němž se podíváme na na deset nejčastějších bezpečnostních slabin postihujících velké organizace, stále funkční část infrastruktutury malwaru QakBot nebo nové exploity pro zranitelnost v glibc…

SANS ISC Diary - A new spin on the ZeroFont phishing technique

Jan Kopriva — Tue, 26 Sep 2023 11:20:00 +0100

Dnes vyšel můj nový příspěvek na stránkách SANS Internet Storm Center. Podíváme se v něm na zajímavou phishingovou techniku využívající text s nulovou velikostí fontu pro zvýšení důvěryhodnosti zpráv…

Postřehy z bezpečnosti: Microsoft (zřejmě) zjistil, jak přišel o klíč

Jan Kopriva — Mon, 11 Sep 2023 07:40:00 +0100

Na portálu Root.cz byl dnes publikován můj nový příspěvek do seriálu Postřehy z bezpečnosti, v němž se podíváme na závěry vyšetřování situace okolo podepisovacího klíče ukradeného společnosti Microsoft, novinky okolo spywaru Pegasus a potenciálně přelomové vyjádření zástupců Mezinárodního trestního soudu…

SecurityCast Ep#188 - Ruské Útoky na České Banky, Heslo Policie ČR nebo Zajímavosti z Black Hat Konference

Jan Kopriva — Tue, 05 Sep 2023 16:30:00 +0100

S koncem letních prázdnin je tu i nová epizoda pravidelného speciálu podcastu ALEF SecurityCast. Najdete ji na YouTube a na Spotify a podíváme se v ní na vlnu DDoS útoků cílených na české banky, zajímavé přednášky z konferencí Black Hat a DefCon, zranitelnosti ve WinRAR a produktech Ivanti a řadu dalších témat…

SANS ISC Diary - The low, low cost of (committing) cybercrime

Jan Kopriva — Thu, 31 Aug 2023 12:00:00 +0100

Dnes vyšel můj nový příspěvek na stránkách SANS Internet Storm Center. Podíváme se v něm na velmi jednoduchý phishing, který vhodně ukazuje, že náklady nezbytné k realizaci kyberkriminálních aktivit mohou být bohužel extrémně nízké…

Postřehy z bezpečnosti: letní hackerský tábor

Jan Kopriva — Mon, 14 Aug 2023 08:10:00 +0100

Na portálu Root.cz byl dnes publikován můj nový příspěvek do seriálu Postřehy z bezpečnosti, v němž se podíváme na přednášky z konference Black Hat, ukončení prodejte subskripcí pro služby Microsoftu v Rusku nebo nadcházející prověření bezpečnostních praktik Microsoftu ze strany federálních úřadů USA…

SANS ISC Diary - From small LNK to large malicious BAT file with zero VT score

Jan Kopriva — Thu, 03 Aug 2023 18:30:00 +0100

Dnes vyšel můj nový příspěvek na stránkách SANS Internet Storm Center. Podíváme se v něm na škodlivý BAT soubor, který byl využit v rámci phishingové kampaně v uplynulém týdnu a stále jej dle služby VirusTotal žádný jí využívaný anti-virus neoznačuje za malware…

SecurityCast Ep#182 - Temná Stránka Umělé Inteligence, Kyberloupež Revolutu nebo Nový ZKB

Jan Kopriva — Thu, 03 Aug 2023 16:30:00 +0100

Se začátkem srpna je tu nová epizoda pravidelného speciálu podcastu ALEF SecurityCast. Najdete ji na YouTube a na Spotify a podíváme se v ní na využívání umělé inteligence útočníky, předávání osobních dat mezi EU a USA, připomínky k transpozici NIS2 a mnoho dalších témat…

Postřehy z bezpečnosti: e-mailové schránky amerických federálních organizací kompromitovány

Jan Kopriva — Mon, 17 Jul 2023 12:40:00 +0100

Na portálu Root.cz byl dnes publikován můj nový příspěvek do seriálu Postřehy z bezpečnosti, v němž se podíváme na kompromitované cloudové e-mailové schránky v prostředí O365, krádež milionů dolarů ze systémů společnosti Revolut nebo rozhodnutí Evropské komise o předávání osobních údajů do USA…

SecurityCast Ep#177 - Zranitelnosti ve Fortigate a MOVEit nebo Aktuálně o NIS2

Jan Kopriva — Fri, 07 Jul 2023 18:30:00 +0100

S prvním červencovým týdnem je tu i nová epizoda pravidelného speciálu podcastu ALEF SecurityCast. Najdete ji na YouTube a na Spotify a podíváme se v ní na několik kritických zranitelností v produktech společností Fortinet a Progress, slabinu v internetové infrastruktuře Kazachstánu, nové trendy v ransomwaru a mnoho dalších témat…

SANS ISC Diary - Kazakhstan - the world's last SSLv2 superpower... and a country with potentially vulnerable last-mile internet infrastructure

Jan Kopriva — Wed, 28 Jun 2023 08:30:00 +0100

Dnes vyšel můj nový příspěvek na stránkách SANS Internet Storm Center. Podíváme se v něm na překvapivě vysoký počet zastaralých síťových zařízení v Kazachstánu, která stále podporují protokol SSL verze 2.0…

Postřehy z bezpečnosti: zneužívaná zranitelnost v produktech Fortinet

Jan Kopriva — Mon, 19 Jun 2023 09:00:00 +0100

Na portálu Root.cz byl dnes publikován můj nový příspěvek do seriálu Postřehy z bezpečnosti, v němž se podíváme na aktivní zneužívání zranitelnosti XORtigate, dopady útoku skupiny Cl0p na systémy MOVEit nebo nové nařízení požadující odstranění konfiguračních rozhraní z internetu…

Podpora SSL verze 2.0 na webových serverech v ČR

Jan Kopriva — Thu, 08 Jun 2023 07:30:00 +0100

Minulý týden jsem publikoval článek věnovaný ustupující podpoře SSL verze 2.0 na webových serverech přístupných na globálním internetu a v souvislosti s ním mě napadlo, že by mohlo být zajímavé podívat se i na to, jak se podpora tohoto kryptografického protokolu vyvíjí v rámci České republiky.

Z dat získaných ze služby Shodan vyplývá, že zatímco před dvěma lety globálně podporovalo SSLv2 více než 1,43 % webových serverů, v současnosti je to již jen cca 0,35 %. Jak se ukázalo, domácí situace byla a je (alespoň dle Shodanu) oproti té globální o něco horší - před dvěma lety podporovalo v České republice SSL verze 2.0 necelých 1,94 % webových severů a v současnosti je to lehce přes 0,89 % (v absolutních číslech jde o 1474 serverů). Postupné změny v českém prostředí můžete vidět na níže uvedeném grafu.

Zmínku zaslouží, že reálné dopady podpory SSLv2, jehož používání zakázalo RFC 6176 již v roce 2011, jsou minimální, vzhledem k tomu, že moderní prohlížeče již připojení s pomocí tohoto protokolu vůbec neumožňují. Skutečnost, že určitý server SSLv2 stále podporuje, však přinejmenším indikuje, že se pravděpodobně nejedná o moderní, vhodně nakonfigurovaný a plně záplatovaný systém… A tedy, že se potenciálně může jednat o zajímavý cíl pro útočníky.

SecurityCast Ep#172 - Pravda o Zranitelnosti v KeePass Nebo Jaké Tresty Hrozí za Zatajení Incidentu?

Jan Kopriva — Wed, 07 Jun 2023 13:55:00 +0100

Začátek června s sebou přináší i novou epizodu pravidelného speciálu podcastu ALEF SecurityCast. Najdete ji na YouTube a na Spotify a podíváme se v ní na několik ukázek moderní kyberšpionáže, rekordní pokutu pro společnost Meta v kontextu nesprávné práce s osobními údaji, zajímavou zranitelnost v nástroji KeePass a mnoho dalších zajímavostí…

SANS ISC Diary - After 28 years, SSLv2 is still not gone from the internet... but we're getting there

Jan Kopriva — Thu, 01 Jun 2023 10:40:00 +0100

Dnes vyšel můj nový příspěvek na stránkách SANS Internet Storm Center. Podíváme se v něm na ustupující podporu SSLv2 na webových serverech připojených k internetu…

Postřehy z bezpečnosti: „zip“ nově využíván při útocích nejen jako typ souboru

Jan Kopriva — Mon, 22 May 2023 09:00:00 +0100

Na portálu Root.cz byl dnes publikován můj nový příspěvek do seriálu Postřehy z bezpečnosti, v němž se podíváme na zneužívání domén z TLD ZIP, ransomwarové skupiny využívající uniklý zdrojový kód ransomwaru Babuk nebo novou zranitelnost ve správci hesel KeePass…

SANS ISC Diary - Ongoing Facebook phishing campaign without a sender and (almost) without links

Jan Kopriva — Mon, 15 May 2023 09:35:00 +0100

Dnes vyšel můj nový příspěvek na stránkách SANS Internet Storm Center. Podíváme se v něm na zajímavou dlouhodobou phishingovou kampaň cílenou na uživatele služby Facebook…

SecurityCast Ep#168 - Útoky Skrze Chytré Erotické Hračky nebo Citlivé Údaje na Starých Routerech

Jan Kopriva — Wed, 10 May 2023 16:20:00 +0100

Druhý kvěnový týden s sebou přináší novou epizodu pravidelného speciálu podcastu ALEF SecurityCast. Najdete ji na YouTube a na Spotify a podíváme se v ní na bezpečnost chytrých zařízení, únik přísně tajných dokumentů USA na Discord, nové techniky šíření malwaru Qbot a mnoho dalších zajímavostí…

SANS ISC Diary - 'Passive' analysis of a phishing attachment

Jan Kopriva — Mon, 01 May 2023 12:40:00 +0100

Dnes vyšel můj nový příspěvek na stránkách SANS Internet Storm Center. Podíváme se v něm na analýzu HTML příloh phishingových e-mailů bez interakce s externí infrastrukturou…

Interview ve Studiu ČT 24 o historii a vývoji kybernetické bezpečnosti

Jan Kopriva — Mon, 01 May 2023 08:20:00 +0100

V návaznosti na uplynutí 30 let od začátků “svobodného webu” (resp. 30 let od uvolnění knihovny Libwww) věnovala včera Česká televize část programu odpoledního Studia ČT 24 i krátkému ohlédnutí za historií kybernetické bezpečnosti, do něhož jsem měl možnost přispět. Záznam z vysílání najdete v případě zájmu na tomto odkazu a část věnovaná výše zmíněnému tématu začíná cca od 16. minuty dál…

Postřehy z bezpečnosti: bez záplat v software už nelétají ani vrtulníky

Jan Kopriva — Mon, 24 Apr 2023 07:30:00 +0100

Na portálu Root.cz byl dnes publikován můj nový příspěvek do seriálu Postřehy z bezpečnosti, v němž se podíváme na změny v šíření malwaru QBot, ransomware LockBit cílící na macOS nebo havárii vrtulníku údajně způsobenou chybějící softwarovou záplatou…

SANS ISC Diary - The strange case of Great honeypot of China

Jan Kopriva — Mon, 17 Apr 2023 10:50:00 +0100

Dnes vyšel můj nový příspěvek na stránkách SANS Internet Storm Center. Podíváme se v něm na vysoký nárůst počtu honeypotů, které Shodan detekuje v Číně…

SecurityCast Ep#164 - ChatGPT prozradil osobní data uživatelů, USB bomby a konec e2e šifrování?

Jan Kopriva — Wed, 12 Apr 2023 14:50:00 +0100

Tak jako každý měsíc, i v dubnu zde máme novou epizodu pravidelného speciálu podcastu ALEF SecurityCast. Najdete ji na YouTube a na Spotify a podíváme se v ní na únik dat z ChatGPT, výbušné flash disky, zranitelnosti v Oulooku a nástrojích pro úpravu obrázků a mnoho dalšího…

SANS ISC Diary - Use of X-Frame-Options and CSP frame-ancestors security headers on 1 million most popular domains

Jan Kopriva — Fri, 31 Mar 2023 14:50:00 +0100

Dnes vyšel můj nový příspěvek na stránkách SANS Internet Storm Center. Podíváme se v něm na využívání bezpečnostních HTTP hlaviček bránících “framing” útokům na milionu nejvýznamnějších domén světa…

Postřehy z bezpečnosti: novináři dostali flash disky obsahující výbušninu

Jan Kopriva — Mon, 27 Mar 2023 08:20:00 +0100

Na portálu Root.cz byl dnes publikován můj nový příspěvek do seriálu Postřehy z bezpečnosti, v němž se podíváme na zdraví a životu nebezpečné USB flash disky, zranitelnost umožňující získat původní obsah z „oříznutých“ obrázků nebo konec tržiště BreachForums…

SANS ISC Diary - IPFS phishing and the need for correctly set HTTP security headers

Jan Kopriva — Wed, 15 Mar 2023 12:20:00 +0100

Dnes vyšel můj nový příspěvek na stránkách SANS Internet Storm Center. Podíváme se v něm na phishingové stránky hostované v distribuovaném souborovém systému IPFS a možnosti použití bezpečnostních HTTP hlaviček jako opatření proti phishingu…

Interview ve Studiu 6 (nejen) k rizikům spojeným s aplikací TikTok

Jan Kopriva — Fri, 10 Mar 2023 11:00:00 +0100

Dnes jsem měl možnost ve vysílání Studia 6 v České televizi krátce pohovořit o rizicích spojených s používáním mobilní aplikace TikTok a o souvisejícím varování vydaném Národním úřadem pro kybernetickou a informační bezpečnost v tomto týdnu. Záznam z vysílání Studia 6 najdete v případě zájmu na tomto odkazu - část věnovaná výše zmíněnému tématu začíná cca v čase 2:38:00…

SecurityCast Ep#159 - Zákaz TikToku, úspěšnost smishingu nebo další obří DDoS

Jan Kopriva — Thu, 09 Mar 2023 19:00:00 +0100

Se začátkem března zde máme i novou epizodu pravidelného měsíčního speciálu podcastu ALEF SecurityCast. Najdete ji na YouTube a na Spotify a podíváme se v ní na zákaz používání aplikace TikTok na zařízeních zaměstnanců Evropské komice, zrušení 2FA založené na SMS pro neplacené účty na Twitteru, největší HTTP DDoS v historii a mnoho dalšího…

Postřehy z bezpečnosti: útoky na ruská rádia a mediální servery

Jan Kopriva — Mon, 27 Feb 2023 08:00:00 +0100

Na portálu Root.cz byl dnes publikován můj nový příspěvek do seriálu Postřehy z bezpečnosti, v němž se podíváme na útoky na ruská rádia a mediální systémy, zneužívání kritické zranitelnosti v systémech FortiNAC nebo netradiční požadavky ze strany autorů ransomwaru HardBit…

SANS ISC Diary - HTML phishing attachment with browser-in-the-browser technique

Jan Kopriva — Thu, 16 Feb 2023 12:20:00 +0100

Dnes vyšel můj nový příspěvek na stránkách SANS Internet Storm Center. Podíváme se v něm na využívání techniky “browser-in-the-browser” v rámci generické phishingové kampaně…

SecurityCast Ep#154 - Útoky na prezidentské volby, oběti a výkupné nebo výpadek Microsoft 365

Jan Kopriva — Wed, 08 Feb 2023 16:15:00 +0100

S druhým únorovým týdnem zde máme i novou epizodu pravidelného měsíčního speciálu podcastu ALEF SecurityCast. Najdete ji na YouTube a na Spotify a podíváme se v ní na meziroční pokles v platbách výkupného u ransomwarových útoků, zásah policejních orgánů proti skupině za ransomwarem Hive, DDoS útoky na české systémy v souvislosti s prezidenskými volbami a nejen to…

Postřehy z bezpečnosti: útoky na Ukrajinu nepolevují ani v kyberprostoru

Jan Kopriva — Mon, 30 Jan 2023 09:00:00 +0100

Na portálu Root.cz byl dnes publikován můj nový příspěvek do seriálu Postřehy z bezpečnosti, v němž se podíváme na nové útoky na ukrajinské systémy, úspěšný zásah policejních orgánů proti ransomwaru Hive, únik dat ze systémů společnosti GoTo i několik kritických zranitelností…

SPF a DMARC na nejnavštěvovanějších českých doménách

Jan Kopriva — Fri, 20 Jan 2023 10:00:00 +0100

V návaznosti na včerejší článek věnovaný užívání SPF a DMARC na nejoblíbenějších doménách na světě jsem se rozhodl podívat se, jak si v oblasti adopce jmenovaných mechanismů stojí nejnavštěvovanější české domény. Neb nevím o žádnéném datovém zdroji, který by zdarma poskytoval informace o návštěvnosti většího počtu českých domén, než Gemius Audience Rating, musel jsem analýzu omezit jen na 351 domén uvedených v tomto seznamu, resp. na celý tento rozsah a následně na 100 nejnavštěvovanějších domén.

Jak můžete vidět na následujících grafech, přestože situace rozhodně není nikterak tragická, mohla by zcela jistě být lepší - validní (a smysluplný) SPF záznam má publikováno 69,2 % domén z celého zkoumaného vzorku a 88 % ze sta nejnavštěvovanějších domén. U DMARCu jsou pak počty domén méně než poloviční - z celého vzorku jej využívá 30,2 % domén a ze sta nejnavštěvovanějších pak 39 %.

Z výše uvedených dat krom jiného vyplývá, že ani všech sto nejnavštěvovanějších českých domén není plně chráněno proti podvrhování e-mailů a za 12 z nich tak může i v roce 2023 e-maily stále odesílat kdokoli na světě… A totéž dokonce platí i o jedné doméně z pomyslného “top 10” vrcholu celého seznamu.

O tom, jak vhodně nastavit (mj.) SPF a DMARC jsem nedávno psal na Root.cz a pokud tak tyto mechanismy na svých vlastních doménách prozatím nemáte nasazeny, můžete čerpat inspiraci právě tam…

SANS ISC Diary - SPF and DMARC use on 100k most popular domains

Jan Kopriva — Thu, 19 Jan 2023 12:40:00 +0100

Dnes vyšel můj nový příspěvek na stránkách SANS Internet Storm Center. Podíváme se v něm na úroveň využívání SPF a DMARC na nejpopulárnějších doménách světa…

SANS ISC Diary - Passive detection of internet-connected systems affected by vulnerabilities from the CISA KEV catalog

Jan Kopriva — Wed, 11 Jan 2023 12:00:00 +0100

Dnes vyšel můj nový příspěvek na stránkách SANS Internet Storm Center. Podíváme se v něm na využití nové funkce nástroje TriOp pro pasivní identifikaci systémů postižených zranitelnostmi z katalogu CISA KEV (nejen) v rámci minimalistického přístupu k vulnerability managementu…

TriOp update - verze 1.5

Jan Kopriva — Wed, 11 Jan 2023 11:50:00 +0100

Dnes jsem publikoval verzi 1.5 nástroje TriOp. Vedle doplnění několika CVE do integrovaného vyhledávacího seznamu byla rovněž přidána funkce umožňující automaticky vygenerovat dotazy pro Shodan na aktuální seznam zranitelností z katalogu CISA Known Exploited Vulnerabilities (KEV).

Jako vždy, aktuální verzi TriOp je možné stáhnout z GitHubu.

SecurityCast Ep#148 - Události prosince a nejdůležitější trendy kyberbezpečnosti roku 2022

Jan Kopriva — Sun, 08 Jan 2023 10:15:00 +0100

Lednový speciál podcastu ALEF SecurityCast se nesl v lehce netradičním duchu, neb jsme jej nahrávali jako součást širšího webináře zaměřeného nejen na zajímavé bezpečnostní dění a trendy v roce 2022. Nahrávku, která je v důsledku výše uvedeného v o něco nižší kvalitě než obvykle, najdete na YouTube a na Spotify a podíváme se v ní na schválení finální podoby NIS2, další únik dat z Twitteru a služby LastPass a mnoho dalších témat…

Postřehy z bezpečnosti: kritické zranitelnosti Citrix ADC a Citrix Gateway

Jan Kopriva — Mon, 02 Jan 2023 07:40:00 +0100

Na portálu Root.cz byl dnes publikován můj nový příspěvek do seriálu Postřehy z bezpečnosti, v němž se podíváme na nezáplatované závažné zranitelnosti v produktech Citrix ADC a Gateway, údajný únik dat 400 milionů uživatelů Twtteru a další události posledního týdne roku 2022…

SANS ISC Diary - SPF and DMARC use on GOV domains in different ccTLDs

Jan Kopriva — Fri, 30 Dec 2022 16:45:00 +0100

Dnes vyšel můj nový příspěvek na stránkách SANS Internet Storm Center. Podíváme se v něm na úroveň podpory SPF a DMARC u GOV domén druhého řádu v různých ccTLD…

Postřehy z bezpečnosti: finální podoba směrnice NIS2 schválena

Jan Kopriva — Mon, 05 Dec 2022 07:45:00 +0100

Na portálu Root.cz byl dnes publikován můj nový příspěvek do seriálu Postřehy z bezpečnosti, v němž se podíváme na schválení směrnice NIS2, zákaz dovozu čínských telekomunikačních systémů do USA nebo zneužívání certifikátů výrobců chytrých telefonů pro podepisování malwaru…

SecurityCast Ep#144 - USA zakazuje čínské technologie nebo zdravotní data Australanů na Dark Webu

Jan Kopriva — Thu, 01 Dec 2022 14:15:00 +0100

Se začátkem prosince zde máme i novou epizodu pravidelného měsíčního speciálu podcastu ALEF SecurityCast. Najdete ji na YouTube a na Spotify a podíváme se v ní na aktuální vývoj okolo Twitteru, úniky osobních dat a hesel ze systémů většího počtu organizací, zavedení celonárodních skenů zranitelností ve Velké Británii a nejen to…

Postřehy z bezpečnosti: (ne)hacknutý slovenský parlament

Jan Kopriva — Mon, 07 Nov 2022 07:30:00 +0200

Na portálu Root.cz byl dnes publikován můj nový příspěvek do seriálu Postřehy z bezpečnosti, v němž se podíváme na výsledek analýzy výpadku sítě slovenského parlamentu, nové zranitelnosti v OpenSSL nebo implementaci celonárodních skenů zranitelností ve Velké Británii…

SecurityCast Ep#139 - Vysoké tresty pro kyberzločince, BlueBleed nebo výměna dat mezi EU a USA

Jan Kopriva — Wed, 02 Nov 2022 14:30:00 +0100

Se začátkem listopadu zde máme i novou epizodu pravidelného měsíčního speciálu podcastu ALEF SecurityCast. Najdete ji na YouTube a na Spotify a podíváme se v ní na aféru BlueBleed, vysoké tresty pro kybernetické zločince, zranitelnost Text4Shell a mnoho dalšího…

Postřehy z bezpečnosti: 20 let za ransomware a 25 let za BEC a další podvody

Jan Kopriva — Mon, 10 Oct 2022 07:30:00 +0200

Na portálu Root.cz byl dnes publikován můj nový příspěvek do seriálu Postřehy z bezpečnosti, v němž se podíváme na vysoké tresty pro kybernetické zločince, zranitelnosti nejčastěji využívané čínskými APT aktéry nebo další vývoj okolo Microsoft Exchange a ProxyNotShell…

SecurityCast Ep#134 - Leak Rockstaru, další 0-days od Microsoftu nebo upadající reputace Uberu

Jan Kopriva — Fri, 07 Oct 2022 19:50:00 +0100

Byť od konce září již nějaká doba uplynula, určitě není pozdě pozastavit se nad tím nejzajímavějším, k čemu v oblasti kybernetické bezpečnosti v průběhu tohoto měsíce došlo. Právě tématu zajímavostí ze září se věnujeme v nové epizodě pravidelného měsíčního speciálu podcastu ALEF SecurityCast. Najdete ji na YouTube a na Spotify a podíváme se v ní na aktivně zneužívané zranitelnosti v Exchange serverech, úspěšnou kompromitaci systémů společnosti Uber, reakci Albánie na kybernetickou agresi ze strany Íránu a mnoho dalšího…

Článek - (Ne)bezpečný e-mail, aneb DKIM, DMARC, DANE a další nejen od D

Jan Kopriva — Tue, 04 Oct 2022 07:25:00 +0100

Na portálu Root.cz byl dnes publikován můj nový článek zaměřený na problematiku zabezpečení e-mailové komunikace (nejen) v prostředí České republiky, v němž se podíváme mj. na požadavky NÚKIB na regulované organizace v oblasti zabezpečení elektronické pošty, principy funkce relevantních bezpečnostních mechanismů (SPF, DKIM, DMARC, DANE, …), ale také na úroveň jejich adopce v rámci domény CZ…

Prezentace z 67. TF-CSIRT meetingu - Modelování hrozeb s ATT&CK a Jak rychle umíme patchovat?

Jan Kopriva — Sat, 01 Oct 2022 10:40:00 +0100

Tento týden proběhlo 67. pravidelné setkání mezinárodní komunity bezpečnostních týmů TF-CSIRT, do něhož jsem měl možnost přispět dvěma prezentacemi - jednou zaměřenou na rychlost, s jakou (z globálního pohledu) aplikujeme záplaty, a druhou, v níž jsme se zaměřili na základy modelování hrozeb s pomocí MITRE ATT&CK. Pokud byste se chtěli podívat na slidy z těchto prezentací, můžete je nalézt zde - i v případě, že jste se akce nemohli zúčastnit, myslím, že mohou být užitečné.

Postřehy z bezpečnosti: od kyberútoku k přerušení diplomatických vztahů

Jan Kopriva — Mon, 12 Sep 2022 07:45:00 +0200

Na portálu Root.cz byl dnes publikován můj nový příspěvek do seriálu Postřehy z bezpečnosti, v němž se podíváme na reakci Albánie na nedávný kybernetický útok na její státní systémy, obvinění NSA ze špionáže ze strany Číny nebo malware, který cílí na hráče počítačových her…

SecurityCast Ep#128 - Cena našeho soukromí, velké problémy Twitteru a další největší DDoS v historii

Jan Kopriva — Fri, 02 Sep 2022 11:30:00 +0100

Se začátkem září zde máme i jubilejní (alespoň ve dvojkové soustavě) epizodu pravidelného měsíčního speciálu podcastu ALEF SecurityCast. Najdete ji na YouTube a na Spotify a podíváme se v ní na údajně špatné zabezpečení systémů Twitteru, rekordní HTTPS DDoS, útok tří ransomwarových skupin na jednu síť v krátkém čase a nejen to…

Postřehy z bezpečnosti: ransomware na třetí přes jedno špatné zabezpečení

Jan Kopriva — Mon, 15 Aug 2022 08:00:00 -0500

Na portálu Root.cz byl dnes publikován můj nový příspěvek do seriálu Postřehy z bezpečnosti, v němž se podíváme na aktivně zneužívané zranitelnosti v platformě Zimbra, úspěšný průnik do sítě společnosti Cisco i tři ransomwarové útoky na jednu organizaci v průběhu dvou týdnů…

SecurityCast Ep#123 - Červenec a cílené reklamy, FBI vs Huawei nebo Microsoft a makra

Jan Kopriva — Thu, 04 Aug 2022 13:20:00 +0100

Se začátkem srpna zde máme i novou epizodu pravidelného měsíčního speciálu podcastu ALEF SecurityCast. Najdete ji na YouTube a na Spotify a podíváme se v ní na reálné dopady cílené reklamy na soukromí, opětovnou implementaci automatického blokování maker v dokumentech stažených z internetu, dozvuky útoku na ŘSD a nejen to…

SANS ISC Diary - Traffic Light Protocol (TLP) 2.0 is here

Jan Kopriva — Thu, 04 Aug 2022 10:35:00 +0100

Dnes vyšel můj nový příspěvek na stránkách SANS Internet Storm Center. Podíváme se v něm na novou verzi standardu Traffic Light Protocol, která byla publikována počátkem tohoto týdne…

Postřehy z bezpečnosti: zmrtvýchvstání maker v dokumentech Office

Jan Kopriva — Mon, 11 Jul 2022 09:10:00 -0500

Na portálu Root.cz byl dnes publikován můj nový příspěvek do seriálu Postřehy z bezpečnosti, v němž se podíváme na návrat VBA maker do MS Office, Lockdown mód pro zařízení Apple nebo prodej databáze údajně obsahující osobní data miliardy čínských občanů…

SecurityCast Ep#118 - Červen ve znamení útoků na Litvu nebo největšího HTTPS DDoS útoku historie

Jan Kopriva — Wed, 06 Jul 2022 15:30:00 +0100

Začátek srpna s sebou přináší i novou epizodu pravidelného měsíčního speciálu podcastu ALEF SecurityCast. Najdete ji na YouTube a na Spotify a podíváme se v ní na pokračování DDoS útoků spojených s válkou na Ukrajině, zranitelnost Follina, největší HTTPS DDoS útok v historii a nejen to…

SANS ISC Diary - EternalBlue 5 years after WannaCry and NotPetya

Jan Kopriva — Tue, 05 Jul 2022 10:35:00 +0100

Dnes vyšel můj nový příspěvek na stránkách SANS Internet Storm Center. Podíváme se v něm na počet z internetu dostupných systémů, které jsou stále zranitelné exploitem EternalBlue…

Analýza malware - 'video write-up' finálové úlohy z ECSC 2021

Jan Kopriva — Tue, 21 Jun 2022 08:25:00 +0100

Na YouTube kanálu Untrusted Network CZ jsem dnes publikoval video s ukázkou možného řešení úlohy zaměřené na analýzu komplexního škodlivého kódu, kterou jsem připravil pro finále loňského ročníku soutěže European Cyber Security Challenge. Pokud byste se tedy chtěli podívat na jednu z úloh, které soutěžící v rámci výše zmíněné akce řešili, nebo byste si chtěli úlohu vyzkoušet sami, máte možnost - bližší informace najdete v následujícím videu.

Pro případné zájemce je video k dispozici i v anglické verzi.

Postřehy z bezpečnosti: (kybernetickým) cvičením ke zdraví

Jan Kopriva — Mon, 13 Jun 2022 07:50:00 +0100

Na portálu Root.cz byl dnes publikován můj nový příspěvek do seriálu Postřehy z bezpečnosti, v němž se podíváme na cvičení Cyber Europe 2022, nový rámec pro řízení rizik dodavatelských řetězců MITRE SoT i netradiční přístup ke komunikaci ze strany ransomwarové skupiny LockBit…

SecurityCast Ep#112 - ŘSD v problémech, cílené reklamy, návrat REvilu nebo přeskupení Conti

Jan Kopriva — Wed, 01 Jun 2022 14:10:00 +0100

S koncem května je tu i nová epizoda pravidelného měsíčního speciálu podcastu ALEF SecurityCast. Najdete ji na YouTube a na Spotify a podíváme se v ní na DDoS útoky realizované skupinout Killnet, odhalení spywaru Pegasus na telefonech vysoce postavených politiků ve Španělsku, ransomware útok na ŘSD a nejen to…

SANS ISC Diary - HTML phishing attachments - now with anti-analysis features

Jan Kopriva — Wed, 01 Jun 2022 12:05:00 +0100

Dnes vyšel můj nový příspěvek na stránkách SANS Internet Storm Center. Podíváme se v něm na netradiční využití anti-debugging/anti-analysis technik v rámci phishingové stránky…

Postřehy z bezpečnosti: zprávy o smrti skupiny Conti byly značně přehnané

Jan Kopriva — Mon, 23 May 2022 07:45:00 +0100

Na portálu Root.cz byl dnes publikován můj nový příspěvek do seriálu Postřehy z bezpečnosti, v němž se podíváme na neúplný konec ransomwarové skupiny Conti, dopady ransomwarového útoku na ŘSD, možnost útoku na vypnutý iPhone, nešťastné ukládání hesel v prohlížeči Chrome a nejen to…

SANS ISC Diary - Do you want 30 BTC? Nothing is easier (or cheaper) in this phishing campaign...

Jan Kopriva — Wed, 18 May 2022 07:50:00 +0100

Dnes vyšel můj nový příspěvek na stránkách SANS Internet Storm Center. Podíváme se v něm na sofistikovanou phishingovou kampaň v níž bylo jako návnada užito 30 BTC (na cizím účtu)…

SANS ISC Diary - What is the simplest malware in the world?

Jan Kopriva — Fri, 06 May 2022 09:20:00 +0100

Dnes vyšel můj nový příspěvek na stránkách SANS Internet Storm Center. Podíváme se v něm na potenciálně nejjednodušší malware na světě…

SecurityCast Ep#106 - Duben ve znamení teenage hackerů, DDoS útoků a stále nezáplatované Log4Shell

Jan Kopriva — Fri, 29 Apr 2022 16:10:00 +0100

Kolegové z Alefu mi nabídli účast v novém pravidelném měsíčním speciálu SecurityCast,v němž bychom se vždy podívali na to nejzajmavější, co se v oblasti kybernetické bezpečnosti za daný měsíc stalo. Slovy Maria Puza, šlo o nabídku, která se neodmítá, a včera jsme tak se Standou Novotným natočili první díl tohoto podcastu.

Najdete jej na YouTube a na Spotify a podíváme se v něm na vývoj situace na Ukrajině, DDoS útoky na vybrané české organizce, významné zranitelnosti a mnoho dalšího…

SANS ISC Diary - MITRE ATT&CK v11 - a small update that can help (not just) with detection engineering

Jan Kopriva — Wed, 27 Apr 2022 11:30:00 +0100

Dnes vyšel můj nový příspěvek na stránkách SANS Internet Storm Center. Podíváme se v něm na novou verzi frameworku MITRE ATT&CK, která byla publikována počátkem tohoto týdne…

Postřehy z bezpečnosti: jeden podpis vládne všem

Jan Kopriva — Mon, 25 Apr 2022 08:00:00 +0100

Na portálu Root.cz byl dnes publikován můj nový příspěvek do seriálu Postřehy z bezpečnosti, v němž se podíváme na zranitelnost v Javě umožňující podvrhovat elektronické podpisy, DDoS útoky na vybrané české organizace, možné zmrtvýchvstání skupiny REvil a mnoho dalšího…

SANS ISC Diary - How is Ukrainian internet holding up during the Russian invasion?

Jan Kopriva — Wed, 13 Apr 2022 11:30:00 +0100

Dnes vyšel můj nový příspěvek na stránkách SANS Internet Storm Center. Podíváme se v něm na dopady aktuální války na Ukrajině na dostupnost webových serverů na Ukrajině a v Rusku…

Nepravdivé zprávy o kybernetických útocích v rámci války na Ukrajině v médiích, aneb postesk nad úrovní žurnalistické profesionality a etiky v českých zemích

Jan Kopriva — Wed, 30 Mar 2022 07:50:00 +0100

Jen málokdo by asi nesouhlasil s tvrzením, že hlavním úkolem každého profesionálního novináře při informování veřejnosti o aktuálním dění je poskytovat objektivní, nezkreslené, ověřené, a hlavně pravdivé informace. Jde konec konců o zásady, které explicitně zmiňuje například i Etický kodex Syndikátu novinářů České republiky. Výše uvedené samozřejmě platí, ponecháme-li stranou situaci kdy novinář publikuje článek v němž vyjadřuje pouze svůj názor na určitou událost či dění, nicméně v takovém případě by mělo být naprosto zjevné, že se autor nesnaží prezentovat ve své práci objektivní skutečnost, ale jen svůj subjektivní pohled.

Bohužel, současná praxe některých žurnalistů působících v populárních českých médiích je výše zmíněným ideálům relativně vzdálená. V souvislosti s probíhající válkou na Ukrajině totiž někteří z nich publikují nepravdivé nebo přinejmenším neověřené informace o kybernetických útocích a souvisejícím dění a prezentují je jako objektivně uznatelnou skutečnost. Ať už jsou výsledné články (na pár konkrétních příkladů se podíváme níže) výsledkem bezhlavého přejímání informací publikovaných v jiných médiích nebo senzacechtivosti a neznalosti odborné problematiky na straně jejich autorů, je zjevné, že se při jejich tvorbě autoři ani nikdo jiný z redakcí relevantních mediálních organizací neobtěžoval ověřit pravdivost v nich předkládaných „faktů“.

Popsaný problém se samozřejmě netýká jen českých médií, ale v následujících řádcích se zaměříme výhradně jen na příklady z domácího prostředí. Nejedná se bohužel ani o problém nový – upozorňoval jsem na něj konec konců i já sám už v roce 2019 na konferenci Cybercon v příspěvku nazvaném „Kybernetická bezpečnost je šedivá: útoky nejsou vždy škodlivé a publikované informace nejsou vždy pravdivé“, když jsem hovořil mimo jiné o velmi špatné praxi při přejímání neověřených informací s vazbou na kybernetickou bezpečnost nejen ze strany populárních médií.

Jaké konkrétní články z posledních týdnů tedy obsahují nepravdivé nebo alespoň prokazatelně neověřené informace? Pojďme se podívat na pár příkladů ze serveru Novinky.cz – nejde o jediný portál, kde si autoři zjevně mnohdy nelámou hlavu s ověřováním informací s vazbou na kybernetickou bezpečnost před jejich publikováním, ale dle rychlé analýzy českých online médií jsem došel k přesvědčení, že rozhodně patří mezi největší hříšníky v této oblasti…

27. 3. 2022 – článek Tohle je pravda o Ukrajině! Hackeři napadli 40 tisíc ruských tiskáren, aby referovali o válce

V článku jeho autor uvádí, že hnutí Anonymous se podařilo ovládnout 40 tisíc ruských tiskáren a s pomocí nich vytisknout přes sto tisíc stránek textu informujícího ruské občany o propagandě a dezinformacích, které jsou jim ze strany oficiálních institucí předkládány v souvislosti s válkou na Ukrajině.

Zdroj: Novinky.cz

I ponecháme-li pro tentokrát stranou, že tvrzení „anonymních“ twitterových účtů hlásících se k Anonymous nejsou nezbytně zcela spolehlivým zdrojem informací, a prezentovat tak jejich vyjádření jako skutečnost bez jakéhokoli ověření je přinejmenším nevhodné (k tomuto problému se ještě několikrát vrátíme), není už ani samotný nadpis v pořádku. Zdá se totiž, že v tomto případě se autor článku ani nikdo jiný v redakci neobtěžoval podívat na původní tweet v němž se Anonymous mají k „hacku“ tiskáren hlásit – v něm je totiž sice zmíněn jak počet údajně kompromitovaných tiskáren, tak číslo 40 tisíc, tato cifra však odkazovala na počet stránek, který se mělo podařit útočníkům původně vytisknout, nikoli počet kompromitovaných tiskáren. Tiskáren samotných mělo být dle daného tweetu kompromitováno pouze 156 (toto číslo se do textu článku na Novinkách paradoxně rovněž dostalo, ale autor následně zmiňuje jeho údajný „raketový růst“).

Zdroj: Twitter

Je na místě poznamenat, že v článku na serveru HackRead, který byl v textu na Novinkách citován, byla publikována informace o větším počtu kompromitovaných zařízení než zmiňuje původní tweet. Autor tohoto článku však místo 156 tiskáren zmiňuje pouze číslo 160 a nikoli 40 000.

Na základě výše uvedeného by mělo být zjevné, že pokud by se autor byl býval chtěl držet faktů, resp. pokud by si byl alespoň korektně přečetl onen původní tweet (nebo si alespoň ověřil jediným vyhledáním na Googlu svou domněnku o 40 000 kompromitovaných tiskárnách), mohl nadpis článku vypadat spíše takto:

Samotný text článku by pak pochopitelně musel rovněž působit trochu méně bombastickým a „jistým“ dojmem…

22. 3. 2022 – článek První „varovný výstřel“. Hackeři zaútočili na Nestlé a zveřejnili citlivá data

Jak můžete vidět na následujícím obrázku, už v perexu a v prvním odstavci článku jeho autoři jednoznačně informují o tom, že jisté skupině s vazbou na hnutí Anonymous se podařilo úspěšně napadnout společnost Nestlé a následně zveřejnit 10 GB citlivých dat, které „evidentně pochází“ z jejích interních systémů.

Zdroj: Novinky.cz

Ponechme nyní stranou, že níže v textu článku autoři citují i vyjádření Nestlé, v němž firma informace o úniku citlivých dat popírá – v prvních odstavcích i nadpisu článku se vyjadřují velmi jasně v tom smyslu, že došlo k úspěšnému útoku a byla zcizena a publikována citlivá data. Na čem tedy toto tvrzení založili?

Zdá se, že na ničem jiném než na následujícím tweetu jednoho z účtů navázaných na hnutí Anonymous, který autoři v článku uvádí.

Zdroj: Twitter

Jak jsme už zmínili výše, twitterové účty identifikující se s Anonymous nejsou nezbytně zcela spolehlivým zdrojem informací – historicky byla některá tvrzení jmenovaného hnutí realizovaná nejen s pomocí nich odůvodněně zpochybňována[1,2,3], což je jeden z důvodů (vedle skutečnosti, že na internetu může kdokoli velmi snadno publikovat cokoli), proč většina novinářů, která o takto provedených vyjádřeních informuje, obvykle pouze uvádí, že „Anonymous tvrdí“ že provedli určitou aktivitu.

Bylo tedy v tomto případě ze strany Anonymous skutečně publikováno 10 GB citlivých interních dat společnosti Nestlé, jak nás autoři článku jednoznačně informovali?

Ne.

Je pravdou, že další z twitterových účtů Anonymous zveřejnily odkazy[4,5] na stažení (dle vlastních slov „částečného“, „ukázkového“,…) balíku dat, který měl údajně obsahovat vzorek zcizených citlivých dat – konkrétně e-mailů, hesel/přístupových údajů a informací o obchodních klientech (pokud se vám tento výčet zdá povědomý, obsah souborů byl explicitně uveden jako jeden z „faktů“ ve výše zmíněném článku).

Zdroj: Twitter

Ve skutečnosti měl však publikovaný ZIP soubor pouze 5,7 MB a obsahoval necelých 54 MB zabalených textových souborů. Můžete se o tom konec konců přesvědčit sami – stačí jej stáhnout z jednoho z publikovaných odkazů (například zde nebo zde) a rozbalit.

Je škoda, že tento postup nezvolili autoři onoho článku, než se začali jednoznačně vyjadřovat k velikosti zcizených publikovaných dat a jejich obsahu.

Pokud by tak učinili, mohli totiž velmi snadno zjistit, že i pokud ponecháme stranou tvrzení o zcizení citelně většího balíku dat, než byl publikován, které není možné nijak ověřit (a lze o něm pochybovat), obsah publikovaných souborů rozhodně nevypadá jako „citlivá data“ z interních systémů, ale jako testovací data pro určitý systém (povšimněte si mj. e-mailových adres v následující ukázce z jednoho z publikovaných souborů), což plně odpovídá vyjádření společnosti Nestlé, v němž firma tvrdí, že data, která útočníci získali, jsou testovací a byla ze strany firmy omylem již v únoru veřejně zpřístupněna, a tedy že jejich získání nebylo podmíněno jakýmkoli útokem.

Uvedené vyjádření měli autoři zjevně k dispozici, neb jej ve článku uvádějí, ale pravděpodobně považovali informaci z jakéhosi účtu Twitteru za důvěryhodnější vstup než zprávu od jmenované společnosti…

Ve výsledku tak nebylo publikováno 10 GB dat, ale cca 54 MB, a nešlo při tom o data citlivá, ale s vysokou pravděpodobností data testovací. „Útočníci“ je navíc pravděpodobně nezískali po útoku na systém, ale stáhnuli si je poté, co je Nestlé samo omylem zpřístupnilo.

Zcela stranou ponechme, že „zničením“, jak autoři píší, Anonymous tak docela nevyhrožovaly a věta uvedená v perexu (a nadpisech a textech řady dalších článků na stejném portálu) a je založené na lámané anglické větě „Pull out of Russia! We give you 48 hours to reflect and withdraw from Russia or else you will be under our target!“, kterou v rámci dřívějšího tweetu publikoval jiný účet s vazbou na Anonymous. Mezi „zničením“ a „cílením“ je sice relativně citelný rozdíl, ale zda jde o nepravdivé tvrzení nebo jen přijatelné využití „umělecké licence“ ponechám ke zvážení každému čtenáři…

Zdroj: Twitter

Ať už vnímáme pokračující ekonomické působení firmy Nestlé v Rusku (nebo její jakékoli jiné aktivity) jako neetické či nikoli, určitě není na místě vydávat nepodložené informace o úspěšném útoku na ní za skutečnost, tím méně když existuje řada objektivních důvodů, které takový narativ jednoznačně zpochybňují…

Jak by mohl například vypadat začátek diskutovaného článku, pokud bychom se drželi dostupných skutečností popsaných výše, se můžete v každém případě podívat na následujícím obrázku.

2. 3. 2022 – článek Rusům jsme vyřadili špionážní satelity, jedou naslepo, hlásí Anonymous

Poslední ukázka, na kterou se krátce podíváme, demonstruje situaci, kdy autor v části článku jednoznačně tvrdí, že k určité události/situaci došlo, a následně o několik řádků níže uvádí zdánlivě neslučitelnou informaci ohledně nemožnosti ověření pravdivosti původního tvrzení.

Autor tohoto článku již v perexu jednoznačně tvrdí, že Anonymous se podařilo vyřadit systémy Roskosmosu, v důsledku čehož ruské síly „útočí v podstatě naslepo“ bez podpory satelitů.

Zdroj: Novinky.cz

Toto tvrzení se zdá být podloženo opět jen jedním tweetem publikovaným účtem s vazbou na hnutí Anonymous.

Zdroj: Twitter

Jak jsme zmínili už výše, spoléhat se plně na pravdivost všech zpráv publikovaných ze strany různých skupin hlásících se k Anonymous na Twitteru je značně rizikové. V tomto případě nemáme k dispozici žádná další data, která by nám úspěšný průnik a pravdivost onoho výše uvedeného tvrzení skutečně potvrdily. Jak sám autor článku uvádí, Rusko úspěch útoku popřelo, nicméně spoléhat se na oficiální ruská vyjádření by bylo asi stejně odvážné, jako bez dalších důkazů bez výhrad přijmout výše zmíněnou zprávu Anonymous.

Obrázky, které byly k tweetu přiloženy, a které autor článku popisuje jako „snímky z administračního rozhraní serverů, které potvrzují, že jsou skutečně mimo provoz“ ve skutečnosti rozhodně nic takového nepotvrzují. Zdá se, že jde o části administračního rozhraní systému WSO2 Identity Server – řešení pro správu identit, které samo o sobě rozhodně nemá žádnou vazbu na průmyslové nebo satelitní systémy – a nikde na obrázcích není nic, co by ukazovalo jakékoli „systémy mimo provoz“.

I pokud bychom tedy pominuli principiálně omezenou důkazní hodnotu jakýchkoli screenshotů, je zjevné že autor článku v něm bez okolků prezentuje nesmyslný a nepravdivý závěr jako skutečnost.

Tím však náš pohled na tento článek nekončí. Autor totiž současně se vším výše uvedeným v textu zmiňuje, že zprávu Anonymous „bohužel v současnosti není možné ověřit…z jiného zdroje”.

Je mi záhadou, jak může článek publikovaný na jednom z největších zpravodajských portálů v zemi jednoznačně označit něco za skutečnost a následně přiznat, že to skutečnost být vlastně nemusí, protože není možné to ověřit, ale zřejmě jde o jedno z hlubokých tajemství vyvážené moderní žurnalistiky a mentální gymnastiky, kterým není mně, prostému smrtelníkovi, souzeno porozumět…

Jak by mohl vypadat úvod tohoto článku, pokud by se autor rozhodl nepovažovat výše zmíněný tweet za slovo boží? Například takto:

Nejde o jediné dílo z poslední doby, kde se autoři odhodlali k podobnému přístupu založenému na prezentování neověřených informací jako faktů, přičemž následně zmiňují, že se vlastně jedná o informace nepotvrzené – článek jednoznačně tvrdící v nadpisu „Polská železnice kolabuje. Můžou za to hackeři“, v jehož textu však autoři uvádí že „podle všeho je to důsledek hackerského útoku”, ale “oficiálně … polská vláda ještě útok hackerů nepotvrdila” budiž jen další ukázkou výše popsané praxe vydávat nepotvrzené informace za jednoznačně pravdivé (pro úplnost již jen doplním, že na článek jeden z jeho autorů později sám navázal článkem nazvaným Žádný útok hackerů. Polská železnice zkolabovala kvůli softwarové chybě).

Co říci na závěr?

Příkladů podobných těm výše uvedeným je (nejen) na českém internetu více a zpravidla se pohybují na úrovni bezhlavého přebírání nepotvrzených „výkřiků do tmy“ publikovaných různými twitterovými účty nebo zahraničními médii bez jakékoli verifikace nebo kritické analýzy.

V této oblasti musím například přiznat, že mi přijde ze strany některých žurnalistů přinejmenším velmi odvážné jednoznačně tvrdit, že útoky Anonymous „vyhnaly“ některé organizace z Ruska. Přestože sami Anonymous mají tendenci tak situaci prezentovat, sám bych byl předpokládal, že ekonomický tlak a negativní reakce zákazníků jsou podstatnějšími faktory při rozhodování vedení nadnárodních obchodních gigantů než hrozby ze strany Anonymous… Předpokládal bych také, že skutečnost, že na Twitteru firemní účty na zprávy od Anonymous reagují informacemi o plánech firem nepokračovat v aktivitách v Rusku jsou spíše snahou upozornit na skutečný stav věci i ty, k nimž by se plány organizací dostat nemusely (a kteří by v důsledku toho mohli podniknout sice nekritickou, ale přesto nežádoucí akci), než uznání toho, že tlak Anonymous fungoval… Nezastírám však že je možné, že se pletu a rozhodně bych nebyl ochotný prezentovat tento svůj názor jako fakt.

Což mě přivádí k zajímavé myšlence – nebylo by pěkné, kdyby se podobnou zásadou neprezentovat vlastní domněnky jako fakta řídili i všichni profesionální novináři?

Postřehy z bezpečnosti: útok na firmu Okta a možný konec skupiny Lapsus$

Jan Kopriva — Mon, 28 Mar 2022 08:00:00 +0100

Na portálu Root.cz byl dnes publikován můj nový příspěvek do seriálu Postřehy z bezpečnosti, v němž se podíváme na aktuality spojené s válkou na Ukrajině, úspěšný útok na společnosti Okta a Microsoft ze strany skupiny Lapsus$, ale i na údajné zatčení členů této skupiny a mnoho dalšího…

Interview ve Studiu ČT 24 k útokům na firmy působící v Rusku

Jan Kopriva — Fri, 25 Mar 2022 17:20:00 +0100

Dnes jsem měl možnost krátce pohovořit ve vysílání České televize o aktuálních kybernetických útocích vedených (nejen) ze strany Anonymous proti globálním firmám, které prozatím v Rusku neomezily své působení, a o několika dalších tématech souvisejících s kybernetickou bezpečností a válkou na Ukrajině. Pokud byste si chtěli rozhovor poslechnout , najdete jej v dnešním odpoledním Studiu ČT 24 na tomto odkazu cca od 7. minuty…

Světlá Strana Internetu - O válce na Ukrajině a budoucnosti kybersvěta

Jan Kopriva — Thu, 17 Mar 2022 14:20:00 +0100

Minulý týden mě Standa Novotný z Alefu pozval do natáčení nové epizody podcastu Světlá Strana Internetu, kterou dnes publikoval na YouTube. Za téměř hodinu jsme toho se Standou stihli probrat poměrně hodně, od mých začátků v bezpečnosti až po kybernetické útoky související s válkou na Ukrajině a myslím, že výsledek není vůbec špatný. Konec konců, můžete posoudit sami…

Log4shell Lightning talk - 2022 TF-CSIRT Meeting & FIRST Regional Symposium Europe

Jan Kopriva — Mon, 14 Mar 2022 09:00:00 +0100

Před několika týdny jsem se zúčastnil letošního setkální globální CSIRT komunity konaného pod názvem 2022 TF-CSIRT Meeting & FIRST Regional Symposium Europe a vystoupil jsem na něm s krátkou prezentací k několika zajímavým trendům spojeným se zneužíváním zranitelnosti Log4shell a souvisejícím možnostem implementace jednoduché generické ochrany před obdobnými útoky v budoucnu. Záznam všech prezentací ze zmíněné konference je nyní k dispozici na YouTube a mou přednášku můžete najít ve videu níže, případně na tomto odkazu. Na lightning talk bylo vyhrazeno 5 minut a ty jsem bohužel svým vyprávěním citelně přesáhnul, nicméně snad mi to většina účastníků neměla za zlé…

Interview ve Studiu ČT 24 k situaci na Ukrajině

Jan Kopriva — Tue, 08 Mar 2022 16:45:00 +0100

Včera jsem se v návaznosti na pozvání z České televize vydal na Kavčí hory popovídat si o kybernetických útocích v souvislosti s invazí ruských vojsk na Ukrajinu. Předpokládal jsem, že rozhovor bude nahrávaný do záznamu, ale nakonec jsem skončil přímo v živém vysílání. Pokud byste si tedy chtěli poslechnout pár mých postřehů stran aktuálního konfliktu, najdete je ve včerejším odpoledním Studiu ČT 24 na tomto odkazu cca od 17. minuty dál…

Postřehy z bezpečnosti: (nejen) ruská invaze na Ukrajinu

Jan Kopriva — Mon, 28 Feb 2022 08:00:00 +0100

Na portálu Root.cz byl dnes publikován můj nový příspěvek do seriálu Postřehy z bezpečnosti, v němž se společně podíváme na kybernetické útoky a další události spojené s invazí ruských vojsk na Ukrajinu, pravděpodobný konec malwaru Trickbot, další várku škodlivých balíčků v repozitáři npm a nejen to…

Postřehy z bezpečnosti: PwnKit, aneb kdo chce být root?

Jan Kopriva — Mon, 31 Jan 2022 09:30:00 +0100

Na portálu Root.cz byl dnes publikován můj první příspěvek do seriálu Postřehy z bezpečnosti. Od nového roku se na tvorbě jmenované série vedle kolegů z CSIRT.CZ a CESNET-CERTS podílí i ALEF-CSIRT a má maličkost. Vzhledem k tomu, že se při tvorbě článků budeme postupně střídat, pravidelně - cca jednou měsíčně - si budete moct přečíst i příspěvek z mého pera.
V dnešním díle Postřehů z bezpečnosti se společně podíváme na netradiční použití ransomwaru při útoku na běloruské železnice, závažnou zranitelnost PwnKit, dosud největší zaznamenaný DDoS útok a nejen to…

SANS ISC Diary - Over 20 thousand servers have their iLO interfaces exposed to the internet, many with outdated and vulnerable versions of FW

Jan Kopriva — Wed, 26 Jan 2022 12:20:00 +0100

Dnes vyšel můj nový příspěvek na stránkách SANS Internet Storm Center. Podíváme se v něm na nečekaně velký počet serverů HP, které mají vypublikované své out-of-band konfigurační rozhraní do internetu…

SecurityCast Ep#94 - Z OpenSubtitles.org unikla data všech uživatelů

Jan Kopriva — Mon, 24 Jan 2022 16:30:00 +0100

Nová epizoda Alef SecurityCast je k dispozici na YouTube a na Spotify. Podíváme se v ní na nepodařený Microsoft Patch Tuesday, zajímavou japonskou judikaturu stran cryptojacking skriptů a mnoho dalšího…

SANS ISC Diary - Phishing e-mail with...an advertisement?

Jan Kopriva — Tue, 18 Jan 2022 10:10:00 +0100

Dnes vyšel můj nový příspěvek na stránkách SANS Internet Storm Center. Podíváme se v něm na lehce netradiční phishingovou zprávu, která krom jiného obsahovala i text připomínající reklamu na produkty firmy Xerox…

SecurityCast Ep#93 - Rusko zatýká členy gangu REvil a zabavilo 6,6 milionu dolarů

Jan Kopriva — Mon, 17 Jan 2022 12:50:00 +0100

Nová epizoda Alef SecurityCast je k dispozici na YouTube a na Spotify. Podíváme se v ní na zatčení 14 členů skupiny za ransomwarem REvil, útok s pomocí pseudo-ransomwaru/wiperu cílený na organizace na Ukrajině a nejen to…

Podcast s Gaper.io (nejen) o bezpečnosti práce z domova

Jan Kopriva — Fri, 14 Jan 2022 14:00:00 +0100

Nějakou dobu zpátky jsem dostal pozvání do podcastu s Gaper.io, jehož záznam byl dnes publikován na jejich stránkách. S Markem Allenem z Gaperu jsme strávili téměř 20 minut povídáním o různých bezpečnostních aspektech práce z domova, povědomí široké veřejnosti o aktuálních hrozbách a dalších tématech. Pokud hledáte nějaký lehký, na bezpečnost zaměřený podcast, pak by tento mohl odpovídat vašim požadavkům….

SecurityCast Ep#92 - Google a Facebook dostali pokutu 210 milionů Euro

Jan Kopriva — Mon, 10 Jan 2022 14:15:00 +0100

Nová epizoda Alef SecurityCast je k dispozici na YouTube a na Spotify. Podíváme se v ní na varování FTC spojené s patchováním zranitelností v knihovně Log4j, vysokou pokutu pro Facebook a Google za nekorektní přístup k odmítání cookies a nejen to…

Otevřené porty v roce 2021

Jan Kopriva — Wed, 05 Jan 2022 07:30:00 +0200

Rok 2021 je za námi, což znamená, že nastal čas podívat se, jak se změnil český internet v jeho průběhu.

Jako vždy, i tentokrát byla veškerá data získána z platformy Shodan a nemusí tak být zcela přesná (viz první příspěvek s přehledem otevřených portů). Významnější změny a trendy zachycené v grafech by nicméně měly odpovídat skutečnosti.

Zmínku si zaslouží, že Shodan začal před několika měsíci nabízet novou službu nazvanou Trends, která umožňuje snadno získat podobné grafy, jako jsou ty níže uvedené, pro libovolné vyhledávací parametry. Vzhledem k uvedenému je možné, že toto bude poslední příspěvek v sérii zaměřené na otevřené porty na internetu… Neb ale Shodan Trends umožňuje zobrazit pouze “obecné” grafy s citelně nižší úrovní detailu (zdá se, že Shodan pro generování grafů využívá pro každý měsíc pouze průměr, nebo medián, zatímco níže uvedené grafy jsou vytvořeny na základě hodnot získaných v průběhu jednotlivých dní), je možné, že se rozhodnu pokračovat alespoň v publikaci každoročních přehledů jako je tento - uvidíme…

Následující grafy se týkají České republiky, pokud by vás však zajímala data týkající se globálního internetu, můžete je nalézt zde.

Níže můžete nalézt grafy zachycující následující protokoly a porty:

Web

E-mail

SSL/TLS

Industrial Control Systems (ICS)

SSH (port 22)

Telnet (port 23)

DNS (port 53)

NTP (port 123)

SNMP (port 161)

SMB (port 445)

RDP (port 3389)

Web

HTTP (port 80)

HTTPS (port 443)

TLS 1.3 (port 443)

TLS 1.2 (port 443)

TLS 1.1 (port 443)

TLS 1.0 (port 443)

SSL 3.0 (port 443)

SSL 2.0 (port 443)

E-mail

SMTP (port 25)

SMTPS (port 465)

IMAP (port 143)

IMAPS (port 993)

POP3 (port 110)

POP3S (port 995)

SSL/TLS

TLS 1.3 (všechny porty)

TLS 1.2 (všechny porty)

TLS 1.1 (všechny porty)

TLS 1.0 (všechny porty)

SSL 3.0 (všechny porty)

SSL 2.0 (všechny porty)

Industrial Control Systems

Všechny průmyslové protokoly

Modbus (port 502)

EIBnet/IP (port 3671)

BACnet/IP (port 47808)

SecurityCast Ep#91 - Dozvuky Log4j a první bug v Microsoft Exchange roku 2022

Jan Kopriva — Mon, 03 Jan 2022 14:15:00 +0100

Nová epizoda Alef SecurityCast je k dispozici na YouTube a na Spotify. Podíváme se v ní na nové zranitelnosti v knihovně Log4j, chybu Exchange serveru, která po přelomu roku způsobila zastavení doručování e-mailů na mnoha serverech a nejen to…

SANS ISC Diary - Do you want your Agent Tesla in the 300 MB or 8 kB package?

Jan Kopriva — Fri, 31 Dec 2021 13:15:00 +0100

Dnes vyšel můj nový příspěvek na stránkách SANS Internet Storm Center. Podíváme se v něm na největší i nejmenší škodlivé PE soubory, které jsem v průběhu roku 2021 našel v e-mailové karanténě…

SecurityCast Ep#90 - Cybersecurity FAILY roku 2021

Jan Kopriva — Mon, 27 Dec 2021 16:40:00 +0100

Poslední letošní epizoda Alef SecurityCast je k dispozici na YouTube a na Spotify. Tentokrát se podíváme na výběr z toho, co v roce 2021 nedopadlo v oblasti kybernetické bezpečnosti úplně nejlépe…

SANS ISC Diary - PowerPoint attachments, Agent Tesla and code reuse in malware

Jan Kopriva — Mon, 20 Dec 2021 17:00:00 +0100

Dnes vyšel můj nový příspěvek na stránkách SANS Internet Storm Center. Podíváme se v něm na malspamovou zprávu, která nesla v příloze PowerPoint dokument s makry, z něhož se vyklubala první fáze infekčního řetězce nové verze Agentu Tesla…

SecurityCast Ep#89 - TOP 6 událostí roku 2021

Jan Kopriva — Mon, 20 Dec 2021 14:40:00 +0100

Speciální vánoční epizoda Alef SecurityCast je k dispozici na YouTube a na Spotify. Podíváme se v ní na výběr toho nejzajímavějšího, co nás v oblasti kybernetické bezpečnosti letos potkalo…

SecurityCast Ep#88 - Nový zero-day exploit pro Log4j Java knihovnu

Jan Kopriva — Mon, 13 Dec 2021 15:30:00 +0100

Nová epizoda Alef SecurityCast je k dispozici na YouTube a na Spotify. Podíváme se v ní na útoky využívající kompromitované WordPress instance, závažnou zranitelnost v Java knihovně Log4j a nejen to…

SecurityCast Ep#87 - Microsoft Defender vyděsil administrátory chybným označením škodlivých procesů

Jan Kopriva — Mon, 06 Dec 2021 13:10:00 +0100

Nová epizoda Alef SecurityCast je k dispozici na YouTube a na Spotify. Podíváme se v ní na ransomware útok na základní školu v Přerově, mnoho false-positive detekcí ze strany Microsoft Defenderu a nejen to…

SecurityCast Ep#86 - Přes 1000 lidí koordinovaně zadrženo za kybernetické zločiny

Jan Kopriva — Mon, 29 Nov 2021 15:10:00 +0100

Nová epizoda Alef SecurityCast je k dispozici na YouTube a na Spotify. Podíváme se v ní na úspěšný zátah Interpolu na kybernetické zločince, žalobu Applu na NSO Group a mnoho dalšího…

SANS ISC Diary - Phishing page hiding itself using dynamically adjusted IP-based allow list

Jan Kopriva — Wed, 24 Nov 2021 12:10:00 +0100

Dnes vyšel můj nový příspěvek na stránkách SANS Internet Storm Center. Podíváme se v něm na zajímavý ochranný mechanismus, který umožnil phishingové stránce zabránit v přístupu k falešnému přihlašovacímu portálu všem kromě původní oběti, která kliknula na podvodný odkaz v e-mailové zprávě…

SecurityCast Ep#85 - Emotet je zpátky a detekování skrytých kamer aplikací

Jan Kopriva — Mon, 22 Nov 2021 15:10:00 +0100

Nová epizoda Alef SecurityCast je k dispozici na YouTube a na Spotify. Podíváme se v ní na zmrtvýchvstání malwaru Emotet, novou variantu útoku Rowhammer a nejen to…

SecurityCast Ep#83 - Facebook ruší funkci rozpoznávání obličejů

Jan Kopriva — Mon, 08 Nov 2021 13:45:00 +0100

Nová epizoda Alef SecurityCast je k dispozici na YouTube a na Spotify. Podíváme se v ní na odměnu za informace o ransomwarové skupině DarkSide nabízenou ze strany USA, publikaci seznamu aktivně využívaných zranitelností ze strany CISA a mnoho dalšího…

SecurityCast Ep#82 - 60 let vězení hrozí vývojáři malwaru TrickBot

Jan Kopriva — Mon, 01 Nov 2021 13:45:00 +0100

Nová epizoda Alef SecurityCast je k dispozici na YouTube a na Spotify. Podíváme se v ní na vydání jednoho z údajných vývojářů malwaru TrickBot do USA, nový ENISA Threat Landscape Report a nejen to…

TriOp update - verze 1.4 (a Shodan Trends)

Jan Kopriva — Thu, 28 Oct 2021 14:00:00 +0200

Dnes jsem publikoval verzi 1.4 nástroje TriOp. Jedinou změnou je tentokrát doplnění CVE-2021-31206 (zranitelnost užívaná při ProxyShell útoku) do relevantního vyhledávacího seznamu.

Zmínku rovněž zaslouží skutečnost, že Shodan nedávno zpřístupnil novou službu Shodan Trends, která umožňuje uživatelům jednoduše generovat grafy pro (pravděpodobně) libovolné dotazy do databáze Shodanu. Přestože tyto grafy jsou založeny pouze na měsíčních průměrech zájmových hodnot a nejsou tedy tak přesné jako grafy, které je možné vygenerovat na základě dat získaných ze Shodanu s pomocí nástroje TriOp, mohou potenciálně poskytnout poměrně zajímavý pohled na vybrané dlouhodobé trendy. Pro získávání vstupů pro aktivity které nevyžadují detilní data o každodenních změnách tak může být tato nová služba potenciální alternativou k TriOp.

Jako vždy, aktuální verzi TriOp je možné stáhnout z GitHubu.

SecurityCast Ep#81 - Malware kampaň na YouTube a Zerodium nakupuje 0-day zranitelnosti VPN klientů

Jan Kopriva — Mon, 25 Oct 2021 13:00:00 +0200

Nová epizoda Alef SecurityCast je k dispozici na YouTube a na Spotify. Podíváme se v ní na využívání YouTube v rámci malwarových distribučních kampaní, novou verzi frameworku MITRE ATT&CK a nejen to…

SecurityCast Ep#80 - Česká republika součástí 31 zemí se společnou strategií boje proti ransomwaru

Jan Kopriva — Mon, 18 Oct 2021 15:05:00 +0200

Nová epizoda Alef SecurityCast je k dispozici na YouTube a na Spotify. Podíváme se v ní na participaci ČR v iniciativě Counter-Ransomware, nově publikovaný nástroj Sysmon for Linux a nejen to…

Prezentace z konference AFCEA Kybernetická bezpečnost IX

Jan Kopriva — Sat, 16 Oct 2021 12:00:00 +0200

Minulý týden proběhla v rámci mezinárodního veletrhu obranné a bezpečnostní techniky IDET také konference Kybernetická bezpečnost IX, jíž organizovala AFCEA a v rámci níž jsem měl možnost vystoupit s krátkým příspěvkem zaměřeným na problematiku neustále se zvyšujícího technologického dluhu, který si jako moderní společnost budujeme, a jeho dopadů na bezpečnost (nejen) globálního internetu. Slidy z většiny přednášek, včetně té mé, jsou v současnosti již k dispozici na tomto odkazu.
Domnívám se, že se mi podobně jako u nedávné přednášky připravené pro 64. TF-CSIRT meeting podařilo i tentokrát připravit prezentaci tak, aby dávala smysl i samostatně, bez průvodního výkladu, a pro případné zájemce o výše uvedenou problematiku tak může být její stažení potenciálně přínosné.

SecurityCast Ep#79 - Proč nefungoval Facebook a masivní únik dat z Twitche

Jan Kopriva — Mon, 11 Oct 2021 14:05:00 +0200

Nová epizoda Alef SecurityCast je k dispozici na YouTube a na Spotify. Podíváme se v ní na celosvětový výpadek služeb Facebooku, únik dat z platformy Twitch a nejen to…

SecurityCast Ep#78 - Útočník dokáže ze zamčeného iPhonu provádět nepovolené platby

Jan Kopriva — Mon, 04 Oct 2021 16:00:00 +0200

Nová epizoda Alef SecurityCast je k dispozici na YouTube a na Spotify. Podíváme se v ní na slabinu v Apple Pay, službu Emergency Mitigation v Microsoft Exchange a mnoho dalšího…

Otevřené porty v Q3 2021

Jan Kopriva — Fri, 01 Oct 2021 15:00:00 +0200

Do konce roku už zbývají jen tři měsíce a nastal tak čas podívat se, jak se za třetí čtvrtletí 2021 změnil český internet.

Následující grafy se týkají České republiky, pokud by vás však zajímala data týkající se globálního internetu, můžete je nalézt zde.

Níže můžete nalézt grafy zachycující následující protokoly a porty:

Web

E-mail

SSL/TLS

Industrial Control Systems (ICS)

SSH (port 22)

Telnet (port 23)

DNS (port 53)

NTP (port 123)

SNMP (port 161)

SMB (port 445)

RDP (port 3389)

Web

HTTP (port 80)

HTTPS (port 443)

TLS 1.3 (port 443)

TLS 1.2 (port 443)

TLS 1.1 (port 443)

TLS 1.0 (port 443)

SSL 3.0 (port 443)

SSL 2.0 (port 443)

E-mail

SMTP (port 25)

SMTPS (port 465)

IMAP (port 143)

IMAPS (port 993)

POP3 (port 110)

POP3S (port 995)

SSL/TLS

TLS 1.3 (všechny porty)

TLS 1.2 (všechny porty)

TLS 1.1 (všechny porty)

TLS 1.0 (všechny porty)

SSL 3.0 (všechny porty)

SSL 2.0 (všechny porty)

Industrial Control Systems

Všechny průmyslové protokoly

Modbus (port 502)

EIBnet/IP (port 3671)

BACnet/IP (port 47808)

Interview - ECSC 2021

Jan Kopriva — Thu, 30 Sep 2021 21:10:00 +0200

V Praze již druhým dnem probíhá finále letošního ročníku European Cyber Security Challenge - mezinárodní bezpečnostní soutěže určené týmům mladých talentů z různých zemí Evropy. Vzhledem k tomu, že jsem pro finále vytvářel jednu ze soutěžních úloh a ALEF byl jedním z partnerů soutěže, byl jsem v rámci jejích příprav požádán i o krátké interview, jehož záznam byl dnes publikován na Youtube. V rámci přibližně deseti minut jsme s moderátorkou probrali mnoho zajímavých témat a myslím, že výsledné video se podařilo. Jeho kvality můžete nicméně zhotnotit sami…

SANS ISC Diary - TLS 1.3 and SSL - the current state of affairs

Jan Kopriva — Tue, 28 Sep 2021 11:20:00 +0200

Dnes vyšel můj nový příspěvek na stránkách SANS Internet Storm Center. Podíváme se v něm na aktuální stav adopce TLS 1.3 a situaci v používání SSL 2.0 a 3.0…

SecurityCast Ep#77 - Zranitelnost v Autodiscover protokolu umožnila získání přes 370 tisíc přihlašovacích údajů

Jan Kopriva — Mon, 27 Sep 2021 15:30:00 +0200

Nová epizoda Alef SecurityCast je k dispozici na YouTube a na Spotify. Podíváme se v ní na slabinu v Autodiscover protokolu užívaném Exchange servery, trh s falešnými očkovacími certifikáty na dark webu, a nejen to…

SANS ISC Diary - Phishing 101: why depend on one suspicious message subject when you can use many?

Jan Kopriva — Thu, 16 Sep 2021 09:10:00 +0200

Dnes vyšel můj nový příspěvek na stránkách SANS Internet Storm Center. Podíváme se v něm na lehce netradiční phishing, jehož autoři se pokoušeli nalákat potenciální oběti na podvodnou stránku s pomocí většího počtu zjevně podezřelých textů v předmětech údajných nedoručených zpráv…

Prezentace ze setkání TF-CSIRT - How TLS 1.3 adoption (and disposal of SSL) is going

Jan Kopriva — Tue, 14 Sep 2021 19:00:00 +0200

Dnes proběhlo již 64. pravidelné setkání mezinárodní komunity bezpečnostních týmů TF-CSIRT. K jeho obsahu jsem měl možnost přispět i já, a to prezentací dat týkajících se adopce TLS 1.3 a aktuálního stavu užívání SSL protokolů ve světě a v EU. Většinou zde prezentace realizované v rámci TF-CSIRT meetingů nezmiňuji, ale tentokrát jsem se rozhodl udělat výjimku, neb se domnívám že tato by mohla případnému zájemci poskytnout hodnotné informace i bez souvisejícího výkladu. V případě zájmu tedy můžete najít zmíněnou prezentaci (spolu s několika dalšími, které dnes zazněly) na tomto odkazu.

SecurityCast Ep#75 - Téměř 500 000 Fortinet VPN účtů volně na internetu

Jan Kopriva — Tue, 14 Sep 2021 10:20:00 +0200

Nová epizoda Alef SecurityCast je k dispozici na YouTube a na Spotify. Podíváme se v ní na publikaci téměř půl milionu přístupových údajů k Fortinet VPN, novou kritickou (a prozatím nezáplatovanou) zranitelnost, umožňující spustit v Microsoft Office libovolný kód, a mnoho dalšího…

SecurityCast Ep#74 - Apple pod nátlakem pozastavil plán scanovat všechna svá zařízení

Jan Kopriva — Mon, 06 Sep 2021 10:55:00 +0200

Nová epizoda Alef SecurityCast je k dispozici na YouTube a na Spotify. Podíváme se v ní na změny plánů společnosti Apple, pokud jde o detekování závadného obsahu na zařízeních jejích zákazníků, novinky v oblasti ransomwaru a mnoho dalšího…

SecurityCast Ep#73 - Konec ransomwaru Ragnarok a nečekaně mnoho SPF záznamů v ČR

Jan Kopriva — Mon, 30 Aug 2021 10:55:00 +0200

Nová epizoda Alef SecurityCast je k dispozici na YouTube a na Spotify. Podíváme se v ní na publikování dekryptorů ze strany provozovatelů ransomwaru Ragrnarok, nečekaně velký počet SPF záznamů v doméně CZ a nejen to…

Národní soutěž ČR v kybernetické bezpečnosti (a soutěž o vstupenky na bezpečnostní konference)

Jan Kopriva — Mon, 30 Aug 2021 08:40:00 +0200

Na YouTube jsem dnes publikoval propagační video k nadcházejícímu 6. ročníku národní soutěže ČR v kybernetické bezpečnosti pro mladé lidi ve věku 9 až 25 let. Pokud jste o této akci ještě nikdy neslyšeli, myslím, že video může stát za zhlédnutí. V rámci podpory Kybersoutěže jsem se navíc rozhodl v souvislosti zorganizovat soutěž (nejen) o vstupenky na několik nadcházejících bezpečnostních konferencí, jak si můžete ve videu poslechnout…

Jak je ve videu zmíněno, soutěž běžela do 24. 9. 2021 a pro účast v ní bylo nutné pouze:

přihlásit se k odběru kanálu Untrusted Network CZ na YouTube,
začít na Twitteru sledovat účty @KyberSoutez a @UntrustedNet a
re-tweetnout tento tweet.

Ceny v soutěži byly následující:
1. místo – vstup na konferenci Cyb3r Days + účet na službě Shodan
2. a 3. místo – vstup na konferenci AFCEA KB9 + účet na službě Shodan
4. – 10. místo – účet na službě Shodan

SANS ISC Diary - There may be (many) more SPF records than we might expect

Jan Kopriva — Wed, 25 Aug 2021 11:55:00 +0200

Dnes vyšel můj nový příspěvek na stránkách SANS Internet Storm Center. Podíváme se v něm na překvapivě vysoký počet SPF DNS záznamů v doméně CZ…

SecurityCast Ep#72 - Pokračující ProxyShell útoky a největší L7 DDoS

Jan Kopriva — Mon, 23 Aug 2021 11:30:00 +0200

Nová epizoda Alef SecurityCast je k dispozici na YouTube a na Spotify. Podíváme se v ní na pokračující ProxyShell útoky, nejsilnější zaznamenaný L7 DDoS a mnoho dalšího…

SecurityCast Ep#71 - Aktivní využívání útoku ProxyShell

Jan Kopriva — Mon, 16 Aug 2021 12:30:00 +0200

Nová epizoda Alef SecurityCast je k dispozici na YouTube a na Spotify. Podíváme se v ní na útok ProxyShell a jeho využívání útočníky, ukončení provozu ransomwaru SynAck a nejen to…

TriOp update - verze 1.3

Jan Kopriva — Thu, 12 Aug 2021 17:25:00 +0200

Dnes jsem publikoval verzi 1.3 nástroje TriOp. Jedinou změnou je tentokrát doplnění zranitelností užívaných při ProxyShell útoku (CVE-2021-31207, CVE-2021-34473 and CVE-2021-34523) do relevantního vyhledávacího seznamu.

Vzhledem k tomu, že zřetězení zmíněných zranitelností může vést až k plnému neautentizovanému RCE a média věnovala jmenovanému útoku v posledních týdnech značnou pozornost, bylo by na místě předpokládat, že většina organizací bude zranitelnosti urychleně záplatovat. Každodenní přírůstky v počtech jimi postižených systémů na Shodanu však prozatím vzbuzují spíše méně optimistický dojem…

Jako vždy, aktuální verzi TriOp je možné stáhnout z GitHubu.

SecurityCast Ep#70 - Apple bude scanovat fotky ve všech zařízeních

Jan Kopriva — Mon, 09 Aug 2021 14:00:00 +0200

Nová epizoda Alef SecurityCast je k dispozici na YouTube a na Spotify. Podíváme se v ní na plán Applu vyhledávat mezi fotografiemi škodlivý obsah, únik nástrojů a dokumentů užívaných provozovateli ransomwaru Conti a nejen to…

SANS ISC Diary - ProxyShell - how many Exchange servers are affected and where are they?

Jan Kopriva — Mon, 09 Aug 2021 12:25:00 +0200

Dnes vyšel můj nový příspěvek na stránkách SANS Internet Storm Center. Podíváme se v něm na počty Exchange serverů, proti nimž lze potenciálně realizovat ProxyShell útok.

Seznam zdarma dostupných online sandboxů pro analýzu malware v1.7

Jan Kopriva — Wed, 04 Aug 2021 08:55:00 +0200

Vzhledem k tomu, že v oblasti online sandboxů pro analýzu škodlivého kódu došlo za posledních šest měsíců k několika významným změnám, rozhodl jsem se publikovat novou verzi seznamu analytických platforem, které v současnosti považuji za nejzajímavější/nejužitečnější.
Ze změn si zvláštní zmínku zaslouží zejména doplnění značného počtu podporovaných opearačních systémů do platformy Hatching Triage…

Aktuální verzi seznamu můžete, jako vždy, najít zde.

SecurityCast Ep#69 - Ransomware skupina DarkSide je zpět, tentokrát pod jménem BlackMatter

Jan Kopriva — Mon, 02 Aug 2021 14:00:00 +0200

Nová epizoda Alef SecurityCast je k dispozici na YouTube a na Spotify. Podíváme se v ní na přejmenování skupiny za DarkSide ransomwarem, další vývoj v aféře Kaseya a mnoho dalšího…

SANS ISC Diary - A sextortion e-mail from...IT support?!

Jan Kopriva — Wed, 28 Jul 2021 08:35:00 +0200

Dnes vyšel můj nový příspěvek na stránkách SANS Internet Storm Center. Podíváme se v něm na lehce netradiční vyděračský “sextortion” e-mail, jehož autor se vydával za pracovníka IT firmy najaté organizací poskytující příjemci e-mailovou schránku…

SecurityCast Ep#68 - Nový PetitPotam NTLM Relay útok umožňuje převzít kontrolu nad Windows doménou

Jan Kopriva — Mon, 26 Jul 2021 15:15:00 +0200

Nová epizoda Alef SecurityCast je k dispozici na YouTube a na Spotify. Podíváme se v ní na PetitPotam - nástroj využívající slabinu protokolu MS-EFSRPC k iniciaci NTLM autentizace, což může vést až k získání oprávnění doménového administrátora, novinky v aféře Kaseya a mnoho dalšího…

SecurityCast Ep#67 - REvil zmizel, odměna 10 milionů a naléhavé varování od SonicWall

Jan Kopriva — Mon, 19 Jul 2021 14:20:00 +0200

Nová epizoda Alef SecurityCast je k dispozici na YouTube a na Spotify. Podíváme se v ní na pokračující vývoj okolo nedávného masivního útoku skupiny REvil na stovky organizací po celém světě, sílící tlak na Rusko ze strany USA v oblasti řešení ransomwaru a nejen to…

SANS ISC Diary - One way to fail at malspam - give recipients the wrong password for an encrypted attachment

Jan Kopriva — Wed, 14 Jul 2021 13:10:00 +0200

Dnes vyšel můj nový příspěvek na stránkách SANS Internet Storm Center. Podíváme se v něm na e-mailovou kampaň šířící škodlivé soubory v zašifrovaném archivu bez uvedení správného hesla k němu…

Otevřené porty v Q2 2021

Jan Kopriva — Wed, 30 Jun 2021 21:15:00 +0200

První polovina roku 2021 je za námi a nastal tak čas podívat se, jak se za tři uplynulé měsíce změnil internet.

Následující grafy se týkají České republiky, pokud by vás však zajímala data týkající se globálního internetu, můžete je nalézt zde.

Níže můžete nalézt grafy zachycující následující protokoly a porty:

Web

E-mail

SSL/TLS

Industrial Control Systems (ICS)

SSH (port 22)

Telnet (port 23)

DNS (port 53)

NTP (port 123)

SNMP (port 161)

SMB (port 445)

RDP (port 3389)

Web

HTTP (port 80)

HTTPS (port 443)

TLS 1.3 (port 443)

TLS 1.2 (port 443)

TLS 1.1 (port 443)

TLS 1.0 (port 443)

SSL 3.0 (port 443)

SSL 2.0 (port 443)

E-mail

SMTP (port 25)

SMTPS (port 465)

IMAP (port 143)

IMAPS (port 993)

POP3 (port 110)

POP3S (port 995)

SSL/TLS

TLS 1.3 (všechny porty)

TLS 1.2 (všechny porty)

TLS 1.1 (všechny porty)

TLS 1.0 (všechny porty)

SSL 3.0 (všechny porty)

SSL 2.0 (všechny porty)

Industrial Control Systems

Všechny průmyslové protokoly

Modbus (port 502)

EIBnet/IP (port 3671)

BACnet/IP (port 47808)

SANS ISC Diary - Phishing asking recipients not to report abuse

Jan Kopriva — Tue, 22 Jun 2021 15:15:00 +0200

Dnes vyšel můj nový příspěvek na stránkách SANS Internet Storm Center. Podíváme se v něm na phishingovou kampaň, jejíž autor zřejmě nedopatřením uzavřel zprávu netradičním požadavkem…

SecurityCast Ep#64 - Joe Biden a Vladimir Putin řešili otázky kybernetické bezpečnosti

Jan Kopriva — Mon, 21 Jun 2021 13:20:00 +0200

Nová epizoda Alef SecurityCast je k dispozici na YouTube a na Spotify. Podíváme se v ní na výstupy ze setkání prezidentů USA a Ruska, v rámci něhož diskutovali mj. kybernetickou bezpečnost, zajímavý anti-pirátský malware a nejen to…

SecurityCast Ep#63 - EA přišlo o zdrojový kód ke hře FIFA21, UK věří v hack back bez varování

Jan Kopriva — Mon, 14 Jun 2021 13:30:00 +0200

Nová epizoda Alef SecurityCast je k dispozici na YouTube a na Spotify. Podíváme se v ní na únik zdrojových kódů ze systémů firmy EA, zajímavý malware cílící na Kubernetes clustery, a nejen to…

SANS ISC Diary - Architecture, compilers and black magic, or 'what else affects the ability of AVs to detect malicious files'

Jan Kopriva — Wed, 09 Jun 2021 13:25:00 +0200

Dnes vyšel můj nový příspěvek na stránkách SANS Internet Storm Center. Podíváme se v něm na to, jak může volba kompilátoru ovlivnit schopnost anti-malware nástrojů detekovat škodlivý kód…

SecurityCast Ep#62 - Závažná zranitelnost ve VMware vCenter je aktivně zneužívána útočníky

Jan Kopriva — Mon, 07 Jun 2021 14:20:00 +0200

Nová epizoda Alef SecurityCast je k dispozici na YouTube a na Spotify. Podíváme se v ní na ransomwarový incident u největšího producenta masa na světě, aktivní využívání zranitelnosti ve VMware vCenter, a nejen to…

SecurityCast Ep#61 - Japonská vláda v problémech po hacku platformy ProjectWEB od Fujitsu

Jan Kopriva — Mon, 31 May 2021 14:40:00 +0200

Nová epizoda Alef SecurityCast je k dispozici na YouTube a na Spotify. Podíváme se v ní na pár zajímavých informací o darkwebovovém tržišti Hydra, průnik útočníků do systému Fujitsu ProjectWEB, který využívají mimo jiné i japonská ministerstva, a nejen to…

Webinář - Analýza malware

Jan Kopriva — Fri, 28 May 2021 08:25:00 +0200

Příští pátek (4. června) povedu pro studenty Fakulty informatiky a informačných technológií Slovenské technické univerzity v Bratislavě webinář zaměřený na vybrané aspekty analýzy škodlivého kódu. Webinář bude zdarma přístupný i pro širokou veřejnost a pokud byste se tak chtěli zúčastnit, bližší informace i odkaz k registraci můžete nalézt zde.

SANS ISC Diary - All your Base are...nearly equal when it comes to AV evasion, but 64-bit executables are not

Jan Kopriva — Thu, 27 May 2021 11:30:00 +0200

Dnes vyšel můj nový příspěvek na stránkách SANS Internet Storm Center. Podíváme se v něm na dopady různých kódování na schopnosti anti-malware systémů detekovat škodlivý kód…

SecurityCast Ep#60 - Národní knihovna kvůli kybernetickému útoku týden neposkytovala své služby

Jan Kopriva — Mon, 24 May 2021 13:40:00 +0200

Nová epizoda Alef SecurityCast je k dispozici na YouTube a na Spotify. Podíváme se v ní na ransomwarové útoky doma i v zahraničí, novinky ohledně zranitelnosti CVE-2021-31166, která postihuje http.sys komponentu operačních systémů Windows, a mnoho dalšího…

SecurityCast Ep#59 - Dozvuky ransomware útoku na Colonial Pipeline a FragAttacks

Jan Kopriva — Mon, 17 May 2021 13:55:00 +0200

Nová epizoda Alef SecurityCast je k dispozici na YouTube. Podíváme se v ní na pokračující dopady ransomwarového útoku na společnost Colonial Pipeline, zranitelnosti ve Wi-Fi standardu a nejen to…

SANS ISC Diary - Number of industrial control systems on the internet is lower then in 2020...but still far from zero

Jan Kopriva — Wed, 12 May 2021 13:15:00 +0200

Dnes vyšel můj nový příspěvek na stránkách SANS Internet Storm Center. Podíváme se v něm na počet průmyslových řídících systémů dostupných z internetu…

SecurityCast Ep#58 - Ransomware způsobil uzavření největšího palivového potrubí v USA

Jan Kopriva — Mon, 10 May 2021 13:55:00 +0200

Nová epizoda Alef SecurityCast je k dispozici na YouTube. Podíváme se v ní na úspěšný ransomwarový útok na systémy provozovatele produktovodů v USA, závažné zranitelnosti v Exim serverech a nejen to…

Shodan (a bug bounty programy) - Praktické základy kybernetické bezpečnosti

Jan Kopriva — Sun, 09 May 2021 15:55:00 +0200

Na YouTube kanálu Untrusted Network CZ jsem dnes publikoval další ze série vzdělávacích videí zaměřených na základní nástroje a koncepty užívané v rámci každodenní bezpečnostní praxe. V tomto videu se společně podíváme na platformu Shodan a na problematiku vyhledávání zranitelností na internetu a s ní spojené bug bounty programy.

Za zmínku stojí, že provozovatelé Shodanu nabízí možnost získání plnohodnotného účtu zdarma vysokoškolským studentům, ale nikoli studentům středoškolským. Vzhledem k tomu, že by však bylo určitě i pro středoškoláky, kteří se na videa z cyklu Praktických základů kybernetické bezpečnosti dívají zajímavé si Shodan vyzkoušet, požádal jsem jeho provozovatele o drobnou pomoc. Velmi laskavě mi pro středoškoláky poskytnuli celkem 100 gift kódů, s pomocí nichž je možné získat plnohodnotný účet zdarma.

Pokud tedy aktuálně studujete nějakou střední školu nebo gymnázium a ještě nemáte “plný” účet na Shodanu, ale měli byste o něj zájem, ozvěte se mi na Twitteru nebo mě kontaktujte e-mailem - rád vám jeden z gift kódů věnuji…

Twitter a Slack Untrusted Network

Jan Kopriva — Sun, 09 May 2021 15:40:00 +0200

V návaznosti na nedávnou publikaci prvních dílů osvětové série videí věnovaných praktickým základům kybernetické bezpečnosti na portálu YouTube mě nezávisle na sobě oslovilo několik zájemců o rady ohledně získání práce v oblasti kybernetické bezpečnosti a možnostech dalšího budování kariéry v ní. Vzhledem k tomu, že diskuze o těchto a dalších příbuzných tématech by byla bezpochyby zajímavá i pro širší skupinu (zejména) studentů a juniorních bezpečnostních specialistů, založil jsem na Slacku prostor Untrusted Network, kde budeme moci výše uvedená témata probírat v širším plénu.

Pokud byste měli zájem se k tomuto kanálu připojit, ozvěte se mi na Twitteru nebo mě kontaktujte e-mailem - rád vám pošlu pozvánku.

Pro ty, kteří nepoužívají RSS/Atom čtečku pro sledování tohoto webu, ale chtěli by být upozornění na případné nové příspěvky doplním, že jsem nedávno rovněž začal na Twitterovém účtu @UntrustedNet publikovat informace o novém obsahu, který se zde objeví. V případě zájmu je tedy možné jej pro informace o novinkách začít sledovat.

SecurityCast Ep#57 - Nizozemsko deaktivovalo svou verzi aplikace eRouška, doporučení pro tento týden

Jan Kopriva — Mon, 03 May 2021 13:55:00 +0200

Nová epizoda Alef SecurityCast je k dispozici na YouTube. Podíváme se v ní na problémy s nizozemskou obdobou aplikace eRouška, sadu krizických zranitelností v různých RTOS, SDK a standardních knihovnách užívaných v rámci IoT a OT a mnoho dalšího…

SecurityCast Ep#56 - Ransomware s dopadem na Apple, novinky v komunikaci malwaru a konec Emotetu

Jan Kopriva — Mon, 26 Apr 2021 13:15:00 +0200

Nová epizoda Alef SecurityCast je k dispozici na YouTube. Podíváme se v ní na ransomwarový útok v jehož důsledku údajně došlo ke zcizení citlivých dokumentů společnosti Apple, novinky v komunikačních technikách užívaných malwarem a mnoho dalšího…

SecurityCast Ep#55 – USA a UK formálně přisoudily útok Solarwinds Ruské SVR, nárůst NFT podvodů

Jan Kopriva — Mon, 19 Apr 2021 12:15:00 +0200

Nová epizoda Alef SecurityCast je k dispozici na YouTube. Podíváme se v ní na uvalení sankcí na ruské organizace a občany v souvislosti s útokem na Solar Winds, zranitelnosti, bezprecedentní reakci USA na nedávné útoky na Exchange servery a nejen to…

SANS ISC Diary - Hunting phishing websites with favicon hashes

Jan Kopriva — Mon, 19 Apr 2021 11:15:00 +0200

Dnes vyšel můj nový příspěvek na stránkách SANS Internet Storm Center. Podíváme se v něm na možnosti použití hashí ikon webových stránek pro identifikaci IP adres hostujících phishingové portály…

ALEF Security Report 2021

Jan Kopriva — Fri, 16 Apr 2021 08:00:00 +0200

Tak jako každý rok, i letos jsme s kolegy z Alefu přípravili náš pravidelný report zaměřený na vybrané aspekty kybernetické bezpečnosti nejen v České republice v průběhu loňského roku. Pokud vás zajímají trendy v útocích nebo v bezpečnostním testování, postup adopce TLS pro ochranu e-mailů při přenosu nebo kolik phishing kitů bylo vloni volně nabízených na clear webu, můžete si nově publikovaný report stáhnout zde - najdete v něm i monoho jiných zajímavostí…

SecurityCast Ep#54 – Muž chtěl zničit 70% internetu, databáze 500 mil. účtů z LinkedInu k prodeji

Jan Kopriva — Mon, 12 Apr 2021 17:00:00 +0200

Nová epizoda Alef SecurityCast je k dispozici na YouTube. Podíváme se v ní na zatčení muže, který chtěl “zničit 70 % internetu”, bezpečnostní incident, který postihnul elektrickou rozvodnou síť areálu v Natanzu, v němž Írán obohacuje uran, a mnoho dalšího…

SANS ISC Diary - Malspam with Lokibot vs. Outlook and RFCs

Jan Kopriva — Tue, 06 Apr 2021 18:30:00 +0200

Dnes vyšel můj nový příspěvek na stránkách SANS Internet Storm Center. Podíváme se v něm na zajímavý škodlivý e-mail nesoucí vzorek malwaru Lokibot, který díky chybě v adrese odesilatele způsobil na straně aplikace Outlook velmi netradiční chování…

SecurityCast Ep#53 – Informace o skoro 1,4 milionech českých Facebook účtů jsou volně na internetu

Jan Kopriva — Mon, 05 Apr 2021 14:50:00 +0200

První epizoda pomyslného druhého ročníku Alef SecurityCast je k dispozici na YouTube. Podíváme se v ní na volně dostupná data zcizená ze sociální sítě Facebook, pokus o vložení backdooru do kódu PHP a mnoho dalšího…

Otevřené porty v Q1 2021

Jan Kopriva — Mon, 05 Apr 2021 11:30:00 +0200

První kvartál roku 2021 je za námi a nastal tak čas podívat se na změny v počtech veřejných IP adres s různými otevřenými porty. Tentokrát se podíváme nejen na to, jak se za tři uplynulé měsíce internet změnil z pohledu jednotlivých používaných portů, ale také na změny v podpoře různých verzí protokolů TLS a SSL.

Následující grafy se týkají České republiky, pokud by vás však zajímala data týksjící se globálního internetu, můžete je nalézt zde.

Níže můžete nalézt grafy zachycující následující protokoly a porty:

Web

E-mail

SSL/TLS

Industrial Control Systems (ICS)

SSH (port 22)

Telnet (port 23)

DNS (port 53)

NTP (port 123)

SNMP (port 161)

SMB (port 445)

RDP (port 3389)

Web

HTTP (port 80)

HTTPS (port 443)

TLS 1.3 (port 443)

TLS 1.2 (port 443)

TLS 1.1 (port 443)

TLS 1.0 (port 443)

SSL 3.0 (port 443)

SSL 2.0 (port 443)

E-mail

SMTP (port 25)

SMTPS (port 465)

IMAP (port 143)

IMAPS (port 993)

POP3 (port 110)

POP3S (port 995)

SSL/TLS

TLS 1.3 (všechny porty)

TLS 1.2 (všechny porty)

TLS 1.1 (všechny porty)

TLS 1.0 (všechny porty)

SSL 3.0 (všechny porty)

SSL 2.0 (všechny porty)

Industrial Control Systems

Všechny průmyslové protokoly

Modbus (port 502)

EIBnet/IP (port 3671)

BACnet/IP (port 47808)

Ve volně dostupném balíku dat uniklých z Facebooku jsou informace o více než milionu českých účtů

Jan Kopriva — Sat, 03 Apr 2021 23:30:00 +0200

Dnes se na internetu objevil balík dat obsahující informace o přibližně 533 milionech účtů ze sociální sítě Facebook. Nejde podle všeho o nová data, ale o informace uniklé již v roce 2019. Stejný balík byl historicky již nabízen k prodeji, ale dnes byl publikován zcela volně.

To je přinejmenším nešťastné, neboť, ačkoli nejde o data nová, lze předpokládat, že z většiny budou stále aktuální – jde totiž o seznam telefonních čísel svázaných s jednotlivými účty, spolu s vybranými dalšími informacemi.

UPDATE 6. 4. 2021: Jak se ukázalo, nakonec balík obsahoval “pouze” necelých 500 milionů záznamů, nikoli 533 milionů záznamů. Původně v něm byly obsaženy 2 regionální balíky (Africa a South Africa), které byly duplicitní a započítání obou tak způsobilo výše uvedenou nepřesnost.

Neb se data z výše zmíněného balíku dostala i ke mně, chtěl bych se s vámi podělit o několik zajímavostí které se jich týkají a mají vazbu na české uživatele výše zmíněné sociální sítě.

Účtů s českými telefonními čísly bylo v balíku téměř 1,38 milionu.
Vedle telefonního kontaktu a času posledního updatu (zřejmě) bylo u každého záznamu unikátní ID účtu a jméno a příjmení jeho vlastníka. Výjimku tvořily pouze dva záznamy, kde příjmení chyběla.
Informace o pohlaví uživatele byla uvedena u 93,1 % záznamů.
Adresa a místo narození byly uvedeny u 49,8 %, resp. 44,5 % záznamů.
Informace o zaměstnání byly uvedeny u 30,8 % záznamů.
Rodinný stav byl uveden u 25 % záznamů.
Datum narození bylo uvedeno u 4,4 % záznamů.
E-mailový kontakt byl uveden u 1,3 % záznamů.

Přestože nejde o nově uniklá data, lze předpokládat, že díky jejich snadné (a nově i bezplatné) dostupnosti je začnou citelně více využívat podvodníci. Pokud jste tedy před rokem 2019 využívali sociální síť Facebook, počítejte s tím, že minimálně vaše telefonní číslo (a potenciálně i další zmíněné kategorie informací) má potenciálně k dispozici kdokoli s přístupem k internetu a v případě neočekávaných telefonických hovorů se tak mějte na pozoru…

SANS ISC Diary - Old TLS versions - gone, but not forgotten... well, not really 'gone' either

Jan Kopriva — Tue, 30 Mar 2021 10:20:00 +0200

Dnes vyšel můj nový příspěvek na stránkách SANS Internet Storm Center. Podíváme se v něm na vývoj podpory TLS 1.0 a TLS 1.1 na webových serverech přístupných z internetu…

SecurityCast Ep#52 – Ransomware na vzestupu, ProxyLogon update a záplaty Cisco zranitelností

Jan Kopriva — Mon, 29 Mar 2021 15:05:00 +0200

Nová epizoda Alef SecurityCast je k dispozici na YouTube. Podíváme se v ní na zajímavé statistiky týkající se ransomwarových útoků, nově záplatované zranitlenosti v OpenSSL a produktech firmy Cisco a nejen to…

SecurityCast Ep#51 – Teenager dostal 3 roky natvrdo, polikliniky v Praze zasáhl kybernetický útok

Jan Kopriva — Mon, 22 Mar 2021 13:10:00 +0100

Nová epizoda Alef SecurityCast je k dispozici na YouTube. Podíváme se v ní na odsouzení jednoho z útočníků stojících za loňskou kompromitací high profile Twitter účtů, další vývoj okolo aféry SolarWinds a nejen to…

SANS ISC Diary - 50 years of malware? Not really. 50 years of computer worms? That's a different story...

Jan Kopriva — Tue, 16 Mar 2021 08:20:00 +0100

Dnes vyšel můj nový příspěvek na stránkách SANS Internet Storm Center. Podíváme se v něm na Creeper, první počítačový červ, který byl kdy vytvořen. Došlo k tomu již před 50 lety - dle některých zdrojů na den přesně…

SecurityCast Ep#50 – Datacentrum OVH hořelo, reaktivní opatření NÚKIB a vyhlášení výherců soutěže

Jan Kopriva — Mon, 15 Mar 2021 15:55:00 +0100

Jubilejní 50. epizoda Alef SecurityCast je k dispozici na YouTube. Podíváme se v ní na 150000 kompromitovaných bezpečnostních kamer, další vývoj v oblasti využívání nedávno publikovaných zranitelností v MS Exchange a mnoho dalšího…

TriOp update - verze 1.2

Jan Kopriva — Sun, 14 Mar 2021 14:00:00 +0100

Dnes jsem publikoval verzi 1.2 nástroje TriOp. Ve verzi 1.1 existovala chyba v “add” módu, která způsobovala nekorektní zpracování parametrů v souborech s dotazy. Nově publikovaný update tuto chybu opravuje.
Při použití “add” módu je nyní možné speficikovat filtr (–filter), který určí parametr obsažený v původním souboru s dotazy, který má být připojen ke všem nově přidávaným dotazům.

Jako vždy, aktuální verzi TriOp je možné stáhnout z GitHubu.

SecurityCast Ep#49 - závažné zranitelnosti v Microsoft Exchange a nárůst počtu ransomware útoků

Jan Kopriva — Mon, 08 Mar 2021 15:30:00 +0100

Nová epizoda Alef SecurityCast je k dispozici na YouTube. Podíváme se v ní na aktuální útočné kampaně cílené na on-premise Exchange servery, únik dat z darkwebového fóra Maza, doplnění podpory pro skenování maker typu Excel 4 do AMSI a nejen to…

TriOp update - verze 1.1

Jan Kopriva — Mon, 08 Mar 2021 11:00:00 +0100

Dnes jsem publikoval update nástroje TriOp. Nová verze obsahuje detekce pro nedávno publikované zranitlenosti v Microsoft Exchange v seznamu vyhledávaných CVE a take možnost použití parametrizovaných dotazů s využitím libovolných filtrů, které Shodan podporuje.

Bližší popis nových funkcionalit najdete zde a novou verzi je možné stáhnout z GitHubu.

SecurityCast Ep#48 – Kryptoměnový podvod, nový typ útoku využívá rozšíření prohlížeče

Jan Kopriva — Mon, 01 Mar 2021 12:55:00 +0100

Nová epizoda Alef SecurityCast je k dispozici na YouTube. Podíváme se v ní na využívání kompromitovaných Twitterových účtů pro podvodné získávání kryptoměn, APT kampaň užívající škodlivá rozšíření do prohlížečů a mnoho dalšího.

SANS ISC Diary - Qakbot in a response to Full Disclosure post

Jan Kopriva — Tue, 23 Feb 2021 11:30:00 +0100

Dnes vyšel můj nový příspěvek na stránkách SANS Internet Storm Center. Podíváme se v něm na zajímavý e-mail, který působil jako reakce na historický příspěvek na Full Disclosure mailing list a nesl v příloze downloader pro malware Qakbot…

SecurityCast Ep#47 – LinkedIn phishing a SolarWinds update od Microsoftu

Jan Kopriva — Mon, 22 Feb 2021 14:55:00 +0100

Nová epizoda Alef SecurityCast je k dispozici na YouTube. Podíváme se v ní na novou phishingovou kampaň využívající LinkedIn, dopad aféry Solar Winds na firmu Microsoft a mnoho dalšího.

Záznamy z webinářů 'Ransomware' a 'Lookalike domény'

Jan Kopriva — Thu, 18 Feb 2021 18:45:00 +0100

V posledních týdnech proběhlo několik osvětových webinářů organizovaných pracovní skupinou kybernetické bezpečnosti české pobočky AFCEA. Byly mezi nimi také dva, na nichž jsem měl možnost se svými vystoupeními podílet. První byl věnovaný problematice ransomwaru, druhý pak problematice lookalike domén.
Pokud jste se neměli možnost webinářů zúčastnit, ale jejich obsah by vás zajímal, slidy i videozáznam z webináře věnovaného ransomwaru najdete zde (můj velmi rychlý vstup začíná na 31:15) a slidy se záznamem z webináře věnovaného lookalike doménám zde (má přednáška začíná na 04:25).

Wireshark (a modely TCP/IP a ISO/OSI) - Praktické základy kybernetické bezpečnosti

Jan Kopriva — Tue, 16 Feb 2021 10:00:00 +0100

Na YouTube kanálu Untrusted Network CZ jsem dnes publikoval další ze série vzdělávacích videí zaměřených na základní nástroje a koncepty užívané v rámci každodenní bezpečnostní praxe. V tomto videu se společně podíváme na nástroj Wireshark a popíšeme si základní principy architektonických síťových modelů TCP/IP a ISO/OSI.

SecurityCast Ep#46 – Útočník se pokusil otrávit vodu z čističky, únik dat studia CD PROJEKT RED

Jan Kopriva — Mon, 15 Feb 2021 15:25:00 +0100

Nová epizoda Alef SecurityCast je k dispozici na YouTube. Podíváme se v ní na úspěšný průnik do systémů čističky odpadních vod v USA, zajímavý vektor útoku s pomocí standardních balíčkovacích systémů a nejen to.

SANS ISC Diary - Agent Tesla hidden in a historical anti-malware tool

Jan Kopriva — Thu, 11 Feb 2021 08:20:00 +0100

Dnes vyšel můj nový příspěvek na stránkách SANS Internet Storm Center. Podíváme se v něm na zajímavou verzi malwaru Agent Tesla, která byla skrytá v kódu legitimní historické bezpečnostní aplikace…

SecurityCast Ep#45 – Aféra SolarWinds a soudy v USA, falešný WhatsApp a výzkum 0-day zranitelností

Jan Kopriva — Mon, 08 Feb 2021 15:55:00 +0100

Nová epizoda Alef SecurityCast je k dispozici na YouTube. Podíváme se v ní na dopady aféry SolarWinds na federální soudy v USA, malware maskovaný za aplikaci WhatsApp a mnoho dalšího.

Sandboxy pro analýzu malware (a hashe) - Praktické základy kybernetické bezpečnosti

Jan Kopriva — Tue, 02 Feb 2021 10:00:00 +0100

Na YouTube kanálu Untrusted Network CZ jsem dnes publikoval další ze série vzdělávacích videí zaměřených na základní nástroje a koncepty užívané v rámci každodenní bezpečnostní praxe. V tomto videu se společně podíváme na problematiku cloudových sandboxů pro analýzu škodlivého kódu a popíšeme si základní principy kryptografických hashí.

SecurityCast Ep#44 - Notoricky známý malware Emotet byl zneškodněn v globální operaci 8 států

Jan Kopriva — Mon, 01 Feb 2021 13:25:00 +0100

Nová epizoda Alef SecurityCast je k dispozici na YouTube. Podíváme se v ní na zneškodnění C2 infrastruktury botnetu Emotet v koordinované akci policejních složek z celého světa, závažnou zranitelnost v utilitě sudo a nejen to.

SANS ISC Diary - TriOp - tool for gathering (not just) security-related data from Shodan.io

Jan Kopriva — Wed, 27 Jan 2021 11:00:00 +0100

Dnes vyšel můj nový příspěvek na stránkách SANS Internet Storm Center. Podíváme se v něm na schopnosti mého nově publikovaného nástroje TriOp, který umožňuje periodicky získávat zajímavá data ze služby Shodan.

SecurityCast Ep#43 – Kvůli konci Adobe Flash nejely v Číně vlaky, USA vs Rusko v kauze SolarWinds

Jan Kopriva — Mon, 25 Jan 2021 14:30:00 +0100

Nová epizoda Alef SecurityCast je k dispozici na YouTube. Podíváme se v ní na další vývoj okolo kompromitace Solar Winds, dopady nedávného vypnutí Flash Playeru ze strany firmy Adobe a mnoho dalšího.

Nmap (a transportní protokoly) - Praktické základy kybernetické bezpečnosti

Jan Kopriva — Tue, 19 Jan 2021 10:45:00 +0100

Na YouTube kanálu Untrusted Network CZ jsem dnes publikoval první z plánované série vzdělávacích videí zaměřených na základní nástroje a koncepty užívané v rámci každodenní bezpečnostní praxe. V tomto úvodním videu se společně podíváme na nástoj Nmap a popíšeme si základy fungování dvou nejčastějších transportních síťových protokolů.

SecurityCast Ep#42 – Horažďovický ransomware, WhatsApp update a konec Adobe Flash

Jan Kopriva — Mon, 18 Jan 2021 13:10:00 +0100

Nová epizoda Alef SecurityCast je k dispozici na YouTube. Podíváme se v ní na další nemocnici infikovanou ransomwarem, ukončení funkčnosti Adobe Flash Playeru a nejen to.

SecurityCast Ep#41 - SolarWinds, WhatsApp, Kyberútok na systém pro rezervaci očkování proti COVID-19

Jan Kopriva — Mon, 11 Jan 2021 14:40:00 +0100

Nová epizoda Alef SecurityCast je k dispozici na YouTube. Podíváme se v ní na dopady vysoce závažného útoku s pomocí dodavatelského řetězce začínajícího u firmy SolarWinds, DoS útok na německý systém pro registraci na očkování proti Covid-19 a mnoho dalšího.

SANS ISC Diary - From a small BAT file to Mass Logger infostealer

Jan Kopriva — Mon, 04 Jan 2021 15:50:00 +0100

Dnes vyšel můj nový příspěvek na stránkách SANS Internet Storm Center. Podíváme se v něm na zajímavý BAT soubor ze září 2020, z něhož se vyklubal downloader pro trojan Mass Logger.

Lookalike domény nemusí nutně vést jen na tradiční phishingové stránky

Jan Kopriva — Sat, 02 Jan 2021 17:15:00 +0100

Při základních školeních informační bezpečnosti mají zpravidla lektoři (mne nevyjímaje) tendenci akcentovat u „lookalike“ domén, tedy doménových jmen, která jsou variací na doménová jména legitimních služeb, zejména nebezpečí spojené s phishingovými stránkami požadujícími zadání přihlašovacích údajů. Je samozřejmě pravdou, že riziko spojené právě s tímto typem podvodných stránek je pro koncové uživatele i organizace v kontextu lookalike domén zpravidla nejvýznamnější, neznamená to však, že bychom měli (nejen při bezpečnostních školeních) zapomínat na existenci dalších typů podvodných webů, které mohou překlepy v zadávání domén využívat.

Velmi dobrou ukázku nebezpečí, které mohou weby dostupné právě přes nekorektně napsané domény představovat, poskytuje například již dlouhou probíhající kampaň dobu (viz zprávy z konce roku 2019) využívající falešné stránky iPrima.cz se smyšleným rozhovorem s Petrem Kellnerem, v rámci něhož je propagována určitá investiční kryptoměnová platforma, „o které je prokázané, že z kohokoliv udělá za 3 až 4 měsíce milionáře“. Podvodné stránky využívané při této kampani jsou v současnosti dostupné například na URL hxxps[:]//finance[.]iprima[.]cz-clanky[.]investing-fund[.]com/petr-kellner-investuje-15-milionu-eur-do-startupu-a-rika-ze-zde-se-nachazi-budoucnost/.

Vzhledem k podobě stránek i na ně navázaných portálů lze usuzovat, že za nimi stojí skupina FizzCore, jejímž dílem byla i loňská podvodná kampaň využívající falešné stránky ČT24.

Výše vyobrazené stránky zaslouží v kontextu lookalike domén zmínku právě proto, že vedle podvodných reklam na sociálních sítích, které byly v rámci článků v různých médiích v souvislosti s nimi široce zmiňovány, je možné se na ně v současnosti dostat také přes řetězec přesměrování z určitých zajímavých domén. Konkrétně takových, které mohou vzniknout mj. jednoduchým překlepem při zadávání legitimního doménového jména.

Lookalike domény pro Amazon (amazon.com)
amagon[.]com
amagzon[.]com
amaźon[.]com (xn–amaon-7hb[.]com)
apmazon[.]com

Lookalike domény pro Audible (audible.com)
aujdible[.]com
audiblel[.]com

Lookalike domény pro Google (google.com)
goozgle[.]com
goowle[.]com
googlen[.]com
googlpe[.]com
googvle[.]com
goơgle[.]com (xn–gogle-vob[.]com)

Lookalike domény pro Humble Bundle (humblebundle.com)
hublebundle[.]com
humbblebundle[.]com
humbleebundle[.]com
humblbundle[.]com
humblebunndle[.]com
humblebundlle[.]com
humblebunddle[.]com
humblebundlee[.]com
humblebundke[.]com
humblebunfle[.]com
humblebbundle[.]com
huumblebundle[.]com

Všechny výše uvedené domény jsou aktuálně nasměrovány na IP adresy z rozsahů spadajících do AS 133618 (TRELLIAN-AS-AP Trellian Pty. Limited), odkud jsou návštěvníci přesměrováváni na službu bidr[.]trellian[.]com, která pak přes doménu protected-clicker[.]com zajišťuje přesměrování na samotné podvodné stránky. Z těch pak všechny odkazy vedou na web btcbillionaire-app[.]com vyobrazený níže.

Za zmínku stojí, že k přesměrování na falešné stránky slibující možnost rychlého zbohatnutí dochází pouze v případech, kdy IP adresa návštěvníka svou geolokací spadá do České republiky. Přestože na doméně investing-fund[.]com jsou hostovány i stránky s podobným obsahem v jiných jazycích (viz ukázka níže), nepodařilo se mi ani při přístupu k výše zmíněným doménám z IP adres z jiných geografických umístění (testoval jsem přístup z cca 20 různých států z celého světa) dosáhnout přesměrování na žádnou jinou jazykovou variantu stejné kampaně.

Přesměrování návštěvníků na různý obsah v návaznosti na geolokaci jejich IP adres je při podobných kampaních relativně časté (viz např. analýza podvodných kampaní z loňského února), většinou je však jeho cílem poskytnout uživateli odpovídající jazykovou mutaci podvodných stránek. V tomto případě se však zdá, že aktuální verze kampaně byla tímto způsobem zacílena výhradně na návštěvníky z České republiky. Při přístupu z jiných států totiž většinou dojde pouze ke zobrazení generické stránky podobné té vyobrazené níže.

Vzhledem k výše uvedenému (zdaleka ne vyčerpávajícímu) výčtu domén používaných v rámci diskutované kampaně je zjevné, proč může být v rámci bezpečnostních školení vhodné zmínit nebezpečí lookalike domén i v jiném kontextu, než jsou klasické phishingové stránky.

Zmíněné seznamy domén rovněž ukazují na nezbytnost kontinuálního monitorování a kontroly nově registrovaných domén podobných těm, které jsou organizacemi registrované a používané, ze strany jejich interních bezpečnostních týmů. Optimálně by tuto činnost měly do jisté míry zajišťovat automatizované nástroje využívané v rámci bezpečnostního dohledu, ale ani v případech, kdy podobné nástroje nejsou v organizacích implementované, nemusí být zajištění podobného „light-weight brand protection“ monitoringu nutně přehnaně komplikované. Pro menší počet domén je možné jej realizovat i manuálně. Jak pro automatizované, tak ruční ověřování mohou pomoci například nástroje dnstwist nebo dnstwister.

Výše popsaná kampaň také vhodně dokládá, proč by se členové bezpečnostních týmů při analýze lookalike domén neměli omezovat na přístup k nim pouze z jednoho regionu. V případě kampaní s geograficky omezeným cílením, jako je tato, by totiž nemuseli být schopní případné zneužívání daných domén identifikovat. Vždy je tedy na místě testovat přístup minimálně z těch států, v nichž daná organizace působí, nebo z nichž pocházejí její zákazníci/uživatelé jejích služeb.

Otevřené porty v roce 2020

Jan Kopriva — Fri, 01 Jan 2021 17:00:00 +0200

Je za námi poslední kvartál roku 2020 a nastal tak čas podívat se na změny v počtech IP adres s různými otevřenými porty. Tentokrát se podíváme na data za celý rok 2020 a to jak pro Českou republiku, tak pro celý internet.
Veškerá data jsou získaná z platformy Shodan a nemusí tak být zcela přesná (viz první příspěvek s přehledem otevřených portů), nicméně významnější změny a trendy zachycené v grafech by měly odpovídat skutečnosti.

Níže můžete nalézt grafy zachycující následující protokoly a porty:

Web

E-mail

Industrial Control Systems (ICS)

SSH (port 22)

Telnet (port 23)

DNS (port 53)

NTP (port 123)

SNMP (port 161)

SMB (port 445)

RDP (port 3389)

HTTP (port 80)

HTTPS (port 443)

SMTP (port 25)

SMTPS (port 465)

IMAP (port 143)

IMAPS (port 993)

POP3 (port 110)

POP3S (port 995)

All ICS protocols

Modbus (port 502)

EIBnet/IP (port 3671)

BACnet/IP (port 47808)

SANS ISC Diary - TLS 1.3 is now supported by about 1 in every 5 HTTPS servers

Jan Kopriva — Wed, 30 Dec 2020 12:55:00 +0100

Dnes vyšel můj nový příspěvek na stránkách SANS Internet Storm Center. Podíváme se v něm na zvyšující se počet webových serverů podporujících TLS 1.3 a stále se snižující počet serverů podporujících SSL 2.0.

SANS ISC Diary - Want to know what's in a folder you don't have a permission to access? Try asking your AV solution...

Jan Kopriva — Tue, 29 Dec 2020 15:20:00 +0100

Dnes vyšel můj nový příspěvek na stránkách SANS Internet Storm Center. Podíváme se v něm na slabinu přítomnou v mnoha anti-malware řešeních, která umožňuje obcházet (absenci) oprávnění pro vyčítání obsahu adresářů na úrovni souborového systému.

SecurityCast Ep#39 - Nepovedené záběry a zajímavé statistiky roku 2020

Jan Kopriva — Mon, 28 Dec 2020 10:10:00 +0100

Nová epizoda Alef SecurityCast je k dispozici na YouTube. Neb jde o poslední epizodu pro rok 2020, chtěli jsme aby byla trochu veselejší a optimističtější, než některé jiné. Podíváme se v ní tak nejen na zajímavý (a místy překvapivě pozitivní) vývoj internetu za uplynulých 12 měsíců, ale také pár nepodařenbých a lehce humorných záběrů z našich předchozích epizod.

SecurityCast Ep#38 - TOP 6 událostí roku 2020 - Vánoční speciál

Jan Kopriva — Mon, 21 Dec 2020 11:20:00 +0100

Nová epizoda Alef SecurityCast je k dispozici na YouTube. Tentorkát jde o vánoční speciál, v rámci něhož se podíváme na výběr z toho nejpodstatnějšího, co se letos v oblasti kybernetické bezpečnosti událo.

SANS ISC Diary - A slightly optimistic tale of how patching went for CVE-2019-19781

Jan Kopriva — Fri, 18 Dec 2020 10:00:00 +0100

Dnes vyšel můj nový příspěvek na stránkách SANS Internet Storm Center. Podíváme se v něm na počet Citrix ADC systémů, které stále obsahují nezáplatovanou zranitelnost CVE-2019-19781, známou také jako Shitrix.

Nová YouTube série zaměřená na technické základy informační bezpečnosti

Jan Kopriva — Thu, 17 Dec 2020 13:20:00 +0100

Při diskuzích se zájemci o juniorní pozice v oblasti informační bezpečnosti, ale i debatách s učiteli a lektory, kteří by měli studenty na obdobné pozice připravovat, často zjišťuji, že znají relevantní teorii i názvy nástrojů, ale mnohdy nemají praktické zkušenosti s jejich používáním. Zpravidla například vědí, že Nmap, Wireshark nebo Metasploit existují, zdaleka ne všichni je však někdy reálně použili.

Vzhledem k tomu, že podobné základní praktické zkušenosti jsou ale něco, co u juniorů (samozřejmě nejen u nich) bezpodmínečně potřebujeme, rozhodl jsem se začít od ledna publikovat pravidelné krátké tutoriály na YouTube zaměřené právě na tuto oblast. Pokud bude o videa zájem (a vydrží mi elán), podíváme se v nich nejen na tři výše uvedené nástroje, ale i mnoho jiných, a s pomocí praktických cvičení si projdeme jejich kompletním používáním - od instalace až po praktické využití v rámci ofenzivní nebo defenzivní bezpečnosti.

Pokud by tedy pro vás byly podobné tutoriály zajímavé, určitě sledujte příspěvky, které se tu objeví v průběhu ledna - kromě jiného mám totiž v prvních týdnech roku 2021 v plánu publikovat i první video z výše zmíněné série.

SecurityCast Ep#37 – Teenager se přiznal k účasti v obřím DDoS útoku, narušení bezpečnosti FireEye

Jan Kopriva — Mon, 14 Dec 2020 16:30:00 +0100

Nová epizoda Alef SecurityCast je k dispozici na YouTube. Podíváme se v ní na nové obvinění v rámci vzniku původního botnetu Mirai, úspěšnou útočnou kampaň na FireEye, při níž došlo ke zcizení pokročilých exploitačních nástrojů, a mnoho dalšího.

SecurityCast Ep#36 – Rozpoznávání obličejů pod rouškou, malware schovávající se za „like“ tlačítky

Jan Kopriva — Mon, 07 Dec 2020 12:45:00 +0100

Nová epizoda Alef SecurityCast je k dispozici na YouTube. Podíváme se v ní na novou kampaň Magecart, dopady ransomware útoku na poskytovatele veřejné dopravy ve Vancouveru, vývoj algoritmů pro rozpoznávání tváře a nejen to.

SecurityCast Ep#35 - Kybernetický útok na Manchester United a Spotify, zranitelnost ve VPN Fortinetu

Jan Kopriva — Mon, 30 Nov 2020 12:45:00 +0100

Nová epizoda Alef SecurityCast je k dispozici na YouTube. Podíváme se v ní na password reuse útoky na Spotify, publikaci přístupových údajů k velkému počtu Fortinet SSL VPN a mnoho dalšího.

SecurityCast Ep#34 – Nejčastější hesla roku 2020, přes FB Messenger pro Android šlo odposlouchávat

Jan Kopriva — Mon, 23 Nov 2020 16:00:00 +0100

Nová epizoda Alef SecurityCast je k dispozici na YouTube. Podíváme se v ní na průzkum, který (nijak překvapivě) ukazuje, že uživatelé stále neumí volit bezpečná hesla, zranitlenost v aplikaci Facebook Messenger, likvidaci dvou kryptovacích/obfuskovacích služeb pro malware po společném zásahu policejních orgánů několika států a mnoho dalšího.

Záznam z webináře Aktuální trendy v oblasti kybernetické bezpečnosti

Jan Kopriva — Sat, 21 Nov 2020 07:30:00 +0100

Ve čtvrtek 19. listopadu proběhl osvětový webinář AFCEA zaměřený na aktuální trendy v oblasti kybernetické bezpečnosti, k němuž jsem měl možnost drobně přispět svou přednáškou věnovanou vysokému počtu dlouhodobě nezáplatovaných systémů přístupných z internetu v ČR a ve světě. Pokud jste neměli možnost webináře se zúčastnit a zajímala by vás některá z přednášek, pak můžete na tomto odkazu najít slidy od jednotlivých přednášejících spolu s videozáznamem celé akce. Má přednáška začíná v čase 1:13:42.

Nejčastější zranitelnosti online systémů podle výsledků Shodanu

Jan Kopriva — Wed, 18 Nov 2020 21:00:00 +0100

Pár mých nedávných příspěvků na stránkách SANS Internet Storm Center věnovaných zranitelnostem online systémů si získalo relativně velký zájem ze strany bezpečnostní komunity i médií (viz. např. stánky ZDnet). Rozhodl jsem se proto podívat na problematiku zranitelností, které postihují systémy dostupné z internetu, trochu systematičtějším způsobem. Neb jsem netušil, které zranitlenosti je Shodan schopen identifikovat, stáhnul jsem z něj data pro všech téměř 190.000 zranitelností, kterým byly historicky přiřazeny CVE identifikátory. Výsledky, k nimž jsem došel, jsou k dispozici zde (v EN).

SecurityCast Ep#33 – Únik dat z 123RF, kyberkriminalita v Q3 2020, EU a dual-use technologie

Jan Kopriva — Mon, 16 Nov 2020 15:30:00 +0200

Nová epizoda Alef SecurityCast je k dispozici na YouTube. Podíváme se v ní na nová pravidla pro export “dual-use” technologií mimo EU, záplatování aktivně využívané zranitelnosti v jádru Windows a nejen to.

SANS ISC Diary - Vulnerabilities don’t disappear just because we don’t talk about them anymore

Jan Kopriva — Mon, 16 Nov 2020 11:08:20 +0200

Dnes vyšel můj nový příspěvek na stránkách SANS Internet Storm Center. Podíváme se v něm na několik závažných zranitelností publikovaných před rokem 2020, které stále postihují překvapivě vysoké počty z internetu dostupných systémů.

Pro zajímavost níže připojuji tabulku s počty systémů v ČR, které jsou jednotlivými zranitelnostmi postižené.

CVE	Počet veřejných IP adres se zranitelnými systémy	CVSSv3
CVE-2019-0211	30396	7.8
CVE-2019-12525	1648	9.8
CVE-2015-1635	443	N/A, CVSSv2 10.0
CVE-2019-13917	98	9.8
CVE-2019-10149	93	9.8
CVE-2019-0708	941	9.8
CVE-2014-0160	2062	7.5
CVE-2019-9787	299	8.8
CVE-2019-12815	977	9.8
CVE-2018-6789	515	9.8

SecurityCast Ep#32 – Zadržení skoro 70k BTC, Ubisoft a další studia pod útokem, E2E šifrování

Jan Kopriva — Mon, 09 Nov 2020 13:38:00 +0200

Nová epizoda Alef SecurityCast je k dispozici na YouTube. Podíváme se v ní na zabavení téměř 70000 BTC získaných z činnosti dark webového tržiště Silk Road, ransomwarový útok na společnost Capcom, aktuální debatu v EU o možnostech získávání přístupu ke kryptograficky chráněnému obsahu ze strany bezpečnostních složek a nejen to.

SecurityCast Ep#31 - Falešný poukaz do Albertu, nové taktiky Emotetu a aktuální zranitelnosti

Jan Kopriva — Mon, 02 Nov 2020 18:10:00 +0200

Nová epizoda Alef SecurityCast je k dispozici na YouTube. Podíváme se v ní na nedávnou phishingovou kampaň slibující kupón do obchodního řetězce Albert, novou a silně využívanou zranitlenost v Oracle WebLogic Serverech a nejen to.

SANS ISC Diary - SMBGhost - the critical vulnerability many seem to have forgotten to patch

Jan Kopriva — Wed, 28 Oct 2020 11:00:00 +0200

Dnes vyšel můj nový příspěvek na stránkách SANS Internet Storm Center. Podíváme se v něm na překvapivě velký počet počítačů připojených k internetu, na nichž stále není aplikovaná záplata na kritickou zranitlenost SMBGhost.

SecurityCast Ep#30 – Je Trumpovo heslo „maga2020“, aktuální phishing a EU sankce

Jan Kopriva — Mon, 26 Oct 2020 18:25:00 +0200

Nová epizoda Alef SecurityCast je k dispozici na YouTube. Podíváme se v ní na údajný průnik do Twitter účtu prezidenta Trumpa, uvalení sankcí na členy zpravodajské služby GRU ze strany Evropské Unie, výroční report ENISA a nejen to.

SANS ISC Diary - BazarLoader phishing lures: plan a Halloween party, get a bonus and be fired in the same afternoon

Jan Kopriva — Thu, 22 Oct 2020 11:00:00 +0200

Dnes vyšel můj nový příspěvek na stránkách SANS Internet Storm Center. Podíváme se v něm na phishingové kampaně šířící BazarLoader a v nich užité “návnady”.

SecurityCast Ep#29 – Největší DDoS útok v historii, Microsoft dočasně vyřadil Trickbot a další

Jan Kopriva — Mon, 19 Oct 2020 18:25:00 +0200

Nová epizoda Alef SecurityCast je k dispozici na YouTube. Podíváme se v ní na (prozatím) největší DDoS v historii, vyřazení C2 infrastruktury botnetu Trickbot společností Microsoft, zranitelnost Bad Neighbor a nejen to.

SecurityCast Ep#28 - Trump, COVID-19 a phishing, John McAfee zatčen, prohlášení ohledně šifrování

Jan Kopriva — Mon, 12 Oct 2020 15:40:00 +0200

Nová epizoda Alef SecurityCast je k dispozici na YouTube. Podíváme se v ní na phishing využívající nemoci Donalda Trumpa, phishing kity nabízené na clear webu a několik dalších oblastí.

SANS ISC Diary - Phishing kits as far as the eye can see

Jan Kopriva — Fri, 09 Oct 2020 07:40:00 +0200

Dnes vyšel můj nový příspěvek na stránkách SANS Internet Storm Center. Podíváme se v něm na phishing kity, které jsou nabízené na indexované části webu.

ALEF SecurityCast Ep#27 - Putin nabídl US spolupráci v informační bezpečnosti, Have I Been Emotet

Jan Kopriva — Mon, 05 Oct 2020 13:20:00 +0200

Nová epizoda Alef SecurityCast je k dispozici na YouTube. Podíváme se v ní na ransomwarový útok na nemocnici v New Jersey a na firmu Swatch, nabídku Ruska na spolupráci s USA v oblasti kybernetické bezpečnosti a nejen to.

Otevřené porty v Q3 2020

Jan Kopriva — Wed, 30 Sep 2020 07:30:00 +0200

Již dlouhou dobu sbírám ze služby Shodan data týkající se počtů veřejných IP adres, na nichž jsou otevřené různé porty a na nichž běží různé služby. Vzhledem k tomu, že změny těchto počtů v čase mohou být poměrně zajímavé, rozhodl jsem se začít publikovat (s kvartální periodou) grafy, které tyto změny zachycují. První sadu grafů můžete najít zde.
Všechny grafy se týkají globálních čísel, pro představu o situaci v České republice tak níže uvádím alespoň graf týkající se portu 3389, tedy služby RDP.

ALEF SecurityCast Ep#26 - Leak zdrojového kódu Windows, Luxottica pod útokem, incident v Shopify

Jan Kopriva — Tue, 29 Sep 2020 18:50:00 +0200

Nová epizoda Alef SecurityCast je k dispozici na YouTube. Podíváme se v ní na dopady ransomwarového útoku na firmu Luxottica, publikaci zdrojových kódů Windows (nejen) XP nebo narušení dat v platformě Shopify a nejen to.

Záznam z přednášky na konferenci AFCEA Kybernetická bezpečnost VIII

Jan Kopriva — Thu, 24 Sep 2020 07:30:00 +0200

Konference Kybernetická bezpečnost, která se konala 23. září, byla letos vzhledem k omezením spojeným s COVID-19 realizována výhradně v online režimu. Přestože tato varianta rozhodně nebyla ideální, přinesla s sebou i jedno pozitivum v podobě nahrání a následné publikace celého obsahu konference. Pokud jste ji tedy nestihli “navštívit” v jejím průběhu a zajímala by vás některá z přednášek (třeba ta má zaměřená na překvapivé zranitelnosti, které jsme v uplynulých letech objevili nejen při penetračních testech) na tomto odkazu můžete najít slidy od jednotlivých přednášejících a také MP4 soubor se záznamem celé akce.

ALEF SecurityCast Ep#25 - Ransomware útok přispěl ke smrti pacienta, Zerologon a Sysmon 12.0

Jan Kopriva — Mon, 21 Sep 2020 13:45:00 +0200

Nová epizoda Alef SecurityCast je k dispozici na YouTube. Podíváme se v ní na dopady ransomwarového útoku na nemocnici v Německu, zranitlenost Zerologon nebo nové funkcionality ve dvanácté verzi nástroje Sysmon.

SANS ISC Diary - Slightly broken overlay phishing

Jan Kopriva — Mon, 21 Sep 2020 12:50:00 +0200

Dnes vyšel můj nový příspěvek na stránkách SANS Internet Storm Center. Podíváme se v něm na zajímavou (a drobně “rozbitou”) phishingovou kampaň, v níž škodliví aktéři překrývali legitimní stránky falešnými přihlašovacími okny.

ALEF SecurityCast Ep#24 - Heslo Donalda Trumpa, Eterbase, WSL, Palo Alto zranitelnosti

Jan Kopriva — Mon, 14 Sep 2020 13:45:00 +0200

Nová epizoda Alef SecurityCast je k dispozici na YouTube. Podíváme se v ní velkou krádež kryptoměn, historické heslo Donalda Trumpa k Twitteru, kritickou zranitelnost v PAN-OS a několik dalších témat.

ALEF SecurityCast Ep#23 - KryptoCibule, AlphaBay, malware Joker a Cisco Jabber zranitelnosti

Jan Kopriva — Mon, 07 Sep 2020 14:00:00 +0200

Nová epizoda Alef SecurityCast je k dispozici na YouTube. Podíváme se v ní odsouzení člena skupiny, která provozovala tržiště AlphaBay, malware kradoucí kryptoměny cílený na Českou republiku a Slovensko a několik dalších témat.

SANS ISC Diary - A blast from the past - XXEncoded VB6.0 Trojan

Jan Kopriva — Fri, 04 Sep 2020 09:35:00 +0200

Dnes vyšel můj nový příspěvek na stránkách SANS Internet Storm Center. Podíváme se v něm na zajímavou škodlivou kampaň, v níž se útočníci rozhodli použít dva velmi staré souborové formáty.

ALEF SecurityCast Ep#22 - Tesla útok, NZ burza OFFLINE, výpadek AS na straně CentruryLink a Sandboxy

Jan Kopriva — Mon, 31 Aug 2020 12:30:00 +0200

Nová epizoda Alef SecurityCast je k dispozici na YouTube. Podíváme se v ní na nezdařený útok skupiny Fancy Bear na společnost Tesla, výpadek mnoha online služeb v důsledku chyby v konfiguraci BGP na straně společnosti CenturyLink a několik dalších témat.

SANS ISC Diary - Security.txt - one small file for an admin, one giant help to a security researcher

Jan Kopriva — Thu, 27 Aug 2020 09:20:00 +0200

Dnes vyšel můj nový příspěvek na stránkách SANS Internet Storm Center. Podíváme se v něm na návrh standardu nazvaného “A File Format to Aid in Security Vulnerability Disclosure”, který je známější pod názvem “security.txt”.

ALEF SecurityCast Ep#21 - Výpadek Spotify, Windows 10 a DisableAntiSpyware, MITRE 2020 'CWE Top 25'

Jan Kopriva — Mon, 24 Aug 2020 09:15:00 +0200

Nová epizoda Alef SecurityCast je k dispozici na YouTube. Podíváme se v ní na výpadek služby Spotify v souvislosti s vypršenou platností certifikátu, hardening Windows 10 ze strany společnosti Microsoft, novou verzi seznamu MITRE CWE Top 25 a několik dalších témat.

ALEF SecurityCast Ep#20 - TikTok, Canon update, univerzity a ransomware, zpráva FBI a NSA

Jan Kopriva — Mon, 17 Aug 2020 14:15:00 +0200

Nová epizoda Alef SecurityCast je k dispozici na YouTube. Podíváme se v ní na sběr citlivých dat z telefonů aplikací TikTok, další vývoj okolo zašifrovaných serverů firmy Canon, varování NSA a FBI ke špionážnímu toolkitu Drovorub a několik dalších témat.

SANS ISC Diary - Definition of 'overkill' - using 130 MB executable to hide 24 kB malware

Jan Kopriva — Fri, 14 Aug 2020 14:20:00 +0200

Dnes vyšel můj nový příspěvek na stránkách SANS Internet Storm Center. Podíváme se v něm na na 130 MB velký EXE soubor, který v sobě nese 24 kB velký škodlivý payload.

ALEF SecurityCast Ep#19 - ransomware útok na Canon, Pulse VPN, Mercedes-Benz E-Class zranitelnosti

Jan Kopriva — Mon, 10 Aug 2020 13:30:00 +0200

Nová epizoda Alef SecurityCast je k dispozici na YouTube. Podíváme se v ní na aktivity skupiny provozující ransomware Maze, balík přihlašovacích údajů pro Pulse Secure VPN systémy, uniklá data společnosti Intel několik dalších témat.

ALEF SecurityCast Ep#18 - Garmin a Twitter 'hack' update, další Zoom zranitelnost, BootHole a další

Jan Kopriva — Mon, 03 Aug 2020 16:00:00 +0200

Nová epizoda Alef SecurityCast je k dispozici na YouTube. Podíváme se v ní na další vývoj okolo útoku skupiny Evil Corp na systémy společnosti Garmin, kompromitaci Twitter účtů mnoha organizací a celebrit, zranitelnosti v Zoom a GRUB2 a několik dalších témat.

SANS ISC Diary - What pages do bad bots look for?

Jan Kopriva — Sat, 01 Aug 2020 16:15:00 +0200

Dnes vyšel můj nový příspěvek na stránkách SANS Internet Storm Center. Podíváme se v něm na stránky, které jsou na webových serverech nejčastěji zkoumané “špatnými” boty.

ALEF SecurityCast Ep#17 - Ransomware útok na Garmin, DJI drony, 'Meow' útok, Twilio a další

Jan Kopriva — Mon, 27 Jul 2020 15:05:00 +0200

Nová epizoda Alef SecurityCast je k dispozici na YouTube. Podíváme se v ní na ransomwarový útok skupiny Evil Corp na systémy společnosti Garmin, ukončení podpory TLS 1.0 a 1.1 v Office 365 a několik dalších témat.

SANS ISC Diary - Couple of interesting Covid-19 related stats

Jan Kopriva — Tue, 21 Jul 2020 10:55:00 +0200

Dnes vyšel můj nový příspěvek na stránkách SANS Internet Storm Center. Podíváme se v něm na vztah mezi regionálními restrikcemi spojenými s Covid-19 a počty IP adres s protokoly pro vzdálený přístup otevřenými do internetu.

ALEF SecurityCast Ep#16 - zásah do vývoje COVID-19 vakcín, největší Twitter hack v historii a SIGRed

Jan Kopriva — Mon, 20 Jul 2020 14:50:00 +0200

Nová epizoda Alef SecurityCast je k dispozici na YouTube. Podíváme se v ní na zneužití Twitter účtů celebrit pro podvod s Bitcoiny, kritickou zranitelnost v DNS serverech ve Windows a několik dalších témat.

ALEF SecurityCast Ep#15 - Kybernetický útok USA proti Rusku, DigiCert certifikáty, Zoom 0-day a další

Jan Kopriva — Mon, 13 Jul 2020 14:25:00 +0200

Nová epizoda Alef SecurityCast je k dispozici na YouTube. Podíváme se v ní na masivní kampaň související s krádežemi kreditních karet, kritickou zranitelnost v F5 BigIP, revokaci několika desítek tisíc EV certifikátů a mnoho dalších témat.

Dopad uvolňování opatření spojených s Covid-19 na RDP a další protokoly pro vzdálený přístup

Jan Kopriva — Sat, 11 Jul 2020 08:30:00 +0200

Opatření přijatá k omezení šíření Covid-19 vedla mnoho organizací k plošnému zavádění práce z domova a k souvisejícímu zpřístupnění některých služeb a protokolů z Internetu. Jedním z protokolů, který tuto skutečnost krásně demonstroval, byl i Remote Desktop Protocol. Počet veřejných IP adres, na nichž bylo RDP dostupné, se v ČR zvýšil jenom v průběhu března o více než 15 procent (viz graf věnovaný RDP zde - https://untrustednetwork.net/en/2020/04/02/open-ports-in-the-time-of-corona/#cz).
Bylo by rozumné předpokládat, že postupné uvolňování zmíněných opatření by mělo mít opačné dopady, tedy že jednotlivé organizace začnou v rámci návratu do běžného režimu otevřené porty postupně uzavírat. V datech získaných ze služby Shodan se však v případě SSH a zejména Telnetu situace nijak skokově nezměnila a teprve na konci druhého kvartálu byl viditelný citelnější úytek veřejných IP adres, na nichž byly v ČR tyto protokoly dostupné.

U opětovného zablokování RDP přístupů byla však reakce organizací podstatně rychlejší. Procento českých IP adres, na nichž byl tento protokol povolen, dosáhlo svého maxima krátce po 27. 4., kdy došlo k významnému omezení některých opatření. Viditelný „skok“ je v níže uvedeném grafu rovněž viditelný k 25. 5., kdy byla citelně omezena povinnost nošení roušek.

Je otázkou, zda je výše popsané omezení užívání RDP na veřejných IP adresách v ČR spojeno výhradně s návratem k běžnému pracovnímu režimu ve většině organizací, nebo zda do rozhodnutí o zablokování přímého přístupu ke vzdálené ploše z internetu částečně zasáhnuly i obavy z kybernetických útoků.
Vzhledem k tomu, že RDP je jedním z dominantních vektorů průniku do sítí užívaných skupinami zaměřenými na cílenou distribuci ransomwaru, lze v každém případě popsaný vývoj situace okolo RDP považovat za pozitivní.

ALEF SecurityCast Ep#14 - EncroChat, BEC útoky, EvilQuest a ZombieVPN

Jan Kopriva — Tue, 07 Jul 2020 15:25:00 +0200

Nová epizoda Alef SecurityCast je k dispozici na YouTube. Podíváme se v ní na rozbití šifrované komunikační sítě využívané zločinci, nárůst BEC útoků (zřejmě) v důsledku Covid-19, zajímavou zranitelnost v některých VPN produktech a mnoho dalších témat.

SANS ISC Diary - Using Shell Links as zero-touch downloaders and to initiate network connections

Jan Kopriva — Wed, 24 Jun 2020 09:45:00 +0200

Dnes vyšel můj nový příspěvek na stránkách SANS Internet Storm Center. Podíváme se v něm na slabinu ve Windows, díky níž je možné přimět operační systém ke stažení libovolného souboru ze vzdáleného serveru kdykoli je zobrazen speciálně vytvořený zástupce.

ALEF SecurityCast Ep#12 - přehled týdne 13. - 19. 6. 2020

Jan Kopriva — Mon, 22 Jun 2020 14:25:00 +0200

Nová epizoda Alef SecurityCast je k dispozici na YouTube. Podíváme se v ní na prozatím zřejmě největší DDoS útok v historii, kritické zranitelnosti v TCP/IP stacku využívaném v milionech IoT zařízení a mnoho dalších témat.

SANS@MIC - Catch and Release: Phishing Techniques for the Good Guys

Jan Kopriva — Thu, 18 Jun 2020 19:10:00 +0200

Včera jsem v rámci formátu SANS@MIC prezentoval o zajímavých technikách využitelných v rámci phishingových kampaních (zejména) při red team cvičeních. Pokud jste neměli možnost připojit se k nám “živě” a tato problematika by vás zajímala, můžete se alespoň podívat na záznam z přednášky, který byl publikován dnes.

SANS ISC Diary - Broken phishing accidentally exploiting Outlook zero-day

Jan Kopriva — Thu, 18 Jun 2020 11:35:00 +0200

Dnes vyšel můj nový příspěvek na stránkách SANS Internet Storm Center. Podíváme se v něm na phishingový e-mail, který díky chybě v HTML kódu využíval 0-day zranitelnost v Outlooku, umožňující vytvářet nebo měnit odkazy v těle e-mailu ve chvíli, kdy je zpráva přeposílána.

ALEF SecurityCast Ep#11 - přehled týdne 6. - 12. 6. 2020

Jan Kopriva — Mon, 15 Jun 2020 14:10:00 +0200

Nová epizoda Alef SecurityCast je k dispozici na YouTube. Podíváme se v ní na zajímavou aféru okolo odposlouchávání dat ze slovenské vládní sítě Govnet, data odesílaná prohlížečem Google Chrome i v anonymním režimu a mnoho dalších témat.

ALEF SecurityCast Ep#10 - přehled týdne 30. 5. - 5. 6. 2020

Jan Kopriva — Mon, 08 Jun 2020 16:15:00 +0200

Nová epizoda Alef SecurityCast je k dispozici na YouTube. Podíváme se v ní na ransomware, který se jeho autoři snaží vydávat za dekryptor pro jiný šifrující malware, zajímavý škodlivý kód zřejmě určený k exfiltraci dat z air-gapped systémů a mnoho dalších témat.

ALEF SecurityCast Ep#9 - přehled týdne 23. - 29. 5. 2020

Jan Kopriva — Mon, 01 Jun 2020 16:20:00 +0200

Nová epizoda Alef SecurityCast je k dispozici na YouTube. Podíváme se v ní na malware šířící se s pomocí platformy Discord, škodlivý kód cílící na NetBeans projekty, nové funkce nástroje PktMon a mnoho dalších témat.

Update seznamu online sandboxů pro analýzu škodlivého kódu

Jan Kopriva — Sat, 30 May 2020 13:30:00 +0200

Vzhledem k tomu, že za posledních pár měsíců došlo ve světě online sandboxů pro analýzu škodlivého kódu k několika drobným změnám, rozhodl jsem se updatovat historicky vytvořenou tabulku obsahující jejich porovnání. Novou verzi 1.2 najdete na tomto odkazu.

SANS ISC Diary - Frankenstein's phishing using Google Cloud Storage

Jan Kopriva — Wed, 27 May 2020 10:40:00 +0200

Dnes vyšel můj nový příspěvek na stránkách SANS Internet Storm Center. Podíváme se v něm na podivně nesourodou phishingovou kampaň, která díky kombinace technicky sofistikovaných a extrémně amatérských prvků připomínala výsledek práce Dr. Frankensteina.

ALEF SecurityCast Ep#8 - přehled týdne 16. - 22. 5. 2020

Jan Kopriva — Mon, 25 May 2020 14:00:00 +0200

Nová epizoda Alef SecurityCast je k dispozici na YouTube. Podíváme se v ní na několik úniků dat, vývoj v oblasti ransomwaru zranitelnosti v NAS QNAP a mnoho dalších témat.

ALEF SecurityCast Ep#7 - přehled týdne 9. - 15. 5. 2020

Jan Kopriva — Mon, 18 May 2020 18:00:00 +0200

Nová epizoda Alef SecurityCast je k dispozici na YouTube. Připomeneme si v ní výročí začátku šíření ransomwaru WannaCry, podíváme se na zajímavou zranitelnost ve Windows, zmíníme pozvánky na dvě blížící se prezentace a budeme se věnovat mnoha dalším tématům.

ALEF SecurityCast Ep#6 - přehled týdne 2. - 8. 5. 2020

Jan Kopriva — Mon, 11 May 2020 13:00:00 +0200

Nová epizoda Alef SecurityCast je k dispozici na YouTube. Zaměřujeme se v ní na zasílaní vysoce detailních analytických dat na servery společnosti Xiaomi, nově záplatovanou zranitelnost v chytrých telefonech Samsung a mnoho dalších témat.

Historie Malwaru - Epizoda 1: Původ škodlivého kódu (1948 - 1979)

Jan Kopriva — Mon, 11 May 2020 09:35:00 +0200

V návaznosti na debatu na Twitteru jsem se rozhodnul zkusit vytvořit sérii YouTube videí, která by se věnovala historii škodlivého kódu. První video bylo publikováno dnes a najdete jej spolu s dalšími relevantními zdroji informací zde.

ALEF SecurityCast EP#5 - přehled týdne 25. 4. - 1. 5. 2020

Jan Kopriva — Mon, 04 May 2020 17:00:00 +0200

Nová epizoda Alef SecurityCast je k dispozici na YouTube. Zaměřujeme se v ní na publikaci šifrovacích klíčů pro ransomware Shade/Troldesh, novou verzi nástroje Sysmon a mnoho dalších témat.

SANS ISC Diary - Agent Tesla delivered by the same phishing campaign for over a year

Jan Kopriva — Tue, 28 Apr 2020 08:45:00 +0200

Dnes vyšel můj nový příspěvek na stránkách SANS Internet Storm Center. Podíváme se v něm na phishingovou kampaň, kterou útočníci používali více než rok v téměř nezměněné podobě pro šíření malwaru Agent Tesla.

ALEF SecurityCast EP#4 - přehled týdne 18. - 24. 4. 2020

Jan Kopriva — Mon, 27 Apr 2020 17:00:00 +0200

Nová epizoda Alef SecurityCast je k dispozici na YouTube. Zaměřujeme se v ní na zajímavé zranitelnosti v aplikaci Mail pro iOS, phishingové kampaně cílící na vzdáleně pracující zaměstnance, problémy s patchováním bezpečnostního nástroje od IBM a mnoho dalších témat.

ALEF SecurityCast EP#3 - přehled týdne 13. - 17. 4. 2020

Jan Kopriva — Mon, 20 Apr 2020 17:00:00 +0200

Nová epizoda Alef SecurityCast je k dispozici na YouTube. Zaměřujeme se v ní mimo jiné na varování NÚKIB k aktuálním útokům (nejen) na nemocnice, nové záplaty produktů Microsoftu, vydání nástroje Sandboxie jako open-source řešení, a mnoho dalších témat.

ALEF SecurityCast EP#2 - přehled týdne 6. - 9. 4. 2020

Jan Kopriva — Tue, 14 Apr 2020 17:00:00 +0200

Nová epizoda Alef SecurityCast je k dispozici na YouTube. Zaměřujeme se v ní mimo jiné na aktivně využívané zranitelnosti v MS Exchange a Mozilla Firefox, end-to-end šifrování komunikačních platforem, a mnoho dalších témat.

Phishing - online kurz pro koncové uživatele zdarma

Jan Kopriva — Tue, 14 Apr 2020 09:00:00 +0200

Vzhledem k tomu, že i v souvislosti s aktuální situací okolo COVID-19 se v posledních týdnech v českém prostředí citelně množí ransomwarové útoky a spoustě z nich by se dalo předejít, kdyby uživatelé slepě neklikali na odkazy a přílohy v e-mailu, dal jsem přes velikonoční svátky dohromady cca 20 minut dlouhý videokurz o phishingu pro běžné uživatele, který je nyní k dispozici zdarma institucím působícím v ČR i široké veřejnosti.

SANS ISC Diary - Look at the same phishing campaign 3 months apart

Jan Kopriva — Mon, 13 Apr 2020 11:35:00 +0200

Dnes vyšel můj nový příspěvek na stránkách SANS Internet Storm Center. Podíváme se v něm na zranitelnost ve Windows, která umožňuje způsobit pád procesu explorer.exe při otevření speciálně připraveného souboru URL, nebo při otevření adresáře obsahujícího speciálně připravený soubor LNK.

ALEF Security Report 2020

Jan Kopriva — Wed, 08 Apr 2020 17:00:00 +0200

S kolegy z Alefu jsme i letos vytvořili report zaměřený na aktuální stav kybernetické bezpečnosti v České republice (resp. na situaci v průběhu loňského roku). Pokud Vás zajímá, jaké měsíce byly nejbohatší na různé typy útoků, kolik procent organizací v ČR realizuje phishingové testy zaměstnanců, nebo v jakém stavu byla v průběhu roku 2019 adopce STARTTLS pro šifrování e-mailové komunikace, můžete si jej stáhnout zde. Najdete v něm pochopitelně i mnoho dalších zajímavostí…

ALEF SecurityCast EP#1 - přehled týdne 30. 3. - 3. 4. 2020

Jan Kopriva — Tue, 07 Apr 2020 07:00:00 +0200

Abychom sobě i ostatním trochu zkrátili dlouhé dny v izolaci, rozhodli jsme se s kolegy z Alef Nula začít publikovat pravidelný webcast/podcast. Na začátku každého týdne se pokusíme shrnout a okomentovat to nejzajímavější, k čemu v tom předchozím týdnu došlo.

První epizoda Alef SecurityCast je k dispozici na YouTube. Poslechnout si v ní můžete na novinky ve využívání tématu COVID-19 útočníky, bezpečnostní problémy služby Zoom a mnoho dalších témat.

Otevřené porty za časů Corony II - situace v ČR

Jan Kopriva — Sun, 05 Apr 2020 12:00:00 +0200

V návaznosti na nedávný příspěvek věnovaný zvyšujícím se počtům IP adres s otevřenými porty v různých státech světa v souvislosti s aktuální situací okolo COVID-19 jsem se rozhodl podívat trochu blíže na České prostředí a změny v něm. Konkrétně na počty dostupných průmyslových systémů, serverů s otevřeným protokolem SMB do internetu a na několik dalších zajímavých oblastí.

Pro úplnost je vhodné uvést, že data pro změny v počtech IP adres, na nichž je dostupné SSH, HTTP, HTTPS/TLS a RDP jsou již uvedena zde a že tak, jako ve výše zmiňovaném příspěvku, jsou i tentokrát všechny grafy a závěry založeny na datech ze služby Shodan a týkají se jak absolutních, tak relativních hodnot.

Průmyslové systémy

Jak je patrné z následujícího grafu, březnový nárůst IP adres a otevřených portů dostupných z internetu se bohužel nevyhnul ani průmyslovým systémům. V průběhu měsíce se počet ICS systémů dostupných z internetu v prostředí České republiky zvýšil o více než 40.

Nejvyšší nárůst byl patrný u ICS systémů komunikujících s pomocí protkolů Modbus, EIBnet/IP a CODESYS. Snížil se naopak počet systémů komunikujících s pomocí Lantronix Discovery protokolu.

Další protokoly a služby

Níže jsou uvedeny grafy pro následující protokoly a služby, u nichž došlo dle dostupných dat k zajímavým změnám.

Otevřené porty za časů Corony

Jan Kopriva — Thu, 02 Apr 2020 08:59:20 +0200

Aktuální situace okolo Covid-19 donutila většinu organizací, u nichž to bylo možné, k podpoře práce z domova. Tato změna se také promítla v počtech otevřených portů dostupných z internetu - došlo, mimo jiné, k citelnému nárůstu dostupných SSH serverů. Neb je tento trend poměrně zajímavý, připravil jsem na základě dat ze služby Shodan několik grafů pokrývajících vývoj počtu vybraných otevřených portů na globální úrovni i ve vybraných státech. Najít je můžete zde.

SANS ISC Diary - Crashing explorer.exe with(out) a click

Jan Kopriva — Mon, 30 Mar 2020 07:55:00 +0100

CrisisCon - Breaking Windows

Jan Kopriva — Sat, 28 Mar 2020 09:15:00 +0100

Na YouTube jsou v současnosti k dispozici již všechny přednášky z online konference CrisisCon, která proběhla v uplynulém týdnu. Je mezi nimi i má prezentace zaměřená na nezáplatované zranitelnosti a slabiny ve Windows.

Pokud jste neměli možnost průběh konference sledovat online, doporučuji alespoň projít její záznam, neb některé přednášky byly opravdu zajímavé.

SANS ISC Diary - Desktop.ini as a post-exploitation tool

Jan Kopriva — Mon, 16 Mar 2020 07:55:00 +0100

Dnes vyšel můj nový příspěvek na stránkách SANS Internet Storm Center. Podíváme se v něm na zranitelnost ve Windows, která umožňuje využívat soubory desktop.ini jako zajímavý nástroj pro post-exploitaci.

UPDATE 27. 5. 2020: V rámci přípravy podkladů pro SANSFIRE 2020 jsem vytvořil také video demonstrující zranitelnost popsanou ve výše uvedeném příspěvku. Můžete jej najít zde.

Přehled zdarma použitelných online sandboxů pro analýzu škodlivého kódu

Jan Kopriva — Thu, 12 Mar 2020 08:33:11 +0100

V rámci přípravy nového kurzu zaměřeného na základy bezpečnostního monitoringu, reakce na incidenty a analýzy malware jsem vytvořil přehled aktuálně zdarma použitelných online sandboxů pro analýzu škodlivého kódu. Najdete jej na tomto odkazu.

Varování před phishingem s XLS přílohami s makry typu Excel 4

Jan Kopriva — Fri, 06 Mar 2020 08:50:00 +0100

V ALEF CSIRT a Internet Storm Center jsme v posledních dnech zaznamenali několik phishingových kampaní, v rámci nichž byly využity soubory s příponou XLS nesoucí makra se škodlivým kódem. Na tom by nebylo nic neobvyklého - soubory se škodlivými makry jsou útočníky užívány velmi často - zmiňovaná makra však v tomto případě nebyla typu VBA, ale typu Excel 4, v důsledku čehož mnoho anti-malware řešení nebylo (a v době psaní tohoto textu není) schopno škodlivý kód v nich detekovat.

Makra Excel 4 jsou mechanismus, který historicky (před přidáním podpory pro Visual Basic for Applications do Excelu v roce 1993) umožňoval vkládat do Excelových dokumentů spustitelný kód. I přes své citelné stáří jsou makra tohoto typu stále podporována a je tedy možné je v moderním Excelu spustit.

Vzhledem k jejich historické povaze s nimi však nedokáže vhodně pracovat velké množství anti-malware nástrojů, které tak nejsou schopny případný v nich obsažený škodlivý kód identifikovat ani po několika dnech od jejich vytvoření. Vhodně to demonstruje vzorek, který jsme detekovali před čtyřmi dny, u něhož je v době psaní předloženého textu poměr detekcí na Virus Total 14/60. Ještě nižší úspěšnost při detekci (dle Virus Total 5/60) mají anti-malware řešení u vzorku detekovaného před dvěma dny, jehož analýzu dnes publikoval v rámci Internet Storm Center kolega Xavier Mertens.

Pozitivní zprávou je, že i v případě maker typu Excel 4 je po otevření souboru standardně zobrazeno obvyklé varování a uživatel tak má možnost spuštění kódu nepovolit.

Vzhledem k často nedostatečným znalostem kybernetických hrozeb na straně uživatelů však není zcela optimální pouze pasivně spoléhat na jejich uvědomělost.

Interním bezpečnostním týmům a IT oddělením tak lze doporučit uživatele na tuto hrozbu upozornit a zdůraznit skutečnost, že anti-malware nástroje instalované na koncových stanicích nutně tento typ hrozby (stejně jako mnoho jiných) nemusí být schopné odhalit.

SANS ISC Diary - Secure vs. cleartext protocols – couple of interesting stats

Jan Kopriva — Mon, 02 Mar 2020 06:55:00 +0100

Dnes vyšel můj nový příspěvek na stránkách SANS Internet Storm Center. Podíváme se v něm na podporu HTTP a HTTPS na webových serverech na internetu v minulých šesti měsících, stejně jako na podporu protokolů Telnet a SSH.

SANS ISC Diary - Quick look at a couple of current online scam campaigns

Jan Kopriva — Tue, 25 Feb 2020 06:57:00 +0100

Dnes vyšel můj nový příspěvek na stránkách SANS Internet Storm Center. Podíváme se v něm na několik podvodných online kampaní z poslední doby.
Detailnější pohled na jednu ze stránek, užívaných v rámci jedné z těchto kampaní, za níž s velmi vysokou pravděpodobností stojí skupina FizzCore, můžete nalézt zde.

Podvodná stránka ČT 24

Jan Kopriva — Sat, 22 Feb 2020 16:02:14 +0100

Při analýze zajímavé podvodné kampaně jsem dnes narazil na relativně neobvyklý web. Většina tradičních podvodných stránek spoléhá na nabídky extrémně výhodné koupě zboží nebo služeb a pokouší se cílového uživatele přimět zadat údaje o platební kartě. Co ovšem daný uživatel netuší je, že se (v nejlepším případě) současně přihlašuje také k odběru mnohem dražších služeb a že platby za ně budou následně periodicky strhávány z jeho účtu.

I v této kampani odpovídá většina stránek výše popsanému typu (o tom a dalších detailech se budete moci dočíst na stránkách Internet Storm Center příští úterý), jedna z nich však byla citelně odlišná. Její autoři si totiž vypůjčili vzhled ze stránek ČT24 a pokoušeli se přimět návštěvníky k registraci u nejmenované služby pro obchod s kryptoměnami s pomocí oficiálně vyhlížející zprávy s titulkem „SPECIÁLNÍ ZPRÁVA: Poslední investice Andreje Babiše odborníky doslova překvapila a vyděsila banky“.

V textu je, mimo jiné, uvedena část (pochopitelně smyšleného) rozhovoru mezi Andrejem Babišem a reportérem České televize Danielem Takáčem, v rámci kterého je čtenářům představena nová kryptoměnová platforma, u níž je „prokázané, že z kohokoliv udělá za 3 až 4 měsíce milionáře“.

Přestože text obsahuje drobné gramatické chyby, může na první pohled působit relativně důvěryhodným dojmem. Andrej Babiš není navíc jediným, kdo je v textu zmíněn jako velký propagátor zmiňované platformy – do stejné skupiny mají údajně patřit i Bill Gates a Richard Branson.

Celý dojem pak dokreslují údajné příběhy lidí, kteří s pomocí platformy již dokázali zbohatnout (viz první dva obrázky, pravá strana). Celá stránka má pochopitelně uživatele přimět přihlásit se k téže platformě a převést do ní určitý vstupní kapitál. Aby měl uživatel práci co nejjednodušší, je na konci textu uveden i návod, jak s platformou začít.

Aby uživatel investici neodkládal je na samém závěru stránky uveden doplňující text, informující o tom, že pro občany České republiky už je v platformě vyhrazeno pouze malé množství míst a s registrací by tak neměli otálet. Pod tímto textem jsou pak uvedeny smyšlené komentáře dalších již zbohatlých uživatelů, které platformu jednoznačně doporučují.

Pokud byste se na stránku chtěli podívat sami, máte možnost – v době publikace tohoto textu je stále aktivní. Neb jsem však hlouběji nekontroloval její HTML kód, je možné, že se spolu s ní nahrávají i potenciálně nebezpečné skripty, nebo jiný externí obsah. Pokud se jí tedy rozhodnete navštívit, doporučil bych tak učinit z vhodně zabezpečeného (ideálně virtuálního) stroje. Doména, kde můžete na stránku narazit je financialwealthnow.net.

Počítejte s tím, že jméno oné kryptoměnové platformy se může lišit od toho v obrázcích výše – je totiž dáno obsahem parametru pname. Znamená to nejen, že si můžete jméno nastavit dle libosti sami, ale díky absenci filtrace obsahu parametru a kódování znaků na výstupu také to, že stránka obsahuje reflected cross-site scripting zranitelnost.

UPDATE 23. 2. 2020: Kamil Vávra (@vavkamil) mě uporoznil - za což mu tímto děkuji - na nedávno publikovanou analýzu podvodné kampaně realizované skupinou označovanou FizzCore, při níž byly využívány smyšlené rozhovory s celebritami pro propagaci různých falešných služeb a produktů. Na základě dostupných informací se zdá jisté, že výše popsaná stránka je dříve neobjeveným dílem stejné skupiny.

SANS ISC Diary - Discovering contents of folders in Windows without permissions

Jan Kopriva — Tue, 18 Feb 2020 07:18:21 +0100

Dnes vyšel můj nový příspěvek na stránkách SANS Internet Storm Center. Podíváme se v něm na zajímavou zranitlenost ve Windows, která umožňuje s pomocí útoku hrubou silou odhalovat obsah lokálních adresářů, k nimž uživatel nemá oprávnění přistupovat.

UPDATE 20. 5. 2020: V rámci přípravy podkladů pro SANSFIRE 2020 jsem vytvořil také video demonstrující zranitelnost popsanou ve výše uvedeném příspěvku. Můžete jej najít zde.

SANS ISC Diary - Current PayPal phishing campaign or 'give me all your personal information'

Jan Kopriva — Mon, 10 Feb 2020 09:37:58 +0100

Dnes vyšel můj nový příspěvek na stránkách SANS Internet Storm Center. Podíváme se v něm na aktuální phishingovou kampaň cílenou na zákazníky PayPalu, která velmi hezky demonstruje aktuální snahy útočníků o získání maximálního množství osobních a finančních dat od “chycených” uživatelů.

SANS ISC Diary - Analysis of a triple-encrypted AZORult downloader

Jan Kopriva — Mon, 03 Feb 2020 07:45:10 +0100

Dnes vyšel můj nový příspěvek na stránkách SANS Internet Storm Center. Je věnovaný analýze zajímavého škodlivého dokumentu, z něhož se vyklubal downloader pro trojan AZROult. Zajímavé na něm bylo mimo jiné to, že používal tři úrovně šifrování.

SANS ISC Diary - Picks of 2019 malware - the large, the small and the one full of null bytes

Jan Kopriva — Thu, 16 Jan 2020 07:52:08 +0100

Dnes vyšel můj nový příspěvek na stránkách SANS Internet Storm Center. Podíváme se v něm na malware, který byl v loňském roce distribuován e-mailem. Konkrétně na největší a nejmenší vzorek malware, které jsem v zablokovaných e-mailech z loňského roku objevil.

Apel (nejen) k odborné veřejnosti: kryptovirus není synonymem pro ransomware, tak jej tak nepoužívejme

Jan Kopriva — Tue, 07 Jan 2020 15:22:44 +0100

V souvislosti s nedávnými událostmi v benešovské nemocnici a firmě OKD se v médiích objevilo mnoho článků a komentářů, v nichž je skloňován pojem ransomware. Bohužel jak zástupci médií, tak odborné veřejnosti, se v rámci nich velmi často vyjadřovali i v tom smyslu, že relevantní systémy byly postiženy “kryptovirem”. Pojem kryptovirus sice skutečlně existuje, neb se ale rozhodně nejedná o synonymum k termínu ransomware, i komentáře odborníků působily, poměrně paradoxně, spíše neodborným dojmem…

Pojďme se teď podívat tři základní termíny trochu blíže a ukázat si, kde leží problém.

Ransomware - Pojem ransomware označuje škodlivý software, jehož cílem je umožnit útočníkovi vydírat oběť jím postiženou. V současnosti je zřejmě nejrozšířenějším typem vyděračského softwaru tzv. crypto-ransomware, tedy ransomware, který určitým způsobem šifruje data, existují například ale i varianty vyděračského softwaru spoléhající na uzamčení obrazovky, případně operačního systému a některé další typy.
Virus - Na rozdíl od pojmu malware, jehož přesnější definice je poměrně problematická, byl termín virus definovaný poměrně exaktně Frederickem Cohenem. Striktně vzato, je tedy virus “program, který může ‘infikovat’ jiné programy tak, že do nich umístí svou, potenciálně upravenou, kopii”.
Kryptovirus - Za kryptovirus můžeme považovat takový počítačový virus, který využívá kryptografické mechanismy pro určitou škodlivou aktivitu, například šifrování dat. Relativně hezkou ukázkou takového “tradičního” kryptoviru je například OneHalf.

Vzhledem k tomu, že s viry odpovídajícími výše uvedené definici Fredericka Cohena (tzv. souborovými viry) se dnes již v podstatě nepotkáme, znamená to, že ani žádný současný ransomware dle této definice není virem. Nepřipojuje se totiž k žádnému jinému programu.

Co ale pokud bychom se výše uvedené definice viru rigidně nedrželi a použili definici o něco širší? Jako vhodná se zdá být “vítězná” definice z časopisu Alive z roku 1994, která říká, že počítačový virus je “sekvence (nebo skupina sekvencí) symbolů, které, jsou-li spuštěny či interpretovány za určitých podmínek nebo v určitých prostředích, vytvoří - případně změněnou - funkčně podobnou kopii této sekvence (nebo souboru sekvencí) a umístí tuto kopii tam, kde bude moci být spuštěna či interpretována za určitých podmínek později. Toto chování se označuje jako ‘REPLIKACE’ a kopie si zachovává ALESPOŇ schopnost rekurzivně se replikovat dále. Virus může mít také další funkci (či funkce) nesouvisející s replikací a občas označovanou ‘payload’, to ale NENÍ nutné, aby něco bylo virem”.

V tomto případě se nám pod definici viru už poměrně dobře “schovají” i počítačové červy, tedy malware, který se dokáže sám šířit/replikovat, ale nekopíruje se přímo do jiného programu. A neb známý ransomware WannaCry nejen šifruje data, ale dokáže se jako červ (a tedy virus) i sám šířit/replikovat, můžeme jej dle zmíněné volnější definice označit i za kryptovirus. Neznamená to tedy, že výroky o kryptovirech v souvislosti s benešovskou nemocnicí a OKD jsou na místě?

Ne. WannaCry byl totiž jedním z velmi malého počtu moderních ransomwarů a pseudo-ransomwarů, které byly schopny sami se šířit a které tak splňovaly definici viru. Převážná většina moderního vyděračského softwaru je distribuována buď s pomocí e-mailů, exploit kitů, nebo prostřednictvím jiného škodlivého kódu. Poslední uvedený mechanismus je používaný i pro distribuci ransomwaru Ryuk - ten se sám šířit nedokáže a bývá na koncové systémy instalovaný v rámci jejich kompromitace škodlivými programy Emotet a TrickBot.

V souvislosti s vydáním varování Vládního CERT k trojici Emotet, TrickBot a Ryuk mnozí spekulují, že právě Ryuk je ransomwarem, který postihnul obě zmíněné instituce. Ať šlo v jejich případě o Ryuk nebo nikoli, lze téměř s jistotou říci, že ransomware, který postihnul jmenované instituce, téměř jistě nebyl kryptovirem a tedy používání tohoto termínu rozhodně není na místě.

Můžete namítnout, že jde pouze o slovíčkaření. Dovolím si nicméně tvrdit, že tomu tak není a že situace je stejná, jako kdyby si lékař pletl bakteriální a virovou infekci. I přes to, že spolu mají mnoho společného, zdravotníka, který by neznal rozdíly mezi nimi, by zcela jistě nikdo nechtěl jako svého ošetřujícího lékaře…

Pokud patříte k odborné veřejnosti a ve výše uvedeném smyslu jste se sami vyjádřili, neberte prosím výše uvedené řádky jako atak na svou osobu, ale jen jako snahu o udržení korektní terminologie v rámci odvětví, kde na tuto oblast není vždy kladen dostatečný důraz.

SANS ISC Diary - Internet banking sites and their use of TLS... and SSLv3... and SSLv2?!

Jan Kopriva — Fri, 13 Dec 2019 08:22:37 +0100

Dnes vyšel můj nový příspěvek na stránkách SANS Internet Storm Center. Je věnovaný konfiguraci TLS (a SSL) na portálech internetového bankovnictví z celého světa.

SANS ISC Diary - Phishing with a self-contained credential-stealing webpage

Jan Kopriva — Fri, 06 Dec 2019 07:30:00 +0100

Dnes vyšel můj nový příspěvek na stránkách SANS Internet Storm Center. Podíváme se v něm na zajímavou phishingovou zprávu, která nesla celou podvodnou stránku jako soubor v příloze e-mailu.

SANS ISC Diary - E-mail from Agent Tesla

Jan Kopriva — Thu, 05 Dec 2019 07:30:00 +0100

Dnes vyšel můj nový příspěvek na stránkách SANS Internet Storm Center. Je věnovaný analýze komplexního downloaderu pro Agent Tesla.

SANS ISC Diary - Analysis of a strangely poetic malware

Jan Kopriva — Wed, 04 Dec 2019 08:14:33 +0100

Dnes vyšel můj nový příspěvek na stránkách SANS Internet Storm Center. Je věnovaný analýze downloaderu založeného na makrech, který do Internet Storm Center zaslala jedna z našich čtenářek.

SANS ISC Diary - Lessons learned from playing a willing phish

Jan Kopriva — Tue, 26 Nov 2019 12:08:19 +0100

Dnes vyšel můj nový příspěvek na stránkách SANS Internet Storm Center. Podíváme se v něm na lovení phishingových útočníků a na to, co se od nich můžeme s trochou snahy dozvědět.

SANS ISC Diary - Did the recent malicious BlueKeep campaign have any positive impact when it comes to patching?

Jan Kopriva — Sun, 10 Nov 2019 11:55:40 +0100

Dnes vyšel můj nový příspěvek na stránkách SANS Internet Storm Center. Pokud jste přemýšleli o tom, zda měla nedávná mediální bouře okolo využívání zranitlenosti BlueKeep nějaký dopad na patchování, je určen právě vám.

SANS ISC Diary - EML attachments in O365 - a recipe for phishing

Jan Kopriva — Thu, 31 Oct 2019 11:15:35 +0100

Dnes vyšel můj nový příspěvek na stránkách SANS Internet Storm Center. Podíváme se v něm na dopady nedostatečné filtrace příloh se soubory EML v Office 365.

SANS ISC Diary - Phishing e-mail spoofing SPF-enabled domain

Jan Kopriva — Thu, 17 Oct 2019 11:49:25 +0200

Dnes vyšel můj nový příspěvek na stránkách SANS Internet Storm Center. Je věnovaný mechanismu SPF a případům, kdy je možné podvrhovat e-maily i za domény, které jej užívají.

SANS ISC Diary - Tricky LNK points to TrickBot

Jan Kopriva — Tue, 03 Sep 2019 13:06:21 +0200

Dnes vyšel můj nový příspěvek na stránkách SANS Internet Storm Center. Je věnovaný analýze škodlivého souboru LNK, který vedl ke vzorku trojanu TrickBot.

SANS ISC Diary - Open Redirect: A Small But Very Common Vulnerability

Jan Kopriva — Wed, 28 Aug 2019 14:27:02 +0200

Dnes vyšel můj nový příspěvek na stránkách SANS Internet Storm Center. Je věnovaný open redirect zranitlenostem a možnostem jejich vyhledávání. Pokud vám tyto zranitlenosti nejsou známé, jde o dobrý úvodní text do této problematiky.

SANS ISC Diary - The good, the bad and the non-functional

Jan Kopriva — Thu, 08 Aug 2019 21:31:08 +0200

Dnes vyšel můj nový příspěvek na stránkách SANS Internet Storm Center. Pokud jste někdy přemýšleli o tom, jak vypadají méně tradiční kybernetické útoky, je určený právě vám…

ALEF Security Report 2019

Jan Kopriva — Wed, 03 Jul 2019 15:23:35 +0200

S kolegy z Alefu jsme vytvořili report zaměřený na aktuální stav kybernetické bezpečnosti v České republice. Pokud Vás zajímá, jaké bezpečnostní služby byly v posledních letech nejvíce poptávané, kolik procent organizací v ČR realizuje phishingové testy zaměstnanců, nebo v jakém stavu je adopce STARTTLS pro šifrování e-mailové komunikace, můžete si jej stáhnout zde. Najdete v něm pochopitelně i mnoho dalších zajímavostí…

Nebezpečné tlačítko Reply All

Jan Kopriva — Mon, 10 Jun 2019 22:23:49 +0200

Snad v rámci každého kurzu pro vzdělávání koncových uživatelů ohledně hrozeb spojených s používáním e-mailu je diskutována problematika phishingu. Někdy je jí věnována jen určitá část kurzu a vedle ní je probírán i spam nebo (v organizacích, u nichž je to relevantní) různé aspekty používání DLP v kontextu elektronické pošty. Někdy je ale také phishing jedinou probíranou oblastí. Toto jednostranné zaměření je - vzhledem k tomu, že phishing je jedním z nejčastějších vektorů kybernetických útoků - zcela pochopitelné.

V důsledku toho, že lektoři a autoři kurzů se zaměřují zejména na tuto hrozbu (a případně jiné externí hrozby), ale často zapomínají akcentovat nebezpečí neúmyslného úniku citlivých dat v důsledku jednoduchého přehlédnutí uživatele.

Snad každému, kdo denně používá e-mail, se někdy podařilo odeslat zprávu před tím, než byla dokončená, nebo - což je zpravidla problematičtější - odeslat zprávu nesprávnému příjemci. Pokud se jedná o soukromou elektronickou poštu, to nejhorší, co se člověku může stát je, že pošle někomu ze svých známých zprávu, v níž se o nich nevyjadřuje zrovna lichotivě, nebo odešle své drahé polovičce e-mail určený své milence či svému milenci.

Aniž bych chtěl bagatelizovat potenciální nebezpečí plynoucí z výše uvedených situací, je zjevné, že v prostředí moderních organizací mohou mít obdobné omyly následky mnohem citelnější…tedy ponecháme-li stranou možnost, že se onen nepozorný uživatel v návaznosti na špatně adresovaný e-mail dočká “vávrovy” kávy od své drahé polovičky.

O tom, že je v rámci kurzů zvyšování bezpečnostního povědomí zaměstananců vhodné zmiňovat alespoň krátce potřebu kontroly správně napsané adresy příjemce před odesláním jakékoli citlivé informace nebo dokumentu tak není potřeba dlouze uvažovat. Je však na místě poznamenat, že potenciálně ještě horší následky, než odeslání zprávy jednomu nesprávnému příjmci, může mít bezmyšlenkovité použití tlačítka Reply All.

Bezpečnostní princip označovaný “need to know” stanoví, že pouze jednotlivci, kteří pro výkon své práce určitou informaci nezbytně potřebují, by jí měly znát. I v organizacích, které nemají formálně zavedená sofistikovanější pravidla ochrany informací, by měl být tento princip dodržován, minimálně při nakládání s citlivými a důvěrnými údaji. A přestože zasílání odpovědi na e-mail pouze na některé z původních účastníků konverzace se může jevit jako porušení pravidel netikety (což je důvod, proč má většina uživatelů ve zvyku seznam příjemců neměnit), je to jediný způsob jak zabránit vyzrazení citlivých informací nežádoucím osobám.

Seznamy příjemců totiž mívají tendenci v čase “bobtnat”. Se zvyšující se délkou se e-mailové diskuze často stávají potenciálně zajímavými i pro ještě nezapojené jedince a uživatelé tak mají tendenci je v dobré víře do seznamu příjemců připojovat. Pokud si rozšíření seznamu příjemců nevšimnou původní účastníci komunikace, může snadno dojít k porušení výše zmíněného bezpečnostního principu.

Je známou skutečností, že to, co děláme často a stejně, máme tendenci dělat bez rozmyslu. Aby se uživatelé s pomocí bezmyšlenkovitého odeslání e-mailu nedopustili nezáměrného vyzrazení citlivých informací, je tak na místě autorům a lektorům bezpečnostních kurzů cílených na běžné uživatele doporučit:

akcentovat při školení potřebu opatrnosti při klikání na tlačítko Reply All,
seznamovat uživatele s potřebou kontrolovat seznam příjemců před odesláním jakékoli zprávy s potenciálně citlivým obsahem a
bez milosti z tohoto seznamu vyřazovat jakékoli příjemce, kteří nemají potřebu tento obsah znát.

Výše škody způsobené organizaci vyzrazením jejích citlivých informací je totiž ve většině případů srovnatelná, ať už k úniku došlo v důsledku útoku externího aktéra, nebo nezáměrného přehlédnutí uživatele.

'Open redirection' zranitelnosti (nejen) na českém webu

Jan Kopriva — Tue, 19 Mar 2019 17:32:13 +0100

Na portálu Root.cz byl publikován můj nový článek o vyhledávání open redirection zranitelností (nejen) na českém webu, aktivitě, které jsme se s kolegy z ALEF CSIRT nějakou dobu zpátky věnovali. Detailnější popis zranitelnosti v modulu Babel, jejíž objevení bylo příjemným vedlejším efektem našich snah, je k dispozici zde. Na tomto odkazu je pak možné nalézt bližší informace k jejím dopadům.

Záznam z interview v DVTV o kybernetické bezpečnosti

Jan Kopriva — Wed, 23 Jan 2019 17:43:42 +0100

Nějakou dobu zpátky jsem si byl v DVTV popovídat s panem Veselovským o naší analýze otevřených adresářů a o různých aspektech kybernetické bezpečnosti. Začátkem tohoto týdne se záznam z tohoto interview objevil i na webu jmenované televize. Jak se interview povedlo posuďte sami.

UN je zpět!

Jan Kopriva — Thu, 27 Dec 2018 12:09:22 +0100

Untrusted Network je po delší odmlce zpět. Ze staré verze stránek se podařilo zachránit většinu původních příspěvků a odkazy na ně je možné nalézt na hlavní stránce. V současnosti jde o jediný obsah webu, nicméně v roce 2019 se můžete těšit na nové příspěvky.

V mezičase doplním alespoň jednu zajímavost z letošního roku - zde můžete najít článek, který diskutuje, jaká zajímavá a citlivá data jsme spolu s kolegy z ALEF CSIRT našli v indexovaných adresářích na českém a slovenském internetu.

Článek na portálu Root.cz - Taxonomie pro bezpečnostní incidenty, aneb 'je to kočka, nebo pes?'

Jan Kopriva — Wed, 28 Feb 2018 12:00:00 +0100

Na portálu Root.cz byl zveřejněn můj článek nazvaný Taxonomie pro bezpečnostní incidenty, aneb „je to kočka nebo pes?“, který je věnovaný aktuálně vytvářené referenční taxonomii pro bezpečnostní incidenty. Jeho text můžete najít na tomto odkazu.

Článek v časopisu IT Systems - Netradiční kybernetické útoky

Jan Kopriva — Fri, 10 Mar 2017 12:00:00 +0100

V březnovém čísle časopisu IT Systems byl otištěn i můj článek nazvaný Netradiční kybernetické útoky. Jeho text můžete najít také v online verzi magazínu SystemOnLine na tomto odkazu.

Článek na portálu Root.cz - Mirai má nový cíl: útočí na routery, cílů má 5 milionů

Jan Kopriva — Wed, 30 Nov 2016 12:00:00 +0100

Na portálu Root.cz byl zveřejněn můj článek nazvaný Mirai má nový cíl: útočí na routery, cílů má 5 milionů. Jeho text můžete najít na tomto odkazu.

Článek v časopisu Security World - Co všechno lze najít na nesmazaných discích?

Jan Kopriva — Tue, 04 Oct 2016 12:00:00 +0100

V říjnovém čísle časopisu Security World byl otištěn i můj článek nazvaný “Co všechno lze najít na nesmazaných discích?”. Jeho text je věnovaný drobnému experimentu se získáváním cenných dat z disků odprodaných do bazarů, který jsme s kolegy provedli o pár měsíců dříve a jehož popis můžete najít na tomto odkazu.

Článek na stránkách Alef Nula - Úprava legislativy hazardních her přináší nové nároky pro poskytovatele internetu

Jan Kopriva — Wed, 03 Aug 2016 12:00:00 +0100

Na stránkách Alef Nula byl dnes zveřejněn můj článek věnovaný novému zákonu o hazardu a v něm požadované blokaci internetových stránek s nepovolenými hrami. Článek můžete najít na tomto odkazu.

Článek na stránkách Alef Nula - Jak (ne)přijít o notebook

Jan Kopriva — Fri, 29 Jul 2016 12:00:00 +0100

Na stránkách Alef Nula byl dnes zveřejněn můj článek věnovaný experimentu, který jsme nedávno realizovali na pražské Náplavce, kde jsme spolu s několika kolegy zkoušeli, jak snadno může člověk přijít o odložený laptop. Článek můžete najít na tomto odkazu.

Ohlédnutí za dubnem 2016

Jan Kopriva — Tue, 24 May 2016 20:39:57 +0100

Publicisticky extrémně vděčnou se v dubnu stala informace o objevení několika druhů malwaru v infrastruktuře německé jaderné elektrárny. Vzhledem k tomu, že malware, kterého se zpráva týkala, byl naprosto běžný (potvrzena byla detekce variant červů Conficker a Ramnit) a nijak nezasahoval do funkce nakaženého systému, byly reálné dopady uvedené infekce minimální.
O něco menší pozornost byla věnována doposud zřejmě nejsilnějšímu L7 DDoS útoku. Dle dostupných informací byl generován botnetem Nitol a jeho datový tok generovaný zasíláním HTTP POST požadavků na cílový systém přesahoval ve špičkách 8,5 Gbps.
Jednou z cest, kterou se v poslední době ransomware snaží postižené uživatele přimět k zaplacení požadovaného „výkupného“ je technika užívaná programem Jigsaw. Až do zaplacení požadované sumy periodicky (a po restartu nakaženého počítače) maže část dat obsažených na pevném disku. Vzhledem k potenciálním škodám, které může takové chování malwaru způsobit, lze považovat za velmi pozitivní, že v průběhu měsíce byly publikovány nástroje umožňující jeho odstranění a zpětné získání jím zašifrovaných dat.
Zprávy o existenci útoku Rowhammer se objevily již více než před rokem, v průběhu letošního dubna však byly publikovány informace o dalších možnostech provedení tohoto útoku. Dle závěrů zveřejněného výzkumu je možné jej relativně jednoduše realizovat pomocí běžně instalovaných aplikací a knihoven (například pomocí knihovny GNU C). Za zmínku též stojí, že uvedený útok je dle zjištění z března použitelný vedle pamětí DDR3, na nichž byl původně demonstrován, také proti novějším paměťovým modulům DDR4.
Jako pozitivní zprávu na závěr Ohlédnutí lze uvést úspěch českého týmu na bezpečnostním cvičení Locked Shields 2016, kde zástupci našich CSIRT/CERT týmů obsadili páté místo z dvaceti soutěžících.

Ohlédnutí za březnem 2016

Jan Kopriva — Thu, 14 Apr 2016 20:39:57 +0100

Za nejpodstatnější březnovou událost lze označit zveřejnění útoku na TLS označeného DROWN, který spočívá ve zneužití podpory pro SSLv2 na straně serveru, což potenciálně umožňuje útočníkovi relativně jednoduchým způsobem dešifrovat data zasílaná v relaci chráněné pomocí moderních TLS algoritmů. V době zveřejnění principů útoku jím bylo zranitelných přes 10 milionů webových serverů.
Ransomware je bezpochyby jednou z dominantních kybernetických hrozeb současnosti – incidenty spojené s infekcemi škodlivým kódem tohoto typu jsou na denním pořádku a jejich dopady jsou mnohdy velmi citelné. Je tomu tak zejména v oblastech jako zdravotnictví, kde je potřeba získat zašifrovaná data zpět pochopitelně velmi silná. Jednou z nemocnic postižených ransomwarem se v březnu stala také Lukaskrankenhaus v Neuss v Německu. Je vhodné zmínit, že pro ochranu před některými druhy ransomwaru byly publikovány „vakcíny“.
Podstatně příjemnější byla nově zveřejněná informace týkající se Wassenaarské dohody. Dle ní by se uvedený dokument měl v dohledné době přestat vztahovat na tzv. „intrusion software“, tedy programové vybavení potenciálně využitelné pro pronikání do informačních systémů.
V průběhu měsíce došlo také ke zveřejnění informací o kybernetickém útoku na americkou kritickou infrastrukturu – konkrétně na čističku odpadních vod. Dle dostupných informací došlo v důsledku útoku k dočasné modifikaci chemického procesu čištění vod.
Na závěr shrnutí březnových událostí lze jako zajímavost uvést skutečnost, že Diffiemu a Hellmanovi byla v udělena Turingova cena za přínosy kryptografii.

ALEF Hacker Challenge

Jan Kopriva — Tue, 15 Mar 2016 20:35:41 +0100

Společnost ALEF NULA (pro úplnost uvádím, že jmenovanou společností jsem aktuálně zaměstnán) spustila v minulém týdnu soutěž pojmenovanou ALEF Hacker Challenge. Úkolem je v ní proniknout do připraveného systému a získat z něj data. V rámci České Republiky se jedná se o zajímavý (byť ne unikátní) počin a to nejen proto, že hlavní cenou soutěže je 12 000 korun.

Ohlédnutí za únorem 2016

Jan Kopriva — Thu, 10 Mar 2016 19:01:57 +0100

Zřejmě nejpodstatnější zprávou se v únoru stalo zveřejnění (jak se později ukázalo, zranitelnost byla poprvé nahlášena již v červnu 2015) zranitelnosti v knihovně glibc, která umožňuje způsobit přetečení zásobníku při použití funkce getaddrinfo, užívané pro práci s DNS záznamy, a potenciálně tak na postiženém zařízení spustit libovolný kód. Vzhledem k tomu, že knihovna glibc je součástí mnoha Linuxových distribucí, postižených strojů je poměrně vysoké množství. Odpovídající záplata je již k dispozici.
Novinky se v průběhu měsíce objevily ve spojitosti s prosincovými útoky na ukrajinskou energetiku. Dle nově publikovaných zpráv stála stejná skupina, která útoky provedla, také za obdobnými operacemi cílenými proti jisté ukrajinské důlní společnosti a železničnímu operátorovi.
Zmínku zaslouží také zpráva týkající se nových informací ohledně malwaru Stuxnet - infekce zařízení v Natanzu uvedeným škodlivým kódem byla dle ní pouze malou součástí komplexního plánu možného kybernetického útoku proti Íránu.
Zajímavým a netradičním vektorem útoku na koncové stanice mohou být mimo jiné bezdrátové myši, jak dokázal nově publikovaný výzkum.
Na závěr nejzajímavějších únorových událostí lze zmínit alespoň pár zpráv převážně humorného charakteru. Dle informací z počátku měsíce byl botnet užívaný pro distribuci trojanu Dridex neznámým aktérem upraven tak, aby místo škodlivého kódu šířil antivirus Avira. Únor byl také zvolen pro vyhlášení Phishie Awards, tedy cen za “nejlepší” phishing.

Ohlédnutí za lednem 2016

Jan Kopriva — Sun, 07 Feb 2016 19:27:24 +0100

První měsíc roku 2016 byl nebývale bohatý na události v oblasti kybernetické bezpečnosti. Mezi nejpodstatnější informace patřilo zveřejnění existence backdoor kódu ve starších verzích operačního systému FortiOS, užívaném firewally firmy Fortigate. Lze zde sledovat jistou návaznost na prosincové zveřejnění backdooru v produktech společnosti Juniper. Díky nově objevené slabině bylo možné získat vzdálený privilegovaný přístup k zařízením FortiGate pomocí SSH. Řetězec přednastavený jako heslo měl podobu “FGTAbc11*xy+Qqz27”. Jak se později ukázalo, popsaný backdoor se týkal i dalších produktů společnosti Fortinet (jmenovitě zařízení řad FortiSwitch, FortiAnalyzer a FortiCache).
Mezi velmi zajímavé se řadily také zprávy ohledně útoků na ukrajinskou energetickou infrastrukturu. Dle publikovaných informací byl před Vánoci podniknut kybernetický útok na jednu ze společností, zajišťujících energetické služby na Ukrajině, v důsledku čehož byly dočasně přerušeny dodávky elektrické energie několika desítkám tisíců osob. Pro útok byla údajně užita varianta malwaru BlackEnergy s rozšířením KillDisk, zajišťujícím likvidaci dat na infikovaných systémech.
Několik dalších lednových zpráv a kauz, byť nebyly nikterak zásadního charakteru, zaslouží alespoň krátké zmínky.
Dle nově publikovaného průzkumu používá polovina bank ve Velké Británii zabezpečení komunikace v rámci elektronického bankovnictví potenciálně zranitelné instance SSL. Mezi často detekované nedostatky patřily vedle podpory zastaralých verzí protokolů SSL zranitelnosti pomocí útoků Poodle a CRIME.
Ransomware Linux.Encoder.1, který byl již několikrát v minulých Ohlédnutích zmíněn, se dočkal vydání třetí verze. Z pohledu jeho autorů se však ani do třetice nejedná o úspěch, vzhledem k tomu, že i tato varianta ransomwaru pro operační systém Linux obsahuje slabiny v šifrovací rutině, které umožňují relativně jednoduchým způsobem zpětně získat jím zašifrovaná data.
Do logů na milionech serverů byla vtipným způsobem “propašována” báseň. Došlo k tomu zasláním speciálně formátovaného HTTP DELETE požadavku na údajně až desítky milionů koncových strojů. Jako zdroj těchto požadavků byla označena IP adresa spojená s 32. konferencí Chaos Communication Congress.
Jako dvě zajímavosti na závěr lze uvést, že Americké vojenské letectvo publikovalo v polovině měsíce informaci o převedení AFINC - prvního oficiálního kybernetického zbraňového systému vytvořeného touto organizací - do plně funkčního stavu a že 21. ledna byl detekován možný pokus o “zcizení” prefixu 8.8.8.0/24 firmě Google pomocí BGP hijackingu.

Ohlédnutí za prosincem 2015

Jan Kopriva — Tue, 12 Jan 2016 17:06:42 +0100

Na konci listopadu a začátkem prosince proběhly 2 velmi silné útoky na kořenové DNS servery. V případě obou útoků se jednalo o zasílání validních dotazů (všechny se týkaly jediné domény) kořenovému serveru mnoha žadatelskými stroji. Přestože běžného uživatele se uvedené události díky architektuře DNS protokolu v podstatě nedotknuly, jednalo se o útoky velmi silné – na postižené servery bylo v jejich průběhu zasíláno okolo pěti milionů požadavků za sekundu, což odpovídá přibližně 250 násobku běžné zátěže.
Mezi velmi překvapivé zprávy patřilo v prosinci oznámení o objevení neznámého kódu v operačním systému ScreenOS, užívaném v zařízeních vyrobených společností Juniper. Díky uvedenému kódu je na postižených zařízeních možné dešifrovat obsah probíhajících VPN spojení nebo vzdáleně získat privilegovaný přístup k systému. Původ kódu je, jak bylo uvedeno, neznámý, za jeho možný zdroj však byla označena agentura NSA.
V návaznosti na zprávu o novém ransomwaru pro Linux, publikovanou v minulém Ohlédnutí, je na místě zmínit, že došlo k vydání jeho nové verze. Autoři Linux.Encoder.1 v ní změnili použitou šifrovací rutinu. Vzhledem k její implementaci jsou však zašifrovaná data zpětně získatelná pomocí obdobně jednoduché metody, jako v případě původní verze. K dispozici tak již je nástroj na bezplatné rozšifrování dat.
Na závěr je vhodné uvést, že v softwaru předinstalovaném výrobci (tzv. bloatwaru) na některých zařízeních značek Dell, Lenovo a Toshiba byly v prosinci objeveny potenciálně nebezpečné zranitelnosti, umožňující např. provést zvýšení uživatelských oprávnění.
Abychom však vzpomenutí na milulý rok ukončili o něco lehčí informací, rozloučíme se s ním zmínkou o chybě v kódu užívaném v USA pro výpočet zkrácení doby trestu za dobré chování vězňů. Chyba byla do systému zavedena v roce 2002 a v jejím důsledku došlo k propuštění více než 3000 vězňů z vazby předčasně – v jednom případě dokonce o 600 dní…

Ohlédnutí za listopadem 2015

Jan Kopriva — Mon, 07 Dec 2015 00:00:57 +0100

Mezi zajímavé listopadové novinky lze řadit aféru okolo předinstalovaných kořenových certifikátů na noteboocích firmy Dell. Podobně jako v případě kauzy označované Superfish je možné v důsledku umístění takového certifikátu na zařízení za určitých podmínek dešifrovat probíhající komunikaci, nebo provést útok spočívající v podvržení důvěryhodné webové stránky.
Několik novinek se objevilo též v oblasti ransomwaru – mimo jiné byl objeven první program uvedeného typu cílící na platformu Linux. Byl označen Linux.Encoder.1 a vzhledem k uvedenému prvenství na něj lze nahlížet spíše jako na proof-of-concept kód, než jako na nebezpečný software – vzhledem k nevhodně zvolenému kódu, užitém pro šifrování uživatelských dat, je totiž možné jakákoli jím zpracovaná data získat relativně jednoduchou metodou dešifrovat.
Druhá novinka v oblasti ransomwaru byla naneštěstí podstatně méně humorná – vzhledem k chybě v šifrovací rutině malwaru Power Worm, která způsobuje ztrátu klíčů po zašifrování souborů, není v případě nakažení počítače daným programem možné získat dešifrovaná data ani po zaplacení částky požadovanou autory škodlivého kódu.
Pokračování měla v listopadu aféra okolo krádeže dat ze systémů společnosti TalkTalk – v průběhu měsíce byly zadrženi další podezřelí a došlo též k podstatnému snížení počtu poškozených. Únik dat se dle nových údajů týkal méně než 1,2 milionu zákazníků.
Na závěr je vhodné uvést, že v průběhu měsíce proběhlo několik DDoS útoků cílených na banky sídlící v severní Evropě s cílem získat výpalné. Jednalo se o rozšíření útoků vedených původně na společnosti poskytující zabezpečená e mailová řešení. Za zmínku stojí, že útok na jednu z postižených společností, ProtonMail, proběhl i přes zaplacení požadované částky vyděračům.

Ohlédnutí za říjnem 2015

Jan Kopriva — Wed, 11 Nov 2015 21:14:53 +0100

Říjen, jako Evropský měsíc kybernetické bezpečnosti, byl obdobím konání mnoha akcí (např. v Praze pořádaný Security fest) zaměřených na rozšíření povědomí o dané problematice. Mnoho novinek se nicméně v jeho průběhu objevilo také na pomyslné druhé straně barikády.
Velmi sledovanou novinkou byla aféra okolo úniku osobních dat (včetně čísel kreditních karet) až čtyř milionů zákazníků britského poskytovatele telekomunikačních služeb TalkTalk. K útoku se přihlásila hackerská skupina z Ruska, na konci měsíce bylo nicméně ve spojitosti s útokem na TalkTalk zatčeno několik mladíků ve Velké Británii.
V návaznosti na zranitelnost Stagefright byla v operačním systému Android objevena nová zranitelnost označovaná jako Stagefright 2.0. Spočívá v chybě v kódu pro zpracování multimediálních souborů, díky níž umožňuje potenciálnímu útočníkovi spustit na postiženém zařízení libovolný kód. Dle některých zdrojů se zranitelnost týkala až miliardy zařízení. Společnost Google již vydala update opravující Stagefright 2.0, opravenou verzi systému však pochopitelně nelze očekávat pro všechna existující zařízení založená na platformě Android a i do budoucna se tak může jednat o potenciální vektor útoku.
Vhodným tématem na závěr Ohlédnutí za Evropským měsícem kybernetické bezpečnosti může být zmínka o objevení „malwaru“ Linux.Wifatch, který se šíří klasickými vektory na zranitelná zařízení s operačním systémem Linux a následně mění nastavení systému tak, aby byl odolnější vůči jiným infekcím. Žádné škodlivé akce Wifatch neprováděl, jak dokumentuje mimo jiné rozhovor s jeho tvůrci.

Ohlédnutí za zářím 2015

Jan Kopriva — Sun, 18 Oct 2015 16:13:47 +0100

V průběhu září byla zveřejněna informace o počtu zařízení, která jsou aktuálně náchylná ke zranitelnosti Heartbleed. S ohledem na skutečnost, že Heartbleed je znám již téměř rok a půl může být překvapivé, že počet zranitelných zařízení překračuje 200 000.
Pokračování měla v září také aféra okolo zranitelnosti Stagefright, o níž jsme informovali v minulém Ohlédnutí. Společnost Zimperium, která stojí za objevením Stagefright, zveřejnila proof-of-concept kód využívající uvedenou zranitelnost.
V několika desítkách směrovačů firmy Cisco byl objeven malware SYNful Knock, obsažený v modifikovaném image systému IOS. SYNful Knock funguje primárně jako backdoor a s výjimkou hlavní (persistentní) části obsažené přímo v IOS používá desítky modulů rozšiřujících jeho funkcionalitu, které nahrává do volatilní paměti zařízení.
Za zmínku stojí, že společnosti Google, Microsoft a Mozzila oznámily, že začátkem příštího roku odstraní ze svých prohlížečů podporu šifrovacího algoritmu RC4.
Jako zajímavost na závěr Ohlédnutí lze zmínit objevení malwaru cíleného na hráče online pokeru. Trojský kůň pojmenovaný Odlanor zachytává na nakaženém stroji screenshoty aplikací užívaných pro hraní pokeru a následně je odesílá útočníkovi.

Ohlédnutí za srpnem 2015

Jan Kopriva — Tue, 08 Sep 2015 17:06:42 +0100

Jednou z nejpodstatnějších událostí v oblasti kybernetické bezpečnosti se v srpnu stalo zveřejnění záplaty pro zranitelnost Stagefright postihující zařízení s operačním systémem Android verze 2.2 až 5.1 (s určitými výjimkami). Existence uvedené zranitelnosti byla původně oznámena na konci července a počty zranitelných zařízení se odhadují na několik stovek milionů. Zranitelnost umožňuje útočníkovi způsobit spuštění libovolného kódu zasláním speciálně formátované MMS zprávy. Vydaná záplata se bohužel ukázala jako nedostačující, výsledkem čehož jsou i updatovaná zařízení stále v ohrožení.
Mobilních platforem se týká také další aféra okolo zranitelnosti Ins0mnia objevené v operačním systému iOS. Využitím uvedené zranitelnosti se mohou škodlivé aplikace vyhnout bezpečnostním kontrolám operačního systému a běžet v pozadí bez znalosti uživatele (a např. logovat citlivá data). Zranitelnost se týká i zařízení, která naprošla procesem jailbreak, a byla záplatována ve verzi iOS 8.4.1.
Produktů společnosti Apple se týkalo také oznámení ohledně vytvoření proof-of-concept červu Thunderstrike 2.0 schopného infikovat firmware na počítačích Mac. S ohledem na umístění infikovaného prostoru je pro OS problematické detekovat uvedený malware a jeho odstranění vyžaduje přehrání firmware.
S útoky využívajícími zranitelností v hardwaru počítačů souvisí také nově zveřejněná (avšak pocházející již z roku 1997) zranitelnost v procesorech Intel architektury x86, která umožňuje útočníkovi provést instalaci rootkitu do paměťových oblastí užívaných v rámci SMM (System Management Mode – privilegovaný mód běhu procesoru užívaný mimo jeho běžný provoz).
Zajímavostí z prostředí České Republiky může být informace o podepsání sektorové dohody ohledně vzdělávání v oblasti kybernetické bezpečnosti mezi několika státními i komerčními subjekty..

Ohlédnutí za červencem 2015

Jan Kopriva — Wed, 05 Aug 2015 10:27:36 +0100

Jednoznačně největší událostí z oblasti IT bezpečnosti se v červenci stala aféra okolo úniku dat ze systémů společnosti Hacking Team, která se zabývá vývojem komerčního spyware, určeného pro použití policejními sbory a dalšími bezpečnostními složkami. Více než 400 GB odcizených dat bylo volně umístěno na internet a následně analyzováno specializovanými firmami a odbornou veřejností, na základě čehož byl publikován (v době psaní článku stále doplňovaný) vysoký počet zero-day zranitelností, které Hacking Team ve svých produktech využíval.
Zajímavá zpráva se v červenci objevila také v souvislosti s bezpečností vozidel – dvěma výzkumníkům se podařilo pomocí zranitelnosti v zábavním systému Jeepu Cherokee připojeného k mobilní datové síti vzdáleně ovládnout některé funkce vozidla včetně např. jeho převodovky. Fiat Chrysler na publikaci existence uvedené zranitelnosti reagoval informací o stažení 1,4 milionu postižených vozidel. K obdobnému kroku se v souvislosti se softwarovými chybami či zranitelnostmi odhodlal také Land Rover a Ford.
Za zmínku stojí, že Europol vydal v polovině měsíce prohlášení o úspěšné akci vedoucí k vyřazení kriminálního webového fóra Darkode. I přes zatčení 28 uživatelů a administrátorů fóra byla však jeho činnost za dva týdny plně obnovena.
V průběhu července byla dále objevena další chyba v implementaci OpenSSL, tentokrát umožňující podvržení certifikátů, záplata na uvedenou zranitelnost byla vydána již za několik dní od jejího zveřejnění.
Zajímavostí bylo také zveřejnění útoku vedoucího k získání dat z air-gapped (od ostatních fyzicky odděleného) systému pomocí rádiového vysílání dat za použití sběrnice na grafické kartě jako antény vysílače a mobilního telefonu v blízkosti systému jako přijímače.

Ohlédnutí za červnem 2015

Jan Kopriva — Sat, 18 Jul 2015 17:29:33 +0100

Z červnových novinek bylo pravděpodobně nejzajímavější oznámení organizace OPM (Office of Personnel Management), která zajišťuje HR služby a administrativu spojenou s federálními zaměstnanci USA, ohledně úniku osobních dat přibližně čtyř milionů z nich. Průnik do sítě se podařilo po delší době, kdy byl aktivní, detekovat pomocí speciálního IDS nazvaného Einstein. Za zdroj útoku, v důsledku nějž k úniku došlo, byla některými představiteli amerických vlastních struktur označena Čína.
V červnu se též objevily informace o útoku s obdobnými následky v Japonsku, při němž došlo k úniku osobních informací přibližně jednoho a čtvrt milionu lidí. Primárním vektorem útoku byl údajně e-mail s infikovanou přílohou.
Pro majitele a uživatele výrobků značky Apple může být zajímavé objevení zranitelnosti, umožňující přepsání FW ve starších (vyrobených přibližně do poloviny roku 2014) počítačích Mac. Uvedená zranitelnost umožňuje útočníkovi při probuzení systému ze spánku (kdy je nefuknční ochrana FLOCKDN, která by měla zajišťovat, že aplikace mohou přistupovat k určitým částem systému pouze v read-only režimu) provést změny vedoucí k získání neomezeného přístupu k operačnímu systému.

Ohlédnutí za květnem 2015

Jan Kopriva — Fri, 05 Jun 2015 00:00:57 +0100

Květen byl z hlediska incidentů a událostí v oblasti kybernetické bezpečnosti přinejmenším stejně bohatý, jako všechny předchozí měsíce tohoto roku. V následujících řádcích je zběžně zmíněno několik z těch podstatnějších.
Za velmi podstatnou květnovou událost lze považovat objevení zranitelnosti VENOM (Virtual Environment Neglected Operations Manipulation). Jedná se o slabinu v kódu virtuální disketové jednotky, užívané v několika virtualizačních platformách (QEMU, KVM, Xen). Uvedená zranitelnost umožňuje získat z virtualizovaného operačního systému pomocí přetečení zásobníku přístup přímo k hypervisoru. Vzhledem k tomu, že zranitelnost není specifická pro konkrétní operační systém, lze ji považovat za vysoce závažnou.
Zmínku si zaslouží též další zranitelnost v implementacích protokolu TLS/SSL pojmenovaná Logjam. V rámci spojení, užívajících Diffie Hellmanova algoritmu pro výměnu klíčů a podporujících jeho exportní verze, je možno pomocí uvedené zranitelnosti při man in the middle útoku snížit jejich zabezpečení.
Na závěr je vhodné zmínit, že vláda schválila Akční plán k Národní strategii kybernetické bezpečnosti České republiky na léta 2015 až 2020. Podrobnosti je možné nalézt zde.

Ohlédnutí za dubnem 2015

Jan Kopriva — Sat, 09 May 2015 20:51:28 +0100

V dubnu jsme byli mimo jiné svědky objevení 18 let staré zranitelnosti Redirect to SMB, postihující všechny od té doby vydané verze systému Windows. Zranitelnost je využitelná v případě, kdy má útočník určitou kontrolu nad sítí, umožňující mu získat uživatelské přihlašovací údaje pomocí přesměrování síťové komunikace na vlastní SMB (server message block) server, který následně systém cíle donutí k automatické autentizaci pomocí uživatelského jména, domény a zahashovaného hesla.
Kromě uvedené zranitelnosti je vhodné uvést dubnový objev moderního malware BATALEX, založeného na využití maker v dokumentu Microsoft Word. Šíří se pomocí phishingových zpráv, obsahujících odkaz na stránku s infikovaným souborem a instrukcemi k odblokování maker. Po otevření staženého souboru dojde ke stažení varianty “bankovního” malware DYRE.
Za zmínku též stojí, že na konci dubna proběhnula konference RSA.

Ohlédnutí za březnem 2015

Jan Kopriva — Wed, 01 Apr 2015 19:27:24 +0100

Zřejmě nejpodstatnější březnovou událostí v oblasti informační bezpečnosti se stalo objevení významné slabiny, zneužitelné útokem FREAK, v některých implemntacích TLS/SSL, včetně těch užívaných v operačních systémech Windows.
Vedle ní je vhodné zmínit nově objevenou kampaň vedenou proti společnostem energetického sektoru na středním východě. V rámci ní byl užíván trojan Laizok, malware vytvořený za účelem sběru dat o infikovaných počítačích, a další škodlivé programy, které útočníci na základě Laizokem získaných dat upravovali pro infekci konkrétních systémů.
Zmínku si zaslouží také dva velmi silné DDoS útoky, k nimž došlo v druhé polovině měsíce - cílem prvního útoku byly stránky Greatfire.org, cílem druhého pak stránky služby GitHub. Dle publikovaných informací byla zdrojem obou uvedených útoků Čína.
Na závěr ohlédnutí je vhodné zmínit, že v březnu byl také publikován útok Rowhammer, umožňující eskalaci práv pomocí změny hodnoty bitů v operační paměti počítače, založené na využití slabiny v hardwaru pamětí DDR3.

Rowhammer - útok využívající slabinu v pamětech DDR3

Jan Kopriva — Tue, 10 Mar 2015 13:57:46 +0100

Výzkumníci z Project Zero týmu firmy Google informovali v pondělí o novém útoku, založeném na změně hodnoty bitů v operační paměti počítače. Útok využívá v loňském roce publikovaný postup, objevený týmem z Carnegie Mellon University a Intel Labs, označovaný Rowhammer. Ten umožňuje, pomocí opakovaného zapisovaní a čtení z určité části paměti, provedeného ve velmi krátkém čase, změnit hodnotu bitů v paměti přilehlé (zmiňovaný postup je možný díky vzájemné interakci paměťových buněk, způsobené malou vzdáleností mezi nimi).

S využitím uvedeného principu vytvořili výzkumníci z Project Zero dva exploity, pomocí nichž se jim podařilo úspěšně dosáhnout zvýšení privilegií na x86-64 Linuxovém systému, v němž pomocí změny bitů v tabulce stránek a získali neomezený přístup k celé fyzické paměti. Ve zveřejněné zprávě zmiňují, že uvedený postup byl úspěšně zkoušen na strojích s DDR3 pamětmi bez ECC (error correcting code), na systémech s pamětmi s EEC pak změny bitů v důsledku útoku pozorovány nebyly. Zdrojové kódy testovacího programu užitého ke zjištění náchylnosti systémů k Rowhammeru publikovali autoři zde.

FREAK - významná slabina v TLS/SSL

Jan Kopriva — Wed, 04 Mar 2015 10:06:49 +0100

Mezinárodní výzkumný tým vytvořil útok nazvaný FREAK (Factoring attack on RSA Export Keys), umožňující snížení úrovně zabezpečení šifrovaných spojení. Útok je založen na přinucení serveru i klientu k použití historických (jedná se o velmi dlouho existujcí zranitelnost) slabých kryptografických algoritmů, které jsou nicméně některými prohlížeči (mj. Safari a prohlížeč v OS Android založený na OpenSSL) a servery stále podporovány. Po prolomení klíče, který je v důsledku výše uvedeného podstatně slabší, než současný standard, může potencální útočník realizovat man-in-the-middle útok v rámci šifrovaného spojení mezi prohlížečem a serverem. Uvedené algoritmy byly do implementací SSL přidány v době, kdy v důsledku exportních omezení pro kryptografický materiál v USA nebylo možné do dalších států vyvážet všechny kryptografické algoritmy, ale pouze ty pro export určené (slabší). Odkaz na stránky obsahující další informace o potenciálně zranitelných serverech a umožňující testování zranitelnosti klinetského software naleznete zde.

Doplnění (6. 3. 2015): Microsoft vydal prohlášení, dle nějž je implementace TLS/SSL obsažená ve všech podporovaných verzích Windows náchylná k útoku FREAK. Zranitelnou komponentou je Windows Secure Channel (Schannel), útok je tedy možné provést proti spojení vedenému z prohlížeče Internet Explorer, nebo z dalších aplikací, které Schannel využívají.

ENISA vydala bezpečnostní framework pro užívání cloudu ve státní správě

Jan Kopriva — Tue, 03 Mar 2015 22:18:49 +0100

ENISA vydala na konci února 40 stránkovou publikaci Security Framework for Governmental Clouds, popisující jednotlivé kroky pro bezpečné využívání cloudu v podmínkách státní správy.

Ohlédnutí za únorem 2015

Jan Kopriva — Tue, 03 Mar 2015 09:58:57 +0100

Únor byl z hlediska dramatických událostí v oblasti informační bezpečnosti bohužel relativně bohatý, krátkou zmínku věnujeme alespoň třem z nejzajímavějších.

Zřejmě největší pozornost si vysloužila zpráva týkající se klíčů pro šifrování mobilní komunikace údajně odcizených ve značných počtech ze sítě holandské společnosti Gemalto, která je mimo jiné předním dodavatelem SIM karet, americkou agenturou NSA ve spojení s britskou GCHQ. S uvedenými klíči by bylo možné mimo jiné dešifrovat probíhající komunikaci, ale také například vzdálenou injektáž škodlivého kódu do koncových zařízení. Jako první o tom informoval portál The Intercept s odkazem na dokument z roku 2010, pocházející z dat získaných Edwardem Snowdenem z NSA. Po zveřejnění zprávy došlo ke značnému propadu hodnoty akcií firmy Gemalto. Ta reagovala o pár dní později v tiskovou zprávou, připouštějící pravděpodobnost, že k operaci NSA a GCHQ jejímž výsledkem bylo proniknutí do interní sítě firmy došlo, nicméně důrazně odmítající možnost, že by v rámci něj mohlo dojít k odcizení většího počtu šifrovacích klíčů. Gemalto uvedlo, případná krádež klíčů by navíc ohrozila pouze mobilní sítě druhé generace , neboť sítě 3G a 4G nejsou tímto útokem postižitelné.

Další únorovou novinkou s velkým dopadem bylo zjištění, že adware Superfish (sloužící k vkládání reklam do prohlížených webových stránek na základě analýzy prohlížených obrázků), který firma Lenovo instalovala na své laptopy, instaloval vlastní kořenový certifikát. Pomocí něj byl následně schopen vystavovat certifikáty pro stránky, na něž se uživatel připojoval šifrovaně, nahrazoval při tom legitimní certifikáty, čímž kompromitoval bezpečnost komunikace mezi uživatelem a stránkou. Superfish mohl díky tomu analyzovat a upravovat i obsah SSL spojení. Vzhledem k tomu, že instalovaný certifikát byl navíc zřejmě vždy stejný a sám byl slabě zapezpečen, představuje jeho přítomnost v systému slabinu, umožňující snadné zneužití útočníkem. Na společnost Lenovo bylo v souvislosti s kauzou okolo uvedeného software podáno několik žalob a došlo také k defacementu stránek společnosti.

Za pozornost stojí také, že po kritice ze strany Microsoftu a některých dalších změnila v průběhu února společnost Google podmínky Project Zero, projektu, v rámci nějž dával Google po nalezení zranitelnosti v aplikaci jejím tvůrcům 90 denní lhůtu na tvorbu záplaty a po jejím vypršení uvedenou zranitelnost publikoval bez ohledu na existenci záplaty či její plánované pozdější vydání. To se stalo i v případě zranitelnosti objevené v operačním systému Windows 8.1 – 90 denní lhůta uplynula 2 dny před plánovaným vydáním záplaty v rámci pravidelného updatovacího cyklu Microsoftu (tzv. Patch Tuesday). Google nyní dává tvůrcům aplikací k uvedeným 90 dnům navíc až 2 týdny „odkladu“, pokud aktivně pracují na odstranění zranitelnosti.