It’s the end of Microsoft support, not the end of the world. For more than a year, Microsoft informed and reminded users to upgrade from Windows XP before their support expired. They warned users that they would be subject to “zero-day” threats forever more. But, even with all that, nearly 30 percent of internet-connected PCs continue to […]
Thank you for choosing AVAST to protect your precious memories. Have a happy, healthy, and safe Springtime. Thank you for using avast! Antivirus and recommending us to your friends and family. For all the latest news, fun and contest information, please follow us on Facebook, Twitter and Google+. Business owners – check out our business products.
Every software should have an Easter Egg. Let me introduce you an Easter Egg in avast! Antivirus 2014… Enjoy this “new feature” if you find it As it’s a slot machine game then there is of course an unexpected surprise when your score is over 200 points… You can download avast! Antivirus at […]
今週(4/10現在)、広く利用されている暗号ソフトウェアライブラリであるOpenSSL に「Heartbleed」と呼ばれる 脆弱性が見つかりました。(http://heartbleed.com)
OpenSSLは、広く使われるオープンソースの暗号ライブラリで、ApacheやNginxといったウェブサーバやアプリケーションで広く使われています。ウェブサーバで利用中のOpenSSLのバージョンが1.0.1から1.0.1fで脆弱性が含まれており、攻撃者はこの脆弱性を利用してウェブシステムのメモリを覗き見ることができます。このメモリにアクセス出来ることで、SSL暗号通信や個人向けのサービス提供者の通信を復号化し覗き見することができる秘密鍵を攻撃者に渡してしまいます。このメモリにはウェブサイトで利用されているユーザー名やパスワードといった秘匿性の高い情報も含まれます。
「Heartbleed」はSSL/TLS プロトコルに起因する問題ではなく、むしろソフトウェアであるOpenSSLのハートビートの実装バグです。
SSL/TLSプロトコルが破られたわけではありません。インターネット上で暗号通信を行う最高の標準であることに変わりはありません。しかしながら、OpenSSLの利用が幅広いことから、おおよそ66%のインターネットもしくは3分の2のウェブサーバ(参照;Netcraftウェブサーバレポート)がこのソフトウェアを利用しています。OpenSSLを利用している企業は、出来るだけ早くそのバージョンを確認し、影響を受けるバージョンの場合には修正された最新バージョン(1.0.1g)のソフトウェアにアップデートするか、「heartbeat」拡張機能オプションを利用しないで再コンパイルをしないといけません。
世界の認証局のリーダーとしてシマンテックは既に私たちのシステムを更新しました。私たちのルート証明書は危険に直面していません。;しかしながら、基本的なセキュリティ対策(ベストプラクティス)として、問題のバージョンのOpenSSLを利用していたウェブサーバはすべてのSSLサーバ証明書の再発行を行いました。
企業のシステムでOpenSSLを更新するか、再コンパイルをしたら、どのCAが発行したSSLサーバ証明書かに関わらず、サーバからセキュリティの侵害が起こるリスクを軽減するためにすべてのSSLサーバ証明書を入れ替えることをシマンテックは推奨します。
最後に、シマンテックはSSLサーバ証明書とコードサイン証明書の管理画面のパスワードを変更することをお願いしています。改めて、これは基本的なセキュリティ対策(ベストプラクティス)として、システム側の問題を修正したら、ウェブサイトの利用者に対してパスワードの変更を推奨します。この脆弱性による危険を最小化するために、シマンテックはお客様の為に全力を尽くします。
分かりやすくするために、対策として行うべきことを以下にまとめます。
企業向けの注意事項:
•これは OpenSSL ライブラリの脆弱性であり、SSL/TLS プロトコルやシマンテックが発行する「SSL サーバ証明書」の欠陥ではありません。
•OpenSSL 1.0.1 から 1.0.1f を使っている場合には、最新の修正版(1.0.1g)に更新するか、Heartbeat 拡張機能を使わずに OpenSSL を再コンパイルする必要があります。
•修正版の OpenSSL への更新後、脆弱性が悪用されたことで ウェブサーバの「SSL サーバ証明書」が侵害された、または秘密鍵を盗まれたと考えられる場合には、認証局に連絡して「SSL サーバ証明書」の再発行を依頼してください。
•基本的なセキュリティ対策(ベストプラクティス)として、侵入を受けたサーバのメモリから漏えいした可能性を考慮し、エンドユーザのパスワードをリセットすることも検討する必要があります。
消費者向けの注意事項:
• 利用しているサービスプロバイダのサーバが脆弱な場合は、データが第三者に盗み見られた可能性があります。
• 利用しているプロバイダからの通知を見逃さないようにしてください。脆弱性を確認したプロバイダからパスワードを変更するよう連絡があった場合には、指示に従ってパスワードを変更してください。
• たとえパスワードの更新を促す内容であっても、攻撃者からのフィッシングメールである可能性には注意し、公式サイトのドメインを確認したうえで、偽装された ウェブ サイトにアクセスしないように気を付けてください。
以下のページで最新の情報をご確認ください。
http://www.symantec.com/ja/jp/outbreak/?id=heartbleed
自社の管理サーバがHeartbleedの脆弱性を含んでいるかを確認するツールも提供しています。
[Tweet]
Title;ここをクリックしてテキストを入力してください。
Link;ここをクリックしてテキストを入力してください。
Questa settimana è stata rilevata nella diffusa libreria software crittografica OpenSSL una vulnerabilità denominata “Heartbleed” (http://heartbleed.com). OpenSSL trova larghissimo impiego, in particolare con applicazioni e server Web quali Apache e Nginx. La presenza della vulnerabilità è stata riscontrata nelle versioni da 1.0.1 a 1.0.1f di OpenSSL, sfruttate dagli hacker per leggere la memoria dei sistemi colpiti. L’accesso alla memoria può portare alla violazione delle chiavi segrete, permettendo di decrittografare e intercettare le comunicazioni crittografate con SLL, nonché di impersonare i fornitori di servizi. I dati in memoria possono anche contenere informazioni sensibili, inclusi nomi utente e password.
Heartbleed non è una vulnerabilità intrinseca di SSL/TLS, ma piuttosto un bug software dell’implementazione Heartbeat di OpenSSL. A essere compromessa non è la funzionalità di SSL/TLS e il protocollo rimane lo standard di riferimento per la crittografia dei dati in transito su Internet. Tuttavia, data l’ampia diffusione di OpenSSL, è possibile che circa il 66% dei sistemi Internet o i due terzi dei server Web (stando alle stime del report Netcraft sui server Web) facciano uso di questa libreria software. È auspicabile che le aziende che utilizzano OpenSSL provvedano quanto prima a effettuare l’aggiornamento del software alla versione corretta più recente (1.0.1g) o a ricompilare OpenSSL senza l’estensione Heartbeat.
Quale principale autorità di certificazione del settore, Symantec ha già adottato misure tese a rafforzare la protezione dei propri sistemi. I certificati radice di Symantec non corrono alcun rischio. Sono state tuttavia implementate tutte le best practice applicabili, tra cui la rigenerazione delle chiavi per tutti i certificati sui server Web contenenti le versioni di OpenSSL interessate dalla vulnerabilità.
Una volta che le aziende avranno aggiornato e ricompilato i relativi sistemi, Symantec suggerisce loro di sostituire tutti i certificati, indipendentemente dalla CA emittente, sui server Web per ridurre il rischio di violazioni. Symantec offrirà certificati sostitutivi gratuiti a tutti i clienti.
Symantec invita infine a reimpostare le password delle console di gestione dei certificati SSL e Code Signing. Anche in questo caso, si tratta di applicare una best practice di riconosciuta efficacia e il consiglio che Symantec dà alle aziende è di estendere tale raccomandazione, una volta che abbiano applicato la correzione, ai propri clienti finali, perché facciano altrettanto sui propri sistemi. Nel frattempo, continueremo a collaborare con i nostri clienti per contenere quanto più possibile l’impatto dei rischi di sicurezza che la vulnerabilità comporta.
Forniamo di seguito, per praticità, un riepilogo dei passi da intraprendere:
Per le aziende:
Per i consumatori:
A maior parte do foco com o Heartbleed tem sido referente a sites públicos, mas o bug afeta muito mais do que isso. Ainda que os sites mais populares não estejam vulneráveis, isso não significa que o usuário final possa baixar a guarda.
O Heartbleed também afeta softwares das organizações e corrompe sites, e-mail, chats, FTPs, aplicativos móveis, VPN e atualizadores de software. Em suma, qualquer cliente que se comunique através de SSL/TLS, usando uma versão vulnerável de OpenSSL, está sujeito a ataques.
Além disso, o Heartbleed afeta diversos outros aparelhos além de servidores de Web. Entre eles, proxies e servidores de mídia, games, banco de dados, chat e FTP. Por fim, equipamentos de hardware não estão imunes à vulnerabilidade. Ela pode afetar roteadores, PABXs (sistemas telefônicos corporativos) e, provavelmente, uma série de aparelhos que possuem Internet – IoT (Internet da Coisas, em português).
O ataque a estes servidores de software e hardware por meio da vulnerabilidade Heartbleed é feito de forma semelhante a um ataque a sites vulneráveis. No entanto, golpes a clientes podem acontecer essencialmente da forma reversa.
Normalmente, a exploração do Heartbleed vem sendo descrita como um cliente atacante que envia uma mensagem maliciosa para um servidor vulnerável e este equipamento expõe os dados privados. No entanto, o contrário também acontece. Uma empresa vulnerável pode se conectar a um servidor e ele pode enviar uma mensagem maliciosa de Heartbeat para o cliente – que cliente responderá com dados adicionais encontrados em sua memória, potencialmente expondo credenciais e demais dados privados.
Figura 1. Como um cliente vulnerável é atacado
Felizmente, enquanto os clientes estão vulneráveis, pode ser difícil explorá-los em cenários do mundo real. Os dois principais vetores de ataque são instruir o cliente a visitar um servidor SSL/TLS malicioso ou sequestrar a conexão a partir de fraquezas não relacionadas. Ambos apresentam uma complicação adicional para o atacante.
Direcionar o cliente a um servidor malicioso
Um exemplo simples de como um cliente pode ser explorado é por meio de um navegador Web vulnerável. É preciso simplesmente convencer a vítima a visitar uma URL maliciosa para permitir que o servidor atacante consiga acesso à memória do navegador Web do cliente. Isso coloca em risco conteúdos como cookies de sessões anteriores, sites visitados, dados de formulários e credenciais de autenticação.
Os navegadores mais populares não utilizam OpenSSL, mas as bibliotecas NSS (Network Security Services) são vulneráveis ao Heartbleed. No entanto, muitos clientes Web de linha de comando usam OpenSSL (por exemplo, wget e curl) e estão suscetíveis.
O fato de um atacante precisar enganar o usuário para que visite um site malicioso pode mitigar parte do risco, mas isso nem sempre é necessário. Imagine um serviço online de tradução de idiomas que você fornece uma URL para uma página em francês a um serviço automatizado e o serviço traduzirá o conteúdo para o inglês. Nos bastidores, o serviço está buscando o conteúdo na página em francês usando seu próprio cliente de backend. Se você fornecer a URL de um servidor malicioso, o cliente de backend será explorado e o atacante pode coletar informações sensíveis como códigos ou credenciais do serviço de tradução.
Sequestro de conexão
Direcionar clientes para um servidor malicioso conforme descrito acima exige a instrução das pessoas para que visitem servidores arbitrários. No entanto, muitos clientes podem contatar apenas um domínio pré-definido, hard-coded. Nestes casos, ainda assim a pessoa pode ser explorada. Em redes abertas compartilhadas como algumas redes públicas de Wi-Fi, o tráfego pode ser visível e alterado por outros, permitindo que os atacantes redirecionem clientes vulneráveis. Normalmente, SSL/TLS (por exemplo, HTTPS, navegação Web criptografada) é uma das soluções para este problema, já que a criptografia evita o eavesdropping (espionagem do tráfego da rede) e redirecionamento. Porém, é possível enviar mensagens maliciosas de Heartbeat antes da sessão SSL/TLS estar plenamente estabelecida.
Um atacante pode entrar em uma rede pública e espionar (eavesdrop) vítimas em potencial. Quando uma vítima em potencial utiliza um cliente vulnerável para estabelecer uma conexão SSL/TLS com um servidor legítimo, o atacante redireciona a conexão para o servidor malicioso. Antes que a conexão SSL/TLS esteja plenamente estabelecida e tenha chance de bloquear qualquer redirecionamento, o atacante pode enviar uma mensagem maliciosa de Heartbeat, extraindo os conteúdos da memória do computador da vítima. Isso pode incluir dados privados como credenciais de autenticação.
Figura 2. Como um atacante pode sequestrar e redirecionar um cliente vulnerável em uma rede aberta compartilhada
Além da orientação prévia, nós também recomendamos:
A Páscoa, como muitas outras datas comemorativas, deveria significar um dia de alegria, o que obviamente remete a presentes, compras e festas. Porém, essa animação não é a única coisa que está sendo espalhada neste feriado. Os Spammers também começaram a difundir seu trabalho vicioso. A poucos dias da Páscoa, o volume de Spams cresceu significativamente.
A cada ano que passa, a Symantec observa certas categorias de Spam utilizando a Páscoa como tema central e este ano não foi diferente. Vamos ver abaixo alguns dos diferentes tipos de Spam que a Symantec coleta ano após ano bem como alguns exemplos coletados este ano.
Spams de Bens de Consumos
Com presentes sendo o item mais importante de qualquer data comemorativa, Spam de produtos (especialmente bens de consumo) é a categoria de Spam que a Symantec mais observa. Nesse tipo de Spam, itens como relógios e joias falsificadas são promovidos usando slogans e belas imagens de produtos. O cabeçalho do e-mail inclui exemplos como:
De: “WorldOfWatches” <johnwatson@[REMOVED]>
Assunto: Desafio termina no fim de semana de Páscoa
De: “DailyPromos” <aacpu@[REMOVED]>
Assunto: Nossa sugestão hoje para a Páscoa 2014
Imagem 1: Tema de Páscoa replica bom spam
Spams Médicos e Farmacêuticos
Spams de remédios e farmácias são outra categoria de Spam que vemos muito quando chegamos perto das datas comemorativas. Esses Spams normalmente contém algum link para sites de farmácias que fingem vender medicações online sem a necessidade de receitas médicas. Esses sites normalmente exibem banners festivos para criar um clima mais realista.
Imagem 2: Temas médicos de Spam de Páscoa
Spams específicos para quem quer perder peso são uma subcategoria dos Spams médicos que são vistos em muitas línguas diferentes. Medicações para perda de peso exibidas nessas mensagens variam de medicações reconhecidas pelo mercado bem como extratos de ervas e plantas exóticas. O cabeçalho do e-mail inclui exemplos como:
De: “Mackenzie Burns” <monday@REMOVED>
Assunto: Começe a comer essa fruta diariamente e perca gordura antes da páscoa!
Spams de Produtos
Grandes lojas de varejo e marcas oferecem inúmeros descontos e promoções durante as datas comemorativas e os Spammers se aproveitam disso. Spammers geralmente constroem seus E-mails para que pareçam vir de conhecidas marcas e lojas de varejo, mas normalmente eles possuem links redirecionando para sites falsos. Ofertas para cupons de presentes também são muito comuns. Os produtos vistos nesse tipo de Spam variam desde brinquedos até Veículos. O cabeçalho do e-mail inclui exemplos como:
De: Auto-Dealer-Online <williamw@[REMOVED]>
Assunto: Promoção de Outono para todos os carros, Jipes, Caminhonetes e SUVs
Imagem 3: E-mail com banner de spam
Imagem 4: Spam de cupom de presente de Páscoa
Spam de Presentes Personalizados
Presentes e lembranças personalizadas também estão ficando populares este ano e Spams promovendo mensagens personalizadas em ovos de páscoa e coelhinhos da páscoa está se mostrando popular entre os Spammers. A maioria desses Spams possuem links para sites falsos e alguns deles redirecionam o usuário a sites com conteúdo inapropriado. O cabeçalho do e-mail inclui exemplos como:
De: Easter Bouquets <rebekkahFAjhLg@[REMOVED]>
Assunto: Deixe o coelhinho da Páscoa com inveja! Flores de Páscoa!
Imagem 5: Spam personalizado para crianças
Spam de Cassinos
Jogos online e Spams de cassinos aparecem em grande volume durante a época das datas comemorativas. Spams de cassinos provocam as vítimas com bônus na inscrição, recompensas em pontos e chances de ganharem fortunas. O cabeçalho do E-mail inclui exemplos como:
De: <suzanne122@[REMOVED]>
Assunto: Nessa páscoa, jogue gratuitamente no Cassino Gold Factory
Spam de Fraudes
Spams de fraudes monetárias rotinamente dão as caras durante essa época do ano. A Symantec observou muitos Spams fingindo serem de orfanatos ou instituições de caridade buscando doações para os menos afortunados. E-mails desconhecidos pedindo informações pessoais sempre deveriam ser tratados com cuidado. O cabeçalho do E-mail inclui exemplos como:
Português
De: <suzanne122@[REMOVED]>
Assunto: Feliz páscoa adiantado
Outra coisa que nos chamou a atenção esse ano foi o alto volume de Spams de páscoa em outras línguas. O ataque de Páscoa normalmente contém presentes e brindes, como o Spam de entrega de Cupcakes e Ovos de Páscoa mostrados aqui:
Russo
From: Пасхи <vamdetal@[REMOVED]> | From: pasha
Subject: Скоро Пасха | Subject: Almost Pasha
From: Пряники <sladkie.pashi@[REMOVED]> | From: Gingerbread
Subject: Кондитерская мастерская | Subject: Confectionery masterskaâ
A Symantec deseja um Feliz Páscoa para todos os seus usuários e também aconselha muito cuidado com essas campanhas de Spams. Sempre tenha atenção com e-mails desconhecidos ou inesperados. Nunca clique em links de e-mails que pareçam suspeitos. Lembre sempre de manter seus softwares de segurança atualizados para lhe proteger e poder lhe fornecer a paz de espírito para comemorar e celebrar uma maravilhosa Páscoa.
Enables Internet users to determine if websites and Android apps are vulnerable to OpenSSL bug
Today one of our colleagues came into our office and said, “Hey guys, I’ve been infected.” I thought to myself, yeah, how bad can this be? After a bit of digging we found the results were worth it; it turned out to be a really “interesting ” case of mobile redirected threats localized for each […]
An industry conference is always a good place to learn and get updates on the latest security trends. I recently attended the Symposium on Security for Asia Network (SyScan), an annual conference held in Singapore, which brings together computer security researchers from around the world. This year, security myths were dispelled and several interesting topics were discussed at the conference. The following is a list of some of the topics and demonstrations I found interesting at this year’s conference.
Smart cars at risk
Most cars today contain Engine Control Units (ECUs), computers that enable the engine to communicate with other vehicle components. Researchers at SyScan 2014 explained how they managed to simulate a car environment on their desktop using second-hand ECU devices purchased from online Web stores. The researchers managed to carry out basic automotive actions such as acceleration, braking and steering, as well as gain an understanding of the underlying proprietary protocols of the car. What this means is that once an attacker gains control of the ECU, they can basically control the car.
Being able to control a car’s ECU is far more dangerous than being able to manipulate its automation functions such as opening closing windows and turning lights on and off. It is pretty scary if adequate controls are not put in place to prevent an attacker from gaining control of the ECU. This could become more problematic as more and more cars become part of the Internet of Things (IoT). Microsoft has recently tested the latest version of their Windows in-vehicle infotainment system, while Apple already unveiled CarPlay, an entertainment system that enables users to see their iPhone interface on a car’s built-in display.
Mobile point-of-sale infected with malware
2014 has seen the emergence of several point-of-sale (PoS) malware, some of which were involved in several high-profile attacks against the retail industry. Today, mobile point-of-sale (mPOS) terminals have also become a target. mPOS devices are often used for card payments, especially for small and medium-sized businesses.
Most mPOS devices run on Linux, and researchers at SyScan were able to compromise and take over an mPOS device by using removable drives or Bluetooth. To prove their claims, they installed the game Flappy Bird on the device, and then played it on the device’s LCD screen using the PIN input buttons as the controls.
The researchers highlighted how mPOS devices can be hit by malware that can keep track of payment information and subsequently share the records online, or perform special functions such as making the device accept payment from cards using any PIN code.
The proliferation of RFID and NFC devices
Today, everyone interacts with radio frequency identification (RFID) and near field communication (NFC) enabled devices. They are present in our door-entry cards, transport cards and contactless credit cards. Radio waves are everywhere!
The “RFIDler”, a low-level RFID communication open-source platform prototype presented during the conference, is used to read and write common types of tags. The platform will soon be available to the general public. It was interesting to see how easily it can be used, as well as the potential damage it can cause. For example, an existing card can be duplicated in a couple of seconds. According to the platform’s author, even if a card format is unknown, the platform is extensible and a new card format can be added in less than a week.
Now that a common extensible reader and writer exist, how long will it be before these devices become targeted by attackers??
Mobile security versus anonymity
Users who cannot live without their smartphones may have already thought about the consequences of losing their devices. To help ease those fears, a researcher at SyScan 2014 presented a hardened Android Read-Only Memory (ROM) solution that he created, dubbed Cryptogenmod. Cryptogenmod is based on Cyanogenmod, an open-source operating system for mobile devices based on Android. The aim is to provide a minimal ROM with remote and physical access protection. Remote protection is achieved by reducing the attack surface, so there will not be a Web browser or an app store on the smartphone. Physical access protection is more complex and is achieved by using secure application containers, strong encryption, and some indicators of a negative operational environment.
Other safeguards were described including one which detects if a SIM card is removed or a debugger is attached. If one of these actions is detected, the application containers will be unmounted and require a passphrase to be opened again, while the phone will be locked automatically and require the owner to login again. With this solution, should you lose your phone, your data will remain secure. However, I am not sure if users want a device that is connected but does not allow them to surf the Web or even use the camera (which is known to leak the user’s location). That sounds like a not-so-smartphone.
Overall, while smartphones are still a hot topic I expect to see the Internet of Things dominate industry discourse for the foreseeable future as people gradually delegate tasks to smart devices in order to save themselves time and effort.
To find out more, check out the videos and published papers at SyScan’s main website.