2019 on Untrusted Network

ALEF Security Report 2020

Jan Kopriva — Wed, 08 Apr 2020 17:00:00 +0200

S kolegy z Alefu jsme i letos vytvořili report zaměřený na aktuální stav kybernetické bezpečnosti v České republice (resp. na situaci v průběhu loňského roku). Pokud Vás zajímá, jaké měsíce byly nejbohatší na různé typy útoků, kolik procent organizací v ČR realizuje phishingové testy zaměstnanců, nebo v jakém stavu byla v průběhu roku 2019 adopce STARTTLS pro šifrování e-mailové komunikace, můžete si jej stáhnout zde. Najdete v něm pochopitelně i mnoho dalších zajímavostí…

SANS ISC Diary - Internet banking sites and their use of TLS... and SSLv3... and SSLv2?!

Jan Kopriva — Fri, 13 Dec 2019 08:22:37 +0100

Dnes vyšel můj nový příspěvek na stránkách SANS Internet Storm Center. Je věnovaný konfiguraci TLS (a SSL) na portálech internetového bankovnictví z celého světa.

SANS ISC Diary - Phishing with a self-contained credential-stealing webpage

Jan Kopriva — Fri, 06 Dec 2019 07:30:00 +0100

Dnes vyšel můj nový příspěvek na stránkách SANS Internet Storm Center. Podíváme se v něm na zajímavou phishingovou zprávu, která nesla celou podvodnou stránku jako soubor v příloze e-mailu.

SANS ISC Diary - E-mail from Agent Tesla

Jan Kopriva — Thu, 05 Dec 2019 07:30:00 +0100

Dnes vyšel můj nový příspěvek na stránkách SANS Internet Storm Center. Je věnovaný analýze komplexního downloaderu pro Agent Tesla.

SANS ISC Diary - Analysis of a strangely poetic malware

Jan Kopriva — Wed, 04 Dec 2019 08:14:33 +0100

Dnes vyšel můj nový příspěvek na stránkách SANS Internet Storm Center. Je věnovaný analýze downloaderu založeného na makrech, který do Internet Storm Center zaslala jedna z našich čtenářek.

SANS ISC Diary - Lessons learned from playing a willing phish

Jan Kopriva — Tue, 26 Nov 2019 12:08:19 +0100

Dnes vyšel můj nový příspěvek na stránkách SANS Internet Storm Center. Podíváme se v něm na lovení phishingových útočníků a na to, co se od nich můžeme s trochou snahy dozvědět.

SANS ISC Diary - Did the recent malicious BlueKeep campaign have any positive impact when it comes to patching?

Jan Kopriva — Sun, 10 Nov 2019 11:55:40 +0100

Dnes vyšel můj nový příspěvek na stránkách SANS Internet Storm Center. Pokud jste přemýšleli o tom, zda měla nedávná mediální bouře okolo využívání zranitlenosti BlueKeep nějaký dopad na patchování, je určen právě vám.

SANS ISC Diary - EML attachments in O365 - a recipe for phishing

Jan Kopriva — Thu, 31 Oct 2019 11:15:35 +0100

Dnes vyšel můj nový příspěvek na stránkách SANS Internet Storm Center. Podíváme se v něm na dopady nedostatečné filtrace příloh se soubory EML v Office 365.

SANS ISC Diary - Phishing e-mail spoofing SPF-enabled domain

Jan Kopriva — Thu, 17 Oct 2019 11:49:25 +0200

Dnes vyšel můj nový příspěvek na stránkách SANS Internet Storm Center. Je věnovaný mechanismu SPF a případům, kdy je možné podvrhovat e-maily i za domény, které jej užívají.

SANS ISC Diary - Tricky LNK points to TrickBot

Jan Kopriva — Tue, 03 Sep 2019 13:06:21 +0200

Dnes vyšel můj nový příspěvek na stránkách SANS Internet Storm Center. Je věnovaný analýze škodlivého souboru LNK, který vedl ke vzorku trojanu TrickBot.

SANS ISC Diary - Open Redirect: A Small But Very Common Vulnerability

Jan Kopriva — Wed, 28 Aug 2019 14:27:02 +0200

Dnes vyšel můj nový příspěvek na stránkách SANS Internet Storm Center. Je věnovaný open redirect zranitlenostem a možnostem jejich vyhledávání. Pokud vám tyto zranitlenosti nejsou známé, jde o dobrý úvodní text do této problematiky.

SANS ISC Diary - The good, the bad and the non-functional

Jan Kopriva — Thu, 08 Aug 2019 21:31:08 +0200

Dnes vyšel můj nový příspěvek na stránkách SANS Internet Storm Center. Pokud jste někdy přemýšleli o tom, jak vypadají méně tradiční kybernetické útoky, je určený právě vám…

ALEF Security Report 2019

Jan Kopriva — Wed, 03 Jul 2019 15:23:35 +0200

S kolegy z Alefu jsme vytvořili report zaměřený na aktuální stav kybernetické bezpečnosti v České republice. Pokud Vás zajímá, jaké bezpečnostní služby byly v posledních letech nejvíce poptávané, kolik procent organizací v ČR realizuje phishingové testy zaměstnanců, nebo v jakém stavu je adopce STARTTLS pro šifrování e-mailové komunikace, můžete si jej stáhnout zde. Najdete v něm pochopitelně i mnoho dalších zajímavostí…

Nebezpečné tlačítko Reply All

Jan Kopriva — Mon, 10 Jun 2019 22:23:49 +0200

Snad v rámci každého kurzu pro vzdělávání koncových uživatelů ohledně hrozeb spojených s používáním e-mailu je diskutována problematika phishingu. Někdy je jí věnována jen určitá část kurzu a vedle ní je probírán i spam nebo (v organizacích, u nichž je to relevantní) různé aspekty používání DLP v kontextu elektronické pošty. Někdy je ale také phishing jedinou probíranou oblastí. Toto jednostranné zaměření je - vzhledem k tomu, že phishing je jedním z nejčastějších vektorů kybernetických útoků - zcela pochopitelné.

V důsledku toho, že lektoři a autoři kurzů se zaměřují zejména na tuto hrozbu (a případně jiné externí hrozby), ale často zapomínají akcentovat nebezpečí neúmyslného úniku citlivých dat v důsledku jednoduchého přehlédnutí uživatele.

Snad každému, kdo denně používá e-mail, se někdy podařilo odeslat zprávu před tím, než byla dokončená, nebo - což je zpravidla problematičtější - odeslat zprávu nesprávnému příjemci. Pokud se jedná o soukromou elektronickou poštu, to nejhorší, co se člověku může stát je, že pošle někomu ze svých známých zprávu, v níž se o nich nevyjadřuje zrovna lichotivě, nebo odešle své drahé polovičce e-mail určený své milence či svému milenci.

Aniž bych chtěl bagatelizovat potenciální nebezpečí plynoucí z výše uvedených situací, je zjevné, že v prostředí moderních organizací mohou mít obdobné omyly následky mnohem citelnější…tedy ponecháme-li stranou možnost, že se onen nepozorný uživatel v návaznosti na špatně adresovaný e-mail dočká “vávrovy” kávy od své drahé polovičky.

O tom, že je v rámci kurzů zvyšování bezpečnostního povědomí zaměstananců vhodné zmiňovat alespoň krátce potřebu kontroly správně napsané adresy příjemce před odesláním jakékoli citlivé informace nebo dokumentu tak není potřeba dlouze uvažovat. Je však na místě poznamenat, že potenciálně ještě horší následky, než odeslání zprávy jednomu nesprávnému příjmci, může mít bezmyšlenkovité použití tlačítka Reply All.

Bezpečnostní princip označovaný “need to know” stanoví, že pouze jednotlivci, kteří pro výkon své práce určitou informaci nezbytně potřebují, by jí měly znát. I v organizacích, které nemají formálně zavedená sofistikovanější pravidla ochrany informací, by měl být tento princip dodržován, minimálně při nakládání s citlivými a důvěrnými údaji. A přestože zasílání odpovědi na e-mail pouze na některé z původních účastníků konverzace se může jevit jako porušení pravidel netikety (což je důvod, proč má většina uživatelů ve zvyku seznam příjemců neměnit), je to jediný způsob jak zabránit vyzrazení citlivých informací nežádoucím osobám.

Seznamy příjemců totiž mívají tendenci v čase “bobtnat”. Se zvyšující se délkou se e-mailové diskuze často stávají potenciálně zajímavými i pro ještě nezapojené jedince a uživatelé tak mají tendenci je v dobré víře do seznamu příjemců připojovat. Pokud si rozšíření seznamu příjemců nevšimnou původní účastníci komunikace, může snadno dojít k porušení výše zmíněného bezpečnostního principu.

Je známou skutečností, že to, co děláme často a stejně, máme tendenci dělat bez rozmyslu. Aby se uživatelé s pomocí bezmyšlenkovitého odeslání e-mailu nedopustili nezáměrného vyzrazení citlivých informací, je tak na místě autorům a lektorům bezpečnostních kurzů cílených na běžné uživatele doporučit:

akcentovat při školení potřebu opatrnosti při klikání na tlačítko Reply All,
seznamovat uživatele s potřebou kontrolovat seznam příjemců před odesláním jakékoli zprávy s potenciálně citlivým obsahem a
bez milosti z tohoto seznamu vyřazovat jakékoli příjemce, kteří nemají potřebu tento obsah znát.

Výše škody způsobené organizaci vyzrazením jejích citlivých informací je totiž ve většině případů srovnatelná, ať už k úniku došlo v důsledku útoku externího aktéra, nebo nezáměrného přehlédnutí uživatele.

'Open redirection' zranitelnosti (nejen) na českém webu

Jan Kopriva — Tue, 19 Mar 2019 17:32:13 +0100

Na portálu Root.cz byl publikován můj nový článek o vyhledávání open redirection zranitelností (nejen) na českém webu, aktivitě, které jsme se s kolegy z ALEF CSIRT nějakou dobu zpátky věnovali. Detailnější popis zranitelnosti v modulu Babel, jejíž objevení bylo příjemným vedlejším efektem našich snah, je k dispozici zde. Na tomto odkazu je pak možné nalézt bližší informace k jejím dopadům.

Záznam z interview v DVTV o kybernetické bezpečnosti

Jan Kopriva — Wed, 23 Jan 2019 17:43:42 +0100

Nějakou dobu zpátky jsem si byl v DVTV popovídat s panem Veselovským o naší analýze otevřených adresářů a o různých aspektech kybernetické bezpečnosti. Začátkem tohoto týdne se záznam z tohoto interview objevil i na webu jmenované televize. Jak se interview povedlo posuďte sami.