2020 on Untrusted Network

ALEF Security Report 2021

Jan Kopriva — Fri, 16 Apr 2021 08:00:00 +0200

Tak jako každý rok, i letos jsme s kolegy z Alefu přípravili náš pravidelný report zaměřený na vybrané aspekty kybernetické bezpečnosti nejen v České republice v průběhu loňského roku. Pokud vás zajímají trendy v útocích nebo v bezpečnostním testování, postup adopce TLS pro ochranu e-mailů při přenosu nebo kolik phishing kitů bylo vloni volně nabízených na clear webu, můžete si nově publikovaný report stáhnout zde - najdete v něm i monoho jiných zajímavostí…

Otevřené porty v roce 2020

Jan Kopriva — Fri, 01 Jan 2021 17:00:00 +0200

Je za námi poslední kvartál roku 2020 a nastal tak čas podívat se na změny v počtech IP adres s různými otevřenými porty. Tentokrát se podíváme na data za celý rok 2020 a to jak pro Českou republiku, tak pro celý internet.
Veškerá data jsou získaná z platformy Shodan a nemusí tak být zcela přesná (viz první příspěvek s přehledem otevřených portů), nicméně významnější změny a trendy zachycené v grafech by měly odpovídat skutečnosti.

Níže můžete nalézt grafy zachycující následující protokoly a porty:

Web

E-mail

Industrial Control Systems (ICS)

SSH (port 22)

Telnet (port 23)

DNS (port 53)

NTP (port 123)

SNMP (port 161)

SMB (port 445)

RDP (port 3389)

HTTP (port 80)

HTTPS (port 443)

SMTP (port 25)

SMTPS (port 465)

IMAP (port 143)

IMAPS (port 993)

POP3 (port 110)

POP3S (port 995)

All ICS protocols

Modbus (port 502)

EIBnet/IP (port 3671)

BACnet/IP (port 47808)

SANS ISC Diary - TLS 1.3 is now supported by about 1 in every 5 HTTPS servers

Jan Kopriva — Wed, 30 Dec 2020 12:55:00 +0100

Dnes vyšel můj nový příspěvek na stránkách SANS Internet Storm Center. Podíváme se v něm na zvyšující se počet webových serverů podporujících TLS 1.3 a stále se snižující počet serverů podporujících SSL 2.0.

SANS ISC Diary - Want to know what's in a folder you don't have a permission to access? Try asking your AV solution...

Jan Kopriva — Tue, 29 Dec 2020 15:20:00 +0100

Dnes vyšel můj nový příspěvek na stránkách SANS Internet Storm Center. Podíváme se v něm na slabinu přítomnou v mnoha anti-malware řešeních, která umožňuje obcházet (absenci) oprávnění pro vyčítání obsahu adresářů na úrovni souborového systému.

SecurityCast Ep#39 - Nepovedené záběry a zajímavé statistiky roku 2020

Jan Kopriva — Mon, 28 Dec 2020 10:10:00 +0100

Nová epizoda Alef SecurityCast je k dispozici na YouTube. Neb jde o poslední epizodu pro rok 2020, chtěli jsme aby byla trochu veselejší a optimističtější, než některé jiné. Podíváme se v ní tak nejen na zajímavý (a místy překvapivě pozitivní) vývoj internetu za uplynulých 12 měsíců, ale také pár nepodařenbých a lehce humorných záběrů z našich předchozích epizod.

SecurityCast Ep#38 - TOP 6 událostí roku 2020 - Vánoční speciál

Jan Kopriva — Mon, 21 Dec 2020 11:20:00 +0100

Nová epizoda Alef SecurityCast je k dispozici na YouTube. Tentorkát jde o vánoční speciál, v rámci něhož se podíváme na výběr z toho nejpodstatnějšího, co se letos v oblasti kybernetické bezpečnosti událo.

SANS ISC Diary - A slightly optimistic tale of how patching went for CVE-2019-19781

Jan Kopriva — Fri, 18 Dec 2020 10:00:00 +0100

Dnes vyšel můj nový příspěvek na stránkách SANS Internet Storm Center. Podíváme se v něm na počet Citrix ADC systémů, které stále obsahují nezáplatovanou zranitelnost CVE-2019-19781, známou také jako Shitrix.

Nová YouTube série zaměřená na technické základy informační bezpečnosti

Jan Kopriva — Thu, 17 Dec 2020 13:20:00 +0100

Při diskuzích se zájemci o juniorní pozice v oblasti informační bezpečnosti, ale i debatách s učiteli a lektory, kteří by měli studenty na obdobné pozice připravovat, často zjišťuji, že znají relevantní teorii i názvy nástrojů, ale mnohdy nemají praktické zkušenosti s jejich používáním. Zpravidla například vědí, že Nmap, Wireshark nebo Metasploit existují, zdaleka ne všichni je však někdy reálně použili.

Vzhledem k tomu, že podobné základní praktické zkušenosti jsou ale něco, co u juniorů (samozřejmě nejen u nich) bezpodmínečně potřebujeme, rozhodl jsem se začít od ledna publikovat pravidelné krátké tutoriály na YouTube zaměřené právě na tuto oblast. Pokud bude o videa zájem (a vydrží mi elán), podíváme se v nich nejen na tři výše uvedené nástroje, ale i mnoho jiných, a s pomocí praktických cvičení si projdeme jejich kompletním používáním - od instalace až po praktické využití v rámci ofenzivní nebo defenzivní bezpečnosti.

Pokud by tedy pro vás byly podobné tutoriály zajímavé, určitě sledujte příspěvky, které se tu objeví v průběhu ledna - kromě jiného mám totiž v prvních týdnech roku 2021 v plánu publikovat i první video z výše zmíněné série.

SecurityCast Ep#37 – Teenager se přiznal k účasti v obřím DDoS útoku, narušení bezpečnosti FireEye

Jan Kopriva — Mon, 14 Dec 2020 16:30:00 +0100

Nová epizoda Alef SecurityCast je k dispozici na YouTube. Podíváme se v ní na nové obvinění v rámci vzniku původního botnetu Mirai, úspěšnou útočnou kampaň na FireEye, při níž došlo ke zcizení pokročilých exploitačních nástrojů, a mnoho dalšího.

SecurityCast Ep#36 – Rozpoznávání obličejů pod rouškou, malware schovávající se za „like“ tlačítky

Jan Kopriva — Mon, 07 Dec 2020 12:45:00 +0100

Nová epizoda Alef SecurityCast je k dispozici na YouTube. Podíváme se v ní na novou kampaň Magecart, dopady ransomware útoku na poskytovatele veřejné dopravy ve Vancouveru, vývoj algoritmů pro rozpoznávání tváře a nejen to.

SecurityCast Ep#35 - Kybernetický útok na Manchester United a Spotify, zranitelnost ve VPN Fortinetu

Jan Kopriva — Mon, 30 Nov 2020 12:45:00 +0100

Nová epizoda Alef SecurityCast je k dispozici na YouTube. Podíváme se v ní na password reuse útoky na Spotify, publikaci přístupových údajů k velkému počtu Fortinet SSL VPN a mnoho dalšího.

SecurityCast Ep#34 – Nejčastější hesla roku 2020, přes FB Messenger pro Android šlo odposlouchávat

Jan Kopriva — Mon, 23 Nov 2020 16:00:00 +0100

Nová epizoda Alef SecurityCast je k dispozici na YouTube. Podíváme se v ní na průzkum, který (nijak překvapivě) ukazuje, že uživatelé stále neumí volit bezpečná hesla, zranitlenost v aplikaci Facebook Messenger, likvidaci dvou kryptovacích/obfuskovacích služeb pro malware po společném zásahu policejních orgánů několika států a mnoho dalšího.

Záznam z webináře Aktuální trendy v oblasti kybernetické bezpečnosti

Jan Kopriva — Sat, 21 Nov 2020 07:30:00 +0100

Ve čtvrtek 19. listopadu proběhl osvětový webinář AFCEA zaměřený na aktuální trendy v oblasti kybernetické bezpečnosti, k němuž jsem měl možnost drobně přispět svou přednáškou věnovanou vysokému počtu dlouhodobě nezáplatovaných systémů přístupných z internetu v ČR a ve světě. Pokud jste neměli možnost webináře se zúčastnit a zajímala by vás některá z přednášek, pak můžete na tomto odkazu najít slidy od jednotlivých přednášejících spolu s videozáznamem celé akce. Má přednáška začíná v čase 1:13:42.

Nejčastější zranitelnosti online systémů podle výsledků Shodanu

Jan Kopriva — Wed, 18 Nov 2020 21:00:00 +0100

Pár mých nedávných příspěvků na stránkách SANS Internet Storm Center věnovaných zranitelnostem online systémů si získalo relativně velký zájem ze strany bezpečnostní komunity i médií (viz. např. stánky ZDnet). Rozhodl jsem se proto podívat na problematiku zranitelností, které postihují systémy dostupné z internetu, trochu systematičtějším způsobem. Neb jsem netušil, které zranitlenosti je Shodan schopen identifikovat, stáhnul jsem z něj data pro všech téměř 190.000 zranitelností, kterým byly historicky přiřazeny CVE identifikátory. Výsledky, k nimž jsem došel, jsou k dispozici zde (v EN).

SecurityCast Ep#33 – Únik dat z 123RF, kyberkriminalita v Q3 2020, EU a dual-use technologie

Jan Kopriva — Mon, 16 Nov 2020 15:30:00 +0200

Nová epizoda Alef SecurityCast je k dispozici na YouTube. Podíváme se v ní na nová pravidla pro export “dual-use” technologií mimo EU, záplatování aktivně využívané zranitelnosti v jádru Windows a nejen to.

SANS ISC Diary - Vulnerabilities don’t disappear just because we don’t talk about them anymore

Jan Kopriva — Mon, 16 Nov 2020 11:08:20 +0200

Dnes vyšel můj nový příspěvek na stránkách SANS Internet Storm Center. Podíváme se v něm na několik závažných zranitelností publikovaných před rokem 2020, které stále postihují překvapivě vysoké počty z internetu dostupných systémů.

Pro zajímavost níže připojuji tabulku s počty systémů v ČR, které jsou jednotlivými zranitelnostmi postižené.

CVE	Počet veřejných IP adres se zranitelnými systémy	CVSSv3
CVE-2019-0211	30396	7.8
CVE-2019-12525	1648	9.8
CVE-2015-1635	443	N/A, CVSSv2 10.0
CVE-2019-13917	98	9.8
CVE-2019-10149	93	9.8
CVE-2019-0708	941	9.8
CVE-2014-0160	2062	7.5
CVE-2019-9787	299	8.8
CVE-2019-12815	977	9.8
CVE-2018-6789	515	9.8

SecurityCast Ep#32 – Zadržení skoro 70k BTC, Ubisoft a další studia pod útokem, E2E šifrování

Jan Kopriva — Mon, 09 Nov 2020 13:38:00 +0200

Nová epizoda Alef SecurityCast je k dispozici na YouTube. Podíváme se v ní na zabavení téměř 70000 BTC získaných z činnosti dark webového tržiště Silk Road, ransomwarový útok na společnost Capcom, aktuální debatu v EU o možnostech získávání přístupu ke kryptograficky chráněnému obsahu ze strany bezpečnostních složek a nejen to.

SecurityCast Ep#31 - Falešný poukaz do Albertu, nové taktiky Emotetu a aktuální zranitelnosti

Jan Kopriva — Mon, 02 Nov 2020 18:10:00 +0200

Nová epizoda Alef SecurityCast je k dispozici na YouTube. Podíváme se v ní na nedávnou phishingovou kampaň slibující kupón do obchodního řetězce Albert, novou a silně využívanou zranitlenost v Oracle WebLogic Serverech a nejen to.

SANS ISC Diary - SMBGhost - the critical vulnerability many seem to have forgotten to patch

Jan Kopriva — Wed, 28 Oct 2020 11:00:00 +0200

Dnes vyšel můj nový příspěvek na stránkách SANS Internet Storm Center. Podíváme se v něm na překvapivě velký počet počítačů připojených k internetu, na nichž stále není aplikovaná záplata na kritickou zranitlenost SMBGhost.

SecurityCast Ep#30 – Je Trumpovo heslo „maga2020“, aktuální phishing a EU sankce

Jan Kopriva — Mon, 26 Oct 2020 18:25:00 +0200

Nová epizoda Alef SecurityCast je k dispozici na YouTube. Podíváme se v ní na údajný průnik do Twitter účtu prezidenta Trumpa, uvalení sankcí na členy zpravodajské služby GRU ze strany Evropské Unie, výroční report ENISA a nejen to.

SANS ISC Diary - BazarLoader phishing lures: plan a Halloween party, get a bonus and be fired in the same afternoon

Jan Kopriva — Thu, 22 Oct 2020 11:00:00 +0200

Dnes vyšel můj nový příspěvek na stránkách SANS Internet Storm Center. Podíváme se v něm na phishingové kampaně šířící BazarLoader a v nich užité “návnady”.

SecurityCast Ep#29 – Největší DDoS útok v historii, Microsoft dočasně vyřadil Trickbot a další

Jan Kopriva — Mon, 19 Oct 2020 18:25:00 +0200

Nová epizoda Alef SecurityCast je k dispozici na YouTube. Podíváme se v ní na (prozatím) největší DDoS v historii, vyřazení C2 infrastruktury botnetu Trickbot společností Microsoft, zranitelnost Bad Neighbor a nejen to.

SecurityCast Ep#28 - Trump, COVID-19 a phishing, John McAfee zatčen, prohlášení ohledně šifrování

Jan Kopriva — Mon, 12 Oct 2020 15:40:00 +0200

Nová epizoda Alef SecurityCast je k dispozici na YouTube. Podíváme se v ní na phishing využívající nemoci Donalda Trumpa, phishing kity nabízené na clear webu a několik dalších oblastí.

SANS ISC Diary - Phishing kits as far as the eye can see

Jan Kopriva — Fri, 09 Oct 2020 07:40:00 +0200

Dnes vyšel můj nový příspěvek na stránkách SANS Internet Storm Center. Podíváme se v něm na phishing kity, které jsou nabízené na indexované části webu.

ALEF SecurityCast Ep#27 - Putin nabídl US spolupráci v informační bezpečnosti, Have I Been Emotet

Jan Kopriva — Mon, 05 Oct 2020 13:20:00 +0200

Nová epizoda Alef SecurityCast je k dispozici na YouTube. Podíváme se v ní na ransomwarový útok na nemocnici v New Jersey a na firmu Swatch, nabídku Ruska na spolupráci s USA v oblasti kybernetické bezpečnosti a nejen to.

Otevřené porty v Q3 2020

Jan Kopriva — Wed, 30 Sep 2020 07:30:00 +0200

Již dlouhou dobu sbírám ze služby Shodan data týkající se počtů veřejných IP adres, na nichž jsou otevřené různé porty a na nichž běží různé služby. Vzhledem k tomu, že změny těchto počtů v čase mohou být poměrně zajímavé, rozhodl jsem se začít publikovat (s kvartální periodou) grafy, které tyto změny zachycují. První sadu grafů můžete najít zde.
Všechny grafy se týkají globálních čísel, pro představu o situaci v České republice tak níže uvádím alespoň graf týkající se portu 3389, tedy služby RDP.

ALEF SecurityCast Ep#26 - Leak zdrojového kódu Windows, Luxottica pod útokem, incident v Shopify

Jan Kopriva — Tue, 29 Sep 2020 18:50:00 +0200

Nová epizoda Alef SecurityCast je k dispozici na YouTube. Podíváme se v ní na dopady ransomwarového útoku na firmu Luxottica, publikaci zdrojových kódů Windows (nejen) XP nebo narušení dat v platformě Shopify a nejen to.

Záznam z přednášky na konferenci AFCEA Kybernetická bezpečnost VIII

Jan Kopriva — Thu, 24 Sep 2020 07:30:00 +0200

Konference Kybernetická bezpečnost, která se konala 23. září, byla letos vzhledem k omezením spojeným s COVID-19 realizována výhradně v online režimu. Přestože tato varianta rozhodně nebyla ideální, přinesla s sebou i jedno pozitivum v podobě nahrání a následné publikace celého obsahu konference. Pokud jste ji tedy nestihli “navštívit” v jejím průběhu a zajímala by vás některá z přednášek (třeba ta má zaměřená na překvapivé zranitelnosti, které jsme v uplynulých letech objevili nejen při penetračních testech) na tomto odkazu můžete najít slidy od jednotlivých přednášejících a také MP4 soubor se záznamem celé akce.

ALEF SecurityCast Ep#25 - Ransomware útok přispěl ke smrti pacienta, Zerologon a Sysmon 12.0

Jan Kopriva — Mon, 21 Sep 2020 13:45:00 +0200

Nová epizoda Alef SecurityCast je k dispozici na YouTube. Podíváme se v ní na dopady ransomwarového útoku na nemocnici v Německu, zranitlenost Zerologon nebo nové funkcionality ve dvanácté verzi nástroje Sysmon.

SANS ISC Diary - Slightly broken overlay phishing

Jan Kopriva — Mon, 21 Sep 2020 12:50:00 +0200

Dnes vyšel můj nový příspěvek na stránkách SANS Internet Storm Center. Podíváme se v něm na zajímavou (a drobně “rozbitou”) phishingovou kampaň, v níž škodliví aktéři překrývali legitimní stránky falešnými přihlašovacími okny.

ALEF SecurityCast Ep#24 - Heslo Donalda Trumpa, Eterbase, WSL, Palo Alto zranitelnosti

Jan Kopriva — Mon, 14 Sep 2020 13:45:00 +0200

Nová epizoda Alef SecurityCast je k dispozici na YouTube. Podíváme se v ní velkou krádež kryptoměn, historické heslo Donalda Trumpa k Twitteru, kritickou zranitelnost v PAN-OS a několik dalších témat.

ALEF SecurityCast Ep#23 - KryptoCibule, AlphaBay, malware Joker a Cisco Jabber zranitelnosti

Jan Kopriva — Mon, 07 Sep 2020 14:00:00 +0200

Nová epizoda Alef SecurityCast je k dispozici na YouTube. Podíváme se v ní odsouzení člena skupiny, která provozovala tržiště AlphaBay, malware kradoucí kryptoměny cílený na Českou republiku a Slovensko a několik dalších témat.

SANS ISC Diary - A blast from the past - XXEncoded VB6.0 Trojan

Jan Kopriva — Fri, 04 Sep 2020 09:35:00 +0200

Dnes vyšel můj nový příspěvek na stránkách SANS Internet Storm Center. Podíváme se v něm na zajímavou škodlivou kampaň, v níž se útočníci rozhodli použít dva velmi staré souborové formáty.

ALEF SecurityCast Ep#22 - Tesla útok, NZ burza OFFLINE, výpadek AS na straně CentruryLink a Sandboxy

Jan Kopriva — Mon, 31 Aug 2020 12:30:00 +0200

Nová epizoda Alef SecurityCast je k dispozici na YouTube. Podíváme se v ní na nezdařený útok skupiny Fancy Bear na společnost Tesla, výpadek mnoha online služeb v důsledku chyby v konfiguraci BGP na straně společnosti CenturyLink a několik dalších témat.

SANS ISC Diary - Security.txt - one small file for an admin, one giant help to a security researcher

Jan Kopriva — Thu, 27 Aug 2020 09:20:00 +0200

Dnes vyšel můj nový příspěvek na stránkách SANS Internet Storm Center. Podíváme se v něm na návrh standardu nazvaného “A File Format to Aid in Security Vulnerability Disclosure”, který je známější pod názvem “security.txt”.

ALEF SecurityCast Ep#21 - Výpadek Spotify, Windows 10 a DisableAntiSpyware, MITRE 2020 'CWE Top 25'

Jan Kopriva — Mon, 24 Aug 2020 09:15:00 +0200

Nová epizoda Alef SecurityCast je k dispozici na YouTube. Podíváme se v ní na výpadek služby Spotify v souvislosti s vypršenou platností certifikátu, hardening Windows 10 ze strany společnosti Microsoft, novou verzi seznamu MITRE CWE Top 25 a několik dalších témat.

ALEF SecurityCast Ep#20 - TikTok, Canon update, univerzity a ransomware, zpráva FBI a NSA

Jan Kopriva — Mon, 17 Aug 2020 14:15:00 +0200

Nová epizoda Alef SecurityCast je k dispozici na YouTube. Podíváme se v ní na sběr citlivých dat z telefonů aplikací TikTok, další vývoj okolo zašifrovaných serverů firmy Canon, varování NSA a FBI ke špionážnímu toolkitu Drovorub a několik dalších témat.

SANS ISC Diary - Definition of 'overkill' - using 130 MB executable to hide 24 kB malware

Jan Kopriva — Fri, 14 Aug 2020 14:20:00 +0200

Dnes vyšel můj nový příspěvek na stránkách SANS Internet Storm Center. Podíváme se v něm na na 130 MB velký EXE soubor, který v sobě nese 24 kB velký škodlivý payload.

ALEF SecurityCast Ep#19 - ransomware útok na Canon, Pulse VPN, Mercedes-Benz E-Class zranitelnosti

Jan Kopriva — Mon, 10 Aug 2020 13:30:00 +0200

Nová epizoda Alef SecurityCast je k dispozici na YouTube. Podíváme se v ní na aktivity skupiny provozující ransomware Maze, balík přihlašovacích údajů pro Pulse Secure VPN systémy, uniklá data společnosti Intel několik dalších témat.

ALEF SecurityCast Ep#18 - Garmin a Twitter 'hack' update, další Zoom zranitelnost, BootHole a další

Jan Kopriva — Mon, 03 Aug 2020 16:00:00 +0200

Nová epizoda Alef SecurityCast je k dispozici na YouTube. Podíváme se v ní na další vývoj okolo útoku skupiny Evil Corp na systémy společnosti Garmin, kompromitaci Twitter účtů mnoha organizací a celebrit, zranitelnosti v Zoom a GRUB2 a několik dalších témat.

SANS ISC Diary - What pages do bad bots look for?

Jan Kopriva — Sat, 01 Aug 2020 16:15:00 +0200

Dnes vyšel můj nový příspěvek na stránkách SANS Internet Storm Center. Podíváme se v něm na stránky, které jsou na webových serverech nejčastěji zkoumané “špatnými” boty.

ALEF SecurityCast Ep#17 - Ransomware útok na Garmin, DJI drony, 'Meow' útok, Twilio a další

Jan Kopriva — Mon, 27 Jul 2020 15:05:00 +0200

Nová epizoda Alef SecurityCast je k dispozici na YouTube. Podíváme se v ní na ransomwarový útok skupiny Evil Corp na systémy společnosti Garmin, ukončení podpory TLS 1.0 a 1.1 v Office 365 a několik dalších témat.

SANS ISC Diary - Couple of interesting Covid-19 related stats

Jan Kopriva — Tue, 21 Jul 2020 10:55:00 +0200

Dnes vyšel můj nový příspěvek na stránkách SANS Internet Storm Center. Podíváme se v něm na vztah mezi regionálními restrikcemi spojenými s Covid-19 a počty IP adres s protokoly pro vzdálený přístup otevřenými do internetu.

ALEF SecurityCast Ep#16 - zásah do vývoje COVID-19 vakcín, největší Twitter hack v historii a SIGRed

Jan Kopriva — Mon, 20 Jul 2020 14:50:00 +0200

Nová epizoda Alef SecurityCast je k dispozici na YouTube. Podíváme se v ní na zneužití Twitter účtů celebrit pro podvod s Bitcoiny, kritickou zranitelnost v DNS serverech ve Windows a několik dalších témat.

ALEF SecurityCast Ep#15 - Kybernetický útok USA proti Rusku, DigiCert certifikáty, Zoom 0-day a další

Jan Kopriva — Mon, 13 Jul 2020 14:25:00 +0200

Nová epizoda Alef SecurityCast je k dispozici na YouTube. Podíváme se v ní na masivní kampaň související s krádežemi kreditních karet, kritickou zranitelnost v F5 BigIP, revokaci několika desítek tisíc EV certifikátů a mnoho dalších témat.

Dopad uvolňování opatření spojených s Covid-19 na RDP a další protokoly pro vzdálený přístup

Jan Kopriva — Sat, 11 Jul 2020 08:30:00 +0200

Opatření přijatá k omezení šíření Covid-19 vedla mnoho organizací k plošnému zavádění práce z domova a k souvisejícímu zpřístupnění některých služeb a protokolů z Internetu. Jedním z protokolů, který tuto skutečnost krásně demonstroval, byl i Remote Desktop Protocol. Počet veřejných IP adres, na nichž bylo RDP dostupné, se v ČR zvýšil jenom v průběhu března o více než 15 procent (viz graf věnovaný RDP zde - https://untrustednetwork.net/en/2020/04/02/open-ports-in-the-time-of-corona/#cz).
Bylo by rozumné předpokládat, že postupné uvolňování zmíněných opatření by mělo mít opačné dopady, tedy že jednotlivé organizace začnou v rámci návratu do běžného režimu otevřené porty postupně uzavírat. V datech získaných ze služby Shodan se však v případě SSH a zejména Telnetu situace nijak skokově nezměnila a teprve na konci druhého kvartálu byl viditelný citelnější úytek veřejných IP adres, na nichž byly v ČR tyto protokoly dostupné.

U opětovného zablokování RDP přístupů byla však reakce organizací podstatně rychlejší. Procento českých IP adres, na nichž byl tento protokol povolen, dosáhlo svého maxima krátce po 27. 4., kdy došlo k významnému omezení některých opatření. Viditelný „skok“ je v níže uvedeném grafu rovněž viditelný k 25. 5., kdy byla citelně omezena povinnost nošení roušek.

Je otázkou, zda je výše popsané omezení užívání RDP na veřejných IP adresách v ČR spojeno výhradně s návratem k běžnému pracovnímu režimu ve většině organizací, nebo zda do rozhodnutí o zablokování přímého přístupu ke vzdálené ploše z internetu částečně zasáhnuly i obavy z kybernetických útoků.
Vzhledem k tomu, že RDP je jedním z dominantních vektorů průniku do sítí užívaných skupinami zaměřenými na cílenou distribuci ransomwaru, lze v každém případě popsaný vývoj situace okolo RDP považovat za pozitivní.

ALEF SecurityCast Ep#14 - EncroChat, BEC útoky, EvilQuest a ZombieVPN

Jan Kopriva — Tue, 07 Jul 2020 15:25:00 +0200

Nová epizoda Alef SecurityCast je k dispozici na YouTube. Podíváme se v ní na rozbití šifrované komunikační sítě využívané zločinci, nárůst BEC útoků (zřejmě) v důsledku Covid-19, zajímavou zranitelnost v některých VPN produktech a mnoho dalších témat.

SANS ISC Diary - Using Shell Links as zero-touch downloaders and to initiate network connections

Jan Kopriva — Wed, 24 Jun 2020 09:45:00 +0200

Dnes vyšel můj nový příspěvek na stránkách SANS Internet Storm Center. Podíváme se v něm na slabinu ve Windows, díky níž je možné přimět operační systém ke stažení libovolného souboru ze vzdáleného serveru kdykoli je zobrazen speciálně vytvořený zástupce.

ALEF SecurityCast Ep#12 - přehled týdne 13. - 19. 6. 2020

Jan Kopriva — Mon, 22 Jun 2020 14:25:00 +0200

Nová epizoda Alef SecurityCast je k dispozici na YouTube. Podíváme se v ní na prozatím zřejmě největší DDoS útok v historii, kritické zranitelnosti v TCP/IP stacku využívaném v milionech IoT zařízení a mnoho dalších témat.

SANS@MIC - Catch and Release: Phishing Techniques for the Good Guys

Jan Kopriva — Thu, 18 Jun 2020 19:10:00 +0200

Včera jsem v rámci formátu SANS@MIC prezentoval o zajímavých technikách využitelných v rámci phishingových kampaních (zejména) při red team cvičeních. Pokud jste neměli možnost připojit se k nám “živě” a tato problematika by vás zajímala, můžete se alespoň podívat na záznam z přednášky, který byl publikován dnes.

SANS ISC Diary - Broken phishing accidentally exploiting Outlook zero-day

Jan Kopriva — Thu, 18 Jun 2020 11:35:00 +0200

Dnes vyšel můj nový příspěvek na stránkách SANS Internet Storm Center. Podíváme se v něm na phishingový e-mail, který díky chybě v HTML kódu využíval 0-day zranitelnost v Outlooku, umožňující vytvářet nebo měnit odkazy v těle e-mailu ve chvíli, kdy je zpráva přeposílána.

ALEF SecurityCast Ep#11 - přehled týdne 6. - 12. 6. 2020

Jan Kopriva — Mon, 15 Jun 2020 14:10:00 +0200

Nová epizoda Alef SecurityCast je k dispozici na YouTube. Podíváme se v ní na zajímavou aféru okolo odposlouchávání dat ze slovenské vládní sítě Govnet, data odesílaná prohlížečem Google Chrome i v anonymním režimu a mnoho dalších témat.

ALEF SecurityCast Ep#10 - přehled týdne 30. 5. - 5. 6. 2020

Jan Kopriva — Mon, 08 Jun 2020 16:15:00 +0200

Nová epizoda Alef SecurityCast je k dispozici na YouTube. Podíváme se v ní na ransomware, který se jeho autoři snaží vydávat za dekryptor pro jiný šifrující malware, zajímavý škodlivý kód zřejmě určený k exfiltraci dat z air-gapped systémů a mnoho dalších témat.

ALEF SecurityCast Ep#9 - přehled týdne 23. - 29. 5. 2020

Jan Kopriva — Mon, 01 Jun 2020 16:20:00 +0200

Nová epizoda Alef SecurityCast je k dispozici na YouTube. Podíváme se v ní na malware šířící se s pomocí platformy Discord, škodlivý kód cílící na NetBeans projekty, nové funkce nástroje PktMon a mnoho dalších témat.

Update seznamu online sandboxů pro analýzu škodlivého kódu

Jan Kopriva — Sat, 30 May 2020 13:30:00 +0200

Vzhledem k tomu, že za posledních pár měsíců došlo ve světě online sandboxů pro analýzu škodlivého kódu k několika drobným změnám, rozhodl jsem se updatovat historicky vytvořenou tabulku obsahující jejich porovnání. Novou verzi 1.2 najdete na tomto odkazu.

SANS ISC Diary - Frankenstein's phishing using Google Cloud Storage

Jan Kopriva — Wed, 27 May 2020 10:40:00 +0200

Dnes vyšel můj nový příspěvek na stránkách SANS Internet Storm Center. Podíváme se v něm na podivně nesourodou phishingovou kampaň, která díky kombinace technicky sofistikovaných a extrémně amatérských prvků připomínala výsledek práce Dr. Frankensteina.

ALEF SecurityCast Ep#8 - přehled týdne 16. - 22. 5. 2020

Jan Kopriva — Mon, 25 May 2020 14:00:00 +0200

Nová epizoda Alef SecurityCast je k dispozici na YouTube. Podíváme se v ní na několik úniků dat, vývoj v oblasti ransomwaru zranitelnosti v NAS QNAP a mnoho dalších témat.

ALEF SecurityCast Ep#7 - přehled týdne 9. - 15. 5. 2020

Jan Kopriva — Mon, 18 May 2020 18:00:00 +0200

Nová epizoda Alef SecurityCast je k dispozici na YouTube. Připomeneme si v ní výročí začátku šíření ransomwaru WannaCry, podíváme se na zajímavou zranitelnost ve Windows, zmíníme pozvánky na dvě blížící se prezentace a budeme se věnovat mnoha dalším tématům.

ALEF SecurityCast Ep#6 - přehled týdne 2. - 8. 5. 2020

Jan Kopriva — Mon, 11 May 2020 13:00:00 +0200

Nová epizoda Alef SecurityCast je k dispozici na YouTube. Zaměřujeme se v ní na zasílaní vysoce detailních analytických dat na servery společnosti Xiaomi, nově záplatovanou zranitelnost v chytrých telefonech Samsung a mnoho dalších témat.

Historie Malwaru - Epizoda 1: Původ škodlivého kódu (1948 - 1979)

Jan Kopriva — Mon, 11 May 2020 09:35:00 +0200

V návaznosti na debatu na Twitteru jsem se rozhodnul zkusit vytvořit sérii YouTube videí, která by se věnovala historii škodlivého kódu. První video bylo publikováno dnes a najdete jej spolu s dalšími relevantními zdroji informací zde.

ALEF SecurityCast EP#5 - přehled týdne 25. 4. - 1. 5. 2020

Jan Kopriva — Mon, 04 May 2020 17:00:00 +0200

Nová epizoda Alef SecurityCast je k dispozici na YouTube. Zaměřujeme se v ní na publikaci šifrovacích klíčů pro ransomware Shade/Troldesh, novou verzi nástroje Sysmon a mnoho dalších témat.

SANS ISC Diary - Agent Tesla delivered by the same phishing campaign for over a year

Jan Kopriva — Tue, 28 Apr 2020 08:45:00 +0200

Dnes vyšel můj nový příspěvek na stránkách SANS Internet Storm Center. Podíváme se v něm na phishingovou kampaň, kterou útočníci používali více než rok v téměř nezměněné podobě pro šíření malwaru Agent Tesla.

ALEF SecurityCast EP#4 - přehled týdne 18. - 24. 4. 2020

Jan Kopriva — Mon, 27 Apr 2020 17:00:00 +0200

Nová epizoda Alef SecurityCast je k dispozici na YouTube. Zaměřujeme se v ní na zajímavé zranitelnosti v aplikaci Mail pro iOS, phishingové kampaně cílící na vzdáleně pracující zaměstnance, problémy s patchováním bezpečnostního nástroje od IBM a mnoho dalších témat.

ALEF SecurityCast EP#3 - přehled týdne 13. - 17. 4. 2020

Jan Kopriva — Mon, 20 Apr 2020 17:00:00 +0200

Nová epizoda Alef SecurityCast je k dispozici na YouTube. Zaměřujeme se v ní mimo jiné na varování NÚKIB k aktuálním útokům (nejen) na nemocnice, nové záplaty produktů Microsoftu, vydání nástroje Sandboxie jako open-source řešení, a mnoho dalších témat.

ALEF SecurityCast EP#2 - přehled týdne 6. - 9. 4. 2020

Jan Kopriva — Tue, 14 Apr 2020 17:00:00 +0200

Nová epizoda Alef SecurityCast je k dispozici na YouTube. Zaměřujeme se v ní mimo jiné na aktivně využívané zranitelnosti v MS Exchange a Mozilla Firefox, end-to-end šifrování komunikačních platforem, a mnoho dalších témat.

Phishing - online kurz pro koncové uživatele zdarma

Jan Kopriva — Tue, 14 Apr 2020 09:00:00 +0200

Vzhledem k tomu, že i v souvislosti s aktuální situací okolo COVID-19 se v posledních týdnech v českém prostředí citelně množí ransomwarové útoky a spoustě z nich by se dalo předejít, kdyby uživatelé slepě neklikali na odkazy a přílohy v e-mailu, dal jsem přes velikonoční svátky dohromady cca 20 minut dlouhý videokurz o phishingu pro běžné uživatele, který je nyní k dispozici zdarma institucím působícím v ČR i široké veřejnosti.

SANS ISC Diary - Look at the same phishing campaign 3 months apart

Jan Kopriva — Mon, 13 Apr 2020 11:35:00 +0200

Dnes vyšel můj nový příspěvek na stránkách SANS Internet Storm Center. Podíváme se v něm na zranitelnost ve Windows, která umožňuje způsobit pád procesu explorer.exe při otevření speciálně připraveného souboru URL, nebo při otevření adresáře obsahujícího speciálně připravený soubor LNK.

ALEF Security Report 2020

Jan Kopriva — Wed, 08 Apr 2020 17:00:00 +0200

S kolegy z Alefu jsme i letos vytvořili report zaměřený na aktuální stav kybernetické bezpečnosti v České republice (resp. na situaci v průběhu loňského roku). Pokud Vás zajímá, jaké měsíce byly nejbohatší na různé typy útoků, kolik procent organizací v ČR realizuje phishingové testy zaměstnanců, nebo v jakém stavu byla v průběhu roku 2019 adopce STARTTLS pro šifrování e-mailové komunikace, můžete si jej stáhnout zde. Najdete v něm pochopitelně i mnoho dalších zajímavostí…

ALEF SecurityCast EP#1 - přehled týdne 30. 3. - 3. 4. 2020

Jan Kopriva — Tue, 07 Apr 2020 07:00:00 +0200

Abychom sobě i ostatním trochu zkrátili dlouhé dny v izolaci, rozhodli jsme se s kolegy z Alef Nula začít publikovat pravidelný webcast/podcast. Na začátku každého týdne se pokusíme shrnout a okomentovat to nejzajímavější, k čemu v tom předchozím týdnu došlo.

První epizoda Alef SecurityCast je k dispozici na YouTube. Poslechnout si v ní můžete na novinky ve využívání tématu COVID-19 útočníky, bezpečnostní problémy služby Zoom a mnoho dalších témat.

Otevřené porty za časů Corony II - situace v ČR

Jan Kopriva — Sun, 05 Apr 2020 12:00:00 +0200

V návaznosti na nedávný příspěvek věnovaný zvyšujícím se počtům IP adres s otevřenými porty v různých státech světa v souvislosti s aktuální situací okolo COVID-19 jsem se rozhodl podívat trochu blíže na České prostředí a změny v něm. Konkrétně na počty dostupných průmyslových systémů, serverů s otevřeným protokolem SMB do internetu a na několik dalších zajímavých oblastí.

Pro úplnost je vhodné uvést, že data pro změny v počtech IP adres, na nichž je dostupné SSH, HTTP, HTTPS/TLS a RDP jsou již uvedena zde a že tak, jako ve výše zmiňovaném příspěvku, jsou i tentokrát všechny grafy a závěry založeny na datech ze služby Shodan a týkají se jak absolutních, tak relativních hodnot.

Průmyslové systémy

Jak je patrné z následujícího grafu, březnový nárůst IP adres a otevřených portů dostupných z internetu se bohužel nevyhnul ani průmyslovým systémům. V průběhu měsíce se počet ICS systémů dostupných z internetu v prostředí České republiky zvýšil o více než 40.

Nejvyšší nárůst byl patrný u ICS systémů komunikujících s pomocí protkolů Modbus, EIBnet/IP a CODESYS. Snížil se naopak počet systémů komunikujících s pomocí Lantronix Discovery protokolu.

Další protokoly a služby

Níže jsou uvedeny grafy pro následující protokoly a služby, u nichž došlo dle dostupných dat k zajímavým změnám.

Otevřené porty za časů Corony

Jan Kopriva — Thu, 02 Apr 2020 08:59:20 +0200

Aktuální situace okolo Covid-19 donutila většinu organizací, u nichž to bylo možné, k podpoře práce z domova. Tato změna se také promítla v počtech otevřených portů dostupných z internetu - došlo, mimo jiné, k citelnému nárůstu dostupných SSH serverů. Neb je tento trend poměrně zajímavý, připravil jsem na základě dat ze služby Shodan několik grafů pokrývajících vývoj počtu vybraných otevřených portů na globální úrovni i ve vybraných státech. Najít je můžete zde.

SANS ISC Diary - Crashing explorer.exe with(out) a click

Jan Kopriva — Mon, 30 Mar 2020 07:55:00 +0100

CrisisCon - Breaking Windows

Jan Kopriva — Sat, 28 Mar 2020 09:15:00 +0100

Na YouTube jsou v současnosti k dispozici již všechny přednášky z online konference CrisisCon, která proběhla v uplynulém týdnu. Je mezi nimi i má prezentace zaměřená na nezáplatované zranitelnosti a slabiny ve Windows.

Pokud jste neměli možnost průběh konference sledovat online, doporučuji alespoň projít její záznam, neb některé přednášky byly opravdu zajímavé.

SANS ISC Diary - Desktop.ini as a post-exploitation tool

Jan Kopriva — Mon, 16 Mar 2020 07:55:00 +0100

Dnes vyšel můj nový příspěvek na stránkách SANS Internet Storm Center. Podíváme se v něm na zranitelnost ve Windows, která umožňuje využívat soubory desktop.ini jako zajímavý nástroj pro post-exploitaci.

UPDATE 27. 5. 2020: V rámci přípravy podkladů pro SANSFIRE 2020 jsem vytvořil také video demonstrující zranitelnost popsanou ve výše uvedeném příspěvku. Můžete jej najít zde.

Přehled zdarma použitelných online sandboxů pro analýzu škodlivého kódu

Jan Kopriva — Thu, 12 Mar 2020 08:33:11 +0100

V rámci přípravy nového kurzu zaměřeného na základy bezpečnostního monitoringu, reakce na incidenty a analýzy malware jsem vytvořil přehled aktuálně zdarma použitelných online sandboxů pro analýzu škodlivého kódu. Najdete jej na tomto odkazu.

Varování před phishingem s XLS přílohami s makry typu Excel 4

Jan Kopriva — Fri, 06 Mar 2020 08:50:00 +0100

V ALEF CSIRT a Internet Storm Center jsme v posledních dnech zaznamenali několik phishingových kampaní, v rámci nichž byly využity soubory s příponou XLS nesoucí makra se škodlivým kódem. Na tom by nebylo nic neobvyklého - soubory se škodlivými makry jsou útočníky užívány velmi často - zmiňovaná makra však v tomto případě nebyla typu VBA, ale typu Excel 4, v důsledku čehož mnoho anti-malware řešení nebylo (a v době psaní tohoto textu není) schopno škodlivý kód v nich detekovat.

Makra Excel 4 jsou mechanismus, který historicky (před přidáním podpory pro Visual Basic for Applications do Excelu v roce 1993) umožňoval vkládat do Excelových dokumentů spustitelný kód. I přes své citelné stáří jsou makra tohoto typu stále podporována a je tedy možné je v moderním Excelu spustit.

Vzhledem k jejich historické povaze s nimi však nedokáže vhodně pracovat velké množství anti-malware nástrojů, které tak nejsou schopny případný v nich obsažený škodlivý kód identifikovat ani po několika dnech od jejich vytvoření. Vhodně to demonstruje vzorek, který jsme detekovali před čtyřmi dny, u něhož je v době psaní předloženého textu poměr detekcí na Virus Total 14/60. Ještě nižší úspěšnost při detekci (dle Virus Total 5/60) mají anti-malware řešení u vzorku detekovaného před dvěma dny, jehož analýzu dnes publikoval v rámci Internet Storm Center kolega Xavier Mertens.

Pozitivní zprávou je, že i v případě maker typu Excel 4 je po otevření souboru standardně zobrazeno obvyklé varování a uživatel tak má možnost spuštění kódu nepovolit.

Vzhledem k často nedostatečným znalostem kybernetických hrozeb na straně uživatelů však není zcela optimální pouze pasivně spoléhat na jejich uvědomělost.

Interním bezpečnostním týmům a IT oddělením tak lze doporučit uživatele na tuto hrozbu upozornit a zdůraznit skutečnost, že anti-malware nástroje instalované na koncových stanicích nutně tento typ hrozby (stejně jako mnoho jiných) nemusí být schopné odhalit.

SANS ISC Diary - Secure vs. cleartext protocols – couple of interesting stats

Jan Kopriva — Mon, 02 Mar 2020 06:55:00 +0100

Dnes vyšel můj nový příspěvek na stránkách SANS Internet Storm Center. Podíváme se v něm na podporu HTTP a HTTPS na webových serverech na internetu v minulých šesti měsících, stejně jako na podporu protokolů Telnet a SSH.

SANS ISC Diary - Quick look at a couple of current online scam campaigns

Jan Kopriva — Tue, 25 Feb 2020 06:57:00 +0100

Dnes vyšel můj nový příspěvek na stránkách SANS Internet Storm Center. Podíváme se v něm na několik podvodných online kampaní z poslední doby.
Detailnější pohled na jednu ze stránek, užívaných v rámci jedné z těchto kampaní, za níž s velmi vysokou pravděpodobností stojí skupina FizzCore, můžete nalézt zde.

Podvodná stránka ČT 24

Jan Kopriva — Sat, 22 Feb 2020 16:02:14 +0100

Při analýze zajímavé podvodné kampaně jsem dnes narazil na relativně neobvyklý web. Většina tradičních podvodných stránek spoléhá na nabídky extrémně výhodné koupě zboží nebo služeb a pokouší se cílového uživatele přimět zadat údaje o platební kartě. Co ovšem daný uživatel netuší je, že se (v nejlepším případě) současně přihlašuje také k odběru mnohem dražších služeb a že platby za ně budou následně periodicky strhávány z jeho účtu.

I v této kampani odpovídá většina stránek výše popsanému typu (o tom a dalších detailech se budete moci dočíst na stránkách Internet Storm Center příští úterý), jedna z nich však byla citelně odlišná. Její autoři si totiž vypůjčili vzhled ze stránek ČT24 a pokoušeli se přimět návštěvníky k registraci u nejmenované služby pro obchod s kryptoměnami s pomocí oficiálně vyhlížející zprávy s titulkem „SPECIÁLNÍ ZPRÁVA: Poslední investice Andreje Babiše odborníky doslova překvapila a vyděsila banky“.

V textu je, mimo jiné, uvedena část (pochopitelně smyšleného) rozhovoru mezi Andrejem Babišem a reportérem České televize Danielem Takáčem, v rámci kterého je čtenářům představena nová kryptoměnová platforma, u níž je „prokázané, že z kohokoliv udělá za 3 až 4 měsíce milionáře“.

Přestože text obsahuje drobné gramatické chyby, může na první pohled působit relativně důvěryhodným dojmem. Andrej Babiš není navíc jediným, kdo je v textu zmíněn jako velký propagátor zmiňované platformy – do stejné skupiny mají údajně patřit i Bill Gates a Richard Branson.

Celý dojem pak dokreslují údajné příběhy lidí, kteří s pomocí platformy již dokázali zbohatnout (viz první dva obrázky, pravá strana). Celá stránka má pochopitelně uživatele přimět přihlásit se k téže platformě a převést do ní určitý vstupní kapitál. Aby měl uživatel práci co nejjednodušší, je na konci textu uveden i návod, jak s platformou začít.

Aby uživatel investici neodkládal je na samém závěru stránky uveden doplňující text, informující o tom, že pro občany České republiky už je v platformě vyhrazeno pouze malé množství míst a s registrací by tak neměli otálet. Pod tímto textem jsou pak uvedeny smyšlené komentáře dalších již zbohatlých uživatelů, které platformu jednoznačně doporučují.

Pokud byste se na stránku chtěli podívat sami, máte možnost – v době publikace tohoto textu je stále aktivní. Neb jsem však hlouběji nekontroloval její HTML kód, je možné, že se spolu s ní nahrávají i potenciálně nebezpečné skripty, nebo jiný externí obsah. Pokud se jí tedy rozhodnete navštívit, doporučil bych tak učinit z vhodně zabezpečeného (ideálně virtuálního) stroje. Doména, kde můžete na stránku narazit je financialwealthnow.net.

Počítejte s tím, že jméno oné kryptoměnové platformy se může lišit od toho v obrázcích výše – je totiž dáno obsahem parametru pname. Znamená to nejen, že si můžete jméno nastavit dle libosti sami, ale díky absenci filtrace obsahu parametru a kódování znaků na výstupu také to, že stránka obsahuje reflected cross-site scripting zranitelnost.

UPDATE 23. 2. 2020: Kamil Vávra (@vavkamil) mě uporoznil - za což mu tímto děkuji - na nedávno publikovanou analýzu podvodné kampaně realizované skupinou označovanou FizzCore, při níž byly využívány smyšlené rozhovory s celebritami pro propagaci různých falešných služeb a produktů. Na základě dostupných informací se zdá jisté, že výše popsaná stránka je dříve neobjeveným dílem stejné skupiny.

SANS ISC Diary - Discovering contents of folders in Windows without permissions

Jan Kopriva — Tue, 18 Feb 2020 07:18:21 +0100

Dnes vyšel můj nový příspěvek na stránkách SANS Internet Storm Center. Podíváme se v něm na zajímavou zranitlenost ve Windows, která umožňuje s pomocí útoku hrubou silou odhalovat obsah lokálních adresářů, k nimž uživatel nemá oprávnění přistupovat.

UPDATE 20. 5. 2020: V rámci přípravy podkladů pro SANSFIRE 2020 jsem vytvořil také video demonstrující zranitelnost popsanou ve výše uvedeném příspěvku. Můžete jej najít zde.

SANS ISC Diary - Current PayPal phishing campaign or 'give me all your personal information'

Jan Kopriva — Mon, 10 Feb 2020 09:37:58 +0100

Dnes vyšel můj nový příspěvek na stránkách SANS Internet Storm Center. Podíváme se v něm na aktuální phishingovou kampaň cílenou na zákazníky PayPalu, která velmi hezky demonstruje aktuální snahy útočníků o získání maximálního množství osobních a finančních dat od “chycených” uživatelů.

SANS ISC Diary - Analysis of a triple-encrypted AZORult downloader

Jan Kopriva — Mon, 03 Feb 2020 07:45:10 +0100

Dnes vyšel můj nový příspěvek na stránkách SANS Internet Storm Center. Je věnovaný analýze zajímavého škodlivého dokumentu, z něhož se vyklubal downloader pro trojan AZROult. Zajímavé na něm bylo mimo jiné to, že používal tři úrovně šifrování.

SANS ISC Diary - Picks of 2019 malware - the large, the small and the one full of null bytes

Jan Kopriva — Thu, 16 Jan 2020 07:52:08 +0100

Dnes vyšel můj nový příspěvek na stránkách SANS Internet Storm Center. Podíváme se v něm na malware, který byl v loňském roce distribuován e-mailem. Konkrétně na největší a nejmenší vzorek malware, které jsem v zablokovaných e-mailech z loňského roku objevil.

Apel (nejen) k odborné veřejnosti: kryptovirus není synonymem pro ransomware, tak jej tak nepoužívejme

Jan Kopriva — Tue, 07 Jan 2020 15:22:44 +0100

V souvislosti s nedávnými událostmi v benešovské nemocnici a firmě OKD se v médiích objevilo mnoho článků a komentářů, v nichž je skloňován pojem ransomware. Bohužel jak zástupci médií, tak odborné veřejnosti, se v rámci nich velmi často vyjadřovali i v tom smyslu, že relevantní systémy byly postiženy “kryptovirem”. Pojem kryptovirus sice skutečlně existuje, neb se ale rozhodně nejedná o synonymum k termínu ransomware, i komentáře odborníků působily, poměrně paradoxně, spíše neodborným dojmem…

Pojďme se teď podívat tři základní termíny trochu blíže a ukázat si, kde leží problém.

Ransomware - Pojem ransomware označuje škodlivý software, jehož cílem je umožnit útočníkovi vydírat oběť jím postiženou. V současnosti je zřejmě nejrozšířenějším typem vyděračského softwaru tzv. crypto-ransomware, tedy ransomware, který určitým způsobem šifruje data, existují například ale i varianty vyděračského softwaru spoléhající na uzamčení obrazovky, případně operačního systému a některé další typy.
Virus - Na rozdíl od pojmu malware, jehož přesnější definice je poměrně problematická, byl termín virus definovaný poměrně exaktně Frederickem Cohenem. Striktně vzato, je tedy virus “program, který může ‘infikovat’ jiné programy tak, že do nich umístí svou, potenciálně upravenou, kopii”.
Kryptovirus - Za kryptovirus můžeme považovat takový počítačový virus, který využívá kryptografické mechanismy pro určitou škodlivou aktivitu, například šifrování dat. Relativně hezkou ukázkou takového “tradičního” kryptoviru je například OneHalf.

Vzhledem k tomu, že s viry odpovídajícími výše uvedené definici Fredericka Cohena (tzv. souborovými viry) se dnes již v podstatě nepotkáme, znamená to, že ani žádný současný ransomware dle této definice není virem. Nepřipojuje se totiž k žádnému jinému programu.

Co ale pokud bychom se výše uvedené definice viru rigidně nedrželi a použili definici o něco širší? Jako vhodná se zdá být “vítězná” definice z časopisu Alive z roku 1994, která říká, že počítačový virus je “sekvence (nebo skupina sekvencí) symbolů, které, jsou-li spuštěny či interpretovány za určitých podmínek nebo v určitých prostředích, vytvoří - případně změněnou - funkčně podobnou kopii této sekvence (nebo souboru sekvencí) a umístí tuto kopii tam, kde bude moci být spuštěna či interpretována za určitých podmínek později. Toto chování se označuje jako ‘REPLIKACE’ a kopie si zachovává ALESPOŇ schopnost rekurzivně se replikovat dále. Virus může mít také další funkci (či funkce) nesouvisející s replikací a občas označovanou ‘payload’, to ale NENÍ nutné, aby něco bylo virem”.

V tomto případě se nám pod definici viru už poměrně dobře “schovají” i počítačové červy, tedy malware, který se dokáže sám šířit/replikovat, ale nekopíruje se přímo do jiného programu. A neb známý ransomware WannaCry nejen šifruje data, ale dokáže se jako červ (a tedy virus) i sám šířit/replikovat, můžeme jej dle zmíněné volnější definice označit i za kryptovirus. Neznamená to tedy, že výroky o kryptovirech v souvislosti s benešovskou nemocnicí a OKD jsou na místě?

Ne. WannaCry byl totiž jedním z velmi malého počtu moderních ransomwarů a pseudo-ransomwarů, které byly schopny sami se šířit a které tak splňovaly definici viru. Převážná většina moderního vyděračského softwaru je distribuována buď s pomocí e-mailů, exploit kitů, nebo prostřednictvím jiného škodlivého kódu. Poslední uvedený mechanismus je používaný i pro distribuci ransomwaru Ryuk - ten se sám šířit nedokáže a bývá na koncové systémy instalovaný v rámci jejich kompromitace škodlivými programy Emotet a TrickBot.

V souvislosti s vydáním varování Vládního CERT k trojici Emotet, TrickBot a Ryuk mnozí spekulují, že právě Ryuk je ransomwarem, který postihnul obě zmíněné instituce. Ať šlo v jejich případě o Ryuk nebo nikoli, lze téměř s jistotou říci, že ransomware, který postihnul jmenované instituce, téměř jistě nebyl kryptovirem a tedy používání tohoto termínu rozhodně není na místě.

Můžete namítnout, že jde pouze o slovíčkaření. Dovolím si nicméně tvrdit, že tomu tak není a že situace je stejná, jako kdyby si lékař pletl bakteriální a virovou infekci. I přes to, že spolu mají mnoho společného, zdravotníka, který by neznal rozdíly mezi nimi, by zcela jistě nikdo nechtěl jako svého ošetřujícího lékaře…

Pokud patříte k odborné veřejnosti a ve výše uvedeném smyslu jste se sami vyjádřili, neberte prosím výše uvedené řádky jako atak na svou osobu, ale jen jako snahu o udržení korektní terminologie v rámci odvětví, kde na tuto oblast není vždy kladen dostatečný důraz.