SecurityCast Ep#211 - HP bojuje s inkoustem, Microsoft s vlastní bezpečností

Jan Kopriva — Wed, 07 Feb 2024 20:55:00 +0100

S příchodem února je tu i nová epizoda pravidelného speciálu podcastu ALEF SecurityCast. Najdete ji na YouTube a na Spotify a podíváme se v ní na problematické bezpečnostní mechanismy v tiskárnách HP, úspěšný útok na e-mailový systém společnosti Microsoft, nebo odsouzení několika zločinců v souvislosti s kybernetickými útoky…

SecurityCast Ep#30 – Je Trumpovo heslo „maga2020“, aktuální phishing a EU sankce

Jan Kopriva — Mon, 26 Oct 2020 18:25:00 +0200

Nová epizoda Alef SecurityCast je k dispozici na YouTube. Podíváme se v ní na údajný průnik do Twitter účtu prezidenta Trumpa, uvalení sankcí na členy zpravodajské služby GRU ze strany Evropské Unie, výroční report ENISA a nejen to.

SecurityCast Ep#29 – Největší DDoS útok v historii, Microsoft dočasně vyřadil Trickbot a další

Jan Kopriva — Mon, 19 Oct 2020 18:25:00 +0200

Nová epizoda Alef SecurityCast je k dispozici na YouTube. Podíváme se v ní na (prozatím) největší DDoS v historii, vyřazení C2 infrastruktury botnetu Trickbot společností Microsoft, zranitelnost Bad Neighbor a nejen to.

Apel (nejen) k odborné veřejnosti: kryptovirus není synonymem pro ransomware, tak jej tak nepoužívejme

Jan Kopriva — Tue, 07 Jan 2020 15:22:44 +0100

V souvislosti s nedávnými událostmi v benešovské nemocnici a firmě OKD se v médiích objevilo mnoho článků a komentářů, v nichž je skloňován pojem ransomware. Bohužel jak zástupci médií, tak odborné veřejnosti, se v rámci nich velmi často vyjadřovali i v tom smyslu, že relevantní systémy byly postiženy “kryptovirem”. Pojem kryptovirus sice skutečlně existuje, neb se ale rozhodně nejedná o synonymum k termínu ransomware, i komentáře odborníků působily, poměrně paradoxně, spíše neodborným dojmem…

Pojďme se teď podívat tři základní termíny trochu blíže a ukázat si, kde leží problém.

Ransomware - Pojem ransomware označuje škodlivý software, jehož cílem je umožnit útočníkovi vydírat oběť jím postiženou. V současnosti je zřejmě nejrozšířenějším typem vyděračského softwaru tzv. crypto-ransomware, tedy ransomware, který určitým způsobem šifruje data, existují například ale i varianty vyděračského softwaru spoléhající na uzamčení obrazovky, případně operačního systému a některé další typy.
Virus - Na rozdíl od pojmu malware, jehož přesnější definice je poměrně problematická, byl termín virus definovaný poměrně exaktně Frederickem Cohenem. Striktně vzato, je tedy virus “program, který může ‘infikovat’ jiné programy tak, že do nich umístí svou, potenciálně upravenou, kopii”.
Kryptovirus - Za kryptovirus můžeme považovat takový počítačový virus, který využívá kryptografické mechanismy pro určitou škodlivou aktivitu, například šifrování dat. Relativně hezkou ukázkou takového “tradičního” kryptoviru je například OneHalf.

Vzhledem k tomu, že s viry odpovídajícími výše uvedené definici Fredericka Cohena (tzv. souborovými viry) se dnes již v podstatě nepotkáme, znamená to, že ani žádný současný ransomware dle této definice není virem. Nepřipojuje se totiž k žádnému jinému programu.

Co ale pokud bychom se výše uvedené definice viru rigidně nedrželi a použili definici o něco širší? Jako vhodná se zdá být “vítězná” definice z časopisu Alive z roku 1994, která říká, že počítačový virus je “sekvence (nebo skupina sekvencí) symbolů, které, jsou-li spuštěny či interpretovány za určitých podmínek nebo v určitých prostředích, vytvoří - případně změněnou - funkčně podobnou kopii této sekvence (nebo souboru sekvencí) a umístí tuto kopii tam, kde bude moci být spuštěna či interpretována za určitých podmínek později. Toto chování se označuje jako ‘REPLIKACE’ a kopie si zachovává ALESPOŇ schopnost rekurzivně se replikovat dále. Virus může mít také další funkci (či funkce) nesouvisející s replikací a občas označovanou ‘payload’, to ale NENÍ nutné, aby něco bylo virem”.

V tomto případě se nám pod definici viru už poměrně dobře “schovají” i počítačové červy, tedy malware, který se dokáže sám šířit/replikovat, ale nekopíruje se přímo do jiného programu. A neb známý ransomware WannaCry nejen šifruje data, ale dokáže se jako červ (a tedy virus) i sám šířit/replikovat, můžeme jej dle zmíněné volnější definice označit i za kryptovirus. Neznamená to tedy, že výroky o kryptovirech v souvislosti s benešovskou nemocnicí a OKD jsou na místě?

Ne. WannaCry byl totiž jedním z velmi malého počtu moderních ransomwarů a pseudo-ransomwarů, které byly schopny sami se šířit a které tak splňovaly definici viru. Převážná většina moderního vyděračského softwaru je distribuována buď s pomocí e-mailů, exploit kitů, nebo prostřednictvím jiného škodlivého kódu. Poslední uvedený mechanismus je používaný i pro distribuci ransomwaru Ryuk - ten se sám šířit nedokáže a bývá na koncové systémy instalovaný v rámci jejich kompromitace škodlivými programy Emotet a TrickBot.

V souvislosti s vydáním varování Vládního CERT k trojici Emotet, TrickBot a Ryuk mnozí spekulují, že právě Ryuk je ransomwarem, který postihnul obě zmíněné instituce. Ať šlo v jejich případě o Ryuk nebo nikoli, lze téměř s jistotou říci, že ransomware, který postihnul jmenované instituce, téměř jistě nebyl kryptovirem a tedy používání tohoto termínu rozhodně není na místě.

Můžete namítnout, že jde pouze o slovíčkaření. Dovolím si nicméně tvrdit, že tomu tak není a že situace je stejná, jako kdyby si lékař pletl bakteriální a virovou infekci. I přes to, že spolu mají mnoho společného, zdravotníka, který by neznal rozdíly mezi nimi, by zcela jistě nikdo nechtěl jako svého ošetřujícího lékaře…

Pokud patříte k odborné veřejnosti a ve výše uvedeném smyslu jste se sami vyjádřili, neberte prosím výše uvedené řádky jako atak na svou osobu, ale jen jako snahu o udržení korektní terminologie v rámci odvětví, kde na tuto oblast není vždy kladen dostatečný důraz.

SANS ISC Diary - Tricky LNK points to TrickBot

Jan Kopriva — Tue, 03 Sep 2019 13:06:21 +0200

Dnes vyšel můj nový příspěvek na stránkách SANS Internet Storm Center. Je věnovaný analýze škodlivého souboru LNK, který vedl ke vzorku trojanu TrickBot.

Trickbot on Untrusted Network

SecurityCast Ep#211 - HP bojuje s inkoustem, Microsoft s vlastní bezpečností

SecurityCast Ep#30 – Je Trumpovo heslo „maga2020“, aktuální phishing a EU sankce

SecurityCast Ep#29 – Největší DDoS útok v historii, Microsoft dočasně vyřadil Trickbot a další

Apel (nejen) k odborné veřejnosti: kryptovirus není synonymem pro ransomware, tak jej tak nepoužívejme

SANS ISC Diary - Tricky LNK points to TrickBot