30 cze 2015

Szczegółowe wyniki kontroli NIK o bezpieczeństwie w cyberprzestrzeni RP

0

W dniu dzisiejszym Najwyższa Izba Kontroli opublikowała materiały z kontroli na temat realizacji przez podmioty państwowe zadań w zakresie ochrony cyberprzestrzeni Rzeczypospolitej Polskiej. Została przeprowadzona w okresie od 02.06.2014 r. do 05.12.2014 r., a kontrolą objęto 8 podmiotów państwowych, którym przypisano kluczowe zadania związane z bezpieczeństwem teleinformatycznym państwa, tj.: Ministerstwo Administracji i Cyfryzacji, Agencję Bezpieczeństwa Wewnętrznego, Ministerstwo Obrony Narodowej, Ministerstwo Spraw Wewnętrznych, Naukową i Akademicką Sieć Komputerową, Urząd Komunikacji Elektronicznej, Rządowe Centrum Bezpieczeństwa oraz Komendę Główną Policji.

Czytaj więcej...

22 cze 2015

Projekt CAMBERDADA i polski antywirus na slajdzie w ściśle tajnej prezentacji NSA

1

Nasz rodzimy antywirus Arcabit, bo o nim mowa, znalazł się na jednym ze slajdów w niejawnej prezentacji, którą opublikował dzisiaj The Intercept. Opublikowane materiały zostały pozyskane od Edwarda Snowdena. Prezentacja w której został wymieniony Arcabit dotyczy ściśle tajnego projektu NSA o kryptonimie CAMBERDADA i jest on specyficznym rodzajem elektronicznej działalności wywiadowczej SIGINT. Z materiałów wynika, iż agencje wywiadowcze USA (NSA) i Wielkiej Brytanii (GCHQ) szpiegują firmy antywirusowe, w tym wspomniany polski Arcabit. Co więcej, szpiegują one tylko nieamerykańskie oraz nieangielskie firmy antywirusowe. W zestawieniu na głównym miejscu znalazł się rosyjski Kaspersky, a po nim także fiński F-Secure, rumuński BitDefender, niemiecka Avira, słowacki ESET, czeski AVG i Avast, polski Arcabit i inne. Lista celów - antywirusów - z prezentacji od NSA dot. projektu CAMBERDADA i polski wątek:
Jeden ze slajdów z prezentacji NSA, do której link znajdziecie na końcu artykułu.



























W prezentacji nie ma wzmianki o amerykańskich antywirusach McAfee i Symantec oraz angielskim Sophos. Można się tylko domyślać dlaczego :) Z prezentacji opublikowanych przez Intercept dowiemy się, iż poprzez projekt pk. CAMBERDADA, NSA kolekcjonuje informacje (w tym maile) dotyczące złośliwego oprogramowania (malware), przechwytuje wysyłane w celach analizy pliki od użytkowników oprogramowania antywirusowego, dokonuje reverse-engineeringu, analizuje szczegółowo agenty programów antywirusowych itp. Po co te wszystkie informacje, jak je wykorzystać? NSA na podstawie przeprowadzonych analiz mogła modyfikować oprogramowanie złośliwe dla swoich celów, np. w ten sposób, aby utrudnić lub uniemożliwić jego wykrycie przez program antywirusowy. Modyfikacjami malware w NSA zajmowała się jednostka o nazwie Tailored Access Operations (TAO).

Ponadto, według opublikowanego w dniu dzisiejszym nadal ściśle tajnego raportu NSA z 2008 roku, mogła ona przechwytywać informacje, które były przesyłane do serwerów antywirusa Kaspersky od komputerów użytkowników, potencjalnie umożliwiając ich śledzenie. Kaspersky zaprzeczył, by było to możliwe obecnie.

Pamiętacie niedawny atak Duqu 2.0 na firmę Kaspersky o którym pisaliśmy tutaj? Na podstawie tych działań można wyciągnąć pewne wnioski, które zostawiamy jednak do przemyślenia czytelnikom.

Niejawny dokument dot. projektu CAMBERDADA (i Arcabit) dostępny na stronie The Intercept:

Niejawny raport NSA dot. antywirusa Kaspersky dostępny na stronie The Intercept:

Źródło:
https://firstlook.org/theintercept

Czytaj więcej...

Strony internetowe GCHQ i armii amerykańskiej zhakowane przez Syrian Electronic Army

0

Po niedawnym włamaniu do oficjalnej strony armii amerykańskiej (www.army.mil), grupa hakerów z Syrian Electronic Army (SEA) uzyskała dostęp do portalu brytyjskiego wywiadu elektronicznego Government Communications Headquarters (GCHQ), a na dowód włamania udostępnili oni screen z panelu kontrolnego domeny GCHQ - Limelight. Podczas ostatniego ataku na stronę internetową amerykańskiej armii, hakerzy z Syrian Electronic Army również włamali się do panelu kontrolnego tej samej firmy.

Zhakowany przez SEA panel sterowania Limelight domeny GCHQ


SEA oświadczyła, że na chwile obecną ich celem jest amerykański wywiad i organizacje związane z bezpieczeństwem USA a także ataki na rządowe serwery i sieci. Co więcej, oświadczyli, iż posiadają ogromne ilości danych, które zebrali z poprzednich ataków. Prawdopodobnie chodzi o ostatnie ataki przeprowadzone na Office of Personnel Menagement - OPM i wyciek danych ponad 4 milionów byłych i obecnych pracowników rządowych o czym pisaliśmy tutaj

Rzecznik Limelight stwierdził, iż "nie posiada żadnych dowodów na wyciek danych klientów". Hakerzy z SEA potwierdzają jednak, iż ​​mają ogromne ilości danych, zawierających szczegółowe informacje na temat żołnierzy armii amerykańskiej w tym oficerów, generałów, a ponadto weszli w posiadanie poufnych plików i raportów.

Źródło:
http://sea.sy/index/en

Czytaj więcej...

21 cze 2015

Kradzież kluczy kryptograficznych przy użyciu radia, smartfona i wykorzystaniu emisji elektromagnetycznej

0

Badacze z Uniwersytetu w Tel Awiwie: Daniel Genkin, Lev Pachmanov, Itamar Pipman oraz Elan Tromer przedstawili metodę przechwytywania kluczy kryptograficznych za pomocą dźwięku emitowanego przez komputer podczas działania procedury deszyfrowania. Co więcej, swoją metodę zaprezentowali za pomocą ogólnodostępnego sprzętu dla zwykłego Kowalskiego, a nie przy pomocy drogich laboratoryjnych rozwiązań. W swoich badaniach wykorzystali laptopa i oprogramowanie GnuPG aby następnie wydobyć z niego prywatne klucze deszyfrujące w ciągu kilku sekund. Dokonali tego poprzez pomiar promieniowania elektromagnetycznego (wykorzystanie emisji ujawniającej, podsłuchu elektronicznego) podczas deszyfrowania wybranego zaszyfrowanego tekstu. Naukowcy wykorzystali FUNcube Dongle Pro +, podłączyli do mini komputera z Androidem o nazwie Rikomagic MK802 IV i zmierzyli emisję w przedziale 1,6 do 1,75 MHz. Udany atak przeprowadzony został z odległości ok. 50 cm. Zastosowana przez nich konfiguracja sprzętowa jest zwarta i może działać swobodnie, można ją także łatwo ukryć, np. w środku.... chleba pita ;)

Czytaj więcej...

19 cze 2015

Uwaga na złośliwe oprogramowanie udające akta "afery podsłuchowej"

2

Wyciek dokumentów związanych z tzw. "aferą podsłuchową" stał się pretekstem do łatwiejszych ataków socjotechnicznych na użytkowników polskiego Internetu. Jak donosi zespół CERT.PL jednym z takich przypadków stał się plik o nazwie AKTA CAŁE 1-20.exe

Jest to złośliwe oprogramowanie z dużymi możliwościami: działa jako keylogger, rozprzestrzenia się przez dyski przenośne oraz kradnie zapisane w przeglądarkach i rejestrze systemu hasła, a na domiar złego to tylko niektóre możliwości z jakimi będziemy mieć do czynienia uruchamiając zainfekowany plik. Prawdopodobnie rozprzestrzenia się on poprzez strony udostępniające pliki, które użytkownicy przeszukują aby odnaleźć wszystkie akta dotyczące śledztwa. Złośliwe oprogramowanie jest wykrywane przez  45 z 57 rozwiązań antywirusowych prezentowanych w systemie VirusTotal. Analizowany plik to prymitywny robak, którego głównym zadaniem jest kradzież danych, a w większości antywirusów występuje pod nazwą “Rebhip”. Robak ten po infekcji stacji roboczej ofiary wykonuje szereg czynności:

  1. Wykrada hasła z popularnych przeglądarek internetowych takich jak Internet Explorer oraz Firefox.
  2. Kopiuje siebie na wszystkie dyski przenośne i tworzy odpowiedni plik AUTORUN.INF, który powoduje, że komputer z systemem Windows i włączoną opcją autostartu może zostać zainfekowany po włożeniu dysku przenośnego.
  3. Wstrzykuje się do dwóch procesów: explorer.exe oraz iexplore.exe. Za pomocą tego drugiego procesu prowadzi komunikację sieciową z serwerem C&C. W ten sposób omija zapory ogniowe, które sprawdzają aplikacje komunikujące się z Internetem, bo większość użytkowników zezwala procesowi Internet Explorer na taką komunikację.
  4. Dodaje się w czterech różnych kluczach rejestru, aby zagwarantować sobie uruchomienie wraz ze startem systemu.
  5. Wykrada dane dostępowe do serwisu no-ip.com, dzięki czemu atakujący uzyskuje dostęp do większej liczby domen i może często zmieniać serwer C&C.
Oprócz tego złośliwe oprogramowanie zawiera kod, który ma utrudnić jego analizę za pomocą debuggera. Oprócz standardowych technik takich jak sprawdzenie czy program jest debugowany za pomocą flagi IsBeingDebugged  program sprawdza również czy niektóre funkcje nie zaczynają się od instrukcji powodującej zatrzymanie programu. Jest to częsty zabieg stosowany przez osoby analizujące oprogramowanie aby program działał tak długo, aż dojdzie do interesującej funkcji. Złośliwe oprogramowanie implementuje również metody, które pozwalają na uniknięcie środowisk do analizy. Bazują one na sprawdzeniu klucza instalacji systemu Windows, istnienia pewnych bibliotek DLL lub usług. Po wykradnięciu danych przesyłane są one pod adres w domenie no-ip.info, który wskazuje na adres IP w sieci UPC. Jest także dostawcą usług “dynamicznego DNS” co oznacza, że adres IP na który rozwiązuje się nazwa domenowa może się szybko zmieniać.

Zalecamy ostrożność przy otwieraniu poczty pochodzącej z nieznanych źródeł czy pobieraniu plików z niezaufanych stron internetowych.

Źródło:
www.cert.pl

Czytaj więcej...

14 cze 2015

Siedziby zagranicznych agencji wywiadowczych na zdjęciach satelitarnych i w Google Street View

0

Agencje wywiadowcze i kontrwywiadowcze z całego świata starają się działać skrycie najbardziej jak to tylko możliwe. Dzięki opcji Street View i zdjęciom satelitarnym, można za pomocą kilku kliknięć zobaczyć w Internecie siedziby wspominanych instytucji, rozmieszczenie kamer, miejsce przeprowadzania kontroli itp. W związku z tym faktem, jako ciekawostkę zamieszczamy kilka zdjęć agencji wywiadowczych z Sojuszu Pięciorga Oczu (z ang.: The "Five Eyes" (FVEY)) a także z Niemiec, Rosji i Izraela:

Czytaj więcej...

13 cze 2015

Duqu 2.0 - najbardziej zaawansowane narzędzie do wykradania danych zostało opracowane przez Izrael?

0

W ostatnim tygodniu w branży bezpieczeństwa IT i w kwestii ochrony informacji wiele się działo i to zarówno za granicą jak i w Polsce. Od włamania do jednego z polskich banków, publikacji wrażliwych danych jego klientów (historia szczegółowo opisana tutaj oraz tutaj), następnie wyciek akt w sprawie afery podsłuchowej aż po odkrycie Duqu 2.0 - jak dotąd najbardziej wyrafinowanego i zaawansowanego narzędzia do wykradania danych w rękach hackerów. Z racji opisania dwóch pierwszych przypadków przez inny portal, zostawiając także politykę, skupimy się dzisiaj na ostatnim przypadku. Potężny szczep złośliwego oprogramowania z rodziny Duqu, nazywany Duqu 2.0 zaatakował wiosną tego roku m.in. Kaspersky Lab

Czytaj więcej...

6 cze 2015

Cyberwojna trwa - ataki hackerów na rządy USA i Niemiec, wielki wyciek danych

2

Niecałe trzy tygodnie temu miał miejsce atak cybernetyczny na Bundestag, co kilka dni temu zostało upublicznione. Hakerzy, którzy naruszyli systemy Bundestagu wykradli dane z atakowanej przez nich sieci, co potwierdziła rzeczniczka Bundestagu. Nie podano informacji jakiego rodzaju mogą być to dane. Steffi Lemke, przedstawiciel jednej z partii potwierdził, że wycieki danych i atak cybernetyczny w Bundestagu jest gorszy niż wcześniej sądzono oraz, że Ministerstwo nie potrafi stworzyć sprawnie funkcjonującego systemu cyberobrony. Wyciek danych pochodził z kilku miejsc a hakerzy wykorzystali złośliwe oprogramowanie, aby uzyskać dostęp do wewnętrznych serwerów Bundestagu. Niemiecka agencja informacyjna Der Spiegel poinformowała, że rządowy zespół IT zauważył podejrzane działania, które mogły być związane z atakiem. Niemal równocześnie na podejrzane działania uwagę zwrócili pracownicy wywiadu w Cyber ​​Defence Centre i ostrzegli administrację rządową. Eksperci Bundestagu wykryli dwa zainfekowane komputery w sieci wewnętrznej, które próbowały łączyć się z serwerami C&C znajdującymi się w Europie Wschodniej. Dziennikarze Der Spiegel spekulują, że za atak odpowiadają rosyjscy hakerzy sponsorowani przez Kreml. Po przeprowadzonej analizie, złośliwy kod okazał się podobny do tego użytego w poprzednim ataku na niemiecki rząd, który miał miejsce w 2014 roku. W sieci Bundestagu użytkowanych jest około 20 000 kont, w tym kanclerz Niemiec Angeli Merkel i innych urzędników państwowych. Na pewno nie można wykluczyć, iż złośliwe oprogramowanie mogło zostać wprowadzone "od wewnątrz", być może przez przypadek przez jednego z pracowników a być może przez agenta obcych służb.

Przenosimy się za ocean, gdzie administracja prezydenta Obamy dwa dni temu potwierdziła duży atak cybernetyczny, wycelowany w rząd USA. Ogłoszono, że atak spowodował wyciek danych należących do pracowników rządowych i jest największym naruszeniem danych pracowników federalnych jaki kiedykolwiek miał miejsce. Dane należące do więcej niż czterech milionów (!) obecnych i byłych pracowników rządowych były narażone na atak. Napastnicy uzyskali indywidualne osobiste informacje identyfikujące (PII), w tym numery PESEL, numery ubezpieczeń, stanowiska pracy itp. Naruszenie systemów rozpoczęło się co najmniej pod koniec ubiegłego roku, ale zostało odkryte dopiero w kwietniu tego roku. 

Wykradzione dane dotyczą personelu amerykańskiego, które znajdowały się w posiadaniu Biura Zarządzania Personelem (Office of Personnel Management - OPM) - urzędu, który obsługuje rządowe certyfikaty bezpieczeństwa i akta pracowników federalnych. Wszystkie agencje rządowe prowadzą już śledztwo w tej sprawie, a zgodnie z New York Times, Departament Bezpieczeństwa Krajowego USA (Department of Homeland Security) poprzez zespół CERT użył także "antyhackerskiego" systemu o nazwie EINSTEIN. To właśnie ten system zaalarmował o potencjalnym narażeniu federalnych danych pracowniczych - donosi NYT. Nieoficjalnie o atak podejrzewa się Chiny. Istnieje ryzyko, że skradzione dane mogą być wykorzystywane przez hakerów do kolejnych ruchów w sieciach rządowych i penetrowania kolejnych systemów.

Niepokojący aspekt tych historii jest taki, że ataki tego typu następują po sobie coraz częściej i są coraz bardziej śmiałe. Jesteśmy świadkami zmasowanych ataków wymierzonych w rządy dużych państw, gdzie hackerzy prowadzą otwartą cyberwojnę, najczęściej na zlecenie obcych rządów.


Źródło:
http://www.washingtonpost.com
http://www.nytimes.com
pl.wikipedia.org

Czytaj więcej...

5 cze 2015

Działalność operacyjna aparatu bezpieczeństwa PRL w latach 1945-1989

0

Ustrój komunistyczny w Polsce budowany był na dwóch podstawowych filarach: aparacie represji (obejmującym aparat bezpieczeństwa, wojsko oraz wymiar sprawiedliwości) oraz partii komunistycznej. Wśród organów strzegących „bezpieczeństwa”, tworzonych przez nowe władze powojennej Polski, kluczową rolę odgrywała policja polityczna, czyli Urząd Bezpieczeństwa (do 1956 r.), a następnie Służba Bezpieczeństwa (do 1990 r.). Niejawne instrukcje operacyjne i przepisy w nich zawarte zawierały wskazówki i zasady postępowania dla pracowników aparatu bezpieczeństwa. Instrukcje te głównie poruszały zagadnienia takie jak:
  • wybór kandydatów na tajnych współpracowników;
  • zbieranie informacji na temat kandydata (opracowywanie);
  • pozyskiwanie tajnego współpracownika (werbunek);
  • praca z tajnymi współpracownikami (spotkania) i ich kontrola;
  • działalność związana z codzienną pracą operacyjną.

Czytaj więcej...

 
Do korespondencji zalecamy nasz klucz PGP.
Design by ThemeShift