Keyz Cenly Blog

Hơn 12 triệu bộ định tuyến gia đình và doanh nghiệp gặp nguy hiểm

<div dir="ltr" style="text-align: left;" trbidi="on">
<div class="text-justify">
</div>
<div style="text-align: left;">
<a href="http://securitydaily.net/wp-content/uploads/2014/12/Vulnerability-Router-details.png.jpg" onclick="_gaq.push(['_trackEvent', 'outbound-article-int', 'http://securitydaily.net/wp-content/uploads/2014/12/Vulnerability-Router-details.png.jpg', '']);" rel="lightbox[gallery-ZZud]"><img alt="Vulnerability-Router-details.png" class="alignnone size-large wp-image-9741" src="http://securitydaily.net/wp-content/uploads/2014/12/Vulnerability-Router-details.png-700x432.jpg" /></a> Hơn 12 triệu thiết bị định tuyến tại nhà và doanh nghiệp trên thế giới chứa lỗ hổng nghiêm trọng do lỗi phần mềm, có thể bị hacker khai thác từ xa, theo dõi lưu lượng truy cập của người sử dụng và kiểm soát hành chính trên các thiết bị.</div>
Lỗ hổng thực sự nghiêm trọng nằm trong máy chủ web RomPager của công ty nổi tiếng AllegroSoft, máy chủ này thường được nhúng vào trong firmware của router, modem và các thiết bị gateway khác từ các nhà sản xuất hàng đầu. Cung cấp giao diện thân thiện với người dùng trên web cho cấu hình sản phẩm.

Các nhà nghiên cứu tại các công ty phần mềm bảo mật Check Point đã phát hiện ra rằng các phiên bản RomPager trước 4.34 – phần mềm hơn 10 năm nay – rất dễ bị lỗi nghiêm trọng, được gọi là Misfortune Cookie. Lỗ hổng này được gọi là Misfortune Cookie bởi nó cho phép kẻ tấn công kiểm soát các tài nguyên của một yêu cầu HTTP bằng cách thao tác các tập tin cookie.

Cách lỗ hổng khai thác

Lỗ hổng có mã CVE-2014-9222 trong cơ sở dữ liệu Common Vulnerabilities and Exposure có thể khai thác bằng cách gửi một yêu cầu crafted đơn đặc biệt đến máy chủ RomPager mà có thể làm gián đoạn bộ nhớ của thiết bị kết nối, giúp tin tặc kiểm soát máy chủ. Sử dụng cách này, kẻ tấn công có thể nhắm tới bất kỳ thiết bị nào khác trên mạng.

Một khi kẻ tấn công kiểm soát được các thiết bị, chúng có thể theo dõi quá trình duyệt web của nạn nhân, đọc lưu lượng thông qua các thiết bị, thay đổi thiết lập DNS, ăn cắp mật khẩu tài khoản và dữ liệu nhạy cảm của nạn nhân, giám sát hoặc kiểm soát Webcam, máy vi tính, hoặc các thiết bị kết nối mạng khác .

Có ít nhất 200 mẫu các thiết bị gateway khác nhau, hoặc router văn phòng cơ quan/văn phòng tại nhà (SOHO) từ các nhà sản xuất và thương hiệu khác nhau dễ bị lỗ hổng Misfortune Cookie, bao gồm các bộ D-Link, Edimax, Huawei, TP-Link, ZTE và ZyXEL.

Lỗi này không chỉ ảnh hưởng đến các bộ định tuyến, modem và các thiết bị cổng khác mà còn cho bất cứ thiết bị nào kết nối với máy tính cá nhân, điện thoại thông minh, máy tính bảng và máy in đến các thiết bị nhà thông minh như lò vi sóng, tủ lạnh, camera an ninh và nhiều hơn nữa. Điều này đơn giản có nghĩa là nếu một router dễ bị tổn thương thì tất cả các thiết bị kết nối trong mạng LAN đó đều gặp nguy cơ.

Cuộc tấn công tồi tệ

Bất kỳ kẻ tấn công nào cũng có thể khai thác Misfortune Cookie ở bất cứ nơi nào trên thế giới, ngay cả khi thiết bị gateway được cấu hình không lộ giao diện quản trị Web, làm cho lỗ hổng trở nên nguy hiểm hơn.

Bởi vì nhiều router và các thiết bị cổng được cấu hình để chấp nhận yêu cầu kết nối công khai trên cổng 7547 như một phần của một giao thức quản lý từ xa gọi là TR-069 hoặc CWMP (Customer Premises Equipment WAN Management Protocol), cho phép kẻ tấn công gửi một cookie độc hại từ xa đến cổng đó và đưa phần mềm độc hại vào trong máy chủ.

12 triệu thiết bị nguy hiểm trước cuộc tấn công

Lỗ hổng xuất hiện từ năm 2002 và AllegroSoft dường như đã xác định được lỗi trong phần mềm RomPager vào năm 2005, nhưng phần cứng từ các công ty lớn như Huawei, D-Link, ZTE và những công ty khác hiện đang bán các sản phẩm có chứa các phiên bản tồn tại lỗ hổng của RomPager. Như phát hiện của Check Point cho biết rằng 12 triệu thiết bị gateway ở trong các gia đình, văn phòng và tại các địa điểm khác chứa lỗ hổng vẫn còn tồn tại.

Một số nhà cung cấp có thể cập nhật bản vá firmware cho RomPager để khắc phục Misfortune Cookie mà không làm thay đổi số phiên bản hiển thị, hủy bỏ số liệu này như một chỉ số của lỗ hổng. Hiện Misfortune Cookie đang là mối nguy cho hàng triệu gia đình và doanh nghiệp nhỏ trên thế giới. Nếu không sớm có biện pháp khắc phục và bảo vệ, tin tặc sẽ có cơ hội lớn khai thác những thông tin dữ liệu quan trọng.

Hơn 12 triệu bộ định tuyến gia đình và doanh nghiệp gặp nguy hiểm

Hơn 12 triệu thiết bị định tuyến tại nhà và doanh nghiệp trên thế giới chứa lỗ hổng nghiêm trọng do lỗi phần mềm, có thể bị hacker khai...

Lỗ hổng trong trình xem PDF khiến người dùng WikiLeaks và các trang web gặp nguy hiểm

<div dir="ltr" style="text-align: left;" trbidi="on">
Một thành phần mã nguồn mở được sử dụng để hiển thị các tập tin PDF trên WikiLeaks.org và các trang web khác có chứa lỗ hổng có thể bị khai thác để khởi động cross-site scripting (XSS) và tấn công giả mạo nội dung nhắm vào khách truy cập trang. 
Thành phần dễ bị xâm nhập được gọi là FlexPaper và được phát triển bởi một công ty gọi là Devaldi, có trụ sở tại New Zealand. Công ty này đã khẳng định các vấn đề, trong đó lần đầu tiên được báo cáo vào hôm thứ năm trên diễn đàn ủng hộ WikiLeaks và phát hành FlexPaper 2.3.0 để xử lý chúng. 
Tuy nhiên, có vẻ như thành phần vẫn chưa được cập nhật trên WikiLeaks.org, do trang này vẫn sử dụng FlexPaper 2.1.2 trên một số trang vào thứ ba. Vụ việc xảy ra sau khi Wired báo cáo rằng trong năm 2012, FBI đã sử dụng một thành phần dựa trên Flash để theo dõi người dùng Tor và tìm địa chỉ IP (Internet Protocol) thực của họ trong hoạt động có chủ đích nhắm vào người dùng của các trang web khiêu dâm trẻ em được lưu trữ trên mạng Tor. 
Vì khách truy cập WikiLeaks gồm rất nhiều người dùng coi trọng việc bảo mật và ẩn danh của họ, do đó, bất kỳ lỗ hổng nào trong các trang web có thể được sử dụng để làm lộ vị trí thực sự của họ được xem như là một mối đe dọa nghiêm trọng. 
“Với thực tế là hầu hết các trình duyệt sử dụng các plugin cho phép đọc các file PDF, chúng tôi cực lực yêu cầu WikiLeaks liên kết trực tiếp với các tập tin PDF thay vì sử dụng phần mềm của bên thứ ba mà có thể đặt người dùng vào nguy hiểm”, một người dùng có tên Koyaanisqatsi, người đã báo cáo về các lỗ hổng trên diễn đàn WikiLeaks, lên tiếng. 
Đó là những gì WikiLeaks đã làm với hai tài liệu mật về đi du lịch thông qua các sân bay sử dụng ID giả được cho là đã bị rò rỉ từ Cơ quan Tình báo Trung ương Mỹ. Trang web công khai các tài liệu vào hôm chủ nhật và kết nối trực tiếp đến các tập tin PDF thay vì hiển thị chúng trong trình xem tích hợp. 
<div style="text-align: right;">
Pcworld</div>
</div>

Lỗ hổng trong trình xem PDF khiến người dùng WikiLeaks và các trang web gặp nguy hiểm

Một thành phần mã nguồn mở được sử dụng để hiển thị các tập tin PDF trên WikiLeaks.org và các trang web khác có chứa lỗ hổng có thể bị khai...

Thiết bị USBDriveby có thể cài đặt Backdoor trong vài giây

<a href="http://securitydaily.net/wp-content/uploads/2014/12/usb-logo-680x400.jpg" onclick="_gaq.push(['_trackEvent', 'outbound-article-int', 'http://securitydaily.net/wp-content/uploads/2014/12/usb-logo-680x400.jpg', '']);" rel="lightbox[gallery-fzcz]"><img alt="usb-logo-680x400" class="aligncenter size-full wp-image-9755" src="http://securitydaily.net/wp-content/uploads/2014/12/usb-logo-680x400.jpg"/></a>
Samy Kamkar có một tài năng đặc biệt biến những thứ tưởng chừng vô hại trở thành một công cụ tấn công vô cùng đáng sợ. Đầu tiên là một máy bay không người lái rẻ tiền từ nghiên cứu Skyjack và giờ là một USB trị giá 20$ có thể tải mã cài đặt một backdoor trên máy tính chỉ trong vài giây, quyền kiểm soát sẽ nằm trong tay tin tặc.
Kamkar đã làm việc với dự án mới này một vài lần, tìm kiếm một cách để cài đặt backdoor mà không cần sử dụng chuột và bàn phím. Giải pháp ông đưa ra là giả lập bàn phím và chuột và né tránh các biện pháp tường lửa, Kamkar đã tìm ra cách cài đặt backdoor chỉ trong vài giây và giấu nó trong máy tính của bạn. Ông tải code vào một Teensy USB rẻ tiền.
Kamkar cho biết vấn đề khó khăn nhất là tìm ra cách làm thế nào di chuyển giữa các cửa sổ khác nhau trên màn hình mà không cần dùng chuột. “Ứng dụng này rất thú vụ khi bạn tạo ra một cuộc tấn công rất đơn giản.” Kamkar phát biểu trong cuộc phỏng vấn. USBdriveby mà Kamkar tạo ra có cái gì đó tương tự với BadUSB của Karsten Nohl và Jacob Lell mới tiết lộ trong hội nghị bảo mật Black Hat 2014.
Trong cả hai trường hợp, cuộc tấn công lợi dụng sự thật là các máy tính đều có kết nối USB. USBdriveby có thể khởi chạy chỉ trong vài giây và người dùng phổ thông khó có thể phát hiện ra nó. Trong video demo, Kamkar thực hiện cuộc tấn công trên OS X và ông nói rằng code có thể dễ dàng sửa đổi để chạy trên Windows hoặc Linux. USBdriveby sẽ chèn backdoor vào máy tính và ghi đè cài đặt DNS để tin tặc có thể giả mạo các địa chỉ khác nhau như Facebook hay ngân hàng trực tuyến nhằm thu thập mật khẩu người dùng.
<iframe style="display: block; margin: 0px auto;" id="_ytid_49159" width="900" height="534" src="//www.youtube.com/embed/aSLEq7-hlmo?enablejsapi=1&autoplay=0&cc_load_policy=0&iv_load_policy=1&loop=0&modestbranding=0&rel=1&showinfo=1&playsinline=0&autohide=2&theme=dark&color=red&wmode=opaque&vq=&controls=2&" frameborder="0" type="text/html" class="__youtube_prefs__" allowfullscreen webkitallowfullscreen mozallowfullscreen></iframe>

Thiết bị USBDriveby có thể cài đặt Backdoor trong vài giây

Samy Kamkar có một tài năng đặc biệt biến những thứ tưởng chừng vô hại trở thành một công cụ tấn công vô cùng đáng sợ. Đầu tiên là một máy...

Biến thể Zeus nhắm mục tiêu hơn 150 ngân hàng trên thế giới

Một chủng mới của Trojan ngân hàng Zeus đã được phát hiện, với một tập tin cấu hình nhắm đến hơn 150 ngân hàng và 20 hệ thống thanh toán chủ yếu ở các quốc gia ở châu Âu.
Phần mềm độc hại, được đặt tên là Chthonic, dựa trên một phương pháp mới để tải các module của nó và đang phổ biến ở Anh và Tây Ban Nha. Lây nhiễm cũng đã được phát hiện ở các nước châu Âu khác, mặc dù với số lượng thấp hơn, trên các máy tính ở Ý, Đức, Pháp, Bulgaria và Ireland.
Theo dữ liệu từ Kaspersky, trong danh sách các nước bị ảnh hưởng nhất, Mỹ đứng ở vị trí thứ ba, tiếp theo là Nga và Nhật Bản.
Nó được phát tán tới các nạn nhân thông qua bot Andromeda, cũng như thông qua một khai thác cho một lỗ hổng (CVE-2014-1761) trong Microsoft Office, thường phát tán qua email.
Hầu hết các module phần mềm độc hại tương thích với các hệ thống 64-bit
Các nhà nghiên cứu cho biết Trojan ngân hàng mới kết hợp với chương trình mã hóa từ các chủng khác của Zeus, cũng như một máy ảo được tìm thấy trong phần mềm độc hại ZeusVM và KINS. Hơn nữa, đã quan sát được trình mã hóa tương tự trong mối đe dọa Andromeda chịu trách nhiệm về việc tạo ra các botnet cùng tên.
Có vẻ như Chthonic có phương pháp mới để tải các module độc hại, các nhà nghiên cứu cho biết. Điều này đạt được thông qua một module chính tiến hành tải về tất cả các thành phần khác của phần mềm độc hại, sau đó nó bắt đầu tải chúng. Thuật toán AES được sử dụng để mã hóa.
Trong phân tích phần mềm độc hại, các chuyên gia bảo mật từ Kaspersky nhận thấy rằng hầu hết các thành phần phần mềm độc hại tương thích với cả hai nền tảng 32-bit và 64-bit.
Khả năng của Chthonic bao gồm thu thập thông tin hệ thống, đánh cắp mật khẩu từ hệ thống thông qua phần mềm độc hại Pony, ghi lại hoạt động máy tính (keylogger), lây nhiễm web, lấy ủy quyền, và truy cập từ xa vào máy tính bị xâm nhập qua phần mềm máy tính để bàn từ xa VNC.
Không phải tất cả những nỗ lực tấn công đều thành công
Dựa trên kỹ thuật man-in-the-middle, Trojan chặn thông tin liên lạc từ máy con đến ngân hàng mục tiêu và sửa đổi các trang web được tải trong trình duyệt để thu được thông tin ngân hàng nhạy cảm (chi tiết đăng nhập, PIN, mật khẩu) từ các nạn nhân.
Một báo cáo từ Kaspersky giải thích, “Điều đáng chú ý là, mặc dù số lượng lớn các mục tiêu trong danh sách, nhiều đoạn mã được Trojan sử dụng để thực hiện lây nhiễm web có thể không còn được sử dụng, vì các ngân hàng đã thay đổi cấu trúc các trang của họ và trong một số trường hợp , cả tên miền cũng vậy”.
Chthonic là kết quả của mã Zeus bị rò rỉ trên các diễn đàn ngầm. Điều này cho phép các tội phạm khác nhau dùng cùng phiên bản phần mềm độc hại.
Softpedia

Biến thể Zeus nhắm mục tiêu hơn 150 ngân hàng trên thế giới

Một chủng mới của Trojan ngân hàng Zeus đã được phát hiện, với một tập tin cấu hình nhắm đến hơn 150 ngân hàng và 20 hệ thống thanh toán ch...

Malware Ursnif đánh cắp dữ liệu lây lan tại Mỹ và Anh

Các nhà nghiên cứu tại Trend Micro đã quan sát một loạt sự lây nhiễm của malware Ursnif. Các quốc giả bị ảnh hưởng nhiều nhất là Mỹ và Anh.

Ursnif là một mã độc được sử dụng bởi tội phạm mạng nhằm đánh cắp mật khẩu và những thông tin nhạy cảm khác thông qua việc lây lan trên các thiết bị. Tuy nhiên, biến thể mới của Ursnif là PE_URSNIF.A-O đang gia tăng đột biến có khả năng lây nhiễm giữa các tệp tin với nhau. Mĩ chiếm 39.5% và Anh chiếm 35.51% số lượng các lây nhiễm. Malware này cũng được phát hiện tại Canada (19%) và Thổ Nhĩ Kỳ (1.92%). Giáo dục, tài chính và sản xuất là những ngành bị ảnh hưởng nhiều nhất thông qua việc phát tán thư rác và phần mềm chứa Trojan.

Biến thể của Ursnif phân tích bởi Tren Micro lây nhiễm các tệp tin .PDF, .MSI, . EXE trên USB và ổ đĩa mạng. Không giống như các mã độc khác chèn mã độc vào tệp tin host, PE_URSNIF.A-O tích hợp tệp tin này vào tài nguyên của nó. Khi những tệp tin bị nhiễm độc được nạn nhân sử dụng, mã độc sẽ nhả tệp tin gốc ra và mở một cách bình thường nhằm tránh việc bị nghi ngờ.

Một kĩ thuật chống bị phsat hiện được Ursnif sử dụng là tạm thời ngừng hoạt động trong 30 phút trước khi bắt đầu lây nhiễm. Điều này giúp nó tránh được sự theo dõi các tệp tin đáng ngờ (thường chỉ lên đến 5 phút). Các quản trị viên được khuyến cáo bảo vệ mạng trước loại malware này bằng cách chú ý đến cách thức thiết đặt chia sẻ mạng. Đảm bảo rằng các máy tính không có quyền truy cập đầy đủ trong mạng và thiết đặt chế độc truy cập chỉ đọc (read-only).

Các sản phẩm của Trend Micro phát hiện được PE_URSNIF.A1 trong tệp tin . MSI và PE_URSNIF.A2. trong tệp tin .PDF và .EXE.

<div style="text-align: right;">
Securityweek</div>
</div>

Malware Ursnif đánh cắp dữ liệu lây lan tại Mỹ và Anh

Các nhà nghiên cứu tại Trend Micro đã quan sát một loạt sự lây nhiễm của malware Ursnif. Các quốc giả bị ảnh hưởng nhiều nhất là Mỹ và ...

Masque Attack – Phương thức mới tấn công vào iOS

Một lỗ hổng bảo mật trong hệ điều hành iOS di động của Apple đã làm cho hầu hết các iPhone và iPad rất dễ bị tấn công. Tin tặc từ đó dễ dàng tìm cách tiếp cận vào dữ liệu nhạy cảm và kiểm soát thiết bị của họ.

Thông tin mới này do công ty bảo mật Cyber FireEye thông báo, nói rằng lỗ hổng này cho phép tin tặc truy cập các thiết bị bằng cách lừa người dùng tải về và cài đặt ứng dụng độc hại iOS trên iPhone hoặc iPad thông qua tin nhắn văn bản, email hoặc liên kết web độc hại.

MASQUE ATTACK thay thế APPS tin cậy

Các ứng dụng iOS độc hại sau đó được sử dụng để thay thế các ứng dụng hợp pháp, chẳng hạn như ứng dụng ngân hàng hoặc các ứng dụng mạng xã hội mà được cài đặt thông qua App Store chính thức của Apple. FireEye đã gọi nó là Masque Attack.

Các nhà nghiên cứu nói: “Lỗ hổng này tồn tại bởi vì iOS không thi hành các chứng chỉ phù hợp cho các ứng dụng. Một kẻ tấn công có thể tận dụng lỗ hổng này thông qua cả mạng không dây và USB”.

Masque Attack có thể được sử dụng để ăn cắp thông tin ngân hàng và đăng nhập email hoặc thông tin nhạy cảm khác của người sử dụng. Các nhà nghiên cứu bảo mật phát hiện ra rằng các cuộc tấn công Masque hoạt động trên hệ điều hành di động của Apple bao gồm cả iOS 7.1.1, 7.1.2, 8.0, 8.1, 8.1.1 beta và tất cả các iPhone, iPad chạy iOS 7 hay các thiết bị jailbroken. Theo FireEye, phần lớn, tức là 95% tất cả các thiết bị iOS hiện đang sử dụng là có khả năng dễ bị tấn công.

<h4>
MASQUE ATTACK nguy hiểm hơn WIRELURKER</h4>
Kỹ thuật Masque Attack được sử dụng gần giống với WireLurker, phần mềm độc hại được hãng bảo mật Palo Alto Networks phát hiện tuần trước đã nhắm mục tiêu vào người dùng Apple tại Trung Quốc, cho phép các ứng dụng bất hợp pháp đánh cắp các thông tin tải về từ Internet. Nhưng phần mềm độc hại Masque Attack còn là mối đe dọa lớn hơn nhiều so với Wirelurker.

Bời “Masque Attack có thể thay thế các ứng dụng xác thực, chẳng hạn như các ứng dụng ngân hàng và email, sử dụng phần mềm độc hại tấn công thông qua Internet. Điều đó có nghĩa là những kẻ tấn công có thể đánh cắp thông tin ngân hàng của người sử dụng bằng cách thay thế một ứng dụng ngân hàng đích thực với một phần mềm độc hại có giao diện giống hệt nhau. Đáng ngạc nhiên, phần mềm độc hại thậm chí có thể truy cập dữ liệu ứng dụng ban đầu mà không bị loại bỏ khi các ứng dụng ban đầu đã được thay thế. Những dữ liệu này có thể chứa các email được lưu trữ hoặc thậm chí là thẻ đăng nhập mà phần mềm độc hại có thể sử dụng để đăng nhập vào tài khoản của người dùng trực tiếp”.

<h4>
Cách bảo vệ khỏi MASQUE ATTACK</h4>
Các thiết bị của Apple chạy iOS được coi là an toàn hơn so với các thiết bị chạy hệ điều hành Windows của Microsoft và Android của Google nhưng hiện nay, iOS đã trở thành mục tiêu phổ biến hơn đối với tội phạm mạng.

Để tránh trở thành nạn nhân của tấn công Masque, người dùng có thể làm theo một số bước đơn giản dưới đây:

<ul>
<li>Không tải về bất kỳ ứng dụng bạn được cung cấp thông qua email, tin nhắn văn bản, hoặc các liên kết web.</li>
<li>Không cài đặt các ứng dụng được cung cấp trên cửa sổ pop-up từ các trang web của bên thứ ba.</li>
<li>Nếu iOS cảnh báo người dùng về một “Untrusted App Developer”, hãy click vào “Do not Trust” và ngay lập tức gỡ bỏ cài đặt các ứng dụng.</li>
</ul>
Tóm lại, cách đơn giản nhất để bảo vệ thiết bị của bạn khỏi các loại mối đe dọa là tránh tải về các ứng dụng có nguồn không đáng tin, chỉ tải về trực tiếp các ứng dụng từ App Store.

Masque Attack – Phương thức mới tấn công vào iOS

Android từ lâu đã trở thành một mục tiêu cho tội phạm mạng, nhưng bây giờ, có vẻ như tội phạm mạng đang dần chuyển sang nhắm mục tiêu v...

Đánh cắp tiền qua lỗ hổng trong thẻ thanh toán không tiếp xúc của VISA

Thẻ thanh toán không tiếp xúc sử dụng một cryptoprocessor và công nghệ RFID để thực hiện giao dịch an toàn mà không cần phải đưa thẻ vào máy đọc, thậm chí là một thiết bị di động được trang bị NFC cũng có thể được sử dụng như một thẻ thanh toán. Nhưng chính vì thế mà người dùng có thể bị móc túi một cách dễ dàng. Và số tiền có thể lên đến xấp xỉ một triệu đô la.

Các nhà nghiên cứu tại Hội nghị ACM về máy tính và an ninh mạng lần thứ 21 đã trình bày chi tiết cuộc tấn công. Cuộc tấn công dựa vào một thiết bị đầu cuối POS chạy trên một chiếc di động được cài đặt trước số tiền rất lớn. Kẻ xấu có thể chạm chiếc điện thoại di động vào ví của người dùng để lấy thông tin và từ đó có thể thiết lập số tiền chuyển khoản.

Các chuyên gia lo lắng rằng hệ thống thẻ thanh toán không tiếp xúc là không an toàn, tội phạm mạng có thể sẽ sử dụng lỗ hổng này để thiết lập hàng trăm hoặc hàng ngàn giao dịch gian lận.

Visa Europe cho biết rằng khả năng hệ thống thẻ thanh toán không tiếp xúc bị tấn công khó thực hiện trên thực tế. Và công ty đang cập nhật các lớp bảo vệ, đòi hỏi khi giao dịch phải có xác thực trực tuyến để đảm bảo an toàn hơn.

Đánh cắp tiền qua lỗ hổng trong thẻ thanh toán không tiếp xúc của VISA

Các nhà nghiên cứu bảo mật từ Đại học Newcastle ở Anh đã tìm ra một cách để ăn cắp tiền từ túi của người dân chỉ với một chiếc điện th...

Facebook thiết lập dịch vụ ẩn danh cho người dùng TOR

<div dir="ltr" style="text-align: left;" trbidi="on">
<div class="text-justify">
</div>
<div style="text-align: center;">
<img alt="internet-facebook-brings-hidden-service-to-the-tor-network" class="aligncenter size-full wp-image-8726" src="http://securitydaily.net/wp-content/uploads/2014/11/internet-facebook-brings-hidden-service-to-the-tor-network.jpg" /></div>
<div style="text-align: left;">
Trong một bài blog thông báo dich vụ ẩn của Facebook, kĩ sư phần mềm Alec, Muffett đã thông báo rằng Facebook đã có dịch vụ cho phép người dùng Tor kết nối trực tiếp đến trung tâm cơ sở dữ liệu của Facebook thông qua <a href="https://facebookcorewwwi.onion/" onclick="_gaq.push(['_trackEvent', 'outbound-article', 'https://facebookcorewwwi.onion', 'https://facebookcorewwwi.onion']);">https://facebookcorewwwi.onion</a></div>
“Địa chỉ onion của Facebook cung cấp một cách truy cập Facebook thông qua Tor mà không bị mất đi kết nối bảo vệ được cung cấp bởi Tor cloud”. Một trong những khía cạnh Facebook coi là độc đáo trong thiết kế dịch vụ này là việc thực thi SSL thông qua Tor. “Chúng tôi quyết định sử dụng SSL trên dịch vụ này dựa vào việc cân nhắc về kiến trúc thiết kế, ví dụ chúng tôi sử dụng Tor daemon như một proxy đảo ngược trong cân bằng tải và lưu lượng truy cập Facebook yêu cầu bảo vệ SSL. Kết quả là chúng tôi cung cấp chứng chỉ SSL trích dẫn những địa chỉ onion – cơ chế này loại bỏ cảnh báo chứng chỉ SSL của trình duyệt Tor dành cho những địa chỉ onion đó và gia tăng độ tin cậy dịch vụ này thực sự là của Facebook.”. 
Địa chỉ Intenet chỉ có thể được quản lí thông qua mạng Tor khi kết thúc bằng .onion. Mục đích là mã hóa dữ liệu nhiều lớp như “củ hành”. Trình duyệt Tor che dấu vị trí người dùng bằng cách chuyển yêu cầu của họ đến một số trạm trung gian trước khi đến đích. Nó này đảm bảo sự ẩn danh hơn trình duyệt web thông thường. Ở các nước có kiểm duyệt Internet, người dùng Tor có thể phá vỡ các rào cản. Nhưng người dùng Tor gặp phải vấn đề với Facebook. Bời vì yêu cầu của họ được đi đến nhiều nơi khác nhau rồi mới về máy chủ. “Với hệ thống của chúng tôi, nó sẽ theo dõi một người truy cập từ Úc rồi đột nhiên lại ở Thụy Điển hoặc Canada. Facebook sẽ coi tài khoản đó bị xâm nhập và sẽ có biện pháp xử lí. Vì vậy Facebook phải tạo ra một cổng kết nối trực tiếp đến cơ sở dữ liệu trong mạng Tor. 
Mặc dù được coi là mạng lưới bảo mật và ẩn danh, Tor đang gặp một số vấn đề bảo mật trong thời gian gần đây. Đầu năm nay, mạng lưới này đã cảnh báo người dùng có một tin tặc đang cố gắng giải mã lưu lượng ẩn danh gần 6 tháng. Tuần này cũng đã có thông tin tồn tại một exit node độc hại, cầu nối mạng Tor với mạng Internet, thêm malware vào file người dùng tải về. 
<div style="text-align: right;">
ZDNet</div>
</div>

Facebook thiết lập dịch vụ ẩn danh cho người dùng TOR

Trong một bài blog thông báo dich vụ ẩn của Facebook, kĩ sư phần mềm Alec, Muffett đã thông báo rằng Facebook đã có dịch vụ cho phép n...

Mã độc BlackEnergy APT có thể tạo ra các cuộc tấn công APT trên cả windows và linux

<div dir="ltr" style="text-align: left;" trbidi="on">
<div class="text-justify">
</div>
<div style="text-align: center;">
<a href="http://securitydaily.net/wp-content/uploads/2014/11/alexskopje_cyber-attack_shutterstock.jpg" onclick="_gaq.push(['_trackEvent', 'outbound-article-int', 'http://securitydaily.net/wp-content/uploads/2014/11/alexskopje_cyber-attack_shutterstock.jpg', '']);" rel="lightbox[gallery-ocwE]"><img alt="BlackEnergy APT có một danh sách phong phú Plug-in cho Windows và Linux" class="alignnone wp-image-8777 size-large" height="420" src="http://securitydaily.net/wp-content/uploads/2014/11/alexskopje_cyber-attack_shutterstock-700x420.jpg" width="700" /></a></div>
Được biết đến do được sử dụng trong các hoạt động gián điệp không gian mạng cũng như trong các chiến dịch thúc đẩy tài chính, mối nguy hiểm từ các cuộc tấn công APT BlackEnergy có một cơ sở hạ tầng toàn vẹn đằng sau và một nhóm chuyên nghiệp, được gọi là Sandworm, tùy chỉnh các chức năng cho một nhiệm vụ nhất định. 
Phần mềm độc hại đã được sử dụng cho một số cuộc tấn công có chủ đích, một trong những cuộc tấn công gần đây nhất tận dụng một lỗ hổng zero-day trong Windows để chống lại các tổ chức khác nhau, từ NATO và các tổ chức chính phủ ở Ukraine, Tây Âu cho đến các công ty viễn thông và các lĩnh vực năng lượng. 
Công cụ DDoS cho hệ thống ARM 
Các nhà nghiên cứu bảo mật tại Kaspersky đã phân tích các công cụ và các tập tin cấu hình khác nhau của phần mềm độc hại, Kaspersky đã trình bày phát hiện của họ trong một báo cáo vào hôm thứ hai, cho thấy một loạt các plugin tùy chỉnh được tạo ra cho các mối đe dọa thực hiện các hoạt động độc hại trên cả hai hệ thống Windows và Linux. 
Sau khi giành được quyền kiểm soát các máy chủ (C&C), các nhà nghiên cứu cũng phát hiện ra một tập tin cấu hình bao gồm các module đánh cắp mật khẩu từ một số giao thức mạng (SMTP, POP3, IMAP, HTTP, FTP, Telnet), gửi phần mềm độc hại và triển khai tấn công DDoS (tấn công từ chối dịch vụ). 
Điều thú vị là, plug-in DDoS, “weap_hwi,” đã được biên soạn để chạy trên các hệ thống ARM, trong đó bao gồm hầu hết các hệ điều hành di động (iOS, Android, Windows Phone, BlackBerry, Firefox OS). 
Module được thiết kế với kiến trúc Linux cũng chứa các chức năng cho phép quét các cổng, đăng nhập IP nguồn và đích, giao tiếp với C&C để tải các plug-in khác hoặc cập nhật. 
Trong số các lệnh có sẵn, các nhà nghiên cứu phát hiện ra rằng những kẻ tấn công có khả năng xóa tất cả các dấu hiệu lây nhiễm phần mềm độc hại từ các hệ thống bị ảnh hưởng và sau đó khởi động lại máy. 
Không phải tất cả các plug-in đều được tìm thấy, IP Bộ Quốc phòng Nga được tìm thấy trong số các mục tiêu 
]Sandworm mở rộng khả năng cho phép tìm kiếm các loại tập tin cụ thể, chụp ảnh màn hình, trải rộng trên các mạng mục tiêu, chạy phiên máy tính để bàn từ xa, lây nhiễm các tập tin, đăng nhập lưu lượng truy cập, ghi đè lên các thông tin trên đĩa cứng, đăng nhập tổ hợp phím mở rộng và thu thập thông tin chi tiết về hệ thống (BIOS, thiết bị kết nối USB) và mạng. 
Mặc dù danh sách các plug-in được thu thập từ các máy chủ C&C là rất lớn, các nhà nghiên cứu có bằng chứng cho thấy sẽ còn nhiều hơn plug-in tồn tại. 
Trong khi phân tích, họ thấy một công cụ gọi là “GRC” thường được sử dụng để phân tích cú pháp HTML. Phần bổ sung là một ID Google Plus được cung cấp, trong đó có hơn 76 triệu lượt xem tại thời điểm viết. Các nhà nghiên cứu giải thích rằng công cụ tải và giải mã hình ảnh PNG có thể chứa một địa chỉ máy chủ C&C mới nhưng hiện tại chưa tìm được thông tin này. 
Dựa trên các lệnh họ quan sát, Kaspersky cho rằng có một plug-in dùng để truy cập vào các bộ định tuyến là có sẵn. Họ tìm thấy hai địa chỉ IP chủ đích dành cho DDoS, một thuộc Bộ Quốc phòng Nga và cái kia cho trang web chính phủ của Bộ Nội vụ Thổ Nhĩ Kỳ. 
<div style="text-align: right;">
Softpedia</div>
</div>

Mã độc BlackEnergy APT có thể tạo ra các cuộc tấn công APT trên cả windows và linux

Được biết đến do được sử dụng trong các hoạt động gián điệp không gian mạng cũng như trong các chiến dịch thúc đẩy tài chính, mối nguy ...