Kémkedő szkennerek kerültek forgalomba
Egyes vonalkódolvasók és szkennerek kémprogrammal kerültek forgalomba. A szálak Kínáig vezetnek.A kiberbiztonsági megoldásokat fejlesztő TrapX kutatói egy érdekes felfedezést tettek, amikor egy - meg nem nevezett gyártmányú és típusú - vonalkódolvasó került a kezükbe. Arra lettek figyelmesek, hogy az eszköz túlságosan szószátyár, és amennyiben van rá lehetősége, akkor gond nélkül képes adatokat kiszivárogtatni érzékeny vállalati rendszerekből.
A TrapX szerint a szóban forgó szkennert világszerte használják, és különösen a szállítással és logisztikával foglalkozó vállalatok körében elterjedt. A készülék a Windows XP Embedded verziójára épül, amivel még nem lenne probléma, ha az operációs rendszer, valamint a szkennelési feladatokat végző szoftver mellé nem férkőzött volna be egy kémprogram. Amelyik eszközre nem került fel "gyárilag" a károkozó, arra a felhasználók - tudtukon kívül - is feljuttathatták a készülékre, ugyanis a gyártó oldaláról letölthető egyik firmware frissítés is fertőzött volt.
A szkenner használata során a kártevő több tevékenységet végzett. Egyrészt folyamatosan gyűjtötte az adatokat a vállalati hálózatból, amelyhez WiFi-n keresztül csatlakozott. Egyik modulja révén egyes vállalati, pénzügyi rendszerek sebezhetőségeit is ki tudta használni. Másrészt pedig gondoskodott arról, hogy a megszerzett adatok a támadók birtokába kerülhessenek. Ehhez vagy egy helyi szolgáltatást hozott létre például a pénzügyi rendszereket futtató kiszolgálókon, vagy közvetlenül szivárogtatta ki az információkat a hálózatból. A kutatók által feltárt egyik vezérlőszerver Kínában működött éppen abban az iskolában, amelyet korábban már hírbe hoztak a Google-t is célkeresztbe állító Operation Aurora művelettel.
A mostani, Zombie Zero néven emlegetett akció megannyi megválaszolásra váró kérdést hozott felszínre. Az egyik ilyen, hogy miként kerülhetett a kártékony kód az eszközökre. Jon Heimerl, a Solutionary biztonsági stratégája szerint, amikor gyárilag jut fel egy ártalmas kód bármilyen készülékre, akkor annak lehet az az oka, hogy a gyártó kódbázisa kompromittálódik, amit aztán nem vesz észre. Ez legtöbbször a nem megfelelő biztonsági gyakorlatok miatt következik be. Emellett persze a szándékosságot sem lehet kizárni, de erre utaló bizonyítékok egyelőre nem kerültek napvilágra a mostani eset kapcsán.
Hogyan védekezzünk?
"Az előretelepített malware-ek detektálása sajnos nehéz feladat. A legjobb, ha izolált környezetben, szigorú teszteléseknek vetjük alá a különböző hardvereket, mielőtt azokat éles környezetben bevezetnénk" - nyilatkozta Heimerl. Majd hozzátette, hogy tisztában van azzal, hogy mindez erőforrásigényes feladat, és sok cég nem fordít erre kellő figyelmet. Ugyanakkor vannak olyan vállalatok, amelyek kiváló, példamutató munkát végeznek e tekintetben, és megfelelően szimulált környezetekben végzik a teszteléseket. A védelem szempontjából egy másik lehetőség, hogy valós idejű monitorozást kell végezni, amivel felismerhetők a kártékony események, és gyorsan megtehetők a szükséges kockázatcsökkentő intézkedések. Persze az sem árt, ha vállalati környezetben jól ismert, megbízható szállítók termékei közül válogatunk.
-
A GLPI fejlesztői két veszélyes biztonsági résről számoltak be.
-
Öt biztonsági rést foltoztak be a GitLab fejlesztői.
-
A FreeRDP-hez öt patch vált elérhetővé.
-
A Dell biztonsági frissítést adott ki a Custom VMware ESXi-hez.
-
A Google kritikus veszélyességű sebezhetőségeket orvosolt a Chrome webböngésző kapcsán.
-
Az IBM QRadar SIEM-hez egy biztonsági javítás érkezett.
-
A Fortinet FortiNAC-F kapcsán egy biztonsági hibára derült fény.
-
A Firefox legújabb kiadása számos sebezhetőséget orvosolt.
-
A CrushFTP fejlesztői egy biztonsági rést foltoztak be.
-
A GNU C Library kapcsán egy veszélyes biztonsági résre derült fény.
Minden szülő legrosszabb rémálma felvenni egy ismeretlen számról érkező hívást, és azt hallani, hogy a gyermeke segítségért kiált.
Az online társkeresés elterjedésével alapjaiban változott meg az emberek közötti kapcsolatteremtés.