22 lis 2015

Terroryści z ISIS korzystają z poradnika OPSEC opracowanego przez firmę z Kuwejtu

3

Niedawne, spowodowane przez terrorystów z ISIS tragiczne wydarzenia w Egipcie i Francji zwróciły uwagę całego świata. Media donosiły o aktualnych wydarzeniach, jednocześnie zadając sobie pytanie: dlaczego służby specjalne nie zapobiegły tym aktom terroryzmu? W wielu przypadkach jedną z odpowiedzi było stwierdzenie, iż członkowie ISIS do komunikacji korzystają z powszechnie dostępnych, coraz skuteczniejszych rozwiązań opartych na szyfrowaniu, co jest faktem potwierdzonym przez służby wywiadowcze i antyterrorystyczne z całego świata. Skąd terroryści czerpią wiedzę z zakresu bezpieczeństwa IT i OPSEC? Z jakich rozwiązań korzystają?

Kilka dni temu, na stronie amerykańskiego magazynu Wired ukazał się artykuł, który rzuca nieco światła na zadane powyżej pytania. Według artykułu członkowie ISIS korzystają m.in. z 34-stronicowego poradnika dotyczącego bezpieczeństwa operacyjnego (OPSEC). Na ślad tego dokumentu (a także innych) natrafił Aaron F. Brantly i inni pracownicy z Centrum Zwalczania Terroryzmu z akademii wojskowej w West Point (CTC). Dokumenty te, poprzez działania typu OSINT, zostały znalezione na forach, czatach i kontach społecznościowych powiązanych z ISIS.

Poradnik ten (w oryginale w języku arabskim) opracowany został przez powiązaną z bezpieczeństwem firmę rodem z Kuwejtu - Cyberkov. Warto zaznaczyć, iż dokument opracowany został przez Cyberkov około rok temu, jako poradnik dla dziennikarzy i działaczy politycznych w Gazie, aby mogli oni chronić tożsamość swoją oraz swoich źródeł. Jak się okazało, ISIS przejęło go na własny użytek i wykorzystuje w działalności terrorystycznej.

Poradnik został przetłumaczony na język angielski, w skrócie zaleca on wykorzystanie:
  • sieci TOR, przeglądarki Aviator i Opera mini celem przeglądania zasobów sieci Internet;
  • usług VPN (oraz aplikacji Freedome);
  • serwisów Hushmail, ProtonMail oraz Tutanota celem komunikacji e-mail;
  • aplikacji Threema, Telegram, SureSpot, Wickr, Cryptocat, PQChat, Sicher oraz iMassage celem przesyłania wiadomości;
  • rozwiązań Liphone, aplikacji IO Swisscom, rozwiązań SilentCircle, RedPhone, Signal oraz FaceTime celem szyfrowanej komunikacji, m.in. VoIP;
  • rozwiązań Mega, SpiderOak, SugarSync oraz Copy.com celem przechowywania danych w chmurze;
  • rozwiązań TrueCrypt, VeraCrypt oraz Windows BitLocker celem szyfrowania nośników danych;
  • rozwiązań Twitter (poprzez SMS), FireChat, Tin-Chan, The Serval Mesh jeśli dostęp do Internetu jest ograniczony lub niemożliwy;
  • złożonych i długich haseł.
Przewodnik zawiera również instrukcję ochrony konta na Twitterze (utrudniając jego przejęcie), wyłączenie tagowania lokalizacji GPS podczas wykonywania fotografii (w tym fałszowanie lokalizacji), wyłączenie usług lokalizacyjnych dla telefonów komórkowych oraz wiele innych. Dokument równocześnie nie zaleca wykorzystywania m.in. rozwiązań takich jak: Dropbox, Instagram oraz Facebook. Według pracowników Centrum Zwalczania Terroryzmu poradnik został wykonany na dość wysokim poziomie.

Swoją drogą, zwolennicy dżihadu i ISIS bardzo chętnie korzystają z rozwiązań opracowanych i stworzonych przez "niewiernych". Na domiar złego, jak donosi The Register w swoim artykule, całkiem niedawno uruchomiony został 24-godzinny helpdesk dla sympatyków dżihadu, oferujący pomoc w działaniach rekrutacyjnych, propagandowych i operacyjnych.

Oryginalny tekst dokumentu dostępny jest tutaj:
Przetłumaczoną wersję poradnika można znaleźć tutaj:


Źródło:
http://www.wired.com
http://www.theregister.co.uk

Czytaj więcej...

18 lis 2015

Zwiększenie prywatności i bezpieczeństwa w systemie OS X 10.11 'El Capitan'

0

Dokładnie 30 września 2015 roku firma Apple opublikowała najnowszy system operacyjny z rodziny Unix, dostępny (oficjalnie) jedynie dla komputerów Macintosh - mowa oczywiście o OS X w wersji 10.11 - nazwa kodowa El Capitan. Dziesiąta już wersja systemu od Apple powstała w oparciu o jądro Mach, które zostało opracowane i stworzone na amerykańskim Uniwersytecie Carnegie-Mellon. OS X to tak naprawdę wydany przez Apple otwarty system operacyjny Darwin, z dodanymi licznymi komponentami własnościowymi, takimi jak interfejs Aqua i eksplorator Finder. Współtwórcą najnowszego OS X od Apple jest dr Avie Tevanian, dawny pracownik naukowy... wspomnianego wcześniej uniwersytetu. OS X opiera się na jądrze XNU (akronim od słów: X is Not Unix), ale mimo tego posiada on charakterystyczne dla systemu Unix komendy dostępne z wiersza poleceń. Pomimo swojego prostego, wygodnego interfejsu przeznaczonego głownie dla mniej zaawansowanych, domowych użytkowników, OS X można dość zaawansowanie konfigurować. Przeglądając zasoby sieci Internet natrafiliśmy na ciekawy, obszerny poradnik, umożliwiający bardziej zaawansowanym użytkownikom zwiększyć prywatność i bezpieczeństwo w swoich komputerach od Apple wyposażonych w El Capitana. 

Etap przygotowania OS X do instalacji
(
źródło: https://github.com/drduh/OS-X-Security-and-Privacy-Guide)

Poradnik ten, zamieszczony w serwisie GitHub, został napisany w języku angielskim i jest stale rozwijany oraz rozbudowywany. Znajdziemy w nim sporo zaawansowanych, opisanych krok po kroku ustawień, dotyczących m.in.: pełnego szyfrowania dysku twardego, konfiguracji zapory, filtrowania pakietów, szyfrowania ruchu DNS, zastosowania OpenSSL, szyfrowania wiadomości e-mail poprzez PGP/GPG, zastosowania szyfrowanego protokołu OTR w przesyłanych wiadomościach (np. poprzez Adium), stworzenie VPN a nawet przeglądanie Internetu z wykorzystaniem trasowania cebulowego w sieci TOR oraz wiele innych.

Tor na Macu? Nie ma sprawy :)
(źródło: https://github.com/drduh/OS-X-Security-and-Privacy-Guide)


Poradnik ten polecamy wszystkim tym, którzy na co dzień pracują na systemie OS X 10.11 i czują potrzebę zwiększenia bezpieczeństwa i poprawienia ustawień prywatności w swoich Macach. 


Cały poradnik dostępny jest pod tym adresem:
https://github.com/drduh/OS-X-Security-and-Privacy-Guide



Źródło:
https://github.com
http://wikipedia.org

Czytaj więcej...

12 lis 2015

Przykład próby wyłudzenia danych osobowych podczas zakupu w sklepie internetowym

9

Jeden z naszych czytelników dostarczył nam materiał przedstawiający klasyczną próbę wyłudzenia informacji (danych osobowych) podczas zakupów w sieci Internet. Postanowił on zakupić mało popularną grę w pewnym zagranicznym sklepie internetowym, wyglądającym profesjonalnie i posiadającym bardzo dobre opinie. Po rejestracji w serwisie, wybraniu produktu i po wpłaceniu pieniędzy poprzez system PayPal, otrzymał on na swoją skrzynkę pocztową wiadomość od sklepu internetowego, która wprawiła go w niemałe zdziwienie. Nasz czytelnik twierdzi, iż od wielu lat dokonuje zakupów poprzez sieć Internet i system PayPal, ale z taką próbą wyłudzenia informacji spotkał się po raz pierwszy. Oto wspomniana przez nas wiadomość, którą otrzymał nasz czytelnik:

Czytaj więcej...

10 lis 2015

SpiderFoot - darmowe narzędzie do gromadzenia danych typu OSINT

2

Biały wywiad zwany także wywiadem źródeł jawnych (ang. Open Source Intelligence, OSINT) to gromadzenie informacji pochodzących z jawnych, ogólnie dostępnych źródeł. Wykorzystywany głównie przez służby na całym świecie, o czym szerzej pisaliśmy niedawno w naszym artykule. Narzędzie SpiderTool to darmowa aplikacja typu opensource, dzięki której jesteśmy w stanie zgromadzić tego typu dane na własnym komputerze. SpiderFoot został napisany w języku Python i umożliwia zautomatyzowane gromadzenie danych o wybranym celu w interfejsie graficznym poprzez przeglądarkę internetową. Zarówno instalacja jak i obsługa tego narzędzia jest bardzo prosta, pomimo anglojęzycznego interfejsu. Obecna wersja programu 2.6.1 (wydana w dniu wczorajszym, dostępna tutaj) jak i wcześniejsze, działają pod systemami operacyjnymi z rodziny Linux/BSD/Solaris i Windows, a ich kod źródłowy udostępniony został w serwisie GitHub. 

Czytaj więcej...

7 lis 2015

Raport Biura Wywiadu i Analiz DHS USA dot. szyfrowanych wiadomości w aplikacjach

0

Kilka dni temu The Intercept opublikował raport Biura Wywiadu i Analiz (I&A) Departamentu Bezpieczeństwa Krajowego Stanów Zjednoczonych (Department of Homeland Security, DHS). W tym dwunastostronicowym dokumencie znajdziemy informacje na temat rosnącego wykorzystywania technologii szyfrowania w aplikacjach i komunikatorach telefonii komórkowej, a w związku z powyższym obawy przed zmniejszeniem możliwości wywiadowczych. Raport pozyskany przez The Intercept jest dokumentem jawnym, został jednak opatrzony klauzulą "tylko do użytku służbowego". Wyczytamy w nim, iż powszechne stosowanie szyfrowania w komunikatorach stawia służby specjalne przed sporym wyzwaniem, a jako jedno z rozwiązań proponuje się zwiększenie ilości informatorów. Pełny tytuł raportu to: "Going Dark - Covert Messaging Applications and Law Enforcement Implications".

Czytaj więcej...

6 lis 2015

VTS - darmowe narzędzie, które wykryje podatności w Twoim Androidzie

2

Narzędzie Vulnerability Test Suite (VTS) for Android to świeża aplikacja od NowSecure OSS dla systemów Android w wersji 4.03 i nowszych, która ma za zadanie uświadamiać użytkowników o możliwych podatnościach i lukach w ich telefonach (lub innych urządzeniach opartych na systemie Android). VTS for Android jest darmowym oprogramowaniem typu opensource, co jest dużą zaletą, ponadto nie wymaga od urządzenia praw roota ani podwyższonych uprawnień. Niestety jest to aplikacja, która tylko wykryje podatności, bez możliwości ich wyeliminowania. Obecna wersja VTS zajmuje niecałe 5 MB, a po zainstalowaniu umożliwia wykonanie szybkiego skanu urządzenia, pozwalając wykryć m.in. takie podatności jak:

 
Animacja pokazująca działanie narzędzia VTS
 (źródło: https://github.com)


Narzędzie VTS można pobrać z Google Play lub z GitHub:
https://play.google.com/store/apps/details?id=com.nowsecure.android.vts
https://github.com/nowsecure/android-vts 

Jak wypadł Wasz telefon na Androidzie?

Niestety aplikacja została usunięta z Google Play, prawdopodobnie (jak zauważył nasz czytelnik), za sprawą naruszenia wizerunku firmy Google. Najnowszą wersję aplikacji VTS (v13 z 16.12.2015r.) można pobrać pod tym adresem:

https://www.apkmirror.com/wp-content/themes/APKMirror/download.php?id=51207

Źródło:
https://github.com

Czytaj więcej...

4 lis 2015

Korzystasz z KeePass? Twoje hasła i inne informacje nie są bezpieczne.

16

Aplikacja KeePass Password Safe to darmowe narzędzie typu opensource, umożliwiające przechowywanie, zarządzanie i generowanie haseł. Wszystkie poufne informacje (w tym hasła) przechowywane są w szyfrowanej bazie danych, zabezpieczonej algorytmem szyfrującym Rijndael (AES), a dostęp do bazy otrzymujemy po wpisaniu głównego hasła. Narzędzie bardzo wygodne dla administratorów oraz m.in. dla tych, którzy posiadają wiele kont w różnych serwisach i celem zwiększenia bezpieczeństwa stosują inne hasło w każdym z nich. Niestety dla użytkowników tego darmowego narzędzia mamy złą informację. Dokładnie osiem dni temu nowozelandzki pentester i badacz bezpieczeństwa, Denis Andzakovic opublikował w serwisie Github darmowe narzędzie o prześmiewczej nazwie "KeeFarce", które korzysta z API C# (CLRMD) i umożliwia ominięcie mechanizmu szyfrowania w programie KeePass (atak na proces) i wydobycie z niego wszystkich poufnych informacji, łącznie z... zapisanymi w bazie hasłami.

Czytaj więcej...

 
Do korespondencji zalecamy nasz klucz PGP.
Design by ThemeShift