- Že online fraudy rastú, nie je prekvapivé. Pozoruhodné je, ako sa to deje.
- Médiá sa nadchýnajú útokmi, profesionáli zraniteľnosťami. Lebo o tom je kyberzločin
- Umelá inteligencia sa stále zlepšuje, lebo ju kŕmime všetci. A kyberbezpečnosť sa otriasa v základoch
- Internetové blackouty. Ďalší nový normál?
- Čo nás čaká v kyberbezpečnosti: viac útokov, umelá inteligencia a zrýchlenie
- Výskumníci vyčítajú Applu, že informácie o nás zbiera nezákonne, a ďalšie kauzy ochrany údajov
- Ako funguje fabrika na kybernetický zločin
- Hrozby pre siete, vydieranie a kľúčové kyberzločinecké skupiny. Toto sú trendy
- Je to nepreložiteľné, médiá to milujú a bezpečáci bez toho nevedia žiť. Threat Intelligence
- Koľko to stojí a ako to bolí, keď sa šafári s osobnými údajmi
- Zdravotníctvo? Tieto fakty o bezpečnosti by ste radšej nevedeli
- Botnet je tradičný, brutálny a funkčný útok. Prečo sa mu bude dariť?
- Tak aby bolo jasno: Čo je sledovanie a čo špehovanie používateľov?
- Exkurzia do sveta bezpečnostných technológií, kam nepozývajú návštevníkov často
- Svet sa pripravuje na smršť ransomvéru. Posledný diel skladačky zapadol
- 28.2.2022 Ponúkame obciam a mestám bezodplatné konzultácie v kybernetickej bezpečnosti
- Nedostatok čipov dostihol už aj bezpečákov. Lebo bezpečnostné čipy.
- Ako to funguje, keď sa obchoduje so zraniteľnosťami
- Útočilo sa rýchlo a zbesilo. A ako ďalej v kyberbezpečnosti?
- Máte Apple? Toto by ste mali vedieť. Alebo máte Android? Aj pre vás je to dôležité.
- Vystresovaný a bohatý. Taký je život špičkového hackera
- Ste v IT a máte dušu hráča? Hľadáme hviezdy kybernetickej bezpečnosti!
- Rast kybernetického zločinu v prvom polroku ohromil. Pozrite si čísla a typy útokov
- Keď nájdete výhražný mail: Platiť či neplatiť?
- Kto roznáša infekciu v kybernetickej pandémii a ako sa na tom zarába
- Protidohľadový mejkap a LiDAR kamery. Skôr či neskôr to zažijete
- Vážení občania, viete, kde sa potulujú vaše dáta?
- Vo svete sme pod dohľadom miliardy kamier. Čo s tým?
- O šifrovanie sa zaujímajú firmy, vlády, bezpečnostné služby aj právnici. Mali by ste sa aj vy
- Ako si plánujú rok hackeri sponzorovaní štátmi? Zdá sa, že bude veľa práce
- Vydieranie, výkupné a údaje o pacientoch na predaj. Fakt zlý rok pre zdravotníctvo
- Aj ten najlepšie zabezpečený mobil vedia hacknúť muži zákona. Takto.
- Evolúcia malvéru: od oštepu k dynamitu
- Europol a Agentúra EÚ pre kybernetickú bezpečnosť hlásia červené čísla
- Viete, na čo a komu je dobrá vaša selfie s rúškom?
- Náš svet nie je bezpečným miestom
- Zero-day útoky? Stále pribúdajú a stále dôležitejší je rozpočet
- Berte koronakrízu ako príležitosť! Heckeri to pochopili najrýchlejšie
- Ste citliví na ochranu údajov? Tento prehľad je niečo ako povinné čítanie pre občanov a odborníkov
- Zabudnite na maklérov a influencerov. Táto dekáda bude patriť hekerom, šifrovaniu a steganografii
- Všetci chodia na hrušky a teraz nachytali Avast. Ako ďalej, stalkeri?
- Trojica kybernetických hrozieb 2020 a bonus ku každej z nich
- 1,2 miliardy osobných údajov online na jednom serveri
- Už žiadne pečiatky do pasu? Odvážna ambícia pre schengenský priestor
- Francúzsko plánuje využiť technológie rozoznávania tvárí pre vytváranie digitálnej totožnosti občanov. Pokrok alebo hrozba?
- Za šesť mesiacov roka 2019 došlo k väčšiemu počtu kybernetických útokov v automobilovom segmente než za celý minulý rok.
- Európski úradníci nemali zľutovanie. Najvyššia pokuta podľa GDPR dosiahla takmer 200 miliónov eur.
- Hrozba štátom financovaných hekerov sa zvyšuje, majú na svedomí 23
- Máj naozaj nebol v kybernetickej bezpečnosti romantický
- V nasledujúcich piatich rokoch si musí automobilový priemysel rezervovať na obranu proti kybernetickým útokom aspoň 24 miliárd dolárov
- V tejto štatistike by ste naozaj byť nechceli! Najmä preto, že ide o veľa peňazí.
- Bug Bounty. Alebo dohodnime sa radšej po dobrom
- Collection #1 Zapamätajte si to. Budete o tom ešte počuť.
- Kybernetický zločin ako osobná ujma, prísnejšia regulácia v EÚ a vznik nových pracovných miest
- Diplomatické depeše a deravé sociálne siete v decembri a oblasti, kde asi „žijú tisíce bezpečnostných expertov“
- Až tretina členských štátov EÚ zažila v roku 2017 ohrozenie kritickej infraštruktúry v dôsledku kybernetického útoku.
04/2023
Report bezpečnosti
Médiá sa nadchýnajú útokmi, profesionáli zraniteľnosťami. Lebo o tom je kyberzločin
- Tak schválne – viete, ktoré sú najslávnejšie zraniteľnosti?
- Koľko sa dá zarobiť hľadaním zraniteľností
- Záplaty v marci boli veľkolepé pre majiteľov Applu aj Samsungu, používateľov Microsoftu a Googlu. Čiže asi pre všetkých
„Sme na hraniciach apokalypsy,“ písali svetové médiá
Nezabudnuteľné Vianoce vybavila v roku 2021 všetkým profesionálom zraniteľnosť CVE-2021-44228. Do dnešných dní sa zneužíva na kybernetické útoky a považuje sa za najhoršiu kyberbezpečnostnú udalosť v histórii. Toto označenie dostala kritická zraniteľnosť Log4Shell, ktorá takpovediac otvorila zadné dvierka cez knižnice používané aplikáciami Java v komerčných a opensource softvérových produktoch a nástrojoch.
Pamätáte si zašifrované dáta v nitrianskej nemocnici v roku 2017?
Zraniteľnosť CVE-2017-0144 v systéme Windows umožnila masívne útoky ransomvéru WannaCry prostredníctvom exploitu EternalBlue v celom svete. Rovnako slávny Botnet Mirai rok predtým sa šíril prostredníctvom zneužitia viacerých chýb v IoT zariadeniach. Sila DDoS útoku, ktorá šokovala aj jeho tvorcov, bola založená práve na nezaplátaných zraniteľnostiach.
Pozor na hackerov aj lenivých adminov
Zero-day zraniteľnosti, čiže zraniteľnosti nultého dňa bez existujúcich záplat, sú nebezpečné. Predstavujú pre kyberkriminalitu a špionáž niečo ako otvorené dvere so slávobránou do sietí. Zero-day zraniteľnosti sú populárne v správach, drahé na dark webe, ale trvajúcimi a skutočnými hrozbami pre organizácie sú známe zraniteľnosti. Teda, presne povedané, existujúce, nezaplátané a neopravené zraniteľnosti.
Analytici spoločnosti Qualys sa v roku 2022 pozreli na ransomvérové útoky za posledných päť rokov a päť najčastejšie zneužívaných zraniteľností. Viac ako 60 percent zraniteľností malo k dispozícii záplatu minimálne od roku 2013.
Tím Unit 42 spoločnosti Palo Alto Network začiatkom toho roku zverejnil analýzu kybernetických incidentov od augusta do októbra 2022. 40 percent všetkých incidentov, ktoré sledovala, pochádzalo z jedinej zraniteľnosti v zariadeniach používajúcich čipsety RealTek.
Táto zraniteľnosť je prítomná v stovkách zariadení a stále sa aktívne zneužíva – a pravdepodobne sa bude zneužívať aj v nasledujúcich rokoch, pretože infikované zariadenia stále prúdia dodávateľským reťazcom a sú pripravené na zneužitie hneď po uvedení do prevádzky.
Prečo bezpečáci zbožňujú CVE Details
Verejnú databázu zraniteľností v kybernetickom priestore systematicky buduje spoločnosť MITRE od roku 1999. Monitoruje zraniteľnosti, prideľuje im identifikačné číslo, opis a aspoň jeden verejný odkaz na zraniteľné miesto. Zoznam je prístupný širokej verejnosti, je vysoko uznávaný a zároveň sa pravidelne aktualizuje.
Zoznam CVE (Common Vulnerabilities and Exposures) do dnešného dňa obsahuje takmer 200-tisíc zraniteľností s označením skóre podľa závažnosti 1 – 10, pričom červená desiatka je niečo ako tá „hranica apokalypsy“.
Na základe reportovaných zraniteľností vznikajú štatistiky technologických výrobcov alebo produktov. Keď sa pozrieme na absolútne číslo, čiže počet zraniteľností, prvú desiatku tvoria Microsoft, Oracle, Google, Debian, Apple, IBM, Redhat, Fedoraproject, Cisco a Canonical. Keď však porovnáme počet produktov a zraniteľnosti, výborne z toho vychádzajú Cisco, Oracle a IBM. O tých, ktorí z toho hodnotenie nevychádzajú až tak dobre, sa často hovorí.
Hľadanie zraniteľností je výborná práca
Výška odmeny pre výskumníkov, ktorú vyplácajú technologické spoločnosti, závisí od závažnosti objavených zraniteľností. Vyplatená suma za nájdenie kritických zraniteľností presiahla 61 miliónov dolárov a honoráre boli také veľké, že tvorili takmer 93 percent všetkých odmien v bug bounty programoch.
V priemere zaplatili korporácie v minulom roku 7 200 amerických dolárov za kritickú zraniteľnosť, 3 000 za veľmi závažnú zraniteľnosť, 1 100 za stredne závažnú zraniteľnosť a 254 za slabú zraniteľnosť. Ceny za zraniteľnosti na dark webe sa riadia ponukou a dopytom s upozornením, že nikdy neviete, kto nakupuje a predáva.
Takže ako sa to vyvíja
Tím spoločnosti The Stack analyzoval údaje CVE za rok 2022, čo predstavuje nahlásených 26 448 bezpečnostných chýb softvéru. Pravdupovediac, nový rekord vzniká každý rok, varovný je však fakt, že počet kritických zraniteľností sa medziročne zvýšil o 59 percent na presných 4 135 kritických zraniteľností v roku 2022.
Štatistiky hlásia aj priemerný čas (mean time to remediation), koľko trvalo organizáciám identifikovať a odstrániť zraniteľnosti zariadení „vystrčených“ na internete. Takže v roku 2021 to bolo 57,5 dňa.
Odborníci potvrdili mierne zlepšenie oproti predchádzajúcemu roku, ale upozorňujú, že táto hodnota sa v rôznych odvetviach líši. Napríklad verejnej správe to trvalo 92 dní, zatiaľ čo zdravotnícke organizácie to „dali“ za 44 dní. (Podotýkame, že ide o globálne údaje.) Čím je postihnutá organizácia menšia, tým má tendenciu rýchlejšie sa zotaviť.
Zdroje
Comparitech: Cybersecurity Vulnerability Statistics and Facts 2023
Stack Technology: Analysis of CVEs in 2022 Software Vulnerabilities