Kybernetické útoky prostřednictvím zero-click exploitů nejsou ničím novým. Co však je novým trendem, je to, že cílem se stávají už i běžní uživatelé. Zero-click exploit je zneužití bezpečnostní chyby v softwaru, které umožňuje útočníkovi vzdáleně provést útok na zařízení bez interakce uživatele. Tato technika může být použita k účelům jako je špionáž, ovládnutí zařízení, šíření malwaru, a dokonce vydírání. Celkově jde o velmi nebezpečnou techniku, která může mít značný dopad na bezpečnost a soukromí uživatelů. Špatnou zprávou je, že proti těmto útokům mají uživatelé jen velmi omezenou obranu. „Fakt, že počty skupin specializující se na tento druh útoku narůstají, je velmi znepokojivý. Útočníci si osvojili techniky, dříve využívané pouze vysoce profilovanými složkami, jako jsou například státní či vládní organizace a tajné služby. Kyberzločinci využívají modelu, kdy je prodávají za jednorázovou platbu (Exploit as a Service), pro napadení soukromého sektoru, respektive běžných uživatelů, tedy nejen vysoko postavených nebo politicky exponovaných osob, vládních organizací a dalších cílů s cennými informacemi,“ uvádí Petr Kocmich, Global Cyber Security Delivery Manager společnosti Soitron. Proto je podle něj důležité, aby nejen podniky, ale i uživatelé dodržovali metody a postupy nejlepší praxe doporučované v oblasti kybernetické bezpečnosti a starali se o ochranu svých zařízení před případnými útoky. Dopad zranitelností Jedním z nejznámějších a dobře popsaným zero-click exploitem, byl spyware ENDOFDAYS, který sloužil ke kompromitaci iPhonů, konkrétně pozvánek v iCloud kalendáři. „ENDOFDAYS je ukázkovým případem, kdy bez nutnosti jakékoliv interakce ze strany uživatele, útočník dokáže ovládnout celé zařízení. A to včetně exfiltrace nahrávek hovorů díky přístupu k mikrofonu, ovládnutí přístupu k GPS lokaci zařízení. Útočník dále získá přístup k přední i zadní kameře, možnost prohledávání souborů v zařízení a maskování samotného spyware, aby nedošlo k jeho odhalení. Samotný spyware se do zařízení dostane zcela triviální cestou – a to odesláním speciálně vytvořené pozvánky do iCloud kalendáře, se staršími časovými razítky (pozvánka, která již proběhla v minulosti,“ popisuje Petr Kocmich. Taková to pozvánka je automaticky přidána do kalendáře uživatele bez jakéhokoliv upozornění nebo výzvy, což umožňuje, aby exploit ENDOFDAYS běžel bez interakce uživatele a útoky byly pro cíle neodhalitelné. Zranitelnost byla v nových verzích systému opravena, ale chyba se týkala všech verzí iOS od verze 1.4 až do verze 14.4.2 a podle informací plynoucích z výzkumu, byla aktivně zneužívána především v roce 2021 Navzdory tomu se i dnes objevují pokročilé aplikace, které se umí vyhnout detekci a zaměřit se na konkrétní zranitelnost. „Tady se jasně ukazuje i to, proč je nutné zařízení pravidelně aktualizovat. Zero-click exploit totiž může být přítomen v zařízení po neomezeně dlouhou dobu, aniž by si toho uživatel byl vědom. Proto je nutné dodržovat zásady kybernetické bezpečnosti a zajistit, aby byl software vždy aktuální a aby byla použita další bezpečnostní opatření,“ upozorňuje Petr Kocmich. Terčem jsou i další Pro Apple to však není první a ani poslední objevený příklad zero-click exploitu. Například v roce 2020 byla odhalena chyba v aplikaci iMessage, kterou mohli útočníci využít k vzdálenému spuštění škodlivého kódu na zařízeních uživatelů, aniž by bylo třeba kliknout na odkaz nebo otevřít přílohu. Tyto chyby se však zdaleka nevyhýbají ani konkurenčnímu operačnímu systému Android a ani jednotlivým mobilním aplikacím. „O některých zneužitelných zranitelnostech v aktuálních verzích operačních systémů a aplikacích ještě ani nevíme, ačkoliv mohou být již zneužívány. Dokud se na tyto zranitelnosti nepřijde, mohou být nejprve využívány pro účely špionáže a „vyšších zájmů“, posléze zpeněženy formou prodeje Exploit as a Service služby zákazníkům na Dark Webu“ dodává Petr Kocmich. Ukazuje se tedy, že i běžní uživatelé mohou být ohroženi zero-click exploitem. Sofistikovanost útočníků se zvyšuje Zero-click útoky jsou obvykle založeny na chybách v softwaru, a to včetně operačních systémů, aplikací a služeb. Nezodpovězenou otázkou však zůstává to, zda jde jen o chyby, nebo něčí úmysl. „Čím rychleji se nový software vyvíjí, tím více roste snaha o řízení a zabezpečení kódu a celého softwarového vývojového cyklu. Automatizujeme testování, zařazujeme dodatečné bezpečnostní testy v raném stádiu vývoje (Shift-Left do CI-CD pipeline), provádíme statickou a dynamickou kontrolu kódu, využíváme umělou inteligenci k dohledání chyb v kódu, výsledný celek podrobíme automatizovanému, ale i manuálnímu penetračnímu testování, avšak bylo by pošetilé se domnívat, že všechny typy zranitelností vznikají jen běžnými chybami v kódu a pak tedy vyvstává otázka, zda nejsou některé zranitelnosti spíše záměrnými zadními vrátky, sloužícími pro konkrétní účely,“ zakončuje Petr Kocmich. The post Nebezpečný vývoj: nárůst zero-click exploitů se stává hrozbou i pro běžné uživatele appeared first on Soitron.
Ve dnech 19. - 21. 6. se tř da 6. C z častnila koln ho v letu do Vrchlab . A v let se n m skutečně povedl, odvezli jsme si spoustu skvěl ch z žitků. Nav t vili jsme historick centrum, ochutnali italskou zmrzlinu, stř leli jsme z luku, koupali se, hr li
Ž ci 4. tř d str vili t den v Orlick ch hor ch na chatě Slunečn . Plnili indi nsk koly, vyr běli trika, čelenky, n hrdeln ky a lapače snů. Při indi nsk v pravě v d lce 13 km nav t vili samoobslužn bufet Kačenčin enk, kde se občerstvili. Před odjez
V červnu zav tali do koln ho klubu netradičn n v těvn ci, čtyřnoz kamar di, s nimiž klub ci prožili kr sn odpoledne. Kromě toho si děti užily přesp vačku, kde samozřejmě nemohla chybět vodn bitva, přek žkov dr ha, ale předev m stra ideln stezka. V
V ponděl 5. 6. p t tř dy vyrazily na pohodovou a klidnou kolu v př rodě do Oldřichova v H j ch. Kr sn , neposkvrněn krajina, bez přem ry civilizace to byl n c l. Ale něco se zvrtlo. Ocitli jsme se v kůži trosečn ků, v divok horsk př rodě jsme bo
Tř da 8. B se vydala 13. 6. na koln v let na PAINTBALL a LASER GAME do Hradce Kr lov u Lesn ho hřbitova. Děti si zahr ly na akčn hrdiny a zažily nap nav chv le se sv m t mem, a to jak při paintballov přestřelce, tak při n sledn laser game. Z jejich