6 C
Tuesday, November 21, 2017
Home Tags Data Encryption Standard (DES)

Tag: Data Encryption Standard (DES)

Name a city, pick a date, and you’ll likely find a nearby hackathon, whether you’re in Des Moines, Iowa, or Yerevan, Armenia. Major League Hacking lists over 100 hackathons held in 2015 at a college or university, while Hacker League lists an additional 200-plus hosted by corporations and other organizations.
Some hackathons are virtual and conducted on the Web, and there’s even a three-day event that takes place on a bus. If you’ve never attended one, however, it can seem like a daunting endeavor, with the all-night coding sessions, over-caffeinated attendees, pressure to produce under time constraints and the niggling fear that you’re not skilled enough.
Brazilian cybercriminals have been “competing” with their Russian-speaking “colleagues” for a while in who makes more Trojan bankers and whose are most effective.

A few days ago we found a new wave of different campaigns spreading the initial “Banloader” components in Jar (Java archive), which is very particular by its nature – it’s able to run on Linux, OS X, and of course Windows.

Actually, it’s also able to run under certain circumstances even on mobile devices. Social engineering Social engineering actually varies from vehicle taxes or fines to boleto’s payment system and even a kind of electronic debt call center. Some emails come with download links to Jar files, while others directly spread Jar inside archives, so the end user does not need to download anything from the Internet. Infection Everything happens when the victims make a click – and we should remember Brazilian cybercriminals are experts in social engineering.
So, right, the victim makes a click. What happens next? That also varies.
It depends on which group is behind that particular attack. We say this because we have seen different cyber-criminal gangs from Brazil that are clearly not related actively using Jar files to seed bankers. The fact is, as long as the victim has Java locally installed, the “Banloader” will run and it doesn’t matter if it’s OS X, Linux or Windows. Some groups just go for traditional PAC modifications, redirecting victims to fake bank websites: While others work with slightly more complex obfuscating Jar routines using DES or RSA algos. Once deobfuscated it’s clear it drops a file to the system, which is actually the Banker in charge of stealing the victim’s money: Interesting strings Whether it’s intentional or not, the cybercriminals left strings. Here are the strings found in different Jar-based Trojan Banker samples: “liberdade” – freedom, liberty“maravilha” – miracle, thing of beauty Why is it important? Because Jar files run on Windows, OS X and Linux, wherever Java is installed.

This is the very first step cybercriminals from Brazil have made towards “cross-platforming“. What does it mean? Brazilian Trojan Banker coders are now making Trojans running on all platforms and not only Windows. Does it mean that OS X and Linux users are now also a target of Brazilian bankers? Not yet. We say this because the banloaders (initial components) come in Jar but the final components (dropped malware) are still designed to run in Windows or they use a Windows system in the case of PAC abusing. However, it’s clear the first step to cross-platforming has just been made.
So, it’s a matter of time till we will find Brazilian bankers running on all platforms. Are Brazilian coders going to release full bankers – bandleaders and bankers running exclusively on Jar? There is no reason to believe they won’t.

They have just started and they won’t stop. How stealthy is their Jar malware? Actually, the general detection rate for ALL AV vendors is extremely low. What is the detection name Kaspersky Lab products use to detect this threat? Depending on the characteristics of each sample it may fall into one of the following families: Trojan-Banker.Java.AgentTrojan-Downloader.Java.BanloadTrojan-Downloader.Java.Agent Where are most of the victims located? Naturally Brazil, Spain and then Portugal, the United States, Argentina and Mexico. Why are there victims in Germany and China? The same malware techniques have been used by other threat actors and detected under the same malware family.
An international team of researchers has uncovered an attack that can compromise encrypted network traffic in a matter of hours. The Drown (Decrypting RSA with Obsolete and Weakened Encryption) attack successfully decrypts TLS (transport layer security) sessions by exploiting a vulnerability in the older SSL v2 protocol that exposes private RSA keys. Once again, old cryptography is breaking the security of all online communications. Drown is different from other attacks against TLS in that it doesn't need servers to be using the older version; the attack will succeed as long as the targeted system supports SSL v2.

The cross-protocol attack (CVE-2016-0800) could lead to decryption of any encrypted session using SSL/TLS protocols as long as the server supports SSL v2 and uses RSA key exchange, the researchers said in their technical paper. By making repeated SSL v2 connection requests, researchers uncovered bits of information about the server's private RSA key.

After enough requests, researchers were able to obtain the private key to decode the TLS sessions.

The attack scope widens if the organization reuses that private RSA key across servers, even if different certificates are used. SSL v2, released in 1995 and retired less than a year later due to crippling weaknesses, is old enough that it is unlikely anyone is still using this version.

Browsers and email clients don't support SSL v2, but many servers and networking devices do.
If a computer specifically requested to establish a SSL v2 session, those servers would switch to the vulnerable protocol instead of using the default, and more secure, TLS. "For many years, the argument for not disabling SSL v2 was that there was no harm because no browsers used it anyway," said Ivan Ristic, director of engineering at Qualys.  Drown illustrates the folly of that thinking, since obsolete cryptography can be dangerous even if it isn't actively being used.

All administrators need to immediately disable SSL v2 on all their servers. The attack is made worse by two additional implementation vulnerabilities in OpenSSL, prompting the project team to release versions 1.0.2g and 1.0.1s to address the issues. The issue with OpenSSL OpenSSL versions 1.0.2, 1.0.1l, 1.0.0q, 0.9.8ze, and earlier have a vulnerability that makes it easier to run a cheaper and more efficient version of Drown (CVE 2016-0703 and CVE 2016-0704).
In the general attack scenario, the attacker targeting a vulnerable server would need to observe 1,000 TLS handshakes, initiate 40,000 SSLv2 connections, and perform 250 offline work to decrypt a 2048-bit RSA TLS cipher-text. On systems running vulnerable versions of OpenSSL, the attacker can obtain a key for one out of 260 TLS connections after running about 17,000 probe connections.

The computation takes less than a minute on a fast PC. "If the conditions are right, the same SSL v2 flaw can be used for real-time MITM attacks and even against servers that don't support the RSA key exchange at all," Ristic said. OpenSSL versions 1.0.2a, 1.0.1m, 1.0.0r, and 0.9.8zf released in March 2015 and later are not vulnerable to this efficient version of the Drown attack.

The March 2015 update had refactored the code containing the vulnerability in order to fix a different flaw (CVE 2015-0293), and thus had closed the avenue of attack. In the latest update, OpenSSL disabled the SSL v2 protocol by default and removed SSL v2 EXPORT ciphers.

Administrators are urged to update vulnerable versions of OpenSSL as soon as possible. "Users can avoid this issue by disabling the SSLv2 protocol in all their SSL/TLS servers, if they've not done so already," the OpenSSL project team wrote in its security advisory. Details on the OpenSSL update According to the OpenSSL advisory, there are some caveats for servers running vulnerable versions of OpenSSL.

For servers running OpenSSL 1.0.1r or 1.0.2f or later, just disabling all SSLv2 ciphers is sufficient.

For older versions, disabling the ciphers won't be enough because malicious clients can force the server to use SSL v2 using EXPORT ciphers.
In those cases, SSL v2 must be disabled as well. The latest version of OpenSSL, 1.0.2g and 1.0.1s, disables SSL v2 at build-time by default.

To enable SSL v2, the builds must be manually configured with "enable-ssl2." Even if the the build is manually configured with SSL v2, it will still have to make explicit calls to make it even more difficult to request SSL v2 sessions.

The SSLv2 40-bit EXPORT ciphers and SSLv2 56-bit DES are no longer available. Weak ciphers in SSLv3 and up are also disabled. The OpenSSL update also addressed five other low severity vulnerabilities: a double-free bug (CVE 2016-0705) that could lead to a denial-of-service attack or memory corruption for applications receiving DSA private keys from untrusted sources; a memory leak in SRP database lookup method SRP_VBASE_get_by_user (CVE-2016-0798); a side channel attack that makes use of cache-bank conflicts on the Intel Sandy-Bridge microarchitecture (CVE 2016-0702); memory issues in BIO_*printf functions (CVE 2016-0799); and a null pointer deref/heap corruption in the BN_hex2bn function (CVE 2016 0797). The side-channel attack was reported by the same team of researchers who uncovered Drown.

This attack could also lead to the recovery of RSA keys, but the ability to exploit the attack was "limited as it relies on an attacker who has control of code in a thread running on the same hyper-threaded core ad the victim threat which is performing decryptions," the advisory said. There is a tendency to keep older versions of technology around just-in-case, just in case someone needs to use it, just in case a process relies on it.

The thinking that as long as it's not used by default, (or by browsers) is putting the security of online communications at risk.

Drown joins the ranks of the previously discovered Logjam and FREAK in showing that even obsolete protocols can be abused. "In the future we must ensure that all obsolete crypto is aggressively removed from all systems.
If it's not, it's going to come back to bite us, sooner or later," Ristic said.
Revision Note: V1.1 (December 8, 2015): Advisory updated to include more information about disabling DES by default in Windows 7 and Windows Server 2008 R2 and later operating systems. The update allows DES to be used between client and server to addre...
93 Prozent der verlorenen oder gestohlenen Geräte enthielten Geschäftsdaten / Mangel an grundlegenden SicherheitsvorkehrungenDerby, UK, 9. November 2015 – Imation Corporation. (NYSE:IMN), ein globales Unternehmen für Datenspeicherung und Informationssicherheit, hat eine neue Studie zu den Risiken des mobilen Arbeitens veröffentlicht. In der Studie sagten 44 Prozent der befragten Unternehmen, eine leitende Führungskraft habe in den vergangenen zwölf Monaten Jahr ein Mobilgerät – etwa Handy, Laptop, Tablet oder USB-Stick – verloren. Fast eben so viele Unternehmen (39 Prozent) gaben an, dass ihrem Management ein Gerät gestohlen wurde. Das Problem des Datenverlusts betrifft dabei nicht nur die Führungsebene: In über der Hälfte (54 Prozent) der befragten Organisationen hatte ein nicht-leitender Mitarbeiter ein Gerät verloren; 49 Prozent berichteten von einem im letzten Jahr gestohlenen Gerät. Das Marktforschungsunternehmen Vanson Bourne befragte für die Studie 500 IT-Entscheider in Großbritannien und Deutschland.Besonders problematisch ist, dass die große Mehrheit (93 Prozent) der verlorenen und gestohlenen Geräte geschäftsbezogene Daten wie vertrauliche E-Mails (49 Prozent), vertrauliche Dateien oder Dokumente (38 Prozent), Kundendaten (24 Prozent) und Finanzdaten (15 Prozent) enthielten. Trotz dieser Risiken treffen viele Unternehmen der Studie zufolge nicht einmal grundlegende Sicherheitsvorkehrungen: Obwohl die Mehrheit der befragten Organisationen bereits Richtlinien für mobiles Arbeiten haben oder solche planen, legen fast ein Drittel (32 Prozent) dabei nicht fest, dass Geräte, die außerhalb des Arbeitsplatzes verwendet werden, durch Verschlüsselung oder Passwörter geschützt sein müssen. Und ein Viertel der Unternehmen (25 Prozent) verlangt nicht, dass digitale Dateien außerhalb des Büros mit Verschlüsselung oder Passwörtern geschützt werden müssen.Insgesamt gab mehr als jede dritte Organisation an, dass in den letzten sechs Monaten ein Gerät gestohlen wurde oder verloren ging – mit potenziell ernsten Konsequenzen. 37 Prozent der Umfrageteilnehmer wussten von mindestens einem Mitarbeiter in ihrem Unternehmen, der aufgrund verlorener Dateien oder Geschäftsdaten mit einem Disziplinarverfahren belegt wurde, und ein Drittel (32 Prozent) wussten von mindestens einer Person, die im vergangenen Jahr aus diesem Grund ihren Job verloren hatte.Dennoch tun sich Unternehmen weiterhin schwer zu regulieren, wie und wann Daten mobil mitgenommen werden dürfen. Fast die Hälfte (48 Prozent) der befragten IT-Entscheider räumte ein, dass sie nicht nachverfolgen können, wie Mitarbeiter Daten mitnehmen – und 54 Prozent sagten, dass diese Daten besser geschützt werden könnten.„Trotz der ständigen Warnungen zur Datensicherheit und fast täglichen Schlagzeilen über Datenverluste sind Unternehmen immer noch nicht in der Lage, ihr geistiges Eigentum angemessen zu schützen. Die Vorteile von Verschlüsselung und Passwortschutz sind nichts Neues, aber viele Unternehmen treffen einfach keine grundlegenden Sicherheitsvorkehrungen“, sagt Nicholas Banks, Vice President EMEA and APAC, IronKey. „Obwohl Unternehmen wissen, dass ihre Mitarbeitern die Unternehmensrichtlinien zum mobilen Arbeiten missachten (67 Prozent), tun sie nichts dagegen. Diese Umfrageergebnisse zeigen einen unvorsichtigen Umgang mit Firmengeräten und -daten. Viele Mitarbeiter, das Topmanagement eingeschlossen, sind sich der Auswirkungen von Datenverlusten anscheinend nicht bewusst. Die Mitarbeiter erwarten aber von genau diesen Führungskräften Informationen und Maßnahmen, mit denen verhindert werden kann, dass vertrauliche Daten in die falschen Hände geraten“, so Banks weiter. „Unternehmen haben eine Verpflichtung, Geschäftsdaten und die Geräte oder Datenträger, auf denen sie gespeichert sind, zu schützen.“Informationen zur StudieDie Studie wurde von Vanson Bournce durchgeführt, einem unabhängigen Marktforschungsunternehmen für den Technologiesektor. Die Studie umfasste 500 Online-Interviews mit IT-Entscheidern im September 2015. Alle Teilnehmer arbeiten in Organisationen mit mindestens 250 Mitarbeitern. 250 Teilnehmer arbeiten in Großbritannien, 250 in Deutschland. Die Teilnehmer an dieser Studie stammen aus verschiedenen Branchen. Die Befragungen wurden online in einem mehrstufigen Screening durchgeführt, um sicherzugehen, dass nur geeigneten Personen die Teilnahme ermöglicht wird. Wenn nicht anders angegeben, basieren die Ergebnisse auf der gesamten Stichprobe.Vanson Bourne ist bekannt für fundierte und zuverlässige, auf Studien gestützte Analysen mit klaren Marktforschungsprinzipien und effizienter, branchen- und marktübergreifender Meinungserfassung in den verschiedenen technischen und betriebswirtschaftlichen Bereichen. Weitere Informationen finden Sie unter www.vansonbourne.com.Über Imation Corp. Imation ist ein weltweit agierendes Unternehmen für Datenspeicherung und Informationssicherheit. Seine Produkte und Lösungen helfen Firmen und Privatpersonen, ihre digitalen Inhalte zu speichern, zu verwalten und zu schützen. Das Speicher- und Sicherheitsportfolio von Imation umfasst für Archivierung und Solid-State optimierte NexsanTM-Unified-Hybrid-Speicherlösungen mit hoher Dichte, auf die Bedürfnisse professioneller Nutzer hinsichtlich sicherem Datentransport und mobiler Arbeitsplätze zugeschnittene mobile IronKey-Sicherheitslösungen sowie unter den Markennamen ImationTM, MemorexTM und TDK Life on RecordTM verkaufte Speicherlösungen, Audioprodukte und Zubehörartikel für Endanwender. Durch ein leistungsstarkes globales Vertriebsnetz erreicht Imation Kunden in mehr als 100 Ländern. Weitere Informationen finden Sie unter www.imation.com.Imation, das Logo von Imation, IronKey, das IronKey-Logo, Nexsan und Memorex sind Marken der Imation Corp. und ihrer Tochtergesellschaften. TDK Life on Record wird im Rahmen einer Markenlizenz der TDK Corporation verwendet. Alle anderen Marken sind das Eigentum der jeweiligen Inhaber. PressekontaktSilja InghamOrigin CommunicationsTel: +44 208 398 6588Email: imation@origincomms.com Source: RealWire
Revision Note: V1.0 (July 14, 2015): Summary: Microsoft is announcing the availability of an update to harden scenarios in which Data Encryption Standard (DES) encryption keys are used with accounts. Microsoft disabled DES by default starting in Window...
DES is a symmetric key cryptosystem that was devised in 1972 as a derivation of the Lucifer algorithm developed by Horst Feistel at IBM.He obtained a patent on the technique (H. Feistel, Block Cipher Cryptographic System,Ž U.S. Patent #3,798,539, March, 19, 1974.) DES is used for commercial and nonclassified purposes. DES describes the Data Encryption Algorithm (DEA) and is...