Știri
Știri din categoria Securitate cibernetică
Un singur GPU de top poate sparge în masă parolele protejate cu MD5, iar testele Kaspersky arată că riscul rămâne practic neschimbat față de acum doi ani, potrivit IT Home, care citează un raport publicat de companie cu ocazia Zilei Mondiale a Parolei (7 mai).
Kaspersky spune că a luat un eșantion de 231 de milioane de parole diferite, scurse pe dark web, le-a transformat în valori „hash” (amprentă criptografică) folosind MD5 și a testat cât de repede pot fi recuperate parolele originale cu o singură placă video Nvidia GeForce RTX 5090. Rezultatul: 60% dintre parole au putut fi sparte în mai puțin de o oră. În urmă cu doi ani, proporția raportată era 59% — o diferență mică procentual, dar care, la scara eșantionului, înseamnă „încă” milioane de parole care intră în zona ușor de compromis.
Publicația explică faptul că MD5 este un algoritm vechi de tip hash, folosit mult timp pentru verificarea integrității fișierelor sau eliminarea duplicatelor, tocmai pentru că se calculează foarte repede. Problema, în contextul parolelor, este exact această viteză: dacă o bază de date cu parole ajunge să fie furată, un atacator poate folosi puterea de calcul a unui GPU pentru a încerca rapid miliarde de variante pe secundă și a compara rezultatele.
Materialul mai punctează o confuzie frecventă: MD5 nu este „criptare” (nu poate fi „decriptat”), ci hash unidirecțional. Totuși, faptul că nu e reversibil nu îl face automat sigur pentru parole, dacă este suficient de rapid încât să permită atacuri de tip „forță brută” (încercări repetate până la găsirea variantei corecte).
Kaspersky recomandă renunțarea la MD5 pentru parole și trecerea la scheme de hash concepute special pentru stocarea parolelor, precum bcrypt sau Argon2, care sunt intenționat mai lente și mai „costisitoare” computațional, tocmai pentru a crește timpul și costul unui atac.
Pe lângă schimbarea algoritmului, compania recomandă:
Raportul Kaspersky menționat de IT Home este disponibil și în comunicatul companiei: Kaspersky.
Recomandate
Kaspersky avertizează asupra a 26 de aplicații false din App Store care pot fura criptomonede , conform , acestea imitând portofele populare și folosind tehnici de phishing pentru a obține acces la fondurile utilizatorilor. Descoperirea, făcută de divizia Threat Research, arată că atacul este activ cel puțin din toamna lui 2025 și este atribuit cu probabilitate moderată grupării din spatele malware-ului SparkKitty . Aplicațiile identificate copiază identitatea vizuală și numele unor servicii cunoscute precum Metamask, Ledger, Trust Wallet sau Coinbase, pentru a induce în eroare utilizatorii și a le câștiga încrederea. În practică, aplicațiile nu sunt direct malițioase la prima vedere: includ funcții banale, precum jocuri sau liste de sarcini, pentru a părea legitime. După deschidere, însă, utilizatorii sunt redirecționați către pagini web care imită App Store-ul și sunt îndemnați să descarce o altă aplicație. În acest punct intervine compromiterea: utilizatorii sunt convinși să instaleze un profil de dezvoltator, ceea ce permite instalarea unei aplicații infectate, din afara ecosistemului oficial Apple. Odată instalat, malware-ul vizează atât portofelele „hot”, cât și pe cele „cold”. În cazul portofelelor conectate la internet, aplicațiile pot intercepta fraza seed, oferind atacatorilor acces complet la fonduri. Pentru dispozitivele hardware, precum Ledger, atacul se bazează pe phishing, solicitând utilizatorilor date care nu ar trebui niciodată introduse într-o aplicație mobilă. Principalele riscuri identificate: furtul frazei seed și acces total la criptomonede instalarea de aplicații din surse neoficiale imitarea unor branduri cunoscute pentru credibilitate Recomandările Kaspersky: evitați accesarea linkurilor suspecte din aplicații nu instalați profiluri de dezvoltator necunoscute introduceți fraza seed doar pe dispozitivele dedicate verificați dezvoltatorul aplicației, chiar și în App Store Compania a raportat aplicațiile către Apple, însă avertizează că lipsa restricțiilor geografice poate face ca utilizatori din întreaga lume să fie expuși, chiar dacă majoritatea aplicațiilor au fost detectate inițial pe piața din China. Situația evidențiază o vulnerabilitate importantă: încrederea utilizatorilor în magazinele oficiale nu mai este suficientă pentru a garanta siguranța digitală. [...]
O vulnerabilitate critică permite preluarea completă de la distanță a roboților de tuns iarba Yarbo , inclusiv controlul navigației și al lamelor, cu acces la camere și la parolele Wi‑Fi ale utilizatorilor, potrivit WinFuture . Miza este una operațională și de securitate: dispozitive grele, conectate la internet, pot deveni atât risc fizic, cât și „poartă” către rețeaua de acasă. Cercetătorul german în securitate Andreas Makris a identificat problema în arhitectura software: fiecare robot Yarbo rulează o instalare completă de Linux cu un „root password” (parola contului de administrator) integrat. La analiză, Makris a constatat că parola este identică la toate modelele, la nivel global, iar proprietarii nu o pot schimba permanent. Mai mult, la fiecare actualizare de firmware, parola revine automat la valoarea standard. În aceste condiții, Makris spune că a obținut acces la mii de dispozitive active din întreaga lume. Roboții cântăresc aproximativ 90 kg și costă 5.000 de dolari (aprox. 23.000 lei), iar controlul de la distanță ar acoperi atât deplasarea, cât și funcționarea lamelor. Ce poate obține un atacator Conform unui material The Verge , citat de WinFuture, demonstrația pe dispozitive reale arată că un atacator ar putea: prelua controlul complet al robotului; accesa imagini de la camere; extrage date ale utilizatorilor, inclusiv coordonate GPS, adrese de e-mail și parolele Wi‑Fi; folosi robotul, teoretic, ca punct de plecare pentru atacuri asupra rețelei domestice. Numărul exact al modelelor afectate nu este precizat. Reacția Yarbo și ce rămâne nerezolvat Inițial, Yarbo ar fi descris accesul remote nelimitat drept o funcție intenționată pentru diagnoză tehnică. Ulterior, pe fondul presiunii publice, compania a anunțat că va securiza mai bine comunicația dintre aplicația de smartphone și serverele sale. Totuși, vulnerabilitățile mai profunde din firmware rămân, deocamdată, neadresate, iar un update complet de securitate „încă lipsește”, ceea ce înseamnă că dispozitivele rămân atacabile. Îngrijorări suplimentare privind datele Investigația mai indică faptul că roboții trimit o parte din datele de telemetrie către ByteDance , către servere din China, fără consimțământ explicit din partea utilizatorilor. WinFuture notează că Yarbo își declară sediul în New York, dar operează în principal din Shenzhen, China, ceea ce amplifică riscurile de confidențialitate asociate transferului de date. [...]
Un nou troian bancar, TCLBanker, combină furtul de date cu auto-răspândirea de tip „vierme”, ceea ce poate accelera infectările în rețele și organizații potrivit WinFuture . Malware-ul vizează zeci de servicii financiare și folosește atât tehnici de camuflare, cât și mecanisme automate de propagare prin canale uzuale de comunicare. De ce contează: trecerea de la „troian” la răspândire autonomă Cercetătorii de la Elastic Security Labs (care au documentat amenințarea) descriu TCLBanker drept o evoluție a unei familii mai vechi, Maverick. Diferența majoră este componenta de auto-propagare: odată ajuns pe un sistem, malware-ul poate încerca să se extindă singur către alte victime, fără să depindă exclusiv de pași manuali ai atacatorilor. Țintele sunt numeroase: TCLBanker ar urmări 59 de platforme, incluzând aplicații bancare clasice, servicii fintech și burse de criptomonede. Cum intră pe sistem și cum evită detecția Vectorul de infectare menționat este o versiune manipulată a unui kit de instalare pentru „Logitech AI Prompt Builder”. Rularea codului malițios se face printr-o tehnică numită DLL side-loading (încărcarea unei biblioteci malițioase în contextul unei aplicații legitime), ceea ce poate reduce șansele ca soluțiile de securitate „obișnuite” să alerteze imediat. Propagare prin WhatsApp Web și Outlook După infectare, TCLBanker include module care abuzează WhatsApp Web și Microsoft Outlook. Malware-ul ar scana listele de contacte și ar trimite automat mesaje de tip phishing sau linkuri infectate, exploatând încrederea dintre expeditor și destinatar pentru a găsi noi victime. În plus, în cod ar exista indicii („artefacte”) care sugerează că la dezvoltare ar fi putut fi folosite sisteme de inteligență artificială, fără ca materialul să ofere o confirmare fermă a acestui aspect. Ce poate face pe sistemul compromis Conform descrierii, TCLBanker monitorizează frecvent (la nivel de secunde) bara de adrese a browserului. Când utilizatorul accesează una dintre paginile vizate, malware-ul inițiază o conexiune către operatori, care pot obține control extins, inclusiv: transmiterea în timp real a ecranului (live streaming), înregistrarea tastelor (keylogging), control de la distanță al mouse-ului și tastaturii. Pentru furtul credențialelor, troianul folosește suprapuneri (overlay-uri) false: victimei i se afișează formulare care imită interfețele reale pentru PIN-uri sau parole, în timp ce datele sunt colectate în fundal. Pentru a rămâne ascuns, ar putea bloca și Task Manager-ul din Windows. Unde lovește acum și ce risc urmează În prezent, atacurile par concentrate pe utilizatori din Brazilia. Totuși, experții avertizează că malware-ul provenit din America Latină a fost, în trecut, adaptat rapid pentru ținte globale, iar rezistența la instrumente de analiză ar face din TCLBanker o amenințare relevantă și în afara pieței inițiale. [...]
Mozilla susține că a redus aproape la zero „zgomotul” din rapoartele generate de AI , după ce modelul Anthropic Mythos a identificat 271 de vulnerabilități în Firefox în două luni, cu „aproape niciun fals pozitiv”, potrivit Ars Technica . Miza operațională este scăderea masivă a timpului irosit de echipele de securitate pe verificarea unor alerte plauzibile, dar greșite – o problemă recurentă la folosirea modelelor de limbaj pentru analiză de cod. Mozilla a publicat joi o explicație „din culise” despre cum a folosit Mythos pentru a „scormoni” codul sursă Firefox și a găsi cele 271 de probleme de securitate. Compania spune că rezultatul nu vine doar din îmbunătățirea modelelor, ci și dintr-o piesă de infrastructură construită intern, un „harness” (un cadru de execuție care ghidează modelul prin pași și instrumente), adaptat specific proiectului Firefox. De ce contează: mai puține alerte false, mai mult timp pentru remedieri reale În trecut, inginerii Mozilla descriu experiențele cu detectarea asistată de AI ca fiind încărcate de „slop” – rapoarte de bug care „sună” credibil și pot apărea la scară mare, dar care, după verificare umană, conțin detalii „halucinate”. Consecința practică: dezvoltatorii ajung să investească mult efort pentru a tria și valida rapoarte care nu duc la vulnerabilități reale. În cazul Mythos, diferența majoră invocată de Mozilla este reducerea aproape completă a falselor pozitive, ceea ce ar schimba raportul cost-beneficiu al folosirii AI în securitatea aplicațiilor: mai puțină muncă de triere și mai multă muncă efectivă de remediere. Ce a schimbat Mozilla: „ agent harness ” integrat în fluxul de lucru al dezvoltatorilor Brian Grinstead, Mozilla Distinguished Engineer, a explicat că elementul distinctiv a fost folosirea unui „agent harness” – cod care „îmbracă” un model de tip LLM (model lingvistic de mari dimensiuni) și îl conduce printr-o serie de sarcini precise. În descrierea lui Grinstead, acest „harness”: îi dă modelului instrucțiuni concrete (de tipul „găsește un bug în acest fișier”); îi oferă instrumente (de exemplu, să poată citi/scrie fișiere și să ruleze evaluări de teste); rulează într-o buclă până la finalizarea sarcinii; îi oferă acces la aceleași unelte și la același „pipeline” folosit de dezvoltatorii Mozilla, inclusiv o versiune specială de Firefox folosită la testare. Mozilla subliniază și costul implicit: pentru ca un astfel de „harness” să fie util, este nevoie de resurse semnificative pentru personalizare în funcție de „semantica” proiectului, uneltele și procesele interne. Context: după scepticism, Mozilla încearcă să arate „fine print”-ul Articolul notează că, luna trecută, declarațiile CTO-ului Mozilla despre faptul că „zero-day-urile sunt numărate” au fost întâmpinate cu scepticism, tocmai din cauza tiparului frecvent în industrie: rezultate spectaculoase prezentate fără detaliile care ar tempera concluziile. Explicația tehnică publicată acum urmărește să arate ce anume a făcut diferența în practică – nu doar modelul, ci integrarea lui într-un cadru de lucru controlat și conectat la instrumentele reale de dezvoltare. Pentru companii, mesajul implicit este că performanța AI în detecția de vulnerabilități nu depinde doar de „model”, ci de investiția în integrare și automatizare, altfel riscul de a produce rapoarte greu de folosit rămâne ridicat. [...]
Expunerea a peste 70.000 de fișiere ale Armatei SUA timp de peste un an, inclusiv după o notificare către CISA, arată un risc operațional major în lanțul de furnizori ai guvernului american , nu doar o problemă punctuală de configurare, potrivit TechRadar . Setul de date, care includea înregistrări despre personal militar, date despre contractori și imagini realizate în interiorul bazelor militare, a fost identificat într-un director „scurs” (o locație accesibilă public) descoperit inițial în 2024. Deși Agenția pentru Securitate Cibernetică și Infrastructură (CISA) ar fi fost informată în același an de cercetătorul Arkadeep Roy, expunerea a rămas activă până cel puțin în aprilie 2026. Cum a fost posibilă expunerea Investigația a fost realizată de cercetători de la Cybernews , după ce au primit un pont pe 16 martie 2026 și au început verificările a doua zi. Ei au confirmat că datele erau expuse printr-o vulnerabilitate de tip „Open Directory Listing” (listare deschisă de directoare), adică un server configurat astfel încât permite vizualizarea și descărcarea fișierelor fără autentificare, și au raportat cazul către CMI Management și CISA pe 18 martie 2026, conform Cybernews . Directorul ar fi aparținut CMI Management Inc., contractor al guvernului SUA, parte din Dexterra Group. TechRadar notează că, potrivit site-ului companiei, aceasta furnizează servicii de administrare a facilităților guvernamentale. Ce tip de date au fost expuse și de ce contează Cybernews spune că a publicat exemple de imagini puternic redactate, care ar include formulare de mentenanță, e-mailuri între angajați și fotografii ale infrastructurii interne. În material sunt menționate și scheme ale bazelor și fotografii interne, considerate deosebit de sensibile. Riscurile operaționale invocate în articol includ: posibilitatea de phishing (mesaje frauduloase) și tentative de impersonare folosind date despre personal și contractori; folosirea detaliilor personale pentru a încerca acces neautorizat în instalații militare; utilizarea schemelor și a fotografiilor interne pentru a construi hărți detaliate ale bazelor și a identifica puncte slabe de structură și securitate. Într-o declarație citată de TechRadar, echipa Cybernews pune accent pe faptul că date sensibile au rămas stocate nesigur „peste un an”, chiar și după ce autoritățile ar fi fost notificate: „Scurgerea de date este îngrijorătoare, deoarece date sensibile ale armatei SUA au fost stocate nesigur peste un an, chiar și după ce CISA ar fi fost notificată. Acest lucru arată că, inclusiv când e vorba de armată și facilitățile sale, este prea des întâlnit ca datele să fie stocate nesigur, iar eforturile de remediere nu sunt prioritizate nici după notificarea autorităților relevante.” Context: reacția CISA pe zona de „întărire” a configurațiilor TechRadar leagă cazul de un context mai larg: după un atac cibernetic care a afectat Stryker Corporation, CISA a publicat în martie 2026 o alertă cu recomandări pentru întărirea configurațiilor sistemelor de management al echipamentelor (endpoint management). Alerta CISA este disponibilă aici: CISA . Pentru companii, inclusiv furnizori care lucrează cu instituții publice, episodul indică o problemă de guvernanță și control: o expunere simplă, de tip „director deschis”, poate rămâne activă mult timp dacă nu există procese ferme de inventariere a datelor, monitorizare și remediere rapidă după notificări. TechRadar precizează că Cybernews a alertat CMI Management, dar nu ar fi primit imediat un răspuns. [...]
Peste 8.800 de „puncte de atac” cibernetic au vizat instituții-cheie ale statului în martie–aprilie , iar autoritățile iau în calcul avansarea unor sancțiuni pentru atacuri hibride, potrivit declarațiilor făcute de ministra de Externe Oana Țoiu , citate de G4Media . Miza imediată este întărirea coordonării cu NATO și UE, inclusiv printr-un seminar NATO pe amenințări hibride pe care România îl va găzdui la București în toamnă. În declarațiile sale, Oana Țoiu a spus că atacurile au vizat „site-uri esențiale și infrastructuri IT” ale unor instituții precum Parlamentul, Bursa de Valori, Ministerul Transporturilor și Ministerul Afacerilor Externe, inclusiv platforma de solicitare a vizelor. Ministra a atribuit atacurile unor „hackeri proruși”. „Am avut, pe parcursul lunii martie și la începutul lunii aprilie, peste 8.800 de puncte de atac asupra unor site-uri esențiale și infrastructuri IT (…) astfel că vom avansa în direcția unor posibile sancțiuni împotriva atacurilor hibride.” Coordonare cu NATO și UE și discuții despre sancțiuni În contextul acestor atacuri, România a decis să găzduiască la București, în toamnă, seminarul NATO privind amenințările hibride , cu obiectivul de a îmbunătăți coordonarea atât cu Alianța, cât și în cadrul Uniunii Europene, în analiza și răspunsul la astfel de interferențe. Oana Țoiu a amintit și că România găzduiește deja Centrul Cyber al Uniunii Europene (ECCC), poziție din care ar putea „facilita convergența strategică dintre UE și NATO” în domeniu. „Este esențial să discutăm despre apărarea democrației și a infrastructurii critice chiar aici, la București (…) Să creștem presiunea asupra Rusiei, să sporim sancțiunile.” De ce contează pentru mediul economic Faptul că între țintele menționate se află și Bursa de Valori indică o presiune directă asupra infrastructurilor digitale cu rol în funcționarea piețelor și a instituțiilor publice. În lipsa unor detalii tehnice în informațiile prezentate (tipul atacurilor, efectele, întreruperi de servicii), consecința imediată rămâne una de politică publică: accelerarea coordonării internaționale și discutarea unor măsuri de sancționare pentru atacuri hibride. [...]
