Hlavní navigace

Bezpečnostní střípky: krádeže dat v roce 2011 - nejvíce jich ukradli hacktivisté

26. 3. 2012
Doba čtení: 17 minut

Sdílet

Pravidelný pondělní přehled informací vztahujících se k problematice bezpečnosti IT. Z novinek tohoto týdne upozorníme na právě vydané obsažné přehledy, několik sad bezpečnostních doporučení uživatelům a na diskuze okolo chystaných legislativ v EU a v USA (které se vztahují ke kybernetické bezpečnosti).

Přehledy

Dokument 2011 Cost of Data Breach Study, který připravily společnost Symantec a Ponemon Institute, má 21 stran. Jeho výsledky jsou komentovány v článcích:

IT profesionálové nedůvěřují bezpečnosti svých vlastních systémů – IT Professionals Lack Confidence in the Security of Their Systems. V článku jsou tlumočeny výsledky přehledu, který připravila společnost PhoneFactor. Viz také komentář – IT pros lack confidence about business security.

Výsledky přehledu společnosti Verizon říkají, že za většinou dat ukradených v roce 2011 jsou hacktivisté – Verizon Data Breach Investigation Report (80 stran). Ideologicky motivovaných útoků hacktivistů sice není tolik, ale když je takový útok proveden, objem ukradených dat není nijak malý. Komentářů k tomuto přehledu se objevila dlouhá řada, výsledky zprávy zaujaly:

Dále byla vydána zpráva společnosti IBM – 2011 Annual IBM X-Force Trend and Risk Report. Na stránce je i doprovodné video a rozsáhlá grafika. Samotná zpráva má 136 stran (je nezbytná registrace). Komentáře k jejím výsledkům jsou obsaženy v článcích:

Obecná a firemní bezpečnost IT

SANS Secure Europe 2012, to je jedna z největších školících akcí v IT bezpečnosti, která proběhne v Amsterodamu od 5. do 19. května. Viz komentář – Mobile forensics and cloud security at SANS Secure Europe 2012. Celkem zde bude uspořádáno deset různých kurzů.

Searching for a More Secure Internet aneb o hledání bezpečnějšího internetu. Tony Bradley informuje o aktivitě TIM (Trustworthy Internet Movement), která byla spuštěna na konferenci RSA 2012. Více se o TIM lze dozvědět na jejích stránkách – Building Together a Trustworthy Internet.

Ochrana soukromí v USA a EU – různost jejich přístupů je rozebírána v článku Privacy regulators: U.S. and EU will take different approaches. Díky tomu bude problémem prosazovat dopady legislativy v jedné unii do druhé. Paul Nemitz (director of fundamental rights and citizenship at the European Commission) k tomu vystoupil na akci E.U. conference on privacy and data protection, která proběhla ve Washingtonu (U.S. Institute for Peace).

USA akcelerují výzkum kybernetických zbraní – U.S. accelerating cyberweapon research (článek ve Washington Post). Nová generace těchto zbraní by měla umět narušit vojenskou síť protivníka i v tom případě, kdy tato síť nebude připojena k internetu. Viz komentář – U.S. Accelerates Cyberweapon Research.

Malé firmy jsou snadným cílem počítačové kriminality. Autor článku Small firms ‚easy targets‘ for cyber crime se zamýšlí nad výsledky přehledu Threat Awareness Survey společnosti Symantec (z listopadu 2011). Rozebírá příčiny problémů a uvádí některá doporučení. Na boku článku je přiloženo pět otázek, na které by si ve firmě měli umět odpovědět.

Čína a příklad korporátní špionáže v USA – China Corporate Espionage Boom Knocks Wind Out of U.S. Companies. Rozsáhlejší článek se zabývá případem společnosti AMSC (American Superconductor Corp.), jejímiž produkty jsou počítačové systémy, které slouží jako elektronické mozky některých zařízení.

Nyní je to i Čína, která si stěžuje na nárůst kybernetických útoků – Now CHINA complains of surge in cyber-attacks. Počet zahraničních útoků proti cílům v Číně se v roce 2011 téměř zdvojnásobil (v roce 2010 to bylo 5 miliónů počítačů, v roce 2011 to bylo již 8,9 miliónů počítačů). Článek se odkazuje na zjištění, o nichž je informace na stránce Cyber threat from abroad on the rise (China´s National Computer Network Emergency Response Technical Team and Coordination Center).

Důvěrné dokumenty opouští pracoviště – Confidential documents are leaving the workplace. V článku jsou uvedena čísla z analýzy, kterou provedla společnost FileTrek. Například odsud vyplývá, že mladší generace je v tomto směru “lehkomyslnější”.

USA, k problémům s chystanou legislativou, která se vztahuje ke kybernetické bezpečnosti, se obrací článek Problems with Pending Cybersecurity Legislation. Jeho autoři Dan Geer a Brock Dahl rozebírají problémové části chystaných zákonů. Upozorňují mimo jiné na nezbytnou a potřebnou zpětnou vazbu ze soukromého sektoru.

Počítačové systémy amerických nukleárních sil čelí 10 miliónům útoků denně – U.S. Nukes Face Up to 10 Million Cyber Attacks Daily. A je tudíž voláno po navýšení odpovídajícího rozpočtu.

Bezpečnosti dat z pohledu vlády (USA) se týká zpráva společnosti Vasco – Secure access to confidential data. Rozebírá přístupy některých vládních organizací k tomu, jak zabezpečují přístup do kritických sítí a aplikací využitím silné autentizace. Takto dosahují shody s regulačními ustanoveními, pohodlí koncových uživatelů, větší důvěrnost kritických informací, snížení nákladů atd.

Rusko: Andrej Kruckich jmenován koordinátorem kybernetické bezpečnosti – Russia government appoints Krutskikh as cybersecurity coordinator. Spadá pod ministerstvo zahraničí. Kruckich dříve pracoval v OSN (šéf mezinárodní expertní skupiny).

28 petabytů dat Megauploadu – budou smazány? Carpathia Hosting k tomu podotýká, že provoz serverů Megauploadu stojí 9000 dolarů denně – Will Megaupload's 28 pe­tabytes of data be deleted?

What is the European Commission's data protection framework proposal?, to je krátká příručka, která se obrací k obsahu nového návrhu EU ohledně ochrany dat. Jsou zde odpovědi na některé otázky, např.:

  • How would the European Commission´s 2012 pr­oposal protect personal data?
  • How does the European Commission´s pro­posal change data breach notification requirements, and what other rules are proposed to improve data security?
  • How would the data protection framework proposal affect businesses that collect and process personal data?

Ohledně finančních podvodů v podnikatelské sféře – největší peněžní škody vznikají díky klasickým papírovým šekům – Most fraud against businesses from bad checks, not electronic payments. A tedy nikoliv díky elektronickým platbám. Online podvody přesto nejsou zanedbatelné. 12 procent dotázaných organizací bylo předmětem alespoň jednoho online podvodu. Vyplývá to z přehledu, který zpracovala Association for Financial Professionals (AFP).

Šéf NSA vystoupil před parlamentním výborem k problému odposlechů – NSA Chief Denies Domestic Spying But Whistleblowers Say Otherwise. General Keith Alexander zde charakterizoval možnosti NSA v tomto směru.

Odborníci říkají senátu, že federální sítě jsou penetrovány zahraničními špióny – Experts Tell Senate: Government Networks Owned, Resistance Is Futile. Současné ochrany založené na perimetru jsou zastaralé a nefunkční. Vláda se musí zbavit představ, že do jejich sítí zvenčí nikdo nepronikne.
Viz také komentář – Congress warned that military systems may already be pwned.

Policie vysledovala původce masakru v Toulouse pomocí IP adresy – Cybercops traced Toulouse massacre suspect through IP address. Francouzský parašutista zveřejnil video s motorkou, kterou chtěl prodat online. Poté, co pozval někoho, kdo se tvářil jako potenciální kupec, byl zastřelen.

Zlepšete bezpečnost své sítě, sedm doporučení v tomto směru připravil Casper Manes (GFI Software Ltd.) – 7 Ways to Improve Your Network’s Web Security:

  1. Automatic blocking of malicious content
  2. Scan downloads for malware
  3. Support acceptable use/appropriate content policies
  4. HTTPS inspection
  5. Bandwidth controls prevent impact to mission critical apps
  6. Block phishing sites
  7. The exception is the rule

Také ruská armáda chce vytvořit kyberbezpečnostní centrum – Cyberwars – fearmongering or a grim reality?. Jeho úkoly budou směrovat nejen na armádu, ale také na ochranu národní infrastruktury.

Uživatelé Megaupload jsou předmětem vydírání – Megaupload users targeted with extortion scheme. Jsou bombardováni e-maily, které mají pocházet od německé právní firmy “Dr. Kroner & Kollegen”. Pokud zaplatíte 147 euro, bude vše v pořádku, jinak…

Bezpečnost internetu vyžaduje, aby existovala celoevropská strategie – Internet security demands a Europe-wide strategy, says Neelie Kroes. Článek je věnován vystoupení Neelie Kroes (viceprezidentka evropské komise). Pokud se budeme opírat jen o národní orgány, neuspějeme.

12 kroků, které pomohou oddálit bezpečnostní hrozby, zformuloval Andrew Browne – 12 Steps for Staying 1 Step Ahead of Online Security Threats. Co pomůže chránit vaše osobní informace online:

  1. Surf and Download Safely
  2. Beware of Email Attachments and Links
  3. Close Pop-ups, Don´t Hit Agree
  4. Select Strong Passwords
  5. Update Software
  6. Take a Defense-In-Depth Approach to Security
  7. Store Sensitive Data Securely
  8. Use an Updated Web Browser
  9. Keep Your Private Info Private
  10. Shred Personal Digital Documents
  11. Access Financial Information From a Secure Location
  12. Stay Educated

Známe to všichni, ale jednáme podle toho?

Sociální sítě

Chyba Facebooku umožňuje nežádané sledování – Facebook ‚cloaking‘ flaw allows unexpected snooping. Shah Mahmood a Yvo Desmedt k tomu vystoupili na akci SESOC 2012. Viz – Your Facebook Deactivated Friend or a Cloaked Spy (Extended Abstract).

Američtí zaměstnavatelů chtějí stále častěji od žadatelů o zaměstnání jejich přihlašovací data k Facebooku – More employers asking job applicants for Facebook login info, píše o tom článek Some U.S. employers asking for applicants´ Facebook login info.

How to Set Your Smartphone's Social Privacy Settings aneb jak byste měli nastavit svůj chytrý mobil ve vztahu k sociálnímu soukromí. V mobilních aplikacích pro sociální sítě je to obtížnější než na prohlížeči na vašem PC. V článku jsou rozebírána tato doporučení:

  • První krok – vypněte lokátor (+ iOS cesty k lokaci)
  • Facebook, Twitter, Foursquare, Pinterest, Linkedln, Google+ (doporučení jsou formulována konkrétně ve vztahu k jednotlivým sociálním sítím)
  • A – nezapomeňte se odhlásit

Software

Podrobnosti k úniku informací, které vedly k zveřejnění RDP exploitu, obsahuje stránka Suspicions aroused as exploit for critical Windows bug is leaked (Updated). Citováno je následující vyjádření (Yunsun Wee, Director of Microsoft´s Trus­tworthy Computing division) – Proof-of-Concept Code available for MS12–020.
Viz také komentáře:

Co je třeba zvážit při vyhodnocování firewallů webových aplikací, vysvětluje článek Evaluating Web Application Firewalls – Things to Keep in Mind. Jeho autorka v něm navazuje na článek Web Application Firewalls: Three Benefits You May Not have Considered (Chris Hinkley).

VLC Media Player ve verzi 2.0.1 opravuje bezpečnostní díry – VLC Media Player 2.0.1 closes security holes. Opraveno je celkem 110 chyb (!) a dvě bezpečnostní díry.

K volně dostupnému nástroji: In Configuration We Trust se obrací informace v článku Simple Settings That Could Curtail Some Attacks. Vydala ho společnost eEye. Nástroj provádí následující:
“use digitally signed running processes; use digitally signed DLLHost Services and egress port filtering; disable Microsoft Office converters; update Windows operating system with the latest releases; update Microsoft Office with the latest releases; remove administrative privileges from end user accounts; disable WebDAV; block direct downloads of executable files; and push egress traffic through a Web proxy”.
Stránka, odkud lze nástroj a doprovodnou dokumentaci stáhnout, se nachází zde – eEye Research Whitepaper and Configuration Tool.

3 Simple Steps to Better Patch Security  – tři jednoduché kroky pro lepší bezpečnost záplatování. Cílem desetistránkové studie společnosti Sophos je ukázat průhlednější přístupy, které vedou k lepší kontrole cest pro záplatování:

  1. Monitor the latest patches from widely-used commercial software
  2. Prioritize patches tied to critical, in-the-wild threats
  3. Don´t leave patching up to users—identify which endpoints have the latest patches

Tzv. Anonymous Attacker Package obsahuje dva nástroje: Anonymous external attack a Anonymous DNS Extractor.

Malware

Malware, který je “bez souborů”, se instaluje do RAM – ‚Fileless‘ malware installs into RAM. Tento nové malware objevili pracovníci KasperskyLab. Cílem malware, který je injektován do procesu javaw.exe, je pak instalace trojana Lurk.

Trojan Hydraq (použitý v nechvalně známé operaci Aurora v roce 2009) je zpět – Hydraq trojan is back (well, it never went away). Ve skutečnosti nikdy úplně nezmizel. Jeho nynější aktivity zmapoval Symantec – Hydraq: Past Year in Review.

Bot Twitteru (zombie účty) je zneužíván, cílí na sympatizanty opozice v Tibetu – Twitter Bots Target Tibetan Protests. Krebs říká, že Twitter byl informován o účtech (je jich několik tuctů), které jsou zdrojem kampaně.

Ruský botmaster “Birdie” je stále aktivní – Bredolab Botmaster ‘Birdie’ Still at Large. Zřejmě dříve byl těsně spojen s vývojem a provozem botnetu Bredolab (který byl eliminován v roce 2010). Brian Krebs ve své informaci ukazuje na některé podrobnosti, které ukazují na možnou totožnost tohoto “ptáčka”.

ESET zveřejnil informace k botnetu, který provádí kybernetickou špionáž zaměřenou na občany Gruzie – Cyber-espionage botnet tied to country of Georgia website remains a mystery. Viz zpráva společnosti – From Georgia With Love: Win32/Georbot information stealing trojan and botnet.

Byl spuštěn plán, jehož cílem je redukce botnetů – Plan to reduce botnets launched. Online Trust Alliance spolupracuje s vedoucími poskytovali internetu v USA a FCC s cílem připravit aktivitu označovanou jako U.S. Anti-Bot Code of Conduct. Viz také – ISPs commit to new cybersecurity measures.

Duqu

Tajemný programovací jazyk Duqu vyřešen – DuQu Mystery Language Solved With the Help of Crowdsourcing. Nakonec se ukázalo, že je speciální typ Céčka, který byl zkompilován prostřednictvím Microsoft Visual Studio Compiler 2008. Viz – The mystery of Duqu Framework solved.

Nově zkompilovaný driver ukazuje, že autoři Stuxnetu a Duqu jsou stále aktivní – Newly Compiled Driver Shows Duqu Authors Still At Work. Objevila se totiž nová varianta Duqu, jejím cílem bylo vyhnout se detekčním nástrojům @CrySySLab.

Duqu žije – nová jeho varianta objevena v Íránu – Duqu Alive And Well: New Variant Found In Iran. Objevili ji pracovníci společnosti Symantec. Podrobnosti jsou na této stránce – New Duqu Sample Found in the Wild.
Viz také komentář – New Duqu Variant Discovered in Iran, Experienced Authors Still at Work.

Viry

Počítačové viry mohou být transformovány do biologické oblasti – Computer viruses could move into biological realm, researchers say. Zaznělo to na konferenci Black Hat Europe.

Hackeři a jiní útočníci

Bylo hacknuto šest íránských televizních stanic – Six National Television Stations of Iran Hacked. Minulý týden Írán podnikl útok proti BBC Persian TV.

All Your Devices Can Be Hacked – co všechno lze hacknout, profesor Avi Rubin hovoří k počítačové bezpečnosti (video). Komentář k jeho vystoupení je na Schneierově blogu – Avi Rubin on Computer Security.

Book review: Design for Hackers, to je recenze knihy: Design for Hackers: Reverse Engineering Beauty. Téma knihy (reverzní inženýrství) je nesporně zajímavé. Jejím autorem je David Kadavy, kniha (352 stran) vyšla v říjnu 2011, najdete ji na stránkách nakladatelství Wiley.

Hackeři použili zprávu o hrozbách tibetským aktivistům jako zdroj útoku – Report about hack threat to Tibetan activists used as lure in attack against them. Pozměněný původní wordovský dokument byl použit v e-mailech a umožnil šíření trojana Gh0st RAT (umožňuje vzdálený přístup).
Viz také informaci – Pro-China hackers target Tibetan activists with malware.

Většina webmasterů ani netuší, jak byly jejich stránky hacknuty – Most web masters don't know how their sites got hacked, report says. V článku jsou komentovány výsledky zprávy Compromised Websites. An Owner’s Perspec­tive. February 2012 (StopBadware a Commtouch). Zpráva vychází z odpovědí více než 600 webových administrátorů.

Ghost in the Wires, to je recenze knihy jejímž autorem je Kevin Mitnick. Celý název knihy je Ghost in the Wires: My Adventures as the World´s Most Wanted Hacker. Kniha vyšla v srpnu 2011, má 432 stran a najdete ji na Amazonu.

Sedm fází útoku APT rozebírá studie Defending Against Advanced Persistent Threats (má 25 stran) společnosti Solutionary. Zmíněné fáze jsou následující:

  1. Planning & Info Gathering
  2. Attack and Compromise (Breach)
  3. Establish Command and Control
  4. Authorization and Credential Theft
  5. Manual Exploitation and Information Gathering
  6. Data Exfiltration
  7. Maintain Persistence

Anonymous a spol.

Anonymous spouští Operation Imperva – Anonymous Launch #Operation Imperva. Společnost Imperva v roce 2011 vydala řadu dokumentů ohledně aktivit Anonymous, a to vedlo k spuštění nové operace proti ní. Viz přiložené video.
Viz také – LulzSec back on April 1, while Anonymous targets Imperva a LulzSec Announces April Fool´s End To Retirement.

Anonymous Deface page – “POPE is not welcome, out out!!!!!”  – Anonymous a návštěva papeže v Mexiku. Byly pozměněny (defacement) stránky k přívítání této návštěvy.

Hackeři chtějí zaútočit na PayPal – Hacktivisten kündigen „Operation Fuck PayPal“ an. Oznámili to hacktivisté skupiny “p0isan0n” (tvoří jí Anonymous a členové skupiny Team Poison). Nemá se však jednat o útok DDoS, ale o volání pro bojkot.

Mobilní zařízení

Black Hat Europe: Android je pro hackery stále neatraktivnějším OS chytrých mobilů – Android phones to still get exploited, researchers say. K tomuto tématu na konferenci vystoupili Dan Guido (Trail of Bits) a Mike Arpaia (Isec Partners). Srovnávali z tohoto pohledu atraktivitu Androidu společnosti Google a iOS společnosti Apple.

Aplikace pro práci s hesly na chytrých mobilech jsou málo užitečné? Článek Are mobile password apps pointless? informuje o analýze, kterou provedla společnost Elcomsoft. Bylo prověřováno 17 aplikací pro iOS a BlackBerry. Podle jejích výsledků žádná z těchto aplikací neposkytuje inzerovanou úroveň zabezpečení.

10 pro a proti ohledně rootování (jaibreak) vašeho iPhone či iPadu – 10 Pros and Cons of Jailbreaking Your iPhone or iPad. Slideshow obsahuje pět možných užitků a naopak pět existujících rizik.

Osm skrytých hrozeb vašemu chytrému mobilu popisuje slideshow, jejíž autorkou je Sue Marquette Poremba – 8 Hidden Smartphone Threats to Watch For. Věnuje se aktuálním bezpečnostním problémům, které se týkají každého uživatele (zranitelnosti operačního systému, data akcelerometru a ukradená hesla, skryté odkazy, podezřelé aplikace, skrytý přihlašovací SW, sítě nepřátelských operátorů, lupičské SMS a škodící QR kódy). Přehlídka je uzavřena zamyšlením nad tím, čeho všeho bychom si měli všímat.

Android: smazaná data mohou být znovu obnovena – Android: Gelöschte Daten können wiederhergestellt werden. Informuje o tom na blogu Jan Schejbal.

Jak bezpečně pracovat s chytrými mobily? Attevo přichází s třinácti body, které by si majitelé chytrých mobilů měli projít – Smartphone security checklist.

“Hackování” hlasových zpráv se věnuje stránka You Call That Phone Hacking?. Článek zeširoka rozebírá tuto problematiku, možnosti útočníků i cesty k obraně.

Mobilní malware

Malware silně útočí na zařízení s Androidem, říká zpráva 2011 Threat Report. Zprávu (68 stran) vydala společnost Total Defense. Komentáře k jejím výsledkům obsahují články:

Nové malware pro Android ohrožuje osobní data uživatelů – New Android Malware Threatens Users' Personal Data. Autor článku (Wayne Rash) se rozebírá v současných hrozbách tohoto typu.

Odborníci říkají, že zprávy o útocích malware pro Android jsou přehnané – Attacks in Android's side-view mirror are smaller than they appear. Přichází s nimi bezpečnostní firmy. Ve skutečnosti jen hloupí lidé si stáhnou aplikaci, aniž by si ji nejdříve ověřili, konstatuje se v článku.
Viz také – News Attacks in Android´s side-view mirror are smaller than they appear. Vývoj malware však bohužel tímto směrem jde.

Elektronické bankovnictví

Osm online bankovních podvodníků bylo zatčeno v Rusku – Eight online banking scammers arrested in Russia. Skupinu tvořilo sedm Rusů a jedna další osoba z Abcházie. Ke svým útokům používali trojan Caberb a malware Rdpdor. Cílem útoků byly bankovní systémy v Rusku, ve východní Evropě a v Nizozemsku.
Věřme, že v Rusku budou následovat další obdobné kroky (viz – Russian hackers are a worldwide menace, governments clamp down on cybercriminal across the globe, ruští hackeři jsou hrozbou po celém světě).
Viz také komentáře: Cops Bust Multi-Million-Dollar Russian Cybergang a Carberp trojan generated L2.8 million.

Autentizace, hesla

Je využívání hesel zastaralým bezpečnostním postupem? Takovýto názor prezentuje to ve svém článku Dominic Vogel a říká, že je třeba zvažovat jiné cesty k autentizaci uživatelů – Putting passwords out to pasture: Identity behaviour vs. identity authentication.

Elektronický podpis

Symantec oznámil. že šifrovací klíč, který podepisoval nedávné malware, byl ukraden – Stolen encryption key the source of compromised certificate problem, Symantec says. Takto došlo ke vzniku kompromitovaného digitálního certifikátu švýcarské firmy Conpavi AG. Není známo, jak ke krádeži došlo, zda to byl pracovník firmy či k tomu došlo na základě útoku zvenčí.
Článek Advertising trojan with Swiss signature informuje o šíření trojana Mediyes v Německu. Tento je právě podepsán zmíněným kompromitovaným digitálním certifikátem.

Mozilla navrhuje změnu ohledně práce s podřízenými digitálními certifikáty – Mozilla Proposes Change to Handling of Subordinate CA Certificates. Citace:
“The proposal is that the EKU [extended key usage] would be specified in the intermediate certificates, and the crypto code would look up the certificate chain at the EKU extensions to make sure that the end-entity certificate is allowed to be used for that purpose. The old NSS code does this if the EKU extension is present in the intermediate certificate, but the new libpkix code doesn’t currently do this.”

Biometrie

Technologie pro analýzu hlasu může pomoci zabránit telefonním podvodům – Voice analysis technology prevents phone scams. Článek informuje o technologii, kterou vyvinuli v Japonsku – Nagoya University a Fujitsu. V současné době prototyp testuje japonská policie (the National Police Academy) a jedna japonská banka (The Bank of Nagoya).

Kryptografie

Indičtí odborníci přichází s novou technikou steganografie – New steganography technique relies on letter shapes. Studie Experimenting with the Novel Approaches in Text Steganography obsahuje několik cest, které využívají nenáhodná rozmístění písmen atd. Pochopitelně – ten, kdo o možnosti využít tyto techniky ví, ten dokáže skryté zprávy přečíst.

root_podpora

Umí NSA rozbít AES? Bruce Schneier otevřel na svém blogu (Can the NSA Break AES?) diskusi k zajímavému článku Jamese Bamforda, o kterém jsme zde již informovali (NSA buduje v USA největší špionské centrum). Na otázku v titulku odpovídá Schneier záporně.

Různé

Přehled vychází z průběžně publikovaných novinek na Crypto – News.

Byl pro vás článek přínosný?