Bezpečnostní přehled: Backdoor ve firewallech Juniper

Následuje pravidelný bezpečnostní přehled vytvářený především podle webů ZDNet, CNet, The Register a HelpNet Security.

Šifrování bývá v podnicích implementováno roztříštěně Jason Hart ze společnosti Gemalto upozorňuje na webu HelpNet Security, že mnoho podniků bojuje s neefektivním nasazením šifrovacích technologií. Různé šifrovací systémy způsobují, že v podniku klesá celkový přehled o informacích/datech a naopak vznikají informační sila svázaná s konkrétním systémem, oddělením apod. Zmiňuje nedávný průzkum Ponemon Institute, podle něhož „průměrný podnik“ (jistěže nutně velký, viz dále) používá 24 000 certifikátů a klíčů, 11 aplikací, které vyžadují šifrování, a 7 různých platforem pro správu šifrovacích klíčů.

Finanční malware i ransomware pro mobilní zařízení

Podle analýzy Kaspersky Lab se mezi 10 nejrozšířenějších programů kradoucích peníze (tj. především bankovní trojany) poprvé zařadil také malware cílící speciálně na mobilní uživatele. Konkrétně jde o podvodné aplikace Faketoken a Marcher. Mobilní zařízení jsou také stále oblíbenějším cílem ransomwaru; pouhý rok poté, co se tvůrci ransomwaru začali ve větší míře zajímat o Android, již takto probíhá až šestina útoků tohoto typu. Celkově množství ransomwaru (ve smyslu napadených uživatelů) meziročně stouplo téměř o 50 %.

Konec podpory pro SSL se odkládá

Správci standardu pro zpracování platebních karet PCI SSC se rozhodli odložit povinnou migraci z protokolů Secure Sockets Layer (SSL) a starších verzí Transport Layer Security (TLS). Nejstarší povolenou verzí měla být TLS 1.1, u verze 1.0 jsou známy zranitelnosti (na úrovni webové komunikace – odchycení cookies: BEAST, Browser Exploit Against SSL/TLS). Z letošního června byl povinný přechod odložen o 2 roky, údajně kvůli tlaku od maloobchodníků/retailu, kde se aktuálně hlavně řeší, jak zákazníkům umožnit platbu mobilními zařízeními namísto klasických platebních karet.

O exploitu Beast viz např. starší bezpečnostní přehled..

Kauza zadních vrátek ve ScreenOS Firewally Juniper s firmwarem ScreenOS obsahovaly backdoor. Firma připustila, že kvůli neautorizovaným změnám v softwaru mohl útočník např. ovládnout zařízení nebo odposlouchávat komunikaci přes VPN. Výzkumníci z Rapid7 našli i „natvrdo zadané“ heslo, které dovolovalo přihlašovat se k zařízení přes Telnet nebo SSH jako správce.

Zajímavé přitom je, že ten, kdo kód neuatorizovaně upravil, dosáhl všech těchto triků pouze změnou jediného parametru; Matthew Green z Johns Hopkins University v Marylandu v této souvislosti doslova uvedl, že tedy v kódu měl být backdoor tak jako tak už od výrobce, ale příslušný hacker si pouze tohoto záměru povšiml a trochu k neuatorizovanému přístupu napomohl.

Green v této souvislosti dodává, že jde jen o další důkaz, proč používání zadních vrátek není dobrý nápad. Možná Juniper původně postupoval na žádost vlády USA (pouze spekulace), ale změnu někdo provedl pro zahraniční vládu (opět pouze spekulace), takže ta teď mohla odposlouchávat provoz v amerických virtuálních privátních sítích. Zadní vrátka představují obrovské riziko, že nakonec poslouží někomu jinému.

Cisco: opravy i audit Cisco přiznalo bezpečnostní chybu v systému IOS XE verze 16.1.1. Tato verze OS se používá pouze pro směrovače podnikové třídy 3650/3850. Firma již vydala aktualizaci a dodává, že je nutné ji nasadit, protože neexistuje způsob, jak problém řešit např. změnou konfigurace. Zranitelnost lze zneužít pomocí zaslání speciálního paketu s adresou MAC odesilatele nastavenou na samé nuly, i když podle všeho by útočník tímto způsobem měl vynutit pouze zhavarování zařízení a nedokáže ho ovládnout.

Druhá novinka týkající se též společnosti: Cisco oznámilo, že software běžící na jejich zařízení bude podroben auditu, který by měl vyloučit přítomnost zadních vrátek. Jedná se o reakci na kauzu konkurenčního dodavatele síťových zařízení Juniper Networks (viz výše).

Web TuneUp, rozšíření AVG pro prohlížeč Chrome (tj. de facto webový štít varující před návštěvou webů s malwarem) obsahovalo samo bezpečnostní zranitelnosti. Uživatelům v důsledku toho hrozily útoky man-in-the-middle včetně krádeže přihlašovacích údajů do aplikací. Google zakázal automatickou instalaci rozšíření, AVG mezitím vydalo opravu. Problém se týkal asi 9 milionů lidí.

Microsoft přestane v lednu pokládat za důvěryhodné certifikáty 20 certifikačních autorit. Dotkne se to především provozovatelů serverů, kteří tyto certifikáty používají při spojení https – zákazníkům se při návštěvě webu v takovém případě začne zobrazovat upozornění, že existuje problém s certifikátem zabezpečení. Je-li příslušným certifikátem podepsán software, při jeho instalaci ve Windows se zobrazí varování, že vydavatel certifikátu nemusí být důvěryhodný.

CSIRT varuje/oznamuje Fabian Wosar, bezpečnostní analytik společnosti Emsisoft, vytvořil nástroj pro dešifrování souborů znepřístupněných ransomwarem Gomasom.

CZ.NIC a Národní bezpečnostní úřad uzavřely veřejnoprávní smlouvu o provozování bezpečnostních týmů CSIRT.CZ. Smlouva byla uzavřena podle Zákona o kybernetické bezpečnosti a na dobu neurčitou.

Zdroj: tisková zpráva sdružení CZ.NIC

Ze světa firem

Spuštěno bylo nové řešení Kaspersky Private Security Network. Jedná se o soukromý bezpečnostní cloud, který je odpovědí na problémy některých segmentů s klasickým cloudovým řešením. Předtím, než běžné cloudové bezpečnostní řešení obdrží zprávu o rizikovosti souboru či webu, potřebuje zaslat informace do cloudu. Pro některé obory podnikání nebo určité země to však není schůdné řešení. Kaspersky Private Security Network proto obsahuje interní kopii Kaspersky Security Network. Databáze jsou nainstalovány na serverech uvnitř korporátní informační infrastruktury. Aktuální informace o hrozbách přicházejí do těchto databází z KSN prostřednictvím pravidelné jednosměrné synchronizace. To znamená splnění regulačních požadavků: žádná data nejsou posílána z korporátní sítě ven.* Zdroj: tisková zpráva společnosti Kaspersky Lab*

Sophos kupuje bezpečnostní firmu SurfRight, která dodává technologie na ochranu před pokročilými hrozbami a zero day útoky. Součástí tohoto portfolia je i technologie, která bojuje proti manipulacím s operační pamětí nebo hrozbám na úrovni procesoru. Sophos bude integrovat technologie SurfRight do svých řešení pro ochranu koncových bodů. Zdroj: tisková zpráva společnosti SurfRight

Podle posledních (listopadových) zanalyzovaných dat byly nejrozšířenějšími rodinami malwaru Conficker, Cutwail a dosud méně známý Necurs. Necurs je obecný backdoor pro stahování dalších škodlivých kódů a pro deaktivaci bezpečnostních služeb; nejčastěji je dále spojen s trojským koněm a adwarem Bedep. V kategorii mobilního malwaru byl nejrozšířenější Xinyin, Ztorg a AndroRAT. Speciálně v ČR bylo pořadí následující: Conficker, Kelihos, Necurs, Bedep, Graftor a Cryptowall3. Zatímco většina z 10 nejrozšířenějších rodin je spíše „obecným“ malwarem pro ovládání počítače, vytváření botnetů a instalaci dalších kódů, Cryptowall je už přímo konkrétním škodlivým nástrojem – ransomwarem. Zdroj: tisková zpráva společnosti CheckPoint Software Technologies

IBM uvedla na trh novou službu notifikací IBM Alert Notification Service. Správcům a vývojářům generuje oznámení o problémech aplikací, ideálně ještě předtím, než výpadek či bezpečnostní selhání zasáhne i samotné uživatele. Zdroj: tisková zpráva společnosti IBM

Psali jsme na ITBiz

Na téma zabezpečení na ITBiz viz také:

Poptávka po pojištění proti kybernetickým útokům roste

Má to mj. vyplývat i z nové evropské legislativy, podle které budou firmy muset povinně hlásit bezpečnostní incidenty.

Trendy: segmentace sítí, kvantová kryptografie a hrátky tajných služeb

Prognóza vývoje podnikové bezpečnosti na rok 2016 obsahuje tři hlavní očekávané trendy, jimiž jsou mikrosegmentace sítí/systémů, vyšší investice do kvantové kryptografie a důslednější rozlišování útoků, pokud jde o podporu vlád.

Zero day chyby a nejistá budoucnost formátu Flash

Adobe mimo pravidelný termín aktualizací vydala nové kritické záplaty pro přehrávač Flash Player. Měli by správci firemního IT tento formát plošně zakázat? A jak mají postupovat koncoví uživatelé?