Bezpečnostní přehled: Burzy čelí kybernetickým útokům

Pavel Houser , 25. červenec 2013 09:00 1 komentářů
Bezpečnostní přehled: Burzy čelí kybernetickým útokům

Zranitelnost karet SIM, oprava pro Google Glass. Vývoj útoků DDoS a problémy s Javou. Výdaje na zabezpečení stoupají, firmy však prý prostředky nevyužívají efektivně. Následuje pravidelný bezpečnostní přehled vytvářený především podle webů ZDNet, CNet, The Register a HelpNet Security.

pasivní GSM Interceptor
pasivní GSM Interceptor
Bezpečnostní výzkumník Karsten Nohl z firmy Pedigree tvrdí, že 2 chyby v implementaci systému GSM mohou vést ke zranitelnosti SIM karet. Útočník by se mohl zmocnit soukromého klíče, jímž se zařízení v síti autorizuje; výsledkem může být mj. odposlech nebo naopak podvržená komunikace.

Zneužití lze podle Nohla provést pomocí SMS zprávy, která je adresována SIM kartě a pro uživatele neviditelná. Karta takto nepodepsanou zprávu odmítne, může ale zareagovat tak, že odpoví chybovou zprávou. Z jejího digitálního podpisu lze pak zkusit získat soukromý klíč.

U starších karet používajících 56bitové klíče a šifrování DES lze prý úspěšně provést útok hrubou silou; s klíčem pak lze zařízení zcela ovládnout. Nohl odhaduje, že tímto způsobem může být zranitelná až čtvrtina v současnosti používaných mobilních telefonů.

Nohl současně tvrdí, že odhalil zranitelnost v operačním systému JavaCard, který od sebe v telefonu odděluje jednotlivé aplikace (cardlety). Tímto způsobem by malware podle něj mohl např. odečítat data (přístupové údaje) z bankovní aplikace. Podrobnosti mají být zveřejněny příští měsíc na konferenci Black Hat.

Google vydal opravu pro Glass. Zranitelnost umožňovala útočníkovi převzít nad brýlemi kontrolu pomocí speciálního QR kódu; tímto způsobem by šlo sledovat činnost uživatele, ale např. také brýle přetížit iniciováním různých spojení a zhavarovat. Na problém upozornila společnost Lookout Security. Google Glass v současnosti používá asi 10 000 testerů.

Michael Hayden, bývalý šéf NSA a CIA, otevřeně obvinil společnosti Huawei, že provádí špionáž pro Čínu. Hayden tvrdí, že Huawei minimálně sdílí s čínskou vládou své rozsáhlé znalosti o zahraničních telekomunikačních sítích. Pro západní státy představuje bezpečnostní riziko. Hayden mluvil jako soukromá osoba, nikoliv jako zástupce Obamovy administrativy (nyní je ředitelem Motorola Solutions), v USA se ovšem používání produktů Huawei omezuje. The Register upozorňuje, že Velká Británie uplatňuje značně odlišný přístup. Když Huawei investovala 1,2 miliardy liber, britský premiér David Cameron oficiálně přijal v sídle vlády zakladatele společnosti Rena Zhengfeia.

Oracle uvolnil svůj čtvrtletní balíček oprav. Celkem 89 aktualizací znamená, že se záplaty týkají prakticky všech produktů firmy pro podnikové uživatele. Na většinu chyb upozornili výzkumníci nepracující pro Oracle.

Wolfgang Kandek, CTO bezpečnostní firmy Qualys, uvádí, že jako první by měly být aktualizovány aplikace přístupné z internetu, protože ty lze snadno napadnout. Doporučuje nasadit rychle zejména opravy pro databázi Oracle, Fusion Middleware, operační systém Solaris a databázi MySQL. Databáze Oracle se týká celkem 6 bulletinů zabezpečení, jedna z chyb (v parseru XML) je plně zneužitelná i vzdáleně, třebaže databáze chráněné firewallem by proti zneužití mohly být celkem odolné.

V MySQL jsou z 18 opravených chyb vzdáleně zneužitelné 2, u OS Solaris 8 ze 16. U Fusion Middleware je přes Internet zneužitelných 16 z 21 zranitelností. Tento software má rovněž funkčnost HTTP serveru, proto bývá vzdáleně přístupný – odhadem se to týká až půl milionu strojů. Kandek radí jako první instalovat opravy pro servery na perimetru a v demilitarizované zóně.

Oracle současně publikoval studii, podle které výdaje na zabezpečení sice stoupají, firmy však prostředky utrácejí neefektivně. Chránit by se podle analýzy měly primárně nikoliv sítě, ale databáze a aplikace. Kritici namítají, že ochrana by primárně měla být nasazena na úrovni informací/dat, nikoliv jednotlivých technologií.

Adam Gowdiak z polské bezpečnostní firmy Security Exploration tvrdí, že našel v Javě novou neopravenou zranitelnost. Vytvořil také exploit v podobě proof-of-concept. Zranitelnost v rozhraní Reflection API má být zneužitelná tak, že útočný kód dokáže obejít sandbox.

Studie bezpečnostní firmy Bit9 tvrdí, že pouze méně než 1 % organizací používá nejaktuálnější verzi Javy. V nejrozšířenější verzi Java 6 Update 20 je přitom dokumentováno 96 zneužitelných bezpečnostních chyb. Průměrný podnik v rámci průzkumu měl na PC a serverech ve své síti přes 50 různých verzí Javy, 5 % firem pak mělo i více než 100 verzí. Část problému je dána tím, že při instalaci/aktualizaci Javy se ne vždy odstraní starší verze (Oracle teprve nedávno změnil chování aktualizací tak, aby toto prováděly automaticky), které pak zůstávají jako kostlivec ve skříni. Studie Java Vulnerabilities: Write Once, Pwn Anywhere je založena na průzkumu více než milionu podniků.

Kompromitován byl web Ubuntuforums.org. Společnost Canonical potvrdila, že unikla jména, e-maily i hesla registrovaných uživatelů. Hesla jsou sice v podobě salted hash, nejde ale o ochranu, na kterou je radno spoléhat. Canonical proto doporučuje, aby uživatelé, kteří stejné heslo používají i jinde, si ho ihned změnili; o situaci již uživatele informuje individuálně e-mailem. Diskusní fórum o linuxové distribuci Ubuntu má asi 1,8 milionu členů, z toho aktuálně aktivních je cca 20 000.

K útoku se přihlásil člověk vystupující pod přezdívkou Sputn1k_ a uvedl, že hesla nehodlá zneužívat/zveřejňovat, takové tvrzení má však výpovědní hodnotu blízkou nule.

Polovina významných světových burz čelila v posledním roce kybernetickému útoku. Analýza uvádí, že pachatelé se stále častěji snaží prostě destabilizovat trhy, neusilují o podvody, které by jim přinesly přímý zisk. Příslušná studie mimochodem odhaduje roční škody způsobené kybernetickou kriminalitou na 38 miliard až 1 bilion dolarů (tak velké rozpětí kvůli nejistotě ohledně nepřímých nákladů).

Prolexic Technologies v analýze DDoS útoků ve 2. čtvrtletí roku 2013 uvádí obrovský nárůst oproti stejnému období loni. Útoků je víc, zabírají větší šířku pásma a trvají také stále déle – v průměru až 38 hodin. Pachatelé se totiž méně snaží chránit své botnety před detekcí, protože v současné situaci si mohou relativně rychle a snadno opatřit botnet nový. Namísto sítě kompromitovaných klientů stále častěji využívají i špatně zabezpečené webové servery; má to být snazší než distribuovat malware do klientských PC. Asi 3/4 DDoS útoků probíhalo na 3. a 4. vrstvě, zbytek na aplikační vrstvě; tento poměr zůstává v posledním roce zhruba konstantní.

HP vydala opravu zadních vrátek v systému StoreVirtual, respektive v OS LefHand 10.5 a starší.

Výzkumníci společnosti Bit Deffender objevili 2 aplikace využívající chyby v systému Android (nová aplikace se vydává za aktualizaci stávající aplikace, viz např. předcházející bezpečnostní přehled) přímo na Google Play. Naštěstí v tomto případě jde opravdu o využití, nikoliv zneužití, vývojáři obou aplikací neměli úmysl škodit a příslušnou funkčnost zavedli zřejmě omylem. Nicméně poněkud alarmující má být to, že kontrolní mechanismy na Google Play možný problém zřejmě vůbec neodhalily.


Komentáře

Petr Ježek #1
Petr Ježek 04. srpen 2013 18:15

Nedivil bych se, kdyby Sputn1k používal Ubuntu a svým útokem odhalil slabé místo. O nešíření hesel bych mu věřil. Tvrzení o nulové vypovídací hodnotě dokládá autorovu neznalost nejen teorie her.

RSS 

Komentujeme

V datových centrech už nejde o Windows?

Pavel Houser , 22. březen 2017 12:47
Pavel Houser

Trevor Pott si na The Register pokládá otázku o budoucnosti serverových Windows na platformě ARM. ...

Více






Kalendář

20. 03.

24. 03.
CeBIT 2017
21. 03.

24. 03.
Amper
23. 03. Cloud computing v praxi
RSS 

Zprávičky

Výdaje kybernetického úřadu budou letos 214 milionů Kč

ČTK , 23. březen 2017 07:00

Výdaje nového Národního úřadu pro kybernetickou a informační bezpečnost (NÚKIB) by letos měly být zh...

Více 0 komentářů

Prodej mobilů v ČR loni klesl o pět procent

ČTK , 22. březen 2017 16:14

Prodej mobilních telefonů v Česku loni klesl o pět procent, uvedla analytická firma GfK. Podle infor...

Více 0 komentářů

Nařízení EU usnadní uplatnění práva být zapomenut, ale s omezením

ČTK , 22. březen 2017 15:01

Nárok na vymazání osobních údajů, který od konce května příštího roku přinesou nová pravidla EU pro ...

Více 0 komentářů

Starší zprávičky

Na trh přicházejí GFI OneConnect a OneGuard

Pavel Houser , 22. březen 2017 09:30

Nová řešení ochrany firemních sítí a e-mailové infrastruktury . ...

Více 0 komentářů

Kritická chyba v přepínačích Cisco

Pavel Houser , 22. březen 2017 09:00

Více než 300 typů přepínačů Cisco včetně 264 přepínačů Catalyst obsahují kritickou zranitelnost....

Více 0 komentářů

USA a Británie zakázaly pasažérům některých aerolinek elektroniku

ČTK , 22. březen 2017 08:45

Americké úřady zakázaly pasažérům devíti leteckých společností převážně z muslimských zemí brát do l...

Více 1 komentářů

České Radiokomunikace pokrývají svou sítí IoT další města

Pavel Houser , 22. březen 2017 08:30

CRA hledají partnery pro poskytování IoT služeb. Do rozvoje této oblasti plánují v průběhu roku inve...

Více 0 komentářů