Bezpečnostní přehled: Burzy čelí kybernetickým útokům

Pavel Houser , 25. červenec 2013 09:00 1 komentářů
Bezpečnostní přehled: Burzy čelí kybernetickým útokům

Zranitelnost karet SIM, oprava pro Google Glass. Vývoj útoků DDoS a problémy s Javou. Výdaje na zabezpečení stoupají, firmy však prý prostředky nevyužívají efektivně. Následuje pravidelný bezpečnostní přehled vytvářený především podle webů ZDNet, CNet, The Register a HelpNet Security.

pasivní GSM Interceptor
pasivní GSM Interceptor
Bezpečnostní výzkumník Karsten Nohl z firmy Pedigree tvrdí, že 2 chyby v implementaci systému GSM mohou vést ke zranitelnosti SIM karet. Útočník by se mohl zmocnit soukromého klíče, jímž se zařízení v síti autorizuje; výsledkem může být mj. odposlech nebo naopak podvržená komunikace.

Zneužití lze podle Nohla provést pomocí SMS zprávy, která je adresována SIM kartě a pro uživatele neviditelná. Karta takto nepodepsanou zprávu odmítne, může ale zareagovat tak, že odpoví chybovou zprávou. Z jejího digitálního podpisu lze pak zkusit získat soukromý klíč.

U starších karet používajících 56bitové klíče a šifrování DES lze prý úspěšně provést útok hrubou silou; s klíčem pak lze zařízení zcela ovládnout. Nohl odhaduje, že tímto způsobem může být zranitelná až čtvrtina v současnosti používaných mobilních telefonů.

Nohl současně tvrdí, že odhalil zranitelnost v operačním systému JavaCard, který od sebe v telefonu odděluje jednotlivé aplikace (cardlety). Tímto způsobem by malware podle něj mohl např. odečítat data (přístupové údaje) z bankovní aplikace. Podrobnosti mají být zveřejněny příští měsíc na konferenci Black Hat.

Google vydal opravu pro Glass. Zranitelnost umožňovala útočníkovi převzít nad brýlemi kontrolu pomocí speciálního QR kódu; tímto způsobem by šlo sledovat činnost uživatele, ale např. také brýle přetížit iniciováním různých spojení a zhavarovat. Na problém upozornila společnost Lookout Security. Google Glass v současnosti používá asi 10 000 testerů.

Michael Hayden, bývalý šéf NSA a CIA, otevřeně obvinil společnosti Huawei, že provádí špionáž pro Čínu. Hayden tvrdí, že Huawei minimálně sdílí s čínskou vládou své rozsáhlé znalosti o zahraničních telekomunikačních sítích. Pro západní státy představuje bezpečnostní riziko. Hayden mluvil jako soukromá osoba, nikoliv jako zástupce Obamovy administrativy (nyní je ředitelem Motorola Solutions), v USA se ovšem používání produktů Huawei omezuje. The Register upozorňuje, že Velká Británie uplatňuje značně odlišný přístup. Když Huawei investovala 1,2 miliardy liber, britský premiér David Cameron oficiálně přijal v sídle vlády zakladatele společnosti Rena Zhengfeia.

Oracle uvolnil svůj čtvrtletní balíček oprav. Celkem 89 aktualizací znamená, že se záplaty týkají prakticky všech produktů firmy pro podnikové uživatele. Na většinu chyb upozornili výzkumníci nepracující pro Oracle.

Wolfgang Kandek, CTO bezpečnostní firmy Qualys, uvádí, že jako první by měly být aktualizovány aplikace přístupné z internetu, protože ty lze snadno napadnout. Doporučuje nasadit rychle zejména opravy pro databázi Oracle, Fusion Middleware, operační systém Solaris a databázi MySQL. Databáze Oracle se týká celkem 6 bulletinů zabezpečení, jedna z chyb (v parseru XML) je plně zneužitelná i vzdáleně, třebaže databáze chráněné firewallem by proti zneužití mohly být celkem odolné.

V MySQL jsou z 18 opravených chyb vzdáleně zneužitelné 2, u OS Solaris 8 ze 16. U Fusion Middleware je přes Internet zneužitelných 16 z 21 zranitelností. Tento software má rovněž funkčnost HTTP serveru, proto bývá vzdáleně přístupný – odhadem se to týká až půl milionu strojů. Kandek radí jako první instalovat opravy pro servery na perimetru a v demilitarizované zóně.

Oracle současně publikoval studii, podle které výdaje na zabezpečení sice stoupají, firmy však prostředky utrácejí neefektivně. Chránit by se podle analýzy měly primárně nikoliv sítě, ale databáze a aplikace. Kritici namítají, že ochrana by primárně měla být nasazena na úrovni informací/dat, nikoliv jednotlivých technologií.

Adam Gowdiak z polské bezpečnostní firmy Security Exploration tvrdí, že našel v Javě novou neopravenou zranitelnost. Vytvořil také exploit v podobě proof-of-concept. Zranitelnost v rozhraní Reflection API má být zneužitelná tak, že útočný kód dokáže obejít sandbox.

Studie bezpečnostní firmy Bit9 tvrdí, že pouze méně než 1 % organizací používá nejaktuálnější verzi Javy. V nejrozšířenější verzi Java 6 Update 20 je přitom dokumentováno 96 zneužitelných bezpečnostních chyb. Průměrný podnik v rámci průzkumu měl na PC a serverech ve své síti přes 50 různých verzí Javy, 5 % firem pak mělo i více než 100 verzí. Část problému je dána tím, že při instalaci/aktualizaci Javy se ne vždy odstraní starší verze (Oracle teprve nedávno změnil chování aktualizací tak, aby toto prováděly automaticky), které pak zůstávají jako kostlivec ve skříni. Studie Java Vulnerabilities: Write Once, Pwn Anywhere je založena na průzkumu více než milionu podniků.

Kompromitován byl web Ubuntuforums.org. Společnost Canonical potvrdila, že unikla jména, e-maily i hesla registrovaných uživatelů. Hesla jsou sice v podobě salted hash, nejde ale o ochranu, na kterou je radno spoléhat. Canonical proto doporučuje, aby uživatelé, kteří stejné heslo používají i jinde, si ho ihned změnili; o situaci již uživatele informuje individuálně e-mailem. Diskusní fórum o linuxové distribuci Ubuntu má asi 1,8 milionu členů, z toho aktuálně aktivních je cca 20 000.

K útoku se přihlásil člověk vystupující pod přezdívkou Sputn1k_ a uvedl, že hesla nehodlá zneužívat/zveřejňovat, takové tvrzení má však výpovědní hodnotu blízkou nule.

Polovina významných světových burz čelila v posledním roce kybernetickému útoku. Analýza uvádí, že pachatelé se stále častěji snaží prostě destabilizovat trhy, neusilují o podvody, které by jim přinesly přímý zisk. Příslušná studie mimochodem odhaduje roční škody způsobené kybernetickou kriminalitou na 38 miliard až 1 bilion dolarů (tak velké rozpětí kvůli nejistotě ohledně nepřímých nákladů).

Prolexic Technologies v analýze DDoS útoků ve 2. čtvrtletí roku 2013 uvádí obrovský nárůst oproti stejnému období loni. Útoků je víc, zabírají větší šířku pásma a trvají také stále déle – v průměru až 38 hodin. Pachatelé se totiž méně snaží chránit své botnety před detekcí, protože v současné situaci si mohou relativně rychle a snadno opatřit botnet nový. Namísto sítě kompromitovaných klientů stále častěji využívají i špatně zabezpečené webové servery; má to být snazší než distribuovat malware do klientských PC. Asi 3/4 DDoS útoků probíhalo na 3. a 4. vrstvě, zbytek na aplikační vrstvě; tento poměr zůstává v posledním roce zhruba konstantní.

HP vydala opravu zadních vrátek v systému StoreVirtual, respektive v OS LefHand 10.5 a starší.

Výzkumníci společnosti Bit Deffender objevili 2 aplikace využívající chyby v systému Android (nová aplikace se vydává za aktualizaci stávající aplikace, viz např. předcházející bezpečnostní přehled) přímo na Google Play. Naštěstí v tomto případě jde opravdu o využití, nikoliv zneužití, vývojáři obou aplikací neměli úmysl škodit a příslušnou funkčnost zavedli zřejmě omylem. Nicméně poněkud alarmující má být to, že kontrolní mechanismy na Google Play možný problém zřejmě vůbec neodhalily.


Komentáře

Petr Ježek #1
Petr Ježek 04. srpen 2013 18:15

Nedivil bych se, kdyby Sputn1k používal Ubuntu a svým útokem odhalil slabé místo. O nešíření hesel bych mu věřil. Tvrzení o nulové vypovídací hodnotě dokládá autorovu neznalost nejen teorie her.


RSS 

Komentujeme

Zákaznické karty čekají změny

Pavel Houser , 17. leden 2017 13:00
Pavel Houser

Jedna z technologií, která se už po léta prakticky nezměnila, i když by mohla? Prý karty zákazníků d...

Více





Kalendář

06. 02.

07. 02.
konference G2B TechEd
15. 02. IDC Predictions 2017
18. 02. WordCamp Praha 2017
RSS 

Zprávičky

Za vznícení mobilů Samsungu mohly baterie, firma odloží Galaxy S8

ČTK , 23. leden 2017 12:00

Za případy vznícení chytrých telefonů Galaxy Note 7 jihokorejské společnosti Samsung Electronics stá...

Více 0 komentářů

Foxconn zvažuje velkou investici do továrny v USA

ČTK , 23. leden 2017 08:29

Tchajwanská společnost Foxconn zvažuje, že investuje přes sedm miliard dolarů (zhruba 177 miliard Kč...

Více 0 komentářů

ČTÚ pohrozil O2 a Vodafonu odebráním licencí na LTE kvůli cenám

ČTK , 22. leden 2017 14:00

Český telekomunikační úřad (ČTÚ) znovu vyzval operátory O2 a Vodafone, aby do měsíce snížili velkoob...

Více 0 komentářů

Starší zprávičky

Menší e-shopy kvůli EET zruší platbu kartou

ČTK , 22. leden 2017 07:00

Řada menších tuzemských e-shopů od března, kdy pro ně začne platit elektronická evidence tržeb (EET...

Více 2 komentářů

Na další rozvoj ekonomického systému bude Praha vypisovat tendry

ČTK , 21. leden 2017 14:00

Na další rozvoj ekonomického systému Ginis bude Praha vypisovat jednotlivé veřejné zakázky. Pražští ...

Více 0 komentářů

Tržby IBM klesaly i ve 4.čtvrtletí loňského roku, akciím se daří

ČTK , 21. leden 2017 07:00

Americká počítačová společnost International Business Machines (IBM) zaznamenala další, již devatená...

Více 0 komentářů

Facebook postaví v Dánsku datové centrum

ČTK , 20. leden 2017 14:00

Americký provozovatel sociální sítě Facebook postaví v dánském městě Odense nové datové centrum, kte...

Více 0 komentářů