Bezpečnostní přehled: Burzy čelí kybernetickým útokům

Pavel Houser , 25. červenec 2013 09:00 1 komentářů
Bezpečnostní přehled: Burzy čelí kybernetickým útokům

Zranitelnost karet SIM, oprava pro Google Glass. Vývoj útoků DDoS a problémy s Javou. Výdaje na zabezpečení stoupají, firmy však prý prostředky nevyužívají efektivně. Následuje pravidelný bezpečnostní přehled vytvářený především podle webů ZDNet, CNet, The Register a HelpNet Security.

pasivní GSM Interceptor
pasivní GSM Interceptor
Bezpečnostní výzkumník Karsten Nohl z firmy Pedigree tvrdí, že 2 chyby v implementaci systému GSM mohou vést ke zranitelnosti SIM karet. Útočník by se mohl zmocnit soukromého klíče, jímž se zařízení v síti autorizuje; výsledkem může být mj. odposlech nebo naopak podvržená komunikace.

Zneužití lze podle Nohla provést pomocí SMS zprávy, která je adresována SIM kartě a pro uživatele neviditelná. Karta takto nepodepsanou zprávu odmítne, může ale zareagovat tak, že odpoví chybovou zprávou. Z jejího digitálního podpisu lze pak zkusit získat soukromý klíč.

U starších karet používajících 56bitové klíče a šifrování DES lze prý úspěšně provést útok hrubou silou; s klíčem pak lze zařízení zcela ovládnout. Nohl odhaduje, že tímto způsobem může být zranitelná až čtvrtina v současnosti používaných mobilních telefonů.

Nohl současně tvrdí, že odhalil zranitelnost v operačním systému JavaCard, který od sebe v telefonu odděluje jednotlivé aplikace (cardlety). Tímto způsobem by malware podle něj mohl např. odečítat data (přístupové údaje) z bankovní aplikace. Podrobnosti mají být zveřejněny příští měsíc na konferenci Black Hat.

Google vydal opravu pro Glass. Zranitelnost umožňovala útočníkovi převzít nad brýlemi kontrolu pomocí speciálního QR kódu; tímto způsobem by šlo sledovat činnost uživatele, ale např. také brýle přetížit iniciováním různých spojení a zhavarovat. Na problém upozornila společnost Lookout Security. Google Glass v současnosti používá asi 10 000 testerů.

Michael Hayden, bývalý šéf NSA a CIA, otevřeně obvinil společnosti Huawei, že provádí špionáž pro Čínu. Hayden tvrdí, že Huawei minimálně sdílí s čínskou vládou své rozsáhlé znalosti o zahraničních telekomunikačních sítích. Pro západní státy představuje bezpečnostní riziko. Hayden mluvil jako soukromá osoba, nikoliv jako zástupce Obamovy administrativy (nyní je ředitelem Motorola Solutions), v USA se ovšem používání produktů Huawei omezuje. The Register upozorňuje, že Velká Británie uplatňuje značně odlišný přístup. Když Huawei investovala 1,2 miliardy liber, britský premiér David Cameron oficiálně přijal v sídle vlády zakladatele společnosti Rena Zhengfeia.

Oracle uvolnil svůj čtvrtletní balíček oprav. Celkem 89 aktualizací znamená, že se záplaty týkají prakticky všech produktů firmy pro podnikové uživatele. Na většinu chyb upozornili výzkumníci nepracující pro Oracle.

Wolfgang Kandek, CTO bezpečnostní firmy Qualys, uvádí, že jako první by měly být aktualizovány aplikace přístupné z internetu, protože ty lze snadno napadnout. Doporučuje nasadit rychle zejména opravy pro databázi Oracle, Fusion Middleware, operační systém Solaris a databázi MySQL. Databáze Oracle se týká celkem 6 bulletinů zabezpečení, jedna z chyb (v parseru XML) je plně zneužitelná i vzdáleně, třebaže databáze chráněné firewallem by proti zneužití mohly být celkem odolné.

V MySQL jsou z 18 opravených chyb vzdáleně zneužitelné 2, u OS Solaris 8 ze 16. U Fusion Middleware je přes Internet zneužitelných 16 z 21 zranitelností. Tento software má rovněž funkčnost HTTP serveru, proto bývá vzdáleně přístupný – odhadem se to týká až půl milionu strojů. Kandek radí jako první instalovat opravy pro servery na perimetru a v demilitarizované zóně.

Oracle současně publikoval studii, podle které výdaje na zabezpečení sice stoupají, firmy však prostředky utrácejí neefektivně. Chránit by se podle analýzy měly primárně nikoliv sítě, ale databáze a aplikace. Kritici namítají, že ochrana by primárně měla být nasazena na úrovni informací/dat, nikoliv jednotlivých technologií.

Adam Gowdiak z polské bezpečnostní firmy Security Exploration tvrdí, že našel v Javě novou neopravenou zranitelnost. Vytvořil také exploit v podobě proof-of-concept. Zranitelnost v rozhraní Reflection API má být zneužitelná tak, že útočný kód dokáže obejít sandbox.

Studie bezpečnostní firmy Bit9 tvrdí, že pouze méně než 1 % organizací používá nejaktuálnější verzi Javy. V nejrozšířenější verzi Java 6 Update 20 je přitom dokumentováno 96 zneužitelných bezpečnostních chyb. Průměrný podnik v rámci průzkumu měl na PC a serverech ve své síti přes 50 různých verzí Javy, 5 % firem pak mělo i více než 100 verzí. Část problému je dána tím, že při instalaci/aktualizaci Javy se ne vždy odstraní starší verze (Oracle teprve nedávno změnil chování aktualizací tak, aby toto prováděly automaticky), které pak zůstávají jako kostlivec ve skříni. Studie Java Vulnerabilities: Write Once, Pwn Anywhere je založena na průzkumu více než milionu podniků.

Kompromitován byl web Ubuntuforums.org. Společnost Canonical potvrdila, že unikla jména, e-maily i hesla registrovaných uživatelů. Hesla jsou sice v podobě salted hash, nejde ale o ochranu, na kterou je radno spoléhat. Canonical proto doporučuje, aby uživatelé, kteří stejné heslo používají i jinde, si ho ihned změnili; o situaci již uživatele informuje individuálně e-mailem. Diskusní fórum o linuxové distribuci Ubuntu má asi 1,8 milionu členů, z toho aktuálně aktivních je cca 20 000.

K útoku se přihlásil člověk vystupující pod přezdívkou Sputn1k_ a uvedl, že hesla nehodlá zneužívat/zveřejňovat, takové tvrzení má však výpovědní hodnotu blízkou nule.

Polovina významných světových burz čelila v posledním roce kybernetickému útoku. Analýza uvádí, že pachatelé se stále častěji snaží prostě destabilizovat trhy, neusilují o podvody, které by jim přinesly přímý zisk. Příslušná studie mimochodem odhaduje roční škody způsobené kybernetickou kriminalitou na 38 miliard až 1 bilion dolarů (tak velké rozpětí kvůli nejistotě ohledně nepřímých nákladů).

Prolexic Technologies v analýze DDoS útoků ve 2. čtvrtletí roku 2013 uvádí obrovský nárůst oproti stejnému období loni. Útoků je víc, zabírají větší šířku pásma a trvají také stále déle – v průměru až 38 hodin. Pachatelé se totiž méně snaží chránit své botnety před detekcí, protože v současné situaci si mohou relativně rychle a snadno opatřit botnet nový. Namísto sítě kompromitovaných klientů stále častěji využívají i špatně zabezpečené webové servery; má to být snazší než distribuovat malware do klientských PC. Asi 3/4 DDoS útoků probíhalo na 3. a 4. vrstvě, zbytek na aplikační vrstvě; tento poměr zůstává v posledním roce zhruba konstantní.

HP vydala opravu zadních vrátek v systému StoreVirtual, respektive v OS LefHand 10.5 a starší.

Výzkumníci společnosti Bit Deffender objevili 2 aplikace využívající chyby v systému Android (nová aplikace se vydává za aktualizaci stávající aplikace, viz např. předcházející bezpečnostní přehled) přímo na Google Play. Naštěstí v tomto případě jde opravdu o využití, nikoliv zneužití, vývojáři obou aplikací neměli úmysl škodit a příslušnou funkčnost zavedli zřejmě omylem. Nicméně poněkud alarmující má být to, že kontrolní mechanismy na Google Play možný problém zřejmě vůbec neodhalily.


Komentáře

Petr Ježek #1
Petr Ježek 04. srpen 2013 18:15

Nedivil bych se, kdyby Sputn1k používal Ubuntu a svým útokem odhalil slabé místo. O nešíření hesel bych mu věřil. Tvrzení o nulové vypovídací hodnotě dokládá autorovu neznalost nejen teorie her.


RSS 

Komentujeme

Chatbot mluví za mrtvého – od nápadu k realizaci

Pavel Houser , 30. listopad 2016 13:00
Pavel Houser

Na webu The Verge popsala Casey Newton příběh dvou přátel (Eugenia Kuyda a Roman Mazurenko). Peripet...

Více





Kalendář


RSS 

Zprávičky

Vodafone zvýšil do září počet zákazníků na 3,54 milionu

ČTK , 04. prosinec 2016 18:00

Mobilní operátor Vodafone zvýšil do konce září počet zákazníků na českém trhu meziročně o 146.000 na...

Více 0 komentářů

Nový škodlivý program ukradl údaje k milionu účtů Google

ČTK , 02. prosinec 2016 14:00

Nový škodlivý program Goolian narušil bezpečnost více než jednoho milionu účtů Google. Šíří se na za...

Více 0 komentářů

Telefony Nokia se příští rok vrátí na trh

ČTK , 02. prosinec 2016 10:30

Chytré telefony se značkou Nokia se objeví zpátky na trhu v příštím roce. Finská společnost Nokia dn...

Více 2 komentářů

Starší zprávičky

CETIN nabídne příští rok operátorům připojení až 250 Mbit/s

ČTK , 01. prosinec 2016 17:00

Společnost Česká telekomunikační infrastruktura (CETIN) zvýší od května příštího roku rychlost inter...

Více 0 komentářů

Akcie Samsungu stouply na nový rekord

ČTK , 01. prosinec 2016 12:00

Akcie jihokorejské společnosti Samsung Electronics dnes stouply o více než čtyři procenta na nový re...

Více 0 komentářů

FBI bude moci s povolením soudu pronikat do jakýchkoli počítačů

ČTK , 01. prosinec 2016 10:30

V americkém Senátu dnes selhal poslední pokus o zablokování rozšířených policejních pravomocí, které...

Více 2 komentářů

Gartner: Prodej tabletů v ČR letos klesne o osm procent na 1,1 mil

ČTK , 30. listopad 2016 14:00

Zájem o tablety letos dále klesá. Prodej tabletů a hybridních notebooků na českém trhu se letos sníž...

Více 0 komentářů