Bezpečnostní přehled: Burzy čelí kybernetickým útokům

Pavel Houser , 25. červenec 2013 09:00 1 komentářů
Bezpečnostní přehled: Burzy čelí kybernetickým útokům

Zranitelnost karet SIM, oprava pro Google Glass. Vývoj útoků DDoS a problémy s Javou. Výdaje na zabezpečení stoupají, firmy však prý prostředky nevyužívají efektivně. Následuje pravidelný bezpečnostní přehled vytvářený především podle webů ZDNet, CNet, The Register a HelpNet Security.

pasivní GSM Interceptor
pasivní GSM Interceptor
Bezpečnostní výzkumník Karsten Nohl z firmy Pedigree tvrdí, že 2 chyby v implementaci systému GSM mohou vést ke zranitelnosti SIM karet. Útočník by se mohl zmocnit soukromého klíče, jímž se zařízení v síti autorizuje; výsledkem může být mj. odposlech nebo naopak podvržená komunikace.

Zneužití lze podle Nohla provést pomocí SMS zprávy, která je adresována SIM kartě a pro uživatele neviditelná. Karta takto nepodepsanou zprávu odmítne, může ale zareagovat tak, že odpoví chybovou zprávou. Z jejího digitálního podpisu lze pak zkusit získat soukromý klíč.

U starších karet používajících 56bitové klíče a šifrování DES lze prý úspěšně provést útok hrubou silou; s klíčem pak lze zařízení zcela ovládnout. Nohl odhaduje, že tímto způsobem může být zranitelná až čtvrtina v současnosti používaných mobilních telefonů.

Nohl současně tvrdí, že odhalil zranitelnost v operačním systému JavaCard, který od sebe v telefonu odděluje jednotlivé aplikace (cardlety). Tímto způsobem by malware podle něj mohl např. odečítat data (přístupové údaje) z bankovní aplikace. Podrobnosti mají být zveřejněny příští měsíc na konferenci Black Hat.

Google vydal opravu pro Glass. Zranitelnost umožňovala útočníkovi převzít nad brýlemi kontrolu pomocí speciálního QR kódu; tímto způsobem by šlo sledovat činnost uživatele, ale např. také brýle přetížit iniciováním různých spojení a zhavarovat. Na problém upozornila společnost Lookout Security. Google Glass v současnosti používá asi 10 000 testerů.

Michael Hayden, bývalý šéf NSA a CIA, otevřeně obvinil společnosti Huawei, že provádí špionáž pro Čínu. Hayden tvrdí, že Huawei minimálně sdílí s čínskou vládou své rozsáhlé znalosti o zahraničních telekomunikačních sítích. Pro západní státy představuje bezpečnostní riziko. Hayden mluvil jako soukromá osoba, nikoliv jako zástupce Obamovy administrativy (nyní je ředitelem Motorola Solutions), v USA se ovšem používání produktů Huawei omezuje. The Register upozorňuje, že Velká Británie uplatňuje značně odlišný přístup. Když Huawei investovala 1,2 miliardy liber, britský premiér David Cameron oficiálně přijal v sídle vlády zakladatele společnosti Rena Zhengfeia.

Oracle uvolnil svůj čtvrtletní balíček oprav. Celkem 89 aktualizací znamená, že se záplaty týkají prakticky všech produktů firmy pro podnikové uživatele. Na většinu chyb upozornili výzkumníci nepracující pro Oracle.

Wolfgang Kandek, CTO bezpečnostní firmy Qualys, uvádí, že jako první by měly být aktualizovány aplikace přístupné z internetu, protože ty lze snadno napadnout. Doporučuje nasadit rychle zejména opravy pro databázi Oracle, Fusion Middleware, operační systém Solaris a databázi MySQL. Databáze Oracle se týká celkem 6 bulletinů zabezpečení, jedna z chyb (v parseru XML) je plně zneužitelná i vzdáleně, třebaže databáze chráněné firewallem by proti zneužití mohly být celkem odolné.

V MySQL jsou z 18 opravených chyb vzdáleně zneužitelné 2, u OS Solaris 8 ze 16. U Fusion Middleware je přes Internet zneužitelných 16 z 21 zranitelností. Tento software má rovněž funkčnost HTTP serveru, proto bývá vzdáleně přístupný – odhadem se to týká až půl milionu strojů. Kandek radí jako první instalovat opravy pro servery na perimetru a v demilitarizované zóně.

Oracle současně publikoval studii, podle které výdaje na zabezpečení sice stoupají, firmy však prostředky utrácejí neefektivně. Chránit by se podle analýzy měly primárně nikoliv sítě, ale databáze a aplikace. Kritici namítají, že ochrana by primárně měla být nasazena na úrovni informací/dat, nikoliv jednotlivých technologií.

Adam Gowdiak z polské bezpečnostní firmy Security Exploration tvrdí, že našel v Javě novou neopravenou zranitelnost. Vytvořil také exploit v podobě proof-of-concept. Zranitelnost v rozhraní Reflection API má být zneužitelná tak, že útočný kód dokáže obejít sandbox.

Studie bezpečnostní firmy Bit9 tvrdí, že pouze méně než 1 % organizací používá nejaktuálnější verzi Javy. V nejrozšířenější verzi Java 6 Update 20 je přitom dokumentováno 96 zneužitelných bezpečnostních chyb. Průměrný podnik v rámci průzkumu měl na PC a serverech ve své síti přes 50 různých verzí Javy, 5 % firem pak mělo i více než 100 verzí. Část problému je dána tím, že při instalaci/aktualizaci Javy se ne vždy odstraní starší verze (Oracle teprve nedávno změnil chování aktualizací tak, aby toto prováděly automaticky), které pak zůstávají jako kostlivec ve skříni. Studie Java Vulnerabilities: Write Once, Pwn Anywhere je založena na průzkumu více než milionu podniků.

Kompromitován byl web Ubuntuforums.org. Společnost Canonical potvrdila, že unikla jména, e-maily i hesla registrovaných uživatelů. Hesla jsou sice v podobě salted hash, nejde ale o ochranu, na kterou je radno spoléhat. Canonical proto doporučuje, aby uživatelé, kteří stejné heslo používají i jinde, si ho ihned změnili; o situaci již uživatele informuje individuálně e-mailem. Diskusní fórum o linuxové distribuci Ubuntu má asi 1,8 milionu členů, z toho aktuálně aktivních je cca 20 000.

K útoku se přihlásil člověk vystupující pod přezdívkou Sputn1k_ a uvedl, že hesla nehodlá zneužívat/zveřejňovat, takové tvrzení má však výpovědní hodnotu blízkou nule.

Polovina významných světových burz čelila v posledním roce kybernetickému útoku. Analýza uvádí, že pachatelé se stále častěji snaží prostě destabilizovat trhy, neusilují o podvody, které by jim přinesly přímý zisk. Příslušná studie mimochodem odhaduje roční škody způsobené kybernetickou kriminalitou na 38 miliard až 1 bilion dolarů (tak velké rozpětí kvůli nejistotě ohledně nepřímých nákladů).

Prolexic Technologies v analýze DDoS útoků ve 2. čtvrtletí roku 2013 uvádí obrovský nárůst oproti stejnému období loni. Útoků je víc, zabírají větší šířku pásma a trvají také stále déle – v průměru až 38 hodin. Pachatelé se totiž méně snaží chránit své botnety před detekcí, protože v současné situaci si mohou relativně rychle a snadno opatřit botnet nový. Namísto sítě kompromitovaných klientů stále častěji využívají i špatně zabezpečené webové servery; má to být snazší než distribuovat malware do klientských PC. Asi 3/4 DDoS útoků probíhalo na 3. a 4. vrstvě, zbytek na aplikační vrstvě; tento poměr zůstává v posledním roce zhruba konstantní.

HP vydala opravu zadních vrátek v systému StoreVirtual, respektive v OS LefHand 10.5 a starší.

Výzkumníci společnosti Bit Deffender objevili 2 aplikace využívající chyby v systému Android (nová aplikace se vydává za aktualizaci stávající aplikace, viz např. předcházející bezpečnostní přehled) přímo na Google Play. Naštěstí v tomto případě jde opravdu o využití, nikoliv zneužití, vývojáři obou aplikací neměli úmysl škodit a příslušnou funkčnost zavedli zřejmě omylem. Nicméně poněkud alarmující má být to, že kontrolní mechanismy na Google Play možný problém zřejmě vůbec neodhalily.


Komentáře

Petr Ježek #1
Petr Ježek 04. srpen 2013 18:15

Nedivil bych se, kdyby Sputn1k používal Ubuntu a svým útokem odhalil slabé místo. O nešíření hesel bych mu věřil. Tvrzení o nulové vypovídací hodnotě dokládá autorovu neznalost nejen teorie her.

RSS 

Komentujeme

Jak srovnávali jablka s hruškami

Pavel Houser , 27. květen 2017 14:30
Pavel Houser

Absurdní patent či ochranná známka, respektive absurdní výsledek sporu? A že je hloupost srovnávat j...

Více





RSS 

Zprávičky

Výdaje na reklamu na webech v dubnu stouply na 652 milionů Kč

ČTK , 27. květen 2017 09:04

Seznam získal 240 milionů, Mafra inkasovala 118 milionů a Economia 76 milionů korun....

Více 0 komentářů

Dell EMC podporuje transformaci IT s novými produkty pro open networking

Pavel Houser , 26. květen 2017 14:46

Přepínače Dell EMC pro Open Networking tvoří spolu se servery PowerEdge čtrnácté generace a špičkový...

Více 0 komentářů

Hodnota bitcoinu stoupla na nový rekord přes 2400 dolarů

ČTK , 26. květen 2017 09:23

K růstu bitcoinu přispívá příliv nového kapitálu a růst poptávky po dalších digitálních měnách....

Více 0 komentářů

Starší zprávičky

Tři zranitelnosti a opravy: Samba, Joomla, videopřehrávače

Pavel Houser , 25. květen 2017 16:30

Vektorem útoku může být i soubor s titulky....

Více 0 komentářů

Lenovo opět v zisku

ČTK , 25. květen 2017 15:32

Lenovo se snaží omezit svou závislost na trhu s PC a rozšiřuje aktivity v oblasti chytrých telefonů ...

Více 0 komentářů

Zákon o elektronické identifikaci Sněmovna asi schválí beze změn

ČTK , 25. květen 2017 09:00

Jedním z cílů nových občanských průkazů je poskytnout držitelům elektronický podpis....

Více 0 komentářů

PayPal rozšiřuje ochranu prodejců v ČR

Pavel Houser , 25. květen 2017 08:00

Tento program se dříve v České republice vztahoval jen na hmotné zboží, nyní se rozšiřuje i o služby...

Více 1 komentářů