Bezpečnostní přehled: Burzy čelí kybernetickým útokům

Pavel Houser , 25. červenec 2013 09:00 1 komentářů
Bezpečnostní přehled: Burzy čelí kybernetickým útokům

Zranitelnost karet SIM, oprava pro Google Glass. Vývoj útoků DDoS a problémy s Javou. Výdaje na zabezpečení stoupají, firmy však prý prostředky nevyužívají efektivně. Následuje pravidelný bezpečnostní přehled vytvářený především podle webů ZDNet, CNet, The Register a HelpNet Security.

pasivní GSM Interceptor
pasivní GSM Interceptor
Bezpečnostní výzkumník Karsten Nohl z firmy Pedigree tvrdí, že 2 chyby v implementaci systému GSM mohou vést ke zranitelnosti SIM karet. Útočník by se mohl zmocnit soukromého klíče, jímž se zařízení v síti autorizuje; výsledkem může být mj. odposlech nebo naopak podvržená komunikace.

Zneužití lze podle Nohla provést pomocí SMS zprávy, která je adresována SIM kartě a pro uživatele neviditelná. Karta takto nepodepsanou zprávu odmítne, může ale zareagovat tak, že odpoví chybovou zprávou. Z jejího digitálního podpisu lze pak zkusit získat soukromý klíč.

U starších karet používajících 56bitové klíče a šifrování DES lze prý úspěšně provést útok hrubou silou; s klíčem pak lze zařízení zcela ovládnout. Nohl odhaduje, že tímto způsobem může být zranitelná až čtvrtina v současnosti používaných mobilních telefonů.

Nohl současně tvrdí, že odhalil zranitelnost v operačním systému JavaCard, který od sebe v telefonu odděluje jednotlivé aplikace (cardlety). Tímto způsobem by malware podle něj mohl např. odečítat data (přístupové údaje) z bankovní aplikace. Podrobnosti mají být zveřejněny příští měsíc na konferenci Black Hat.

Google vydal opravu pro Glass. Zranitelnost umožňovala útočníkovi převzít nad brýlemi kontrolu pomocí speciálního QR kódu; tímto způsobem by šlo sledovat činnost uživatele, ale např. také brýle přetížit iniciováním různých spojení a zhavarovat. Na problém upozornila společnost Lookout Security. Google Glass v současnosti používá asi 10 000 testerů.

Michael Hayden, bývalý šéf NSA a CIA, otevřeně obvinil společnosti Huawei, že provádí špionáž pro Čínu. Hayden tvrdí, že Huawei minimálně sdílí s čínskou vládou své rozsáhlé znalosti o zahraničních telekomunikačních sítích. Pro západní státy představuje bezpečnostní riziko. Hayden mluvil jako soukromá osoba, nikoliv jako zástupce Obamovy administrativy (nyní je ředitelem Motorola Solutions), v USA se ovšem používání produktů Huawei omezuje. The Register upozorňuje, že Velká Británie uplatňuje značně odlišný přístup. Když Huawei investovala 1,2 miliardy liber, britský premiér David Cameron oficiálně přijal v sídle vlády zakladatele společnosti Rena Zhengfeia.

Oracle uvolnil svůj čtvrtletní balíček oprav. Celkem 89 aktualizací znamená, že se záplaty týkají prakticky všech produktů firmy pro podnikové uživatele. Na většinu chyb upozornili výzkumníci nepracující pro Oracle.

Wolfgang Kandek, CTO bezpečnostní firmy Qualys, uvádí, že jako první by měly být aktualizovány aplikace přístupné z internetu, protože ty lze snadno napadnout. Doporučuje nasadit rychle zejména opravy pro databázi Oracle, Fusion Middleware, operační systém Solaris a databázi MySQL. Databáze Oracle se týká celkem 6 bulletinů zabezpečení, jedna z chyb (v parseru XML) je plně zneužitelná i vzdáleně, třebaže databáze chráněné firewallem by proti zneužití mohly být celkem odolné.

V MySQL jsou z 18 opravených chyb vzdáleně zneužitelné 2, u OS Solaris 8 ze 16. U Fusion Middleware je přes Internet zneužitelných 16 z 21 zranitelností. Tento software má rovněž funkčnost HTTP serveru, proto bývá vzdáleně přístupný – odhadem se to týká až půl milionu strojů. Kandek radí jako první instalovat opravy pro servery na perimetru a v demilitarizované zóně.

Oracle současně publikoval studii, podle které výdaje na zabezpečení sice stoupají, firmy však prostředky utrácejí neefektivně. Chránit by se podle analýzy měly primárně nikoliv sítě, ale databáze a aplikace. Kritici namítají, že ochrana by primárně měla být nasazena na úrovni informací/dat, nikoliv jednotlivých technologií.

Adam Gowdiak z polské bezpečnostní firmy Security Exploration tvrdí, že našel v Javě novou neopravenou zranitelnost. Vytvořil také exploit v podobě proof-of-concept. Zranitelnost v rozhraní Reflection API má být zneužitelná tak, že útočný kód dokáže obejít sandbox.

Studie bezpečnostní firmy Bit9 tvrdí, že pouze méně než 1 % organizací používá nejaktuálnější verzi Javy. V nejrozšířenější verzi Java 6 Update 20 je přitom dokumentováno 96 zneužitelných bezpečnostních chyb. Průměrný podnik v rámci průzkumu měl na PC a serverech ve své síti přes 50 různých verzí Javy, 5 % firem pak mělo i více než 100 verzí. Část problému je dána tím, že při instalaci/aktualizaci Javy se ne vždy odstraní starší verze (Oracle teprve nedávno změnil chování aktualizací tak, aby toto prováděly automaticky), které pak zůstávají jako kostlivec ve skříni. Studie Java Vulnerabilities: Write Once, Pwn Anywhere je založena na průzkumu více než milionu podniků.

Kompromitován byl web Ubuntuforums.org. Společnost Canonical potvrdila, že unikla jména, e-maily i hesla registrovaných uživatelů. Hesla jsou sice v podobě salted hash, nejde ale o ochranu, na kterou je radno spoléhat. Canonical proto doporučuje, aby uživatelé, kteří stejné heslo používají i jinde, si ho ihned změnili; o situaci již uživatele informuje individuálně e-mailem. Diskusní fórum o linuxové distribuci Ubuntu má asi 1,8 milionu členů, z toho aktuálně aktivních je cca 20 000.

K útoku se přihlásil člověk vystupující pod přezdívkou Sputn1k_ a uvedl, že hesla nehodlá zneužívat/zveřejňovat, takové tvrzení má však výpovědní hodnotu blízkou nule.

Polovina významných světových burz čelila v posledním roce kybernetickému útoku. Analýza uvádí, že pachatelé se stále častěji snaží prostě destabilizovat trhy, neusilují o podvody, které by jim přinesly přímý zisk. Příslušná studie mimochodem odhaduje roční škody způsobené kybernetickou kriminalitou na 38 miliard až 1 bilion dolarů (tak velké rozpětí kvůli nejistotě ohledně nepřímých nákladů).

Prolexic Technologies v analýze DDoS útoků ve 2. čtvrtletí roku 2013 uvádí obrovský nárůst oproti stejnému období loni. Útoků je víc, zabírají větší šířku pásma a trvají také stále déle – v průměru až 38 hodin. Pachatelé se totiž méně snaží chránit své botnety před detekcí, protože v současné situaci si mohou relativně rychle a snadno opatřit botnet nový. Namísto sítě kompromitovaných klientů stále častěji využívají i špatně zabezpečené webové servery; má to být snazší než distribuovat malware do klientských PC. Asi 3/4 DDoS útoků probíhalo na 3. a 4. vrstvě, zbytek na aplikační vrstvě; tento poměr zůstává v posledním roce zhruba konstantní.

HP vydala opravu zadních vrátek v systému StoreVirtual, respektive v OS LefHand 10.5 a starší.

Výzkumníci společnosti Bit Deffender objevili 2 aplikace využívající chyby v systému Android (nová aplikace se vydává za aktualizaci stávající aplikace, viz např. předcházející bezpečnostní přehled) přímo na Google Play. Naštěstí v tomto případě jde opravdu o využití, nikoliv zneužití, vývojáři obou aplikací neměli úmysl škodit a příslušnou funkčnost zavedli zřejmě omylem. Nicméně poněkud alarmující má být to, že kontrolní mechanismy na Google Play možný problém zřejmě vůbec neodhalily.


Komentáře

Petr Ježek #1
Petr Ježek 04. srpen 2013 18:15

Nedivil bych se, kdyby Sputn1k používal Ubuntu a svým útokem odhalil slabé místo. O nešíření hesel bych mu věřil. Tvrzení o nulové vypovídací hodnotě dokládá autorovu neznalost nejen teorie her.

RSS 

Komentujeme

AI i její tvůrci před soudem

Pavel Houser , 22. duben 2018 09:30
Pavel Houser

John Kingston z anglické University of Brighton poskytl pro The Register svůj pohled na právní odpov...

Více







RSS 

Zprávičky

Facebook zvýšil zisk o 63 %, má 2,2 miliardy uživatelů

ČTK , 26. duben 2018 12:44

Tržby i zisk překonaly očekávání analytiků, akcie firmy v reakci umazaly část letošních ztrát....

Více 0 komentářů

Twitter vykázal další čtvrtletní zisk

ČTK , 26. duben 2018 10:00

Celkové tržby společnosti v 1. čtvrtletí meziročně vzrostly o 21 % na 664,9 milionu dolarů....

Více 0 komentářů

Amazon bude dodávat zboží až do auta, i bez přítomnosti majitele

ČTK , 26. duben 2018 09:00

Amazon koncem loňského rok zahájil službu doručování balíčků do prázdného bytu, nyní nabízí doručení...

Více 2 komentářů

Kalendář

30. 04.

03. 05.
Dell EMC World 2018
01. 05.

03. 05.
IFS World 2018
14. 05.

17. 05.
TechEd-DevCon 2018

Starší zprávičky

Správa phishingových kampaní pro každého

Pavel Houser , 26. duben 2018 08:00

S phishingovou sadou nové generace se prý i naprostí amatéři mohou úspěšně věnovat kybernetické krim...

Více 0 komentářů

Infor Visual 9 dostupný na českém a slovenském trhu

Pavel Houser , 25. duben 2018 12:13

Nová verze je odpovědí na současný nárůst zakázek a potřebu zvýšit výkonnost v malých a středně velk...

Více 0 komentářů

Apple začne splácet irské vládě miliardový daňový nedoplatek

ČTK , 25. duben 2018 10:00

Apple se proti předloňskému rozhodnutí Evropské komise o zaplacení 13 miliard eur odvolal, stejně ja...

Více 0 komentářů

Streamování je poprvé největším zdrojem příjmů hudebního průmyslu

ČTK , 25. duben 2018 09:00

Příjmy hudebního průmyslu se díky streamování začaly zvyšovat po dlouhém období poklesu. ...

Více 0 komentářů