Bezpečnostní přehled: Červ Coficker stále mezi námi

Pavel Houser , 07. prosinec 2015 16:00 0 komentářů
Rubriky: Security
Bezpečnostní přehled: Červ Coficker stále mezi námi

Jak zajistit spolehlivý generátor náhodných čísel? Windows pro Internet věcí a zabezpečení. Obliba ElasticSearch láká i podvodníky. V ČR se ve srovnání se světem na IT bezpečnosti šetří. Hacktivisté i podvodníci se chystají na americké prezidentské volby.

Následuje pravidelný bezpečnostní přehled vytvářený především podle webů ZDNet, CNet, The Register a HelpNet Security.

Conficker jako hrozba pro podniky stále vede CheckPoint vydal seznam 10 nejrozšířenějších rodin malwaru – celosvětově a z hlediska akcí cílených na organizace, nikoliv jednotlivé uživatele. Pořadí je následující:

  1. Conficker

  2. Sality

  3. Cutwail

  4. Neutrino EK

  5. Gamarue

  6. Agent

  7. Pushdo

  8. Alman

  9. ZeroAccess

  10. Fareit

První 3 rodiny zahrnují 40 % všech zaznamenaných útoků. Celkově se z aktuálního pořadí vyvozuje jako trend, že největší oblibu má dnes zapojovat ovládnuté počítače do botnetu a zneužívat je pro rozesílání spamu a útoky DDoS. Takto lze ovládnutý stroj zneužívat déle. Teprve exploit kit Neutrino na 4. místě je více spojen s ransomwarem – i když samotný základní malware obvykle obsahuje funkcionalitu schopnou stahovat další programy, takže původní vektor a konečná forma poškození jsou do jisté míry nezávislé. Poznámka: Zajímavé přitom je, jak je Conficker už strašně starý, první verze se objevila v roce 2008.

Windows 10 pro IoT nevynucují aktualizace

Nová edice Windows 10 IoT Core Pro je určena pro OEM výrobce zařízení z kategorie internetu věcí. Výrobci si sami mohou nastavit, jakým způsobem budou zařízení získávat aktualizace. Simon Sharwood na webu The Register kritizuje, že službu Windows Server Update Services lze prostě vypnout; což nakonec může být zdůvodněno tím, že aktualizace někdy bez ptaní mění třeba politiky sdílení informací. Výsledkem však budou zařízení otevřená útokům. Když vidíme, jaký je dnes s vestavěnými zařízeními typu směrovačů problém (na rozdíl od PC nebo serveru se často prostě někam „postaví“ a dál jim už nikdo nevěnuje pozornost), nestálo by za to zrovna zde aktualizace prostě vynucovat?

ElasticSearch terčem útoků

Podvodníci se letos více zaměřují na servery ElasticSearch, které podniky se stále větší oblibou používají pro vyhledávání v podnikových informacích. Přispěla k tomu zejména dvojice chyb CVE-2015-5377 a CVE-2015-1427 objevená na počátku letošního roku, které obě umožňují vzdálené spuštění kódu. Výzkumníci firmy AlienVault uvádějí, že jakmile v rámci honeypotu nainstalovali ElasticSearch, rázem se zde objevili roboti – zejména fBots (DDoS-Boti) a iBots – kteří se pokusili server infikovat a udělat z něho součást botnetu. Spíše než s krádežemi informací jsou tyto kompromitované servery údajně zneužívány k útokům DDoS, protože na rozdíl od ovládaných klientských systémů mají k dispozici větší šířku pásma.

2016: Návrat hacktivismu, prezidentské volby v USA

Analýza Experian Data Breach Resolution pro rok 2016: Opět vzroste míra hacktivismu, kdy cílem bude především poškození dobré pověsti „nepřátelského subjektu“. Za tímto cílem budou zveřejňována kompromitovaná data; obětí budou ovšem i jednotlivci, zaměstnanci, obchodní partneři či zákazníci takto postižené organizace... Protože v roce 2016 se konají americké prezidentské volby, cílem pro hacktivisty budou i prezidentští kandidáti, jejich spolupracovníci, týmy apod. Přitom kampaně se dnes vyhrávají mj. právě zpracováním obrovského množství dat (viz i popisy, jakou hloubku cílení dokázala mít už předešlá Obamova kampaň), která jsou v systémech připojených on-line, což samozřejmě bude pro útočníky všeho druhu představovat obrovské lákadlo.

SOHO router Belkin N150 je zranitelný vůči útokům CSFR, vsunutí HTML/JavaScriptu i únosům relace. Navíc zde běží server služby Telnet, k němuž lze přistupovat pomocí výchozích přihlašovacích údajů (root/root). Kdokoliv se tím může snadno přihlásit k zařízení s veškerými oprávněními. Akce sice musí vycházet z místní sítě, k tomu v ní však vzdálenému útočníkovi stačí kompromitovat jiné zařízení a rovnou může získat kontrolu i nad směrovačem.

Novinky ze světa Chrome

Chrome 47 přináší opravy 41 zranitelností. Anonymní lovec bezpečnostních chyb si za reportování 3 zneužitelných děr v AppCache přišel na více než 30 000 dolarů. Celkem Google za zranitelnosti v předešlé verzi zaplatil přes 100 000 dolarů.

Google rovněž oznámil, že od příštího března přestane podporovat Chrome na 32bitových verzích Linuxu, tj. prohlížeč už nebude dále aktualizován (ale samozřejmě existují i plně open source podoby, takže i aktuální verzi si pro Lin32 půjde sestavit a využívat i automatizaci, jen se tím už nehodlá zabývat přímo Google).

Raspberry, generování klíčů a entropie

Raspberry Pi se spuštěným Debian Linuxem („Raspbian“) generuje potenciálně slabé klíče SSH. Důsledkem může být útok typu man-in-the-middle a útočník zachytí přihlašovací údaje pro přístup ke vzdálenému terminálu. Problém má být cca v tom, že po prvním spuštění se šifrovací klíče nevytvářejí s hardwarovou podporou. Výzkumníci v této souvislosti upozorňují na svět vestavěných systémů a internetu věcí, kdy systémy prý po uvedení do provozu nemají k dispozici „dostatek entropie“, aby mohly účinně generovat náhodná čísla jinak než s pomocí funkcí přímo vestavěných do hardwaru.

CSIRT varuje/oznamuje

Vývojáři Node.js, systému pro psaní vysoce škálovatelných internetových aplikací, uvolnili bezpečnostní záplatu opravující několik bezpečnostních zranitelností.

Objeveno bylo několik závažných zranitelností v zabezpečovacím systému Videofied od francouzské společnosti RSI Video Technologies. Při přenosu dat na server kvůli chybě v návrhu (šifrovací klíč lze odvodit ze sériového čísla přenášeného v nezašifrované podobě) hrozí zneužití typu man-in-the-middle. Útočník může podvrhnout či zmanipulovat alarmová hlášení nebo odposlouchávat datovou komunikaci ze zařízení včetně videí. (Zdroj: Národní centrum kybernetické bezpečnosti)

Poznámka: Lze např. dohledat, kdo vše v ČR tento systém nabízí. Dle dodavatelů je celosvětově nasazeno více než milion instalací.

Ze světa firem

60 % českých společností ovlivnil incident týkající se bezpečnosti jejich interních informací. Podle letošní studie Kaspersky Lab a B2B International jsou nejčastější příčinou ztráty dat zaměstnanci. Výzkum o informační bezpečnosti podniků probíhal mezi 5 500 IT odborníky z 26 zemí světa včetně ČR. 19 % uživatelů přiznalo, že alespoň jednou za rok ztratili mobilní zařízení s uloženými firemními daty. (Zdroj: tisková zpráva společnosti Kaspersky Lab)

Napadení DDoS zažilo po celém světě již 16 % a v ČR 9 % firem. U IT podniků tento podíl stoupl na 21 % společností po celém světě, 22 % u finančních služeb a 24 % u telekomunikačních organizací. (Zdroj: tisková zpráva společnosti Kaspersky Lab)

Operace, při níž spolupracovaly bezpečnostní orgány po celém světě v čele s FBI, Interpolem a Europolem, narušila infrastrukturu botnetu Dorkbot, včetně jeho řídících serverů v Asii, Evropě a Severní Americe. Došlo také k zabavení domén, čímž se narušila schopnost operátorů botnetu zneužívat počítače svých obětí. (Zdroj: tisková zpráva společnosti Eset)

Exekutorská komora varuje před podvodnými e-maily vyzývajícími k úhradě údajného dluhu. Kampaň tentokrát používá předmět „DRUHE UPOZORNENI NA NARIZENOU EXEKUCI“. Druhá kampaň obsahuje název Justičně exekutorská mafie, v těle fingovanou obsahuje chybovou hlášku o nezobrazitelnosti a škodlivý odkaz. (Zdroj. Exekutorská komora ČR)

Psali jsme na ITBiz

Na téma zabezpečení na ITBiz viz také: Platební systémy hotelů Hilton byly napadeny červem

Hackeři zaútočili na australský meteorologický úřad

Akce je údajně dílem čínských špionů. Meteorologický úřad vlastní jeden z nejvýkonnějších australských superpočítačů. Možná nebyl cílem sám o sobě, ale útočníci se přes něj chtěli dostat do systému australského ministerstva obrany.


Komentáře


RSS 

Komentujeme

Chatbot mluví za mrtvého – od nápadu k realizaci

Pavel Houser , 30. listopad 2016 13:00
Pavel Houser

Na webu The Verge popsala Casey Newton příběh dvou přátel (Eugenia Kuyda a Roman Mazurenko). Peripet...

Více





Kalendář

RSS 

Zprávičky

Tchajwanský Foxconn jedná o rozšíření svých aktivit v USA

ČTK , 07. prosinec 2016 15:00

Tchajwanská společnost Foxconn jedná o rozšíření svých aktivit ve Spojených státech. Oznámila to dne...

Více 0 komentářů

Nejvyšší soud USA se postavil na stranu Samsungu proti Applu

ČTK , 07. prosinec 2016 12:30

Americký nejvyšší soud se v mnohaletém patentovém sporu mezi výrobci chytrých telefonů Apple a Samsu...

Více 0 komentářů

Evropská komise Microsoftu schválila převzetí sítě LinkedIn

ČTK , 07. prosinec 2016 10:30

Evropská komise schválila americké softwarové společnosti Microsoft záměr koupit za 26 miliard dolar...

Více 0 komentářů

Starší zprávičky

Porozumění větám, konkurence pro Turingův test

Pavel Houser , 06. prosinec 2016 18:00

Konverzační roboti mají stále problémy pochopit věty, kde smysl nelze vyvodit ze samotné gramatické ...

Více 0 komentářů

Americká GoDaddy koupí evropský webhosting Host Europe

ČTK , 06. prosinec 2016 16:00

Americký registrátor internetových domén GoDaddy, který je ve svém oboru největší na světě, se dohod...

Více 0 komentářů

Ruská Centrální banka oznámila masivní útok hackerů

ČTK , 06. prosinec 2016 11:00

Do systému ruské Centrální banky se letos dostali hackeři a s pomocí zfalšovaných hesel se pokusili ...

Více 0 komentářů

CETIN vydal dluhopisy za 25 miliard Kč

ČTK , 05. prosinec 2016 18:00

Česká telekomunikační infrastruktura (CETIN) upsala dluhopisy v eurech a korunách v celkovém objemu ...

Více 1 komentářů